On les appelle les hackers éthiques et ils œuvrent du bon côté de la barrière. Ils se mettent au service des entreprises qui craignent pour leur cybersécurité et traquent les failles de leur système informatique. L’objectif : déceler les faiblesses puis les corriger avant que les cybercriminels ne s’y engouffrent. Comment travaillent ces hackers « bienveillants » et quelles sont leurs missions ? Les entreprises, cibles privilégiées des cyberattaques Les années se suivent et se ressemblent pour les cheffes et chefs d’entreprise en matière de cybersécurité. La menace du piratage informatique fait toujours partie du paysage, et les dirigeants de société en sont bien conscients. En début d’année, le Baromètre des risques Allianz 2023 indiquait que le sujet d’inquiétude numéro un des dirigeants français était la cybersécurité. La fuite de données et l’attaque par rançongiciels représentant leurs deux principales craintes. Des inquiétudes que viennent régulièrement légitimer les chiffres. Ainsi, le cabinet Asterès, spécialiste de la recherche et des études économiques, a été mandaté par le CRiP (Club des Responsables d’infrastructure, de technologies et de Production IT) pour établir un bilan des cyberattaques réussies en France en 2022. Selon le cabinet, 347 000 attaques réussies ont touché les systèmes informatiques d’entreprises françaises en 2022. Cela correspond à une moyenne de 1,8 cyberattaque par société et par an. Les PME sont particulièrement exposées : elles ont été attaquées 330 000 fois. Dans ce contexte anxiogène pour les organisations, un nouveau profil encore émergent dans le monde de la cybersécurité s’avère particulièrement utile : celui du hacker éthique. Le hacker éthique doit penser comme un cybercriminel Le hacker éthique doit penser comme un hacker aux intentions malveillantes. Il adopte les mêmes méthodes que les cybercriminels pour identifier l’ensemble des failles qui rendent un système d’information, un réseau ou un équipement informatique, facilement exploitable pour mener une cyberattaque. L’enjeu est évidemment d’imaginer tous les scénarios possibles afin de déjouer un piratage avant qu’il ne survienne. La nuance, et elle est de taille, c’est que le hacker éthique agit sur demande et dans l’intérêt d’une entreprise afin de l’avertir des fragilités à corriger. 347 000 attaques réussies ont touché les systèmes informatiques d’entreprises françaises en 2022. Asterès, étude « Les cyberattaques réussies en France : un coût de 2 Mds€ en 2022 » Comment intervient le hacker éthique ? Le hacker éthique passe au crible tout un panel d’éléments, en se focalisant particulièrement sur certaines vérifications. Il réalise par exemple des scans de vulnérabilités. Lesquels permettent de cartographier l’ensemble des failles qui présentent un danger en matière de cybersécurité. Il va également s’employer à repérer et à mettre en évidence les configurations de sécurité insatisfaisantes. Appareils non ou mal sécurisés, applications mal configurées, fichiers non chiffrés, utilisation de mots de passe insuffisamment robustes… Le hacker éthique s’intéresse également de près aux modes d’authentification des utilisateurs, qui représentent des portes d’entrée souvent exploitées pour les cyberattaques. Enfin, il étudie aussi les usages en matière de protection des données en vigueur dans la société pour laquelle il intervient, afin de mettre au jour les mauvaises pratiques qui pourraient rendre des informations sensibles vulnérables. Écoles, formations, plateformes dédiées : le hacking éthique, une activité en voie de professionnalisation Les besoins en cybersécurité sont tels que des écoles enseignent à des étudiants, mais aussi à des professionnels en formation continue, les techniques du hacking éthique. C’est par exemple le cas de la Guardia School qui délivre une certification à l’issue des 200 heures de sa formation intitulée Maîtriser les techniques de base du Hacker Éthique. Une large part du cursus est consacrée à des ateliers pratiques visant à apprendre concrètement les techniques utilisées par les hackers pour identifier les failles. En savoir plus Qui sont les auteurs de cybermenaces et quelles sont leurs motivations ? En savoir plus Qui sont les auteurs de cybermenaces et quelles sont leurs motivations ? D’autre part, des plateformes mettent en relation des hackers