Techniques d’intrusions des malfaiteurs, l’auditeur peut-il s’en inspirer ?
Sujet : Techniques d’intrusions des malfaiteurs, l’auditeur peut-il s’en inspirer ?
Table des matières
INTRODUCTION 2
Chapitre 1. L’Ethical hacking dans les entreprises 3
- Définition et fonctionnement de l’Ethical hacking 3
- L’Ethical hacking 3
- Principe et fonctionnement 3
- Rôle de l’auditeur par rapport à l’Ethical hacking 5
- L’audit de sécurité et l’Ethical hacking 5
- Rôle de l’auditeur 6
- Champs de la mission d’audit 7
- Champ d’application 7
- Durée de la mission 7
- Phase de la mission 7
Chapitre 2. Les aspects juridiques de l’Ethical hacking 10
2.1. Contexte juridique 10
2.2. Aspect contractuel 11
2.3. Conséquences pour la mission d’audit 13
- Réaliser la mission dans les limites légales 13
- Se limiter à la loyauté et à la probité 13
- Montrer du professionnalisme 14
- Respecter la confidentialité 14
Chapitre 3. Les avantages et les inconvénients de l’Ethical hacking 15
3.1. Pour l’auditeur 15
- Avantages de l’Ethical hacking 15
- Inconvénients de l’Ethical hacking 15
3.2. Pour l’audité 16
- Avantages de l’Ethical hacking 16
- Inconvénients de l’Ethical hacking 17
CONCLUSION 19
BIBLIOGRAPHIE 20
Introduction
Le monde dans lequel nous nous trouvons ne cesse d’évoluer. L’environnement change et les conditions de vie et les comportements des individus évoluent en ce sens. Le contexte actuel est marqué par le grand bouleversement au niveau de l’environnement technologique. La numérisation est devenue une étape obligée pour tous, y compris les entreprises qui souhaitent bénéficier d’une certaine pérennité.
Cette numérisation a engendré l’abondance de l’information, et par conséquent, à la facilité de son accès. En parallèle, de plus en plus de jeunes formés de grandes écoles et d’universités d’envergure internationale sont diplômés, et maitrisent parfaitement leurs filières. Le monde est désormais envahi par des professionnels de l’informatique, mais également d’amateurs. Chacun se met à la recherche de sa place dans le numérique.
Si certains préfèrent prendre le droit chemin et respecter l’éthique et les individus en se spécialisant dans le domaine de l’informatique et du système d’information dans les grandes entreprises, d’autres ont choisi d’opter pour les issues sous-terraines et devenir ce qu’on appelle les pirates, les hackers. Ces derniers, sans scrupules, pénètrent les sites et les systèmes des entreprises par effraction, pour leur intérêt personnel, laissant derrière eux une organisation fragilisée et en situation de danger.
Pour faire face à ces individus malveillants, les entreprises, ainsi que leurs experts ont déjà envisagé bon nombre de techniques et de protection. Toutefois, les hackers, aussi déterminés que jamais, semblent trouver des issues non-explorées et non-imaginées. Il semble qu’ils ont toujours une longueur d’avance sur ces structures.
D’où notre questionnement :
« Pourquoi les auditeurs n’essaieraient-ils pas de s’inspirer des fraudes lors de leurs audits ? »
De plus, il a été constaté qu’il existe une pratique qui permettrait de vaincre ces pirates et de mettre en place un système de sécurité efficace et résistant : l’Ethical hacking. La technique permettrait également de devancer l’ennemi et d’établir des contre-mesures. Pour en savoir plus sur le sujet, nous avons réalisé un travail départagé en 3 chapitres comprenant :
- L’Ethical hacking dans les entreprises,
- Les aspects juridiques de l’Ethical hacking, et
- Les avantages et les inconvénients de la pratique.
Chapitre 1. L’Ethical hacking dans les entreprises
Dans un contexte où le numérique tient une place dominante dans le quotidien de chaque individu, les entreprises sont confrontées à des menaces importantes en matière de piratage informatique. En effet, procéder à une telle opération présente aujourd’hui plusieurs enjeux compte tenu du fait qu’elle permet l’accès à diverses informations classées confidentielles. Pour une entreprise, le risque auquel elle est exposée est assez élevé, car il pourrait compromettre toute son activité, voire sa pérennité. Pour faire face à une telle menace, de plus en plus d’entreprises, de toute taille et de toute structure, choisissent de recourir à l’Ethical hacking.
Ce premier chapitre est ainsi destiné à la présentation de l’Ethical hacking en entreprise, et comprend 3 sections dont la définition et le fonctionnement de l’Ethical hacking, le rôle de l’auditeur par rapport à l’opération, et le champ de la mission d’audit.
- Définition et fonctionnement de l’Ethical hacking
Faire face aux différents risques liés au piratage de données informatiques de la manière optimale possible est indispensable pour une entreprise, d’autant plus que l’objectif est d’avoir un système de sécurité ayant un niveau assez élevé. D’où le recours à l’Ethical hacking.
- L’Ethical hacking
Appelé également « piratage éthique », l’Ethical hacking se présente comme une spécialité informatique dont le procédé consiste à attaquer le système d’une organisation ou d’une structure, afin de détecter les failles susceptibles d’être exploitées par des individus malintentionnés[1]. Cette opération est réalisée à la demande même de l’entreprise, et par conséquent, avec son consentement, par des personnes spécialistes en la matière, connues sous le nom de ethical hackers.
Ainsi, les hackers éthiques réalisent durant une durée déterminée différents tests de simulation d’attaque de pirates sur l’ensemble du système de l’entreprise, notamment son système informatique, son réseau, ses applications, ainsi que son site web. Ces tests sont alors qualifiés de tests de pénétration ou d’intrusion[2].
