La cybercriminalité continuant de représenter une menace majeure dans le monde, les entreprises du monde entier augmentent leurs dépenses en solutions de sécurité de l’information et en tests de sécurité réguliers pour détecter les vulnérabilités avant que les criminels ne puissent les exploiter. Cependant, les dernières recherches montrant que plus de 40 % des cyberattaques de l’année dernière étaient en fait des exploits zero-day qui ont pris profitant des vulnérabilités manquées par les tests d’intrusion traditionnels, il est clair qu’il reste encore beaucoup à faire.
Pour cette raison, un nombre croissant d’organisations se tournent vers les soi-disant”hackers éthiques”ou”gris hats”, qui utiliser leurs compétences pour trouver les vulnérabilités que les organisations traditionnelles de tests d’intrusion ne peuvent pas. Cependant, alors que les services proposés peuvent être incroyablement efficaces, l’idée de piratage a toujours tendance à avoir (principalement) des connotations négatives, ce qui laisse souvent les entreprises incertaines quant à la recherche d’un service de piratage éthique en qui elles peuvent avoir confiance. Pour ceux qui souhaitent explorer davantage l’idée du piratage éthique, voici un certain nombre de directives sur les meilleures pratiques pour le faire :
Vérifiez toujours les informations d’identification et les qualifications
Avant d’engager les services d’un hacker éthique, les entreprises doivent toujours contrôler et vérifier leurs titres de compétences et leurs qualifications. La qualification la plus largement acceptée est la certification Certified Ethical Hacker (C|EH), délivrée par le Conseil international des consultants en commerce électronique (EC-Council). L’expérience professionnelle antérieure est également un excellent moyen d’évaluer les compétences et l’éthique de travail d’une personne, ainsi que ses compétences spécialisées (et si elles correspondent aux besoins de sécurité de l’entreprise). Parler avec d’anciens employeurs et/ou demander des études de cas sur des projets antérieurs peut être un moyen précieux d’établir la confiance à ce stade précoce.
Méfiez-vous des pirates éthiques au passé douteux
L’un des principaux sujets de discussion dans le monde du piratage éthique est de savoir si les entreprises devraient envisager d’embaucher des pirates éthiques ayant des antécédents criminels. Bien sûr, différentes personnes/entreprises auront des opinions différentes à ce sujet. Il existe sans aucun doute une multitude de personnes hautement qualifiées qui ont changé de cap dans leur vie et utilisent maintenant leurs compétences à des fins positives. Cependant, de nombreuses entreprises préféreront probablement s’en tenir à des professionnels dont les antécédents démontrent de bonnes intentions constantes.
Définissez des objectifs et des résultats clairs dès le début
Une fois par entreprise a identifié un testeur de sécurité qui est à la fois certifié et digne de confiance, la tâche suivante consiste à définir un brief sur lequel travailler. Pour maximiser les chances de succès, il est essentiel que le brief contienne des objectifs clairement définis et des angles morts correctement identifiés. Par exemple, si la principale préoccupation de l’équipe de sécurité interne concerne les cadres supérieurs se connectant via des réseaux WiFi publics non sécurisés, cela devrait constituer la base principale du brief. Il est tout aussi important de s’assurer que les résultats souhaités sont indiqués dans le brief lorsque cela est possible, qu’il s’agisse d’essayer d’accéder à des applications métier spécifiques ou d’extraire des données sensibles.
Assurez-vous que les opérations commerciales quotidiennes ne sont pas t perturbé (sauf à dessein)
Le piratage éthique implique souvent l’accès à des systèmes critiques, mais il ne devrait pas perturber les opérations quotidiennes, sauf à dessein. Dans de nombreuses entreprises, même une perte de données mineure ou de courtes périodes d’indisponibilité imprévues peuvent avoir de graves répercussions. Bien sûr, certaines entreprises s’engageront avec des pirates éthiques spécifiquement pour tester si leurs systèmes peuvent résister à une attaque DDOS majeure, par exemple, mais ce type de test doit être effectué dans des environnements contrôlés qui n’affecteront pas la continuité des activités.
La protection des données est un autre domaine clé soumis à toutes sortes de restrictions légales et ne doit jamais être compromis. Dans tout scénario conçu pour tester la sécurité des données, le testeur de sécurité doit uniquement démontrer qu’il peut accéder aux fichiers en question, et non supprimer ou modifier l’un d’entre eux. Les documents juridiques sont également interdits pendant tout type de test.
Établissez des délais fermes dans chaque dossier
Il est important de fixer des délais clairs dans chaque dossier. Avec suffisamment de temps et de ressources, des attaquants qualifiés pourront éventuellement compromettre la plupart des systèmes. Cependant, cela n’est pas représentatif du monde réel où le temps c’est de l’argent et où les cybercriminels ont tendance à rechercher la voie de moindre résistance. Une bonne référence pour ce type de tests de pénétration est d’une semaine. Si un réseau prend plus de temps que cela pour s’introduire, la plupart des cybercriminels opportunistes auront probablement abandonné et seront passés à une cible plus facile d’ici là, ce qui en fait également un délai réaliste pour les tests de piratage éthique.
Lorsqu’ils sont effectués correctement , le piratage éthique peut renforcer presque toutes les défenses en matière de cybersécurité. Cependant, donner à des tiers l’accès à des données et des systèmes critiques n’est pas quelque chose qui doit être fait à la légère. Pour cette raison, toute entreprise qui envisage d’employer les services d’un pirate informatique éthique doit faire ses devoirs au préalable et gérer soigneusement le processus du début à la fin. Bien que la grande majorité des hackers éthiques soient hautement éthiques et professionnels, il n’est jamais mauvais de faire preuve de prudence.
Crédit d’image : denisismagilov/depositphotos.com
Matt Rider est vice-président de l’ingénierie de la sécurité pour la région EMEA chez Exabeam.