Entrevue avec un ancien – Technologie de la sécurité de l’information
Chaque année, nous demandons à quelques anciens de venir rencontrer les étudiants afin de nous parler de leurs expériences en milieu de travail. Cette semaine nous avons reçu Marc Hébert.
CGI (Conseiller en Gestion et Informatique) est une compagnie fondée en 1976 à Montréal et qui emploie maintenant près de 26 000 employées dans plus de 100 bureaux à l’échelle mondiale. Le centre situé à Ottawa, où travaillent plus de 250 experts en sécurité informatique (dont plusieurs proviennent de la Cité collégiale) est un centre d’expertise en sécurité. Elle est responsable de la sécurité informatique de diverses entreprises clientes.
Marc, à titre d’analyste senior de sécurité chez CGI, s’occupe de la gestion d’événements. Imaginez-vous dans une salle remplie d’écrans, à l’affût d’alertes possibles pouvant être générées ou qui doivent être analysées, pour diverses entreprises situées partout au monde.
Marc passe une partie de son temps à analyser des fichiers journaux (log files) des machines afin de s’assurer qu’il n’y a pas eu d’intrusion. Il doit connaître la majorité des équipements disponibles sur le marché. Il peut même tenter de faire le dépannage d’une machine à distance lorsque c’est permis, ou de communiquer avec les personnes concernées (il doit même parfois les réveiller !).
Le Patch Tuesday : Le deuxième mardi de chaque mois, Microsoft fournit les mises à jour couvrant les vulnérabilités trouvées durant le mois. Ceci représente une charge de travail supplémentaire pour Marc, car les fournisseurs de signatures pour les systèmes de détection d’intrusion doivent suivre. Marc doit alors effectuer la mise à jour des signatures de vulnérabilité sur les équipements et s’assurer que tout fonctionne bien, dans un court laps de temps. Il ne faut pas oublier que les mises à jour sont régies par un contrat de service et doivent être effectuées dans une limite de temps bien précise. De plus, il y a aussi ce que l’on appelle les vulnérabilités0 day. Vu l’aspect critique de celles-ci, la mise en fonction de ces signatures doit être immédiate afin de parer aux éventuelles attaques exploitant ces vulnérabilités.
La majorité des attaques sont des attaques de reconnaissance de réseaux ou de balayage de ports, des attaques sur les protocoles SQL et PHP, ou des attaques de dictionnaires sur les protocoles FTP et SSH. Les pirates sont un peu comme nous. Pendant les congés, ils se reposent, ils ont tendance à ne pas faire d’attaque. Ils ont plutôt l’habitude de concentrer leurs attaques aux périodes de trafic élevé où il s’avère plus difficile de les détecter à cause de la quantité de faux positifs qui peuvent être générés, soit par les clients, soit par les pirates, lorsque le réseau est plus congestionné. Il a vécu aussi les effets du botnet Mariposa.
Marc a mentionné que la troisième année de formation en sécurité informatique à la Cité permet vraiment de bien saisir les concepts qui permettent d’effectuer les tâches de gestion d’événements. En effet, le cours d’infrastructure de sécurité dans lequel le système de détection d’intrusion SNORT et le pare-feu de NETFILTER sont couverts en détails, ainsi que les cours relatifs à la configuration de VPN et d’IPSEC qui permettent d’appliquer et de transférer ces concepts sur d’autres types d’équipement, sont particulièrement utiles. Il souligne aussi l’importance du service syslog lors d’enquêtes informatiques, lequel permet d’analyser les traces d’une attaque informatique. Les cours de compétences générales « soft skills » sont aussi importants. Il a aussi mentionné que le fait d’être bilingue est un atout pour son emploi puisque qu’il doit faire affaire avec des entreprises du Québec et des entreprises internationales.
Une anecdote : pour des raisons de sécurité, Marc ne peut divulguer les anecdotes survenues pendant son quart de travail. En voici toutefois une qu’il nous a racontée. Une nuit, Marc reçoit une alerte indiquant qu’il y a un portatif qui se promène dans une entreprise. Il peut le détecter et indiquer son positionnement précis grâce à des technique de triangulation wifi « WIDS ». Il appelle donc le service de sécurité de la compagnie en question et leur indique que sur tel étage et dans telle pièce en particulier il y a un portatif possédant une carte sans-fils qui ne devrait pas y être. Par la suite, en se fondant sur le OUI de l’adresse MAC, il détermine que c’est probablement un appareil Nintendo. Et en effet, un garde de sécurité circulait dans l’édifice avec son Nintendo DS.
Pour conclure, Marc a souligné l’expertise incroyable qu’il a acquise en travaillant chez CGI, et conseille vivement aux étudiants sur le point de terminer leurs études de faire parvenir leur CV à CGI Ottawa. Les étudiants provenant de La Cité collégiale ont acquis une excellente réputation au cours des années et il ne faut pas se gêner pour postuler.