- Principe et fonctionnement
Le hacking consiste à exploiter les failles ou les fragilités d’un système informatique afin d’avoir accès aux données confidentielles de ce dernier. De ce fait, l’Ethical hacking est basé sur l’utilisation des outils ainsi que des techniques de hacking dans le but d’identifier ces fragilités. Le principe de l’Ethical hacking consiste alors à se mettre dans la peau du hacker ou de l’ennemi pour comprendre sa motivation, ses méthodes d’action, ainsi que les outils dont il utilise afin de pouvoir par la suite se défendre[3].
Pour réaliser l’ethical hacking, l’ethical hacker doit être capable de maitriser les techniques utilisées par les hackers, mais également le système informatique de l’entreprise. C’est la raison pour laquelle il convient de définir les différents profils des hackers, ainsi que les techniques qu’ils utilisent.
- Les différents profils des hackers
Dans le domaine de l’informatique, 5 types de hackers peuvent être distingués[4]. Le premier est celui appelé chapeau noir ou black hat. Il se caractérise par le fait qu’il n’accorde aucune considération de la loi. Ainsi, il entre par effraction dans les systèmes pour son intérêt personnel qui est lié à un aspect financier. Il est de manière générale classé parmi les crackers compte tenu du fait que ces derniers sont attirés par le côté obscur, notamment en matière de création de virus ou de logiciels malveillants. Le chapeau noir représente par conséquent un danger pour l’entreprise.
Le second profil correspond à celui du chapeau blanc ou white hat. La technique qu’il utilise est similaire à celle du chapeau noir, à une différence près, celle de la finalité. En effet, le white hat est à la recherche de moyen permettant la sécurisation d’un système. Il effectue alors des tests pour détecter les failles d’un système sans les exploiter pour son propre intérêt par la suite. Cependant, sa méthode représente un risque pour l’organisation du fait que le white hat met en évidence les failles constatées de manière publique. Ainsi, tout individu mal intentionné pourra l’exploiter à son tour.
Le troisième profil est celui du chapeau gris ou grey hat. Il se trouve entre le chapeau noir et le chapeau blanc. De ce fait, ces intentions ne sont pas forcément connues. D’où le fait qu’il pourrait être dangereux pour une entreprise.
Le profil dit du script kiddie correspond à celui d’un jeune hacker amateur qui pénètre par effraction un système informatique en imitant les techniques des autres profils sans se soucier des conséquences de leurs actes qui peuvent être néfastes à l’entreprise. Il se caractérise par sa faible connaissance en matière de piratage informatique.
Le dernier profil est celui du hacker universitaire ou hacker libre. Il se tient au fait que l’information est libre et peut être partagée à tout le monde dès lors qu’il obtient l’accès, de manière licite ou non. Ce qui, par la même occasion, représente un danger pour l’entreprise.
- Les différentes techniques utilisées par les hackers
En matière de piratage informatique, 4 techniques de hacking peuvent être distingués[5]. La première est celle dite social engineering ou ingénierie sociale. En réalité, elle n’est pas considérée comme une technique d’attaque compte tenu du fait qu’il s’agit d’une technique de persuasion dont l’objectif est d’obtenir des informations auprès de certains individus. Dans ce cas, les fragilités qui sont exploitées sont plutôt humaines que techniques. Le hacker use ainsi du mensonge, de l’imposture, et même de la duperie afin d’obtenir ce dont il cherche. Dans cette technique, le pishing et la fraude au président peuvent être cités. La première consiste à exploiter une faille humaine en envoyant des faux-mail à des personnes pour collecter des informations. La seconde a pour but de convaincre les employés d’une société à verser une somme considérable à leur employeur pour des raisons justifiées, ce dernier n’étant pas le véritable bénéficiaire.
La seconde technique correspond à celle du défaçage. Sa particularité repose sur le fait que le hacker intègre dans le site institutionnel d’une entreprise un contenu sans l’autorisation de cette dernière. La technique est surtout utilisée pour imposer une opinion ou un point de vue lié généralement à l’entreprise-même ou au gouvernement.
La troisième technique est celle du déni de service distribué. L’objectif de cette technique est de saturer un serveur web de sorte de le rendre inaccessible. Par la suite, les sites hébergés seront également indisponibles. Le hacker pourra alors installer dans le système les outils lui permettant de réaliser sa prochaine attaque.
La dernière technique est celle du dépassement de mémoire tampon ou buffer overflow. Son but est de rendre défaillant un programme pour qu’il attaque les protections du système de l’entreprise. C’est durant cette défaillance que le hacker exécuter un code malveillant.
- Rôle de l’auditeur par rapport à l’Ethical hacking
La réalisation d’un ethical hacking s’effectue dans le cadre d’un audit. Il convient cependant de bien définir le rôle de l’auditeur et sa part de responsabilité dans l’opération. D’autant plus que cette dernière, bien que peut être incluse dans l’audit de sécurité, présente une certaine différence.
- L’audit de sécurité et l’ethical hacking
L’entreprise, dans une optique d’efficacité, de sécurité, ainsi que d’amélioration de son système d’information, cherche principalement à s’assurer que tout fonctionne correctement. D’où la réalisation d’un audit dite de sécurité. L’audit de sécurité se définit comme la vue à un moment donné d’une partie ou de la totalité du système informatique d’une entreprise afin de la comparer à un référentiel[6].
Les entreprises font appel à un auditeur de sécurité pour diverses raisons :
- Réaction face à une attaque,
- Idée sur le niveau de sécurité du système informationnel,
- Test sur un nouvel équipement,
- Evaluation de l’évolution de la sécurité.
En ce qui concerne le référentiel en question, il varie en fonction de la situation de l’entreprise, ainsi que des objectifs de l’audit de sécurité. Il peut alors s’agir de la base documentaire du système informatique de l’entreprise, d’une règlementation propre à cette dernière, d’un texte législatif, ou encore de documents servant de référence en matière de sécurité informatique.
Il existe de nombreuses pratiques en termes d’audit de sécurité, et l’Ethical hacking en fait partie. Il convient toutefois de préciser que la réalisation de l’Ethical hacking n’est pas systématique lors d’un audit de sécurité. Elle doit de ce fait apparaitre dans la lettre de mission de l’auditeur pour que ce dernier puisse procéder à l’opération.
- Rôle de l’auditeur
Lors d’un audit de sécurité, l’auditeur est amené à détecter les défaillances d’un système informatique afin de proposer des recommandations par la suite. Pour ce faire, l’auditeur a pour rôles de :
- Répertorier les points forts et les points d’effort relevés sur le système de l’entreprise.
- Analyser les risques que présente le système informatique de l’entreprise.
- Dresser éventuellement une liste de recommandations permettant d’améliorer la sécurité du système de l’entreprise.
Pour un audit de sécurité incluant l’ethical hacking, l’auditeur ne se limite pas uniquement une observation à un moment bien défini, il va se mettre à la place du hacker afin de détecter et comprendre la manière d’agir de ce dernier pour pouvoir le contrer par la suite. Il doit de ce fait réaliser divers tests qui sont catégorisés en 3 catégories. Le premier concerne les tests boîte blanche. Durant ce test, l’auditeur a accès à toutes les informations liées au système informatique de l’entreprise à auditer. C’est à partir de ces éléments qu’il va effectuer la recherche de fragilité ou de faiblesse sur le système de la société.
Le second test concerne les tests boîte grise. Lors de ce test, les informations auxquelles l’auditeur a accès sont plus restreintes. Il doit alors réaliser les tests avec le minimum dont il dispose. De manière générale, il a droit à un compte utilisateur qui lui permet de se mettre à la place d’un employé de l’entité.
Le dernier test est celui des tests boîte noire. C’est le test qui met l’auditeur à l’épreuve compte tenu du fait qu’il doit se mettre à la place d’un individu externe à l’entreprise et dont la seule information dont il aura accès concerne le système d’information de l’entreprise. Il doit ainsi procéder à une identification de la cible pour pouvoir réussir à détecter les points faibles du système.
En fonction des besoins et attentes de l’entreprise, l’auditeur peut réaliser à la fois ces 3 tests ou se limiter à un test en particulier. Toutefois, l’idéal est d’effectuer toutes ces catégories de tests étant donné le fait que le hacker peut provenir à la fois de l’intérieur de l’entreprise, avec notamment un employé, et à l’extérieur de la société.
Figure 1 : Les différents tests de l’Ethical hacking (Source : Adapté à partir de l’ouvrage de Mé Ludovic et Alanou Véronique)
- Champ de la mission d’audit
La réalisation de l’audit de sécurité, de l’Ethical hacking dans notre cas, est assurée par un auditeur qui dispose des compétences techniques et professionnelles lui permettant d’exercer une telle activité. De ce fait, l’auditeur est alors chargé de manière temporaire de la vérification du niveau de sécurité du système d’information de l’entreprise.
- Champ d’application
Le champ d’application d’une mission d’audit varie en fonction de deux éléments qui sont l’objet et la fonction de l’audit même[7]. Dans le cadre de la mission d’Ethical hacking, l’auditeur et l’audité doivent se convenir sur ces 2 éléments.
- Objet de la mission d’audit
L’objet de la mission d’audit peut présenter un aspect général et spécifique. Le premier aspect concerne les missions qui ne présentent aucune limitation géographique, tandis que celle spécifique concerne un point précis et un élément bien défini. L’objet de la mission d’audit de sécurité se porte spécifiquement sur l’Ethical hacking, c’est-à-dire que l’auditeur se met dans la peau d’un hacker afin de pouvoir imaginer toutes les possibilités dont le hacker dispose afin de pirater le système d’une structure donnée. Il s’agit ainsi d’une mission spécifique puisque la mission générale concerne l’audit de sécurité qui renferme bien d’autres pratiques.
- Fonction de la mission
En matière de fonction, un audit peut être plurifonctionnel tout comme il peut s’avérer être unifonctionnel. La mission unifonctionnelle concerne l’audit d’une seule fonction alors que celle plurifonctionnelle s’intéresse à plusieurs fonctions au sein d’une entreprise. L’Ethical hacking se présente ainsi comme une mission plurifonctionnelle, car il se porte sur l’intégralité du système d’information de l’entreprise, et non seulement une partie.
- Durée de la mission
En règle générale, une mission d’audit ne dispose pas de durée déterminée. Tout est en fonction de l’étendue des travaux à réaliser, des objectifs, ainsi que des étapes à suivre. Cependant, il existe un standard qui peut servir de référentiel en cas de nécessité. Dans la définition de la durée de la mission, d’autres éléments entrent également en jeu, à savoir le nombre d’auditeurs mobilisés pour le bon déroulement de la mission, l’indicateur à utiliser pour délimiter la durée de la mission, la qualité de la mission, ainsi que la méthodologie appliquée lors de la mission.
- Phases de la mission
Comme dans toute mission, celle de l’Ethical hacking comprend également 3 phases. La première phase est celle dite de préparation. Elle se caractérise par l’ouverture de la mission d’audit. Cette phase nécessite pour l’auditeur une certaine capacité de compréhension et de connaissance, surtout en ce qui concerne le système d’information de la société à auditer. C’est ainsi une phase au cours de laquelle l’auditeur va effectuer tous les travaux préparatoires permettant la réalisation de l’audit.
La prochaine phase est celle dite de réalisation. C’est ainsi dans cette phase que l’auditeur devra passer à l’action en usant de toutes les techniques de hacking possible pour repérer les failles du système d’information de l’entreprise. Pour ce faire, il doit suivre une démarche bien précise que tout ethical hacker entreprend.
Figure 2 : Les phases à entreprendre dans l’Ethical hacking (Source : Oouvrage de Mohamed Lemine[8])
- La reconnaissance consiste à récolter des informations sur l’entreprise et son système d’information. Elle peut être effectuée de manière passive durant laquelle l’auditeur n’interagit pas directement avec la cible. Il obtient alors les données à partir de sources publiques. Cette collecte peut pareillement être d’origine active, et l’auditeur est en interaction avec sa cible.
- Le scan se présente comme étant une extension de la reconnaissance active. Il consiste en effet à se servir des outils disponibles pour détecter les moindres vulnérabilités.
- La prise d’accès est un moyen permettant d’accéder au système en exploitant les failles trouvées.
- Le maintien d’accès consiste en l’utilisation d’une application permettant de maintenir l’ouverture créée.
- Enfin, durant le covering tracks, l’auditeur supprime toutes ses traces et moindre preuve pouvant apporter des doutes sur la présence d’un hacker dans le système de l’entreprise.
La dernière phase de la mission d’audit est celle de la conclusion. Dans cette phase, l’auditeur doit faire preuve de capacité de synthèse et de rédaction. Il s’agit alors de présenter les résultats de l’audit aux représentants de l’entreprise auditée en question.
Conclusion
Pour conclure, l’Ethical hacking se présente comme une technique intéressante en matière d’audit de sécurité, compte tenu du fait qu’il permet de se mettre à la place du hacker et détecter ses intentions et ses techniques pour le contrer par la suite. Sa réalisation nécessite une certaine connaissance technique ainsi qu’une panoplie d’actions à suivre et à respecter.
Bien que l’audit de sécurité soit un vaste domaine, l’Ethical hacking ne doit pas être négligé et doit être mentionné dans la lettre de mission de l’auditeur pour qu’il puisse être réalisé. Dans toute la démarche, l’auditeur devra être capable de mettre en évidence les failles rencontrées à partir de la technique utilisée.
Chapitre 2. Les aspects juridiques de l’Ethical hacking
La réalisation de l’Ethical hacking conduit l’auditeur à effectuer du hacking proprement dit. De ce fait, une telle opération présente des aspects juridiques. En effet, la typologie de l’Ethical hacking tient compte de3 éléments, dont un ordre logique en interne et externe à l’entreprise, selon une technique bien précise qui est notamment la ruse, ainsi qu’en fonction des compétences de l’auditeur (tests boîte noire, boîte grise, ou boîte blanche).
Ce second chapitre de notre document est ainsi consacré à la présentation des aspects juridiques liés à la réalisation d’un Ethical Hacking. Ainsi, le contexte juridique de l’opération, son aspect sur le plan contractuel, ainsi que ses conséquences par rapport à la mission d’audit seront mis en évidence.
2.1. Contexte juridique
Le système de traitement automatisé des données englobe une notion assez large. Pourtant, le contexte juridique met en exergue le fait qu’il est règlementé sur le plan juridique. Suivant l’article 323-1 du code pénal : « Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 euros d’amende. ».
De ce fait, la réalisation d’un hacking est passible d’amende et de sanction. Comme l’auditeur procède également à un hacking lors de ses audits, il est amené à apporter les preuves nécessaires en ce qui concerne le consentement de l’entreprise avant de se lancer dans de telles aventures. En effet, si l’entreprise victime de l’incident confirme à travers des faits justificatifs l’existence d’infraction du système, l’acte est considéré comme une fraude. Néanmoins, il convient de préciser que si l’Ethical hacking est réalisé suivant le consentement de l’audité, il devient licite, à condition que l’auditeur conserve bien sa preuve.
Par ailleurs, pour pouvoir réaliser un audit de sécurité incluant l’Ethical hacking, l’auditeur est soumis à des critères de qualification, ainsi qu’à des exigences bien déterminées[9].
- Qualification requise pour un auditeur
Conformément au chapitre IV du décret n° 2010-112 du 2 février 2010, l’auditeur dispose de la possibilité de demander la qualification de prestataire d’audit pour tout ou une partie de l’activité. Pourtant, il n’a pas le droit de demander cette qualification dans le cas où il ne réaliser que de l’Ethical hacking ou d’activité d’audit organisationnel compte tenu du fait que ces genres d’activité sont insuffisantes si elles sont menées seules. De ce fait, l’Ethical hacking ne pourra pas être réalisé seul mais doit être inclus dans les missions spécifiques de l’audit de sécurité.
La qualification de l’auditeur dépend également de sa compétence dans la réalisation des prestations qualifiées. Il sera alors soumis à un processus d’évaluation basé sur l’activité qu’il exerce.
- Exigences relatives à l’auditeur
En matière d’exigences, l’auditeur doit répondre à celles liées aux aptitudes générales, à l’expérience, aux aptitudes et connaissances spécifiques concernant les activités d’audit, ainsi qu’aux engagements.
Pour les aptitudes générales, l’auditeur est conditionné par certaines qualités personnelles qui sont mentionnées dans la norme ISO 19011, au chapitre 7.2[10]. Il est aussi dans l’obligation de maitriser la règlementation spécifique à chaque type et catégorie d’audit. Il doit faire preuve d’une certaine capacité rédactionnelle, ainsi que de synthèse, tout en étant capable de s’exprimer à l’oral. Procéder à la mise à jour des compétences à travers la veille active est également indispensable.
Pour l’expérience, il convient que l’auditeur ait déjà suivi une formation ayant un rapport avec son activité, notamment en ce qui concerne la technologie des systèmes d’information et de communication, mais également d’audit. Il devra alors faire preuve de :
- Justification d’au moins 2 années d’expérience dans le domaine des systèmes d’information et de communication.
- Justification d’au moins une année d’expérience en sécurité des systèmes d’information.
- Justification d’une année d’expérience en audit des systèmes d’information.
Le fait de remplir ces exigences permet en effet à l’auditeur une certaine aisance dans la réalisation de ses activités, et par conséquent, de meilleurs résultats.
Les aptitudes et connaissances spécifiques aux activités d’audit concernent la maitrise de la bonne pratique ainsi que de la méthodologie d’audit, la compétence dans cet exercice, et la responsabilité en matière de gestion d’équipe dans le cas où il s’agit du responsable d’audit.
Les diverses exigences liées aux engagements nécessitent les faits que l’auditeur doit disposer d’un contrat avec le prestataire d’audit, doit avoir pris connaissance de la charte d’éthique et l’avoir signé, et doit s’engager à subir une évaluation personnelle de compétences.
2.2. Aspect contractuel
Comme dans tout type de mission d’audit, l’Ethical hacking nécessite l’établissement et la signature d’un contrat. Ce dernier est conclu entre l’auditeur et l’audité, et se présente sous la forme d’une convention d’audit[11], dont le contenu minimum exigé est au nombre de 11, comme le présente le tableau ci-dessous.
Tableau 1 : Contenu minimum de la convention d’audit (Source : Adapté à partir de l’ouvrage d’Hervé Shauer)
Eléments | Détails |
Commanditaire du test, audité et auditeur | Demande de prestation d’audit de sécurité envoyée par l’audité pour l’auditeur |
Autorisation de l’audité | Autorisation d’exploiter le système d’information de l’entreprise et de réaliser de l’Ethical hacking |
Périmètres et modalités de l’Ethical hacking | Dates, horaires, IP, URL… |
Obligation de moyens | Obligation en vertu de laquelle l’auditeur déploie ses meilleurs efforts pour atteindre l’objectif visé |
Limites du test | Périmètres du test |
Information sur les risques spécifiques au test | Les éventuels risques liés à la réalisation du test |
Clause d’éthique de l’auditeur | Mentionnant que les prestations d’audit sont réalisées avec loyauté, discrétion, impartialité, et indépendance ; le recours uniquement aux méthodes, outils et techniques validés, la non-divulgation à un tiers des informations obtenues, le signalement au commanditaire de l’audit de tout contenu illicite, et le respect de la loi et règlementation en vigueur |
Clause de confidentialité imposée à l’auditeur et ses employés | Dans le cas où plusieurs auditeurs sont mobilisés |
Clause interdisant à l’auditeur de faire intervenir des personnes ayant été condamnée pour fraude informatique | Ces personnes n’ont plus le droit de participer à un audit informatique |
Clause relative à la propriété intellectuelle | Afin de conserver le droit d’auteur |
Livrables et présentation des résultats | Ce qui est attendu lors de la présentation des résultats |
- Obligations de l’auditeur et de l’audité
Lors d’un Ethical hacking, l’auditeur doit obligatoirement utilisé l’un des tests liés à la boîte noire, la boîte grise, et la boîte blanche. Dans le cas où l’audité souhaite que ces tests soient tous effectués, l’ordre de réalisation doit respecter le suivant :
- Tests boîte noire,
- Tests boîte grise,
- Tests boîte blanche.
Avant de mettre en œuvre un Ethical hacking, l’auditeur et l’audité doivent procéder à la définition du profil d’attaquant qui sera simulé. Le contact doit être régulier entre les deux parties afin de remonter rapidement les anomalies ou dysfonctionnement constatés lors de l’audit. L’auditeur ne devrait pas exploiter une vulnérabilité susceptible de nuire à l’audité durant l’Ethical hacking. Il doit alors justifier les raisons de cette non-exploitation dans le rapport d’audit. Il convient également de remonter les vulnérabilités non publiques qui ont été découvertes au CERT[12].
Le commanditaire de l’audit doit veiller à mettre à la disposition de l’auditeur et de son équipe les moyens nécessaires à la réalisation de leurs activités, en d’autres termes, il doit leur fournir un environnement de travail correspondant à leur mission.
2.3. Conséquences pour la mission d’audit
Les conditions et exigences liées au contexte de l’audit de sécurité et d’Ethical hacking présente des conséquences sur la réalisation de la mission d’audit. Il est de ce fait devenu important, voire primordial pour chaque partie de respecter les exigences et règlementations liées à l’activité. La réalisation de l’Ethical hacking fait alors l’objet d’une précision dans la lettre de mission de l’auditeur, mais ne doit en aucun cas être l’objet même de la mission.
L’auditeur est également soumis à une charte dite d’Ethical hacking qui va conditionner et délimiter les périmètres de sa mission d’audit, et ce, sur 4 points bien précis.
2.3.1. Réaliser la mission dans les limites légales
L’auditeur se trouve dans l’obligation de respecter les lois locales, régionales, nationales, voire internationales qui sont en vigueur afin d’exercer correctement leur métier. Par conséquent, il ne doit pas se livrer à des activités illicites ou illégales. En cas de prise de connaissance d’un acte allant à l’encontre du règlement ou de la législation, il se doit de signaler les autorités compétentes. Enfin, l’auditeur se doit de respecter le contrat ou la convention qu’il a conclue avec le commanditaire de l’audit.
2.3.2. Se limiter à la loyauté et à la probité
L’auditeur doit à tout moment veiller à ce qu’il agisse dans la totale honnêteté, intégrité, et responsabilité. De ce fait, il n’a aucun intérêt à prendre part à des activités malhonnêtes ou frauduleuses, encore moins à des activités pouvant défavoriser l’entreprise auditée. L’auditeur doit veiller à éviter autant que possible les conflits d’intérêts, et exercer ses fonctions en respectant l’éthique.
La réalisation de l’Ethical hacking ne doit en aucun cas nuire à la société cliente. L’auditeur ne doit pas effectuer d’activités malveillantes allant à l’encontre de l’entreprise auditée, au contraire, il doit faire en sorte d’assurer au maximum possible la protection de son système d’information.
2.3.3. Montrer du professionnalisme
L’auditeur doit faire preuve d’un certain professionnalisme lors de la réalisation de sa mission. Il doit véhiculer une image de sérénité et de loyauté dans l’exercice de son travail. Pour y arriver, l’auditeur doit uniquement se limiter aux services auxquels il est compétent dans le cadre de sa mission.
