Le Pentest, un métier pilier de la

cybersécurité

Introduction

Contexte et Objectifs

Présentation du contexte général de la cybersécurité :

La cybersécurité est devenue un enjeu majeur dans notre société contemporaine, caractérisée
par une interconnexion croissante des systèmes d'information et une dépendance accrue aux
technologies numériques. La protection des données sensibles, des infrastructures critiques et
des systèmes d'information est désormais une priorité pour les entreprises, les gouvernements
et les institutions à travers le monde.

Les menaces cybernétiques sont nombreuses et variées. Elles incluent, entre autres, les
logiciels malveillants (malwares), les rançongiciels (ransomwares), le hameçonnage (phishing),
les attaques par déni de service distribué (DDoS), et les intrusions sophistiquées menées par
des acteurs étatiques ou des groupes cybercriminels. Chaque attaque peut avoir des
conséquences dévastatrices, telles que la perte de données, la perturbation des opérations, des
impacts financiers significatifs, et des atteintes à la réputation des entités visées.

Face à ces menaces, la cybersécurité s'est structurée autour de plusieurs axes essentiels : la
prévention, la détection, la réponse aux incidents et la résilience. La prévention consiste à
mettre en place des mesures de protection pour empêcher les attaques, comme l'utilisation de
pare-feux, de systèmes de détection d'intrusion (IDS), et de solutions antivirus. La détection
vise à identifier rapidement les incidents de sécurité grâce à des systèmes de surveillance et de
détection avancés. La réponse aux incidents concerne les actions prises pour contenir et
neutraliser une attaque en cours, et la résilience implique la capacité à récupérer rapidement et
efficacement après un incident de sécurité.

Dans ce cadre, les tests de pénétration (pentests) et les audits techniques jouent un rôle
crucial. Les pentests consistent à simuler des cyberattaques pour identifier les failles de
sécurité avant qu'elles ne puissent être exploitées par des attaquants réels. Ils permettent de
détecter les vulnérabilités, d'évaluer l'efficacité des contrôles de sécurité en place et de fournir
des recommandations pour renforcer les défenses. Les audits techniques, quant à eux, sont
des évaluations systématiques des systèmes d'information pour vérifier l'adéquation et
l'efficacité des mesures de sécurité.

Veolia Groupe, en tant que leader mondial dans la gestion de l'eau, des déchets et des services
énergétiques, reconnaît l'importance de la cybersécurité. L'entreprise est responsable de la
gestion de nombreuses infrastructures critiques, ce qui la rend particulièrement vulnérable aux
cyberattaques. Pour cette raison, Veolia a mis en place un département dédié à la
cybersécurité, situé à Aubervilliers, qui joue un rôle clé dans la protection des systèmes
d'information de l'entreprise.

Ce département de cybersécurité est chargé de définir, promouvoir et suivre la politique de

cybersécurité de Veolia. Il veille également à évaluer l'efficacité de cette politique, à gérer les
risques, à évaluer la maturité de l'entreprise en matière de sécurité, et à contrôler la conformité
aux normes de sécurité. Parmi ses responsabilités, on trouve la réalisation d'audits techniques
et de tests de pénétration, l'expertise technique, la gestion des crises, ainsi que la formation et
la sensibilisation à la cybersécurité.

Le pôle "Technical Audit and Pentest" au sein de ce département se concentre spécifiquement

sur les audits techniques et les tests de pénétration. Il s'assure que les systèmes d'information
de Veolia sont protégés contre les menaces et vulnérabilités potentielles en réalisant des
évaluations régulières et en proposant des mesures correctives. Ce travail est essentiel pour
garantir la résilience des systèmes de Veolia face aux cybermenaces et pour protéger les
services critiques que l'entreprise fournit à ses clients et à la société en général.

En résumé, dans un monde où les cybermenaces sont omniprésentes et en constante

évolution, les pentests et les audits techniques sont des piliers fondamentaux de la
cybersécurité, permettant aux organisations comme Veolia de se prémunir contre les risques et
de renforcer la sécurité de leurs infrastructures et de leurs données.

Objectifs de l'étude :

L'objectif principal de cette étude est d'explorer et de mettre en lumière l'importance des tests
de pénétration (pentests) dans le renforcement de la cybersécurité au sein d'une grande
entreprise, en prenant pour exemple ma mission d'alternance chez Veolia Groupe. Plus
précisément, cette étude vise à :
1- Évaluer l'efficacité des tests de pénétration :

● Analyser comment les pentests peuvent identifier les vulnérabilités des systèmes
d'information avant qu'elles ne soient exploitées par des attaquants malveillants.

● Examiner les techniques et outils utilisés lors des pentests pour garantir une évaluation
exhaustive des systèmes.

2- Illustrer la mise en pratique des pentests chez Veolia :

● Décrire les différentes missions et activités réalisées par le pôle "Technical Audit and
Pentest" de Veolia, situé à Aubervilliers.

● Présenter des cas concrets d'interventions et de résultats obtenus à travers des

pentests, montrant ainsi leur impact direct sur la sécurité des systèmes.

3- Mettre en évidence les défis et les solutions dans la conduite des pentests :

● Identifier les défis techniques, organisationnels et humains rencontrés lors de la

réalisation des pentests.

● Proposer des solutions pour surmonter ces défis et améliorer l'efficacité des tests de
pénétration.

4- Contribuer à la stratégie globale de cybersécurité de Veolia :

● Analyser comment les résultats des pentests sont intégrés dans la stratégie de
cybersécurité globale de Veolia.

● Proposer des recommandations pour renforcer la politique de sécurité informatique en

se basant sur les enseignements tirés des pentests.

5- Sensibiliser et former les parties prenantes :

● Évaluer l'impact des activités de sensibilisation et de formation menées par le pôle

"Technical Audit and Pentest".

● Proposer des améliorations pour les programmes de sensibilisation et de formation, afin

d'assurer une meilleure préparation des employés face aux cybermenaces.
6- Apprécier l'évolution des compétences professionnelles :

● Décrire l'évolution des compétences acquises durant la mission en alternance,

notamment en termes de connaissances techniques, de gestion de projet et de
collaboration au sein de l'équipe de cybersécurité.

● Utiliser le référentiel e-CF/Cigref pour évaluer la montée en compétences et situer les

acquis par rapport aux standards de l'industrie.

