Cybersécurité : dans les coulisses de l’équipe Capture The Flag de Sogeti
Mathis Hammel est Deputy CTO et capitaine des Sogeti Aces of Spades, l’équipe Capture the Flag de Sogeti. Il nous explique comment il parvient à concilier ses missions avec les challenges, et pourquoi son entreprise s’investit dans ce type de compétition.
Allier sa passion pour la cybersécurité et la compétition
Sogeti, entité du groupe Capgemini, est une entreprise de services du numérique leader dans la cybersécurité, le testing et un acteur innovant dans l’Agile et le Cloud. Nous avons rencontré Mathis Hammel, ingénieur diplômé de l’INSA Lyon, qui a rejoint Sogeti en septembre 2019 en tant que Deputy CTO. « Je travaille avec le département de l’innovation pour nous permettre de rester leader dans les services technologiques et notamment en cybersécurité. Cela passe par de la communication, des conférences et des interactions avec des étudiants dans les écoles, aider aussi les commerciaux en rendez-vous pour leur fournir un appui technique. J’ai une expertise en machine learning, data science et développement. »
En marge de sa mission au sein de Sogeti, Mathis Hammel est le capitaine de l’équipe Capture the Flag (CTF), une activité qui lui permet d’allier sa passion pour la cybersécurité et la compétition. « L’objectif est de récupérer un flag, c’est-à-dire un secret qui ne devrait pas être accessible. Il faut trouver la faille et l’exploiter pour récupérer le flag. Ensuite, on le vérifie auprès des organisateurs de la compétition en envoyant les détails sur une plateforme. Les points sont calculés en fonction du niveau de difficulté du challenge. Les équipes sont classées selon le nombre de points obtenus. » Les challenges de CTF sont organisés par des passionnés ou des entreprises comme Sogeti, en présentiel, en lien avec des conférences sur le hack, des événements de recrutement ou de marque employeur, ou bien en ligne, la nuit, après les conférences techniques, ou pendant le week-end.
Capture The Flag : des challenges à relever en équipe
Les équipes doivent réaliser entre 10 et 30 challenges en fonction des catégories. « La cybersécurité recouvre une multitude de métiers, en particulier des catégories techniques : tout ce qui touche aux failles qui ont trait aux serveurs web et à la rétroingénierie (à partir d’une application mobile ou un fichier exécutable compilé en assembleur, on va devoir trouver comment il fonctionne pour en exploiter les failles). Il y a aussi l’investigation numérique basée sur des jeux de données, où l’on doit trouver l’aiguille dans une botte de foin, la cryptographie, etc. Ce genre de compétition se joue nécessairement en équipe car très peu de gens sont bons dans tous ces domaines. On essaie d’avoir des personnes très pointues dans leurs spécialités et qu’elles touchent à tout. »
Compétitions de code, hackathons, épreuves de CTF… c’est bien l’aspect compétitif qui a toujours passionné Mathis. « J’ai commencé par y participer en amateur, puis de plus en plus sérieusement. Depuis plusieurs années, j’organise des compétitions. Ce qui me plaît, dans le CTF, c’est le fait de se dépasser et d’avoir des résultats concrets si on se donne à fond. Lorsque l’on obtient un flag à un niveau plus difficile, on est récompensé. J’aime aussi le travail en équipe, passer des soirées avec des amis à faire des challenges et s’amuser. »
L’instauration de CTF par Sogeti a été « plus qu’un critère » pour Mathis : « c’est ce qui m’a fait rentrer chez Sogeti ». L’entreprise a organisé un escape game de cybersécurité, le Sogeti Cyberescape, avec les meilleures équipes en France. Un exercice qui a eu beaucoup de succès. « On a rencontré le directeur général de Sogeti, qui a apprécié ce qu’on avait fait. On s’est dit qu’on allait continuer de travailler ensemble pour monter une équipe. J’ai rejoint Sogeti en tant que capitaine. C’est un atout imparable pour moi car aucune autre entreprise ne le fait. »
Des séances d’entraînement aménagées pour anticiper les prochaines compétitions
Mathis Hammel est le seul membre de l’équipe à avoir été recruté spécialement pour les challenges de CTF chez Sogeti. Les autres membres de l’équipe étaient déjà des collaborateurs de l’entreprise. La sélection s’est faite en interne et à l’échelle nationale. « L’équipe actuelle est composée de 7 consultants, qui travaillent sur des missions de cybersécurité pour des clients de Sogeti. Nous avons également un manager francilien et moi-même en tant que capitaine. Nous sommes neuf personnes localisées un peu partout en France au sein de l’équipe. »
Les séances d’entraînement consistent à relever des challenges en ligne, se challenger sur des nouveaux outils, de nouveaux défis pour essayer d’anticiper la prochaine compétition et améliorer son score. « Nous sommes focalisés sur la compétition on-site en France. Les membres de l’équipe CTF ont 25% de leur temps aménagé pour s’entraîner et participer à des challenges. »
Ils s’entraînent de manière individuelle ou en binôme, en fonction de leur emploi du temps. « Pendant une journée de travail, ils s’arrangent pour avoir de la flexibilité avec le reste de leurs missions. » De son côté, l’emploi du temps de Mathis n’est pas figé, contrairement aux autres membres de l’équipe. « Je peux gérer mon planning comme je l’entends. Je peux être présent une semaine complète pour l’équipe si besoin. »
L’intérêt des compétitions de CTF pour Sogeti et ses consultants
Pour Sogeti, les avantages sont nombreux : cela permet aux consultants d’accumuler cinq jours de formation continue par mois, au cours desquels ils vont monter en compétence dans leur domaine de prédilection. Ils vont ainsi pouvoir gagner en expérience beaucoup plus rapidement. L’autre intérêt réside dans le rayonnement de l’entreprise. « Lorsque nous assistons à des conférences, nous y allons avec le sweat de l’équipe de CTF de Sogeti pour montrer à tout le monde que l’entreprise est présente et que nous sommes investis dans cette compétition. »
Réaliser de belles performances, surtout en France, leur permet également d’obtenir plus de crédibilité auprès des autres équipes de CTF et montrer que Sogeti est une entreprise référente sur le domaine de la cybersécurité. Et pourquoi pas attirer de nouveaux talents ? « Des étudiants ou des salariés en poste dans d’autres entreprises pourraient être intéressés par ce que nous faisons. Pour l’instant, la sélection se fait uniquement en interne, mais nous réfléchissons à ouvrir les recrutements à des candidats extérieurs pour la prochaine saison. » L’équipe CTF de Sogeti est renouvelée tous les ans.
Sogeti sponsorise aussi l’équipe de eSport Oplon, le gaming étant l’une des grandes convictions de l’entreprise. « Le gaming fait le lien entre les générations. Tout le monde est touché de près ou de loin par les jeux vidéo. Et la nouvelle génération représente la prochaine cible de recrutement de l’entreprise. Cela nous permet de montrer que Sogeti est présent dans d’autres domaines que le code et la cybersécurité. Beaucoup de jeunes et d’étudiants, qui font déjà du gaming, ont un pied dans l’informatique et inversement. » L’équipe Oplon a participé l’an dernier à un tournoi de eSport au salon VivaTech, une compétition organisée pour la première fois par Sogeti. L’entreprise vient de renouveler son sponsoring pour une année supplémentaire.
Sogeti a prévu de recruter 200 personnes dans les métiers en lien avec la sécurité informatique pour 2020 un peu partout en France.