2.3.4. Respecter la confidentialité
L’auditeur doit toujours conserver l’aspect confidentiel des informations lors de sa mission. Il ne peut ainsi divulguer aucune information concernant à l’entreprise à des tierces personnes, sauf en cas de contraintes juridiques. D’autant plus qu’il ne peut se servir de ces informations à des fins personnelles ou pour en faire mauvais usage.
Conclusion
Ainsi, la réalisation de l’Ethical hacking est réglementée sur le plan juridique. L’accent est placé sur deux points importants. Le premier concerne le fait que le piratage éthique ne peut faire à lui seul l’objet d’un audit à proprement parler. D’où la nécessité de l’intégrer dans la lettre de mission de l’auditeur dans le cadre d’un audit de sécurité.
Le second point s’intéresse sur la qualité de l’audit de piratage éthique lui-même. En effet, il donne une certaine liberté à l’auditeur en le permettant de se mettre à la place des hackers, mais il conditionne également celui-ci compte tenu du fait que sa réalisation doit toujours être réalisée suivant le respect des principes d’audit et de la charte éthique de l’auditeur.
Chapitre 3. Les avantages et les inconvénients de l’Ethical hacking
Le contexte actuel met en évidence le fait que les entreprises ne sont pas à l’abri du danger en ce qui concerne le piratage et la sécurité de leur système informatique. Pour illustration, en l’espace de 10 ans, le nombre de virus est multiplié par environ 700, allant de 5000 virus par mois à 120 000 virus par jour[13]. De plus, l’échec se fait encore sentir en matière d’audit de sécurité. En effet, 23% des entreprises ayant réalisé une telle opération ont échoué à un audit de sécurité alors que plus de la moitié d’entre elles sont moins enthousiastes en ce qui concerne l’Ethical hacking[14].
Afin de mieux comprendre l’intérêt de l’ethical hacking, il convient de réaliser une étude sur les avantages et les inconvénients qu’il présente, tant pour l’entreprise auditée que pour l’auditeur, sujet de ce dernier chapitre.
3.1. Pour l’auditeur
L’auditeur réalise l’Ethical hacking à la demande et avec le consentement de l’entreprise cliente dans le but de simuler l’intrusion et de mesurer le niveau de sécurité du système d’information de l’entreprise. C’est également une occasion pour l’auditeur de se mettre dans la peau d’un hacker et de découvrir par lui-même les techniques d’intrusion possibles pour pirater un système informatique. Une telle opportunité peut être intéressante, mais présente également des inconvénients pour l’ethical hacker.
3.1.1. Avantages de l’Ethical hacking
Les hackers représentent aujourd’hui une menace persistante. Ils sont en mesure d’utiliser des techniques et des outils de pointe et avancés pour cibler des systèmes d’information spécifiques. Ils ont également la particularité de disposer des ressources suffisantes pour continuer à attaquer un système jusqu’à ce qu’ils arrivent à y accéder. D’autant plus qu’ils peuvent également passer inaperçus durant la période d’intrusion et quelques temps après. Il a également été constaté que dans la plupart des cas, les hackers n’ont pas réellement besoin de réaliser des attaques très avancées pour pénétrer un système. Les défaillances au niveau de la configuration ou les failles humaines leur facilitent l’accès.
La majorité des entreprises disposent actuellement des technologies de sécurité puissantes telles que les pare-feu, les systèmes de prévention d’intrusion ou SPI, ou encore les logiciels anti-malware. Ces outils apportent effectivement une valeur importante en procédant au blocage de nombreuses menaces auxquelles toutes les entreprises font aujourd’hui face. Cependant, ces techniques ne permettent pas la réalisation d’analyse et ne comportent pas de logique humaine, ce qui réduit leur efficacité. Les seules améliorations apportées sur ces outils sont le réajustement après test.
Dès lors, il est devenu prioritaire d’évaluer la réalité de manière complète en ce qui concerne le niveau de la sécurité du système d’une organisation. L’évaluation se présente alors comme la première étape permettant l’adoption d’une politique de sécurité efficace, d’où l’importance de l’Ethical hacking.
Le premier avantage de l’ethical hacking repose sur le fait qu’il garantit une sécurité maximale pour un réseau complexe au sein d’une entreprise. L’auditeur est en effet confronté à la complexité des exigences de sécurité de l’entreprise compte tenu du fait que les techniques de piratage ne cessent de changer. L’inventaire s’avère alors long et complexe. De plus, les risques d’oubli et de gestion sont encore plus élevés. Ainsi, l’auditeur, à travers l’Ethical hacking peut réaliser une évaluation pour détecter les vulnérabilités de ce système complexe.
Une telle opération permet aussi à l’auditeur de développer ses compétences et de maintenir à jour un répertoire technique de piratage obtenue à partir d’évaluations précises. Il pourra par la suite proposer une recommandation en adéquation avec les vulnérabilités qu’il a constatées. Ainsi, l’avantage repose principalement sur l’amélioration personnelle de l’auditeur, car en réalisant l’Ethical hacking, il fait également évoluer ses compétences en la matière ; ainsi que sur le gain de temps et d’efficacité qu’apporte la technique. L’auditeur ne se base plus sur des théories et des suppositions, mais sur des cas pratiques et réels. D’autant plus que la situation n’est pas la même d’une entreprise à l’autre, et seule la pratique et l’évaluation permettra de distinguer la différence.
3.1.2. Les inconvénients de l’Ethical hacking
Bien que l’Ethical hacking présente bien des avantages pour l’auditeur en termes de techniques, de compétences, et d’efficacité, il s’avère qu’il présente également des limites pour l’Ethical hacker. En effet, l’auditeur a la possibilité de procéder de la même manière qu’un véritable hacker mais il est limité par certaines contraintes.
L’auditeur est conditionné par son scope et ne peut de ce fait pas aller au-delà de cette limite. Ce qui fait qu’il existe encore certains aspects du hacking qu’il ne pourra pas maitriser ni comprendre. L’auditeur, en principe, s’arrête au moment où il arrive à détecter une vulnérabilité, mais ne peut pas l’exploiter pour comprendre les réelles motivations des hackers et découvrir ce qui se passe par la suite.
Ainsi, l’auditeur ne bénéficie que d’une liberté partielle dans la réalisation de l’Ethical hacking car il ne peut aller au-delà des principes et de l’éthique d’audit. Ce qui signifie que les véritables hackers auront toujours un avantage sur les auditeurs, et la notion de « devancer » ne peut entièrement tenir la route.
3.2. Pour l’audité
Les entreprises sont très vulnérables en matière de piratage de données, et particulièrement lorsqu’elles ne disposent pas de politique de sécurité spécifique et adaptée à leur système d’information. C’est la raison pour laquelle recourir aux services d’un ethical hacker peut s’avérer bénéfique pour elles. Pourtant, certaines ne sont pas encore convaincues de cette affirmation et voient encore des inconvénients par rapport à cette pratique.
3.2.1. Les avantages de l’Ethical hacking
Les avantages pour l’audité revient en partie à ceux de l’auditeur, car l’Ethical hacking permet d’évaluer efficacement le système de l’entreprise, de détecter des vulnérabilités et de définir suite aux recommandations de l’auditeur une politique de sécurité correspondant à son système.
Le fait de recourir à un ethical hacker externe permet également une réduction au niveau des coûts, compte tenu du fait que les charges de l’entreprise sont uniquement limitées aux coûts de prestation de l’auditeur. Alors que si l’entreprise investissait sur ses propres ressources pour réaliser l’Ethical hacking, elle a encore besoin d’investir sur le plan financier, en matière de temps, et d’énergie. En effet, le niveau d’expertise d’un ethical hacker est assez élevé, comparé à un simple auditeur interne d’une organisation donnée. Les inconvénients sont nombreux :
- Mobilisation de ressources pour les formations
- La montée en compétence des auditeurs internes dépendent de la qualité de leur formation, de leur familiarisation avec la pratique, de la qualité et du nombre de séminaires qu’ils assistent
- Le budget à allouer risque d’être colossal
- Le temps peut représenter une contrainte.
De plus, il s’avère difficile pour une organisation d’évaluer de manière objective le niveau de sécurité de son système d’information, compte tenu du fait qu’elle dispose déjà d’une certaine connaissance des failles déjà existantes et qu’elle a déjà détecté. De ce fait, elle pourrait être amenée à se limiter sur ces défaillances dans son audit. L’auditeur externe apporte un nouveau regard sur le système de l’entreprise, en plus de l’apport de la technique d’Ethical hacking proprement dite.
Il est également constaté qu’un pirate n’a pas en ses possessions un système différent de ce qu’il dispose déjà. Il est de ce fait obligé de rechercher les faiblesses d’un système, ses points d’entrées et ses vulnérabilités afin d’y accéder. C’est également ce que réalise l’ethical hacker. De ce fait, ce dernier se présente comme le mieux placé pour détecter les ruses utilisées par les hackers.
3.2.2. Les inconvénients de l’Ethical hacking
De manière générale, une entreprise ne dispose pas toujours d’ethical hackers en interne. De ce fait, elle recourt à un prestataire d’audit pour réaliser l’Ethical hacking de son système e d’information. Cette situation se présente comme le principal inconvénient lié à la pratique pour l’entreprise.
En effet, le fait de recourir aux services d’une personne extérieure ternit l’image d’une entreprise envers deux partenaires :
- La clientèle et les fournisseurs de l’entreprise : ils constateront que la société ne se trouve pas en mesure de se protéger toute seule, alors qu’elle dispose d’auditeurs et d’experts en matière d’informatique et de système d’information en son sein. Ainsi, l’entreprise est décrédibilisée vis-à-vis de ses partenaires.
- Les employés de l’entreprise : ces derniers, constatant que leur société a préféré recourir à une tierce personne au lieu de leur accorder sa confiance, vont se sentir écartés et désintéressés. Il y a alors de fortes chances que ces membres du personnel se sentent déçus, et principalement les spécialistes en informatique et technique au sein de l’entreprise. La conséquence peut varier à différents niveaux, allant de la démotivation jusqu’à la non-collaboration en cas de nécessité de leur intervention.
Tableau 2 : Récapitulatif des avantages et inconvénients de l’Ethical hacking en entreprise (Source : Adapté à partir de l’ouvrage de Frost et Sullivan[15])
Avantages | Inconvénients | |
Auditeur | Facilité du processus d’évaluation du système
Efficacité de la pratique Gain de temps considérable Validation des faits à travers la pratique Rapidité dans la proposition de recommandations |
Limité au scope de l’auditeur
Existence de retard par rapport à l’hacker à cause des contraintes et des limites |
Audité | Avantage au niveau du temps, des coûts, et des résultats
Possibilité de définition de politiques de sécurité adaptées au système d’information |
Impact sur l’image de l’entreprise vis-à-vis des partenaires (clients et fournisseurs)
Démotivation des employés |
Conclusion
Alors, nous avons pu constater que l’Ethical hacking, comme toute technique d’audit, présente ses avantages ainsi que ses limites. Cette situation se fait sentir tant au niveau de l’auditeur qu’à celui de l’audité. Si les avantages reposent tous sur le fait que la pratique assure une fiabilité au niveau des résultats du test et la possibilité d’amélioration du système de l’entreprise, les inconvénients sont également impactant.
Pour l’auditeur, il se voit limité par sa propre activité, et ne pourra davantage développer ses compétences. L’entreprise, quant à elle, risque de perdre des points en termes d’image compte tenu des points de vue de ses partenaires et collaborateurs.
