On les appelle les hackers éthiques et ils œuvrent du bon côté de la barrière. Ils se mettent au service des entreprises qui craignent pour leur cybersécurité et traquent les failles de leur système informatique. L’objectif : déceler les faiblesses puis les corriger avant que les cybercriminels ne s’y engouffrent. Comment travaillent ces hackers « bienveillants » et quelles sont leurs missions ? Les entreprises, cibles privilégiées des cyberattaques Les années se suivent et se ressemblent pour les cheffes et chefs d’entreprise en matière de cybersécurité. La menace du piratage informatique fait toujours partie du paysage, et les dirigeants de société en sont bien conscients. En début d’année, le Baromètre des risques Allianz 2023 indiquait que le sujet d’inquiétude numéro un des dirigeants français était la cybersécurité. La fuite de données et l’attaque par rançongiciels représentant leurs deux principales craintes. Des inquiétudes que viennent régulièrement légitimer les chiffres. Ainsi, le cabinet Asterès, spécialiste de la recherche et des études économiques, a été mandaté par le CRiP (Club des Responsables d’infrastructure, de technologies et de Production IT) pour établir un bilan des cyberattaques réussies en France en 2022. Selon le cabinet, 347 000 attaques réussies ont touché les systèmes informatiques d’entreprises françaises en 2022. Cela correspond à une moyenne de 1,8 cyberattaque par société et par an. Les PME sont particulièrement exposées : elles ont été attaquées 330 000 fois. Dans ce contexte anxiogène pour les organisations, un nouveau profil encore émergent dans le monde de la cybersécurité s’avère particulièrement utile : celui du hacker éthique. Le hacker éthique doit penser comme un cybercriminel Le hacker éthique doit penser comme un hacker aux intentions malveillantes. Il adopte les mêmes méthodes que les cybercriminels pour identifier l’ensemble des failles qui rendent un système d’information, un réseau ou un équipement informatique, facilement exploitable pour mener une cyberattaque. L’enjeu est évidemment d’imaginer tous les scénarios possibles afin de déjouer un piratage avant qu’il ne survienne. La nuance, et elle est de taille, c’est que le hacker éthique agit sur demande et dans l’intérêt d’une entreprise afin de l’avertir des fragilités à corriger. 347 000 attaques réussies ont touché les systèmes informatiques d’entreprises françaises en 2022. Asterès, étude « Les cyberattaques réussies en France : un coût de 2 Mds€ en 2022 » Comment intervient le hacker éthique ? Le hacker éthique passe au crible tout un panel d’éléments, en se focalisant particulièrement sur certaines vérifications. Il réalise par exemple des scans de vulnérabilités. Lesquels permettent de cartographier l’ensemble des failles qui présentent un danger en matière de cybersécurité. Il va également s’employer à repérer et à mettre en évidence les configurations de sécurité insatisfaisantes. Appareils non ou mal sécurisés, applications mal configurées, fichiers non chiffrés, utilisation de mots de passe insuffisamment robustes… Le hacker éthique s’intéresse également de près aux modes d’authentification des utilisateurs, qui représentent des portes d’entrée souvent exploitées pour les cyberattaques. Enfin, il étudie aussi les usages en matière de protection des données en vigueur dans la société pour laquelle il intervient, afin de mettre au jour les mauvaises pratiques qui pourraient rendre des informations sensibles vulnérables. Écoles, formations, plateformes dédiées : le hacking éthique, une activité en voie de professionnalisation Les besoins en cybersécurité sont tels que des écoles enseignent à des étudiants, mais aussi à des professionnels en formation continue, les techniques du hacking éthique. C’est par exemple le cas de la Guardia School qui délivre une certification à l’issue des 200 heures de sa formation intitulée Maîtriser les techniques de base du Hacker Éthique. Une large part du cursus est consacrée à des ateliers pratiques visant à apprendre concrètement les techniques utilisées par les hackers pour identifier les failles. En savoir plus Qui sont les auteurs de cybermenaces et quelles sont leurs motivations ? En savoir plus Qui sont les auteurs de cybermenaces et quelles sont leurs motivations ? D’autre part, des plateformes mettent en relation des hackers éthiques indépendants et