Le piratage éthique est une pratique de plus en plus populaire, en particulier parmi les organisations qui s’efforcent de déjouer les nombreuses cyberattaques dont elles sont constamment la cible. Le principe est simple : demander à un acteur extérieur d’effectuer un test et d’identifier les faiblesses – qu’il s’agisse d’une application, d’un site web, d’un réseau d’entreprise, etc. – qui pourraient permettre à un cybercriminel de les exploiter d’une manière qui n’est pas conforme à leur usage.

À l’heure de la numérisation des systèmes d’entreprise, la cybersécurité est plus importante que jamais, car le risque de compromission peut toucher toute entreprise ou organisation, aucun secteur n’est à l’abri. Il est primordial de recourir à une panoplie de stratégies permettant de garantir l’intégrité des systèmes, des données et des actifs.

Parmi les solutions de cybersécurité traditionnelles, on cite souvent les logiciels antivirus, les pare-feu, les outils de chiffrement, les évaluations de vulnérabilité et la gestion des correctifs. Une méthode moins classique, et sans doute moins conventionnelle, est celle du piratage éthique – mais celle-ci est en passe de devenir l’activité incontournable pour la protection des réseaux.

Comprendre le piratage éthique

Les organisations sont constamment à la recherche de moyens leur permettant d’identifier les faiblesses de leur infrastructure – et idéalement avant qu’un attaquant (alias « black-hat ») ne les repère. Cette tâche peut être accomplie par l’équipe interne chargée de l’IT/la sécurité, ou confiée à un consultant/individu tiers. Le principe est simple : il s’agit de tester les systèmes dans le but d’obtenir un accès non autorisé.

Il est entendu que le pirate informatique éthique (alias « white-hat ») demandera l’autorisation de fouiller dans le réseau de l’entreprise avant que l’activité ne débute, ou qu’il sera invité à le faire. Au cours de l’enquête, si des vulnérabilités, des erreurs de configuration, etc. sont découvertes, le pirate en informera l’organisation. En termes simples, pour que le piratage soit considéré comme éthique, il doit être réalisé légalement. Les personnes qui exercent cette fonction peuvent obtenir le titre de « Certified Ethical Hacker » et doivent respecter la multitude d’exigences de conformité imposées par les entreprises et les gouvernements.

Tous les piratages éthiques modernes se déroulent dans des environnements hautement contrôlés – il peut s’agir d’un programme de « bug bounty », d’un défi de capture du drapeau, d’un contrat de consultant, etc. Outre l’autorisation écrite préalable, les conditions suivantes doivent également être remplies : toutes les failles découvertes doivent être immédiatement signalées ; la vie privée de l’organisation, de ses employés, de tous les clients et des tiers doit être respectée ; et toute brèche créée ou exploitée doit être comblée.

Tests de pénétration et piratage éthique – quelle est la différence ?

Certains pensent à tort que le piratage éthique et les tests de pénétration sont la même chose. Si ces deux techniques « white-hat » permettent d’identifier les faiblesses des systèmes et des réseaux, le piratage éthique se distingue par son champ d’action. Les tests de pénétration portent essentiellement sur la découverte et l’isolement des vulnérabilités, mais généralement sans investigation supplémentaire – ce qui permet de repérer qu’une fenêtre est ouverte, une porte déverrouillée, un mur instable, etc. Le piratage éthique va plus loin en identifiant non seulement les espaces ouverts, mais aussi ce qui peut être réalisé si un cybercriminel grimpe par la fenêtre, ouvre la porte ou pousse sur le mur :

  • Les tests de pénétration : au cours de ces tests, souvent menés sur une base trimestrielle ou annuelle, un ingénieur, un codeur ou un autre expert tente par tous les moyens de s’introduire dans le réseau de l’organisation pour laquelle il travaille, en attaquant directement toutes les cyberdéfenses mises en place, qui relèvent du mandat. Il s’agit de déterminer avec précision où se situent les vulnérabilités et les dommages qui pourraient être causés si elles étaient exploitées.
  • Le piratage éthique : de son côté, un pirate éthique – généralement considéré comme un consultant en cybersécurité/infosécurité, ou quelque chose du genre – cherche non seulement à trouver les faiblesses de l’architecture du réseau, mais aussi à y développer de nouvelles capacités pour en assurer le fonctionnement à l’avenir. Cette pratique permet de prioriser les vulnérabilités en fonction des autres éléments susceptibles d’être compromis et peut faciliter la mise en œuvre et la définition de mesures de protection à l’avenir.

Le principal avantage du piratage éthique est qu’il permet à l’organisation de comprendre à la fois le point de vue du cybercriminel et celui du défenseur, donnant ainsi une meilleure vue d’ensemble aux équipes d’infosec qui peuvent alors développer de nouveaux outils et stratégies.

Le piratage éthique continuera à se développer au cours des prochaines années et les organisations engageront de plus en plus de spécialistes dans ce domaine. Cependant, elles ne devraient pas s’arrêter en si bon chemin et devraient envisager d’intégrer le piratage éthique dans une boîte à outils plus globale pour se protéger contre les cyberattaques, en l’associant à des tests de pénétration périodiques et à une évaluation continue de la vulnérabilité et des pratiques de gestion. Cette approche permettra aux entreprises d’identifier et de diagnostiquer avec précision les failles de leur architecture de sécurité de réseau et de lutter efficacement contre les menaces.
___________________

Par David Cummins, VP of EMEA, chez Tenable