éthiques indépendants et des entreprises qui souhaitent utiliser leurs services afin de renforcer leur sécurité cyber. La plateforme YesWeHack est probablement la plus connue. Lancée en 2013, elle se targue, 10 ans après sa création, de regrouper 21 000 hackers proposant leurs services à plus de 200 clients présents dans 120 pays. La plateforme a notamment été utilisée par CNP Assurances, BlaBlaCar, Orange, Dailymotion, Qwant ou encore le ministère de la Défense français. YesWeHack fonctionne sur le principe du « bug bounty », une série de tests réalisés en continu sur plusieurs mois. Les hackers éthiques qui débusquent le plus de fragilités dans les systèmes d’une entreprise sont récompensés par une prime qui peut atteindre plusieurs milliers d’euros. Un événement annuel dédié au hacking éthique Créé en 2015 le BreizhCTF (CTF pour « capture the flag », soit capture de drapeau) réunit chaque année, à Rennes, la fine fleur des hackers bienveillants. La dernière édition de ce rendez-vous s’est déroulée en mars 2023 et a vu s’affronter 600 participants dans une vaste compétition de hacking éthique. L’enjeu n’est cependant pas uniquement ludique. Bien au contraire. La manifestation attire également les entreprises, qui viennent networker et rencontrer des collaborateurs potentiels. Lors de l’événement, une journée a effectivement été consacrée à un « Hack&Job ». Signe de l’intérêt grandissant des entreprises pour la discipline du hacking éthique. Facebook Twitter LinkedIn Lire aussi L’analyse de données, un levier sous-exploité pour la sécurité des entreprises Technologie & Systèmes 25 mars 2025 Au cœur des enjeux sécuritaires actuels, l’exploitation intelligente des données collectées représente un potentiel considérable, mais largement inexploité. Les entreprises modernes disposent d’une grande richesse d’informations générée par leurs différents systèmes de sécurité, mais rares sont celles qui en tirent pleinement parti. Comment transformer ces données brutes en véritable levier… L’importance de la maintenance des équipements de sécurité électronique Technologie & Systèmes 25 février 2025 Caméras de surveillance, alarmes, systèmes de contrôle d’accès électronique…Dans le domaine de la sécurité, posséder des équipements de pointe est une chose, mais les maintenir en parfait état de fonctionnement en est une autre, tout aussi cruciale. La maintenance régulière et rigoureuse des dispositifs de sécurité électronique est trop souvent… Les techniques d’investigation au service de la sécurité des entreprises Métiers & Formations 11 février 2025 Dans un monde économique de plus en plus complexe et interconnecté, les entreprises sont contraintes de sans cesse renforcer leurs dispositifs de sécurité. Les menaces à leur encontre se sont multipliées et sophistiquées, mettant en péril leurs actifs, leur réputation et parfois même leur pérennité. Face à ces défis, les… Voir plus d'articles Abonnez-vous ! Envoyer
L’analyse de données, un levier sous-exploité pour la sécurité des entreprises Technologie & Systèmes 25 mars 2025 Au cœur des enjeux sécuritaires actuels, l’exploitation intelligente des données collectées représente un potentiel considérable, mais largement inexploité. Les entreprises modernes disposent d’une grande richesse d’informations générée par leurs différents systèmes de sécurité, mais rares sont celles qui en tirent pleinement parti. Comment transformer ces données brutes en véritable levier…
L’importance de la maintenance des équipements de sécurité électronique Technologie & Systèmes 25 février 2025 Caméras de surveillance, alarmes, systèmes de contrôle d’accès électronique…Dans le domaine de la sécurité, posséder des équipements de pointe est une chose, mais les maintenir en parfait état de fonctionnement en est une autre, tout aussi cruciale. La maintenance régulière et rigoureuse des dispositifs de sécurité électronique est trop souvent…
Les techniques d’investigation au service de la sécurité des entreprises Métiers & Formations 11 février 2025 Dans un monde économique de plus en plus complexe et interconnecté, les entreprises sont contraintes de sans cesse renforcer leurs dispositifs de sécurité. Les menaces à leur encontre se sont multipliées et sophistiquées, mettant en péril leurs actifs, leur réputation et parfois même leur pérennité. Face à ces défis, les…