Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Conseils pour devenir un hacker éthique #OSD14

Conseils pour devenir un hacker éthique #OSD14
2014-08-062014-08-07sécurité organisationnelle et humainefr
Dans le cadre d’une démarche de sécurité, les entreprises ou institutions font appel à ces personnes qui, le temps d’une mission, vont prendre le rôle des méchants et chercher à pénétrer un système d’information
Publié le 6 Août 2014 par Jean-François Audenard dans sécurité organisationnelle et humaine
conseils pour devenir un hacker éthique - #OSD14

Dans le cadre d’une démarche de sécurité, les entreprises ou institutions font appel à ces personnes qui, le temps d’une mission, vont prendre le rôle des méchants et chercher à pénétrer un système d’information afin d’éprouver la robustesse des mécanismes de défense, de détection et de réaction aux attaques.

Les « hackers éthiques » sont parmi les profils les plus recherchés dans le domaine de la sécurité informatique. Quelle formation suivre pour devenir « hacker éthique » ? Existe-t-il des certifications permettant de démontrer son niveau d’expérience dans le domaine ?

Voir la vidéo directement sur Youtube.

tout d’abord un état d’esprit

Un « hacker éthique » doit avant tout posséder une curiosité particulièrement développée, voire même exacerbée. Il doit être à l’affut et chercher à comprendre « comment cela fonctionne vraiment en dessous ».

Un «hacker éthique » doit bien sûr maitriser les techniques et outils de rétro-ingénierie (ou « reverse engineering ») mais il doit surtout savoir « sortir du cadre » pour détecter des failles qui peuvent être présentes dans un système. Curiosité et créativité (tant dans l’approche que d’un point de vue technique) sont donc essentielles pour être ou devenir un « hacker éthique ».

formation et certification

Selon Romain, il est nécessaire d’avoir une formation supérieure dans une filière de type FAC ou d’école d’Ingénieur. Mais en discutant avec lui, j’ai pu comprendre que les diplômes sont surtout nécessaires pour franchir les barrières lors du recrutement et se positionner correctement d’un point de vue salarial (surtout dans les grandes entreprises et institutions). Un bon « hacker éthique » n’a donc pas forcément besoin d’avoir une bardée de diplômes.

Pour ce qui concerne les certifications spécialisées l’avis de Romain est clairement tranché : la certification Offensive Security Certified Professional (OCSP) d’Offensive Security est la certification à privilégier. Cette certification d’un coût d’environ 500 USD peut être passée en ligne via Internet. Afficher ce type de certification sur un CV c’est donner un plus à sa candidature ou démontrer d’un niveau qui permettra de décrocher des missions.

En complément du descriptif officiel sur la certification OCSP, je vous encourage à lire l’article de blog de Mike Czumak « Offensive Security’s PWB and OSCP — My Experience ».

ce que j’en retiens

Ce que je retiens des discussions avec Romain c’est qu’un hacker éthique doit être avant tout curieux et féru de technique. Il doit aussi penser différemment pour être en mesure de détecter les failles d’un système.

Un hacker éthique doit respecter une approche et rester respectueux de règles afin de rester du « bon côté de la ligne jaune » : dans le cadre de ses activités, il va être amené à utiliser les techniques et outils communément utilisés par certains cybercriminels et doit le faire en respectant un cahier des charges prédéfini en amont : systèmes ne devant pas être touchés, personnes à contacter, durée des tests, interdiction de certaines techniques destructives, etc… le tout assorti évidemment de solides clauses de confidentialité.

et quoi d’autre ?

Le sujet est tellement large, que je n’ai fait que l’effleurer… Quels conseils donneriez-vous à des personnes intéressées pour devenir « hacker éthique » ? D’autres certifications ou formations à conseiller ? Des outils comme étant « obligatoires » à suggérer ?

Jean-François (Jeff) Audenard

Crédit photo : © thailerderden10 - Fotolia.com

3 Commentaires

  • 29 Août 2015
    2015-08-29
    par
    Corsaire
    Bonjour j'aimerai savoir c'est laquelle des 3 propsitions a choisir dans OSCP: -Test de pénétration avec Kali Linux
    -Attaquer sans fils
    -Cracker le périmètre Merci de votre compréhension.
  • 6 Septembre 2014
    2015-08-29
    par
    Arnaud KENNE
    Cet article est autant plus intéressant que l'objet même de ma quête...Sa fait toujours plaisir de voir les autres qui partagent notre point de vue, encore sur un sujet diabolisé et sensible que celui des Hackers...Merci à vous!!!
  • 26 Août 2014
    2015-08-29
    par
    LauMarot
    J'aime bien le lapsus (x2) OCSP / OSCP
    :-)

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage