Qu’est-ce que le Vulnerability Management?

Le Vulnerability Management, également appelé gestion des vulnérabilités, comprend le contrôle et l’évaluation continus de tous les composants informatiques, tels que les serveurs, les réseaux, les ordinateurs et les technologies du cloud. Les vulnérabilités identifiées sont analysées, classées par ordre de priorité, corrigées et documentées.

Des responsabilités claires sont essentielles pour que le processus soit efficace. Les entreprises minimisent ainsi le risque d’incidents de sécurité, améliorent la cybersécurité et garantissent le respect des prescriptions légales, en particulier lors du traitement de données sensibles. La pression réglementaire croissante oblige de toute façon les entreprises à s’attaquer sérieusement à ces menaces afin d’éviter les violations de données et les atteintes à la réputation.

Qu’est-ce que le hacking éthique?

Le hacking éthique permet aux entreprises de vérifier de manière proactive si leurs systèmes informatiques présentent des failles de sécurité. Des hackers professionnels, appelés «hackers éthiques», engagés dans ce but effectuent des tests d’intrusion afin de déceler les vulnérabilités des réseaux, des applications et des systèmes avant qu’elles ne soient exploitées par les cybercriminels. Cela renforce la résistance de l’entreprise face aux cyberattaques et minimise le risque d’incidents de sécurité coûteux qui pourraient nuire à la réputation de l’entreprise. Le hacking éthique permet ainsi de planifier et de mettre en œuvre les mesures requises pour respecter les normes de sécurité et les règles de compliance.

Identifier les vulnérabilités de l’infrastructure

L’administration du réseau et des systèmes est l’épine dorsale de l’infrastructure informatique d’une entreprise et joue un rôle central dans la gestion des vulnérabilités. Des analyses et des scans réguliers permettent non seulement d’optimiser les performances, mais aussi d’identifier les points faibles des systèmes qu’il convient de corriger afin de garantir un environnement informatique stable et sûr.

Détecter les vulnérabilités des logiciels

Lors du développement de logiciels et de la mise en œuvre informatique, il est essentiel d’identifier et de corriger les failles de sécurité pendant le processus de création. Les vulnérabilités dans les systèmes informatiques récemment développés ou mis en œuvre peuvent engendrer de graves risques de sécurité. Un test de sécurité consciencieux pendant le processus de développement et avant la mise en service est crucial pour que les points faibles du logiciel soient décelés avant sa mise en service. Cela permet de s’assurer que les nouvelles applications et les nouveaux systèmes sont robustes et sûrs, ce qui augmente l’efficacité et la sécurité des systèmes informatiques.

Détecter les vulnérabilités des technologies critiques pour la sécurité

Les technologies telles que les systèmes de cryptage et les méthodes d’authentification sécurisent les processus commerciaux numériques et contribuent au traitement fluide des données. Cependant, des vulnérabilités au sein de ces systèmes représentent des risques de sécurité importants, en particulier pour la protection des informations sensibles. D’où l’importance de déceler les points faibles des technologies critiques pour la sécurité comme les systèmes de cryptage. Ces audits de sécurité font partie intégrante de la gestion des vulnérabilités et garantissent aux entreprises la possibilité d’exploiter leurs systèmes en toute sécurité.

Formation et sensibilisation du personnel informatique

Des formations pratiques et des simulations de cyberattaques permettent au personnel de comprendre comment les vulnérabilités des systèmes apparaissent et comment elles peuvent être exploitées à mauvais escient. Cela les aide à saisir l’importance de respecter les protocoles de sécurité et de réagir de manière proactive aux menaces potentielles. En outre, le personnel devrait être régulièrement formé à l’application des bonnes pratiques de sécurité, comme la gestion sécurisée des mots de passe ou la détection des tentatives de phishing. La prise de conscience de la nécessité d’une protection robuste des données de l’entreprise s’en trouvera ainsi durablement renforcée dans toute l’organisation.

Hacking éthique chez IT Security: du bon côté de la barrière

Lorsque, au sein de la «banque jaune», la Red Team assaille la Blue Team, cela se fait au nom de la sécurité. Philipp Rohrbrach, spécialiste en sécurité informatique, nous explique l’idée sous-jacente.

Se trouvant du bon côté de la barrière, les hackers éthiques pointent les failles des applications web, des réseaux et des systèmes pour le compte d’entreprises, avant que des hackers malveillants ne le fassent. Philipp Rohrbach fait partie de ces hackers éthiques. Il travaille au sein de l’unité IT Security chez PostFinance et dirige la Red Team. Dans cet entretien, il expose en détail ses tâches et la manière dont il procède pour les mener à bien.

Tu travailles au sein de la Red Team dans l’unité IT Security de PostFinance. Quelle signification revêt la couleur rouge?

L’équipe rouge joue le rôle de l’attaquant au sein de la sécurité informatique de PostFinance. Nous nous servons de techniques ou de scénarios d’attaque, comme ce serait le cas lors de vraies menaces, et nous les appliquons de manière ciblée à nos propres systèmes. Nous essayons par exemple d’utiliser nos services et nos systèmes dans un but qui n’était pas prévu, l’objectif étant de pointer les failles avant que d’autres ne les décèlent. En informatique, lorsque nous exploitons un service ouvert au public, il faut partir du principe que nous allons subir des attaques. La question n’est pas de savoir si ces menaces se concrétiseront, mais à quelle fréquence elles se produiront et si les attaques pourront être identifiées, repoussées et endiguées par notre Blue Team. Les désignations de couleur viennent du domaine militaire: la Red Team représente la partie offensive en sécurité informatique, et la Blue Team la partie défensive.

Comment procède la Red Team lors d’un contrôle?

Supposons que nous testons une application. Nous échangeons dans un premier temps avec les spécialistes responsables du développement ou de l’exploitation de l’application et définissons les objectifs du test. L’un d’eux peut consister à manipuler une transaction financière dans un environnement de test ou à soustraire des informations en passant par une interface dans l’application. Il faut ensuite déterminer quelle approche nous souhaitons adopter: le test de la boîte noire, de la boîte grise ou de la boîte blanche. Dans la première approche, nous recevons un accès à l’application à tester sans avoir connaissance de la structure interne. Dans l’approche de la boîte grise, beaucoup plus fréquente, nous obtenons un peu plus de soutien, en ce sens que nous pouvons par exemple travailler avec une version dans laquelle certaines mesures de protection sont désactivées. Cela nous permet d’avoir une longueur d’avance sur de potentiels hackers, qui ont généralement plus de temps à disposition que nous et qui peuvent profiter de ce temps précieux pour contrôler, et non pour contourner les mesures de sécurité. Dans la troisième approche, nous faisons encore un pas supplémentaire: le code source est dévoilé de manière à ce qu’il soit plus facile pour nous, testeurs, de contourner les mesures de protection. Nous élaborons ensuite la configuration du test et nous nous mettons au travail. Nous vérifions par exemple l’identification, le processus de login ou la réinitialisation du mot de passe en repérant les erreurs de logique et les écarts par rapport aux normes. Nous observons également la manière dont réagit l’application lorsque nous l’alimentons en informations qui ne lui étaient pas destinées. Par exemple, si le paiement d’un client A à un client B s’effectue en arrière-plan en plus de 10 étapes, nous regardons ce qui ce se passe lorsque nous modifions l’ordre de ces étapes ou leur contenu. Lorsque nous avons vérifié suffisamment d’approches, nous en tirons des enseignements et nous les documentons. Des mesures pour combler les failles identifiées sont prises si nécessaires.

Comment s’organise la Red Team?

