Il est donc plus essentiel que jamais pour les entreprises de renforcer leurs cyberdéfenses pour garder une longueur d’avance sur les cybercriminels, mais elles ont clairement besoin d’aide. Entrez : des pirates éthiques ou des testeurs et chercheurs de sécurité offensifs.
Comprendre le piratage éthique
La meilleure façon de vérifier que votre entreprise peut résister à une cyberattaque est de l’attaquer vous-même. De cette façon, si vous avez des vulnérabilités dans vos défenses, vous ne risquez pas de partager des données sensibles.
Hackers éthiques, appelé quelques fois pirates au chapeau blanc, sont généralement des experts en sécurité de l’information autorisés à pénétrer dans un système d’entreprise pour découvrir des failles de sécurité. Ce faisant, ils peuvent montrer à l’entreprise comment empêcher les criminels d’obtenir l’accès. Le piratage éthique peut également impliquer de tester les réponses des employés à une tentative d’attaque. Les entreprises en réalisent de plus en plus les avantages et se tournent vers des hackers éthiques pour tester et renforcer leur cyber-résilience.
« La meilleure façon de vérifier que votre entreprise peut résister à une cyberattaque est de l’attaquer vous-même. De cette façon, si vous avez des vulnérabilités dans vos défenses, vous ne risquez pas de partager des données sensibles.
Declan Doyle, Centre écossais de résilience des entreprises
Suite à un piratage éthique, les experts en sécurité internes peuvent identifier et aider à résoudre toute vulnérabilité, y compris fournir une formation au personnel Où il faut.
Trouver et faire confiance aux pirates
Le piratage éthique nécessite un niveau de confiance entre le pirate informatique et l’organisation – en particulier, l’organisation doit avoir confiance que le pirate informatique est expérimenté, bien formé et n’a aucune intention malveillante. Bien qu’il s’agisse encore d’une fonction relativement nouvelle (aucune licence n’est requise), il existe désormais des certifications qui garantissent que le pirate comprend à la fois la technologie et les responsabilités éthiques.
Le CE-Conseil et l’institut Sans tous deux offrent des diplômes et des certifications autour du piratage éthique, et l’Université d’Abertay en Écosse abrite le premier piratage éthique au monde diplôme pour former la prochaine génération d’experts en chapeau blanc.
Indépendamment de la certification, il incombe à l’organisation d’embauche d’assurer la fiabilité du pirate informatique. Travailler avec un fournisseur de sécurité de confiance plutôt qu’avec un pirate informatique indépendant est une façon d’y parvenir, d’autant plus que de nombreux fournisseurs examineront les casiers judiciaires de leurs pirates informatiques pour garantir leur légitimité.
Surmonter les inquiétudes
Il peut sembler étrange d’inviter quelqu’un à fouiller dans vos systèmes, d’autant plus que certains des pirates éthiques les plus célèbres ont fait leurs débuts en tant que cybercriminels. Une cette personne est Kevin Mitnick, qui figurait auparavant sur la liste des fugitifs les plus recherchés du FBI et dirige maintenant une société de conseil en sécurité informatique.
Il est important de se rappeler les origines du mot « hacking ». Le terme est apparu pour la première fois dans ce contexte dans les années 1960. Ensuite, il faisait référence à l’application de techniques d’ingénierie créatives pour pirater les machines pour les rendre plus efficaces, et avait donc des connotations positives et était une compétence à admirer.
Le piratage éthique, en quelque sorte, consiste à ramener les pirates à ces origines, pour aider les organisations en mettant en évidence les vulnérabilités et en fermant tout failles de sécurité.
Aussi étrange que cela puisse paraître d’encourager les gens à exposer et à accéder à des données privées, les pirates informatiques sont effectivement comme n’importe quel autre employé. Ils sont sous contrat et peuvent être tenus de signer un accord de non-divulgation s’il y a des inquiétudes concernant les informations qu’ils découvrent.
Construire des défenses sécurisées
Malgré cela, étant donné le large éventail de types de cyberattaques, il ne suffit pas de se fier uniquement aux pirates éthiques pour la sécurité. Les meilleurs pirates informatiques au monde ne peuvent empêcher un employé d’envoyer accidentellement des données sensibles par courrier électronique à la mauvaise personne ou de cliquer sur un lien malveillant. Cependant, les pirates éthiques aideront une organisation à trouver des failles dans sa sécurité et peuvent conseiller sur la façon de modifier les processus internes pour resserrer les choses.
Il existe une myriade de processus internes pour aider à accroître la sécurité, allant de l’exigence bonnes pratiques en matière de mots de passe et maintenir les appareils à jour, à former le personnel à identifier les e-mails suspects. Celles-ci peuvent se résumer en s’assurant que tous les employés reconnaissent que la sécurité n’est pas seulement la responsabilité de l’équipe informatique, et qu’ils ont également un rôle à jouer dans la construction de défenses.
Avec l’augmentation de la cybercriminalité, il est vital pour les entreprises d’utiliser toutes les tactiques possibles pour renforcer leurs défenses. Le piratage éthique est le meilleur moyen de mettre votre sécurité à l’épreuve sans risque et, en tant que tel, devrait être un élément clé de l’arsenal de cybersécurité de chaque entreprise.
En tant que responsable du piratage éthique au Centre écossais de résilience des entreprises (SBRC), Declan Doyle est chargé de gérer les étudiants en piratage éthique et d’aider l’équipe cyber dans la fourniture de la gamme complète de services et de soutien cyber offerts par l’organisation. Il est diplômé du cours de chapeau blanc de l’Université d’Abertay.