Cette étude nous permettra de démontrer que les pentests sont un outil indispensable dans la
lutte contre les cybermenaces. Elle cherche à prouver leur efficacité dans la protection des
systèmes d'information et à souligner leur rôle central dans la stratégie de cybersécurité de
Veolia. Grâce à une analyse approfondie des pratiques actuelles et des résultats obtenus, cette
étude fournira des recommandations concrètes pour améliorer encore davantage la sécurité
des infrastructures critiques de l'entreprise.

L’entreprise à travers la problématique

Présentation de Veolia Groupe

Vue d'ensemble de Veolia Groupe :

Veolia Groupe, fondé en 1853 sous le nom de la Société Générale des Eaux, est aujourd'hui un
leader mondial dans la gestion optimisée des ressources. L'entreprise opère principalement
dans trois domaines : la gestion de l'eau, la gestion des déchets et les services énergétiques.
Son engagement est de contribuer à un développement durable en proposant des solutions
innovantes pour la préservation des ressources, la lutte contre le changement climatique et
l'amélioration de la qualité de vie.

Présente sur tous les continents, Veolia emploie environ 250 000 personnes dans le monde
entier et a réalisé un chiffre d'affaires de 42,885 milliards d'euros en 2022. L'entreprise fournit
de l'eau potable à environ 111 millions de personnes, des services d'assainissement à près de
97 millions, produit environ 44 térawattheures d'énergie et traite 61 millions de tonnes de
déchets chaque année.

Veolia est cotée à la bourse de Paris et a été cotée à la bourse de New York jusqu'en 2014. En
2022, Estelle Brachlianoff prend la direction générale, tandis qu'Antoine Frérot reste président.
L'entreprise a également consolidé sa position en 2021 en acquérant une grande partie de son
concurrent Suez, renforçant ainsi sa présence mondiale et sa capacité à fournir des services
environnementaux complets.

Spécificités liées à la cybersécurité au sein de l'entreprise :

Veolia, en tant qu'opérateur d'importance vitale (OIV), est particulièrement conscient des
risques et des menaces liés à la cybersécurité. La protection des infrastructures critiques, telles
que les systèmes de gestion de l'eau, de l'énergie et des déchets, est une priorité absolue. Le
pôle de cybersécurité de Veolia, basé à Aubervilliers, joue un rôle central dans cette mission.

Ce département de cybersécurité est chargé de définir, promouvoir et suivre la politique de

cybersécurité de l'entreprise. Il s'occupe également de l'évaluation de son efficacité, de la
gestion des risques, de l'évaluation de la maturité en matière de sécurité et du contrôle de la
conformité aux normes de sécurité. Le pôle de cybersécurité est divisé en plusieurs sous-pôles,
chacun avec des responsabilités spécifiques :

Audit technique et pentests : Réalisation d'audits techniques, tests de pénétration, gestion de

la conformité et des vulnérabilités, évaluation technique des architectures.

Sensibilisation et formation : Campagnes de phishing, sensibilisation, formation, partenariats

éducatifs.

SOC de groupe (Security Operations Center) : Fédération et SOC global, CSIRT/CERT,

protection des serveurs et terminaux, gestion des crises cybernétique.

Transformation : Gestion de la feuille de route, budget, politiques, intelligence stratégique.

Évaluation des risques et de la cyber : Évaluation des Business Units, gestion des risques,
sécurité par la conception, conformité réglementaire.

Systèmes de Contrôle Industriel / OT (Operational Technology) : Protection des sites

critiques, cybersécurité industrielle, gouvernance et sécurité par la conception.
La nécessité et l'importance de traiter les problèmes de cybersécurité
La cybersécurité est un enjeu crucial pour Veolia en raison de la nature sensible de ses
opérations et de son rôle en tant qu'opérateur d'infrastructures critiques. Les systèmes
d'information de Veolia sont constamment exposés à des cybermenaces qui peuvent avoir des
conséquences graves, non seulement pour l'entreprise, mais aussi pour les populations et les
services essentiels qu'elle fournit.

Protection des infrastructures critiques : Les systèmes de gestion de l'eau, de

l'énergie et des déchets sont vitaux pour la société. Une attaque cybernétique réussie
pourrait perturber ces services, entraînant des conséquences désastreuses pour la
santé publique, l'environnement et l'économie.

Préservation des données sensibles : Veolia traite une quantité massive de données,
y compris des informations personnelles, des données financières et des secrets
commerciaux. La protection de ces données contre le vol et les fuites est essentielle
pour maintenir la confiance des clients et des partenaires.

Conformité réglementaire : En tant qu'OIV, Veolia doit se conformer à des

réglementations strictes en matière de cybersécurité, telles que les normes ISO 27001,
la directive NIS et le RGPD. Le non-respect de ces normes peut entraîner des sanctions
sévères et des dommages à la réputation.

Gestion des risques financiers et de réputation : Les cyberattaques peuvent

entraîner des pertes financières importantes, des coûts de remédiation élevés et des
dommages à la réputation de l'entreprise. Une gestion proactive des risques
cybernétiques est donc indispensable pour la pérennité de l'entreprise.

Évolution des menaces : Les cybermenaces évoluent rapidement, avec des attaquants
de plus en plus sophistiqués. Il est crucial pour Veolia de rester à la pointe de la
technologie et de mettre en œuvre des mesures de sécurité avancées pour protéger ses
systèmes et données.
Il ne faut pas oublier que Veolia est une entreprise mondiale. Le groupe compte de nombreuses
activités et filiales à travers le monde, dont voici l’organigramme ci-dessous.

Organigramme de Veolia

La Problématique

Pourquoi Veolia Groupe a identifié le besoin d'améliorer la

cybersécurité ?

