On les appelle « Hackers éthiques », « Pirates bienveillants », « White Hats », ou « Pentester » (pour « penetration test »)…Ces nouveaux experts de la cybersécurité sont en train de devenir les partenaires privilégiés des entreprises. Et pour cause !
La cybercriminalité évolue à la vitesse grand V, les sociétés peinent à recruter des profils qualifiés, les Etats tentent de se doter de dispositifs plus efficaces mais toujours insuffisants (comme le Cybersecurity Act)… Chaque année, le constat reste le même : les escrocs d’Internet ont toujours une longueur d’avance. Et avec la montée en puissance de l’intelligence artificielle (IA), couplée à la puissance de calcul du Big data, la situation n’est pas prête de s’arranger.
Dans ce contexte, les entreprises cherchent à renforcer au maximum leur sécurité informatique. Mais elles restent toujours avec une incertitude : les informations personnelles de leurs clients ou leurs données sensibles sont-elles suffisamment protégées ?
C’est à ce niveau-là qu’intervient le hacker éthique. Son métier : traquer et identifier toutes les failles de sécurité… sans se livrer à des activités criminelles.
Quelle est sa formation ?
Ces passionnés de sécurité informatique se formaient auparavant uniquement « sur le tas ». C’est encore le cas pour certains experts en cybercriminalité chevronnés, mais il existe désormais des cursus adaptés.
Les White Hats sont nombreux à avoir suivi une formation universitaire ou une école d’ingénieur avec une spécialisation dans les techniques de piratage.
Il existe aussi des centres de formation dédiés, comme l’école Hacka. Les étudiants y apprennent les techniques d’intrusion, les meilleures défenses, le contexte juridique et légal, l’éthique à mettre en place, …
Enfin, il faut oublier l’image du hacker solitaire, qui vit reclus dans sa chambre ou dans son garage. Le hacker éthique a une approche collaborative. Il est capable de coopérer et d’échanger avec d’autres collaborateurs ou experts.
Quelle est sa mission ?
Le Pentester va agir comme un pirate… mais sans vous réclamer une rançon ! Concrètement, il analyse votre infrastructure (réseau d’information, système d’information) pour déceler toutes les vulnérabilités.
Ses tests de sécurité permanents vous permettent de vous doter ensuite d’outils numériques adaptés et de corriger les bugs.
Comment est-il rémunéré ?
Généralement, il est payé à chaque fois qu’il trouve une faille. Le montant de ce « bug bounty » peut être très variable. Il dépend essentiellement de la complexité du système à analyser et de la gravité du bug découvert.
La prime au bug peut être particulièrement élevée dans certains cas. Par exemple, Apple promet désormais 1 million de dollars aux hackers éthiques qui identifieront un gros bug dans l’iOS et dans macOS. De son côté, Microsoft paie jusqu’à 40 000 dollars la découverte d’une faille critique dans sa plateforme de cloud Azure (source).
Où trouver un hacker éthique ?
Il y a plusieurs pistes pour dénicher ces talents rares :
– le crowdsourcing
Comme Apple ou Microsoft, n’importe quelle entreprise peut publiquement faire appel à des pirates bienveillants. Cette pratique est très répandue car elle offre une approche gagnant/gagnant :
- Le hacker éthique gagne une belle prime de façon légale, et il augmente sa notoriété.
- L’entreprise bénéficie d’une expertise de pointe et des dernières technologies pour évaluer sa sécurité informatique.
– le recrutement d’un pirate informatique
Certaines entreprises choisissent d’embaucher un pirate informatique :
- 100% éthique, c’est-à-dire issu d’une formation spécialisée. Elles se rapprochent dans ce cas des écoles pour faire connaître le poste à pourvoir.
- Ou… un peu moins vertueux. Au cas par cas, il peut être intéressant de recruter un talent ayant eu des activités cybercriminelles dans le passé. Tout va dépendre de son profil et du degré de gravité des actes commis. Mais il faut rester pragmatique : certains hackers se repentent et deviennent ensuite des consultants en sécurité reconnus.
– la montée en compétence des talents internes
Si vous avez déjà des développeurs ou des experts informatiques en interne, pourquoi ne pas développer leur savoir-faire ? Un audit interne peut permettre d’identifier des profils capables de se spécialiser en cybersécurité.
Au-delà des techniciens, il y a aussi des collaborateurs qui sont des passionnés d’informatique. Tous ceux/celles qui aiment créer des applications, des programmes, des sites web… peuvent se révéler de précieux atouts pour assurer la sécurité des données.
Renseignez-vous sur les formations existantes (généralement en anglais), car la plupart sont proposées à des tarifs qui restent abordables. A titre d’exemple, la qualification délivrée par l’Offensive Security Certified Professional (OSCP) coûte 800$ et les cours sont dispensés en ligne.
Après cette analyse en profondeur de toutes les vulnérabilités de votre système informatique, choisissez la bonne solution qui vous convient. MDK Solutions est à votre disposition pour échanger sur vos problématiques.