La sécurité informatique est aussi offensive
Avec la recrudescence de la menace cyber, la multiplication et la sophistication des attaques informatiques, ils sont nombreux à croire que dorénavant, rester simplement sur la défensive ne peut plus suffire. Pour de nombreux spécialistes, l’heure est à l’offensive. Pour cela les hackers éthiques sont là pour répondre aux besoins.
Cet article va aussi vous intéresser : Cybersécurité des entreprises : les points clés sur lesquels les entreprises doivent s’accentuer
De manière concrète, le hacking fait appel à beaucoup de créativité. En particulier lorsqu’il faut trouver des failles de sécurité. Des failles dont la découverte fait appel à un esprit critique très développé. Quand on parle de faille de sécurité, on fait allusion à toutes les possibilités que peut utiliser une personne pour s’introduire de manière malveillante ou sans aucune autorisation dans un système informatique ou une infrastructure. Par conséquent les failles peuvent être matérielles, logicielles, ou humaines.
Si à l’accoutumée l’expression « hacker » fait référence pour beaucoup de personnes à du piratage informatique, on peut mettre en évidence une situation particulière qui est de nature à élargir le sens même de l’expression. Par exemple, dans le contexte du Bug Bounty, on fait appel à des hackers. Qui sont qualifiés notamment de « hackers éthiques » ou « hackers white hat« . On constate alors que le hacker n’est pas seulement celui qui s’est introduit frauduleusement dans un système informatique. C’est celui qui peut par ses compétences déployer un ensemble de procédures et de processus permettant de le protéger.
« Beaucoup d’organisations font appel aux hackers éthiques pour éprouver leur code, souvent au travers de Bug Bounties », explique Roni Carta, Ingénieur principal en sécurité sein de la Red Team de la plateforme ManoMano. « Mais un autre phénomène commence à monter en France : l’internalisation de ces profils directement au sein des équipes de sécurité des entreprises. ».
Aujourd’hui une grande partie des hackers éthiques préfèrent fonctionner en free-lance. Dans ce contexte, ils participent à la chasse aux Bugs organisée par les entreprises de manière ponctuelle chaque année. Toutefois il n’est pas rare de trouver certaines entreprises qui ont intégré littéralement la fonction de hacker éthique dans leur organigramme.
Concernant leur rémunération, les hackers éthiques sont rémunérés en fonction des failles de sécurité qu’ils découvrent. Ce modèle de rémunération a toujours été critiqué et pose notamment problème. Bien évidemment cela va dépendre de la manière dont les entreprises sont engagées dans le chemin de la cybersécurité.
« Mènent-elles ces tests parce qu’elles y sont contraintes, ou le font-elles pour protéger réellement leur système d’information et leurs collaborateurs ? », comme le signifie Roni Carta.
En outre, les opérations liées au pentesting peuvent d’une certaine manière enlever les craintes ou permettre aux entreprises d’anticiper d’éventuelles menaces. Particulièrement si elles finissent par se rendre compte que leurs systèmes informatiques sont compromis.
« Les entreprises ont tout intérêt à mettre en place une relation de confiance entre les hackers et leurs services. Des textes comme le RPGD [Règlement général sur la protection des données, NDLR] ont fort heureusement largement participé à faire rentrer dans les mœurs des pratiques comme le pentesting. Les mentalités changent. ».
Par ailleurs, on estime que la cybersécurité est beaucoup trop défensive. Si de manière constante, à travers le pentesting, les organismes ont mis à l’épreuve le système informatique, il faut mettre en évidence que les processus pour développer une offensive beaucoup plus impactant tardent à s’imposer. Bien évidemment les entreprises ont du mal à être offensives tellement habituées à l’aspect défensif.
« Chez ManoMano, la combinaison d’une équipe de sécurité offensive et d’un Bug Bounty donne pourtant de bien meilleurs résultats que les approches traditionnelles », note Roni Carta. « Grâce à notre Bug Bounty sur HackerOne, nous avons su fédérer notre propre communauté de hackers éthiques, ce qui nous permet d’accéder à une énorme source de connaissances sur les techniques d’attaque. » ajoute celui-ci.
De son côté la communauté des hackers fait de son mieux pour participer à la veille informatique dans le domaine de la sécurité en partageant entre membres des informations nécessaires. Ce qui facilite la détection des failles de sécurité. « Nous avons besoin en France de cette culture de l’offensif. Les entreprises doivent comprendre combien il est indispensable de disposer de hackers éthiques dans leurs rangs. Il faut réformer cette vision défensive pour passer à l’offensive ! » déclare Roni Carta.
Accédez maintenant à un nombre illimité de mot de passe :