À la base, le piratage est une activité créative, car il présuppose la connaissance de la façon de trouver des bogues, parfois très originaux, dans les logiciels ou les systèmes informatiques. Des bogues qui peuvent parfois prendre des chemins inattendus, comme la pénétration physique des centres de données ou l’utilisation de techniques d’ingénierie sociale.

Dans de nombreux pays, le terme « hacker » est désormais assimilé au terme pirate informatique… à tort. L’émergence du terme « hacker éthique » trouve un équilibre en désignant une population de hackers souvent négligée : ceux qui tentent d’identifier les bogues informatiques sans intention malveillante. Soit pour la beauté du geste, soit pour contribuer à combler ces failles avant que les cybercriminels ne les exploitent.

Roni Carta correspond certainement à cette définition, aidant activement les entreprises à trouver des bogues dans leurs logiciels et leurs systèmes. Chasseur de primes de bogues de HackerOne, Roni Carta est également ingénieur principal en sécurité au sein de l’équipe rouge de ManoMano. Un parcours intéressant : « De nombreuses organisations utilisent des hackers éthiques pour tester leur code, souvent via des primes de bogue », explique-t-il. « Mais un autre phénomène commence à émerger en France : l’internalisation de ces profils directement dans les équipes de sécurité des entreprises. »

Bug bounty et pentesting

Ainsi, d’une part, on retrouve des freelances qui participeront à la chasse aux bugs, avec des récompenses en cas de succès, et d’autre part, des équipes intégrées au sein des entreprises qui seront chargées de tester le système d’information (SI) de l’organisation. .

Dans le cadre d’une prime de bogue, les pirates sont payés en fonction de leurs découvertes. Mais ce modèle est-il efficace ? « Tout dépend du niveau d’engagement des entreprises », remarque Roni Carta. « Est-ce qu’ils font ces tests parce qu’ils le doivent, ou est-ce qu’ils le font pour vraiment protéger leur système d’information et leurs employés ? »

À Lire  Cafés Rombouts présente sa nouvelle machine E-OH... pour préparer un expresso rapidement et facilement, sans

Les opérations de pentesting (tests d’intrusion) peuvent susciter des inquiétudes pour les entreprises qui peuvent craindre que leur SI ne soit compromis lors de ces tests. « Les entreprises ont intérêt à construire une relation de confiance entre les hackers et leurs services. Des textes comme GDPR [Règlement général sur la protection des données, NDLR] ont heureusement parcouru un long chemin pour généraliser des pratiques comme le pentesting. La mentalité change. »

Une sécurité informatique encore trop sur la défensive

Le pentesting est maintenant bien accepté. Cependant, l’intégration interne des moyens offensifs est loin de devenir la norme en France. Les entreprises sont plus habituées à une approche défensive qu’à une approche délibérément offensive.

« Avec ManoMan, cependant, la combinaison d’une équipe de sécurité offensive et d’un bug bounty donne de bien meilleurs résultats que les approches traditionnelles », explique Roni Carta. “Grâce à notre prime de bug sur HackerOne, nous avons pu rassembler notre propre communauté de hackers éthiques, nous donnant accès à un immense pool de connaissances sur les techniques d’attaque. »

Avec un penchant pour le partage d’informations, la communauté des hackers effectue elle-même une surveillance très efficace qui permet la détection précoce de nouveaux bogues et de nouvelles méthodes de piratage. « On a besoin de cette culture offensive en France. Les entreprises doivent comprendre l’importance des hackers éthiques dans leurs rangs. Il faut réformer cette vision défensive pour passer à l’offensive ! »