Le hacking peut être éthique. Cyber Security Management veut passer au hacking solidaire. En clair, aider les organisations à mieux comprendre et réagir à leurs failles sécuritaires.

Hacking solidaire… Des systèmes d’information de plus en plus menacés, des organisations dans le doute, parfois la peur. Souvent par méconnaissance. « Sans une bonne observation des symptômes, l’identification peut être approximative. En simulant une attaque sur le système de nos clients, nous identifions les vulnérabilités avant qu’elles ne puissent être exploitées », explique Ben van Erck, Founder, Advisory Link. Aujourd’hui, avec son équipe, cet ancien Security Partner chez E&Y travaille en étroite relation avec Cyber Security Management. Objectif : renforcer l’immunité sécuritaire.

« Alors qu’un audit repose sur une série de recommandations, nous conseillons le client au départ d’une observation commune, enchaîne Peter Braem, CEO, Cyber Security Management. L’idée : éprouver la résistance du système d’information à travers les applications Web, les réseaux sans fil, l’infrastructure physique et l’ingénierie sociale. Un aspect particulier peut être ciblé. A chaque organisation ses faiblesses ! Nous en discutons avec le client. Cette approche centrée aidera à budgétiser les upgrades nécessaires et à prendre le temps de mettre en œuvre les mesures correctives sans se laisser déborder. »

Hacking solidaire, responsabilité commune

On parle ici de tests d’intrusion, de pentesting, de hacking éthique. Chez Cyber Security Management, on préférerait avancer la notion de hacking solidaire, la responsabilité ne pouvant être que commune. « Lorsqu’une organisation décide de se lancer dans un test d’intrusion, elle établit un périmètre qui délimitera les parties du système éligibles au test ainsi que sa durée, explique Ben van Erck. Ce cadre sert de ligne de conduite, nous pouvons alors commencer à tester différentes méthodes pour contourner le système de sécurité. Les tests commencent généralement par un scan de vulnérabilités qui aide à identifier les potentielles portes d’entrée d’un réseau -par exemple une mauvaise configuration de pare-feu… »

Une fois le système compromis, le testeur tente d’entrer plus profondément pour accéder à des comptes à privilèges et essayer d’atteindre des systèmes plus critiques. Il simule le pire scénario possible. En fonction du périmètre du test de pénétration, il peut utiliser des méthodes non conventionnelles, comme introduire une clé USB infectée dans une organisation. Si un membre du personnel non averti la connecte au système d’information de l’entreprise, le faux attaquant gagne rapidement du terrain dans sa mission d’intrusion. Le matériel physique est également scruté. Des portes mal fermées combinées à des compromissions de comptes et des usurpations d’identité peuvent déjouer les meilleurs systèmes de sécurité et dans certains cas, conduire à une perte totale de contrôle sur le matériel. 

D’abord, établir les besoins du client

Après un test complet, un rapport complet est remis, détaillant les failles et proposant des actions concrètes pour les corriger. Généralement les tests doivent être reconduits périodiquement ou dès que des changements notables sont appliqués aux systèmes. « Tous les tests d’intrusion sont différents; ils varient en fonction de l’ampleur du projet et du résultat attendu, poursuit Ben van Erck. C’est pourquoi, nous travaillons main dans la main. »

Avant de s’atteler au test, encore faut-il établir les besoins du client, précise Peter Braem. « S’agit-il de trouver des failles ou d’évaluer aussi la réactivité des systèmes de détection internes ? Quelles menaces pèsent sur l’entreprise ? Veut-elle se protéger d’un potentiel employé malveillant, d’un attaquant opportuniste qui chercherait à gagner rapidement de l’argent ou d’une organisation professionnelle qui dispose, elle, de temps et de moyens pour chercher une faille durant des mois ? Faut-il tester seulement un site Web ou aussi les services des sous-traitants et la sécurité du siège social ? »

Un travail d’équipe

Pour mener à bien sa mission, seules quelques personnes dans l’entreprise seront mises au courant. Moins les collaborateurs sont informés, plus on s’approche des conditions réelles. Il s’agit aussi de s’accorder sur les techniques autorisées.

« A l’issue, nous suggérons des stratégies et des solutions de sécurité spécifiques en fonction des budgets des organisations, continue Peter Braem. La démarche relève plus de la pratique que de la théorie. L’objectif des tests d’intrusion est d’avoir une vision ‘field’ du niveau de sécurité d’une application, d’un environnement ou d’un système. »

C’est aussi, paradoxalement, un travail d’équipe. « Autant nous agissons seuls, autant nous aurons préalablement informé le client sur son mode d’organisation, précise Ben van Erck. Pour être pleinement efficaces, il nous faut comprendre les rouages de son fonctionnement, afin d’identifier les éventuelles vulnérabilités. C’est en cela qu’un test d’intrusion automatique est un non-sens ! L’automatisation ne permet pas cette compréhension fine du fonctionnement de la cible; elle se contente de dérouler des scénarii de tests prédéfinis. Lister un ensemble de vulnérabilités n’apporte que peu. »

Hacking solidaire, un cercle vertueux d’amélioration

On l’a compris, les tests d’intrusion ne sont qu’une étape. Encore faut-il, dans la foulée, s’assurer de l’adhésion des équipes techniques aux recommandations, ainsi que de leur implémentation technique. Un travail main dans la main avec les équipes de supervision est nécessaire, ainsi qu’un bilan à froid des actions qui ont été menées, celles qui ont été détectées et celles ne l’ayant pas été. On initie ainsi un cercle vertueux d’amélioration de la détection au cours du temps, concentré sur des éléments «terrain».

Cette approche innovante devrait déboucher prochainement sur la capacité pour Cyber Security Management à livrer cette capacité sous la forme d’un service managé.