18 septembre 2014

[Interview] Valentin Baumont, formateur sécurité des applications Web

Valentin BaumontValentin Baumont dispense chez nous une formation sur la sécurité des applications Web. Il a accepté de répondre à quelques questions pour nous présenter cette formation.

Human Coders: Bonjour Valentin, peux-tu te présenter en quelques lignes ?

Bonjour, dans la vie comme devant l’écran, je recherche la nouveauté, les challenges. J’aime développer des logiciels et adore tester la sécurité de ceux des autres ! Avec deux amis rencontrés lors de mon master en sécurité de l’information je me suis lancé dans l’aventure entrepreneuriale. Nous avons fondé Calypt et proposons des prestations de développement et intégration de produits de sécurité, d’études, conseil et audits de sécurité. Nous avons eu l’opportunité de travailler sur des missions passionnantes, dans des TPE comme pour des grands groupes.

 

HC: Quand et comment as-tu commencé à t’intéresser à la sécurité ?

J’ai toujours aimé comprendre le fonctionnement des systèmes et outils que j’utilise au quotidien. L’étape suivante a généralement été, par curiosité ou défi, de savoir comment le comportement nominal de ces produits pourrait être modifié, ou de comprendre comment un autre hacker aurait réussi à en déjouer la sécurité. Le paysage de la sécurité informatique évolue constamment, c’est un monde passionnant.

 

HC: Peux-tu nous présenter cette formation sur la sécurité des applications Web ? A qui est-elle destinée ? Comment se déroule-t-elle ?

La formation est avant tout destinée à un public de développeurs, débutants ou expérimentés. Lors de cette formation, nous allons dresser un tableau du paysage de la sécurité des applications Web. Ensuite, au travers d’études de cas concrets et d’exercices, nous allons placer le développeur dans un rôle d’attaquant pour qu’il comprenne les techniques utilisées par les pirates. Nous allons ensuite le familiariser avec les bonnes pratiques et les outils qui lui permettront de corriger et tester la sécurité de ses propres applications.

 

HC: Pourquoi as-tu décidé de donner des formations ?

Lors de nos audits de sécurité, nous sommes toujours surpris par le fait qu’une bonne partie des problèmes de sécurité que nous décelons sont du fait de vulnérabilités exploitées par les pirates depuis des années. Elles sont donc connues et sont autant d’écueils qui pourraient être facilement évités !

A l’issue de ces audits, nous produisons un rapport qui contient des propositions de correctifs à apporter à l’application Web et au système qui l’héberge. Nous essayons ensuite d’épauler au maximum les équipes de développement dans ce processus de sécurisation.

Notre volonté de proposer des formations est née de ces échanges, très enrichissants, mais qui se limitent généralement aux erreurs décelées sur une application à un instant t, alors qu’une sensibilisation plus large des équipes de développement permettrait de leur apporter un véritable arsenal de connaissances et bonnes pratiques nécessaires à la sécurisation de leurs applications.

 

HC: Quel est ton meilleur souvenir de formation ?

Lors d’un audit, l’exploitation d’une faille sur un site Web nous a permis d’obtenir l’accès complet (root) au système… en 5 minutes chrono. Le désarroi du développeur du site était total, surtout que l’application développée était très bien réalisée, ergonomique et fonctionnelle.

Notre prestation comprenait un accompagnement dans la correction des vulnérabilités les plus critiques et une sensibilisation à la sécurisation de l’application, le développeur était intéressé et motivé à s’investir pour sécuriser le site. Une petite formation a donc été dispensée.

Nous avons renouvelé l’audit de sécurité quelques mois plus tard et n’avons trouvé aucune vulnérabilité critique et des bonnes pratiques de développement avaient été adoptées !

 

Merci Valentin !

Retrouvez le programme complet de la formation Sécurité des applications Web sur Human Coders Formations.