Des hackers pour
protéger vos données

Anne-Sophie Fontanet
-

Pendant trois jours, les assises de la sécurité et des systèmes d’information ont réuni de nombreux professionnels au Grimaldi Forum. Côté cyber sécurité, la protection parfaite n’existe toujours pas, même si les innovations se multiplient, avec parfois l’appui de « hackers éthiques ».

Trouver, contourner, innover. Le hacker s’attachera toujours à ce triptyque. Il faut dire que les failles sont nombreuses. Pourtant, « il ne faut pas avoir de préjugés sur les hackers », souligne Guillaume Rix, manager chez Denyall. Depuis 15 ans, cette entreprise française, émanation de la Société Générale, propose un pare-feu destiné aux professionnels qui souhaitent protéger leur application web. Avec l’explosion des systèmes d’information, mais aussi des escroqueries et des piratages en tout genre, les propositions de services de protection se multiplient. « Je pense que la transformation numérique ne se fera évidemment pas sans sécurité », a expliqué Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information en France (Anssi), lors de l’ouverture des assises de la sécurité, le 11 octobre 2017. D’ici mai 2018 et l’entrée en vigueur en France du règlement général sur la protection des données, tout site web présentant une faille pourrait voir son propriétaire condamné à une très forte amende.

“Bug bounty”

Pour les entreprises, l’une des façons de se prémunir est de faire appel à du hacking éthique. « Pour se protéger des attaques, il faut être au fait de ces attaques. Le risque zéro n’existe pas, car la surface d’attaque est énorme. Vous pouvez juste mettre un gros rocher sur le chemin pour dissuader les voleurs de données », souligne Guillaume Rix. Depuis quelques années, la pratique américaine du “bug bounty” se propage en Europe. Elle consiste à rémunérer des hackers ou des « chercheurs en cyber sécurité » pour identifier les failles dans le système informatique d’une entreprise. Plus la faille est critique, plus la rémunération du hacker sera importante. Jérôme Saix a monté en 2015 sa société de consultant en protection des entreprises. Ce Parisien rappelle que le pirate cherchera toujours un point d’entrée virtuel, même lointain, pour pénétrer dans les systèmes d’information des entreprises : « Par exemple, pour atteindre Airbus, un pirate informatique pourra s’en prendre à une filiale ou à un sous-traitant de cette compagnie pour arriver à son but de façon indirecte. »

“Serious games”

Quand le pirate ne parvient pas à franchir l’anti-virus, le pare-feu ou tout autre système, il mise sur un autre chemin d’accès : le facteur humain. « Réduire le risque, c’est aussi former les gens de l’entreprise à ne pas se comporter comme des lapins-crétins, explique Jérôme Saix. Je leur montre que les hackers sont là pour exploiter leur naïveté. » Se faire passer pour le président de l’entreprise, utiliser une adresse email proche du nom de l’un de ses collaborateurs habituels, ou même déposer une clé USB au bon moment pour susciter la curiosité d’un employé. Objectif : pénétrer de gré ou de force dans les systèmes. Pour ouvrir l’esprit des salariés, Jérôme Saix met au point des “serious games”, des sortes de jeux vidéo ultra personnalisés, où les salariés doivent identifier en s’amusant, les méthodes de hackers malintentionnés. Ce consultant a aussi l’habitude de monter de fausses attaques pour voir comment les salariés réagissent : « Cela permet d’éduquer les gens, car nous sommes dans la bienveillance. »

Pragmatisme

Toutes ces méthodes, assez neuves en Europe, sont déjà bien installées outre-Atlantique. « Les Etats-Unis sont beaucoup plus pragmatiques. Il y a encore un peu de snobisme en Europe. Mais c’est en train de se mettre en place », raconte Jérôme Saix. Que faire pour les petites et moyennes entreprises (PME) ou les citoyens pas forcément touchés par les campagnes de sensibilisation ? « La cyber sécurité n’est pas intuitive, rappelle Guillaume Poupard. Il faut convaincre les PME à se concentrer sur les questions de sécurité et les mettre en contact avec les gens qui peuvent les aider ». En France, ce sera donc le rôle de la plate-forme cybersecurité.gouv.fr, inaugurée le 17 octobre par Mounir Mahjoubi, secrétaire d’Etat chargé du numérique. Dans le même esprit, l’Anssi lancera un « visa de sécurité » début 2018. « Je ne serais pas surpris que l’on reçoive des sollicitations de sensibilisation du grand public », indique Guillaume Rix. Ce père de famille aimerait constater une prise de conscience dès le plus jeune âge : « Il faudrait sensibiliser à partir du cours préparatoire, car les jeunes sont nés avec le numérique. Et ils n’ont pas conscience du danger. Les données, c’est le nouveau pétrole. »

 

5 conseils simples pour limiter les risques

• Avoir un mot de passe différent pour chaque service. « Le jour où le hacker détient un mot de passe, il va le tester sur plusieurs sites. Si vous avez le même mot de passe pour votre boîte email et vos réseaux sociaux, vous êtes piégé », explique Jérôme Saix.

• Arrêter les économies de bout de chandelle en téléchargeant des versions piratées de logiciels connus. « Vous avez une chance sur deux de tomber sur un virus. » Jérôme Saix encourage donc les internautes à chercher une alternative gratuite, avec un logiciel similaire.

• Quand vous récupérez un logiciel gratuit, ne cliquez pas sur le premier lien de votre moteur de recherche. Il ne s’agit pas toujours du site officiel, mais d’une copie.

• Utiliser le plus souvent possible une e-carte bleue délivrée par les banques pour une seule utilisation avec une somme précise. Jérôme Saix : « C’est un service payant, mais le jour où un site marchand où vous avez réglé par carte bleue se fait hacker et que vos données sont récupérées… »

• Adopter de nouveaux réflexes, en prenant du recul sur les demandes qui vous sont faites. « Si vous avez un doute, il faut contacter la personne via un autre mode de communication », conseille Jérôme Saix.

 

journalistAnne-Sophie Fontanet