On ne sait pas que les violations de données et les cyberattaques se multiplient, le hacking devient de plus en plus sophistiqué. Les entreprises ont du mal à suivre l’évolution rapide des motivations, des tactiques et des appétits des cybercriminels. Le problème est exacerbé par les technologies émergentes telles que l’IoT, qui offrent aux pirates de nouveaux mécanismes et véhicules d’attaque. Les entreprises migrent également souvent vers le cloud, déplaçant de gros volumes de données de travail et d'applications dans diverses configurations de déploiement, laissant les pirates sans protection contre leur exploitation. Alors, quelles mesures les entreprises peuvent-elles prendre pour éviter les perturbations ?
Perspectives ennemies.
Pour comprendre et suivre l’évolution des mentalités en matière de cybersécurité, de nombreuses entreprises luttent contre l’incendie, en d’autres termes, font appel à des pirates informatiques pour les aider. En fait, de grandes entreprises telles que Airbnb, PayPal et Spotify ont récemment révélé qu'elles avaient volontairement dépensé plus de 38 millions de livres sterling en pirates informatiques éthiques pour renforcer leurs cyberdéfenses et prévenir les violations de données. Les pirates informatiques éthiques peuvent jouer un rôle essentiel en aidant les équipes de sécurité à prendre en compte tous les vecteurs d’attaque possibles lors de la protection des applications. Même si les architectes de sécurité possèdent une connaissance approfondie des meilleures pratiques du secteur, ils manquent souvent d'expérience directe sur la manière dont les attaquants effectuent des reconnaissances, des attaques en chaîne ou accèdent aux réseaux d'entreprise. Equipé, espère-t-on, de toutes les compétences et de la ruse de ses adversaires, le hacker éthique est légalement autorisé à exploiter les réseaux de sécurité et à améliorer les systèmes en corrigeant les vulnérabilités découvertes lors des tests. Ils sont également tenus de divulguer toutes les vulnérabilités découvertes. Il peut sembler contre-intuitif de faire appel à des pirates informatiques pour planifier et tester notre cyberdéfense, mais ce dont ils disposent en abondance est une expérience pratique précieuse. Selon le Hacker Report 2019, la communauté des pirates informatiques a doublé d'année en année. L'année dernière, 19 millions de dollars ont été distribués sous forme de bonus, soit presque le montant total versé aux pirates informatiques au cours des six dernières années combinées. Selon le rapport, le rapport estime également que les pirates informatiques les mieux payés peuvent gagner jusqu'à quarante fois le salaire annuel moyen d'un ingénieur logiciel dans leur pays d'origine.
(Image: © Crédit d'image: Kevin Ku / Pexels)
Où chasser les pirates éthiques.
La méthode la plus courante est un système de « bug bounty » qui fonctionne sous des conditions strictes. De cette façon, n'importe quel membre du public peut rechercher et soumettre les vulnérabilités découvertes pour avoir une chance de gagner un bonus. Cela peut bien fonctionner pour les services accessibles au public, tels que les sites Web ou les applications mobiles. Les récompenses dépendent du niveau de risque perçu une fois que l'organisation concernée confirme la validité de votre découverte. Le recours au crowdsourcing et aux paiements incitatifs présente des avantages évidents. Les pirates informatiques reçoivent des félicitations pour leur réputation et/ou des devises fortes pour se manifester et prouver leurs compétences sur un forum très public. En contrepartie, l’organisme donneur d’ordre prend de nouvelles dimensions en termes de sécurité et de perspectives sécuritaires. Certaines entreprises choisissent d’embaucher directement des pirates informatiques. L’expérience pratique est la clé ici. Même si le recours à des pirates tiers, dont certains ont des antécédents d’activités criminelles, peut sembler contre-intuitif, il n’existe qu’une seule expérience concrète. En fin de compte, un hacker est un hacker. La seule différence réside dans ce qu’ils font une fois qu’un bug ou une vulnérabilité est découvert. Au final, employer un ancien cybercriminel est une décision risquée qui doit être prise au cas par cas. Il convient également de noter que la vérification des antécédents criminels permet uniquement d'identifier les anciens délinquants, car elle ne permet pas de connaître le contexte de la façon dont une personne a changé. Par exemple, il est peu probable qu’une personne accusée de refus de service dès son plus jeune âge ait développé une carrière criminelle internationale. En fait, certains jeunes délinquants deviennent souvent des consultants en sécurité très respectés et des leaders d’opinion de l’industrie. Un autre terrain de chasse fertile pour les pirates pourrait être plus proche de chez nous. Les meilleurs praticiens sont curieux, avec une forte passion pour la déconstruction et le réassemblage. Les entreprises doivent mieux comprendre les compétences de ceux qui construisent leurs applications, leur code et leur infrastructure réseau. Ils sont peut-être déjà conscients des vulnérabilités, mais ne les ont pas encore signalés, car cela ne fait pas partie de leur description de poste. C'est du gaspillage. Les décideurs ont besoin de toutes les informations et de l'aide qu'ils peuvent obtenir, et il y en a bien plus que vous ne le pensez. Au fil des années, j'ai rencontré de nombreuses personnes lors d'ateliers de sécurité ou d'événements de piratage de signalement qui ont créé des produits, mais prétendent apprécier encore plus le processus de piratage amélioré et la collecte d'informations. Enfin, le hacking éthique est également de plus en plus formalisé. Les certifications notables incluent Certified Ethical Hacker (CEH), Offensive Security Certified Professional (OSCP) ou Global Information Assurance Certifications (GIAC). Bien sûr, de nombreux hackers expérimentés hésiteront face à de tels développements pédagogiques, mais surveillez cet espace.Gardez vos amis proches...
Même s’il semble pervers d’embaucher des pirates informatiques et d’anciens cybercriminels, il est clair qu’ils peuvent apporter des connaissances concrètes et inestimables à toute une série d’activités de sécurité, notamment la modélisation des menaces et les tests de cybercriminalité. pénétration. Ils peuvent offrir des informations que d'autres n'ont pas prises en compte et montrer aux entreprises comment s'adapter aux menaces en donnant un aperçu de leurs tactiques et de leurs motivations. Alors que de plus en plus d'entreprises adoptent cette approche en matière de cybersécurité, il est important de surveiller de près votre entreprise pour vous assurer que les pirates ne recourent pas à leurs anciennes méthodes malveillantes et ne mettent pas votre entreprise en danger. Tristan Liverpool, directeur de l'ingénierie des systèmes chez F5 Networks- Protégez vos appareils contre les dernières menaces informatiques avec le meilleur antivirus