Qu'est-ce que « Jarno Baselier Cybersecurity » et que faites-vous ?
Jarno Baselier Cybersécurité est une entreprise de tests de sécurité et d'éducation de haute qualité. Nous nous spécialisons dans la réalisation de tests d'intrusion (pentests) dans des environnements industriels et des bureaux d'entreprise.
Jarno Baselier Cybersecurity est fondée en 2022 par (pas de surprise ici) Jarno Baselier. L'entreprise a démarré après de nombreuses années d'expérience dans le domaine et parce que la demande de pentests de haute qualité est importante, en particulier dans les environnements industriels.
La sécurisation des composants informatiques dans les environnements industriels est quelque chose qui devient de plus en plus critique et peu de spécialistes ont les connaissances nécessaires pour effectuer ces tests correctement et avec le bon soin. Depuis que je travaille dans ces environnements (nous les appelons des environnements "OT" ou "Operational Technology") depuis des années et que j'ai donné de nombreuses formations, j'ai décidé qu'il était temps d'aider davantage d'organisations en leur offrant mes services.
L'histoire de Jarno
Quand j'ai commencé dans le monde de la cybersécurité, ce n'était pas aussi courant qu'aujourd'hui. On parle de 2010/2011. À l'époque, je travaillais comme ingénieur système pour une grande entreprise dentaire aux Pays-Bas. Les cybercriminels étaient en augmentation, tout comme les forces de l'ordre. Pensez à GDPG (appelé AVG aux Pays-Bas). Comme je m'occupais de la sécurité du système, je voulais vraiment savoir et apprendre comment les attaquants fonctionnent. Parce que nous ne pouvons protéger que ce que nous savons, n'est-ce pas ?
A l'époque il n'y avait pas beaucoup de certifications concernant le « piratage éthique ». Celui qui se démarquait à l'époque était le piratage éthique certifié d'ECCouncil. J'ai donc décidé que j'avais besoin de ce certificat pour savoir en profondeur comment fonctionnent les cybercriminels. Eh bien, un petit spoil… ce n'était pas si vrai. Parce que cela s'est avéré être juste le début. Néanmoins c'était un beau certificat pour débuter dans ce métier. Mon professeur à l'époque était Tim Pearson. Tim était une personne très inspirante et est devenu plus tard un de mes amis. Après le cours (qui a duré une semaine) j'ai conduit Tim à l'aéroport et il m'a proposé un « poste d'interne ». En gros, il disait « fais le sale boulot gratuitement et je t'apprendrai les ficelles du métier ». Et c'est ce que j'ai fait. Plus tard, j'ai participé à l'écriture du cours v9 pour le cours Certified Ethical Hacking.
J'ai beaucoup appris ces premières années. Non seulement techniquement, mais j'ai aussi eu tellement de plaisir à pratiquer et à aider que je savais que c'était ce que je voulais faire à l'avenir. Dans les années qui ont suivi, la « cybersécurité » est devenue un sujet brûlant. De plus en plus d'infractions ont été divulguées au public (avec l'aide des médias). La sensibilisation des entreprises et des employés s'est accrue et les attaquants sont devenus de plus en plus sophistiqués. Le piratage de nos jours ne ressemble en rien au piratage informatique du début des années 2000. Les attaques ne sont généralement plus aussi faciles et nécessitent une bonne planification et un haut niveau de compétence. Parce que les attaquants deviennent plus sophistiqués, les défenseurs doivent également continuer à évoluer dans leurs connaissances et leurs compétences. C'est l'éternel jeu du chat et de la souris qui ressemble à ce qui se passe entre les criminels et la police.
C'est donc ce que j'ai fait dans les années qui ont suivi. J'ai essayé d'apprendre et de pratiquer autant que possible. j'ai commencé le mien Articles en 2014 et récemment j'ai commencé mon propre chaine YouTube. Les deux chaînes sont néerlandaises mais se concentrent sur la fourniture d'un contenu de grande qualité spécialement pour les spécialistes de la sécurité offensive. Je crois que nous avons un effort commun pour faire du monde un endroit meilleur et plus sûr. En partageant mes connaissances, j'espère aider les autres afin qu'ils puissent grandir et partager de nouvelles connaissances par eux-mêmes. C'est la beauté du monde de la cybersécurité. Il y a tellement de choses à apprendre que je continuerai à apprendre chaque jour.
Mon père m'a toujours dit que peu importait ce que je ferais dans la vie mais être le meilleur dans ce que j'avais choisi de faire. Ainsi, après avoir acquis plus de connaissances, j'ai commencé à travailler dans un CERT néerlandais, effectuant également plusieurs tests de pénétration et en apprenant davantage sur les capacités de défense/surveillance.
Chaque test que j'effectue n'est pas seulement précieux pour l'entreprise mais aussi pour moi-même. Parfois ces tests sont offensifs et parfois nous collaborons avec la soi-disant « équipe bleue ». L'équipe bleue est la "partie défenderesse" qui effectue des tâches telles que la surveillance, la réponse, la recherche de fils, etc. Lorsque l'équipe rouge (moi, la partie offensive) et l'équipe bleue travaillent ensemble, nous appelons cela "l'équipe violette". Dernièrement, nous constatons que « l'équipe violette » est un élément essentiel d'une bonne stratégie de sécurité. Habituellement, nous commençons un engagement avec une approche d'équipe rouge et plus tard, nous «rejouons» les leçons apprises avec l'équipe bleue afin qu'ils puissent apprendre et voir ce que nous avons fait et nous pouvons les aider à trouver les bons artefacts et à créer des déclencheurs fonctionnels.
Après avoir effectué de nombreux tests d'intrusion de différentes portées (infrastructure sur site, applications Web, infrastructure cloud, technologie opérationnelle) et après avoir obtenu plus de certificats pour me qualifier (OCSE, OSEP, OSWE, CSA), j'ai utilisé mes canaux non seulement pour partager des informations, mais aussi vraiment enseigner. Ma chaîne YouTube contient de nombreuses vidéos "éducatives" spécialement créées pour former gratuitement mes collègues. La chaîne recevra 100 vidéos éducatives cette année couvrant une variété de sujets et bon pour 75 heures de formation. Ainsi, une fois ce projet terminé, je pourrais envisager de créer une formation «rémunérée».
Avoir un canal social depuis si longtemps présente de nombreux avantages en termes de « confiance » et de personnes prêtes à vous embaucher. Parce que la forte demande pour les services de tests d'intrusion et les souhaits de formation, j'ai décidé de créer ma propre entreprise. Cela me donne la possibilité d'accepter les emplois que je trouve très intéressants et d'enseigner de la manière qui me semble la plus efficace. Parfois mes masterclasses durent de 2 à 4 heures et parfois c'est plus intense et elles s'étalent sur quelques jours. Cela dépend du niveau de compétence et du nombre de participants.
Les défis auxquels l'entreprise/le marché est confronté
De mon point de vue, le marché est confronté à de nombreux défis. Des attaques avancées, des coûts croissants à la pénurie de personnel qualifié. Pour 2023/2024, je vois 3 défis principaux.
1. Technologie opérationnelle de sécurité dans les environnements industriels
Pendant des années, la cybersécurité s'est concentrée sur tous les composants TIC courants tels que les systèmes d'exploitation Windows, l'orchestration des utilisateurs Active Directory, les applications Web et les protocoles courants tels que TCP/IP. Et bien que de nombreux atouts des TIC « classiques » se retrouvent au sein de l'automatisation industrielle, ce domaine reste complètement différent. Penser à:
· L'utilisation de protocoles spécialisés (comme Modbus, Profinet, DNP3 etc.) ;
· L'utilisation de logiciels spécialisés ;
· L'utilisation de matériel spécialisé;
Plus important encore, tous les composants informatiques gèrent des machines de contrôle matérielles spécialisées. Et parfois ces machines sont vitales. Ainsi, les temps d'arrêt de ces machines peuvent entraîner d'énormes pertes financières, des accidents et même la perte de vies humaines.
Le fait est que toutes ces machines sont très chères et ont une longue durée de vie. Certaines machines fonctionnent depuis 20 à 40 ans. En raison de ces longs cycles de vie, les machines et le logiciel de contrôle ne sont pas construits avec les dernières meilleures pratiques de sécurité. En plus de cela, il est également difficile de planifier des délais de maintenance planifiés dans un environnement en cours d'exécution. Cela rend les correctifs et la mise à jour des systèmes très difficiles. Ainsi, dans les environnements industriels, les enjeux sont importants et la sécurité est généralement dépassée. Les pirates le savent. Les environnements industriels sont piratables et en raison de leurs enjeux élevés, ils sont idéaux pour les attaquants malveillants désireux d'extorquer leurs victimes. Ainsi, le besoin de tester et de sécuriser ces environnements n'a jamais été aussi élevé qu'aujourd'hui. En tant que pentester, vous devez savoir ce que vous faites dans ces environnements spécialisés, car 1 petite erreur peut entraîner des temps d'arrêt et d'énormes pertes financières. Cela demande des testeurs qualifiés qui savent comment effectuer des tests de sécurité en toute sécurité dans ces environnements sensibles.
2. Extorsion de rançongiciels
L'extorsion, telle que décrite dans le paragraphe précédent, pourrait être le plus gros fil de cybersécurité en ce moment. Traditionnellement, les rançongiciels cryptent les fichiers sensibles sur l'ordinateur et demandent une rançon pour déverrouiller à nouveau ces fichiers. Cependant, le processus de cryptage de chaque fichier sur un système est un processus qui prend du temps. Cela donne à la victime le temps d'intervenir et de sauvegarder certaines données en mettant fin au logiciel malveillant avant que les données ne soient cryptées. En plus de cela, les entreprises ont la possibilité de restaurer à partir de sauvegardes sans payer de rançon. Le nouveau battage publicitaire consiste à exfiltrer uniquement des données et à extorquer l'entreprise en menaçant de divulguer publiquement les données. Ce type d'attaque est plus rapide à exécuter, plus difficile à détecter et ne peut pas être corrigé à l'aide de sauvegardes.
