Eric Detoisien, RSSI à la Bred Banque Populaire - CNIS mag

Parcours de RSSI 

eric detoisien 

Audits et tests 

une véritable passion 

Eric Detoisien travaille dès le début 2000 sur les vulnérabilités des applications 

web. Ses outils de test, ses articles, ses conférences (Black Hat, JSSI, Sstic, 

Eurosec ...) le font connaître dans le monde sécurité Propos recueillis par Solange Belkhayat-Fuchs 

CNIS Mag. Comment êtes-vous arrivé 

dans le milieu de la sécurité ? Etait-ce 

un choix personnel dès votre plus jeune 

âge ou simplement un hasard de parcours 

professionnel ? 

E.D. Mon cursus scolaire est assez traditionnel 

: j’ai obtenu un DESS avec 

une spécialité Réseaux et Télécoms à 

l’Université Paris VI. Ensuite j’ai parachevé 

mes études avec un MBA effectué 

à l’IAE –Institut d’Administration des 

Entreprises- de la Sorbonne. J’ai ainsi 

poursuivi des études scientifiques du- 

rant lesquelles l’informatique était ce qui 

me plaisait le plus avec une affinité pour 

les réseaux. J’ai eu mon premier cours 

d’initiation à la sécurité pendant mon 

année de DESS entre 1999 et l’an 2000. 

Nous avons effleuré quelques aspects 

techniques et, quelques attaques. A cette 

époque, la sécurité en tant que voie « scolaire 

» n’était pas encore très développée. 

Il existait certainement des filières mais 

plus confidentielles que directes. Ce n’est 

que depuis trois ou quatre ans que plusieurs 

universités proposent une filière 

sécurité. Ce fameux cours sur la sécurité 

pendant ma dernière année d’études n’a 

fait que confirmer ce que je ressentais 

confusément déjà depuis un an au moins : 

ma fascination pour ce domaine. En effet, 

grâce à Internet cela faisait quasiment 2 

Le cours sur la sécurité pendant ma dernière année 

d'études n'a fait que confirmer ce que je ressentais 

confusément déjà depuis un an au moins: une 

facination pour ce domaine, j'avais monté mon propre 

laboratoire à la maison afin d'effectuer des tests et 

appréhender concrètement la sécurité sur le terrain. 

ans, que je me renseignais sur les aspects 

offensifs et notamment les techniques 

d’attaques en sécurité sans pour autant 

négliger la partie protection. A cette 

époque j’ai carrément monté mon propre 

laboratoire à la maison afin d’effectuer 

des tests et appréhender concrètement 

la sécurité sur le terrain. Parallèlement, je 

me suis également cultivé au travers des 

livres, des publications dédiées mais la 

majeure partie des informations ont été 

fournies par la toile. Seuls les aspects 

techniques me captivaient. Et là, j’ai donc 

décidé de continuer à vivre ma passion 

pour la sécurité au quotidien tout simplement 

dans un cadre professionnel. Déjà 

j’ai effectué mon DESS en alternance en 

travaillant au sein d’une société spécialisée 

dans l’interconnexion entre Internet 

et la téléphonie mobile via WapWAP. J’y 

ai bûché sur la sécurité de l’architecture 

de la plate-forme et ce pour le compte 

de Nokia. Parefeu, proxy, authentification 

utilisateur à l’aide de serveur radius, annuaire 

Ldap LDAP …étaient les éléments 

utilisés pour concevoir des infrastructures 

sécurisées à base de DMZ. 

CNIS Mag. Quels ont été vos premiers 

pas dans le monde de la sécurité professionnelle 

? 

