Son métier : hacker éthique - Vidéo Dailymotion

Brut

25/03/2025

Son métier : se mettre dans la peau d’un pirate pour identifier les failles de sécurité des systèmes d’information.
Elias est hacker éthique pour Orange Cyberdefense. Voilà comment il travaille.

Catégorie

🤖

Technologie

Transcription

Afficher la transcription complète de la vidéo

00:00Il faut savoir que la sécurité à 100% n'existe pas.

00:02Si on a un attaquant en face qui est très motivé, qui a énormément de moyens et qui a énormément de temps,

00:07il finira toujours par rentrer dans un système d'information.

00:19Mon métier consiste à évaluer le niveau de sécurité d'applications web.

00:23Pour cela, je me mets dans la peau d'un hacker afin d'identifier des failles de sécurité.

00:26On réalise ce qu'on appelle un test d'intrusion.

00:29Tout simplement pour savoir si on est capable de rentrer dans le système en l'attaquant.

00:33À la base, j'ai fait une école d'ingénieur au cours de laquelle j'ai appris à programmer.

00:39Je m'étais intéressé à comment sécuriser ces logiciels.

00:42En faisant des recherches sur Internet, on apprend souvent comment les attaquer pour mieux les protéger derrière.

00:46C'est comme ça que j'ai découvert ma passion.

00:48Un hacker éthique doit détruire toutes les traces qu'il a pu obtenir au cours de son attaque.

00:53Un pirate informatique va attaquer un système d'information sans l'autorisation explicite du client.

00:57En général, il va avoir des idées malveillantes.

01:00C'est-à-dire qu'ils n'auront aucun scrupule à voler des données, voire les détruire ou les modifier.

01:06Pour vous donner un exemple avec un de nos clients pour qui on réalise des audits depuis de nombreuses années.

01:11La première année où on a réalisé un audit, on était en mesure de prendre le contrôle de son réseau interne en moins d'une heure.

01:17Et donc, sept ans plus tard, on a à nouveau été en mesure de rentrer dans leur système d'information, mais ça nous a pris dix jours.

01:24Donc, on a multiplié le temps de compromission par 80 quasiment.

01:29Si on considère qu'on a une journée de huit heures environ, ce qui est énorme.

01:32Par expérience, je peux vous dire que c'est très compliqué d'estimer le coût moyen d'une attaque pour plusieurs raisons.

01:50Typiquement, la plupart des attaques vont être des attaques silencieuses qui vont durer dans le temps.

01:55C'est-à-dire que l'entreprise va se rendre compte de l'attaque au bout d'une journée.

01:59Sauf qu'au cours de ces trois années, l'attaquant a pu faire de nombreuses choses.

02:03Il aurait pu voler des plans, des secrets de l'entreprise qu'il a pu transmettre à des concurrents.

02:07Il est très difficile d'estimer le coût associé à ce type d'attaque-là.

02:11Par contre, il y a une chose qui est sûre, c'est que ça coûte beaucoup plus cher de réagir à une attaque,

02:15c'est-à-dire de la détecter et la bloquer, puis d'essayer d'investiguer.

02:18C'est-à-dire qu'il y a beaucoup plus de temps pour réagir à une attaque.

02:21Par contre, il y a une chose qui est sûre, c'est que ça coûte beaucoup plus cher de réagir à une attaque,

02:25c'est-à-dire de la détecter et la bloquer, puis d'essayer d'investiguer, puis ensuite la corriger,

02:30plutôt que de penser à la sécurité dès le début pour prévenir l'attaque.

Recommandations