Hacking d'entreprise : pensez comme l'ennemi !

La qualité première du hacker ? Une créativité inépuisable et un renouvellement des techniques. Face à cette menace protéiforme, certaines entreprises transforment le risque en opportunité : elles mandatent ces hackers pour qu'ils défient son système… et détectent ainsi ses failles !

Un risque financier et d'image
Les cyberattaques visant les entreprises ont augmenté de 38 % en 2015, selon une étude du cabinet de conseil PricewaterhouseCoopers(1). En France, ce chiffre a même atteint 51 %, soit 21 attaques chaque jour !

Dans l'hexagone, le coût moyen d'une attaque informatique serait de 3,7 millions d’euros, selon PwC. Sans compter l'impact sur l'image que peut occasionner une attaque débouchant sur la divulgation d'informations personnelles concernant les clients ou les collaborateurs.

White hats contre Black hats
Face au fléau des cyberattaques, les entreprises exploitent toutes les pistes pour sécuriser leur SI… y compris l’embauche de hackers. Ces chevaliers blancs de l'informatique, appelés « white hats », mettent leur expertise du piratage au service de la sécurité de l'entreprise.

Leur rôle ? Réaliser des tests d’intrusion dans le système d'information de l'entreprise, et signaler ces failles aux équipes de la DSI pour qu’elles les corrigent, plutôt que de dérober les informations et les monnayer ailleurs.

La discipline se professionnalise
Les white hats sont de plus en plus recherchés par les entreprises. En conséquence, la discipline commence à se structurer. Des formations sont même mises en place pour aider les jeunes hackeurs à ne pas passer du côté obscur ! L'université de Maubeuge propose par exemple à ses étudiants un diplôme unique en son genre en France et en Europe : une licence baptisée CDAISI, ou Collaborateurs pour la Défense et l'Anti-Intrusion des Systèmes Informatiques.

Aux États-Unis, « l'Ethical hacking » est encore plus développé, avec des certifications comme « Offensive Security Certified Professional » (OCSP) d’Offensive Security. Cette certification peut être passée en ligne, pour valider une compétence de hacking et la valoriser auprès d'une entreprise souhaitant embaucher un white hat.

Les failles de sécurité ont leur marché
L'embauche de white hats n'est pas la seule façon de bénéficier de l'écosystème des hackers pour l'entreprise.

Un marché des failles de sécurité « Zéro Day » a vu le jour entre 2005 et 2006, les hackers qui ont détecté une voie d'accès au système d'information y proposent leur prix pour vendre cette faille. En gardant un œil sur ce marché parallèle de la sécurité, l'entreprise s'offre une opportunité d'identifier rapidement et efficacement des failles de sécurité. Ces dernières, si elles étaient repérées par des pirates malintentionnés, pouvant être lourdes de conséquences.

Selon le Clusif (Club de la Sécurité de l'Information Français), un record a été atteint en 2015, avec une faille négociée un million de dollars ! Si cette somme est loin d'être approchée par toutes les failles Zéro Day, négociées en moyenne quelques milliers de dollars, ce marché parallèle ne cesse de croître.

(1) The Global State of Information Security® Survey 2016, PwC, octobre 2015.


Pour aller plus loin

>> Shadow IT : une menace qui n'a rien de fantôme
>> Orange Cyberdefense sécurise les actifs les plus précieux de l'entreprise