Les vulnérabilités web, tout le monde en entend parler. Mais tant qu’on ne les a pas vues fonctionner, ou mieux, tant qu’on ne les a pas exploitées soi-même, elles restent souvent assez abstraites.
Chez Médiamétrie, on a voulu rendre la sécurité applicative plus concrète, plus engageante et plus mémorable. Pour cela, nous avons organisé un challenge interne basé sur OWASP Juice Shop, sous forme de challenge en équipes.
Dans ce retour d’expérience, je raconterai comment nous avons construit ce challenge de bout en bout : le choix du format, l’utilisation de Juice Shop, l’écosystème OWASP, l’infrastructure avec MultiJuicer, RootTheBox et AWS, mais aussi l’organisation concrète de l’événement : équipes, règles, animation, indices, scoreboard, goodies et débrief.
L’objectif n’était pas de créer une compétition réservée aux experts sécurité, mais de proposer un format accessible, ludique et encadré, pour faire pratiquer des profils variés sur des failles proches de leur quotidien.
Je partagerai également ce qui a bien fonctionné, ce qui a moins bien marché, et ce que nous améliorerions pour une prochaine édition.
À la fin du talk, vous repartirez avec des idées concrètes pour organiser un challenge sécurité adapté à votre contexte.
Parce qu’on retient mieux une faille qu’on a exploitée qu’une règle qu’on a simplement lue.
Prérequis Aucun pré requis avancé en cybersécurité. Le talk reste accessible à toute personne intéressée par la sécurité applicative, la sensibilisation des équipes ou l’organisation d’un événement technique interne.