En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...

Les hackers, nouveaux chouchous des entreprises

En matière de sécurité, le savoir-faire des bidouilleurs informatiques est de plus en plus recherché. Une forme de réhabilitation pour ceux qui sont souvent assimilés à des pirates.

Aucune des techniques utilisées par les pirates pour infiltrer les systèmes informatiques ne lui est inconnue. Mais Julien Deudon a mis ses talents très particuliers au service d'une juste cause. Dans le jargon des informaticiens, il est un hacker White hat (chapeau blanc), un bidouilleur ayant choisi de rester du bon côté de la barrière, contrairement aux Black hats (chapeaux noirs) qui tirent profit de leurs compétences en toute illégalité.
L'employeur de Julien Deudon se nomme Atheos, une agence de sécurité informatique. Et la dernière mission qu'on lui a confiée l'a amené à jouer les cyberdétectives privés. Un pirate avait infiltré un programme malveillant dans le site de consultation des comptes d'une banque. Grâce à ce cheval de Troie, l'escroc pouvait savoir quand un client consultait son solde et tenter de siphonner son mot de passe. Après plusieurs heures de traque sur les réseaux, Julien Deudon est parvenu à remonter jusqu'au pirate et à découvrir où il habitait.
agrandir la photo
Embauche assurée. Julien Deudon est un pur produit de la licence Cdaisi (Collaborateur pour la défense et l'anti-intrusion des systèmes informatiques) de l'IUT informatique de Maubeuge, qui a accueilli le 10 septembre dernier sa sixième promotion. Enseigner aux élèves les meilleures stratégies de cyberattaque pour leur permettre de mieux les déjouer, tel est le credo de cette formation. Elle vise principalement à leur apprendre le pentesting (test de pénétration) au cours de nombreux travaux pratiques.
Concrètement, les étudiants mènent des attaques afin de détecter des failles informatiques. “ Cela impose un gros travail de veille : il faut notamment parcourir les conférences sur le sujet afin de recenser les failles découvertes chaque année dans les entreprises ”, relève Franck Ebel, le responsable de cette formation. En France, les cursus comparables ne sont pas très nombreux. A Laval, les deux mastères spécialisés de l'école d'ingénieurs Esiea dispensent aussi depuis quelques années ce genre d'enseignement “ Nous mettons les étudiants en situation opérationnelle en les soumettant à des défis, comme auditer des sites ou des serveurs en liaison avec des entreprises qui nous le demandent ”, explique Eric Filiol, le directeur de recherche de l'Esiea.
Selon lui, la plupart des formations à l'informatique, trop académiques, ne répondent pas aux nouveaux besoins des entreprises en termes de sécurité. Elles se contentent souvent d'un enseignement orienté sur la sécurité défensive (mise en place de pare-feu, d'antivirus…). Il existe bien des formations continues, comme celles du spécialiste de l'audit Sysdream qui sensibilise ses clients aux techniques d'attaques, mais globalement, les besoins des entreprises ne sont pas satisfaits. Du coup, l'avenir professionnel des apprentis hackers au chapeau blanc semble garanti.
Une idée de l'armée. Mais pourquoi embaucher quelqu'un qui, par ses connaissances, pourrait basculer du côté obscur et pirater le système ? Il faut savoir que l'exemple vient de l'armée française elle-même. Elle a évoqué le sujet dans un livre blanc sur la défense et la sécurité nationale publié en juin dernier. Le ministère de la Défense recommandait d'imposer aux 2 500 opérateurs d'infrastructures vitales (entreprises dans les transports, l'eau, l'énergie, la santé, les télécoms, la banque, etc.) des audits réguliers.
Ils seraient réalisés par des prestataires agréés par l'Agence nationale de la sécurité des systèmes d'information (Anssi), l'agence de cyberdéfense créée en 2009. Le terme “ agréé ” est important. Les écoles aussi ont bien compris qu'elles ne pouvaient pas se permettre de former n'importe quel bidouilleur à des techniques sensibles. C'est pourquoi le nom de chaque élève de la licence Cdaisi est transmis à la DCRI (Direction centrale du renseignement intérieur). Et afin qu'ils cernent mieux les frontières entre les manœuvres licites et celles qui ne le sont pas, les élèves assistent également à des cours de droit dispensés par un avocat.
Communauté complexe. De fait, ces hackers sont des perles rares que les sociétés se battent pour embaucher. La demande des profils experts du test d'intrusion, des développements sécurisés et des techniques d'analyses “ post-mortem ” (autopsie des systèmes ayant été piratés – NDLR) monte en flèche. Les bataillons d'ingénieurs en informatique simplement initiés à la sécurité durant leur cursus ne suffisent pas à la combler. Eric Filiol, de l'Esiea, le confirme : “ Nous recevons de trois à cinq offres par étudiant. ” Les entreprises cherchent donc à se tourner aussi vers des hackers blancs n'ayant pas suivi d'école spécialisée. Mais leur communauté n'est pas simple à cerner. Les profils y sont variés. L'âge, l'origine, les diplômes, la classe sociale n'y ont pas d'importance. Seules comptent les compétences techniques souvent acquises sur le tas. Les meilleurs se font remarquer en publiant des articles, comme les chercheurs dans d'autres disciplines.