Conclusion
En guise de conclusion générale, il s’avère que l’Ethical hacking se présente comme une technique permettant à une entreprise de détecter avant les hackers les vulnérabilités de son système d’information. La technique se réalise à travers la simulation de l’auditeur en tant que hacker pour chercher un moyen de s’introduire dans le système de l’entreprise même, avec son autorisation pour relever les failles et proposer par la suite des recommandations afin de limiter les fragilités.
Cette technique ne peut toutefois être réalisée sans la volonté de l’entreprise elle-même, car c’est elle qui va recourir aux services du prestataire d’audit pour lui accorder l’autorisation de réaliser un Ethical hacking. Ladite pratique peut être réalisée suivant 3 types de tests. Les tests boîte noire consistent pour l’auditeur de réaliser l’Ethical hacking en condition du réel au cours duquel il n’a accès à aucune information liée à l’entreprise et ses accès. Les seconds tests sont ceux dits boîte grise, où l’auditeur a droit à un compte utilisateur pour pouvoir mettre en œuvre la technique. Les derniers concernent les tests boîte blanche et l’auditeur accède à toutes les informations sur l’entreprise, son réseau et son système d’information.
Du point de vue juridique, la réalisation de l’Ethical hacking est conditionnée et limitée par des chartes et des exigences, tant au niveau de la technique qu’au niveau des critères de qualification de l’auditeur. C’est également de là que se font sentir les inconvénients de cette pratique pour l’auditeur, car si le hacker est libre dans toutes ses actions, l’ethical hacker est limité par « l’éthique », par son scope. De ce fait, il ne dispose pas de liberté complète pour exploiter de manière optimale la technique sans aller à l’encontre des intérêts de l’entreprise cliente.
Pour l’entreprise, l’inconvénient se présente également comme un frein, car elles hésitent de recourir à l’Ethical hacking de peur de voir son image se dégrader ou de perdre ses meilleurs éléments. Cependant, dans tous les cas, cette technique garantit de meilleurs résultats en matière d’audit de sécurité. Ce qui pourrait augmenter l’efficacité des systèmes de sécurité mis en place par la suite.
Bibliographie
ACISSI, AGE Marion, BAUDRU Sébastien, CROCFER Robert, EBEL Franck, HENNECART Jérôme, LASSON Sébastien, et PUCHE David, Sérurité informatique – Ethical Hacking : Apprendre l’attaque pour mieux se défendre, ENI Editions, p.5-7
DIDI OULD Mohamed Lemine, Les attaques et les crimes cybernétiques, 2008, p.19
Evelyne Pintado, « Se former au véritable ethical hacking », Dossier Ethical hacking en collaboration avec Navixia, ICT Journal, Juin 2009, p.28
Fabien Humbert, « Piratage informatique, les tendances 2014 », Le Nouvel Economiste, 02 février 2014
FROST & SULLIVAN, The importance of Ethical hacking : Emerging threats emphasise the need for holistics assessments », White paper
GUVENEN Orhan, La sécurité par ma gestion de réseaux, Dunod, 2014, p.265-281
JON Erickson, Techniques de hacking, Pearson Education, 2008, p. 216-255
« Les chiffres et les statistiques du numérique : Usages, risques, cybercriminalité (Dernières infos rajoutées le 17/07/2015), Le Net Expert, 17 juillet 2015
ME Ludovic et ALANOU Véronique, Détection d’intrusion dans un système informatique : Méthodes et outils, SUPELEC, p. 3
Prestataires d’audit de la sécurité des systèmes d’information : Référentiel d’exigences, Version 1.0 du 31 octobre 2011
RENARD Jacques, Théorie et pratique de l’audit interne, Cinquième édition, Editions d’Organisation, 2004, p.200
SCHAUER Hervé, Aspects juridiques des tests d’intrusion, HSC, 2012, p.7
SUCH Paul, « Insomni’hack 2011 : concours de hacking éthique », Flash Informatique, 29/03/2011, p.8
[1] SUCH Paul, « Insomni’hack 2011 : concours de hacking éthique », Flash Informatique, 29/03/2011, p.8
[2] GUVENEN Orhan, La sécurité par ma gestion de réseaux, Dunod, 2014, p.265-281
[3] Evelyne Pintado, « Se former au véritable ethical hacking », Dossier Ethical hacking en collaboration avec Navixia, ICT Journal, Juin 2009, p.28
[4] ACISSI, AGE Marion, BAUDRU Sébastien, CROCFER Robert, EBEL Franck, HENNECART Jérôme, LASSON Sébastien, et PUCHE David, Sérurité informatique – Ethical Hacking : Apprendre l’attaque pour mieux se défendre, ENI Editions, p.5-7
[5] JON Erickson, Techniques de hacking, Pearson Education, 2008, p. 216-255.
[6] ME Ludovic et ALANOU Véronique, Détection d’intrusion dans un système informatique : Méthodes et outils, SUPELEC, p. 3
[7] RENARD Jacques, Théorie et pratique de l’audit interne, Cinquième édition, Editions d’Organisation, 2004, p.200
[8] DIDI OULD Mohamed Lemine, Les attaques et les crimes cybernétiques, 2008, p.19
[9] Prestataires d’audit de la sécurité des systèmes d’information : Référentiel d’exigences, Version 1.0 du 31 octobre 2011
[10] http://www.bivi.qualite.afnor.org/layout/set/print/ofm/audit-et-auto-evaluation/iv/iv-10/iv-10-11
[11] SCHAUER Hervé, Aspects juridiques des tests d’intrusion, HSC, 2012, p.7
[12] http://www.cert.ssi.gouv.fr , Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques
[13] Fabien Humbert, « Piratage informatique, les tendances 2014 », Le Nouvel Economiste, 02 février 2014
[14] « Les chiffres et les statistiques du numérique : Usages, risques, cybercriminalité (Dernières infos rajoutées le 17/07/2015), Le Net Expert, 17 juillet 2015
[15] FROST & SULLIVAN, The importance of Ethical hacking : Emerging threats emphasise the need for holistics assessments », White paper
Nombre de pages du document intégral:29
€24.90