FENRISK : cinq questions à Julien Szlamowicz-Czubak

Pouvez-vous nous expliquer plus en détail votre activité ? Que propose Fenrisk ?

Nous sommes une société de conseil en Cybersécurité. Plus particulièrement, nous sommes spécialisés dans la partie offensive de la Cybersécurité, c'est-à-dire tout ce qui a trait à l'intrusion dans un système d’information. Notre activité est construite comme un trépied. Pour l'heure, l'essentiel de notre activité est la réalisation de tests d'intrusion. En termes plus profanes, cela consiste à endosser notre costume d'acteur malveillant et à conduire des attaques bien réelles sur les systèmes d'information de nos clients pour y découvrir des vulnérabilités puis à les guider afin d'améliorer leur niveau de sécurité global. Nous avons aussi à cœur la formation et c'est pourquoi, nous avons aujourd'hui mis au point 4 parcours de formations, principalement offensifs pour partager notre expertise. Nous avons par exemple un parcours débutant que nous dispensons notamment dans les écoles en fin de cursus spécialisé (BAC+5) afin d'aider les étudiants à se perfectionner avant leur entrée sur le marché du travail. Les parcours plus avancés visent les experts ou les développeurs déjà en poste et désireux de se perfectionner. Enfin, le dernier volet de notre activité est représenté par la recherche et développement. Nous passons un tiers de notre temps à rechercher des vulnérabilités dans des produits ou à développer des projets innovants pour continuer d'être à la pointe en termes de techniques intrusives.

A quelle fréquence environ une entreprise est susceptible d’être attaquée aujourd’hui ? Que mettez-vous en place pour les aider ?

A vrai dire, les entreprises comme toutes les infrastructures qui sont exposées sur internet aujourd'hui sont les cibles d'attaques informatiques continues plus ou moins opportunistes. La question n'est donc plus de savoir si une entreprise va se faire attaquer mais quand les assaillants vont-ils parvenir à leurs fins ? Par exemple, lorsqu'une vulnérabilité est découverte dans un produit logiciel, les groupes d'attaquants utilisent des robots qui parcourent Internet et tentent de compromettre les infrastructures qui n'ont pas été mises à jour à temps. Il en va de même avec les attaques par phishing qui pullulent dans nos boîtes mail. Ces problématiques commencent à être bien ancrées dans l'esprit des entreprises. Mais que se passe-t-il quand les attaquants montent le niveau de jeu, quand il ont décidé de spécifiquement s'attaquer à une entreprise et à utiliser des vulnérabilités invisibles aux équipements de sécurité ? C'est là qu'intervient notre expertise. Notre mission est d'identifier des vulnérabilités dans les infrastructures de nos clients et de leur fournir des recommandations au plus proche de leurs contraintes pour leur permettre d'y remédier le plus efficacement possible.

Qui sont vos clients ? Et comment les accompagnez-vous ?

Étant donnée l'étendue de la menace, nous collaborons avec des clients de toutes les tailles et de tous les secteurs. Par exemple, sur l'année écoulée, nous avons pu aider des clients du secteur de la banque ou de l'assurance aussi bien que de l'industrie. Nous travaillons aussi avec des sociétés plus petites mais pour lesquelles la cybersécurité est un enjeu important. Soit parce que cela fait partie de leur ADN et qu'ils ont à cœur de se sentir en sécurité ou de mettre leurs clients en sécurité, soit parce que l'essentiel de leur activité est dépendant d'une application en particulier. Quoi qu'il en soit et peu importe la taille de la structure que nous accompagnons, nous prenons toujours le temps en amont de bien comprendre leur problématique afin d'orienter nos recherches et de leur proposer le type de prestation le plus adapté. Par exemple, certains de nos clients ont de fortes contraintes en matière de maîtrise de l'image, d'autres sont plutôt préoccupés par l'intégrité des données et d'autres encore ont des besoins accrus de disponibilité de leurs infrastructures. A l'évidence, il s'agit souvent d'un savant mélange des trois.

Sur quoi repose votre savoir-faire, votre expertise ?

Comme dit en introduction, chez Fenrisk, nous consacrons un tiers de notre temps à la recherche et développement. Cela permet donc à nos experts , malgré les évolutions extrêmement rapides de la menace, de rester à la pointe de ce qui se fait en matière d'intrusion. En effet, par la recherche continue de nouvelles vulnérabilités dans des technologies grand public, nous essayons de garder toujours une longueur d'avance et nous assurons d'avoir toujours des réflexes aiguisés qui nous servent aussi dans le contexte d'une intrusion pour un client. D'autre part, nous avons la volonté pendant les années à venir de privilégier l'expérience dans nos recrutements. Par conséquent, tous nos experts ont plus de 8 ans d'expérience en intrusion. L'autre secret de notre expertise est que nous sommes véritablement spécialisés, nous privilégions exclusivement l'approche intrusive et proactive et ne nous dispersons pas à proposer des prestations que nous ne maîtrisons pas. D'une manière plus pragmatique, au sein même de notre segment déjà très spécialisé, notre spécialité se situe au niveau de la première étape d'intrusion. C'est-à-dire dans le fait d'identifier des vulnérabilités dans les applications exposées directement sur Internet et qui constituent la porte d'entrée vers le système d'information.

Quelles sont les évolutions à venir ? Les prochains objectifs à atteindre ?

Tout d'abord continuer en s'assurant de fournir le même niveau de prestation afin de satisfaire nos clients. En parallèle nous travaillons sur un projet qui nous permettra de faire évoluer la façon dont sont réalisés les tests d'intrusion et la prise en charge des périmètres exposés par nos clients. Ensuite, nous aimerions continuer à dispenser des formations, à les faire vivre et à les diversifier. Notamment celle à destination des publics moins spécialisés comme les développeurs d'applications qui nous font part d'un réel besoin de formation sur les sujets de cybersécurité. Nous avons bon espoir qu'en continuant à les former, cela leur permettra de mettre au point dans le futur des applications mieux sécurisées. Nous allons continuer aussi à œuvrer localement, notamment grâce au Medef de l'est parisien qui nous a ouvert les bras l'an passé, pour continuer d'expliquer aux dirigeants d'entreprises de toutes tailles l'importance de leur implication dans les questions de cybersécurité. Enfin, avec la perspective des JO 2024 en France cette année, nous allons tâcher d'aider au mieux nos clients à se préparer car on sait d'ores et déjà que la menace sera accrue durant toute cette période.