Chacun a sa chance de briller. “ La sécurité est un domaine où la matière première nécessaire pour se former est facile à trouver ”, juge Cédric Blancher, chercheur au laboratoire EADS Innovation Works. Même si c'est l'exception, on trouve aussi des autodidactes, à l'instar de Matthieu Suiche qui, après avoir échoué au baccalauréat, est devenu chercheur en sécurité et a fondé sa société. Le point commun aux membres de la communauté ? Des compétences largement supérieures à la moyenne. “ Comparés aux ingénieurs informaticiens classiques, ces hackers disposent souvent d'un bagage technique plus pointu ”, confirme Michel Van Den Berghe, patron du spécialiste de la sécurité Atheos. Seul point faible de ces profils comparés à ceux des bacs + 5 ? Un sens plus relatif du travail en équipe. “ En audit, il faut des capacités rédactionnelles et savoir gérer les relations avec des responsables haut placés dans l'entreprise ”, indique Sylvain Beck, directeur de la cybersécurité chez Devoteam. Des aptitudes pas toujours répandues chez les hackers…
agrandir la photo
Non seulement les entreprises ont du mal à les trouver, mais elles ne savent pas vraiment combien les payer. Le parcours atypique de certains, techniquement très doués, ne colle pas avec les grilles de salaires traditionnelles, basées sur l'expérience et les diplômes. Ce qui est rare étant cher, recruter ces petits génies se monnaie. “ Le salaire d'un pentesteur qui a juste le bac peut atteindre 60 000 euros par an ”, relève Michel Van Der Berghe, dont l'entreprise emploie une vingtaine de spécialistes des tests d'intrusion pour un total de 150 consultants. Problème, certains sont issus d'une culture plutôt anarchisante et sont rétifs à l'approche “ bassement mercantile ” des sociétés. “ Ils préfèrent souvent se regrouper plutôt que de rejoindre une société bien établie commercialement. Pour les attirer, il faut avoir déjà recruté un gourou, un guide dans lequel ils se reconnaissent ”, poursuit le dirigeant d'Atheos.
Image à redorer. Et la concurrence qui s'intensifie entre employeurs n'arrange rien. En plus des cabinets spécialistes de l'audit en sécurité, l'Anssi – voire la DGA (Direction générale de l'armement) ou la DGSE (Direction générale de la sécurité extérieure) – puisent aussi activement dans ce vivier. Autres recruteurs potentiels : EADS, au travers de sa filiale Cassidian Cybersecurity, ou Thales. Certaines sociétés n'hésitent d'ailleurs plus à sponsoriser des conférences de hackers et sillonnent les allées dans l'espoir, plus ou moins affiché, de dénicher des talents. Intel, Microsoft, Thales, les spécialistes de la sécurité Atheos et Lexsi étaient ainsi partenaires de la première édition de la NoSuchCon (NSC) qui a eu lieu à Paris en mai dernier.
Paradoxalement, recruter un hacker reste tabou en France. On le fait, mais on n'aime pas en parler. Peu d'entreprises l'affichent au grand jour, préférant des termes plus institutionnels de “ spécialiste de la rétro­ingénierie ” ou “ chercheur en sécurité ”. Il faut dire que le hacker a longtemps eu mauvaise presse chez nous, assimilé à un pirate informatique. “ Ce profil n'a pas encore une connotation positive ici. Il faut se battre pour qu'il soit mieux reconnu dans l'entreprise. On aurait tort de se priver de personnes créatives et rigoureuses à la fois ”, estime Patrick Chambet, responsable de la sécurité des systèmes d'information (RSSI) et responsable du centre de sécurité du groupe Bouygues, qui s'est lui­même formé sur le tas à la sécurité informatique.
A l'inverse, embaucher un hacker constitue une pratique courante et reconnue aux Etats­Unis, au Royaume­Uni ou en Allemagne. Les services de renseignement y lancent des concours pour recruter les meilleurs profils. Amazon, Google, Microsoft et Oracle étalent leurs stands à la Def Con et à la Black Hat, les plus grandes manifestations de hackers à Las Vegas. Ce qui explique pourquoi certains de nos meilleurs talents sont partis vendre leurs compétences ailleurs.
Mieux vaut tard que jamais : l'heure est à la mobilisation générale. “ On manque cruellement de spécialistes, il faut briser les carcans et ne plus recruter uniquement les jeunes diplômés des grandes écoles, estime Eric Filiol, de l'Esiea. De nombreux hackers disposent d'un excellent niveau technique, mais non sanctionné d'un diplôme reconnu. ” Pour y remédier, ce spécialiste préconise de favoriser davantage l'alternance à tout âge, ainsi que la validation des acquis de l'expérience (VAE). Un pragmatisme qui a donné d'excellents résultats en dehors de nos frontières.
Crédit photos : Adam Thomas, Mikael Altemark, Athoms pour NuSuchCon 2013

