Se préparer au pire pour éviter qu’il n’arrive : les entreprises le font tous les jours, pour différentes menaces, comme un incendie. La loi les oblige ainsi, deux fois par an, à procéder à un exercice d’évacuation pour tester la réactivité des équipes et ajuster les protocoles au besoin. Le test d’intrusion, ou pentest, dérivé de l’anglais penetration test, est une autre forme d’exercice en conditions réelles. Des experts en cybersécurité utilisent ainsi les mêmes outils que de potentiels attaquants pour déceler les vulnérabilités de l’entreprise et éprouver ses cyber-défenses.
Si pendant longtemps, les entreprises ont rechigné à ouvrir leurs portes aux hackers éthiques qui pratiquent ces tests, elles ont aujourd’hui changé de stratégie. « On constate une commoditisation du test d’intrusion, observe Kévin Gallerin, directeur général Asie-Pacifique de la plateforme française de bug bounty YesWeHack. Les entreprises en achètent désormais comme elles achètent d’autres services. »
Tester son hygiène cyber
Et pour cause : elles n’ont plus vraiment le choix. « Réaliser ce type de test recouvre un enjeu pour les assurances cyber, notamment, explique Timothée Brogniart, directeur général Europe, Moyen-Orient et Afrique du service d’authentification et de certification Sectigo. De la même manière qu’un assureur exige qu’un particulier ramone sa cheminée à intervalles réguliers pour assurer son logement, il peut exiger des garanties en matière de cybersécurité pour assurer une entreprise. »
C’est d’autant plus indispensable que les entreprises méconnaissent leurs failles. « Beaucoup de développeurs ont appris à coder mais pas forcément de manière sécurisée, regrette Kévin Chedozeau, responsable de Guardia Cybersecurity School. De nombreuses écoles de code ont vu le jour sans enseignement des principes fondamentaux de la cybersécurité. Cela donne un code qui n’est pas compartimenté, avec des boucles qui permettent des intrusions. »
« On donne aux étudiants les outils pour les emmener du côté clair de la Force »
Pour autant, certaines entreprises voient dans le hacking éthique une façon de faire entrer le loup dans la bergerie. Un argument balayé par Kévin Chedozeau qui compare la formation de hackers éthiques à celle des forces de l’ordre : « les outils numériques que l’on met dans les mains des étudiants sont, en termes de puissance de frappe, équivalents à une arme à feu dans les mains d’un policier en formation. On travaille ensuite tout au long de leur formation pour leur montrer les limites légales de leur travail et expliquer ce qu’il se passe lorsqu’ils les dépassent ». Un exercice de longue haleine, l’éthique devant « être distillée et diffusée dans l’ensemble de la formation dès le départ », afin que les étudiants n’utilisent pas les techniques inculquées pour des activités illicites.
Des attaques très encadrées
En quoi consistent ces armes de destruction massive utilisées par les hackers éthiques pour tester la résistance de l’entreprise ? Le test d’intrusion se déroule en trois phases : la planification, la découverte et l’exploitation, suivies d’un rapport qui récapitule ce que le pirate a trouvé et ses pistes pour résoudre les vulnérabilités. La planification consiste en un échange entre l’entreprise cliente et l’organisme chargé du pen-test pour définir les règles d’engagement (notamment les systèmes à tester, la plage horaire où le test sera réalisé et la durée du test).
Puis vient la phase de test à proprement parler, à commencer par la découverte : le ou les hackers prennent connaissance des systèmes et tentent de repérer différentes vulnérabilités, parmi les plus communes (comme des failles dans les mécanismes d’authentification ou dans le chiffrement de certaines données) mais aussi plus pointues, selon leurs domaines d’expertise.
Enfin, le ou les hackers cherchent à exploiter au maximum les failles détectées afin de lister les répercussions qu’elles peuvent avoir sur l’entreprise et en saisir la criticité. Telle faille permet-elle d’accéder à des données sensibles ? D’obtenir des identifiants pour prendre le contrôle d’un compte administrateur du système ? Et donc d’entrer dans le réseau de l’entreprise afin, par exemple, d’installer des malwares ?
« Nous connectons le rapport de vulnérabilités aux outils des développeurs pour qu’ils puissent régler au plus vite les failles détectées »
Cette recherche peut être effectuée de manière automatisée, grâce à des outils de scan, ou de façon manuelle – les hackers éthiques combinant le plus souvent les deux approches. Les avancées en matière d’intelligence artificielle laissent d’ailleurs penser que des outils de plus en plus performants verront le jour sous peu. « Avec le développement de l’informatique quantique, nous ne sommes pas à l’abri que la majorité du pen test puisse à terme être réalisée par une IA », note ainsi Kévin Chedozeau.
Reste alors une étape essentielle du test d’intrusion : la restitution que le hacker – ou l’organisme pour lequel il travaille – fait de son travail à son client. Il s’agit alors d’être à la fois pédagogue et précis pour aider l’entreprise à procéder aux ajustements nécessaires à l’éradication des failles. Là aussi, les plateformes de bug bounty ont automatisé en partie l’élaboration de ces rapports, en mettant au point des modèles à remplir. Mais l’effort de pédagogie doit encore être réalisé par le hacker éthique.
