Interview de Joris PEPIN, à l'occasion du CBC Toulouse

SNS SECURITY : Peux-tu te présenter ?

JORIS PEPIN : Je suis rentré chez SNS SECURITY en janvier 2021 en tant qu’alternant. Je suivais à l’époque un cursus pour devenir ingénieur en cybersécurité. SNS SECURITY correspondait exactement au profil d’entreprise que je recherchais pour mon alternance. J’ai eu la chance en effet d’arriver au moment où l’entreprise prenait un important virage. Cela m’a permis d’apporter ma contribution active en vue de constituer le pôle pentest et de participer également au développement de l’offre [S]PENTEST que nous proposons aux entreprises partout en France. Mon intégration en amont m’a donné l’opportunité d’évoluer au sein de l’entreprise puisqu’en à peine 3 ans, j’occupe le poste de team leader du pôle pentest. A savoir que je pilote les projets de tests d’intrusion chez nos clients et gère une équipe de 7 pentesters passionnés et talentueux.

SNS SECURITY : L’entreprise s’est ouverte au pentest en 2020, lorsqu’elle a pris un nouveau virage. Le pentest a amené une diversification sur le conseil en cybersécurité au sens le plus large. À quoi ressemble la BU aujourd’hui ?

Aujourd’hui, la BU consulting regroupe 7 pentesters et 2 consultants GRC. Nous sommes dans le processus d’obtention de la certification PASSI (Prestataires d’audit de la sécurité des systèmes d’information), délivrée par l’ANSSI. Cette certification atteste des moyens mis en place pour la protection de l’information, des exigences de qualité et de sécurité de nos process d’audit ainsi que de la compétence de nos auditeurs.

Enfin, afin de répondre aux besoins de nos clients, nous proposons désormais une offre “RSSI AS A SERVICE”, leur permettant de bénéficier d’une ressource externe, qui pilotera les projets de sécurisation.

SNS SECURITY : Quels types de ponts éventuels avez-vous mis en place entre l’audit technique et l’audit dit organisationnel ?

JORIS PEPIN :

L’audit technique (pentest) et l’audit organisationnel sont deux approches très complémentaires. Au travers du pentest, on va simuler les cybermenaces et identifier les vulnérabilités exploitables afin de proposer un plan d’action à court terme. Quant à l’audit organisationnel, il passe en revue l’ensemble des thématiques liées à la sécurité du SI afin d’évaluer la maturité cyber de l’organisation.

Afin que nos clients puissent bénéficier de la complémentarité de ces 2 approches, nous proposons l’offre [S]STARTER dans laquelle on propose à nos clients la réalisation d’un pentest, d’un audit organisationnel flash ainsi que la mise en place d’atelier de sensibilisation. Cette offre comporte un accompagnement et un suivi de la mise en place des recommandations issues des audits, sur une année.

SNS SECURITY : Le test d’intrusion est pour un certain nombre d’entreprises, la porte d’entrée par excellence pour le gain en maturité. Peux-tu nous expliquer pourquoi ?

JORIS PEPIN : Le pentest permet de simuler les cybermenaces et ainsi identifier les points d’entrées, tracer les chemins de propagation et définir l’impact sur les actifs de l’entreprise. C’est une approche factuelle et objective qui, au travers de l’état des lieux concret de la sécurité et des risques avérés, permet de traiter les menaces par ordre d’impact et de probabilité de survenance.

SNS SECURITY : Un dernier mot pour conclure ?

JORIS PEPIN: Je suis avant tout passionné par la technique et j’espère que cette journée au salon du CBC sera propice à de longs échanges autour du pentest. Je serai ravi d’échanger avec vous en toute confidentialité et de partager des bonnes pratiques en matière de cybersécurité voire certaines anecdotes qui prêtent toujours à sourire.