des entreprises qui souhaitent utiliser leurs services afin de renforcer leur sécurité cyber. La plateforme YesWeHack est probablement la plus connue. Lancée en 2013, elle se targue, 10 ans après sa création, de regrouper 21 000 hackers proposant leurs services à plus de 200 clients présents dans 120 pays. La plateforme a notamment été utilisée par CNP Assurances, BlaBlaCar, Orange, Dailymotion, Qwant ou encore le ministère de la Défense français. YesWeHack fonctionne sur le principe du « bug bounty », une série de tests réalisés en continu sur plusieurs mois. Les hackers éthiques qui débusquent le plus de fragilités dans les systèmes d’une entreprise sont récompensés par une prime qui peut atteindre plusieurs milliers d’euros. Un événement annuel dédié au hacking éthique Créé en 2015 le BreizhCTF (CTF pour « capture the flag », soit capture de drapeau) réunit chaque année, à Rennes, la fine fleur des hackers bienveillants. La dernière édition de ce rendez-vous s’est déroulée en mars 2023 et a vu s’affronter 600 participants dans une vaste compétition de hacking éthique. L’enjeu n’est cependant pas uniquement ludique. Bien au contraire. La manifestation attire également les entreprises, qui viennent networker et rencontrer des collaborateurs potentiels. Lors de l’événement, une journée a effectivement été consacrée à un « Hack&Job ». Signe de l’intérêt grandissant des entreprises pour la discipline du hacking éthique. Facebook Twitter LinkedIn Lire aussi Comment concilier cybersécurité et sobriété numérique ? Technologie & Systèmes 13 février 2024 Confrontées à un univers cyber toujours plus menaçant, les entreprises doivent, dans le même temps, veiller à réduire l’empreinte environnementale engendrée par leurs activités et équipements numériques. La cybersécurité des entreprises peut-elle concilier efficacité et écoresponsabilité ? Les entreprises à la croisée des enjeux de sécurité et de préservation de… Quel avenir pour la vidéosurveillance assistée par intelligence artificielle ? Technologie & Systèmes 30 janvier 2024 Alors que le recours à la vidéosurveillance intelligente dans l’espace public soulève des interrogations quant au respect des libertés fondamentales des individus, les autorités viennent d’indiquer qu’elle ne serait utilisée que de façon restreinte lors des JO de Paris 2024. Elles n’y ont finalement pas eu recours lors de la… La cybersécurité des infrastructures critiques, un enjeu d’importance nationale Technologie & Systèmes 23 janvier 2024 Télécommunication, santé, services financiers, énergie, agriculture… La France compte 300 entreprises et organismes publics et privés considérés comme des infrastructures critiques. Les autorités françaises parlent d’Opérateurs d’importance vitale (OIV), parce qu’ils sont jugés essentiels au bon fonctionnement de l’Etat et de son économie. Pourquoi leur protection cyber est-elle essentielle ? Comment… Voir plus d'articles Abonnez-vous ! Envoyer
Comment concilier cybersécurité et sobriété numérique ? Technologie & Systèmes 13 février 2024 Confrontées à un univers cyber toujours plus menaçant, les entreprises doivent, dans le même temps, veiller à réduire l’empreinte environnementale engendrée par leurs activités et équipements numériques. La cybersécurité des entreprises peut-elle concilier efficacité et écoresponsabilité ? Les entreprises à la croisée des enjeux de sécurité et de préservation de…
Quel avenir pour la vidéosurveillance assistée par intelligence artificielle ? Technologie & Systèmes 30 janvier 2024 Alors que le recours à la vidéosurveillance intelligente dans l’espace public soulève des interrogations quant au respect des libertés fondamentales des individus, les autorités viennent d’indiquer qu’elle ne serait utilisée que de façon restreinte lors des JO de Paris 2024. Elles n’y ont finalement pas eu recours lors de la…
La cybersécurité des infrastructures critiques, un enjeu d’importance nationale Technologie & Systèmes 23 janvier 2024 Télécommunication, santé, services financiers, énergie, agriculture… La France compte 300 entreprises et organismes publics et privés considérés comme des infrastructures critiques. Les autorités françaises parlent d’Opérateurs d’importance vitale (OIV), parce qu’ils sont jugés essentiels au bon fonctionnement de l’Etat et de son économie. Pourquoi leur protection cyber est-elle essentielle ? Comment…