7 questions sur le hacking éthique

Publié le 09/03/2021 dans Tech, trucs & astuces

7 questions sur le hacking éthique

Les hackers éthiques utilisent les mêmes techniques que les hackers malveillants pour révéler et combler les failles de votre cybersécurité. Sander Van der Borght et Stephen Corbiaux, hackers éthiques chez Davinsi Labs, nous en disent plus.

1. Qu’est-ce que le hacking éthique ?

"Les hackers éthiques cherchent les failles de sécurité de sites web, applications mobiles et réseaux d’entreprise (sans fil)”, explique Sander Van der Borght, hacker éthique chez Davinsi Labs. "Nous utilisons les mêmes outils et techniques que les hackers malveillants et rapportons toutes les faiblesses que nous décelons. Nous menons également des campagnes de phishing afin de créer une sensibilisation chez les utilisateurs et d’en mesurer le niveau. Les utilisateurs finaux demeurent un maillon extrêmement vulnérable. Nous aidons ainsi les entreprises à se protéger des hackers mal intentionnés.”

2. Scans de sécurité ou hacking éthique ?

"Le cerveau humain raisonne toujours mieux qu’un ordinateur et sait penser out of the box”, poursuit Sander. "Les scanners automatiques ne tiennent pas compte du fonctionnement ou du contexte d’une application. Ils constituent certes une valeur ajoutée car ils parviennent à scanner beaucoup d’actifs et de gros volumes en peu de temps, mais ils n’offrent aucune garantie quant à la qualité et à la rigueur des résultats.

Nous pourrions par exemple déceler une faille qui permettrait de créer un utilisateur disposant de plus de droits que ce dont il est initialement permis de disposer, ou nous pourrions arriver à consulter les commandes ou les factures d’autres personnes. Ce type de vulnérabilités, que nous appelons ‘business logic vulnerabilities’, est très grave. Un scanner ne les trouvera pas et, ainsi, de nombreux problèmes passeront sous les radars. Si vous voulez être en conformité, vous devez faire effectuer des tests d’intrusion.”

Le fait que le top 10 des menaces d’il y a 10 ans soit toujours d’actualité en dit suffisamment long.

Stephen Corbiaux, hacker éthique et Solution Lead Vulnerability Management chez Davinsi Labs

author

3. Quelles sont les étapes d’un tel processus ?

  1. On convient clairement de ce que l’on veut faire tester au juste.
  2. Le(s) test(s) d’intrusion débute(nt). Toutes les fonctionnalités d’une application sont examinées.
  3. Un rapport détaillé documente toutes les constatations : quel est leur impact et quelle est la probabilité qu’elles soient exploitées de façon malveillante. En cas de failles critiques, le client est contacté aussitôt et accompagné afin de les résoudre rapidement.

4. Quand faut-il faire hacker votre entreprise ?

"Un test unique n’offre hélas aucune garantie absolue quant à l’étanchéité de votre politique. Les hackers inventent chaque jour de nouveaux outils et techniques. Ce qui est sûr aujourd’hui pourra donc présenter une vulnérabilité critique demain. C’est pourquoi vous devez faire effectuer régulièrement des tests d’intrusion. L’idéal est de commencer à faire tester le code de votre application dès une phase précoce de son développement, puis à chaque modification importante (du code et/ou de l’infrastructure). Vous résoudrez ainsi les problèmes éventuels avant même qu’ils ne se posent.”

Le hacking éthique est tout aussi essentiel à une bonne stratégie de sécurité pour les PME.

Sander Van der Borght, hacker éthique chez Davinsi Labs

author

5. Et avec les nouvelles technologies ?

"Les nouvelles technologies ne sont pas plus difficiles à hacker que les autres”, affirme Stephen Corbiaux, hacker éthique et Solution Lead Vulnerability Management chez Davinsi Labs. "Ce sont toujours des humains qui développent les logiciels, et les humains font des erreurs. Le fait que le top 10 des menaces d’il y a 10 ans soit toujours parfaitement d’actualité en dit suffisamment long. Néanmoins, s’il y a bien une catégorie particulièrement vulnérable, c’est l’IoT Le nombre d’appareils mal sécurisés ou dont les mises à jour de sécurité s’arrêtent après 2 ou 3 ans est incommensurable.”

