Dans le cadre d’une démarche de sécurité, les entreprises ou institutions font appel à ces personnes qui, le temps d’une mission, vont prendre le rôle des méchants et chercher à pénétrer un système d’information afin d’éprouver la robustesse des mécanismes de défense, de détection et de réaction aux attaques.
Les « hackers éthiques » sont parmi les profils les plus recherchés dans le domaine de la sécurité informatique. Quelle formation suivre pour devenir « hacker éthique » ? Existe-t-il des certifications permettant de démontrer son niveau d’expérience dans le domaine ?
Pour regarder cette vidéo, vous devez consentir aux Cookies de notre partenaire Youtube Ces cookies permettent de partager ou réagir directement sur les réseaux sociaux auxquels vous êtes connectés ou d'intégrer du contenu initialement posté sur ces réseaux sociaux. Ils permettent aussi aux réseaux sociaux d'utiliser vos visites sur nos sites et applications à des fins de personnalisation et de ciblage publicitaire.
Voir la vidéo directement sur Youtube.
tout d’abord un état d’esprit
Un « hacker éthique » doit avant tout posséder une curiosité particulièrement développée, voire même exacerbée. Il doit être à l’affut et chercher à comprendre « comment cela fonctionne vraiment en dessous ».
Un «hacker éthique » doit bien sûr maitriser les techniques et outils de rétro-ingénierie (ou « reverse engineering ») mais il doit surtout savoir « sortir du cadre » pour détecter des failles qui peuvent être présentes dans un système. Curiosité et créativité (tant dans l’approche que d’un point de vue technique) sont donc essentielles pour être ou devenir un « hacker éthique ».
formation et certification
Selon Romain, il est nécessaire d’avoir une formation supérieure dans une filière de type FAC ou d’école d’Ingénieur. Mais en discutant avec lui, j’ai pu comprendre que les diplômes sont surtout nécessaires pour franchir les barrières lors du recrutement et se positionner correctement d’un point de vue salarial (surtout dans les grandes entreprises et institutions). Un bon « hacker éthique » n’a donc pas forcément besoin d’avoir une bardée de diplômes.
Pour ce qui concerne les certifications spécialisées l’avis de Romain est clairement tranché : la certification Offensive Security Certified Professional (OCSP) d’Offensive Security est la certification à privilégier. Cette certification d’un coût d’environ 500 USD peut être passée en ligne via Internet. Afficher ce type de certification sur un CV c’est donner un plus à sa candidature ou démontrer d’un niveau qui permettra de décrocher des missions.
En complément du descriptif officiel sur la certification OCSP, je vous encourage à lire l’article de blog de Mike Czumak « Offensive Security’s PWB and OSCP — My Experience ».
ce que j’en retiens
Ce que je retiens des discussions avec Romain c’est qu’un hacker éthique doit être avant tout curieux et féru de technique. Il doit aussi penser différemment pour être en mesure de détecter les failles d’un système.
Un hacker éthique doit respecter une approche et rester respectueux de règles afin de rester du « bon côté de la ligne jaune » : dans le cadre de ses activités, il va être amené à utiliser les techniques et outils communément utilisés par certains cybercriminels et doit le faire en respectant un cahier des charges prédéfini en amont : systèmes ne devant pas être touchés, personnes à contacter, durée des tests, interdiction de certaines techniques destructives, etc… le tout assorti évidemment de solides clauses de confidentialité.
et quoi d’autre ?
Le sujet est tellement large, que je n’ai fait que l’effleurer… Quels conseils donneriez-vous à des personnes intéressées pour devenir « hacker éthique » ? D’autres certifications ou formations à conseiller ? Des outils comme étant « obligatoires » à suggérer ?
Jean-François (Jeff) Audenard
Crédit photo : © thailerderden10 - Fotolia.com
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens