Aujourd’hui nous allons discuter d’un sujet quasi tabou dans les entreprises au Sénégal, la sécurité offensive. Vos avis sur la question me seront grandement utiles et je vous saurai gré de les partager avec nous, que vous soyez initié ou profane en terme de sécurité.
Beaucoup de personnes ignorent de quoi il s’agit réellement tandis que d’autres n’en ont jamais entendu parlé. Mais quand on parle de sécurité offensive, c’est qu’il y a, à côté, la sécurité défensive et cette dernière est beaucoup plus répandue et consiste à la mise en place tous les moyens de défense du système: des firewall aux antivirus en passant par les dispositifs de contrôle d’accès et autre outils de détection et prévention d’intrusion etc.
La sécurité offensive quant à elle consiste à attaquer son propre système pour en découvrir les points faibles et y apporter des solutions. Pour la comprendre je pense qu’il est nécessaire de connaître avant tout les différents types de hackers. En effet, au Sénégal par exemple, lorsque l’on parle de hackers, on fait référence à des personnes malintentionnées ne cherchant qu’à endommager un système d’information et causer du tort.
Pourtant hackers sont divisés en plusieurs familles dont: les black hat ou hackers à chapeau noir, les white hat ou hackers à chapeau blanc et les gray hat qui sont les hackers dit à chapeau gris. Chaque groupe a son but dans le domaine.
Les White Hat utilisent leur talent de hacker dans le but de défendre les entreprises, ce sont les professionnels de la sécurité informatique, les hackers éthiques qui attaquent, dans un cadre légal bien défini, un système d’information;
Les gray Hat sont à la frontière de l’illégalité comme le disent certains, ils font des tests et préviennent leur cible par rapport aux failles découvertes pour correction avec un préavis avant divulgation;
Les hackers sponsorisés, à l’heure de la cyber-guerre, certains pays font souvent appel à ce groupe de hackers pour attaquer un autre pays, pendant que d’autres forment leurs propres éléments au besoin;
Les script-kiddies qui ne sont pas toujours formés et ont des connaissances peu approfondies en terme de sécurité et surtout de droit mais se contente de télécharger des outils sur internet pour faire leur test. (on a, très probablement, tous fait partie de ce groupe à un moment donné)
Les Black Hat, très talentueux mais attaquent et cherchent à nuire. Dans le jargon, ils sont appelés “crackers” et tous les autres sont regroupés dans ce même sac de façon générale au Sénégal.
Pour en revenir à la sécurité offensive, tous ces groupes y opèrent avec des conséquences qui varient d’un groupe à l’autre. Toutefois, les white hat n’agissent que dans le cadre légal et ne cherchent pas à nuire. De plus l’entreprise qui les sollicite aura la mainmise sur l’ensemble de ses activités.
Mais quel intérêt pour l’entreprise d’exploiter la sécurité offensive ?
D’abord connaître les possibilités qui s’offrent à une personne malintentionnée par rapport à son système d’information, c’est à dire comment pourrait-elle accéder et altérer le système, ensuite éprouver ce dernier dans les conditions réelles mais sans danger en mettant en oeuvre les actions prises par un cracker dans le but de se protéger d’elles et enfin avoir un rapport sur l’ensemble des vulnérabilités présentes en vue de les corriger parce que la majeure partie des attaques exploitent des systèmes avec des failles non corrigées et des configurations non sécurisées.
À quand l’utilisation de la sécurité offensive au Sénégal ?
Je donne ma langue au chat !