Pour votre cybersécurité, fréquentez des pirates.
Le 5 mai 2022, le ministre de la Cybersécurité et du Numérique, Éric Caire, annonçait que le gouvernement rémunérerait les pirates et chercheurs capables de trouver des failles dans les systèmes informatiques du gouvernement. Cette initiative fut présentée à juste titre comme la première initiative de ce genre dans un service gouvernemental au Canada.
Parfait tout ça, c’est courageux, car cela permet de sortir un gouvernement de ses réflexes défensifs, donc forcément dépassés, et d’aller chercher la créativité des pirates white hat et des chercheurs.
Mais peut-on s’en inspirer pour nos PME ?
En premier lieu, voici commence pense un pirate black hat :
- Je ne demande pas la permission.
- Je suis libre et créatif, rien d’institutionnel ne peut me résister.
- Si la société ne reconnait pas ma valeur, je vais la contraindre à le faire.
Les Bug Bounty (compétitions de recherche de bug) ont donc été créés dans les années 1990, d’abord par Netscape puis repris plus récemment par les grandes entreprises du numérique (Facebook, Microsoft et beaucoup d’autres) pour intriguer des apprentis pirates, des pirates white hat audacieux et des chercheurs. Ces pirates non hostiles étaient capables de se mettre à la place des pirates offensifs et nuisibles , de penser et d’agir comme eux afin de voir venir les attaques et de les tester pour comprendre et faire face.
Il existe aussi une dimension de reconnaissance mutuelle entre les hackers et les entreprises qui acceptent de se livrer à l’exercice. Dans une certaine mesure cela dissuade aussi les pirates, car ils voient dans le Bug Bounty une déclaration d’humilité de la part de l’entreprise ou de l’institution.
Notre agence utilise justement, pour protéger ses dossiers clients, un nuage sécurisé crypté de niveau sécurité militaire qui a résisté aux tests d’intrusions de 523 entreprises de cybersécurité, à ceux de 2860 hackers et des étudiants du laboratoire universitaire Berkeley de Boston. Mais ni notre agence ni aucune PME ne pourrait déployer un tel dispositif, alors …Est-ce qu’une PME pourrait adopter le même système de Bug Bounty ?
La réponse est non, ce type d’exercice n’a de sens que pour de grandes organisations qui vont attirer et exciter les pirates et les chercheurs. De plus il faut prévoir un budget attractif ainsi que des précautions techniques pour ne pas laisser entrer un remède pire que le mal.
Mais …
Une vérité demeure : Si votre firme de cybersécurité se tient trop loin des pirates, de leur mentalité et de leurs outils, vous risquez d’être à risque de vols de données, à risque de cyber rançonnage ou de toute autre attaque informatique car vous ne saurez pas ce qui vous attend.
Mais attention, ne vous lancez pas vous-même dans la recherche de pirates, ce serait dangereux et irresponsable. La solution simple est de questionner votre firme de cyber-sécurité :
- Comment effectuez vous la veille des menaces ?
- Quels sont les forums de pirates que vous fréquentez pour rester à jour dans l’analyse des menaces ?
- Quelle serait la méthode typiquement utilisée par un pirate standard qui s’intéresserait à mon site web ?
Le simple fait que votre fournisseur de cybersécurité reste surpris et embarrassé par la nature de vos questions devrait suffire à le disqualifier.
Ne pas connaître l’adversaire et ne pas s’y intéresser est une garantie de défaite.
Pour être victorieux face aux pirates, il vous faudra du conseil légal et réputationnel en cas de malheur, de la bonne formation préventive et une petite dose de mentalité Sun Tzu, art de la guerre: Connaitre l’adversaire.