Tout savoir ou presque
sur le hacking éthique

Comment devient-on hacker éthique ?

L’activité n’est pas si vieille et reste empreinte d’imaginaire. Il n’y a pas si longtemps, on n’en parlait pas du tout. Depuis une dizaine d’années, ça commence à entrer dans les mœurs et les besoins ne sont plus limités aux grandes entreprises. Personnellement, je suis tombé dedans en quatrième année d'études. Un de nos professeurs nous a mis à disposition un serveur vulnérable et il nous a demandé de le hacker. J'ai découvert qu’il y avait une méthodologie précise pour le faire et que je pouvais en faire mon métier. Pour mon stage de fin d’études, j'ai travaillé chez Deloitte à Amsterdam sur une mission de pentester. J’ai été embauché dans la foulée et ça a lancé ma carrière.

Quand je suis rentré en France, j’ai eu du mal à trouver du travail comme pentester et j’ai vraiment ressenti un retard français dans l’adoption de l’approche. En matière de cybersécurité, on était alors essentiellement dans des méthodes basées sur des checklists de défense. J’ai donc travaillé en cybersécurité défensive jusqu’en 2018, l’année où j’ai décidé de créer ma propre entreprise pour retourner dans le pentest. Aujourd’hui, 100 % de mon activité est de la cybersécurité offensive dont 80 % de hacking éthique. Nous réalisons en plus des campagnes de phishing et nous formons des développeurs et des ingénieurs réseaux aux pratiques de hacking pour qu’ils comprennent concrètement de quoi ils doivent se protéger.

La confiance est un en réel enjeu dans notre activité. Les hackers ont en effet des capacités techniques qui font généralement peur. On peut tester des systèmes en blackbox, c’est-à-dire en totale autonomie, sans recevoir d’accès particulier par le directeur des systèmes d’information de l’entreprise (DSI), et on peut aussi tester avec des accès autorisés, ceci pour identifier le maximum de failles. Quand on nous donne des accès spécifiques, nous entrons dans une très forte relation de confiance.

On intervient toujours après l’analyse de risque qui est faite en amont par le DSI ou le responsable de sécurité (RSSI). Cette analyse couvre les bases de cybersécurité : le backup, le firewall, l’EDR, les proxys… On entre en scène une fois que cette analyse est faite et que le DSI pense que l’entreprise est sécurisée au niveau de ses réseaux. On teste tout en étant méthodique et systématique. Est-ce que l'authentification est bien sécurisée ? Quelles sont les vulnérabilités des services ? Comment est configuré le certificat SSL ? Je n’ai jamais rendu de rapport vierge. Chaque faille est expliquée de manière détaillée dans un rapport que nous remettons aux entreprises avec une description de l’anomalie et de son impact, avec des recommandations et également avec des preuves pour que les services internes à l’entreprise puissent reproduire le bug. On s’arrête aux recommandations, on ne fait pas les ajustements. Si on intervient deux semaines dans une entreprise, il peut y avoir jusqu’à six mois de travail derrière si toutes nos recommandations sont suivies. Le travail de suite des développeurs de l’entreprise est fondamental parce que pour mieux se protéger, il est impératif qu’ils comprennent que telle manière de coder peut induire telle faille. Ce n’est qu’en ajustant en interne que les systèmes d’information se renforcent.

Quels types d’entreprises font appel à vous ?

Toute entreprise qui a un système d'information - c'est-à-dire sans jargon, un réseau informatique - est susceptible de se faire hacker. Tout simplement parce qu’elle est connectée à internet et que tout ce qui est connecté à internet doit être sécurisé. Pour des entreprises de services numériques qui développent des applications, la vulnérabilité commence dès le premier employé. Pour les autres, j’aurais tendance à dire qu’à partir d'une trentaine d'employés, ça commence. Le risque reste à évaluer bien sûr en fonction de la nature de l’activité. À partir de 50 employés, c'est rare de pas être concerné. À mon échelle, je travailler essentiellement avec des PME. S’il y a plus de concurrence aujourd’hui qu’il y a quinze ans, le marché reste immense et on ne se marche pas sur les pieds. Je note aussi que le métier attire de plus en plus. Je reçois des demandes d'alternance tous les mois.

Quels sont les enjeux ?

Il faut savoir que règlementairement, les entreprises qui se font hacker sont obligées de le faire savoir. En France, les entités essentielles, les entités importantes et les OIV (Organismes d'Importance Vitale) sont soumis à des obligations de pentest. Les organismes qui les hackent doivent avoir une certification PASSI - Prestataires d'audit de la sécurité des systèmes d'information – qui est délivrée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Les entités qui ont de telles contraintes couvrent des secteurs stratégiques (finances, énergie, transport, communication…) et ont un risque d’exposition élevé à des actes de cyber-malveillance. Il faut toutefois souligner que cette certification PASSI reste difficile d’accès pour les petites entreprises de pentest. C’est cher et le dossier administratif est assez lourd pour les petites structures. L’ANSSI vient de créer une autre certification dite substantielle, qui semble plus accessible.

Au niveau européen, plusieurs règlementations sont entrées en application. Depuis janvier dernier, DORA - Digital Operational Resilience Act - impose des obligations en matière de sécurité numérique à l’ensemble des opérateurs financiers des États membres et de leurs prestataires. Sont concernés les établissements de crédit, les entreprises d’investissement, les établissements de paiement et de monnaie électronique (crypto-actifs inclus), les organismes d’assurance et de réassurance, les fournisseurs de services cloud et de sauvegarde externalisée, les hébergeurs de données sensibles, les éditeurs de logiciels critiques, notamment ceux liés à la cybersécurité et aux paiements, les prestataires de services de signature électronique et d’identité numérique.

Elle complète la directive NIS 2 – Network and Information Security - qui a préconisé une obligation pour les entités essentielles, les entités importantes et les OIV de recourir à des solutions de sécurité labellisées par l’ANSSI pour s’assurer de la sécurité des données (plusieurs technologies sont possibles dont le chiffrement de bout en bout).

Ce qu’il faut comprendre d’une manière plus générale, c’est qu’au vu de la multiplication des cyberattaques et du contexte global, les besoins de contrôle sont partout, depuis les secteurs les plus critiques, incluant leurs sous-traitants, jusqu’aux TPE. La cybersécurité offensive est plus que jamais d’actualité. Reste à trouver ceux qui restent éthiques…