L’invité du mois… Cédric BERTRAND

Connaissez-vous un auditeur en sécurité informatique (car mon site s’est fait hacker) ?

Au studio on aime les talents, et on adore s’entourer de professionnels de qualité, que dis-je, de véritables experts dans leurs domaines !

Aujourd’hui je vous présente Cédric BERTRAND !

Portrait de Cédric
Pourquoi l’inviter sur le blog ?

Nous nous sommes rencontrés en vacances lors d’un séjour organisé et avons passé une semaine à faire plein d’activités trop cool  !

Quel est votre métier exactement ?

Je suis auditeur en sécurité informatique.

En quoi ça consiste ?

Mon métier consiste à me mettre dans la peau d’un éventuel attaquant et à tester un système informatique, un réseau ou une application web. Afin de déceler des vulnérabilités. Ce test a deux objectifs : évaluer le risque de piratage et identifier des pistes pour réduire ce risque.

Je fais aussi de l’accompagnement en cas d’intrusion (cela permet de détecter la source et la corriger). Aussi, j’anime des webinaires consacrés à la cybersécurité et suis professeur à l’université. De plus, comme j’aime transmettre, je suis en cours d’écriture d’un livre (et c’est long…).

Pour quel type de clients vous travaillez ou vos domaines spécifiques ?

Je travaille pour tout type de clients (TPE-PME ou Grands comptes). Actuellement, je suis beaucoup sollicité par les structures de santé. Elles sont très largement attaquées comme le montrent souvent les actualités !

A ce propos, pouvez-vous nous parler plus en détails de vos projets ?

J’ai créé une plateforme permettant d’automatiser les audits de sécurité sur le périmètre d’exposer d’une entreprise.

Cette plateforme réalise les activités suivantes :
• Recherche de fuites de données (fuite de code-sources, fuite de données utilisateur, etc.) et évaluation de leur pertinence ;
• Réalisation d’une cartographie des machines exposées (technologies et serveurs utilisés, configuration TLS, mise à jour corrective, …) afin de déterminer la surface d’attaque ;
• Inspection des vulnérabilités (machines non gérées (shadow it) ou serveurs mal configurés), identifiants faibles/par défaut, vulnérabilités Web (Injections SQL, XSS, LFI, RFI, etc…)) et évaluation de leur exploitabilité.

Exemple de rapport de vulnérabilité.

Donc, au niveau des livrables du service, il y a un rapport d’audit qui est fourni avec les points forts et les points faibles de la structure et des détails pour corriger. Et cela a permis à des entreprises de prévenir une potentielle intrusion.

Besoin de sécuriser vos données ? Contactez-moi, je serais ravie de vous indiquer ses coordonnées !

Laisser un commentaire