Alors que de plus en plus d’entreprises investissent dans le renforcement de leur sécurité informatique, la plupart des pratiques de cybersécurité sont encore basées sur la réaction, s’appuyant sur des outils logiciels pour identifier le moment où une attaquée a eu lieu – ou a été tentée – et réagir en conséquence.
Mais comme les cyberattaques continuent d’augmenter en fréquence et en sophistication, il est clair que les entreprises doivent adopter une approche plus proactive pour contrer les menaces de cybersécurité.
Les hackers éthiques sont recherchés pour aider les entreprises à identifier les menaces potentielles et les faiblesses de leurs réseaux avant qu’une attaque ne se produise, en travaillant efficacement contre les cybercriminels pour les battre à leur propre jeu.
Penser comme l’attaquant
« Quel que soit le budget que vous consacrez aux seuls outils de cybersécurité, vous avez besoin d’un élément humain », fait valoir Haris Pylarinos, PDG de la plateforme de formation de hackers éthiques, Hack the Box.
Haris Pylarinos, ancien hacker éthique et testeur de logiciels espions, qui compte plus de 15 ans d’expérience dans le domaine de l’informatique et de la cybersécurité, estime que les approches habituelles de la cybersécurité sont limitées, dans la mesure où elles ne reflètent pas les méthodes et techniques utilisées par les hackers pour les cyberattaques.
Selon lui, la meilleure défense reste l’attaque. « Vous devez penser et agir comme l’attaquant afin de trouver tous les moyens, aussi créatifs soient-ils, d’obtenir un accès non autorisé à vos systèmes », explique-t-il à ZDNet.
80 % des fuites de données peuvent être attribuées à une pénurie de compétences
Selon une étude récente, 80 % des fuites de données peuvent être attribuées à une pénurie de compétences en cybersécurité dans la population active.
Si les programmes de formation à la cybersécurité peuvent améliorer la sensibilisation et la résistance des organisations aux cyberattaques, ils ne dispensent généralement pas le type d’expérience pratique qui permet aux équipes de sécurité de se mettre dans la peau des adversaires, explique Haris Pylarinos, ou de consacrer du temps à la mise à l’épreuve des réseaux d’entreprise à la recherche de failles susceptibles d’être exploitées par des pirates.
C’est là que les hackers éthiques entrent en scène. « Ils imitent ce comportement, ils trouvent ces failles qu’aucun outil n’est capable de trouver », précise-t-il.
Les hackers éthiques dans le public
Les organismes du secteur public commencent également à reconnaître la valeur du hacking éthique. En mai 2022, le Cabinet Office du gouvernement britannique a publié une offre d’emploi pour un hacker éthique senior afin d’aider à fournir des tests d’intrusion et des capacités de red-teaming pour le gouvernement, et de prendre la responsabilité de« simuler des outils et techniques cyberoffensifs ».
« Je présume que, comme la plupart des organisations, ils reconnaissent le besoin critique d’adopter un état d’esprit de piratage dans l’environnement actuel de haute menace », estime Haris Pylarinos.
« C’est le seul moyen de garder une longueur d’avance sur les criminels et il faut s’en féliciter. »
Malgré cela, la profession reste une niche. Ce qui se rapproche le plus des hackers éthiques, pour la plupart des organisations, ce sont les testeurs d’intrusion (pentesters), dont le travail consiste à sonder des parties spécifiques de l’environnement informatique d’une entreprise afin de découvrir et de révéler d’éventuelles vulnérabilités.
En réalité, le piratage éthique a un rôle beaucoup plus large. Il utilise tous les outils et techniques à sa disposition pour mettre en place des attaques et tester les faiblesses de plusieurs parties de l’environnement informatique, comme le ferait un hacker criminel.
« Généralement, selon moi, un pentester décrit ce que fait une personne – un professionnel de la cybersécurité qui se concentre sur les moyens de pénétrer dans les réseaux », indique Haris Pylarinos.
Un recrutement pas comme les autres
Les hackers éthiques ne doivent pas nécessairement être des professionnels de la cybersécurité non plus : « Si un développeur dans une équipe pense comme un hacker éthique, il peut souvent repérer les failles de sécurité avant qu’elles ne se produisent. »
Bien sûr, le recrutement et la formation de personnes pour devenir des hackers éthiques restent un obstacle important, notamment parce qu’il y a une pénurie massive de talents disponibles.
Une fois encore, Haris Pylarinos souligne que les hackers éthiques ne doivent pas nécessairement être des spécialistes de la cybersécurité, même s’ils doivent être compétents en matière de technologie et partager certaines des caractéristiques qui font que les hackers sont bons dans leur domaine.
« L’évaluation des compétences techniques devrait être prioritaire dans le processus de recrutement, mais la bonne nouvelle, c’est qu’elles sont souvent faciles à évaluer », précise-t-il. « Cela permet aux responsables du recrutement de jauger les connaissances des hackers sur les derniers exploits et vecteurs d’attaque à travers les nouvelles solutions et plateformes technologiques utilisées par les organisations et les entreprises aujourd’hui, comme l’expertise du cloud. »
« Vous ne pouvez pas vous contenter de « pirater » »
Une curiosité innée pour le fonctionnement des choses – qui « indique que le candidat sera capable de repérer les vulnérabilités facilement et rapidement » – ainsi que des compétences générales comme la communication et la capacité à travailler en équipe sont également des caractéristiques essentielles, selon l’ancien hacker éthique.
Les meilleurs hackers éthiques sont capables de communiquer clairement et d’exprimer avec précision la gravité de différentes situations, ajoute-t-il. « Les conseils qu’ils fournissent, ainsi que leurs suggestions de moyens exploitables pour atténuer les problèmes, nécessitent une confiance et une adhésion immédiates de l’ensemble de l’équipe pour faire la différence dans un environnement de travail rapide et sous haute pression. »
La formation de hackers éthiques comporte également des considérations particulières, dans la mesure où elle nécessite un environnement technique sûr où les étudiants peuvent tester différentes techniques et divers scénarios. « Vous ne pouvez pas vous contenter de « pirater » », prévient Haris Pylarinos. « C’est illégal, et vous pouvez causer des dommages. »
Source : ZDNet.com
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));