Partout dans le monde, inutile de se voiler la face, face à l’évolution rapide de la cybercriminalité, les entreprises éprouvent de plus en plus du mal. Comme cette tendance n’est pas près de disparaître malgré les efforts de tous les acteurs concernés, les entreprises se trouvent dans le besoin de combattre le feu par le feu en mettant des pirates éthiques face aux pirates malveillants.
Les hackers éthiques sont plus efficaces que les architectes de sécurité
Il se trouve que les architectes de sécurité disposent de vastes connaissances sur les meilleures pratiques de sécurités. En revanche, ils leur manquent souvent l’expérience de terrain et c’est pourquoi, il est plus difficile pour eux de cerner les gestes des attaquants depuis leur reconnaissance, en passant par les enchaînements de leurs attaques et jusqu’à leur pénétration dans les réseaux de l’entreprise. Le pirate éthique quant à lui peut intervenir plus efficacement, car il possède toutes les compétences et connaît la ruse de ses adversaires. De plus, ce dernier peut exploiter les réseaux et les systèmes dans le but de corriger au passage les vulnérabilités détectées lors de ses tests. Bien entendu, en plus des vulnérabilités qu’il a pu exploiter, un pirate éthique est aussi tenu de divulguer toutes les vulnérabilités qu’il découvre durant toute sa mission.
Un marché en pleine expansion
Comme cette activité peut beaucoup rapporter, le nombre des pirates éthiques a considérablement évolué en seulement une année. L’an dernier seulement, 19 millions de dollars ont ainsi été attribués en primes à des White Hats recrutés pour rechercher des vulnérabilités. Ce chiffre correspond presque au total des sommes partagées au cours des six années précédentes combinées. L’avantage, c’est que dans ce business, tout se fait de manière légale et ces pirates éthiques ne risquent donc pas la prison. Si ce marché connaît un grand succès, c’est que les pirates éthiques les mieux payés peuvent gagner jusqu’à quarante fois le salaire annuel médian d’un ingénieur en informatique dans leur pays d’origine, de quoi à susciter des vocations.
Mais où dénicher ces perles rares ?
Plusieurs options s’offrent aux entreprises :
- Recourir à du crowd sourcing (Bug Bounty) public.
- Faire évoluer ses techniciens.
- Embaucher un hacker.
- Repérer des talents au sein de l’entreprise.
Le crowdsourcing et le paiement d’incitation présentent des avantages évidents aussi bien pour les pirates qui entretiennent leur réputation et gagnent de l’argent de manière légale que pour les entreprises qui bénéficient d’un influx de nouvelles idées, de nouvelles pratiques et de techniques de pointe pour faire l’évaluation de sa sécurité.
Si vous préférez embaucher directement des pirates informatiques plutôt que de recourir à des pirates éthiques, sachez que c’est une décision un peu risquée. En effet, vous devez accorder une grande importance quand vous allez choisir votre futur collaborateur, car embaucher des personnes qui ont des antécédents criminels dans votre entreprise ne sera pas très prudent. Employé un ex-cybercriminel peut toutefois valoir la peine, car il peut devenir un leader d’opinion respecté dans l’industrie. Même si vous pouvez en trouver à l’extérieur, ne sous-estimez pas les talents internes, car les cybertalents qui bâtissent vos applications, développent leur code et font fonctionner votre infrastructure réseau peuvent aussi vous surprendre en se formant à la cybercriminalité, d’autant plus que les moyens ne manquent plus désormais.