Face au piratage intempestif des ressources numériques, les offres d’emploi de hacker éthique sont en montée constante ces dernières années. Aux côtés des entreprises, ces justiciers du web aident à lutter contre les cybercriminels. Tirons le portrait d’un poste devenu essentiel à la bonne santé de toute entreprise connectée.
Aussi appelés experts ou chercheurs en cyber sécurité, les hackers éthiques sont devenus de véritables pépites d’or dans le marché des travailleurs du numérique. Pourquoi ? D’une part, depuis mai 2018 les RGPD ont accéléré l’urgence pour les entreprises de protéger leurs données. Car un site web qui comporte des failles de sécurité concernant les données personnelles des utilisateurs s’expose à une lourde amende, jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial. À cela s’ajoute la prise de conscience des particuliers vis-à-vis de la valeur de leurs données personnelles.
D’autre part, la sécurité numérique des entreprises fait face à un environnement web de plus en plus hostile. Selon le baromètre annuel du CESIN l’année dernière, 80 % des entreprises sondées auraient subi une ou plusieurs cyberattaques, 60 % en auraient fait les frais en termes de business. Faire appel à un professionnel de la cybersécurité n’est donc plus un luxe, mais une nécessité pour la stabilité de son entreprise.
Depuis un an, les hackers se font de plus en plus vindicatifs et puissants par leurs modes d’action aussi inventifs que furtifs. En tant que puissance mondiale, la France et la cybersécurité des plus grandes entreprises industrielles (aviation, automobile et informatique) entrent dans leur ligne de mire.
Inutile de chercher loin, la plupart des vulnérabilités résultent de nos propres usages. En effet, les nouveaux modes de travail ont grandement fragilisé les entreprises. En tête la mobilité qui multiplie les points de connexion, des machines avec la tolérance pour le BYOD (Bring Your Own Device) aux API et applications tierces. L’augmentation de la pratique du télétravail dans un monde en hyper connectivité multiplie les points d’entrée pour les hackers malveillants. Avec la fusion entre sphère professionnelle et personnelle, les salariés qui travaillent à l’extérieur n’ont pas forcément le réflexe de vérifier la sécurisation du réseau auquel ils se connectent. Ensuite, les failles émergent aussi en interne, comme le changement anodin d’un système de messagerie vers un autre.
Les mesures du RGPD obligent les entreprises à déclarer les cas de piratages, ce qui multiplie les révélations inquiétantes. Après tout, les données constituent 70 % de la valeur d’une entreprise. Leur étanchéité est sans aucun doute un facteur garant de la pérennité de l’activité.
Aujourd’hui chez les pirates de l’informatique, on revêt soit un chapeau blanc soit un chapeau noir. Les premiers, hackers éthiques, ont pour mission de résoudre les failles de sécurité, plutôt que d’en tirer profit de façon malveillante. Les chapeaux noirs sont les tenants du titre de « hacker » pur et dur, ils exploitent la vulnérabilité des systèmes informatiques pour en obtenir une rançon (ransomware ou rançongiciel), revendre les informations de valeur ou les diffuser pour porter préjudice à leur cible. L’image d’Épinal du cybercriminel d’antan s’est scindée en deux camps monochromes.
La mission première du pirate du bien numérique est de sécuriser les systèmes informatiques. Plus précisément le travail d’un hacker éthique est dans un premier temps, d’identifier les manquements à la charte sécuritaire des systèmes informatiques de l’entreprise. Il explore les structures des sites clients en passant au peigne fin le mode opératoire des attaques possibles. Il utilise parfois la méthode « sécurité offensive » qui consiste à tester publiquement un type d’attaque, afin de mieux s’en prémunir à l’avenir. Dans un deuxième temps, il définit une stratégie pour regagner le contrôle des accès et revoir la gouvernance des données et usages.
Hacker éthique, est-ce un métier lucratif ? Oui, dépendant du système de rémunération, quelqu’un de performant pourrait bien y trouver son compte. Le format « bug bounty », autrement dit de chasse aux bugs professionnalisée, correspond à ceux qui sauront dénicher les failles de sécurité complexes. Facebook par exemple a mis en place un programme appelé « White Hat » (chapeau blanc). La récompense minimale pour une détection de défaut sécuritaire s’élève à 500 dollars minimum. Tandis que la plateforme spécialisée en la matière, HackerOne, déclare que certains de ses inscrits (3 %) gagneraient jusqu’à 100 000 dollars par an. Le montant étant établi en fonction de la nature de l’intrusion potentielle et sa gravité.
D’autres avantages comprennent la flexibilité horaire et géographique si le talent choisit une activité ponctuelle.
On ne devient pas pirate du numérique n’importe comment et les entreprises en sont conscientes. En effet, leurs demandes sont exhaustives. Il faut être à la fois technique et multilingue, notamment en Python, Java et Perl. De solides connaissances en développement mobile sont également un gros plus. Le parcours d’études supérieures suit souvent celui des ingénieurs (bac +5 en sécurité des systèmes et des réseaux) avec une forte fibre éthique en plus. Aujourd’hui il existe même des certifications de hacking éthique comme la CEH (Certified Ethical Hacker).
Enfin, détenir des capacités techniques hors pair n’est pas suffisant. Sous les responsabilités du hacker éthique tombe celle d’inculquer les bonnes pratiques au sein des équipes, souvent composées de non-initiés. Parmi les soft skills on retrouve donc la pédagogie, la capacité à se mettre à la place des utilisateurs et un relationnel à toute épreuve.
Le domaine du hacking vous passionne ? Mettez vos compétences techniques, votre curiosité et votre sens du défi au service la protection des entreprises, de la petite PME aux grands groupes. Il ne vous reste plus qu’à vous munir d’un chapeau blanc digne d’un justicier du numérique.