Spécialisée en gouvernance, risk et compliance (GRC), en services de cyber-résilience, en sensibilisation et formation ainsi qu’en recherche et développement en matière de cyber-sécurité, la start-up bruxelloise Nviso a mis sur pied la semaine dernière le premier Cyber Security Challenge en Belgique. Ouverte aux étudiants d’avant-dernière et de dernière année en informatique des hautes écoles et universités de notre pays, cette compétition a dans un premier temps réuni 276 étudiants qui se sont vus proposer une dizaine de défis à résoudre en ligne durant deux journées, soit environ 32 heures.
Double objectif
Au terme de ces éliminatoires, dix équipes de quatre étudiants ont été retenues, dont 75% proviennent d’universités et 25% de hautes écoles. « L’objectif de ce Cyber Security Challenge était double”, explique Vincent Defrenne, managing consultant chez Nviso. “D’une part, sensibiliser les étudiants en informatique à la problématique de la sécurité et à l’intérêt d’une carrière dans la sécurité informatique. Et, d’autre part, permettre aux étudiants d’entrer en contact avec des entreprises qui recherchent des spécialistes en sécurité. »
Le concours était organisé selon le principe « Capture the flag ». Dans un délai déterminé, à savoir la journée du vendredi 20 mars dernier, les dix équipes devaient résoudre dix challenges d’un niveau de complexité variable (de très facile à extrêmement complexe) sur un large éventail de problématiques en sécurité. Six challenges avaient été concoctés par les organisateurs sur les thèmes suivants: cryptographie, sécurité d’applications web, sécurité réseau, digital forensics, reverse engineering et sécurité d’applications mobiles.
Des défis réalistes
Pour les besoins du concours, Nvisio avait conclu des partenariats de sponsoring avec divers acteurs. Elément original: chaque sponsor devait proposer lui-même 4 défis de 10 minutes que les dix équipes finalistes devaient relever en parallèle avec le challenge principal.
Principaux sponsors (qui ont proposé des défis): BNP Paribas Fortis, KBC, Proximus et Telenet.
Les autres partenaires de l’événement étaient eLearn Security, SANS, Offensive Security, Brucon, HITB, Easy-M, FCCU, Cert.be, l’Agence du Numérique (ex-AWT), Agoria, L-Sec, software.brussels et b-ccenter
Exemples de défis?
En cryptographie: « It’s happened again! Some of our beloved friends at linkedin.com forgot to salt their password hashes. Due to a rather interesting SQL injection issue, a hacker group has published the following MD5 hash online! Can you crack it? »
En analyse juridico-informatique (“digital forensics”: « The forensic department received a memory dump from a computer. The goal is to obtain the passwords for all users. What is the password for the standard user account? »
En reverse engineering: « We received a binary that guards a flag. However, the password has been lost. Can you still retrieve the flag? »
Et en secure coding: « To protect against for example XSS, OWASP offers a great library which helps you implement input validation. Find the library and report what default regex is used to validate filenames that are given as input.”
Gagner pour se former…
Parmi les prix, les organisateurs avaient prévu diverses formations orientées sur la cybersécurité ainsi que des formations associées aux soft skills. « La technique sécuritaire est certes importante, mais les soft skills sont toujours plus nécessaires, fait encore remarquer Vincent Defrenne. Car il est essentiel que les experts en informatique puissent dialoguer avec des non-techniciens, qu’il s’agisse de décideurs ou de personnes du business.”
Le palmarès
Au terme de la compétition (certaines institutions se sont présentées avec plusieurs équipes ou membres), le top 3 du Cyber Security Challenge a consacré la KUL (Katholieke Universiteit Leuven) qui s’est imposée avec 880 points devant l’ULB/IEPSCF Uccle (Institut d’Enseignement de Promotion Sociale) avec 675 points et la Hogeschool West-Vlaanderen avec 595 points. A noter la performance de cette dernière, sachant que la toute grande majorité des équipes provenaient d’universités.
La suite du classement s’établissait comme suit: VUB-Vrije Universiteit Brussel (570 points) – UCL (490 points) – KUL/Katholieke Hogeschool Leuven (485 points) – KUL (450 points) – Universiteit Gent (430 points) – KUL/Vrije Universiteit Leuven (355 points) – Haute Ecole Léonard de Vinci (355 points).
A signaler que les résultats étaient calculés sur 1.000 points répartis à concurrence de 600 points pour le Cyber Security Challenge et 400 points décernés pour les défis des quatre sponsors.
Tous les participants (voir le palmarès dans l’encadré ci-contre) sont repartis avec leur place pour BruCON, la conférence belge de sécurité technique. « Notre objectif est de renforcer la cohésion de la communauté sécurité en Belgique, en y incluant activement la nouvelle génération d’experts sécurité », justifie Vincent Defrenne.
Par ailleurs, la 1ère équipe a notamment remporté une formation SANS NetWars en ligne (cours interactif de sécurité en 5 niveaux de l’Institut SANS) et quatre places pour Hack in a Box, conférence qui se tiendra à Amsterdam.
Les 2e et 3e équipes ont remporté une formation en ligne de ‘penetration testing’ d’eLearnSecurity, avec possibilité de certification en fin de parcours.
Enfin, BNP Paribas Fortis et KBC ont offert ensemble une formation aux techniques de communication et de présentation.
Evolution
Interrogé sur le premier feedback au terme de la compétition, Vincent Defrenne se félicite d’abord de l’intérêt manifesté tant par les professeurs que par les étudiants (au départ, l’objectif était de rassembler quelque 200 participants, alors que 275 ont finalement participé), même s’il regrette que trop peu d’entreprises s’intéressent à la problématique de la sécurité.
« Les PME sont sensibilisées, mais ne savent pas toujours comment et par où commencer, tandis que les grandes organisations sont certes conscientisées, mais adoptent souvent la politique de l’autruche », confie-t-il encore, alors que les nouvelles réglementations (notamment européennes) deviennent particulièrement contraignantes en termes de responsabilités en cas de faille sécuritaire.
Vincent Defrenne (NViso): “Les PME sont sensibilisées, mais ne savent pas toujours comment et par où commencer, tandis que les grandes organisations sont certes conscientisées, mais adoptent souvent la politique de l’autruche.”
D’ores et déjà, rendez-vous est pris pour l’année prochaine. « D’autres angles d’attaque pourraient être envisagés, même si le principe sera conservé », affirme toujours Vincent Defrenne. Par ailleurs, les défis proposés au Cyber Security Challenge pourraient être proposés sous forme de plate-forme de service aux clients de Nviso. « Quoi qu’il en soit, notre challenge a démontré sa crédibilité aux yeux des participants et des sponsors », conclut-il.
Découvrez-nous sur Facebook
Suivez-nous sur Twitter
Retrouvez-nous sur LinkedIn
Régional-IT est affilié au portail d’infos Tribu Médias.