Synacktiv, référence internationale en matière de cybersécurité offensive, prouve à nouveau son excellence. Elle remporte, pour la deuxième année consécutive, la 1re place du Hack The Box Business CTF 2025 (renommé Global Cyber Skills Benchmark CTF), challenge mondial réservé aux équipes de chercheurs en cybersécurité issus des entreprises. Organisée du 23 au 27 mai, la compétition a rassemblé plus de 700 équipes et 4500 joueurs venus des quatre coins du globe. Explications avec Jean-Baptiste Mesnard-Sense de Synacktiv.

Synacktiv est une entreprise française spécialisée en cybersécurité offensive qui compte 200 experts. Fondée en 2012 par deux experts en cybersécurité, elle intervient dans différents domaines : tests d’intrusions, rétro-ingénierie, réponse à incidents et développement d’outils offensifs. Jean-Baptiste Mesnard-Sense est expert-sécurité, spécialisé en tests d’intrusion et audits de sécurité chez Synacktiv depuis 2021.

Techniques de l’Ingénieur : Pouvez-vous nous présenter cette compétition ?

Jean-Baptiste Mesnard-Sense : Cette compétition se déroule sur fond de scénario fictif d’une cyberattaque (voir l’encadré sur Operation Blackout). Le concours était un CTF (Capture The Flag). Il consiste à résoudre des épreuves techniques ou exploiter des vulnérabilités affectant des applications de manière à récupérer des drapeaux (flags), preuves de l’intrusion. Le Hack The Box Business CTF 2025 était en mode Jeopardy, c’est-à-dire que cette compétition regroupait plusieurs catégories d’épreuves. L’idée, c’est de proposer des challenges dans plusieurs thématiques techniques afin de renforcer l’aspect pluridisciplinaire de l’évènement. En l’occurrence, il y avait une dizaine de thématiques techniques qui étaient couvertes (exploitation web, exploitation cryptographique, réponses à incidents, rétro-ingénierie, exploitation de binaire…). Il y avait aussi, et c’est encore un peu rare, des challenges basés sur du hardware, de l’intelligence artificielle, du cloud ainsi que des systèmes complets (box), spécialité et cœur de métier de l’entreprise Hack The Box. Il fallait donc par exemple, chercher des vulnérabilités basées sur des environnements Scada (supervisory control and data acquisition) pour simuler des attaques sur des réseaux industriels. La compétition est conçue pour être assez longue avec 66 challenges répartis sur 4 jours.

Des équipes ont été envoyées par de grands groupes américains (Microsoft, Cisco, PayPal…). Seuls ces poids lourds peuvent gagner ?

Non. Dans le top 10 des meilleures équipes, on retrouve la France, le Japon, les États-Unis, mais aussi Chypre, l’Autriche, les Émirats-Unis et la Colombie ! Cette diversité prouve qu’il y a des talents dans tous les pays et que la taille des structures n’est pas forcément un élément différenciant. On retrouve ainsi des petites entreprises spécialisées en cybersécurité ayant réussi à fédérer un grand nombre de talents dans le haut du tableau.

Agilité opérationnelle et esprit d’équipe : deux critères indispensables pour prétendre être comme vous le numéro 1 du top 100 mondial ?

Oui, c’est très important. Ce genre de compétition oblige à maîtriser de nombreuses thématiques techniques et à gérer son temps de manière efficace.

Il faut donc réussir à composer avec des gens compétents dans des sujets techniques pouvant être très différents et réussir à travailler ensemble avec un même objectif. Si la communication n’est pas efficace et que les rôles ne sont pas bien répartis, cela a forcément une incidence sur le déroulé de la compétition et son résultat final.

Chez Synacktiv, nous sommes quasiment tout le temps amenés à travailler en équipe. Nous avons donc plus naturellement cette aisance à travailler ensemble, ce qui se révèle souvent être un atout sur ces évènements transverses.

Les entreprises déploient de plus en plus de logiciels de sécurité. Selon vous, sont-elles mieux protégées contre les cyberattaques ?

Comme tout outil, ces logiciels présentent des avantages et des inconvénients. Certains logiciels de sécurité apportent eux-mêmes un certain nombre de failles lorsqu’ils ne sont pas intégrés dans des cycles de développement rigoureux. En raison de leur nature privilégiée par défaut au sein des infrastructures, ils sont donc plus susceptibles d’être attaqués par des attaquants préparés. Ils ne doivent ainsi jamais être considérés comme autosuffisants, mais ils restent indéniablement des outils qui améliorent le niveau de sécurité global au fil des ans.