Inès Dos Anjos Hackeuse éthique

Quoi de mieux pour vérifier la sécurité d’un site web que d’essayer de l’attaquer ? C’est un peu la philosophie du hacker éthique, métier qu’exerce Inès Dos Anjos. « Mon travail consiste à explorer les systèmes d'information ou l’exposition sur internet de clients pour trouver des vulnérabilités et donc des problèmes de sécurité informatique », dit-elle. La différence avec les hackers conventionnels se joue sur la méthode. « Notre démarche est éthique dans le sens où on peut être amené à tomber sur des informations assez critiques. Mais ici, tout est cadré, normé et un contrat est signé : on est les gentils pirates, quoi ! ».

Inès travaille pour BZHunt à Guivapas (29), entreprise d’une quinzaine de personnes qui a fêté ses 5 bougies en décembre. La structure propose ses services partout en France comme à l’international. « Entre 30% et 50% de mes activités sont en anglais. Au niveau pratique, on a développé un système de sondes qu'on envoie de manière sécurisée chez les clients pour limiter les déplacements », explique-t-elle.

La méthode du Kill chain cyber

Pour mener à bien ses missions, Inès s’inspire de la méthode de la Kill chain cyber. « On va dans un premier temps faire de la reconnaissance, c’est-à-dire qu’on va aller voir en profondeur ce qui pourrait être critique, les technologies employées, etc. On va ensuite faire différents types de tests. »  

L’idée est de rendre un rapport aux clients pour qu’ils puissent corriger les problèmes. « On va venir définir la vulnérabilité en tant que telle, la catégoriser selon que ce soit un défaut de contrôle d'accès, de configuration, l'utilisation d'une technologie obsolète, etc. Généralement, quelques mois après, quand le client estime que les problèmes sont réglés, on refait une passe pour voir si les vulnérabilités qu’on a trouvées ont été bien corrigées. » 

 ici, tout est cadré : on est les gentils pirates, quoi ! 

Étudier le comportement des attaquants

Inès s’est spécialisée en Threat intelligence (en français, analyse de la menace). Concrètement, il s’agit d'étudier le comportement des attaquants pour anticiper au mieux leurs actions. Pour cela, elle se base sur des rapports publics, qui sont publiés par des entreprises comme Sekoia, Mandiant ou Google à la suite d’attaques.  

Tester la fiabilité des IA

Sans grande surprise, la grande popularité des outils d’IA générative amène de nouvelles demandes. « De plus en plus de clients nous demandent de tester leur IA. On fait maintenant des tests d’intrusion de ce genre, en général, sur des chatbots ». Mais l’entreprise où elle travaille est prudente sur l’utilisation de l’intelligence artificielle. « Vu la sensibilité des données qu'on peut manipuler, on évite de s'en servir ou alors on anonymise vraiment. Pour nous, c'est un outil comme un autre. » 

Promouvoir la cyber auprès des filles

La cybersécurité est un domaine où les hommes sont très majoritaires : en France, les femmes représentent moins de 15 de l'ensemble des professionnels. Durant ses études, Inès entre à l’association Hack2G2 où elle mène des actions pour promouvoir les métiers de l'informatique et de la cybersécurité auprès des femmes dans les collèges et les lycées.

Comprendre comment les outils qui nous entourent fonctionnent m'a toujours intéressée.

Un intérêt précoce

L’intérêt d’Inès pour le numérique s’est révélé dès le lycée. « Comprendre comment les outils qui nous entourent fonctionnent m'a toujours intéressée. Or, l’informatique, c’est quelque chose qu'on manipule au quotidien », explique-t-elle. En explorant le secteur, elle découvre la cyber et plus précisément le pentest (en français, test d’intrusion), qui l’enthousiasme encore beaucoup aujourd’hui. « Les technologies avancent vite, et donc il y a toujours des nouvelles choses à apprendre, c’est super stimulant ! »