Le piratage éthique : un moyen d'améliorer la sécurité des entreprises
Si les pirates informatiques (ou hackers) sont les ennemis des professionnels de la cybersécurité, il est intéressant de comprendre leur manière d'opérer pour mieux s'en protéger. Dans cette optique, de plus en plus d'entreprises à travers le monde font appel à des hackers pour tester leur infrastructure de sécurité et développer des pratiques de sécurité plus robustes.
Avant d'intégrer des tests d’intrusion à leur politique de sécurité, les entreprises doivent comprendre les différents types de hackers qui existent et leurs motivations. C’est seulement de cette manière qu’elles pourront utiliser leurs compétences et en faire bénéficier l’ensemble de l’organisation.
Les « black hats »
Les black hats (chapeaux noirs) sont des cybercriminels initialement motivés par le gain personnel ou financier. Il peut s'agir de jeunes pirates amateurs, d'individus expérimentés ou d'équipes très bien organisées. Cependant, au cours des dernières années, plusieurs de ces cybercriminels se sont détournés de leurs activités malveillantes pour mettre leurs compétences informatiques au profit de la protection d’organisations. C'est le cas de Kevin Mitnick, alias Condor, qui n'avait que 16 ans lorsqu'il a accédé à un ordinateur du ministère de la Défense américain. À la suite de ce piratage et de nombreux autres, Mitnick a passé cinq ans et demi en prison. À sa sortie, il a créé sa propre société spécialisée dans les tests d’intrusion pour ses clients.
Il est toutefois légitime de se demander si travailler avec un ancien black hat constitue un risque. Certains pensent qu'il est essentiel d'embaucher d'anciens hackers pour garder une longueur d'avance sur les techniques de piratage. Pourtant, d'autres s'inquiètent de leur donner accès aux systèmes de l'entreprise et aux données des clients. Vers quelle autre solution se tourner ?
Les « white hats »
Souvent appelés « pirates éthiques », les « white hats » (chapeaux blancs) sont employés par les organisations pour rechercher les failles dans les systèmes de sécurité. Bien qu'ils utilisent les mêmes tactiques que les « black hats », ces hackers détiennent l'autorisation de l'entreprise, ce qui rend leur action tout à fait légale.
De nombreuses organisations comme General Motors ou Starbucks se tournent vers les « white hats » pour qu’ils les aident à identifier les failles et les vulnérabilités dans leur dispositif de sécurité et à les résoudre. En France, ManoMano a embauché des pirates éthiques au sein de son équipe sécurité et a rejoint une plateforme qui fédère une communauté privée de 500 « white hats ». Cette stratégie offensive lui a été indispensable pour faire face aux cyberattaques, en forte augmentation.
Par ailleurs, le piratage éthique peut offrir de véritables opportunités professionnelles aux personnes possédant des compétences techniques. Attirer l'attention sur le rôle important que jouent les « white hats », c’est encourager davantage de personnes talentueuses à suivre une voie positive plutôt que de devenir des « black hats ».
Encourager les talents
Il existe de multiples programmes pour trouver, encourager et soutenir la prochaine génération de pirates éthiques. La conférence r00tz Asylum, par exemple, s’attache à enseigner aux jeunes comment devenir des « white hats ». Les participants apprennent comment les cybercriminels opèrent et comment les experts en cybersécurité s’en prémunissent. L'objectif est d'encourager les personnes à utiliser leurs compétences techniques à bon escient tout au long de leur carrière professionnelle.
Grâce à cette nouvelle génération de professionnels de la cybersécurité, les entreprises pourront ainsi mieux intégrer la sécurité dès la création de nouvelles infrastructures. Ce type d’initiatives est l’occasion d’offrir aux jeunes intéressés par la sécurité informatique un environnement d'apprentissage sûr et un accès à des mentors.
Construire sur des bases solides
Pour les équipes chargées d’entretenir la confiance des clients et de protéger les données, une approche sécurité de bout en bout est essentielle. En effet, le « hacking éthique » est un moyen efficace d’analyser la stratégie du point de vue d'un cybercriminel afin d'identifier et d'éliminer toute vulnérabilité.
Cependant, il est également important d’intégrer les problématiques de sécurité dans l'ensemble des stratégies d'une organisation. Travailler avec une plateforme de cloud peut être bénéfique puisqu’elles sont développées pour répondre aux besoins des organisations les plus sensibles aux risques. De plus, elles offrent des services de sécurité automatisés, tels que la gestion proactive des évaluations et des politiques de sécurité et la détection des menaces. Cela libère les professionnels de sécurité et les pirates éthiques d'une grande partie des tâches à faible valeur ajoutée et leur permet ainsi de concentrer leurs efforts à améliorer la robustesse et la résilience du système de sécurité de leur organisation.