Details of the offer for STAGE CONSULTANT(E) EN SECURITE INFORMATIQUE (H/F) about pentesting at COGICEO in Paris

PRÉSENTATION DE COGICEO

Cogiceo est une TPE indépendante spécialisée dans le conseil en sécurité informatique. Fondée par des consultants seniors de grandes entreprises françaises, forts de plus de 8 ans d’expérience dans le domaine, son cœur de métier repose sur leur expertise technique dans ce domaine et en particulier dans les tests d'intrusion. Nos services s'articulent autour de 2 axes majeurs

  • Audit : Analyser la robustesse d’un système face aux attaques en conditions réelles. (Test d’intrusion, Audit de configuration, Audit d’architecture, ...)
  • Formation : Transmettre des compétences techniques en sécurité grâce à des ateliers. (Sensibilisation DSI/COMEX/CODIR, Formation administrateurs Windows, ...)

 

CADRE CONTRACTUEL

Type de contrat : Stage
Nombre de postes à pourvoir : 3
Durée du stage: 5 à 6 mois
Rémunération : 1250€/mois
Lieu de travail principal : 28 bis boulevard de Sébastopol – 75004 Paris

 

PROFIL RECHERCHÉ

Le stagiaire doit être en fin d'étude de niveau BAC+5 (École d’Ingénieur ou Master en Sécurité) et posséder des bases solides en informatique : réseau, système, développement, etc. De plus, il doit être passionné par la sécurité informatique et être capable d'apprendre rapidement au contact de consultants expérimentés. Des bases en Python seraient fortement appréciées. Les qualités humaines recherchées sont : probité, persévérance, curiosité et autonomie.

 

DEBOUCHE

Le stage de fin d'études peut déboucher sur une proposition d'embauche en CDI.

 

OBJECTIF

L'objectif global du stage de fin d'étude est la formation au métier de consultant en sécurité des systèmes d'information. Dans cet esprit, vous accompagnerez, 50 % de votre temps, un consultant expérimenté sur ses missions de test d'intrusion (pentest) :

  • depuis nos locaux sur des ressources exposées sur Internet (site web, web-service, DMZ)
  • chez nos clients sur des ressources exposées en interne (équipements réseaux filaire et wi-fi, système d'exploitation Microsoft, Unix, Linux, application cœur de métier)

En parallèle, vous travaillerez 50% de votre temps sur un sujet de recherche académique (à choisir dans notre catalogue, ou à proposer vous-même).

 

SUJETS ACADÉMIQUES


1. Cogiceo-ADAnalyser: Cogiceo dispose d'un outil d'analyse du niveau de sécurité des domaines Microsoft. Ce sujet de stage consistera à se familiariser avec l'outil, puis à étendre ses capacités par l'analyse d'une dizaine de nouveaux moyens de compromissions. Pour chacune des méthodes de compromissions choisies, le stagiaire devra se documenter sur l'attaque, l'intégrer dans notre laboratoire de test, identifier des méthodes de défense adaptées, puis développer un greffon pour notre outil d'analyse.


2. Identification automatique des ressources d'une entreprise exposées sur Internet: Notre produit Cogiceo-Explorer possède actuellement des méthodes de découverte des ressources AS, IP, CIDR, FQDN via la récupération de données normalisées (enregistrements DNS, bases WHOIS, registres TLD) et des sources non structurées (moteurs de recherche, certificats SSL, Robtex). Le but est d'améliorer les outils de validation automatique des ressources découvertes. Les données remontées peuvent en effet être trop nombreuses pour être validées manuellement. Des connaissances en machine learning et réseaux de neurones seront les bienvenues (mais ne sont pas indispensables). Le langage de développement est le Python.


3. Étude de la sécurité des technologies de communication des objets connectés: Nous réalisons régulièrement des démonstrations de piratage et des présentations académiques de nos recherches telles que la sécurité des NRF24 (présentation au SSTIC en 2014), le piratage d'un smartphone Android via WiFi (CRiP 2014). Nous souhaitons une étude documentaire de la sécurité des technologies exploités par les objets connectés et une analyse approfondie sur 1 à 2 d'entre elles. L'objectif est de réaliser un état de l'art, un article scientifique, une synthèse de l'étude, 1 à 2 démonstrations d'attaques ou de compromissions d'objets connectés.


4. Développement d'un framework de Phishing: Le phishing est une menace de plus en plus répandue sur internet à laquelle toutes les entreprises font face.
Pour y répondre Cogiceo propose des campagnes de phishing afin de sensibiliser nos clients et leurs collaborateurs en leur envoyant de faux mails ou de fausses clés USB. Les actions de chacun des utilisateurs ciblés sont ensuite collectées afin d'établir des statistiques globales (branchement de la clé USB, activation de la macro, ouverture du mail, etc...) Le but de ce sujet de stage est d'améliorer notre outil CogiPhish, utilisé pour mener les campagnes de Phishing.
L'outil devra être le plus autonome possible afin d'en faciliter l'exploitation.


5. Analyse automatiques d'un environnement Linux: Cogiceo voudrait développer un outil d'analyse automatique d'un réseau Linux (mots de passe faibles, comptes
d’administrateurs oubliés, noyaux obsolète...). Dans un premier temps, le but est de concevoir le système de récolte des données et d’implémentation de nombreuses métriques de sécurité. Dans un second temps, l'objectif est d'implémenter l'analyse automatique des données récoltées. Le stagiaire devra également créer un laboratoire de test comprenant différentes distributions Linux pour réaliser ses tests.


6. Étude et maquettage de solutions de supervision en environnement Linux:
L'objet de ce sujet académique est de réaliser une étude des solutions Open Source de supervision et de détection d'intrusion en environnement linux, puis de réaliser une (ou plusieurs) maquette(s) des solutions qui semblent les plus pertinentes. De plus, les connaissances acquises sur les forces et faiblesses des solutions étudiées seront également mises à profit pour améliorer notre méthodologie d'audit d'efficacité d'IDS, ainsi que nos méthodologies d'intrusion furtive mises en œuvres lors d'audits red team.

CANDIDATURE

Pour postuler à ce stage, veuillez envoyer lettre de motivation et vous préciserez le(s) sujet(s) académiques le(s) plus en adéquation avec vos attentes et les raisons de ce choix. Vous serez recontacté pour un entretien téléphonique avant une éventuelle rencontre dans nos locaux à Paris.

Apply