Les appareils IoT mal sécurisés ne sont pas les seuls à présenter des risques élevés. Nous avons recensé pour vous les tendances et menaces de 2021 en matière de sécurité.

Lisez les 13 tendances

6. Les grandes entreprises sont-elles les seules à pouvoir se faire hacker ?

"Non, le hacking éthique est tout aussi essentiel à une bonne stratégie de sécurité pour les PME. Une première étape consiste à examiner les principales applications et l’infrastructure en ligne. Si une organisation dispose d’une maturité suffisante, en termes de sécurité, dans son environnement externe, les actifs internes sont testés, notamment par le biais de tests d’intrusion sur mesure, même pour les plus petites infrastructures ou applications.”

7. Avez-vous quelques exemples pratiques ?

"Nous avons effectué un exercice ‘Red Team’ pour un hôpital. Lors d’un tel exercice, nous avons carte blanche et hackons donc l’ensemble de l’organisation, en utilisant toutes les techniques possibles et en essayant de pénétrer physiquement dans des bâtiments. Dans le cas de cet hôpital, nous sommes parvenus à copier les badges d’accès et à contourner ainsi le contrôle d’accès, mais aussi à nous introduire dans le centre de données et sur leur canal de vidéosurveillance.

Lors d’une mission plus ciblée pour une entreprise gérant une infrastructure critique, nous avons réussi à accéder au système de plaques d’immatriculation, à entrer dans le parking et à créditer notre badge de tous les droits possibles. Pour les criminels, ce type d’accès vaut de l’or, son importance ne doit donc pas être sous-estimée.”

La clé absolue : une bonne politique de sécurité

"Une fois que vous vous faites hacker, il est trop tard. La seule chose que vous puissiez encore faire, c’est rassembler suffisamment de preuves et essayer de stopper les assaillants. Nous constatons trop souvent qu’une attaque réussie est le résultat d’une base négligée : aucune gestion des patchs, aucun filtrage des pièces jointes aux e mails, une conscience insuffisante du danger chez les utilisateurs finaux.

Tout part de l’élaboration d’une bonne politique de sécurité, dans le cadre de laquelle des tests proactifs, effectués par des hackers éthiques, de vos applications et de votre infrastructure en ligne ainsi que des failles au niveau des utilisateurs finaux constitueront un élément essentiel afin de garder une longueur d’avance sur vos adversaires.”

Renforcer la cybersécurité en Belgique

Afin de rester à jour sur les dernières évolutions en matière de cybercriminalité, Proximus est membre de la Cyber Security Coalition. Stephen : "La Cyber Security Coalition est une association d’entreprises, d'organismes académiques et d’autorités belges qui se réunissent régulièrement pour discuter des derniers outils, tendances et découvertes et peuvent ainsi partager leurs expériences en matière de cybercriminalité à l’échelle du secteur.”

Lire l’article

Davinsi LabsNouvelle fenêtre est un Proximus Accelerator qui aide les entreprises à atteindre l’excellence dans leurs services numériques grâce à des solutions spécialisées de Security Intelligence et Service Intelligence. Dans notre monde numérique, les clients attendent que leurs données soient gérées dans une sécurité optimale et souhaitent une expérience client rapide et irréprochable. En tant que Managed Services Provider, Davinsi Labs propose un éventail de solutions destinées à élever les applications et services numériques les plus critiques vers un niveau d’excellence.

One

Le magazine IT de Proximus qui s’adresse aux CIO et professionnels IT actifs dans les PME. 

Les autres articles de One