Veolia Groupe, leader mondial dans la gestion des ressources et des services
environnementaux, évolue dans des secteurs critiques tels que l'eau, les déchets et l'énergie.
Ces secteurs sont particulièrement vulnérables aux cyberattaques en raison de la nature
sensible des données traitées et de l'importance des infrastructures gérées. Au fil des années,
Veolia a constaté une augmentation significative des cybermenaces, marquées par des
attaques de plus en plus fréquentes et sophistiquées. Les ransomwares, par exemple, peuvent
paralyser des systèmes essentiels, entraînant des perturbations majeures des services fournis
par Veolia. La protection des infrastructures critiques, telles que les systèmes de gestion de
l'eau et de l'énergie, est devenue impérative. Toute perturbation dans ces systèmes peut avoir
des conséquences graves sur la santé publique, l'environnement et l'économie.
En tant qu'opérateur d'importance vitale (OIV), Veolia doit également se conformer à des
régulations strictes en matière de cybersécurité, telles que la directive NIS, le RGPD, et les
normes ISO 27001. Le respect de ces régulations est essentiel non seulement pour éviter des
sanctions sévères, mais aussi pour préserver la réputation de l'entreprise. De plus, Veolia traite
une grande quantité de données sensibles, y compris des informations personnelles,
financières et commerciales. La protection de ces données est cruciale pour maintenir la
confiance des clients, des partenaires et des autorités régulatrices.

La transformation numérique de Veolia, avec l'intégration de technologies avancées et de

l'Internet des Objets (IoT), a également augmenté la surface d'attaque potentielle. Cette
digitalisation nécessite une cybersécurité renforcée pour prévenir les vulnérabilités et assurer la
protection des systèmes interconnectés. Enfin, les cyberattaques peuvent entraîner des pertes
financières significatives, des coûts de remédiation élevés et des dommages irréparables à la
réputation de l'entreprise. Une cybersécurité robuste est donc essentielle pour la viabilité
économique de Veolia.

La Mission

Rôle de l'Alternant

Description détaillée du rôle de l'alternant au sein de l'équipe

"Technical Audit and Pentest"
En tant qu'alternant au sein de l'équipe "Technical Audit and Pentest" chez Veolia Groupe, mon
rôle a été central dans la mission de renforcement de la cybersécurité de l'entreprise. Ce pôle
est crucial pour la stratégie globale de cybersécurité de Veolia, car il assure la protection des
systèmes d'information en identifiant et en corrigeant les vulnérabilités avant qu'elles ne
puissent être exploitées par des attaquants malveillants.
Participation aux audits techniques et tests de pénétration

L'un des aspects principaux de mon rôle consistait à participer aux audits techniques et aux
tests de pénétration (pentests). Ces tests sont essentiels pour identifier et corriger les
vulnérabilités des systèmes avant qu'elles ne soient exploitées par des attaquants. J'ai été
impliqué dans toutes les phases des pentests, de la reconnaissance initiale à l'exploitation des
failles, en passant par l'analyse post-exploitation et la rédaction de rapports détaillés.

Les outils que j'ai utilisés incluent Acunetix et Qualys pour le scanning des vulnérabilités,
permettant de détecter les failles dans les applications web et les configurations réseau. L'AD
Analyzer a été utilisé pour auditer les configurations Active Directory, et Patrowl pour une
gestion intégrée des vulnérabilités. L'environnement Kali Linux, avec des outils comme Burp
Suite Pro et Metasploit, m'a permis de réaliser des tests d'intrusion approfondis, simulant des
attaques réelles pour évaluer la sécurité des systèmes de Veolia.

Analyse des vulnérabilités et remédiation

Une fois les vulnérabilités identifiées, j'ai participé à leur analyse détaillée pour comprendre leur
fonctionnement et leur impact potentiel. Cette analyse incluait l'évaluation des risques associés
et la proposition de mesures correctives adaptées. J'ai également contribué à la rédaction de
rapports de sécurité, fournissant des recommandations claires et actionnables pour remédier
aux failles identifiées. Ces rapports étaient essentiels pour communiquer les résultats aux
parties prenantes et assurer la mise en œuvre des correctifs.

Gestion des outils de sécurité

Mon rôle comprenait également la gestion et l'optimisation des outils de sécurité utilisés par
l'équipe. En plus des scanners de vulnérabilités, j'ai travaillé avec Google Cloud Platform
(GCP) pour automatiser la collecte et l'analyse des données de sécurité, ce qui a amélioré
l'efficacité et la précision des évaluations de sécurité. L'intégration de ces outils dans un
environnement cloud a permis une centralisation des données et une meilleure collaboration
entre les membres de l'équipe.

Mise à jour des politiques de sécurité

Un autre aspect de mon rôle consistait à participer à la définition et à la mise à jour des
politiques de sécurité du parc informatique global de Veolia. Cela impliquait de s'assurer que les
directives internes reflètent les meilleures pratiques et les normes réglementaires, ainsi que la
révision des comptes pour garantir que les droits d'accès sont appropriés et sécurisés dans tout
le parc informatique.
Formation et sensibilisation

Enfin, j'ai été impliqué dans les initiatives de formation et de sensibilisation à la cybersécurité.
Ces initiatives visent à renforcer la défense contre les cybermenaces en éduquant les employés
sur les pratiques de sécurité. Une partie clé de cette sensibilisation a été la mise en œuvre de
démonstrations pratiques à l'aide d'une valise de sensibilisation spécialement conçue. Cette
valise contient deux ordinateurs, un jouant le rôle du hacker et l'autre celui de la victime, chacun
équipé de deux écrans pour une meilleure visibilité. Ces démonstrations incluent des scénarios
tels que l'exploitation de failles Wi-Fi, les mises à jour logicielles frauduleuses, et l'utilisation de
keyloggers, permettant ainsi aux employés de voir en temps réel les méthodes d'attaque et les
mesures de protection. Cela a considérablement amélioré la compréhension et la vigilance des
employés face aux cybermenaces.

Contexte de la mission et son alignement avec les objectifs de

l'entreprise

Le contexte de ma mission en alternance chez Veolia Groupe s'inscrit dans une période de
transformation numérique et de renforcement des mesures de cybersécurité de l'entreprise.
Veolia, en tant qu'opérateur d'infrastructures critiques dans les domaines de l'eau, de l'énergie
et des déchets, est particulièrement exposé aux cybermenaces. La nécessité de protéger ces
infrastructures contre des attaques potentielles est devenue primordiale, surtout dans un
contexte où les cyberattaques se multiplient et deviennent de plus en Le contexte de ma
mission en alternance chez Veolia Groupe s'inscrit dans une période de transformation
numérique et de renforcement des mesures de cybersécurité de l'entreprise. Veolia, en tant
qu'opérateur d'infrastructures critiques dans les domaines de l'eau, de l'énergie et des déchets,
est particulièrement exposé aux cybermenaces. La nécessité de protéger ces infrastructures
contre des attaques potentielles est devenue primordiale, surtout dans un contexte où les
cyberattaques se multiplient et deviennent de plus en plus sophistiquées.

Mon intégration au sein de l'équipe "Technical Audit and Pentest" fait partie intégrante de cette
stratégie globale de cybersécurité. Veolia a identifié le besoin de renforcer ses capacités en
matière d'audit technique et de tests de pénétration pour anticiper et prévenir les failles de
sécurité avant qu'elles ne soient exploitées par des cybercriminels. Cette approche proactive
est en alignement direct avec les objectifs de l'entreprise de garantir la continuité des services
critiques, de protéger les données sensibles et de se conformer aux régulations strictes
imposées aux opérateurs d'importance vitale.

La mission de l'équipe "Technical Audit and Pentest" consiste à évaluer régulièrement la

sécurité des systèmes d'information de Veolia, à identifier les vulnérabilités et à proposer des
solutions pour les corriger. En participant à cette mission, j'ai pu contribuer directement à
l'amélioration des pratiques de sécurité de l'entreprise. Mon rôle a inclus la réalisation de tests
de pénétration, l'analyse des configurations système, la gestion des vulnérabilités et la
sensibilisation des employés à travers des démonstrations pratiques.

En parallèle, Veolia poursuit son ambition de transformation numérique, intégrant de nouvelles

technologies et optimisant ses processus via la digitalisation. Cette évolution nécessite une
cybersécurité robuste pour protéger les nouveaux systèmes et les données générées. Mon
travail avec l'équipe "Technical Audit and Pentest" s'aligne donc non seulement avec les
besoins actuels de protection mais aussi avec les objectifs futurs de Veolia en matière
d'innovation et de digitalisation sécurisée.

De plus, la mission a visé à accroître la maturité cybernétique de l'entreprise, en alignant les

politiques et pratiques internes avec les meilleures normes et standards de l'industrie. En
participant activement à cette mission, j'ai non seulement acquis des compétences techniques
précieuses mais j'ai également contribué à renforcer la posture de sécurité de Veolia, alignant
mes efforts avec les objectifs stratégiques de l'entreprise.

Ainsi, ma mission en tant qu'alternant au sein de l'équipe "Technical Audit and Pentest" s'inscrit
parfaitement dans le cadre des priorités de Veolia : sécuriser les opérations critiques, protéger
les données sensibles, se conformer aux régulations et soutenir l'innovation. Cette expérience a
été une opportunité unique de contribuer de manière significative à la cybersécurité d'une
entreprise de premier plan tout en développant mes compétences professionnelles dans un
domaine en constante évolution.

Responsabilités et tâches assignées.

En tant qu'alternant au sein de l'équipe “Technical Audit and Pentest" de Veolia Groupe, j'ai
occupé un rôle central dans la protection des systèmes d'information de l'entreprise contre les
cybermenaces. Mon travail s'est concentré principalement sur la réalisation de pentests, une
activité cruciale pour identifier et corriger les vulnérabilités avant qu'elles ne puissent être
exploitées par des attaquants malveillants.

La réalisation de tests de pénétration a constitué le cœur de mes responsabilités. J'étais chargé

de planifier, exécuter et analyser ces tests, en étroite collaboration avec les responsables
techniques des systèmes ciblés. Le processus commençait par la définition précise du
périmètre des tests et la préparation des environnements nécessaires, en veillant à obtenir
toutes les autorisations requises pour éviter toute interruption des opérations critiques. La
phase de reconnaissance impliquait l'utilisation d'outils spécialisés tels que Nmap, Shodan et
IntelligenceX pour collecter des informations détaillées sur les systèmes cibles, permettant ainsi
d'identifier les points d'entrée potentiels et les vulnérabilités exploitables.

Une fois les informations nécessaires recueillies, je procédais à l'exploitation des vulnérabilités
identifiées. Cela incluait la simulation d'attaques réelles pour tester la robustesse des systèmes
de Veolia. J'utilisais des outils comme Metasploit et Burp Suite pour mener des attaques
sophistiquées, visant à évaluer la sécurité des applications et des infrastructures. L'étape de
post-exploitation consistait à analyser les résultats des tests pour déterminer l'ampleur de
l'accès obtenu et documenter les chemins d'exploitation et les preuves de concept. Cette
analyse permettait d'évaluer l'impact potentiel des vulnérabilités sur la confidentialité, l'intégrité
et la disponibilité des systèmes.

La rédaction de rapports détaillés sur les résultats des tests de pénétration était une autre partie
essentielle de mon rôle. Ces rapports comprenaient des descriptions précises des vulnérabilités
découvertes, les méthodes d'exploitation utilisées et des recommandations pour les corriger.
Présenter ces résultats aux parties prenantes, en soulignant les impacts métiers et les mesures
correctives nécessaires, faisait partie intégrante de ma mission. J'assurais également un suivi
des remédiations pour vérifier que les vulnérabilités avaient été correctement corrigées.

Outre les pentests, j'ai participé activement à la gestion des programmes de Bug Bounty. Ces
programmes permettent à des chercheurs en cybersécurité externes de signaler des failles de
sécurité en échange d'une récompense. Mon rôle impliquait l'évaluation des rapports soumis, la
communication avec les chercheurs pour clarifier les détails des vulnérabilités et la coordination
avec les équipes techniques pour intégrer les correctifs nécessaires.
En parallèle, j'étais responsable de l'utilisation et de la gestion de divers outils de sécurité, tels
que Qualys et Acunetix, pour scanner et analyser les systèmes de Veolia. Ces outils me
permettaient de configurer et d'exécuter des scans de vulnérabilités, d'analyser les résultats et
de recommander des mesures correctives.

Enfin, j'ai joué un rôle important dans la sensibilisation à la cybersécurité au sein de Veolia. J'ai
organisé des démonstrations pratiques utilisant une valise de sensibilisation spécialement
conçue, contenant deux ordinateurs (un pour le hacker et un pour la victime) et quatre écrans
pour illustrer des scénarios d'attaques en temps réel. Ces démonstrations visaient à éduquer
les employés sur les risques liés aux cyberattaques, en leur montrant comment des attaquants
peuvent exploiter des vulnérabilités pour accéder à des systèmes sensibles. En outre, j'ai
participé à des campagnes de formation pour promouvoir les meilleures pratiques de sécurité et
sensibiliser les employés aux techniques de phishing.

