Les entreprises de l'Hexagone ne goûtent guère à la culture de la sécurité et rechignent à recruter des experts comme les hackers, contrairement aux sociétés anglo-saxonnes. Au risque de très mal protéger leur patrimoine numérique…
Publié fin juin, le livre blanc consacré à la Défense nationale conseille d'être offensif face aux problèmes de sécurité informatique. La toute récente DCRI (direction centrale du renseignement intérieur) devrait ainsi accueillir une cellule contre-espionnage numérique. Ses compétences iront jusqu'à la mise au point d'outils de sécurité utilisables par les entreprises publiques et privées.
En faisant de la lutte contre le cyber-espionnage un enjeu national, le gouvernement prend à sa charge la gestion d'un dossier sur lequel peu d'entreprises françaises sont compétentes. Pourtant, elles sont toutes concernées, quelles que soient leur taille et leur activité. Jean-Nicolas Piotrowski, directeur technique chez iTrust l'assure : « La récupération de données confidentielles, comme les processus de fabrication, les informations clients ou les plans industriels, est devenue une vraie manne pour la criminalité. » Et de décrire que les pirates sont désormais recrutés sur des salons de discussion IRC privés, afin de dérober dans la base d'un commerce en ligne des numéros de cartes bancaires qui seront revendus 25 dollars l'unité. Ou, pour 1 000 fois plus cher, des plans secrets stockés sur le réseau d'un concurrent. Selon un rapport des renseignements généraux révélé par l'ex-gendarme Jean-Pierre Passemard, il y a eu, entre janvier 2006 et août 2007, 3 005 « faits d'insécurité économique » en France. En clair : des actes de piratage. Ils ont concerné 1 727 entreprises et près des deux tiers ont abouti, au moins partiellement.
Les observateurs sont divisés. Il y a ceux qui se félicitent que ce soit le gouvernement qui prenne en charge ces menaces et non les entreprises. Etienne Busnel, directeur des activités sécurité chez Euriware, en fait partie : « Une cellule de contre-espionnage au niveau de l'entreprise ne se justifie ni économiquement, ni juridiquement, ni opérationnellement. » Et il y a ceux qui, au contraire, estiment que l'implication du gouvernement à un tel niveau technique est un modèle dont il faut s'inspirer de toute urgence. Michel Frenkiel, président de l'éditeur MobileGov, dénonce ainsi un manque préjudiciable de culture de la sécurité chez les entreprises, à de rares très grands comptes près : « Les correctifs ? On redoute de les appliquer car ils peuvent modifier le fonctionnement du système d'information (SI). Les audits ? On rechigne à exposer les données sensibles qu'il faut précisément protéger. Pire, on ne veut pas payer très cher pour juste s'entendre dire que l'on n'a pas désactivé les mots de passe des versions usines. » Olivier Caleff, directeur de la sécurité chez Devoteam, concède que certaines entreprises ne soumettent aux tests d'intrusion que les plus critiques de leurs serveurs par souci d'économie, la prestation s'élevant à environ 100 000 euros pour 200 machines.
Dans ces conditions, inutile de débattre de l'efficacité des pare-feux ou des antivirus. Eric D., autodidacte de l'intrusion des SI qui se défend de toute activité malveillante, donne la mesure du décalage : « Les failles archiconnues, de l'injection SQL au déni de service, marchent toujours. Il existe un site,milw0rm.com, qui décrit les procédures d'attaque. Et l'emploi un tant soit peu éclairé d'un moteur de recherche permet de savoir où les lancer. » Pour lui, il n'y a pas de solution technique pour verrouiller complètement une machine sans la rendre inutilisable. « Le seul moyen de se protéger est d'avoir conscience que l'on est attaqué. Mais, pour cela, il faut avoir un hacker dans son équipe. »
Dédramatiser le recrutement des hackers est le point positif qu'Isabelle Tisserand, coordinatrice du Cercle européen de la sécurité des SI, relève dans l'approche gouvernementale. « C'est ainsi que nous ferons enfin entrer dans les entreprises la culture de la sécurité. Ce modèle existe aux Etats-Unis ou au Royaume-Uni et il est bien plus efficace que notre protectionnisme », s'enflamme-t-elle. Guillaume Lovet, responsable du traitement des menaces chez Fortinet, ne l'entend pas de cette oreille : « Il n'y a aucun intérêt à embaucher un cambrioleur », lance-t-il. Des cabinets de conseil en sécurité aux sociétés de services, tous freinent des quatre fers, arguant qu'il n'est pas imaginable de confronter l'entreprise à un profil à risque. En l'occurrence, le hacker n'est pas formé à l'éthique des professionnels, et s'il parvient mieux que quiconque à pénétrer un système, c'est par la fraude. Surtout, on détermine difficilement si sa motivation relève du défit intellectuel ou de la malveillance. Alexis S. est un hacker qui se révolte contre cette attitude : «On préfère systématiquement nous attaquer en justice pour avoir pénétré un système plutôt que de nous demander comment nous avons fait. Comment dès lors faire valoir nos compétences ? » Il cite l'exemple de Guillaume Tena, un informaticien condamné en 2005 pour avoir commenté publiquement sa découverte d'une faille dans l'antivirus Viguard.
De l'autre côté de la Manche, Goeff Donson, directeur de la sécurité chez l'hébergeur TelecityGroup, ne comprend pas le problème : « En Grande-Bretagne, les hackers font valoir leurs compétences techniques pour se faire embaucher. Et même s'ils ont commis un méfait, pourquoi se priver de les recruter ? Ils ont payé leur dette à la société. » Isabelle Tisserand souligne un avantage : « Le hacker est souvent jeune. Il suffit donc de lui proposer un contrat de qualification pour acquérir des compétences tout en s'occupant de le sociabiliser selon les codes de l'entreprise. » Frédéric Charpentier, consultant en sécurité chez XMCO Partners, se veut pragmatique : « Il est difficile pour une entreprise dont la sécurité n'est pas le métier de conserver des compétences très pointues en interne. » Il souligne par ailleurs un tabou : « Les entreprises ne veulent pas qu'on apprenne qu'elles cultivent la possibilité de s'introduire dans un SI, le sien ou celui d'une autre. » Selon lui, la responsabilité de faire travailler un hacker peut en revanche être prise par un cabinet extérieur. Reste que le recrutement à lui seul relève de l'expertise : « Il faut tracer son profil psychologique en pistant ses interventions sur internet. Lui faire passer un entretien approfondi avec un autre hacker. Et juger de ses capacités en lui faisant réaliser des tests d'intrusion sur des machines cibles, avec de l'Unix, du Windows, du PHP, du Java et du SQL », détaille Frédéric Charpentier. Il estime que le salaire d'un tel consultant varie entre 45 et 80 K d'euros, selon ses compétences et, surtout, la qualité de ses rapports avec les clients.
Etes-vous un technicien hors-pair ?
Félix Noël :
Non. L'exploitation des failles de sécurité est accessible à tout le monde. Mais
pour réussir une intrusion, il faut trouver la bonne combinaison d'attaques. Un
hacker se différencie juste parce qu'il a plus de temps, plus de créativité et
qu'il se décourage moins vite. Je ne fais jamais payer mes audits de sécurité.
Le bénéfice est simplement la satisfaction intellectuelle.
Qu'est-ce qui pêche dans la sécurité des systèmes
d'information ?
FN : Un manque ahurissant de prise de
conscience. Il y a des banques où les employés travaillent sur leur poste dos à
la vitrine, des dirigeants qui passent des coups de fil stratégiques au milieu
d'un train, des cadres qui livrent sur leur blog la réponse secrète à donner
pour récupérer le mot de passe de leur compte e-mail. Les failles informatiques
ne sont qu'une part du problème.
L'experte - Isabelle Tisserand (Cercle europée) : « les
entreprises doivent apprendre à travailler avec les
hackers »
« En France, les processus de prévention des
risques informatiques les plus pointus tombent à l'eau dès lors que les services
de la DRH interviennent. Ceux-ci imposent un cadre rigide, qui vaut pour un
comptable, à des experts en sécurité qui, s'ils sont compétents, se doivent
d'avoir un profil créatif. Même les ambitions du hacker ne sont pas
comprises : il court après la reconnaissance de ses qualités
exceptionnelles, il veut être responsable de sa mission pour qu'on l'identifie
comme expert. Et chez lui, cela prédomine sur le gain d'un salaire.
Malheureusement, les DRH résistent à cette ouverture et bousculent les
spécialistes de la sécurité avec des horaires et des codes vestimentaires qui ne
sont pas les leurs. Dès lors, la greffe ne prend pas : le spécialiste part
ou, pire, pirate son entreprise pour prouver qu'il en est capable. »
Le DSI - Régis Loumont : « j'ai osé recruter un
hacker »
« Dans une entreprise où je travaillais
précédemment, nous avons dû faire appel à un hacker pour faire sauter la
protection d'un logiciel dont nous avions les droits, mais dont nous avions
égaré le code source. Nous avons recruté cette personne pour une mission très
ponctuelle et via un réseau de connaissances dans lequel nous avions confiance.
Notre prise de risque a été moins importante que ce que nous envisagions
puisque, au lieu de deux jours sur place, la personne a pu résoudre notre
problème en une heure par e-mail. Je juge donc cette expérience très positive,
car le résultat a été spectaculaire pour un prix raisonnable. Finalement, le
seul problème des hackers est une méconnaissance de ce que peut apporter leur
collaboration à cause du tabou qui entoure leur activité. Les entreprises qui
les utilisent entretiennent en effet le mystère, pour ne pas être jugées. »
Consultez nos derniers livres blancs