Lundi de la Cybersécurité de juin : Hackers éthiques et cybersécurité

Explorez comment les hackers éthiques participent activement à la sécurité numérique en détectant et en corrigeant les vulnérabilités des systèmes informatiques. Souvent confondus avec les hackers malveillants, les hackers « chapeaux blancs » travaillent légalement, sous contrat, pour aider les entreprises à protéger leurs données et infrastructures contre les cyberattaques. Leur expertise est précieuse, car un regard extérieur permet souvent de déceler des failles invisibles pour les développeurs eux-mêmes. Ce rôle s’inscrit aussi dans un cadre juridique et déontologique strict, garantissant que leurs actions respectent la loi et la confidentialité. Des initiatives comme le Bug Bounty encouragent cette collaboration en récompensant les chasseurs de failles, contribuant ainsi à renforcer la cybersécurité des organisations face à des risques grandissants.

Le prochain « Lundi de la Cybersécurité », le 16 juin, leur donnera la parole pour explorer les enjeux techniques, juridiques et déontologiques de cette pratique.

Nos Lundi de la Cybersécurité sont gratuits et traitent de sujets d’actualité en cybersécurité. Pour vous inscrire, envoyez un email à [email protected]. Quelques jours avant l’événement, vous recevrez le lien vers la visioconférence.

Les informations des inscrits seront partagées avec les organisateurs et les intervenants.

La salle d’attente Zoom ouvrira à 17 h 00.

Voilà une question de sémantique : Dans l’esprit de beaucoup d’internautes, un hacker est un méchant pirate qui attaque les Systèmes d’Information qu’il trouve sur Internet pour en retirer de l’argent ou porter atteinte à l’image d’individus ou d’organisations. On le représente cagoulé, penché méchamment sur son clavier, en train de ricaner en pensant à son mauvais coup imminent.

Mais un tel individu n’est pas un hacker, c’est un cracker. Un hacker est un passionné de codage dans divers langages informatiques. Il essaie de comprendre à quoi sert tel programme. Son but n’est pas de nuire, comme le cracker, mais d’aider au combat contre la cybercriminalité. C’est un « chapeau blanc », voir l’image du visuel en bas à gauche (en effet, la Bretagne est un territoire en pointe dans la cybersécurité). Les crackers sont des « chapeaux noirs ». Pour lever l’ambiguïté, quand le but d’un hacker est très avouable, on ajoute à hacker le qualificatif « éthique ». Et voilà notre hacker réhabilité dans son rôle de défenseur.

Et dans quel but un hacker analyse t’il le code d’une application ? Souvent il fait ça sous contrat avec un organisme qui propose son travail de recherche de failles à une entreprise qui développe des applications. En effet, un œil extérieur est souvent plus performant pour détecter des failles involontaires laissées par les développeurs dans une application que ceux qui la développent. C’est le domaine des chasseurs de faille, le Bug Bounty.

Le travail d’un hacker, ajoutons-lui le mot éthique, est-il bien légal ? Si on constate que la porte d’une maison est ouverte, at-on le droit d’y entrer pour voir ce qu’elle contient ? Je pense que non, à moins d’y être invité. Mais si les volets des fenêtres sont ouverts, en passant dans la rue devant cette maison, at-on le droit de jeter un coup d’œil à l’intérieur ? Sans doute un coup d’œil furtif et curieux, oui, mais pas de rester regarder avec insistance. Il y a là des problèmes juridiques et le droit sera abordé dans notre « Lundi de la Cybersécurité » par Myriam QUEMENER. Il y a aussi des problèmes techniques et contractuels, et cet aspect sera abordé par Yassir KAZAR.

Un chasseur de faille est-il une canaille ? Non s’il fait le travail pour renseigner les développeurs sur les failles qui résident dans les applications qu’ils développent. Le travail du chasseur de faille doit se faire donc sous contrat et être bien évidemment soumis à une discrétion totale. C’est un des points qui seront abordés dans notre évènement du lundi 16 juin.

Hackers éthiques, chercheurs de failles dans les aspects techniques et juridiques, seront les thèmes du Lundi de la Cybersécurité du mois de juin. Les hackers éthiques ont désormais une place de choix à prendre en matière de cybersécurité sous certaines conditions juridiques et déontologiques qui vous seront présentées.

