Antoine de Nervaux pentesteur Sentryo
Antoine de Nervaux est ingénieur sécurité et pentester chez Sentryo. Il nous présente aujourd’hui son parcours, sa formation, ses expériences mais aussi ses motivations pour travailler dans le domaine de la cybersécurité industrielle. Un témoignage qui ne peut que susciter des vocations !

Peux-tu nous présenter ton parcours ?

J’ai commencé via un IUT en télécommunication et réseaux (Béziers), une licence professionnelle en administration et sécurité des réseaux et une école d’ingénieur informatique en alternance (3IL). En parallèle de mes études je me suis mis à faire du pentest (ndlr: méthode d’évaluation de la sécurité d’un système ou d’un réseau informatique à base de test d’intrusions).

Une fois mon diplôme obtenu, j’ai commencé à travailler chez Bull en tant que consultant sur des missions de chef de projet et de consultant en virtualisation VMware et sécurité.  Je continuais de faire du pentest le soir et pendant certaines de mes prestations la journée. Je me suis finalement certifié « Offensive Security Certified Professional » après pas mal de travail personnel.

Par la suite, j’ai eu l’occasion de rejoindre les équipes d’Airbus Apsys en tant que point focal sécurité sur les chaînes d’assemblages des avions commerciaux et TÜV Rheinland en Allemagne en tant que consultant pentester.

Maintenant, j’ai rejoint Sentryo pour continuer à travailler sur la protection industrielle en tant que pentester au sein de l’équipe security afin de détecter des menaces sur les réseaux industriels au travers de notre produit.

Ce que je peux dire de mon parcours est simplement de rester curieux, d’apprendre sur de nombreux domaines et de trouver sa passion. Pour moi, c’est le pentest ! Je suis un réel passionné de la sécurité offensive et passe beaucoup de temps (trop ?) sur ces sujets que ce soit dans le cadre de mon travail ou en-dehors et ce sur différents domaines comme industriel, système, réseau, bluetooth, radio et IoT.

Comment es-tu arrivé chez Sentryo ?

Dans mon expérience précédente en tant que consultant pentester en Allemagne, j’ai pu améliorer mes compétences en y consacrant énormément de temps. J’ai travaillé sur différentes technologies comme les radio-fréquence, les infrastructures web, les clients-lourd, les réseaux et un peu sur de l’embarqué. Je me déplaçais de client en client pour faire des audits intrusifs.

Sentryo m’a alors proposé l’opportunité de me spécialiser encore davantage dans le pentest des systèmes industriels et ce pour le développement de leur produit de sécurisation des réseaux industriels.

Qu’est-ce qui t’a donné envie de travailler dans la cybersécurité industrielle ?

Principalement à cause de la criticité de la cible. Une analyse de risques dans un milieu industriel prend en compte les notions de security et de safety.

Mon expérience chez Airbus Apsys m’a apporté ces nouveaux paramètres, cette nouvelle vision. C’était extrêmement enrichissant de travailler pour une telle entreprise et dans un tel environnement en tant que point focal sécurité sur les chaînes d’assemblages des avions commerciaux ! Travailler avec les contraintes industrielles, trouver des vulnérabilités potentielles, travailler sur des analyses de risques qui prennent en compte des aspects safety, trouver et adapter des solutions pour les opérateurs, parler avec eux pour comprendre leur travail…

Faire le lien entre l’industrie et l’IT est passionnant.

Quelles compétences faut-il avoir pour travailler dans ce milieu ?

Le pentest c’est être curieux avant tout. Vouloir comprendre comment les choses marchent. De façon plus globale, la sécurité regroupe aussi ce principe. C’est sûr, vous pouvez installer un firewall et le configurer sans trop comprendre mais dans ce cas-là, il y a une probabilité de passer à côté d’un risque non identifié.

Quelles formations recommanderais-tu aux étudiants qui souhaitent rejoindre votre secteur ?
Plus qu’une formation en particulier, je leur conseille de miser sur la polyvalence avant de se spécialiser. Une école d’ingénieur en informatique suivi de quelques années en consultant aident beaucoup. La formation qui a vraiment confirmé ma passion a été OSCP (Offensive Security Certified Professional). Une formation / certification en pentest très technique et très intéressante. « Try harder » 😉

Le témoignage d’Antoine vous a plu et a su renforcer votre intérêt pour le milieu de la cybersécurité ? Sachez que de nombreuses formations voient le jour sous l’impulsion du Pôle d’excellence cyber et que le secteur recherche activement de nouveaux talents, alors lancez-vous !