Global Security Mag : Comment votre parcours scolaire et professionnel vous a-t-il préparé à occuper votre poste actuel ?

Wojtek Sochacki : Mon parcours scolaire a été assez atypique, après un BAC S spécialité physique/chimie, je me suis initialement dirigé vers une classe préparatoire PCSI/PC. N’ayant pas obtenu les écoles que je souhaitais, je me suis alors orienté vers une licence de chimie en université. A ce moment-là, je jonglais entre les cours de chimie et mon travail d’auto-entrepreneur aux échecs. Au fur et à mesure du temps, je me suis rendu compte que la chimie devenait trop théorique et je ne me voyais pas travailler plus longtemps dans ce domaine. J’ai alors effectué une reconversion salvatrice lorsque j’ai été accepté à EFREI Paris. La camaraderie, l’entraide, l’esprit d’équipe ont été alors des notions nouvelles que je découvrais et qui n’existaient pas lors de mon passage à l’université.
Je me suis alors dirigé vers un cursus de master spécialité « Cybersécurité » ce qui m’a permis d’effectuer des stages dans SOC / CERT. C’est notamment pendant ce premier stage chez NetXP (aujourd’hui Almond) que j’ai confirmé ma passion pour les métiers du SOC / CERT que je n’ai plus quittée depuis. J’ai ensuite pu découvrir de nouveaux horizons, méthodes de travail, cultures d’entreprise et façons de faire chez d’autres fournisseurs de services managés. C’est à l’issue d’une expérience réussie chez INTRINSEC en tant qu’analyste Supervision qu’il m’a paru intéressant de découvrir l’envers du décor en intégrant une équipe interne afin d’être au cœur de l’action et de pouvoir développer de nouvelles compétences notamment sur la partie réponse à incident / CERT.

Global Security Mag : Pouvez-vous nous expliquer le rôle du SOC / CERT, et votre rôle ?

Wojtek Sochacki : En informatique, chaque équipement (pare-feu, proxy, serveur web, poste de travail ou serveurs) génère des traces d’activités aussi appelés journaux d’évènements ou logs, le rôle d’un SOC (Security Operation Center) est de collecter l’ensemble de ces millions d’évènements au sein d’un outil dédié le SIEM (Security Information and Event Management ou le Système de gestion des informations et des évènements de sécurité) afin d’en extraire un ensemble d’alertes via des règles de détection qu’il faudra par la suite qualifier. L’analyste de « run » ce jour-là s’occupera de la qualification N1/N2 de l’incident et passera la main à un analyste N3 du CERT (Computer Emergency Response Team) qui sera en mode « réponse à incident » lorsque cela sera nécessaire. S’il s’agit d’un faux-positif, un ticket d’amélioration continu sera créé pour ladite règle et redirigé vers l’équipe « Build » du SOC.
Rompant avec un modèle plus traditionnel consistant en la séparation de l’activité du SOC et du CERT, l’équipe dont je fais partie s’occupe effectivement de l’ensemble des activités opérationnelles liés à ces deux domaines. Cela a l’avantage de décloisonner les niveaux N1/N2/N3, de renforcer la réactivité, car l’analyste de run traitera l’incident de bout en bout, et de rendre la mission notamment plus intéressante pour l’ensemble des analystes, et participera également à une meilleure rétention des talents.
Au quotidien, je m’occupe plus particulièrement de l’équipe « Détection » chargée notamment de la création de règles de détections sur l’EDR (Endpoint Detection and Response ou détection et réponse concernant les menaces sur les équipements) ou le SIEM. Ce travail s’effectue tout au long du cycle de vie d’une règle, de la proposition d’une idée, à son implémentation et de sa revue périodique.

Global Security Mag : Comment voyez-vous votre avenir ? Quelles sont vos perspectives ?

Wojtek Sochacki : L’un des grands avantages du fonctionnement actuel de l’équipe est la multitude des tâches que l’on peut y accomplir, cela permet de développer des nouvelles capacités dans un nombre de domaines variés, il y est plutôt facile de changer de rôle car ceux-ci sont internes à la même équipe. Chaque analyste peut avoir un impact fort sur l’amélioration de la sécurité au global. L’équipe est encore jeune (création de l’équipe interne en février 2021) mais a déjà relevé de nombreux défis, la transformation est déjà visible ce qui est satisfaisant et promet de belles perspectives pour l’avenir.
L’équipe a pu notamment développer un service de supervision 24/24 sur la partie Run du SOC en positionnant des analystes sur la plaque américaine et asiatique. J’ai notamment reçu la très belle opportunité d’aller effectuer la relève de l’équipe actuelle du côté USA.

Global Security Mag : Quels sont vos messages à nos lectrices et lecteurs pour notamment motiver les jeunes à s’orienter vers les métiers liés à la Cybersécurité ?

Wojtek Sochacki : Il s’agit d’une question très intéressante et qui me tient à cœur car j’entreprends déjà certaines actions de partage en ce sens. Travailler dans le domaine de la cybersécurité peut apparaître pour certains ou certaines comme étant réservé à une certaine élite de geek boutonneux et parlant le langage machine comme une langue maternelle. Cela n’est pas du tout le cas. Pour commencer il existe différents métiers nécessitants plus ou moins de connaissances techniques. A mon sens, obtenir un travail dans ce milieu est réalisable pour tous mais je pense toutefois que d’y trouver une nouvelle passion sera nécessaire pour s’y épanouir pleinement.
Je recommanderais à un novice souhaitant se réorienter en Cybersécurité, d’approcher ce milieu notamment par les nombreuses possibilités d’apprentissage gamifié en s’essayant à des challenges en ligne sur des plateformes telles que root-me.org, tryhackme.com ou encore hackthebox.com qui lui permettront découvrir les différents sous-domaines de la cybersécurité.
La formation continue en cybersécurité étant un enjeu permanent, de nombreuses formations et certifications voient le jour quotidiennement. Je recommanderais également d’effectuer certaines de ces formations selon le métier visé. Les certifications en cybersécurité ne remplacent pas le savoir-faire et l’expérience mais démontrent d’un certain niveau de connaissances, d’implication et de motivation au futur employeur ce qui sera fort appréciable et valorisable lors d’un entretien.

Global Security Mag : Vous êtes aussi un joueur d’échecs, quels points communs voyez-vous entre la cybersécurité et les échecs ?

Wojtek Sochacki : Selon moi, il en existe un très grand nombre, je pourrais développer ce sujet pendant des heures et en faire l’objet d’un article à part entière. Je ne citerais donc que quelques pistes de rapprochement pour permettre au lecteur ou à la lectrice d’apercevoir l’apport et le lien avec un jeu tel que les échecs.
Les échecs sont considérés comme le roi des jeux de stratégies. Il s’agit d’un jeu de planification à long terme appuyé par un ensemble de mesures tactiques à court terme. Chaque entreprise doit définir une stratégie cybersécurité en s’appuyant sur des projets tactiques permettant de mener à bien le projet long terme.
Pour améliorer ses compétences tactiques aux échecs, il est nécessaire de faire beaucoup d’exercices, apprendre un grand nombre de patterns ou schémas afin d’être capable de les reconnaître plus tard lors d’une partie officielle. C’est pareil pour un ou une analyste SOC, de nombreuses cyberattaques sont également très bien documentées, et il est important de les connaître, de les comprendre pour être en mesure de les reconnaître lors d’une investigation ou réponse à incident.
L’aspect attaque/défense est aussi présent aux échecs qu’en cyber, un joueur d’échecs ou un membre de la « blue team » conçoit un plan de défense tandis que l’attaquant ou redteamer tente d’exploiter des vulnérabilités qui peuvent être logicielles dans le cadre informatique ou des cases blanches faibles à la suite de la disparition du fou en fianchetto sur un petit roque aux échecs par exemple.