Cela dépend de la portée du contrôle et de la charge de travail qui y est associée. Pour les petits tests, une personne suffit. Pour les plus importants, il faut plusieurs testeuses et testeurs. Nous faisons donc appel au personnel interne, mais aussi à des externes. Ce qui compte avant tout, c’est que ce ne soit pas toujours les mêmes personnes qui étudient les mêmes objets. En effet, c’est surtout lors de contrôles de sécurité qu’il faut penser aussi en dehors du cadre. L’expérience individuelle et le savoir-faire personnel jouent un grand rôle à cet égard.

Quels sont les prérequis pour pouvoir travailler au sein d’une Red Team?

Comme prérequis, il faut posséder de solides connaissances en matière de réseaux, et comprendre en détail comment fonctionnent les applications web, comment un ordinateur et un serveur interagissent et comment ils sont conçus (voir également l’encadré). Toutefois, le plus important est la curiosité: un hacker éthique cherche à comprendre le monde virtuel, et à toujours l’observer avec un regard différent. Il cherche à regarder derrière les coulisses. Le hacker éthique fait preuve de persévérance: il alimente l’objet étudié jusqu’à ce qu’il se produise quelque chose d’inattendu. Il s’efforce ensuite de comprendre pourquoi l’incident s’est produit. Notre objectif est de repérer des failles qui sont passées jusqu’ici inaperçus auprès d’autres personnes et d’outils automatisés d’assurance qualité.

Existe-t-il une formation officielle?

Il existe différents types de tests. En revanche, aucun cursus ne couvre l’ensemble de notre domaine d’activité. Les personnes qui souhaitent devenir hackers éthiques peuvent et doivent acquérir la plupart des connaissances en autodidacte. La communauté, qui partage volontiers son savoir, leur apporte son soutien dans cette démarche. Il est possible d’exercer ses compétences sur des plateformes proposant des défis, telles que Try Hack me ou Hack the Box, ou des programmes bug bounty.

Qu’est-ce qui te fascine dans ta fonction de hacker éthique?

L’énorme diversité. Je peux d’une part me familiariser sans cesse avec toute une variété de technologies, de langages de programmation, d’applications ou d’environnements. D’autre part, je noue en permanence des contacts avec des personnes de tous horizons. Nous ne sommes pas spécialistes dans tous les domaines, mais nous avons beaucoup de personnes très compétentes chez PostFinance. Lorsque nous nous préparons pour un test, nous pouvons tirer profit de leurs connaissances et de leur expérience. C’est vraiment tout à fait passionnant. De plus, nous appliquons une même méthode lors des tests, tout en l’utilisant constamment sur d’autres objets. Cela va de la reconnaissance vocale à une application web normale, en passant par des systèmes très complexes permettant de traiter des transactions financières. D’ailleurs, ce job n’est pas seulement un travail, mais aussi un engagement: je veux contribuer à ce que le monde virtuel devienne toujours plus sûr.

Quel est le parcours personnel qui t’a mené à la Red Team de PostFinance?

À la base, j’ai appris le métier d’électronicien, et me suis perfectionné dans le montage d’installations en m’orientant dans la direction de projet. Comme l’aspect technique me manquait quelque peu, j’ai étudié l’informatique et la technique des systèmes dans une école supérieure. Puis j’ai été responsable d’un service dédié aux nouveaux médias dans une agence, où j’ai pu approfondir ma compréhension des applications web et mobiles dans de nombreux projets. J’ai ensuite fait des études en informatique en me spécialisant dans la sécurité. Le thème du hacking éthique m’a accompagné tout au long de mon parcours. Par intérêt personnel, j’ai développé de très nombreuses connaissances à ce sujet. Après mes études, j’ai finalement opté pour la fonction de spécialiste en exploitation dans le service informatique de la Poste, dans le domaine du vote électronique, et me suis familiarisé avec les contrôles de sécurité. Lorsque PostFinance a mis au concours un poste de spécialiste en sécurité informatique dans le domaine du hacking éthique, je me suis dit que c’était ma chance. Depuis cette année, j’occupe une fonction dirigeante et je peux contribuer, avec le soutien d’une équipe très motivée, à rendre les systèmes et processus informatiques de PostFinance toujours plus sûrs pour sa clientèle.