Interview d'un ethical hacker : les entreprises sont-elles en cyber sécurité ?

Les données constituent clairement le moteur de la relation client. Sources précieuses d’informations, elles circulent sur la toile à une vitesse vertigineuse. En revanche, la question de la protection de ses informations demeure un enjeu majeur. Comment empêcher le piratage, parfois fatal de données confidentielles ?

C’est autour de ces questions que s’organise l’édition 2016 du FIC : le forum international de la cyber sécurité, qui aura lieu les 25 et 26 Janvier 2016 au Grand Palais de Lille auquel Hiscox participe. Nous vous proposons pour cette occasion de découvrir l’envers du décor avec l’interview d’un ethical hacker. Cet entretien se découpe en deux parties : les cyberattaques des entreprises et les motivations des pirates, que vous pourrez découvrir le 25 janvier sur notre blog. Vivez une expérience de piratage en temps réel ! Lors de ce rendez-vous international, nous animerons, en partenariat avec les entreprises Business Décision, Oracle et STEALTHbits, l’atelier « Comprendre et organiser ses données ». Notre experte en datarisk Astrid-Marie Pirson interviendra pour présenter les risques en matière de cybercriminalité, et en parallèle un test de cyber attaque sera mené par un hacker en live ! Découvrez le témoignage de l'ethical hacker MP

Quel est votre parcours ? En quoi consiste votre métier ?

J'ai un parcours relativement normal avec une maîtrise en développement informatique. Rares étaient les écoles sérieuses dispensant des cours de hacking à l'époque (contrairement à aujourd'hui),  j'ai donc suivi une voie d'informaticien généraliste. J'étais déjà tombé dans la marmite avant de suivre de quelconques études, et j'ai profité de mon temps pour me perfectionner, pendant et en dehors des cours. Comme beaucoup donc, j'ai appris en dehors des sentiers battus. Aujourd'hui, le nom de mon métier est Penetration Tester : je vérifie de manière pragmatique la sécurité de systèmes d'informations. Non pas en cochant des cases pour vérifier que les protections existent, mais en prouvant qu'elles sont mises en place correctement. Cela veut dire que je vérifie en ouvrant les portes que l'alarme sonne !

Comment accompagnez-vous les entreprises pour lutter contre la cybercriminalité ?

La cybercriminalité, c'est souvent un grand mot pour de petites choses. Quand on parle de cybercriminalité, on pense tout de suite à des guerres entre États, à des campagnes d'espionnage de grande ampleur. Mon monde à moi est souvent plus terre à terre : il s'agit souvent de lutter contre les petites attaques quotidiennes, qui consistent à essayer de voler des mots de passe, à entrer dans des zones interdites (espaces d'administrations de sites web, connexion à des partages de fichiers, ...). Pour accompagner efficacement une entreprise, il faut d'abord la connaître, et connaître ce qu'elle doit protéger (données clients, brevets techniques ou technologiques). Il faut donc identifier ces informations et les localiser exhaustivement (les informations et leurs éventuelles copies), pour ensuite les enfermer dans des coffres-forts numériques, à la fois accessibles et sécurisés pour que l'entreprise puisse tourner tout en minimisant les risques. Ce processus étant cyclique, on ajoute des protections à chaque étape, on identifie de nouvelles données à protéger, de nouvelles entités (fournisseurs, clients, …) à intégrer dans la politique globale de sécurisation. Et toujours, vérifier que l'alarme posée va sonner quand la vitre sera brisée.

D’après vous, quels sont les plus gros piratages de ces derniers mois ?

Le hacking des voitures de l'été dernier. Celui des pacemakers d'il y a deux ans, par le regretté Barnaby Jack. À chaque fois, des vies humaines sont en jeu, et une attaque de ce type est aussi insoutenable que quand Cypher s'apprête à débrancher ses compagnon dans le film Matrix : ils assistent, impuissants et passagers (ou hôtes) d'une technologie qu'ils ne contrôlent plus. Asimov et Orwell doivent sûrement se marrer. Comment éviter ça ? Certaines entreprises devraient comprendre que le hacking, c'est pas juste des méchants pirates dans un garage qui veulent leur voler de l'argent. Il y a de formidables ressources dans toutes les facettes du hacking, du Logiciel Libre, de la mouvance du DYI. Ça ne rendra pas ces technologies infaillibles, mais ça les améliorera. Pourquoi attendre le produit fini et commercialisé pour songer à sa sécurité ? Les choses changent, cependant. De plus en plus de société font le pas, car ces "grands coups" aident à la prise de conscience.

Comment agir efficacement pour continuer d’échanger des données sur le web en toute sécurité ? Et se protéger contre des hackers toujours plus performants ?

Utilisez Internet comme vous utilisez votre voiture sur l'autoroute : prudemment. Le problème d'aujourd'hui, c'est la naïveté, c'est de croire que ça n'arrive qu'aux autres. Sur Internet comme partout, il y a du bon et du mauvais. Quand on veut se prémunir du mauvais, on éteint son ordinateur quand on ne s'en sert pas et on n'installe pas sur celui-ci des outils qu'on a eu gratuitement sur quelque réseau obscur. Utiliseriez-vous des pneus obtenus d'un illustre inconnu, la veille de votre départ en vacances ? Communiquez comme vous communiqueriez dans la rue. Je doute que vous parliez ouvertement de vos impôts en hurlant les détails à un ami qui se trouverait de l'autre côté de la rue. Je pense également que quand vous vous apprêtez à murmurer quelque chose à quelqu'un, vous présagez que quelqu'un peut entendre jusqu'à être convaincu du contraire. Sur Internet, les entreprises devraient se méfier : présager que quelqu'un va entendre, jusqu'à avoir la preuve formelle du contraire (spoiler alert : cette preuve n'arrivera jamais !) Enfin, ayez un partenaire dans la sécurité. On a toujours besoin de s'entourer d'un informaticien, ou d’un mécanicien quand on est un particulier. Pour l'entreprise, que cet "ami" soit une personne physique, une entreprise, une association ou une école, ils seront tous de bons conseils. Et si vous établissez un contact avant les cas d'urgence, ce sera déjà ça de moins à faire le jour où vous subirez un piratage.

Merci à MP pour son travail auprès des entreprises et pour son retour très enrichissant sur son métier de Penetration Tester. Dans une seconde interview disponible le 25 janvier sur notre blog, découvrez-en plus sur sa vision du monde du hacking et sur la psychologie des pirates. Pour anticiper les risques et se protéger en cas de cyber attaque, découvrez l’ensemble de nos solutions d’assurances datarisk.