En résumé, mes responsabilités en tant qu'alternant au sein de l'équipe "Technical Audit and
Pentest" de Veolia étaient variées et alignées sur les objectifs de l'entreprise en matière de
cybersécurité. J'ai acquis une expérience précieuse dans la réalisation de tests de pénétration,
la gestion des vulnérabilités et la sensibilisation à la sécurité, tout en contribuant activement à la
protection des systèmes d'information de Veolia.

La démarche de résolution du problème

 Démarche de Résolution du Problème

Méthodes et outils adoptés pour la résolution des problèmes

La résolution des problèmes de cybersécurité chez Veolia Groupe repose sur l'utilisation de
méthodes rigoureuses et d'outils spécialisés pour identifier et corriger les vulnérabilités des
systèmes d'information. En tant qu'alternant au sein de l'équipe "Technical Audit and Pentest",
j'ai eu l'occasion d'utiliser une gamme variée d'outils de scanning et de tests de pénétration pour
accomplir ces tâches.

L'un des principaux outils utilisés pour le scanning des vulnérabilités est Acunetix, un scanner
de sécurité web qui permet de détecter des failles dans les applications web, telles que les
injections SQL, les failles XSS, et d'autres vulnérabilités courantes. En complément, Qualys est
utilisé pour les scans de vulnérabilités réseau, fournissant une évaluation approfondie de la
sécurité des systèmes en identifiant les failles de configuration et les logiciels obsolètes.

Pour analyser spécifiquement les infrastructures Active Directory, AD Analyzer est un outil clé.
Il permet d'auditer les configurations AD, de détecter les failles potentielles et de proposer des
recommandations pour renforcer la sécurité. Patrowl, quant à lui, offre une solution complète
de gestion des vulnérabilités, intégrant des capacités de scanning automatique et de suivi des
correctifs.

Lors des tests d'intrusion, Burp Suite Pro est largement utilisé pour effectuer des analyses
approfondies des applications web. Cet outil offre des fonctionnalités avancées pour le fuzzing,
l'interception des requêtes HTTP/S, et l'analyse des réponses, permettant ainsi d'identifier et
d'exploiter les failles de sécurité. Shodan est également employé pour la reconnaissance,
fournissant des informations détaillées sur les dispositifs connectés à Internet, ce qui aide à
cartographier l'architecture réseau et à identifier les points d'entrée potentiels.

L'environnement Kali Linux est essentiel pour les tests d'intrusion. Équipé d'une multitude
d'outils préinstallés, Kali Linux est le standard de l'industrie pour les pentests, incluant des outils
comme Metasploit pour l'exploitation, Nmap pour la reconnaissance, et d'autres utilitaires
spécialisés pour chaque phase du test d'intrusion.

Une fois les vulnérabilités identifiées, il est crucial de comprendre leur fonctionnement en détail.
Cela implique l'étude des failles découvertes, l'analyse de leur impact potentiel et la
démonstration de leur exploitation. Par exemple, une faille XSS découverte avec Acunetix peut
être exploitée en utilisant Burp Suite pour injecter des scripts malveillants et démontrer
comment ces scripts peuvent voler des cookies d'utilisateurs ou détourner des sessions.
Pour automatiser la collecte des données, Google Cloud Platform (GCP) est utilisé. GCP
permet de centraliser les résultats des scans et des tests, facilitant ainsi l'analyse et le suivi des
vulnérabilités. Des scripts personnalisés peuvent être déployés sur GCP pour automatiser les
processus de collecte et de rapport, intégrant les résultats de différents outils de sécurité en un
seul tableau de bord compréhensible.

Rédaction des cahiers des charges et collecte des besoins

La rédaction des cahiers des charges est une étape essentielle dans la démarche de résolution
des problèmes de cybersécurité. Cette étape implique une collaboration étroite avec les parties
prenantes pour définir les exigences et les attentes en matière de sécurité. Lors de la rédaction
des cahiers des charges, il est important de détailler les objectifs des tests de sécurité, le
périmètre des systèmes à évaluer, les méthodologies à utiliser, et les critères de réussite.

La collecte des besoins commence par des réunions avec les équipes techniques et les
responsables de la sécurité pour comprendre les défis spécifiques et les priorités. Des guides
d'entretien et des sondages peuvent être utilisés pour recueillir les informations nécessaires,
garantissant que tous les aspects des systèmes à tester sont pris en compte. Par exemple, il
est essentiel de savoir quelles applications web sont les plus critiques, quelles données sont les
plus sensibles, et quelles menaces sont les plus probables.

Une fois les besoins collectés, un cahier des charges détaillé est rédigé, incluant les
spécifications techniques et les exigences de sécurité. Ce document sert de référence tout au
long du processus de test, assurant que les tests de pénétration et les audits de sécurité sont
alignés sur les objectifs de l'entreprise. Il décrit également les outils et méthodes qui seront
utilisés, les étapes du test, et les responsabilités de chaque partie prenante.
Méthodologies de gestion de projet utilisées
Pour assurer le succès de la mission de cybersécurité au sein de Veolia Groupe, une gestion de
projet rigoureuse et structurée est indispensable. La méthodologie adoptée s'inspire largement
des principes du framework Agile, qui permet une flexibilité et une adaptabilité accrues,
cruciales dans un environnement de cybersécurité en constante évolution.

La gestion de projet Agile est centrée sur des cycles de développement itératifs et
incrémentaux, appelés sprints, qui durent généralement deux à quatre semaines. Chaque sprint
commence par une planification minutieuse où les objectifs et les tâches spécifiques sont
définis en fonction des priorités actuelles et des exigences de sécurité. Cette approche permet
de s'adapter rapidement aux nouvelles menaces et aux découvertes faites lors des tests de
pénétration.

Chaque sprint inclut des réunions quotidiennes (stand-ups) pour suivre les progrès, identifier les
obstacles et ajuster les priorités si nécessaire. Cette communication régulière assure une
collaboration efficace entre les membres de l'équipe et permet de résoudre rapidement les
problèmes. Des réunions de rétrospective à la fin de chaque sprint permettent d'évaluer les
performances, d'identifier les améliorations possibles et d'optimiser les processus pour les
sprints suivants.

