Mon regard critique
J’ai eu la chance de participer aux finales régionales de l’Olympiade des Métiers en Nouvelle-Aquitaine en octobre 2024, dans la catégorie cybersécurité, pour la deuxième édition de ce métier. Avec mon binôme Benoît PREVOST, j’ai pu décrocher la médaille d’or, un résultat qui récompense des mois d’efforts et de préparation.
Cet événement représente plus qu’une simple compétition, c’est une vitrine du savoir-faire dans le domaine de la formation professionnelle. Les épreuves m’ont permis de mettre en pratique mes compétences dans des conditions exigeantes, tout en démontrant ma capacité à collaborer efficacement sous pression devant un public de 45 000 personnes.
Présentation
Les Olympiades des Métiers sont la plus grande compétition internationale pour les jeunes en formation professionnelle, offrant une plateforme unique pour démontrer l’excellence technique et le savoir-faire dans de nombreux métiers. La 48e édition, qui s’est tenue en Nouvelle-Aquitaine en octobre 2024, a attiré près de 45 000 spectateurs, transformant cet événement en une véritable vitrine des compétences et des métiers techniques.
Lors de cette édition, la cybersécurité était présente pour la deuxième fois seulement, ce qui en faisait une catégorie encore jeune. Pendant deux jours, avec Benoît PREVOST, mon binôme, j’ai pu affronter des épreuves variées et conçues pour refléter des situations réelles du domaine.
Objectifs et enjeux
Mon objectif en participant à cette compétition était d’améliorer mes compétences en cybersécurité et de me dépasser face à des défis complexes, le tout en étant sous pression. Cette participation était aussi une occasion de tester mes limites et de voir jusqu’où je pouvais aller face à des épreuves informatiques sans accès à des ressources externes comme Internet. L’enjeu était important, car je me trouve à un tournant dans mon parcours.
Avec la fin de mon alternance qui approche et mon besoin de trouver un emploi, je savais que cette médaille et l’expérience acquise lors de la compétition pouvaient être des éléments qui me serviraient à valoriser mon profil auprès de futurs employeurs. La compétition était donc un moyen de démontrer concrètement mes compétences et ma capacité à performer sous pression, des qualités qui, je pense, sont recherchées dans le monde professionnel.
Etapes
Le jour de la compétition était divisé en deux parties dont la première était la matinée consacrée au hardening Windows. Dès les premières minutes, j’ai pris en charge la configuration des GPO de sécurité, en identifiant rapidement les paramètres les plus critiques pour maximiser notre score.
J’ai commencé par désactiver les protocoles obsolètes, comme SMBv1, pour réduire les risques d’attaques connues. Ensuite, j’ai mis en place une politique de mots de passe complexes et de verrouillage de session après un certain nombre de tentatives échouées, afin de limiter les risques de brute-force. J’ai également activé le chiffrement des données sensibles via BitLocker et restreint l’accès aux ports USB pour éviter les intrusions via des périphériques amovibles, un disque dur par exemple. L’objectif était d’implémenter un maximum de configurations de durcissement durant la période de temps que nous avions à disposition.
L’après-midi était dédié à la revue de code. Il fallait analyser des requêtes SQL, identifiant les risques liés à la manipulation de données sensibles. J’ai particulièrement travaillé sur une requête qui exposait des informations telles que les noms d’utilisateur et les mots de passe. J’ai proposé de la diviser en plusieurs requêtes préparées couplées à une limitation des permissions des utilisateurs sur la base de données pour minimiser l’exposition des données sensibles et ai documenté en détail les corrections à apporter. Pendant que Benoît s’attaquait à un script Python, j’ai pris l’initiative de rédiger une analyse complète des failles identifiées dans notre documentation finale qui était le livrable pour convaincre le jury.
Le deuxième jour, la compétition a continué avec le hardening Linux. J’ai configuré les comptes utilisateurs et mis en place des politiques de sécurité strictes pour les mots de passe grâce à PAM. L’une d’entre elles fut l’expiration des mots de passe pour forcer leur renouvellement régulier. En l’absence d’Internet, j’ai su tirer parti des documentations locales fournies sur la distribution Linux pour adapter nos configurations. Une autre épreuve m’a demandé de rédiger un script Bash permettant d’afficher les résultats d’un scan Nmap de manière précise et exploitable. J’ai réfléchi à une solution simple et efficace pour trier et formater les données tout en collaborant avec Benoît, qui rédigeait les conditions du script.
Cette collaboration a permis de produire une solution complète dans le temps imparti. L’après-midi, il fallait configurer la partie firewall d’un routeur TP-Link. C’était la seule épreuve où l’accès à Internet était autorisé, mais uniquement après avoir configuré la machine hôte sur le bon réseau, ce que j’ai rapidement pris en charge.
Une fois connecté, j’ai exploré la documentation pour trouver où configurer et appliquer les bonnes règles de filtrage. J’ai mis en place un blocage des adresses IP suspectes, défini des règles pour interdire l’accès à certains ports sensibles, et activé la journalisation des connexions pour surveiller les activités suspectes. J’ai également configuré des restrictions d’accès à certains sites web, comme Facebook, afin d’illustrer notre capacité à adapter la configuration aux besoins spécifiques d’une entreprise.
Grâce à une bonne répartition des tâches et une coordination presque parfaite, j’ai pu rendre avec Benoît des livrables qui nous ont permis de nous démarquer face à l’équipe adverse et d’obtenir la médaille d’or en reportant cette compétition.
Acteurs
J’ai pu participer avec mon binôme Benoît PREVOST, avec qui j’ai formé une équipe complémentaire et efficace. C’est avec lui que j’ai passé mon temps à m’entraîner, à trouver des stratégies et à créer un plan pour réussir au mieux les différentes épreuves.
Il y a eu notre coach Cyril MEGHIRBI qui a pu nous réaliser des sujets faits maison reproduisant les épreuves de la compétition. Il a également pu nous aider à fixer des dates d’entraînement et à garder notre motivation tout le long de notre préparation.
Enfin, il y a eu des interactions multiples avec le public sur mon temps libre, avec qui j’ai pu répondre à leurs questions concernant la cybersécurité mais également avec les autres compétiteurs de métiers et domaines différents avec qui j’ai pu sympathiser.
Résultats
Ces mois de préparation et ces deux journées de compétition m’ont permis de renforcer mes compétences techniques et de développer ma gestion de la pression. J’ai également amélioré ma capacité à documenter mes solutions de manière claire, à prioriser les tâches et à m’appuyer sur la complémentarité avec mon binôme pour optimiser au mieux le temps à disposition.
Cette expérience a consolidé mon envie de toujours faire mieux et m’a préparé à des situations que je rencontrerai potentiellement dans ma carrière.
Lendemains de l’événement
Ce qui est sûr, c’est que cette expérience a eu et aura un impact sur mon parcours. À court terme, elle a renforcé ma motivation à approfondir mes compétences en cybersécurité et à envisager des opportunités professionnelles dans ce domaine.
À plus long terme, cette compétition est un aspect de mon parcours que je valorise dans mon CV et qui illustre ma capacité à résoudre des problèmes complexes dans un environnement sous pression.
Aujourd’hui, bien que je ne travaille pas spécifiquement dans le domaine de la cybersécurité, les compétences que j’ai développées pendant cette aventure continuent de m’être utiles de manière indirecte.