Talk

« Organiser un CTF en entreprise avec OWASP Juice Shop : retour d’expérience de A à Z »
Xavier KRESS

Les vulnérabilités web, tout le monde en entend parler… mais tant qu’on ne les “voit” pas, ça reste abstrait. Pour rendre la sécurité concrète, fun et mémorable, on a organisé chez Médiamétrie un challenge interne basé sur l'application Juice Shop de l'OWASP (format CTF en équipes).

Dans ce talk, je souhaite raconter comment on l’a monté de bout en bout :

  • Objectifs : sensibilisation, montée en compétence, culture sécurité, et Team Building qui donne envie de progresser.
  • Mise en place : choix du format, constitution des équipes, règles du jeu, timebox, communication, et “fair play”.
  • Infra & logistique : isolation des environnements (multi-instances sur AWS EKS), gestion des accès, scoreboard, support pendant l’événement
  • Animation : comment garder tout le monde embarqué (indices, paliers, mini-débriefs).
  • REX : ce qui a marché / ce qui a moins bien marché, les pièges à éviter.
  • Capitalisation : comment transformer l’événement en actions durables (quick wins, checklists, ateliers, backlog sécurité, rituels, documentation, etc.).

Objectif du talk : repartir avec un plan d’action réplicable (checklist + déroulé + tips), que l'on sois dans une petite équipe ou une DSI plus large.

Plan (timing indicatif)

  • 0–5 min — Intro / Présentation
  • 5–15 min — Pourquoi un challenge sécurité (et pourquoi Juice Shop)
  • 15–30 min — Infrastructure, format et logistique : équipes, instances, accès, support, animation
  • 30–40 min — Retours d’expérience : surprises, échecs, anti-patterns
  • 40–45 min — Capitalisation : comment ne pas en rester à “c’était sympa”
  • 45–50 min — Conclusion + ressources + Q/R

Ce que les participants vont apprendre

  • Construire un CTF interne motivant et accessible (même avec des niveaux variés)
  • Les points clés pour une logistique sans douleur (instances, règles, support)
  • Les pièges classiques (sur-complexité, manque d’onboarding, compétition toxique)
  • Comment capitaliser : transformer un event en progression durable (outillage, pratiques, backlog)

Prérequis

Aucun. Connaissances web basiques, mais pas nécessaires.

Performance & security Tech talk (50 min) Beginner French