Sécurité
Lundi 9 février 2004
Hacking éthique : le "oui, mais..." de la sécurité Le recours à des professionnels du hacking, pour tester et évaluer une architecture, est nécessaire mais loin d'être suffisant. Retour sur une activité qualifiée d'éthique par certains. -->
              
En savoir plus
En août dernier avait lieu à Las Vegas un tournoi de hackers - le Root Fu - dont le but était, pour les équipes en compétition, de prendre d'assaut le système adversaire. Des techniques traditionnelles de piratage étaient bien entendu utilisées mais dans un esprit constructif, qualifié par certains d'éthique.

Régulièrement, certaines entreprises font appel à ce type de hackers spécialisés pour tester la solidité de leur dispositif de sécurité, faire l'inventaire des failles existantes, recenser les trous par lesquels de véritables pirates pourraient s'engouffrer, que ce soit au plan applicatif, des liaisons sans fil ou de l'infrastructure physique. Une démarche nécessaire mais en aucun cas suffisante car elle doit s'intégrer dans une politique sécurité beaucoup plus large.

Une simple liste ne suffit pas
La seule liste des vulnérabilités détectées au sein d'un système n'apporte en soi aucune information de valeur à l'entreprise qui fait appel aux services d'un hacker "éthique". L'entreprise sait, certes, une fois le scan réalisé, où se situent ses points faibles mais ne peut - si aucune analyse ou mise en perspective n'est réalisée - prendre les bonnes décisions.

Il est ainsi indispensable de classer ces failles par ordre de gravité, d'urgence, sachant que certaines d'entre elles peuvent s'avérer de nécessaires portes d'accès, notamment pour échanger des flux commerciaux ou informationnels avec partenaires et fournisseurs réguliers.

Par ailleurs, certaines failles ne mèneront les vrais pirates vers aucune zone sensible alors que d'autres pourront donner accès aux données commerciales les plus critiques. Le traitement, les délais, les moyens mis en oeuvre ne seront donc pas les mêmes.

S'inscrire dans la continuité et la globalité
Le recours à des hackers professionnels permet de photographier, à un instant "t", l'état d'une architecture. Cet état, par définition mouvant, n'est donc plus valable le lendemain de la "capture d'écran". Cette dernière peut donc constituer, pour l'entreprise, un idéal point de départ pour mettre en oeuvre une politique de sécurité plus globale et plus étalée dans le temps, notamment pour suivre les évolutions de la plate-forme (ajout d'applications, changements de machines, etc.).

En savoir plus
Qui plus est, les "oeuvres" d'un hacker professionnel doivent être très strictement cadrées, non pas par manque de confiance, mais par nécessité de savoir où commence et où se termine la mission. Cela permet, entre autres choses, de rester très précis sur ce qui a été effectué, donc de bien déterminer le périmètre exploré et par là même d'éviter tout triomphalisme trompeur, piège parmi les pièges en matière de sécurité.

[Fabrice DEBLOCK, JDN Solutions] Précédent | Haut de page 

Au sommaire de l'actualité

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY