Les stratèges militaires en savent quelque chose, la meilleure des défenses est souvent l’attaque. Les entreprises de cyber sécurité vont même plus loin : elles proposent à leurs clients des tests de pénétration, ou pentest dans le jargon des informaticiens. Elles attaquent le système informatique de la société qui cherche à se protéger, pour en détecter les vulnérabilités.
Athéos et Securymind ont recruté des équipes de "whitehacks", des pirates qui mettent leurs compétences au service du "bien". Chevaux de Troie, dénis de service distribué, dépassement de la mémoire tampon… Grâce à des systèmes utilisés par leurs comparses "blackhacks", ils repèrent les failles des programmes web des entreprises. Ils s’y engagent en force, pour voir jusqu’où ils peuvent aller sans être repérés en interne, mais aussi pour tester la réactivité du client.
Malveillance interne
Ces tests de pénétration peuvent être effectués en externe, hors des locaux de la société, via le réseau wifi ou en ciblant un utilisateur précis sur son poste de travail (interception de ses mails ou de ses communications sur les réseaux sociaux…). Le pentest peut également être pratiqué depuis un ordinateur intégré au serveur de la compagnie, pour simuler une malveillance interne. Ce type d’exercice est effectué en temps limité, pour plus de réalisme.
Les entreprises sont, grâce à ces attaques "bienveillantes", prévenues de leurs principales failles de sécurité et peuvent adapter leur système en conséquence. Ce type de test doit bien entendu être réalisé fréquemment pour rester pertinent face à la menace du piratage, en perpétuelle évolution.
Lélia de Matharel
