Nothing to show

Looking for a 12--17 week Assistant Engineer internship starting in April 2026 (France)

Contact me on LinkedIn
Organiser un CTF en Junior-Entreprise

Organiser un CTF en Junior-Entreprise

6 min. de lecture
#JuniorEnterprise #Cybersecurity

Organiser un Capture The Flag (CTF) dans le cadre d’un congrès étudiant est un excellent moyen de sensibiliser aux enjeux de la cybersécurité , de l’ OSINT et de la protection des données personnelles , tout en proposant une activité ludique et collaborative. Dans cet article, je partage mon retour d’expérience sur l’organisation de mon premier CTF, mis en place lors d’un congrès régional de Junior-Entreprises.

Quelques participants du Congrès Régional d'Automne 2024

Présentation de l’événement

Durant mon mandat de Responsable des Systèmes d’Information au sein de la Junior-Entreprise Polytech Services Nancy, j’ai conçu et organisé un CTF à l’occasion du Congrès Régional d’Automne 2024 de la région Est des Junior-Entreprises, dont le thème était les data en Junior. L’événement s’est tenu à Polytech Nancy du 11 au 13 octobre 2024.

Au total, 13 Junior-Entreprises différentes étaient représentées, pour environ 40 participants. Ces Junior-Entreprises sont membres de la Confédération Nationale des Junior-Entreprises (CNJE). En raison de la diversité des Junior-Entreprises, le public était hétérogène sur le niveau de sensibilisation aux sujets abordés lors de cet événement.

Photo de groupe du Congrès Régional d'Automne 2024 Est à Polytech Nancy

Préparation du CTF

Pour la plateforme technique, nous avons fait le choix de CTFd, une solution open source largement utilisée dans l’écosystème de la cybersécurité. Son principal avantage réside dans sa simplicité de déploiement grâce à Docker , ainsi que dans sa facilité d’utilisation pour la création et la gestion des challenges. Le CTF était hébergé sur un serveur dédié, préparé en amont afin de limiter les risques techniques le jour J.

Contraintes organisationnelles

Plusieurs contraintes ont fortement influencé la conception du CTF. Le temps de jeu était limité à une heure maximum, ce qui imposait de courts challenges. Les équipes étaient constituées à l’avance afin de gagner du temps et de favoriser les échanges entre Junior-Entreprises . Chaque équipe était composée de quatre personnes, les challenges étant résolus collectivement au sein des équipes. Au total, dix équipes étaient réparties dans deux salles distinctes.

Capture d'écran de la liste des challenges sur CTFd

Thématiques des challenges

Au total, 19 challenges ont été conçus. Ce nombre nous a semblé cohérent compte tenu du temps imparti, du niveau supposé des participants et de la difficulté volontairement progressive des épreuves.

Open Source INTelligence (OSINT)

L’ Open Source Intelligence (OSINT) , ou renseignement d’origine sources ouvertes, désigne l’ensemble des techniques permettant de collecter et d’analyser des informations issues de sources publiques. Ces pratiques reposent exclusivement sur des données légalement accessibles, comme les réseaux sociaux, les sites web ou les registres publics.

Bien que l’OSINT soit historiquement utilisé dans les domaines de la sécurité nationale ou du renseignement, il présente un réel intérêt pour les Junior-Entreprises. Il permet notamment de se renseigner sur un client potentiel, d’évaluer sa solvabilité ou de limiter les risques de litiges en comprenant mieux son interlocuteur.

Cette thématique représentait la majorité du CTF, avec 14 challenges dédiés.

Cybersécurité

La cybersécurité regroupe l’ensemble des moyens mis en œuvre pour protéger les systèmes informatiques et les données contre les attaques. Elle concerne aussi bien les particuliers que les entreprises et les organisations étudiantes.

Les Junior-Entreprises manipulent en effet de nombreuses données sensibles, qu’il s’agisse des informations personnelles de leurs membres (pièces d’identité, RIB, numéros de sécurité sociale) ou des données confidentielles liées aux études réalisées pour les clients. Sensibiliser les membres à ces enjeux est donc essentiel pour prévenir les incidents et se préparer à la gestion de crises d’origine cyber.

Deux challenges étaient spécifiquement orientés cybersécurité, en s’appuyant notamment sur les bonnes pratiques recommandées par l’ Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) , qui propose un kit de sensibilisation accessible à tous.

Règlement Général sur la Protection des Données (RGPD)

Le Règlement Général sur la Protection des Données (RGPD) est un texte européen entré en application en 2018, visant à encadrer le traitement des données personnelles au sein de l’Union européenne. Il s’applique à toute organisation, publique ou privée, quelle que soit sa taille ou son secteur d’activité.

En France, la CNIL est l’autorité chargée de veiller au respect de ce règlement. Elle met à disposition de nombreuses ressources pédagogiques, notamment L’Atelier du RGPD, permettant d’acquérir les bases du règlement. Trois challenges du CTF ont permis de mieux comprendre les obligations légales des Junior-Entreprises.

Capture d'écran du Scoreboard sur CTFd

Déroulé de l’événement

Lancement du CTF

En amont du congrès, chaque participant a reçu un courriel détaillant les modalités de participation. Ce message précisait les thématiques abordées, les informations de connexion à la plateforme CTFd, la composition des équipes, la salle attribuée, ainsi qu’un rappel important : venir avec un ordinateur portable.

Imprévus rencontrés

Comme souvent lors d’événements techniques, quelques imprévus sont survenus. Le site archive.org (Internet Archive) était indisponible pendant le CTF, rendant impossible l’utilisation de la Wayback Machine pour certains challenges OSINT. Par chance, des solutions alternatives existaient et les participants ont su s’adapter.

Par ailleurs, certains participants n’avaient pas apporté leur ordinateur portable. Même si quelques épreuves pouvaient être résolues sur smartphone, ce n’était pas le cas de l’ensemble des challenges. Le travail en équipe a toutefois permis de mutualiser les ressources et de limiter l’impact de ce problème.

Organisation des équipes

Chaque équipe a adopté une stratégie différente. Certaines ont choisi de résoudre les challenges collectivement, tandis que d’autres ont préféré se répartir les épreuves en fonction des compétences de chacun. Cette diversité d’approches a enrichi l’expérience et favorisé les échanges entre participants.

Globalement, le format a été très bien accueilli et a suscité un réel engagement tout au long de l’activité.

Maël à la soirée festive de fin de congrès

Clôture du CTF et retour d’expérience

À la fin du CTF, les participants ont été remerciés pour leur implication. Un document récapitulatif leur a ensuite été envoyé afin de conserver une trace de l’événement, des challenges proposés et des thématiques abordées. Ce document incluait également des ressources complémentaires pour approfondir les sujets de l’OSINT, de la cybersécurité et du RGPD.

Organiser ce premier CTF a été une expérience extrêmement enrichissante qui m’a permis de prendre pleinement conscience de la rigueur et de l’anticipation nécessaires à un tel événement. Je tiens d’ailleurs à remercier l’ensemble des autres membres de l’équipe organisatrice du congrès pour cette collaboration : ce congrès restera un moment marquant de mon parcours de Junior-Entrepreneur.

Profile picture of Maël Gangloff

Maël Gangloff

@maelgangloff