Les hackers éthiques au service de la cybersécurité des entreprises

Article

Les hackers éthiques - Gatewatcher

Aujourd’hui couramment utilisé, le mot “hacker” est d’abord apparu dans les années 60 au sein du MIT (Massachusetts Institute of Technology). Si le terme est généralement associé à un acte malveillant, il existe une forme de hacking positif appelé “hacking éthique” (ou ethical hacking en anglais). De plus en plus prisé par les entreprises, ce type de hacking n’a pas pour but le piratage de données, mais plutôt la prévention des risques de cyberattaque. Un enjeu crucial à une époque où 39% des entreprises européennes et 9 entreprises sur 10 reconnaissent avoir subi une cyberattaque (ransomwares, spywares…) Focus sur une profession en devenir encore méconnue du grand public.

Hackers malveillants VS hackers éthiques

Hackers malveillants et hackers éthiques sont comme les faces d’une même pièce : tous deux sont à la recherche des failles de sécurité des systèmes d’information. Les premiers appelés “Black hat”, cherchent à exploiter ces failles de manière illégale. Leur méthode d’intrusion consiste à identifier des cibles, collecter des informations – certains hackers vont même jusqu’à se déplacer physiquement dans les locaux d’une entreprise ou à ses événements – et à maintenir des accès, tout en cachant les traces de leurs opérations.
Les seconds, appelés “White hat”, sont sollicités par les entreprises elles-mêmes. Leur objectif ? Tester la solidité d’un système de sécurité, recenser les failles détectées et consigner un ensemble de recommandations pour l’entreprise. En cas de trouvaille “sensible”, l’information est directement communiquée à l’ANSSI ou au gouvernement.

Certains de ces hackers bienveillants peuvent voir leur notoriété exploser. En 2014, Google révélait par exemple le lancement du Project Zero, son équipe d’experts de la cybersécurité avec à son bord, le hackeur professionnel britannique Tavis Ormandy, connu pour avoir notamment découvert des failles de Windows et de l’antivirus Sophos. Les Français ne sont pas non plus en reste et comptent parmi leurs rangs le hacker Gaël Musquet, réputé pour avoir apporté son expertise à l’armée de l’air et au moteur de recherche Qwant, et Nicolas François, dont les services ont pu profiter à Blablacar ou à Mozilla.

Des talents recherchés par les entreprises, qui n’hésitent pas à organiser des “chasses à la faille” ou Bug Bounty pour trouver la perle rare. Par exemple, la plateforme “Yes We Hack” encourage cette pratique en mettant en relation les hackers avec des entreprises partenaires. Celles-ci se laissent tester auprès des hackers, qui peuvent remporter jusqu’à 50.000 € en cas de découverte d’une faille de sécurité. Le Bug Bounty, aujourd’hui largement popularisé, a déjà été utilisé par Google, Facebook, Yahoo ou encore Reddit.
Mais contrairement aux idées reçues, le hacking éthique n’est pas nécessairement une chasse à la faille solitaire. En effet, les hackers éthiques peuvent agir en groupe, comme lors d’opérations Red Team et Blue Team. Ce type de simulation s’inscrit dans le cadre des pentests qui sont des audits ayant pour objectif un renforcement de la cyberdéfense. D’un côté, la Read Team est chargée d’attaquer le réseau trandis que la Blue Team est chargée de le défendre.

Et au milieu : les hackers gris

D’autres hackeurs se font quant à eux appelés Grey Hats. Leurs actions peuvent varier entre légalité et illégalité et entre moralité et immoralité. Certains d’entre eux s’introduisent dans un système pour faire valoir leurs compétences auprès d’une entreprise, d’autres pour prévenir ses failles de sécurité, d’autres encore pour défendre une cause – on parle alors d’hacktivisme depuis les années 2000, comme dans le cas du collectif Anonymous -. Contrairement aux intrusions des “Black Hat”, celles des Grey Hats n’ont donc pas forcément un objectif de nuisance.

À une période où les entreprises généralisent la transformation digitale de leurs processus avec pour conséquence un risque accru pour la sécurité de leurs systèmes d’information, les talents sont incités à rejoindre le camp des hackers éthiques pour avoir un temps d’avance et ainsi renforcer la cybersécurité.

Table des matières

Partager cet article :
Notre dernier article