Profession « pentesteur », expert en intrusion des systèmes informatiques

Economie

« Où va le travail ? » – Les entreprises font de plus en plus appel à des consultants pour protéger leurs secrets industriels et les données de leurs clients.

Certaines choses sont trop belles pour être vraies. Comme ce courriel reçu par Marc en janvier 2018. A l’occasion de la nomination de Star Wars 8 aux Oscars, son comité d’entreprise lui annonce qu’un jeu-concours est organisé pour les salariés. A la clé, des mugs, des sabres lasers et des costumes. Pour tenter sa chance, il faut seulement remplir le document Word joint. Les images représentant les lots ne se chargent pas. Le texte suggère d’« activer les macros » pour qu’elles apparaissent. Le salarié s’exécute et lance alors le téléchargement discret d’un logiciel malveillant qui permettra de prendre le contrôle de son ordinateur.

Cette fois, Marc a eu de la chance. Le courriel qu’il a reçu n’est pas issu de l’une des 1 869 attaques – pas forcément réussies – signalées en 2018 à l’Agence nationale de la sécurité des systèmes d’information (Anssi). Il a été envoyé par Sylvain Hajri, un consultant mandaté par son employeur pour tester la sécurité de son réseau informatique.

Un manquement grave à la sécurité des données de leurs clients peut coûter très cher aux entreprises depuis l’entrée en vigueur du RGPD

La démarche est de plus en plus courante au sein des grandes entreprises, conscientes que leurs secrets industriels font l’objet de convoitises, mais aussi qu’un manquement grave à la sécurité des données de leurs clients peut coûter très cher depuis l’entrée en vigueur du règlement général sur la protection des données (RGPD) en mai 2018 – jusqu’à 20 millions d’euros ou 4 % de leur chiffre d’affaires mondial. Pour cartographier leur niveau d’exposition, certaines organisations font donc appel à des experts en intrusion, désignés par le terme anglais pentester (contraction de penetration et tester).

Evaluer toutes les menaces

Avant de s’atteler au test, il faut établir les besoins du client. S’agit-il de trouver des failles ou d’évaluer aussi la réactivité des systèmes de détection internes ? Quelles menaces pèsent sur l’entreprise ? Veut-elle se protéger d’un potentiel employé malveillant, d’un attaquant opportuniste qui chercherait à gagner rapidement de l’argent ou d’une organisation professionnelle qui dispose, elle, de temps et de moyens pour chercher une faille durant des mois ? Faut-il tester seulement un site Web ou aussi les services des sous-traitants et la sécurité du siège social ? L’entreprise et les « pentesteurs » décident également des personnes au courant des tests. Moins les salariés sont informés, plus on s’approche des conditions réelles. Ils doivent aussi s’accorder sur les techniques autorisées. Un e-commerçant appréciera peu qu’un pentesteur paralyse son site pour montrer qu’il est en capacité de le faire.


Lire la suite : Profession « pentesteur », expert en intrusion des systèmes informatiques


Articles en Relation

« Cannibales en costume »: les nouveaux monstres David Courpasson se demande comment on peut à la fois être une personne correcte et mettre son éthique de travail au service d’une « monstruosité »....
La transidentité intéresse les DRH Quinze grands groupes se sont constitués en réseau d’entreprises pour partager les bonnes pratiques de sensibilisation et d’inclusion des LGBT au tr...
Nucléaire : comment le gouvernement travaille en catimini à la construction de s... Dans une lettre adressée au président d’EDF, le gouvernement donne une feuille de route précise conduisant à la construction de six réacteurs EPR su...
Dans les secrets de l’usine fabriquant nos euros L’établissement de la Monnaie de Paris, à Pessac (Gironde), frappe les pièces circulant en France et celles d’une quarantaine de pays étrangers. Il ...
« La peur de la discrimination au travail est la première cause de non-syndicali... Pour la première fois, un rapport d’organisations publiques met en évidence que des millions de salariés sont sanctionnés quand ils exercent une liber...
Budget des ménages : ce qui change le 1er janvier 2020 Impôts, santé, travail, immobilier, aides sociales : qui dit nouvelle année dit nouvelles règles ! Mais également prix qui grimpent ou diminuent, se...

ACTUALITÉS SHOPPING IZIVA