Afin d’optimiser la sécurité de nos produits et nos services, nous les faisons tester chaque année par des hackers éthiques indépendants. Pour cela, nous collaborons en partenariat avec Onvio, spécialiste de la réalisation de « pen tests ». Ces tests visent à rechercher activement les failles éventuelles. Leur détection nous permet d’y remédier dans un deuxième temps, afin que le niveau de sécurité soit constamment amélioré. Jasper Weijts, Spécialiste Sécurité chez Onvio, a accepté de témoigner de son expérience dans ce domaine.

Qu’est-ce-que le piratage éthique ?

« Pour la plupart d’entre nous, le terme de piratage a une connotation négative. Elle évoque quelqu’un qui s’introduit par effraction dans votre appareil ou votre système informatique. Dans le domaine du piratage éthique, elle désigne un spécialiste qui recherche les points de vulnérabilité d’une application ou d’un système par exemple, en toute confidentialité. C’est ce que nous appelons un « pen test ». Il informe et conseille l’entreprise de failles auquel elle est ensuite en mesure de remédier. C’est un peu comme si vous demandiez à un cambrioleur de voir si votre maison est sûre et où se trouvent les points faibles, afin de pouvoir améliorer votre sécurité. En fin de compte, nous aidons les entreprises à renforcer la sécurité de leurs systèmes et leurs applications. » 

Vous êtes Hacker Éthique chez Onvio. À quoi ressemble votre travail ?

« Pour une application par exemple, nous commençons par recenser les fonctionnalités. Cette étape peut comporter une session de démonstration réalisée par notre entreprise cliente. Ensuite, nous examinons le trafic établi entre le navigateur de l’utilisateur (dans le cas de Priva, l’utilisateur est le producteur) et le serveur de l’entreprise (Priva). Nous interceptons ce trafic et nous voyons si nous sommes en mesure de l’influencer. C’est la partie la plus intensive du pen test

Que se passe-t-il une fois que le pen test terminé ?

« Tous les résultats du test sont consignés dans un rapport. Celui-ci comprend une partie technique, une analyse de risque puis une synthèse. Ainsi, l’équipe technique saura exactement ce qui doit être modifié et sa direction aura une vision claire de la situation. Le client discute ensuite du rapport avec sa propre équipe (de développement). Nous nous rencontrons au moment de la livraison pour examiner la partie technique du rapport. Si nécessaire, nous expliquons les éléments techniques et nous faisons des recommandations officielles. Mais en fin de compte, c’est au client de les mettre en œuvre. Nous pouvons éventuellement effectuer un nouveau test et donner de nouvelles recommandations basées sur le rapport initial et les améliorations qui ont été apportées. »

Pour Priva, plusieurs applications cloud ont été récemment soumises à un pen test. Un TPM (Mémorandum Tierce Partie) a été édité pour ces applications. La conclusion de ces déclarations est que les applications Priva sont suffisamment sécurisées. Ces tests seront répétés sur une base régulière. Priva prévoit prochainement d’autres déclarations TPM pour d’autres produits et services cloud.

L’univers numérique se développe à une vitesse fulgurante. Comment faites-vous pour vous tenir au courant, en termes de piratage ?

« Aujourd’hui il existe des cours et même un certain nombre de masters qui sont dédiés à la cybersécurité et au piratage. En outre, il existe un grand nombre de programmes de certifications qui dispensent une formation pratique dans une sorte de laboratoire. Il est important aussi bien pour nous que pour nos clients, de poursuivre la recherche de nouvelles sources de vulnérabilités. C’est pourquoi nous nous rendons chaque année dans ce type de laboratoire afin de nous tester, d’étendre nos connaissances et in fine d’obtenir la certification ».

Chaque jour, on découvre de nouvelles vulnérabilités dans les logiciels ou les applications et c’est un processus infini. Se tenir informé revient principalement à être au courant des développements et innovations majeures. Par exemple des nouvelles technologies, telles qu’un nouveau type de mécanisme de connexion. Ce qui implique aussi de nouvelles vulnérabilités.

Quels conseils pouvez-vous donner à nos clients producteurs ?

« La plupart des clients de Priva, majoritairement producteurs, gèrent une entreprise où de nombreux processus sont automatisés. Ce qui met en jeu un grand nombre de données. Il est très intéressant pour un producteur de connecter ses systèmes à des solutions cloud telles que les applis. Mais si quelqu’un de non autorisé trafiquait les données de culture ? Cette crainte est peut-être fondée, mais je pense que les données sont en fait plus sécurisées lorsqu’on utilise les services cloud et numériques. Les producteurs sont d’abord compétents pour cultiver leur culture, mais ls ne sont généralement pas à l’aise sur le marché de la sécurité. Par exemple, en tant que producteur, avez-vous un aperçu de l’analyse des risques ? savez-vous quelles données sont générées ? où elles sont stockées et qui a accès à ces données ? Un conseil serait d’investir dans ce domaine.

Certains producteurs hésitent à stocker leurs données sur le cloud parce qu’ils ne savent pas où se trouvent ces données. Priva leur épargne ce souci. Grâce aux accords conclus entre Microsoft et Priva sur le type de données stockées et la manière dont elles sont sécurisées. Dans la plupart des cas, l’archivage dans le cloud est plus sécurisé qu’un stockage local. Par exemple, qu’en est-il d’un serveur local avec sécurité et sauvegardes ? Ce sont des choses qui se font automatiquement sur le cloud, puisque les systèmes standard de sécurité sont activés par défaut. Il s'agit d'un système très sophistiqué qui va souvent au-delà des mesures de sécurité que vous pouvez prendre vous-même. »

À propos de Jasper Weijts

Jasper Weijts est Spécialiste Sécurité et Hacker Éthique chez Onvio. Il travaille dans la cybersécurité depuis maintenant 15 ans. Au quotidien, sa mission consiste à vérifier le niveau de sécurité des systèmes et des applications informatiques pour des clients. Par exemple, il réalise des « pen tests » (tests d’intrusion) sur des appli. web et mobile, des réseaux du type Intranet ou du matériel informatique.

Vous avez des doutes sur l’intérêt des services cloud ?

Découvrez leurs avantages