Back

Laissez les hackers vous attaquer. C’est pour votre bien.

Les hackers...!

OK, j’ai utilisé un titre avec le mot « hacker » dedans, mais maintenant que j’ai votre attention, je vais en profiter. Quand j’utilise « hacker » je veux dire: une personne curieuse, qui aime bidouiller et avec de bonnes intentions, pas un pirate qui en a après votre argent ou vos données.

Ceci étant dit, il y a une tendance dans les dernières années qui semble s’installer: les organisations et la population sont de plus en plus à l’écoute de la communauté de la cybersécurité et c’est probablement la raison qu’on entend ce mot plus souvent. Une place grandissante se taille dans les médias, et c’est même rendu un sujet sexy.

Le défi, c’est qu’historiquement, on associait les hackers à des gens dans leurs sous-sols qui ne voulaient que se servir de leurs compétences à des fins malveillantes. Maintenant, on voit bien qu’il y a une grande partie des individus qui ne demandent qu’à exposer de façon sécuritaire et responsable des enjeux de cybersécurité observés durant leurs élans de curiosités.

Il y a une solution toute « simple » pour canaliser toute cette curiosité vers un objectif qui nous aidera tous au final : les programmes de chasse aux bogues (bug bounty). En résumé, il s’agit d’un programme que votre organisation peut mettre en place afin d’encadrer, structurer la portée des activités dont vous autorisez les hackers à effectuer sur votre environnement (tests d’intrusion sur vos applications Web, vérification concernant l’exposition de données, analyse des configurations des systèmes exposés publiquement, etc.).

C’est une réflexion très personnelle et je suis bien conscient que cette décision est propre à chaque organisation, par contre je crois sincèrement que d’ouvrir les valves au maximum dans ce type de programme ne peut qu’être bénéfique si vous vous êtes bien préparé.

  • Qui recevra les notifications et effectuera la contextualisation des vulnérabilités découvertes par les hackers ?
  • Qui devra corriger ces vulnérabilités ?
  • Est-ce que votre environnement est bien surveillé afin de détecter les potentielles pannes de services causées par ces tests ?
  • Vos départements juridique et de gestion des risques sont-ils au courant de la mise en place de ce programme ? (considérant que vous donnez le droit aux hacker de tenter d’exploiter votre environnement selon des paramètres définis)
  • Avez-vous un programme de récompense pour encourager la participation ?
  • Quels sont vos temps de réponse et de prise en charge d’une divulgation responsable ?

On se rappelle que les trois principes fondamentaux de la sécurité de l’information sont: la confidentialité, l’intégrité ainsi que la disponibilité. Plusieurs peuvent maintenant arguer que le principe d’un programme de chasse aux bogues irait à l’encontre de ces principes considérant les risques d’atteinte à l’ensemble des trois principes.

Cependant, si c’est le cas, c’est qu’on peut faire mieux et la conceptualisation mériterait probablement d’être revisitée afin de corriger ces enjeux. Dîtes-vous que si un hacker éthique réussit à faire tomber votre application ou à en affecter ses données, un pirate avec des intentions malveillantes vous ferait vivre une situation bien pire. Dans ce cas, le pirate n’aurait pas la gentillesse de vous fournir des informations sur la problématique observée ou encore des pistes de solutions pour régler celle-ci. De plus, le pirate ne se limitera pas à la portée que vous aurez définie et ne se souciera guère du moment de la journée pendant lesquelles il tentera d’exploiter vos ressources exposées.

Voici quelques références qui pourraient vous être utiles si vous désirez en apprendre plus:

Je serais bien curieux de lire vos commentaires si vous y voyez des désavantages et quel serait votre intérêt à limiter la portée de votre programme de chasse aux bogues. La discussion est ouverte!

Jean-François Brouillette

La carrière de Jean-François a débuté dans la gestion de systèmes informatiques il y a un peu plus d’une dizaine d’années avant de se spécialiser en cybersécurité. Il a passé quelques années à agir à titre de consultant et à répondre à des situations de crises à travers le monde dans des organisations d’envergures lors de cyberattaques. Jean-François s’est ensuite joint à l’équipe de la Banque Nationale du Canada afin d’appuyer leur équipe de cyberdéfense et aider à faire progresser la pratique de réponse aux cyberincidents. Sa motivation a toujours été de contribuer, en utilisant ses compétences, à prévenir les cyberattaques et de compliquer, le plus possible, la vie des cybercriminels.

Vous pourriez également aimer

5 conseils en cybersécurité pour les PME
26 octobre 2024

Il y a déjà quelques semaines se terminait la semaine de formations et conférences du Hackfest. Bien que toujours pertinent et appréciable, cette année était particulière pour moi puisque Cyber Formation Québec (CFQ) a offert sa première formation en présentiel …

Comment les acteurs malicieux contournent vos protections Web
4 mars 2024

Je sors d’une présentation dans laquelle il était sujet de protection contre les attaques de type « déni de service distribué ». Malgré que la principale solution exposée par les présentateurs m’était déjà connue, j’ai tout de suite réfléchi à …

Protégez-vous des menaces émergentes: bloquez les nouveaux domaines.
14 novembre 2023

Lorsque vos équipes de cybersécurité analysent les menaces auxquelles vous faites face, je serais prêt à mettre un 2$ que bien souvent lorsqu’un logiciel malveillant s’exécute ou qu’un lien suspect est cliqué, il y a un nom de domaine récemment …

Laisser un commentaire

Votre adresse courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *