07.02.2023
| ACTUALITÉS

Hacking éthique, pilier de votre stratégie de sécurité en 2023

La genèse du hacking, entre croyances et fantasmes

Selon certaines sources, les origines du pentest remonteraient à un peu plus d’un demi-siècle en arrière. C’est dans le cadre d’une conférence organisée par une société américaine de logiciels, convoquée à l’origine pour traiter de la crise informatique alors en cours aux Etats-Unis, que serait née officiellement la méthodologie. Elle donne lieu très vite, dès 1967, au mot anglais “penetration”, choisi pour désigner la violation d’un système de sécurité informatique. Le développement de cette technique est alors principalement le fait du gouvernement américain qui lui porte un intérêt grandissant en formant ses propres équipes pour étudier l’impact des penetrations sur sa sécurité.

Pour d’autres, le hacking s’apparenterait à un bricolage récréatif qui aurait pris naissance dans la prestigieuse université et autre centre de recherche américain dédié aux sciences et à la technologie : le Massachusetts Institute of Technology (MIT). Ici même où dans les années 50, aurait commencé la démocratisation de l’informatique avec les ordinateurs.

Quelques que soient finalement les véritables origines du test d’intrusion, Il faudra attendre le milieu des années 70 pour que le mot “pentesting” remplace le terme “penetration” à la connotation ambiguë et soit adopté définitivement dans le langage des informaticiens. Et quelques décennies encore pour que la Californie devienne le centre de gravité de l’IT et du pentest avec le fameux Homebrew Computer Club qui réunira dans un garage quelques-uns des plus brillants hackers de l’époque, comme notamment Steve JOBS.

Voir la vie en blanc ou en noir

Dans son manifeste « Comment devenir un hacker », Eric Raymond rappelle que le premier impératif qui préside à cet esprit, c’est l’aspect « bidouille » et « Do it yourself ». La tendance provient d’un besoin de connaître puis de maîtriser la machine, de savoir comment elle fonctionne, ce qu’elle cache derrière son capot.

L’auteur met en exergue ce qui différencie les hackers éthiques des black hats, expression tirée de l’argot pour désigner les méchants hackers : quand les chapeaux blancs construisent des choses, les crackers les cassent à des fins frauduleuses. D’un côté, se rangent les bidouilleurs qui développent en même temps qu’ils avancent dans leurs techniques, une véritable éthique du métier, de l’autre, les pirates informatiques qui s’introduisent illégalement sur des sites, sans foi ni loi. Tous sont passés par l’étape où l’on ouvre l’ordinateur, le démonte, pour l’observer, l’améliorer, apprendre à la remonter et mieux encore, partager les résultats de ses observations.

Si la centralisation de l’authentification facilite le quotidien des équipes informatiques, elle octroie par défaut à l’attaquant un passe-droit sur l’ensemble du réseau. Or récupérer des données confidentielles ou chiffrer les ressources d’une entreprise constituent le Graal des groupes cybercriminels.

Pourquoi lancer une simulation d’attaque sur son entreprise ?

Des bénéfices concrets

Une cyberattaque peut engendrer une paralysie de l’entièreté ou d’une partie de votre système informatique. Elle peut induire une perte mineure ou totale de vos données avec un impact sur vos ressources, immatérielles bien sûr mais également matérielles, humaines et financières. Dans ce contexte, le pentest prend tout son sens. Cette technique permet d’une certaine manière, de s’adapter à la cadence toujours plus rapide des attaquants et de rester dans l’anticipation et non plus de s’exposer aux risques.

Avec la crise sanitaire et la mise en place du plan du gouvernement dit France Relance, le pentest est rapidement devenu une des techniques de détection de vulnérabilités préférées des collectivités et de manière générale, des organisations. Le test d’intrusion a le double avantage d’évaluer par niveau d’urgences, les correctifs à apporter à vos équipements mais aussi de sensibiliser les dirigeants sur l’état de santé de la sécurité de leur patrimoine informationnel en s’appuyant sur des faits tangibles et concrets.

Après avoir identifié les menaces sur un périmètre préalablement établi et priorisé quelles sont selon vous vos vulnérabilités, les experts en pentest vous apportent leur expérience pour vous aider à définir votre plan d’actions (préconisations techniques, organisationnelles, opérationnelles…), en phase avec vos ressources et vos budgets.

Des scénarios adaptés à vos contraintes et éthiques à l’égard des acteurs de votre écosystème.

Plusieurs approches sont possibles : Black box, White box, Grey Box. Cela permet d’adapter les scénarios à votre environnement, numérique notamment et à votre niveau de maturité.

Avec la technique dite de Black Box, le pentesteur n’a accès à aucune information au préalable vous concernant. Cette approche représente la technique la plus compliquée à mettre en place mais elle a l’avantage de donner des résultats particulièrement significatifs.

La Grey Box est une approche avec un niveau d’information restreint mais supérieur à la précédente. Les phases de reconnaissances sont facilitées afin d’avoir plus d’informations sur le cœur du système cible. Cette technique offre une certaine polyvalence qui permet de se mettre au mieux, à la place d’un utilisateur classique.

Enfin, l’approche White Box est la méthode la plus courante. Le pentester a à sa disposition, toutes les informations importantes afin de pousser le test le plus possible. En général, cette méthodologie est adaptée à une organisation mature et permet une meilleure précision des résultats sur une partie ciblée du système.

Et après ?

La mise en place d’actions de pentest est une étape incontournable pour établir votre plan de sécurité et séquencer par étapes, les actions à mettre en place.

Après l’étape d’analyse des résultats, vient le temps de la réflexion et de la construction. L’utilisation des informations issues du pentest servent à sensibiliser vos collaborateurs aux bonnes pratiques, aux points faibles et forts induits par votre transformation digitale. Elle fait partie intégrante du processus de montée en maturité.

En parallèle, la sécurité offensive n’est pas une fin en soi. Elle demande de la régularité car un système d’informations n’est jamais figé dans le temps, les techniques d’attaques itou. Après un pentest, vos équipements, votre infrastructure devront être testés et re-testés pour vous assurer de rester dans l’air du temps et de votre capacité à pouvoir vous adapter aux techniques que les attaquants développent au fur et à mesure.

Retrouvez le replay de notre webinar du 9 mars.

Dans cette nouvelle conférence, nos experts vous présentent notre service interne dédié composé d’une équipe de dix ingénieurs spécialisés. Arnaud FROMAGER et Sébastien MIGUEL, respectivement Responsable commercial et Pentesteur SNS SECURITY abordent pour vous les bénéfices que vous êtes en droit d’attendre d’un test d’intrusion. Venez assister à une simulation d’attaque vous permettant de découvrir un échantillon du travail passionnant réalisé en backoffice par nos pentesteurs.

Soucieuse de vous apporter le meilleur service possible, SNS SECURITY propose des webconférences à destination des professionnels de l’IT ou futurs experts, qui souhaitent approfondir leurs connaissances de la cybersécurité. À la fin de chacune de nos webconférences, un temps est dédié aux questions avec l’objectif de pouvoir vous apporter les réponses concises et concrètes que vous attendez.

Vous ne pouvez pas copier le contenu de cette page.