En complément de l'approche Agile, des outils de gestion de projet tels que JIRA sont utilisés
pour suivre les tâches, gérer les tickets de vulnérabilités et coordonner les efforts de l'équipe.
JIRA permet de visualiser l'avancement des projets, de prioriser les tâches et de documenter
les découvertes et les résolutions des vulnérabilités. Chaque vulnérabilité découverte est
documentée avec des détails précis, incluant la méthode de découverte, l'impact potentiel, les
étapes d'exploitation et les recommandations de remédiation.

La présentation des résultats

Présentation des Résultats

Analyse et commentaires sur les résultats obtenus
Les tests de pénétration et les audits techniques réalisés au sein de Veolia ont permis
d'identifier un certain nombre de vulnérabilités critiques et non critiques dans les systèmes
d'information. Les résultats des tests ont mis en évidence plusieurs points d'entrée potentiels
pour les cyber attaquants, notamment des failles dans les applications web, des configurations
réseau inadéquates et des logiciels obsolètes.

Parmi les vulnérabilités critiques identifiées, certaines présentaient des risques élevés pour la
confidentialité, l'intégrité et la disponibilité des systèmes d'information de Veolia. Par exemple,
des injections SQL et des failles XSS (Cross-Site Scripting) ont été découvertes dans plusieurs
applications web, permettant potentiellement à des attaquants d'exfiltrer des données sensibles
ou de compromettre des comptes utilisateurs. De plus, des failles dans la gestion des accès et
des permissions ont été identifiées, offrant la possibilité à des utilisateurs non autorisés
d'accéder à des ressources critiques.

L'utilisation d'outils de scanning comme Acunetix et Qualys a révélé des vulnérabilités réseau,
telles que des ports ouverts non sécurisés et des services exposés. Ces failles pouvaient être
exploitées pour des attaques de type Man-in-the-Middle (MITM) ou pour obtenir un accès non
autorisé à des systèmes internes. AD Analyzer a permis d'identifier des configurations faibles
dans l'Active Directory, telles que des comptes avec des mots de passe faibles ou des
privilèges excessifs, augmentant le risque d'attaques internes.

Les tests de pénétration menés avec Burp Suite Pro et l'environnement Kali Linux ont permis de
démontrer l'exploitation réelle de ces vulnérabilités, montrant comment des attaquants
pouvaient obtenir un accès non autorisé, exfiltrer des données ou perturber les services. Par
exemple, une faille XSS exploitée a permis d'injecter des scripts malveillants dans une
application web, compromettant les sessions utilisateur et permettant le vol de cookies
d'authentification.
Les démonstrations pratiques avec la valise de sensibilisation ont également été cruciales pour
sensibiliser les employés aux risques de cybersécurité. En montrant en temps réel comment
des attaques telles que les mises à jour logicielles frauduleuses ou les keyloggers peuvent être
effectuées, les employés ont pu comprendre l'importance des bonnes pratiques de sécurité et
des politiques internes.

Comparaison avec les objectifs initiaux

Les résultats obtenus lors des tests de pénétration et des audits de sécurité ont été comparés
aux objectifs initiaux définis dans le cahier des charges. L'un des principaux objectifs était
d'identifier et de corriger les vulnérabilités critiques dans les systèmes d'information de Veolia,
afin de réduire les risques de cyberattaques. À cet égard, les résultats ont montré une réussite
significative : plusieurs vulnérabilités critiques ont été découvertes et corrigées, renforçant ainsi
la sécurité des systèmes.

Un autre objectif clé était d'améliorer la sensibilisation et la formation des employés en matière
de cybersécurité. Les démonstrations avec la valise de sensibilisation ont largement contribué à
atteindre cet objectif, en offrant aux employés une compréhension pratique des cybermenaces
et des mesures de protection. Les retours des participants ont été très positifs, indiquant une
meilleure prise de conscience des risques et une amélioration des pratiques de sécurité.
Cependant, certains écarts ont été observés par rapport aux objectifs initiaux. Par exemple,
bien que de nombreuses vulnérabilités aient été corrigées, certaines failles non critiques
nécessitent encore des améliorations supplémentaires pour atteindre un niveau de sécurité
optimal. De plus, la mise en œuvre des recommandations de remédiation a parfois rencontré
des retards en raison de contraintes techniques ou de ressources limitées.

En termes de méthodologie, l'adoption de la gestion de projet Agile a permis une flexibilité et

une adaptabilité accrues, ce qui a été bénéfique pour répondre rapidement aux découvertes et
aux nouvelles menaces. Cependant, des ajustements dans la planification et la coordination
entre les différentes équipes ont été nécessaires pour optimiser l'efficacité et réduire les délais
de correction.

Analyse des écarts et des difficultés rencontrées

Lors de la réalisation des tests de pénétration et des audits de sécurité, plusieurs écarts et
difficultés ont été rencontrés par rapport aux objectifs initiaux et aux attentes des parties
prenantes. Ces défis ont mis en lumière des opportunités d'amélioration pour les futures
interventions en cybersécurité chez Veolia.

L'un des écarts majeurs observés concernait les délais de correction des vulnérabilités
identifiées. Bien que les tests de pénétration aient permis de découvrir de nombreuses failles
critiques et non critiques, la mise en œuvre des recommandations de remédiation a parfois pris
plus de temps que prévu. Ces retards étaient souvent dus à des contraintes techniques, telles
que la complexité des systèmes à corriger, ou à des limitations de ressources humaines et
financières. Par exemple, certaines failles nécessitaient des mises à jour logicielles ou des
reconfigurations importantes, qui ont dû être planifiées en dehors des heures de fonctionnement
pour éviter les interruptions de service.

De plus, l'intégration et la corrélation des résultats provenant de divers outils de sécurité ont
présenté des défis. L'utilisation d'outils de scanning tels qu'Acunetix, Qualys, AD Analyzer et
Burp Suite Pro a généré une quantité importante de données, nécessitant une analyse
minutieuse pour prioriser les vulnérabilités et coordonner les efforts de remédiation. L'absence
initiale d'une plateforme unifiée pour la gestion des vulnérabilités a rendu ce processus plus
complexe, bien que l'utilisation ultérieure de Google Cloud Platform (GCP) ait aidé à
automatiser et centraliser la collecte de données. Mais nous avons donc dû le faire
nous-mêmes à la main.

