Pirater les hackers avant que les hackers ne vous piratent
Dans le cadre de programmes de bug bounty, des hackers dits éthiques, qui recherchent légalement des vulnérabilités, sont appelés à détecter les failles de sécurité dans les systèmes informatiques d'une organisation.
Le piratage informatique est aujourd'hui une industrie illégale qui pèse des milliards, comparable au trafic international de drogue. Difficile à saisir, hautement dangereuse pour l'économie et la société, les auteurs sont rarement amenés à rendre des comptes. La justice est à la traîne face à l'omniprésence de la cybercriminalité, c'est pourquoi il vaut mieux trouver soi-même des professionnels qui nous protègent des cyberattaques lourdes de conséquences. Mais qui ?
Ceux qui comprennent le mieux les hackers sont les hackers eux-mêmes. Il y a aussi de bons hackers, appelés white hats. Ce sont les professionnels qui s'appellent aussi hackers éthiques. Ils analysent votre réseau complet du point de vue d'un hacker, trouvent des fuites que les "black hats" (hackers criminels) pourraient utiliser comme porte ouverte pour des cyberattaques.
Bug Bounty - Programme de white hats contre black hats par des professionnels
Vous n'aurez probablement pas le réseau et aurez du mal à évaluer quels spécialistes sont de votre côté et ce qu'ils font dans vos systèmes. L'entreprise dirigée par Sandro Nafzger, Florian Badertscher et Lukas Heppler s'est spécialisée dans la mise à disposition de ses clients de "hackers éthiques" qui envisagent tous les scénarios possibles - et leur indiquent les failles de sécurité avant que les "black hats" ne les utilisent pour saboter leurs systèmes. Ils bénéficient ainsi de l'intelligence collective d'une communauté mondiale de chercheurs en sécurité hautement spécialisés.
L'expérience montre que les mesures de sécurité actuelles ne suffisent plus pour se protéger efficacement contre les cyberattaques. En fait, tout système informatique qui Bug Bounty Suisse avec leurs hackers éthiques, présente encore des failles de sécurité qui n'ont pas pu être trouvées avec les outils utilisés jusqu'à présent, comme par exemple les scanners et les tests automatisés ou les méthodes éprouvées comme les tests de pénétration et les audits - et qui ne sont découvertes que dans un programme de bug bounty. La protection s'étend alors, au mieux sous la forme d'un scénario de vie réelle. On se confronte directement à la pensée hostile et on procède exactement de la même manière que les cybercriminels le feraient.
Hackers de toutes sortes et de toutes sensibilités sont capables de pénétrer dans les infrastructures des entreprises par le biais d'une pensée combinatoire, analytique et technique. Le chemin pour y parvenir est toutefois souvent très différent. Mais cela implique généralement une recherche intensive qui permet d'obtenir des informations sur l'infrastructure de l'entreprise.
Ces informations peuvent être comparées aux points faibles connus - et les premières tentatives d'intrusion dans l'entreprise peuvent être lancées. Penser comme un hacker peut en outre signifier lire pendant des jours des lignes de code d'interfaces web pour finalement y trouver des erreurs de logique qui ouvrent des portes. La capacité d'imagination d'un hacker est entraînée aux relations complexes - et permet souvent de tirer de grandes conclusions à partir de petites informations.
Les failles récemment rendues publiques dans le Structure Log4j ont rendu les entreprises vulnérables dans le monde entier. La vitesse de la course entre l'attaquant et la victime potentielle est à la fois impressionnante et effrayante. Les entreprises qui n'avaient pas encore de système systématique et continu de gestion des vulnérabilités ont dû y faire face quasiment du jour au lendemain. Il aurait été utile que les personnes concernées s'en occupent plus tôt de manière proactive et que les processus et compétences correspondants soient mieux établis. Connaître les failles et savoir si et comment elles s'appliquent à sa propre infrastructure sont deux choses différentes. La faille Log4j a montré de manière impressionnante que la gestion des vulnérabilités est un problème non résolu d'une importance capitale. De nombreuses entreprises en ont fait les frais.
Faire connaître les points faibles conduit en outre non seulement à une meilleure protection, mais aussi à une sorte de "mode d'emploi" pour les "personnes mal intentionnées". S'ils sont bien mis en place, les programmes de gestion des bugs peuvent, par leur exécution continue, conduire à une connaissance rapide et étendue. En outre, un programme de bug bounty ouvre la voie à la création d'une culture d'entreprise ouverte et transparente : un facteur clé pour la réussite de la numérisation et de la transformation.
Les "bons" et les "méchants" procèdent de la même manière
Mais comment savoir qui sont les soi-disant "bons" et les "méchants" ?
Aujourd'hui, la motivation des hackers éthiques est souvent de nature économique - ils en vivent. Les bons hackers font pratiquement la même chose que les "méchants". En combinant leurs forces via le crowdsourcing, ils acquièrent une polyvalence et de meilleures connaissances. C'est aussi ce que font les organisations clandestines. En fonction du hack, elles rassemblent des ressources et structurent leurs projets en fonction de l'objectif. C'est précisément cette intelligence collective, qui résulte de la combinaison du bagage individuel, des compétences et de l'expérience des hackers éthiques, qui fait le succès des programmes.