Son métier : se mettre dans la peau d’un pirate pour identifier les failles de sécurité des systèmes d’information.
Elias est hacker éthique pour Orange Cyberdefense. Voilà comment il travaille.
Elias est hacker éthique pour Orange Cyberdefense. Voilà comment il travaille.
Catégorie
🤖
TechnologieTranscription
00:00Il faut savoir que la sécurité à 100% n'existe pas.
00:02Si on a un attaquant en face qui est très motivé, qui a énormément de moyens et qui a énormément de temps,
00:07il finira toujours par rentrer dans un système d'information.
00:19Mon métier consiste à évaluer le niveau de sécurité d'applications web.
00:23Pour cela, je me mets dans la peau d'un hacker afin d'identifier des failles de sécurité.
00:26On réalise ce qu'on appelle un test d'intrusion.
00:29Tout simplement pour savoir si on est capable de rentrer dans le système en l'attaquant.
00:33À la base, j'ai fait une école d'ingénieur au cours de laquelle j'ai appris à programmer.
00:39Je m'étais intéressé à comment sécuriser ces logiciels.
00:42En faisant des recherches sur Internet, on apprend souvent comment les attaquer pour mieux les protéger derrière.
00:46C'est comme ça que j'ai découvert ma passion.
00:48Un hacker éthique doit détruire toutes les traces qu'il a pu obtenir au cours de son attaque.
00:53Un pirate informatique va attaquer un système d'information sans l'autorisation explicite du client.
00:57En général, il va avoir des idées malveillantes.
01:00C'est-à-dire qu'ils n'auront aucun scrupule à voler des données, voire les détruire ou les modifier.
01:06Pour vous donner un exemple avec un de nos clients pour qui on réalise des audits depuis de nombreuses années.
01:11La première année où on a réalisé un audit, on était en mesure de prendre le contrôle de son réseau interne en moins d'une heure.
01:17Et donc, sept ans plus tard, on a à nouveau été en mesure de rentrer dans leur système d'information, mais ça nous a pris dix jours.
01:24Donc, on a multiplié le temps de compromission par 80 quasiment.
01:29Si on considère qu'on a une journée de huit heures environ, ce qui est énorme.
01:32Par expérience, je peux vous dire que c'est très compliqué d'estimer le coût moyen d'une attaque pour plusieurs raisons.
01:50Typiquement, la plupart des attaques vont être des attaques silencieuses qui vont durer dans le temps.
01:55C'est-à-dire que l'entreprise va se rendre compte de l'attaque au bout d'une journée.
01:59Sauf qu'au cours de ces trois années, l'attaquant a pu faire de nombreuses choses.
02:03Il aurait pu voler des plans, des secrets de l'entreprise qu'il a pu transmettre à des concurrents.
02:07Il est très difficile d'estimer le coût associé à ce type d'attaque-là.
02:11Par contre, il y a une chose qui est sûre, c'est que ça coûte beaucoup plus cher de réagir à une attaque,
02:15c'est-à-dire de la détecter et la bloquer, puis d'essayer d'investiguer.
02:18C'est-à-dire qu'il y a beaucoup plus de temps pour réagir à une attaque.
02:21Par contre, il y a une chose qui est sûre, c'est que ça coûte beaucoup plus cher de réagir à une attaque,
02:25c'est-à-dire de la détecter et la bloquer, puis d'essayer d'investiguer, puis ensuite la corriger,
02:30plutôt que de penser à la sécurité dès le début pour prévenir l'attaque.