Face à l’augmentation de la cybercriminalité et aux méthodes de plus en plus perfectionnées utilisées par les pirates, les entreprises doivent aujourd’hui faire preuve d’une vigilance accrue afin de sécuriser au maximum leurs systèmes.
Un nombre croissant d’entreprises ont recours au “ethical hacking”, par lequel un hacker va tenter de pénétrer un système via ses failles et proposer des contre-mesures pour y remédier. Selon une étude de la société spécialisée en sécurité informatique McAfee, le coût annuel de la cybercriminalité pour l’économie mondiale se situe entre 330 et 500 milliards d’euros.
La semaine passée, la société Mobile Vikings annonçait faire appel à des hackers éthiques afin de détecter les failles dans la sécurisation de ses données. Pour ce faire, l’entreprise collabore avec la plateforme Hackerone.com. Via ce portail, des hackers du monde entier peuvent tester logiciels, systèmes et sites participants afin d’y déceler les vulnérabilités. Les geeks qui rapporteront des faiblesses sont ensuite récompensés par des montants allant de 300 à 5.000 dollars, voire davantage pour certains sandboxes ou protocoles. Des géants de l’internet comme Google, Facebook et Microsoft disposent également de leur propre “Bug Bounty Program” avec là aussi des récompenses pour les programmeurs repérant des failles.
De plus en plus d’entreprises disposent d’une cellule de hackers en leur sein même. C’est par exemple le cas de Proximus qui utilise ce procédé depuis une dizaine d’années. Aujourd’hui, une équipe de cinq personnes se consacre exclusivement à cette tâche. “Elles recherchent les bugs dans les nouveaux produits, mais se penchent également sur les produits existants”, explique Frédérique Verbiest, porte-parole de Proximus.
D’autres entreprises pour lesquelles la sécurisation des données constitue un enjeu stratégique font également usage de “ethical hacking”, notamment les banques. Il en va de même pour certains gouvernements ou agences étatiques. Aux Etats-Unis, la très sérieuse Defense Advanced Research Projects Agency (DARPA, Agence pour les projets de recherche avancée de défense) a lancé le programme Cyber Fast Track en 2011. Celui-ci repose en partie sur la collaboration avec les communautés de hackers.
Les hackers commencent ainsi progressivement à être considérés comme une partie de la solution face aux problèmes posés par la cybercriminalité. Dans cette optique, l’Université de Valenciennes a lancé en 2008 une licence professionnelle en Cyberdéfense et anti-intrusion des systèmes d’information. Dispensée en un an, cette formation rassemble 52 étudiants, dont certains viennent de Finlande, du Mexique ou encore du Maroc. Elle est unique en son genre en Europe. “La spécificité de cette formation est qu’elle repose sur une approche offensive, là où les autres se contentent de mécanismes défensifs”, explique Franck Ebel, le responsable de la licence. “Nous apprenons ce que les pirates font pour mieux les contrer.”
Franck Ebel est actif dans le hacking depuis une vingtaine d’années et est également commandant de gendarmerie réserviste. Vu le caractère sensible de ce cursus, tous les dossiers d’admission doivent passer par les services secrets français avant d’être approuvés, précise-t-il. “Nous avons également un cours dispensé par un avocat spécialisé expliquant ce qui est faisable, et ce qui ne l’est pas.”
Un stage de 12 semaines fait partie de la formation. “Ces stages intéressent particulièrement les PME, car ils leur permettent de sécuriser leur système à moindre coût”, indique M. Ebel, qui ajoute que bon nombre de ces étudiants trouvent rapidement un emploi à l’issue de l’année, parfois au sein de l’entreprise où ils ont effectué leur stage.
Forte du succès rencontré par la licence depuis 2008, l’Université de Valenciennes lancera un master en deux ans en cyberdéfense en septembre prochain.
