Piratage éthique: Utiliser le hacking pour identifier les failles

A partir de techniques de pirates malveillants, le hacker éthique détecte légalement les faiblesses d'un réseau informatique d'entreprise pour le renforcer.
38

Toujours plus numériques, les entreprises d’aujourd’hui, qu’elles soient petites, moyennes ou grandes, doivent faire face à des menaces importantes en termes de piratage informatique. Espionnage économique, vol de données confidentielles, le coût du hacking est aujourd’hui suffisamment limité pour qu’il soit économiquement intéressant de pirater le système informatique ou le site web d’une entreprise. Pour cette dernière, le risque est très important au point de pouvoir compromettre sa pérennité. Face à une telle menace, nombre d'entreprises font appel à des services de «ethical hacking» ou piratage éthique.

Les tests d’intrusion grandeur nature

Pendant une durée définie, en général dix jours, avec des outils et des méthodes précisés par contrat, les hackers éthiques effectuent des tests de pénétration, ou tests d’intrusion. C’est-à-dire qu’ils simulent une attaque de pirates sur le réseau, le système informatique, les applications ou sur le site web de l’entreprise. «L’audit de la sécurité informatique a le même but que l’audit financier: être sûr que le travail interne est fait comme il faut. C’est toujours bien d’avoir un avis d’experts indépendants pouvant améliorer l’efficacité des processus internes et prévenir les risques potentiels», explique Ilia Kolochenko, CEO de l’entreprise genevoise High-Tech Bridge spécialisée dans l’ethical hacking et les investigations numériques.

Révéler et corriger les failles

Il s’agit donc de révéler les failles et faiblesses existantes avant que des pirates aux attentions moins louables ne les trouvent et ne les exploitent. Et il y a toujours des failles: «Jusqu’ici, nous avons toujours réussi à pénétrer les réseaux de nos clients.» Et le CEO d’ajouter: «L’audit de sécurité ressemble à un check-up chez un dentiste, si nous ne faisons rien pendant longtemps, les chances de trouver un problème susceptible d’être grave sont bien plus élevées, tandis que des visites régulières permettent de diminuer fortement ces risques, voire de les éliminer.»

Un risque pour l’image de l’entreprise

C’est la raison pour laquelle des banques, assurances et entreprises font appel à des sociétés d’ethical hacking chaque année. Personne ne peut garantir une sécurité absolue, cependant après un audit de sécurité réalisé proprement, le coût d’une intrusion deviendrait plus élevée que le gain potentiel, de ce fait très peu de personne s’y tenterait. Après un audit, un rapport technique est remis au département informatique de l’entreprise avec des conseils sur les mesures à entreprendre pour corriger les failles découvertes. D’un autre côté, un rapport à destination de la direction vise à expliquer les risques économiques et financiers encourus par l’entreprise. Cela va du vol de données à la perte d’image de l’entreprise en passant par le vol de brevet…

De la recherche et développement en hacking

Afin d’être toujours au fait des nouvelles techniques de piratage, des départements de recherche et développement travaillent à fournir les nouvelles technologies de hacking. «Nous avons par exemple, en plus de nos pirates éthiques suisses, une dizaine de véritables hackers répartis à travers le monde et qui nous mettent à disposition les dernières techniques de hacking. Naturellement, ces hackers ne savent rien de nos clients!»

En savoir plus:

A lire aussi: La professionnalisation des hackers

Sur le même sujet