3. (Cloud) Menaces tierces
Un autre grand changement dans le monde de la cybersécurité est l'adoption rapide du cloud computing. Les outils SaaS sont adoptés à grande vitesse, mais IaaS (Infrastructure as a Service) est également mis en œuvre à grande échelle et existe généralement en plus de l'infrastructure sur site. Habituellement, ces environnements sont relativement sûrs, mais le manque de familiarité avec les meilleures pratiques de sécurité cloud, le modèle de sécurité partagée du cloud et d'autres facteurs peut rendre les environnements cloud parfois plus vulnérables aux attaques que l'infrastructure sur site. Les attaquants ont l'avantage de pouvoir tester ces environnements à l'échelle mondiale. Une grande tendance est que, outre les utilisateurs de services cloud, les fournisseurs de services cloud sont également ciblés. De cette façon, un cybercriminel peut accéder aux données sensibles de ses clients et potentiellement à son infrastructure informatique. De cette façon, l'impact d'une attaque peut être bien plus important et plus bénéfique pour un attaquant.
Les opportunités auxquelles l'entreprise/le marché est confronté
Étant donné que nous sommes confrontés à des attaques avancées à grande échelle dans un environnement TIC en constante expansion, le travail des équipes bleues et des équipes rouges n'a jamais été aussi important. À titre d'exemple, quelques mois après que la pandémie de COVID-19 a frappé en 2020, le nombre de cyberattaques a augmenté de 63 %. Et 2021 était encore pire. Le nombre de violations jusqu'à fin septembre 2021 avait déjà dépassé de 2020 % le nombre total de 17. 2023 ne sera pas différent. L'augmentation alarmante du nombre de violations et de cyberattaques est aggravée par une autre tendance inquiétante : l'augmentation du coût des violations.
Ces connaissances et le fait qu'il existe une énorme pénurie de personnel qualifié font qu'il existe une forte demande pour presque tous les types de professionnels de la cybersécurité. Équipe rouge, équipe bleue et emplois de gestion. Penser à:
· Ingénieurs en cybersécurité
· Analystes en cybersécurité
· Hackers éthiques
· Analystes de logiciels malveillants
· RSSI et ISO
Cela signifie qu'il y a suffisamment de travail dans cette branche, qu'il existe de nombreuses opportunités de formation et qu'un bon salaire peut être gagné.
Conseils aux autres sur les affaires
Depuis que l'industrie de la cybersécurité est en plein essor, il existe de nombreuses startups (comme moi). Dans une industrie « en plein essor », on gagne beaucoup d'argent alors que la qualité n'est pas toujours garantie. Tout le monde essaie d'avoir sa part. Nous constatons qu'il existe un besoin pour les auditeurs des fournisseurs de sécurité qui délivrent un label de qualité après un audit réussi. De cette façon, les entreprises savent qu'au moins des procédures internes sont en place et appliquées.
Offrir la meilleure qualité à vos clients est vital dans ce secteur sensible. Les pentesters ont besoin de conseils pour rendre l'environnement plus sûr au lieu de le rendre plus précaire après un pentest (j'ai vu cela se produire plus d'une fois). Pour ce faire, je conseille aux organisations d'investir en elles-mêmes et dans leur personnel. Assurez-vous que l'entreprise obtient au moins un label de qualité et que les pentesters sont formés pour les travaux qu'ils doivent effectuer. Montrez également aux clients que votre personnel est formé afin que le client puisse être assuré que le travail sera bien fait.
Un autre conseil que j'aime donner est d'envoyer la même équipe dans la même entreprise lors de travaux de suivi si possible (si le personnel est formé pour le faire). Voir un visage familier est toujours agréable. Cela donne au client un sentiment de confiance et pour le pentester c'est amusant de travailler dans un environnement qu'il connaît déjà (partiellement). En fin de compte, cela sera également bénéfique pour la qualité finale du test.
GP
Le travail d'un médecin de famille comprend un large éventail de diversité clinique, ce qui nécessite des connaissances et une érudition approfondies de la part d'un spécialiste. Cependant, je crois que la chose la plus importante pour un médecin de famille est d'être humain car la coopération et la compréhension entre le médecin et le patient sont cruciales pour assurer des soins de santé réussis. Pendant mes jours de congé, j'aime être dans la nature. Depuis l'enfance, je suis passionné par le jeu d'échecs et le tennis. Chaque fois que j'ai du temps libre, j'aime voyager à travers le monde.
- Positions sexuelles folles qu'elle essaiera toujours - Avril 7, 2023
- Pourquoi devriez-vous acheter des cockrings avec des plugs ? - Avril 7, 2023
- Top Ten Tail Butt Plugs pour votre fétichisme sauvage - Avril 6, 2023