Petit lexique du bidouilleur

Hacker : peut se traduire littéralement par “ bricoleur ” ou “ bidouilleur ”. C'est un terme générique utilisé en informatique pour désigner les programmeurs astucieux et débrouillards, capables de modifier et de détourner les systèmes informatiques de leur fonction d'origine.

White hat/Black hat : cette terminologie a été introduite pour distinguer “ les bons des méchants ”. Le terme hacker étant devenu péjoratif et assimilé trop souvent à pirate informatique. Le white hat est le justicier en référence aux westerns d'antan où les gentils portaient des chapeaux clairs. Il aide les propriétaires de systèmes informatiques à mieux les sécuriser et divulgue volontiers ses connaissances. C'est le hacker au sens originel du terme. Les black hats sont les vrais pirates qui exploitent des failles informatiques à des fins malveillantes. Le black hat est un hacker qui a mal tourné. On trouve dans cette catégorie les créateurs de virus, les cyberespions, les cyberterroristes ou les cyberescrocs.

Le“ Zero day ” : c'est le moment où une faille de sécurité, une vulnérabilité connue ni de l'éditeur ni des utilisateurs, est découverte. Tandis que le pirate informatique va tenter d'exploiter jusqu'à la corde cette faille à des fins politique ou d'enrichissement personnel, le hacker va avertir l'auteur du système et combler cette faille. C'est donc une course contre la montre qui s'engage alors entre les deux camps.

Les conférences de hackers se multiplient en France

agrandir la photo

Pour effectuer de la veille technologique ou découvrir de nouvelles techniques, nos hackers français devaient auparavant voyager. Notamment aux Etats-Unis ou encore en Allemagne, au Chaos Communication Congress (CCC), le plus ancien rendez-vous annuel international. Ce n'est plus nécessaire aujourd'hui. Rien qu'aux mois de mai et juin 2013, la France a accueilli pas moins de quatre rassemblements internationaux de hackers. Si ces événements se multiplient, c'est parce que l'audience de hackers grandit, et que de nombreux sponsors font leur apparition. L'hébergeur de Roubaix OVH a sponsorisé la Nuit du hack dans l'optique de recruter. Mise en place par la communauté Hackerz Voice, cette manifestation s'inspire de la célèbre Def Con de Las Vegas. Autour de conférences, d'ateliers et de challenges, la Nuit du Hack vise à rassembler les professionnels de la sécurité informatique et les hackers, quel que soit leur niveau de qualification. Ils viennent y découvrir les dernières avancées techniques dans ce domaine et évaluer leurs compétences. Ces dernières années, d'autres conférences ont vu le jour et sont venues multiplier les occasions pour les hackers de se rassembler et d'échanger leurs connaissances : Hackito Ergo Sum, puis Grehack et NoSuchCon (NSC), la dernière-née cette année. Mais toutes ces manifestations n'ont pas le même positionnement. Plus underground, Hackito Ergo Sum s'adresse aux passionnés qui viennent à titre personnel, peu d'entreprises y participant, alors que NoSuchCon s'adresse à un public de hackers individuels comme professionnels.

envoyer
par mail
imprimer
l'article


@01Business_fr sur
à lire aussi
SUR LES MÊMES THÈMES
Un nouveau souffle pour l’impression en entreprise
Halte aux gaspillages
Les multifonctions : le trait d'union entre l'impression et la GED
Externaliser la gestion de son parc d'imprimantes pour se concentrer sur son coeur de métier
Les trois dimensions d’un projet offshore
Dossier relation-client : les Français aiment leur banque... digitale
Résultats annuels : les SSII sortent la tête de l'eau
Très haut débit : l'Etat incite les régions à se mobiliser
La French Tech, c'est parti !
JO de Sotchi : une informatique sous haute tension
Quel réseau social d'entreprise pour quels usages ?
Communiquez avec votre marché grâce à Google+
La voiture connectée passe à la vitesse supérieure
Comment Salesforce s’est imposé aux forces de ventes
Exprimez vos idées sous forme d'infographies
Récupérez vos documents perdus
Ils pilotent leur business depuis une tablette
Huit astuces pour mieux travailler avec vos e-mails
Les drones au service des entreprises, enfin !
Suivez l'avancée de tous vos projets grâce à Trello