E.D. La société de services au sein de 

laquelle j’ai fait mes premières armes, 

Solari Consulting, fut elle-même absorbée 

par Ubizen Belgique. Très vite, nous 

avons donc fait partie intégrante de cet 

éditeur de solutions de sécurité, Ubizen 

France, proposant des services de consulting 

et d’intégration Un travail des plus 

classiques composé essentiellement de 

missions d’intégration de parefeu, solution 

anti-virale … Pendant ce temps, à la 

maison, je continuais de travailler dans 

mon laboratoire de tests personnels, 

vivant ainsi ma passion de départ. Puis 

je finis par proposer à Ubizen France de 

monter une équipe d’audit et de tests 

d’intrusion identique à celle existante 

déjà chez Ubizen Belgique. Une aventure 

qui s’acheva par l’ouverture d’une cellule 

identique en France. Les premiers tests 

d’intrusion ont été vendus officiellement, 

durant l’été en 2000. Malencontreusement, 

l’expérience a tourné court car le rachat 

fut mal digéré. Une mauvaise gestion du 

rachat initial de Solari Consulting conduisit 

à la concurrence des consultants 

dès la fin 2000. C’est à ce moment que 

j’ai rencontré une personne ayant créé 

sa propre structure, Global Secure, dont 

l’offre était uniquement basée sur de la 

sécurité pure : audits et tests d‘intrusion, 

conseils en architecture sécurisée, mise 

en oeuvre de politique sécurisée, formation 

… Nous avons mis sur pied des audits 

d’applications web, fait plutôt rare à 

l’époque. Des formations techniques sur 

le hacking étaient également à l’ordre 

du jour. L’objectif était d’expliquer les 

attaques contre des systèmes Windows 

ou Unix, des réseaux ou encore des applications 

web pour mieux s’en prémunir. 

A l’époque, ce genre de formation avait 

beaucoup de succès du fait de son aspect 

concret et des travaux pratiques. Pendant 

deux années consécutives, j’ai donc œuvré 

totalement et uniquement dans le domaine 

de la sécurité et ce, jusque 2003. 

CNIS Mag. Une fois entré de plain pied 

dans l’univers de la sécurité, poursuiviez-vous 

votre seconde mi-temps à la 

maison ? 

E.D. En parallèle, je poursuivais mes 

recherches personnelles sur le sujet. 

Notamment, depuis la sortie de MISC, un 

journal concurrent très technique, bien 

connu des aficionados de la sécurité terrain. 

J’ai contribué à ce support depuis 

eric detoisien 

son numéro zéro paru en 2001, puis aux 

deux suivants édités en 2002 et encore 

très régulièrement par la suite. Cette 

nouvelle activité m’a permis de rencontrer 

beaucoup de personnes évoluant 

dans le même milieu. Pour chaque article, 

j’effectuais des tests spécifiques et 

je n’hésitais pas à développer moi-même 

des outils quand ils n’existaient pas et 

qu’aucun test n’était disponible. Ainsi 

dès qu’une technologie apparaissait, je 

la passais à la moulinette en développant 

« exploits » et tests. J’examinais dans le 

détail tous les types d’attaques poten- 

tielles sur cette technologie. Ainsi je teste 

les environnements VoIP en termes de 

sécurité depuis près de trois ans. 

CNIS Mag. Comment avez-vous débarqué 

dans le monde bancaire ? 

E.D. Début 2003, la petite structure pour 

laquelle je travaillais a réorienté son 

activité. Et là, j’ai alors songé sérieusement 

à vivre mon métier en l’abordant, 

cette fois, sous l’angle de l’utilisateur. En 

d’autres termes, j’ai envisagé d’intégrer 

une entreprise afin de vivre la problématique 

sécurité dès le départ tout au 

6 ◆ CNIS Mag N°01 ◆ OCTOBRE 2008 CNIS Mag N°01 ◆ OCTOBRE 2008 ◆ 7 

Marc Guillaumot

Parcours 

de RSSI 

long de son cycle, le consulting stoppait 

le plus souvent la démarche sécurité car 

le désavantage d’être consultant est que 

souvent l’aventure s’arrête à l’étape de 

la remise du rapport. La phase de mise 

en œuvre était somme toute assez rare. 

C’est comme cela que je découvris le 

monde bancaire et ce, avec mon arrivée 

à la BRED Banque Populaire. A l’époque, 

l’institut financier recherchait un ingénieur 

sécurité pour réaliser les audits 

de sécurité en interne et assurer le suivi 

des préconisations et ce, jusqu’à leur 

mise en œuvre. J’ai donc intégré l’équipe 

informatique au sein de laquelle les actions 

sécurité n’étaient pas fédérées autour 

d’un personnel dédié car il n’existait 

pas de pôle sécurité avec du personnel 

spécialisé. 

