conseils pour devenir un hacker éthique

Partager

Dans le cadre d’une démarche de sécurité, les entreprises ou institutions font appel à ces personnes qui, le temps d’une mission, vont prendre le rôle des méchants et chercher à pénétrer un système d’information afin d’éprouver la robustesse des mécanismes de défense, de détection et de réaction aux attaques.

Les « hackers éthiques » sont parmi les profils les plus recherchés dans le domaine de la sécurité informatique. Quelle formation suivre pour devenir « hacker éthique » ? Existe-t-il des certifications permettant de démontrer son niveau d’expérience dans le domaine ?

Voir la vidéo directement sur Youtube.

tout d’abord un état d’esprit

Un « hacker éthique » doit avant tout posséder une curiosité particulièrement développée, voire même exacerbée. Il doit être à l’affut et chercher à comprendre « comment cela fonctionne vraiment en dessous ».

Un «hacker éthique » doit bien sûr maitriser les techniques et outils de rétro-ingénierie (ou « reverse engineering ») mais il doit surtout savoir « sortir du cadre » pour détecter des failles qui peuvent être présentes dans un système. Curiosité et créativité (tant dans l’approche que d’un point de vue technique) sont donc essentielles pour être ou devenir un « hacker éthique ».

formation et certification

Selon Romain, il est nécessaire d’avoir une formation supérieure dans une filière de type FAC ou d’école d’Ingénieur. Mais en discutant avec lui, j’ai pu comprendre que les diplômes sont surtout nécessaires pour franchir les barrières lors du recrutement et se positionner correctement d’un point de vue salarial (surtout dans les grandes entreprises et institutions). Un bon « hacker éthique » n’a donc pas forcément besoin d’avoir une bardée de diplômes.

Pour ce qui concerne les certifications spécialisées l’avis de Romain est clairement tranché : la certification Offensive Security Certified Professional (OCSP) d’Offensive Security est la certification à privilégier. Cette certification d’un coût d’environ 500 USD peut être passée en ligne via Internet. Afficher ce type de certification sur un CV c’est donner un plus à sa candidature ou démontrer d’un niveau qui permettra de décrocher des missions.

En complément du descriptif officiel sur la certification OCSP, je vous encourage à lire l’article de blog de Mike Czumak « Offensive Security’s PWB and OSCP — My Experience ».

ce que j’en retiens

Ce que je retiens des discussions avec Romain c’est qu’un hacker éthique doit être avant tout curieux et féru de technique. Il doit aussi penser différemment pour être en mesure de détecter les failles d’un système.

Un hacker éthique doit respecter une approche et rester respectueux de règles afin de rester du « bon côté de la ligne jaune » : dans le cadre de ses activités, il va être amené à utiliser les techniques et outils communément utilisés par certains cybercriminels et doit le faire en respectant un cahier des charges prédéfini en amont : systèmes ne devant pas être touchés, personnes à contacter, durée des tests, interdiction de certaines techniques destructives, etc… le tout assorti évidemment de solides clauses de confidentialité.

et quoi d’autre ?

Le sujet est tellement large, que je n’ai fait que l’effleurer… Quels conseils donneriez-vous à des personnes intéressées pour devenir « hacker éthique » ? D’autres certifications ou formations à conseiller ? Des outils comme étant « obligatoires » à suggérer ?

Jean-François (Jeff) Audenard

Crédit photo : © thailerderden10 - Fotolia.com

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la prise en compte de la sécurité dans le cycle de vie des produits et services. Je suis passionné par la sécurité informatique et prends énormément de plaisir à partager cette passion via des vidéos, présentations et articles. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens. Vous avez des questions, des idées, des propositions : vous savez où me trouver ! :-)