Pirater sa propre entreprise pour mieux la protéger

Cropped Favicon Economi Matin.jpg
Par Tim Bandos Publié le 10 décembre 2019 à 5h12
Entreprises Salaries Piratage Menace Interne
@shutter - © Economie Matin
45 MILLIARDS $En 2018, le piratage dans le monde aurait coûté 45 milliards de dollars.

Le « piratage éthique » est une technique encore peu exploitée mais efficace pour identifier et corriger ses propres failles de sécurité et mieux faire face à un panorama de cybermenaces qui évolue constamment.

Alors que le nombre d’attaques informatiques va sans cesse croissant et que les cybercriminels renouvellent sans cesse leurs techniques et enrichissent leur arsenal, les entreprises s’échinent à déployer des systèmes de défense pour y faire face et protéger leurs infrastructures et leurs données. Mais en dépit des sommes dépensées, les résultats ne sont pas toujours au rendez-vous. Tirant les leçons de cet échec, les professionnels des systèmes informatiques ont donc développé une nouvelle approche originale de la défense des systèmes, en partant cette fois non plus des murs à bâtir mais des failles à combler.

Utiliser le piratage éthique pour sa propre entreprise

En dépit de l’image largement véhiculée par les films hollywoodiens, les pirates informatiques ne sont pas tous, loin s’en faut, des hors-la-loi aux motivations criminelles. Un type tout particulier de piratage est actuellement en vogue chez les entreprises : le « piratage éthique ». Si le nom peut surprendre, l’idée est de recourir à des professionnels externes à l’entreprise, recrutés pour l’attaquer de manière délibérée. Ceux-ci tentent systématiquement de pénétrer dans les réseaux, applications, appareils ou autres cibles de leur système informatique, afin d’en détecter les principales failles de sécurité. Une fois trouvées, ces dernières sont signalées au propriétaire de la ressource afin d’être corrigées.

Si de nombreux pirates éthiques utilisent les mêmes méthodes et tactiques que les pirates criminels, il existe pourtant une distinction nette entre les deux. D’abord, les pirates éthiques ont toujours l’autorisation explicite de la société « cible » avant d’entreprendre une activité de piratage. Ensuite, ils signalent toutes leurs constatations et les vulnérabilités détectées à l’entreprise, pour qu’elle y remédie. Enfin, ils veillent à ce que la confidentialité de l’organisation et de ses employés soit respectée tout au long du processus.

Prévenir les futures attaques

S’il existe des pirates éthiques qui officient seuls, la majorité offre leurs services au sein d’entreprises de cybersécurité. Celles-ci offrent un éventail de services aux organisations qui cherchent à améliorer leur sécurité globale. Le premier service est bien entendu l’identification des vulnérabilités au sein d’un système de sécurité informatique. Pour le compte de l’entreprise visée, ces pirates éthiques « bienveillants » procèdent donc à une évaluation complète de ses systèmes, en utilisant les mêmes techniques que les pirates informatiques « malveillants ». Une fois l’attaque terminée, ils fournissent un rapport détaillé, soulignant toutes les vulnérabilités trouvées. Le client pourra ainsi l’utiliser pour informer sa stratégie de sécurité, et améliorer l’ensemble de sa défense.

Partage de connaissances et démonstrations d’attaque

Dans un paysage de la sécurité en constante évolution, il est impossible d’être protégé à 100 % contre les pirates malveillants. Lorsqu’une cyberattaque réussit, elle peut être dévastatrice pour les entreprises qui ne sont pas préparées, et n’ont pas établi de plan d’intervention. C’est pour cette raison que beaucoup d’entreprises de piratage éthique offrent également une gamme de services préventifs. Elles exploitent leur connaissance du modus operandi des pirates, pour armer les employés et les équipes de sécurité d’informations utiles, pour réagir de manière efficace en cas d’attaque. Un autre service proposé par de nombreuses entreprises de services de piratage éthique consiste à effectuer la démonstration d’attaques fréquentes, pour présenter l’impact réel qu’elles auraient sur l’entreprise, mais dans un environnement contrôlé. Cela aide les responsables à prioriser les dépenses de sécurité, et à expérimenter personnellement l’impact potentiel de différentes attaques sur les opérations à court, moyen et long terme.

Pour que les pirates éthiques puissent effectuer leur travail correctement, les organisations doivent souvent leur donner un accès quasi complet à leurs systèmes et à leur architecture, ce qui comporte naturellement un risque élevé. Il est donc essentiel pour toute organisation qui envisage de faire appel à des pirates informatiques éthiques de procéder à une vérification complète de leurs antécédents, et de s’assurer que toutes les accréditations nécessaires sont en place avant d’accorder de tels accès.

Alors que le volume et la variété des menaces continuent de croître, de nombreuses entreprises ont recours aux services de pirates informatiques éthiques afin de s’évaluer elles-mêmes avant que quelqu’un aux intentions plus malveillantes ne le fasse. Cela peut être extrêmement bénéfique en matière de connaissances et de préparation en cas d’attaque réelle. Toutefois, il n’existe pas d’approche universelle en matière de cybersécurité. En définitive, il appartient à chaque organisation d’examiner son approche en matière de sécurité, et de décider si le recours aux services de pirates informatiques éthiques est adapté à son cas propre.

Une réaction ? Laissez un commentaire

Vous avez aimé cet article ? Abonnez-vous à notre Newsletter gratuite pour des articles captivants, du contenu exclusif et les dernières actualités.

Cropped Favicon Economi Matin.jpg

Tim Bandos est directeur de la cybersécurité chez Digital Guardian.

Aucun commentaire à «Pirater sa propre entreprise pour mieux la protéger»

Laisser un commentaire

* Champs requis