CNIS Mag. Quelles ont été les premières 

tâches à accomplir dans un 

contexte où la sécurité est un secteur 

indéniablement sensible ? 

E.D. Je suis entré tout d’un coup dans 

un monde plus vaste où beaucoup de 

technologies différentes se côtoient, 

systèmes Windows et Unix, Mainframe, 

interconnexions réseaux, applications 

propriétaires, bases de données, VoIP 

… Ce qui laisse un champ d’action assez 

large. Mon premier rôle aura été d’établir 

un état des lieux de la sécurité au travers 

d’audits techniques et d’entretiens en 

consultant les équipes. Puis il a fallu et de 

déterminer les directions à suivre tout en 

donnant des directives, puis effectuer le 

suivi et la vérification de la mise en œuvre 

des recommandations. Enfin, la veille 

sécuritaire était également à ma charge. 

De 2003 à 2005, je poursuis mon travail 

à la BRED tout en participant activement 

à des conférences nationales et interna- 

8 ◆ CNIS Mag N°01 ◆ OCTOBRE 2008 

tionales comme, les Sticc ou, la Blackhat 

Amsterdam … et en poursuivant mes coopérations 

au sein de MISC en publiant 

toujours des articles techniques. Dans le 

même temps, j’ai lancé des campagnes 

de sensibilisation en partantd’abord au 

niveau de la Direction Informatique puis 

en englobant toutes les personnes à tous 

les niveaux en visant une cible plus large 

et ce, afin de démystifier la sécurité dans 

les esprits de tout un chacun. 

CNIS Mag. En quoi consiste votre rôle 

actuel ? 

E.D. Je suis devenu officiellement RSI en 

2006, il y a de cela un an exactement. Le 

poste de RSI est rattaché directement au 

DSI et dispose de budgets dédiés pour 

la mise en œuvre de la sécurité du système 

d’information. Mon rôle consiste 

justement faire évoluer la sécurité du SI 

en fonction des risques auxquels il est 

soumis. Le soutien de la DSI est alors primordial 

et ce rattachement direct me per- 

Mettre en place non pas une usine à gaz, mais en 

attaquant les problèmes à bras le corps de façon 

pragmatique, grâce à une bonne connaissance des 

attaques potentielles du système d’information 

met d’avoir une latitude suffisante pour 

opérer efficacement. 

Ma première réaction a été de mettre 

en place non pas une usine à gaz en se 

lançant dans de grands plans ambitieux, 

mais en attaquant les problèmes à bras 

le corps de façon concrète, pragmatique 

et ce, grâce à de bonnes connaissance 

et compréhension des attaques potentielles 

sur le SI. En connaissantce du 

niveau exact de sécurité de l’entreprise 

et de la valeur de ses actifs, je sais quels 

en sont ses points faibles. Et donc, en 

2007, j’ai établi un plan d’action de sécurité 

avec des axes bien spécifiques en 

fonction de ce qu’il me paraît indispensable 

de couvrir. Plan qui me permettra 

également d’obtenir un niveau de sécurité 

homogène. ❏ 

BiogrAphie 

d’eric detoisien 

◗ cursus scolaire 

Il a obtenu un DESS, spécialité 

Réseaux et Télécoms 

à l’Université de Paris VI. 

Puis il poursuivi avec un 

MBA effectué à l’IAE -Institut 

d’Administration des 

Entreprises- à la Sorbonne 

◗ cursus professionnel 

Il a débuté sa carrière chez 

Solari Consulting, une société 

absorbée par la suite 

par Ubizen Belgique. Après 

un passage chez Ubizen 

France, il débarque chez 

Global Secure. Aujourd’hui, 

il est RSI à la BRED Banque 

Populaire 

Marc Guillaumot

Eric Detoisien, RSSI à la Bred Banque Populaire - CNIS mag

Create successful ePaper yourself

Delete template?

Save as template?