Les entreprises diversifient les stratégies de défense afin de protéger leur système d'information.
Comment se maintenir au niveau des hackers ?
La question obsède les directeurs des systèmes d'information (DSI) qui, à défaut de parvenir à sensibiliser leur comex au risque cybercriminel, rivalisent d'idées pour protéger leurs infrastructures . Il existe bien entendu le classique audit de sécurité. Pour un prix allant de 10.000 à 40.000 euros, un prestataire effectue un audit global et exhaustif du système de l'entreprise. Mais pour s'opposer à la force de frappe des hackers, les DSI sont contraints de recourir à de nouvelles méthodes.
Dans un premier temps, c'est la philosophie même de ces audits qui a évolué. Plutôt que de dresser un état de l'art général, les DSI veulent tester certains périmètres de leurs systèmes d'information. C'est la « red team », autrement dit « l'équipe rouge », celle des méchants. Cela permet d'exploiter toutes les failles éventuelles.
« Red team » et corporate hacking
La red team est souvent mise en place chez un prestataire. Le secteur bancaire y a largement recours pour éprouver sa sécurité. La BCE a d'ailleurs émis un document en mai 2018 pour encadrer ces pratiques, qui pourrait faire référence. Mais la red team peut aussi être composée de collaborateurs internes. Ces derniers ont alors pour mission de « hacker » leur propre entreprise. Société Générale a ainsi constitué une équipe.
Face à l'ingéniosité des hackers, certains experts en cybersécurité recommandent de faire plutôt appel à l'extérieur. En ce sens, la lutte contre les failles de sécurité a pris une nouvelle forme : le « bug bounty ». Les entreprises formulent des demandes de cybertests à des plates-formes qui les mettent en relation avec les hackers les plus expérimentés dans le domaine concerné. Faire correspondre l'offre et la demande, c'est la mission de Yogosha. « Attention : il ne s'agit pas d'une bande de hackers amateurs logés dans un garage. Cette pratique a été professionnalisée, avec un cadre juridique, notamment sous l'impulsion de Google. L'entreprise de Mountain View peut en effet rémunérer jusqu'à 250.000 dollars un hacker pour la découverte d'une faille critique. En France, les prix sont nettement inférieurs.
Une équipe interne ou externe ?
Pour le fondateur de Yogosha, la première difficulté à surmonter pour internaliser une telle équipe est la raréfaction des talents.La seconde est le maintien de ces équipes au niveau des cyberattaques. Seules les grandes entreprises - souvent américaines - peuvent se le permettre. C'est le cas de LinkedIn.