Enfin, des écarts ont également été observés dans l'alignement des pratiques de sécurité avec
les standards et les meilleures pratiques de l'industrie. Bien que les tests de pénétration aient
suivi des méthodologies éprouvées, l'adaptation continue aux nouvelles techniques et aux
menaces émergentes reste un défi constant. La nécessité de maintenir les connaissances et les
compétences à jour dans un domaine en évolution rapide a exigé des efforts de formation et de
développement professionnel continus pour les membres de l'équipe. Pour ma part, j'ai suivi
des cours en ligne pour me former sur ces menaces, afin de les comprendre, les exploiter et
pouvoir recommander des remédiations.
Les suggestions, les propositions

Suggestions et Propositions

Suggestions détaillées et justifiées pour les améliorations

À la lumière des résultats obtenus lors des Pentest et des audits de sécurité, ainsi que des
écarts et des difficultés rencontrés, plusieurs suggestions peuvent être formulées pour améliorer
davantage la posture de cybersécurité de Veolia. Les propositions suivantes sont basées sur
l'analyse des vulnérabilités découvertes et les meilleures pratiques de l'industrie, tout en tenant
compte des particularités et des besoins spécifiques de Veolia.

1- Formation continue et sensibilisation

Bien que les démonstrations pratiques avec la valise de sensibilisation aient été efficaces, leur
fréquence actuelle de deux fois par an est insuffisante. Pour renforcer davantage la culture de la
cybersécurité au sein de Veolia, il est recommandé d'augmenter la fréquence de ces
démonstrations. Bien que des campagnes de phishing soient fréquemment réalisées, les
démonstrations avec la valise offrent une approche concrète et visuelle des vulnérabilités,
montrant des aspects spécifiques et tangibles des menaces qui peuvent affecter l'entreprise.
Ces sessions supplémentaires permettraient d'exposer les employés à un éventail plus large de
scénarios d'attaques et de renforcer leur vigilance.

La cybersécurité étant un domaine en constante évolution, des sessions de formation régulières

doivent être organisées pour éduquer les employés sur les nouvelles menaces et les meilleures
pratiques de sécurité. L'intégration de modules de formation en ligne interactifs, des simulations
de phishing régulières et des ateliers pratiques renforcerait la culture de la cybersécurité au sein
de l'entreprise. En outre, la mise en place de sessions de sensibilisation spécifiques aux rôles
des employés peut aider à cibler les risques spécifiques associés à leurs responsabilités
quotidiennes.
2- Renforcement de la gestion des vulnérabilités

Il est crucial de mettre en place un programme de gestion des vulnérabilités plus intégré et
automatisé. Actuellement, l'utilisation d'outils variés comme Acunetix, Qualys et AD Analyzer
génère une grande quantité de données, rendant la corrélation et la priorisation des
vulnérabilités complexes. L'adoption d'une plateforme unifiée de gestion des vulnérabilités, telle
que [Link] ou Rapid7, permettrait de centraliser les résultats, d'automatiser les workflows
de remédiation et de prioriser les failles en fonction de leur criticité et de leur contexte
d'exploitation. Cette approche faciliterait également la coordination entre les différentes équipes
techniques et améliorerait l'efficacité globale des efforts de correction.

3- Démocratisation et intégration des tests de pénétration

Le pentest est une pratique relativement nouvelle dans le domaine de la cybersécurité, et chez
Veolia, cette activité était traditionnellement réalisée par des prestataires externes. Pour
renforcer la sécurité interne, il est crucial de démocratiser cette pratique et d'intégrer davantage
les tests de pénétration dans les opérations courantes. Cela peut être réalisé en formant et en
certifiant des équipes internes sur les méthodologies et les outils de pentest, ainsi qu'en
établissant des processus réguliers de tests internes. La création d'une équipe dédiée aux tests
de pénétration au sein de Veolia permettra de réaliser des évaluations de sécurité plus
fréquentes et plus réactives, en complément des audits externes.

4. Amélioration du traitement des tickets

Actuellement, les tickets de vulnérabilités sont traités par l'équipe "Technical Audit and Pentest"
en raison de notre expertise technique. Cependant, ce processus monopolise une partie
significative de notre temps et ralentit nos efforts lors des tests d'intrusion. Il serait plus efficace
de déléguer le traitement des tickets à une autre équipe spécialisée ou à des prestataires
externes. Cette approche permettrait à notre équipe de se concentrer sur les tests de sécurité
et les audits techniques, tandis que l'autre équipe ou les prestataires s'occuperaient de la
gestion et de la remédiation des tickets. Cela non seulement augmenterait notre efficacité, mais
assurerait également un traitement plus rapide et ciblé des vulnérabilités, renforçant ainsi la
posture de sécurité globale de Veolia.

5- Renforcement de la collaboration inter-équipes

La collaboration entre les différentes équipes techniques et de sécurité est essentielle pour une
gestion efficace des risques. Il est recommandé de renforcer les mécanismes de
communication et de coopération entre les équipes de développement, les opérations IT et la
cybersécurité. Des réunions régulières de revue de sécurité, des ateliers collaboratifs et des
plateformes de communication centralisées peuvent aider à aligner les efforts et à garantir que
les initiatives de sécurité sont intégrées dans toutes les phases du cycle de vie des systèmes et
des applications.

Mise en évidence des contributions et reconnaissance des limites

Les contributions de l'équipe "Technical Audit and Pentest" au sein de Veolia Groupe ont été
significatives pour renforcer la cybersécurité de l'entreprise. Les tests de pénétration et les
audits techniques réalisés ont permis de découvrir et de corriger de nombreuses vulnérabilités
critiques, améliorant ainsi la résilience des systèmes d'information face aux cybermenaces.
L'équipe a également joué un rôle crucial dans la sensibilisation des employés à travers des
démonstrations pratiques et des formations continues, ce qui a contribué à une meilleure
culture de la cybersécurité au sein de l'entreprise.

