Le pentester, hacker éthique au service des entreprises 1


Share Button

Par la rédaction ORSYS

Pentester et cybersécurité - ORSYS

Face à la multiplication des attaques, les entreprises font de plus en plus appel à des experts en cybersécurité un peu particuliers, les pentesters. Portrait de ces hackers qui ne sont pas passés du côté obscur de la Force… 

En 2018, les cyberattaques ne cessent de se multiplier. On se souvient par exemple de WannaCry, ou même de PetrWrap, deux attaques de grande ampleur qui ont paralysé de nombreuses entreprises et institutions. Aujourd’hui, les spécialistes de la cybersécurité ne sont pas plus optimistes : les pirates informatiques savent exploiter les failles des systèmes de sécurité des plus grandes entreprises, et ne manqueront probablement pas de créativité cette année non plus.

Or, depuis l’entrée en vigueur du RGPD le 25 mai 2018, la sécurité des données personnelles n’est plus une simple recommandation. PME comme multinationales sont tenues de se parer à d’éventuelles cyberattaques. Toutes doivent avoir recours à des experts en cybersécurité.

Et quoi de mieux qu’un hacker éthique, plus communément appelé « pentester », pour lutter contre les hackers ?

Qu’est-ce que le hacking éthique ?

Entre le phishing, les ransomwares ou l’utilisation de botnets, les techniques d’intrusion ne manquent pas. Afin de les contrer, c’est donc tout naturellement que les entreprises font appel à des experts en intrusion, c’est-à-dire… Des hackers. À la différence que ceux-ci ont une éthique plus développée, et qu’ils signent un contrat bien ficelé comportant une clause de confidentialité.

Si on les appelle « hackers éthiques » ou même « white hats » (chapeaux blancs) dans le milieu, on parle plutôt de « pentesters » dans le monde professionnel. De « pentest », un néologisme anglais né de l’expression penetration test et qui signifie « test de pénétration/d’intrusion ». Spécialistes de la cybersécurité, ces white hats ont pour mission de s’infiltrer dans les systèmes de sécurité dans le but d’en trouver les failles avant les black hats – qui, eux, sont des hackers sans foi ni loi.

Le pentester peut ainsi être vu comme un consultant en cybersécurité. À la différence qu’il réalise son audit à partir de techniques de piratage informatique… Pour le compte de l’entreprise qui l’emploie.

La pratique du pentest

S’il existe de nombreuses manières de sécuriser un système informatique, le pentest est considéré comme un outil de référence. Il s’agit d’une tentative d’intrusion volontaire sur un réseau (application mobile, back end de site Web…) ou un équipement afin d’en évaluer le niveau de sécurité. Et, si cela s’avère nécessaire, de le consolider.

Pour ce faire, le pentester se glisse dans la peau d’un hacker aux intentions beaucoup moins louables. Il a pour but d’accéder aux données potentiellement confidentielles de l’entreprise par tous les moyens possibles. Lourde responsabilité, donc, que celle qui incombe au pentester mettant son nez dans des données sensibles : s’il ne trouve pas la faille, ne restitue pas un rapport précis des vulnérabilités du système… D’autres risqueront de les trouver à sa place.

La finalité de sa mission est de fournir des recommandations de sécurité à l’entreprise concernée, voire de sensibiliser le personnel. Car il peut tout aussi bien planifier une attaque par hameçonnage (phishing) parfaitement réaliste. Qui cliquera sans réfléchir sur ce lien qui s’offre dans un mail au destinataire inconnu ?

Le pentest, une compétence encore à la traîne en France

Encore assez méconnu en France, le métier de pentester a pourtant un bel avenir devant lui. En 2018, la plateforme d’emploi Joblift dévoilait une étude sur le marché de l’emploi du hacking éthique en s’appuyant sur « 15 millions d’offres d’emploi publiées les 24 derniers mois en France ». Une des conclusions était que la France publiait « sept fois moins d’offres d’emploi d’hacker éthique que le Royaume-Uni »… Mais que cela représentait néanmoins une évolution mensuelle moyenne de 11%.

De cette étude, il ressort également que les entreprises recherchent des profils d’ingénieurs. Dans un domaine où beaucoup d’amateurs ont pu se former en autodidactes, on attend désormais des diplômes de master en informatique ou équivalent. Sans oublier la maîtrise de différents langages informatiques, tels que Python et Java.

Or cela ne dispense pas le pentester de rester en veille permanente. Curieux et passionné par son domaine, il doit sans cesse se maintenir au fait des dernières évolutions technologiques et de techniques d’attaque, dans un secteur qui ne souffle pas une seconde.

En somme, toujours chercher à avoir une longueur d’avance sur les blacks hats, tout en détenant une certification d’hacking éthique qui lui permettra de montrer patte blanche aux entreprises. Ou plutôt, chapeau blanc.

Pour vous former

Share Button

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Commentaire sur “Le pentester, hacker éthique au service des entreprises