Technique encore peu utilisée, le « piratage éthique » constitue un procédé efficace pour identifier et corriger ses propres failles de sécurité.
À l’heure où les attaques informatiques se multiplient et mettent en péril la sécurité des infrastructures et des données des entreprises, celles-ci s’échinent à déployer des systèmes de défense pour y faire face. Mais en dépit des sommes dépensées, les résultats ne sont pas toujours au rendez-vous. Tirant les leçons de cet échec, les professionnels des systèmes informatiques ont donc développé une nouvelle approche originale de la défense des systèmes, en partant cette fois non plus des murs à bâtir mais des failles à combler.
Quel intérêt de faire pirater sa propre entreprise ?
En dépit de l’image largement véhiculée par les films hollywoodiens, les pirates informatiques ne sont pas tous, loin s’en faut, des hors-la-loi aux motivations criminelles. Un type tout particulier de piratage est actuellement en vogue chez les entreprises : le « piratage éthique ». Si le nom peut surprendre, l’idée est de recourir à des professionnels externes à l’entreprise, recrutés pour l’attaquer de manière délibérée. Ceux-ci tentent systématiquement de pénétrer dans les réseaux, applications, appareils ou autres cibles de leur système informatique, afin d’en détecter les principales failles de sécurité. Une fois trouvées, ces dernières sont signalées au propriétaire de la ressource afin d’être corrigées.
Si de nombreux pirates éthiques utilisent les mêmes méthodes et tactiques que les pirates criminels, il existe pourtant une distinction nette entre les deux. D’abord, les pirates éthiques ont toujours l’autorisation explicite de la société « cible » avant d’entreprendre une activité de piratage. Ensuite, ils signalent toutes leurs constatations et les vulnérabilités détectées à l’entreprise, pour qu’elle y remédie. Enfin, ils veillent à ce que la confidentialité de l’organisation et de ses employés soit respectée tout au long du processus.
Anticiper les prochaines attaques
S’il existe des pirates éthiques qui officient seuls, la majorité offre leurs services au sein d’entreprises de cybersécurité. Celles-ci offrent un éventail de services aux organisations qui cherchent à améliorer leur sécurité globale. Le premier service est bien entendu l’identification des vulnérabilités au sein d’un système de sécurité informatique. Pour le compte de l’entreprise visée, ces pirates éthiques « bienveillants » procèdent donc à une évaluation complète de ses systèmes, en utilisant les mêmes techniques que les pirates informatiques « malveillants ». Une fois l’attaque terminée, ils fournissent un rapport détaillé, soulignant toutes les vulnérabilités trouvées. Le client pourra ainsi l’utiliser pour informer sa stratégie de sécurité, et améliorer l’ensemble de sa défense.
Partage de connaissances et démonstrations d’attaque
Dans un paysage de la sécurité en constante évolution, il est impossible d’être protégé à 100 % contre les pirates malveillants. Lorsqu’une cyberattaque réussit, elle peut être dévastatrice pour les entreprises qui ne sont pas préparées, et n’ont pas établi de plan d’intervention. C’est pour cette raison que beaucoup d’entreprises de piratage éthique offrent également une gamme de services préventifs. Elles exploitent leur connaissance du modus operandi des pirates, pour armer les employés et les équipes de sécurité d’informations utiles, pour réagir de manière efficace en cas d’attaque. Un autre service proposé par de nombreuses entreprises de services de piratage éthique consiste à effectuer la démonstration d’attaques fréquentes, pour présenter l’impact réel qu’elles auraient sur l’entreprise, mais dans un environnement contrôlé. Cela aide les responsables à prioriser les dépenses de sécurité, et à expérimenter personnellement l’impact potentiel de différentes attaques sur les opérations à court, moyen et long terme.
Pour que les pirates éthiques puissent effectuer leur travail correctement, les organisations doivent souvent leur donner un accès quasi complet à leurs systèmes et à leur architecture, ce qui comporte naturellement un risque élevé. Il est donc essentiel pour toute organisation qui envisage de faire appel à des pirates informatiques éthiques de procéder à une vérification complète de leurs antécédents, et de s’assurer que toutes les accréditations nécessaires sont en place avant d’accorder de tels accès.
Alors que le volume et la variété des menaces continuent de croître, de nombreuses entreprises ont recours aux services de pirates informatiques éthiques afin de s’évaluer elles-mêmes avant que quelqu’un aux intentions plus malveillantes ne le fasse. Cela peut être extrêmement bénéfique en matière de connaissances et de préparation en cas d’attaque réelle. Toutefois, il n’existe pas d’approche universelle en matière de cybersécurité. En définitive, il appartient à chaque organisation d’examiner son approche en matière de sécurité, et de décider si le recours aux services de pirates informatiques éthiques est adapté à son cas propre.
___________________
Par Tim Bandos, VP de la cybersécurité chez Digital Guardian