« Apprendre l’attaque pour mieux se défendre »telle est la devise des hackers éthiques.
Avec l’avènement des nouvelles technologies, la sécurité informatique revêt une place importante pour les entreprises. A titre d’exemple, « 57 % des RSSI français reconnaissent que l’adoption du télétravail les a rendu plus vulnérables aux cyberattaques ».
La cybersécurité est ainsi devenue un enjeu important pour les entreprises. C’est ainsi que le recours à des hackers éthiques est apparu comme une solution efficace pour celles-ci afin d’anticiper les risques de cyberattaques.
I. Qu’est-ce qu’un hacker éthique ?
Les hackers éthiques, également appelés les « white hats » sont des personnes qui disposent de solides compétences en sécurité et en réseau informatique. Ils aident à identifier les vulnérabilités des systèmes d’information et à déjouer les menaces qui pèsent sur de nombreuses entreprises. Plus généralement, les hackers éthiques prolifèrent une facette positive du piratage en délivrant leur expertise en faveur du bien commun.
Contrairement aux hackers traditionnels ou « black hats », les « white hats »agissent dans un cadre légal. A ce titre, l’article L 2321-4 du Code de la défense dispose que « Pour les besoins de la sécurité des systèmes d’information, l’obligation prévue à l’article 40 du Code de procédure pénale n’est pas applicable à l’égard d’une personne de bonne foi qui transmet à la seule autorité nationale de sécurité des systèmes d’information une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données.
L’autorité préserve la confidentialité de l’identité de la personne à l’origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectué.
L’autorité peut procéder aux opérations techniques strictement nécessaires à la caractérisation du risque ou de la menace mentionnés au premier alinéa du présent article aux fins d’avertir l’hébergeur, l’opérateur ou le responsable du système d’information. ».
Par conséquent, le hacker éthique doit agir de bonne foi puisque ce dernier doit avertir l’ANSSI de l’existence de la faille du système de sécurité informatique. Autrement dit, le hacker éthique ne doit pas profiter de la faille pour l’exploiter à son avantage personnel, contrairement aux « black hats ».
Bien que la majorité des hackers éthiques préservent leur anonymat, certains d’entre eux médiatisent leurs actions sur les réseaux sociaux. C’est le cas de Baptiste ROBERT, plus connu sous le pseudo d’Elliot ALDERSON, en référence au personnage principal de la série Mr.Robot, qui a notamment mis en avant les failles de nombreuses applications mobiles. L’on peut également citer, Peiter ZATKO, plus connu sous le nom de « Mudge », devenu responsable de la sécurité de Twitter depuis 2018.
II. Quid sur les bénéfices des hackers éthiques au service des entreprises ?
Premièrement, le but des hackers éthiques est de mettre en avant les faiblesses des entreprises afin de mettre en place des mesures pour déjouer les attaques malveillantes.
Pour ce faire, les hackers éthiques peuvent réaliser différentes prestations. La plus connue concerne le « pentest ». Ce test d’intrusion consiste pour un hacker éthique à s’introduire dans le système informatique comme le ferait un hacker malveillant pour détecter les vulnérabilités.
Par la suite, les entreprises peuvent délivrent une promotion, plus communément appelée « Bug Bounty » dont le montant est généralement proportionnel à la faille détectée. A titre d’exemple, Google a affirmé avoir versé « plus de 6, 7 millions de dollars en bug bounty à 662 chercheurs en sécurité de 62 pays »en 2020 pour avoir mis en avantdiverses vulnérabilités.
Afin de mettre en relation les entreprises et les hackers éthiques, des plateformes existent. A ce titre, YesWeHack est une plateforme française de « Bug Bounty » créée en 2013 qui a notamment bénéficié d’un partenariat avec le Ministère français des Armées.
III. L’avènement du hacker éthique : un métier en constante évolution.
Le marché du piratage éthique est en pleine évolution. D’après un rapport d’HackerOne, « le nombre d’hackers éthiques a augmenté de 63% par rapport à 2019 ». Par conséquent, il s’agit d’un métier d’avenir. En effet, avec l’augmentation du nombre de cyberattaques, les offres d’emploi ne cessent d’augmenter. A ce titre, ces derniers peuvent percevoir en moyenne entre 67 000 € et 90 000 € brut pas an.
Finalement, l’avènement du piratage éthique contribue à sensibiliser sur l’importance de la cybersécurité et la nécessité pour les entreprises d’adopter une attitude responsable pour se prémunir des risques liés aux cyberattaques.