Cependant, certaines limites ont été observées. La fréquence des tests de pénétration et des
audits techniques est encore insuffisante pour couvrir l'ensemble des systèmes et des
applications de Veolia de manière exhaustive. De plus, le traitement des tickets de vulnérabilités
par l'équipe "Technical Audit and Pentest" prend du temps et ralentit les efforts de l'équipe dans
la réalisation de nouveaux tests d'intrusion. La gestion des vulnérabilités et la mise en œuvre
des correctifs nécessitent une coordination étroite avec les équipes techniques et peuvent
parfois rencontrer des retards en raison de contraintes techniques et de ressources limitées.

Un autre défi est lié à l'adaptation continue aux nouvelles menaces et aux évolutions
technologiques. La cybersécurité est un domaine en constante évolution, et maintenir les
connaissances et les compétences à jour demande des efforts continus de formation et de
développement professionnel. Enfin, bien que des outils avancés soient utilisés pour les tests et
les analyses, l'intégration et la corrélation des résultats provenant de divers outils peuvent être
complexes et nécessiter des solutions plus intégrées et automatisées.
Conclusion sur la diversité des intérêts de la
mission

Conclusion

Bénéfices professionnels et montée en compétences

Mon expérience en tant qu'alternant au sein de l'équipe "Technical Audit and Pentest" de Veolia
Groupe a été extrêmement enrichissante sur le plan professionnel et personnel. Cette mission
m'a permis de développer une compréhension approfondie des défis de la cybersécurité dans
un environnement complexe et critique. Les compétences acquises et les responsabilités
exercées ont considérablement contribué à ma montée en compétences.

Développement de compétences techniques

L'un des principaux bénéfices professionnels de cette mission a été le développement de

compétences techniques avancées en matière de tests de pénétration et d'audits de sécurité.
En utilisant des outils de pointe tels qu'Acunetix, Qualys, Burp Suite Pro et l'environnement Kali
Linux, j'ai pu acquérir une expertise pratique dans l'identification et l'exploitation des
vulnérabilités. La réalisation de pentests, l'analyse des failles de sécurité et la rédaction de
rapports détaillés ont renforcé mes compétences en évaluation de la sécurité et en
communication technique.

Compréhension approfondie des méthodologies de cybersécurité

Travailler au sein de l'équipe "Technical Audit and Pentest" m'a permis de comprendre les
méthodologies de cybersécurité adoptées par une grande entreprise comme Veolia. De plus, la
participation à des programmes de Bug Bounty et l'utilisation de Google Cloud Platform (GCP)
pour automatiser la collecte de données ont élargi ma perspective sur les stratégies modernes
de gestion des vulnérabilités.

Sensibilisation et formation

Une partie de ma mission a été la sensibilisation et la formation des employés à la

cybersécurité. Organiser des démonstrations pratiques avec la valise de sensibilisation m'ont
permis de développer des compétences pédagogiques et de communication, essentielles pour
transmettre des concepts complexes de sécurité à un public non technique. Ces initiatives ont
non seulement amélioré la culture de la cybersécurité au sein de Veolia mais ont également
renforcé ma capacité à sensibiliser et former efficacement.

Gestion des incidents et remédiation

La gestion des incidents de sécurité et la coordination des mesures de remédiation ont été des
aspects cruciaux de ma mission. J'ai appris à réagir rapidement et efficacement aux incidents, à
analyser les causes profondes des vulnérabilités et à mettre en œuvre des solutions
correctives. Cette expérience a renforcé ma capacité à gérer des situations de crise et à
collaborer avec diverses équipes pour assurer la sécurité des systèmes d'information.

Travail en équipe et collaboration

Travailler au sein de l'équipe "Technical Audit and Pentest" m'a permis de développer des
compétences de collaboration et de travail en équipe. La coordination avec les différentes
équipes techniques, les réunions régulières pour suivre l'avancement des projets et la
communication constante ont été des éléments clés pour le succès des missions. Cette
expérience m'a appris l'importance de la collaboration et de la communication dans la
réalisation des objectifs de cybersécurité.

Réflexions basées sur le référentiel e-CF/Cigref

En utilisant le référentiel e-CF (European e-Competence Framework) et les référentiels Cigref,
j'ai pu évaluer et situer mes compétences acquises au cours de cette mission. Voici quelques
réflexions basées sur les compétences du référentiel e-CF/Cigref pertinentes pour mon rôle :

A.6. Application Design :

○ Compétence acquise : J'ai amélioré ma capacité à concevoir des solutions de

sécurité pour les applications en identifiant les vulnérabilités et en proposant des
mesures de correction.
○ Niveau atteint : Niveau 3 - Conception détaillée et spécifications des exigences
de sécurité.
 B.1. Design and Development :

○ Compétence acquise : J'ai développé des compétences en développement et en

mise en œuvre de mesures de sécurité, y compris la configuration et l'utilisation
d'outils de pentest et de scanning.
○ Niveau atteint : Niveau 3 - Conception et développement de solutions de
sécurité.

D.1. Information Security Strategy Development :

○ Compétence acquise : J'ai contribué à la stratégie de cybersécurité de Veolia en

participant aux audits et en proposant des recommandations pour améliorer la
sécurité des systèmes.
○ Niveau atteint : Niveau 2 - Contribution à l'élaboration de stratégies de sécurité.

D.4. Purchasing :

○ Compétence acquise : Bien que moins centrale, j'ai acquis une compréhension
des critères de sélection et de l'évaluation des outils de sécurité pertinents pour
l'entreprise.
○ Niveau atteint : Niveau 2 - Participation à l'évaluation et à la sélection des
solutions de sécurité.

E.3. Risk Management :

○ Compétence acquise : J'ai amélioré ma capacité à identifier, évaluer et gérer les

risques de sécurité, en particulier lors des tests de pénétration et des audits.
○ Niveau atteint : Niveau 3 - Identification et gestion des risques de sécurité.

En conclusion, cette mission a non seulement enrichi mon expertise technique en

cybersécurité, mais elle a également renforcé mes compétences en gestion de projet, en
communication et en gestion des incidents. En utilisant le référentiel e-CF/Cigref, j'ai pu évaluer
et situer ces compétences dans un cadre reconnu, ce qui m'a permis de mieux comprendre
mes points forts et les domaines où je peux continuer à m'améliorer. Cette expérience a été une
étape cruciale dans mon développement professionnel, me préparant à relever de nouveaux
défis dans le domaine de la cybersécurité. ​