Voici quelques-unes des questions et bien d’autres concernés nous allons essayer de répondre sans engouement excessif ni dénigrement gratuit de cette activité naissante, afin de donner à tout à l’auditoire les clés nécessaires pour bien appréhender le Bug Bounty. »

Je reprends la plume

Myriam QUEMENER a précédemment occupé des fonctions de direction tant à la Chancellerie qu’en juridiction et a été administratrice générale au ministère de l’Intérieur dans un service consacré à la lutte contre la cybercriminalité. Elle a été avocate générale près de la Cour d’appel de Paris (délinquance financière, cyber et organisée) et en 2024 directrice de programme et DPO à l’Agence du Numérique en Santé (ANS) ».

Yassir KAZAR est un entrepreneur en série, PDG de la plateforme française de Bug Bounty YOGOSHA.

Il est enseignant en sécurité offensive et membre de l’ARCSI.

Suivant la tradition de nos « Lundi de la cybersécurité », entre l’exposé de l’intervenant et la séance questions/réponses, autour de 19 h 15, nous donnons pour une quinzaine de minutes la parole à une organisation ou à une personne qui opère dans l’écosystème du numérique et dans la sécurité de l’information.

Cette séquence du « Lundi de la Cybersécurité » de juin sera animée par Jérôme NOTIN.

Vous trouverez, sur le web de l’ARCSI en https://www.arcsi.fr/evt_passes.php tous les détails, slides, parfois aussi les enregistrements et des comptes rendus, écrits par Clarisse Véron, élève du master2 « Cybersécurité et e-Santé » de l’université Paris Cité.

Mais attention, il n’est pas garanti qu’il y aura ces documents pour chacun de nos futurs lundis. Il est donc conseillé d’être connecté pour les suivre par Zoom.

Allons-nous obtenir une « hallucination » ou une réponse qui décrit une situation bien réelle ?

Prompt posé à Gemini (l’IA Générative de Google) :

Les éthiques des hackers sont-elles compatibles avec les règles de la cybersécurité ?

Absolument ! Les éthiques des hackers ne sont pas seulement compatibles avec les règles de la cybersécurité, mais elles en sont un pilier essentiel. Loin d’être des acteurs malveillants, ils utilisent leurs compétences techniques pour identifier et corriger les vulnérabilités des systèmes informatiques, des réseaux et des applications, précisément dans le mais de renforcer la sécurité.
Voici quelques points qui illustrent cette compatibilité :

• Objectif commun : la sécurité. L’objectif principal des hackers éthiques est d’améliorer la sécurité en découvrant les failles avant que les acteurs malintentionnés ne puissent les exploiter. C’est exactement l’objectif de la cybersécurité.
• Respect des cadres légaux et éthiques. Contrairement aux cybercriminels, les hackers éthiques opèrent dans un cadre légal et éthique strict. Ils obtiennent toujours une autorisation avant de réaliser des tests d’intrusion et suivent des règles de conduite claires pour s’assurer de ne pas causer de dommages.
• Identification proactive des vulnérabilités. Les hackers éthiques simulent des attaques pour identifier les points faibles des systèmes. Cette approche proactive permet aux organisations de prendre des mesures correctives avant qu’une attaque véritable ne se produise, ce qui est un aspect fondamental de la cybersécurité préventive.
• La contribution à l’amélioration continue. Les rapports des hackers éthiques fournissent des informations précieuses sur les vulnérabilités et les recommandations pour les corriger. Ces informations sont cruciales pour améliorer en continu les mesures de sécurité et adapter les stratégies de cybersécurité aux menaces émergentes.
• Complémentarité avec les mesures de sécurité traditionnelles. Le travail des hackers éthiques complète les mesures de sécurité traditionnelles telles que les pare-feux, les antivirus et les systèmes de détection d’intrusion. Ils apportent une perspective « offensive » qui permet de tester l’efficacité des défenses existantes sous un angle différent.

En résumé, les hackers éthiques sont des alliés précieux dans le domaine de la cybersécurité. Leur expertise et leur approche proactive sont indispensables pour identifier les failles de sécurité et renforcer la résilience des systèmes face aux menaces cybernétiques. Ils agissent dans le respect des règles et contribuent activement à un environnement numérique plus sûr.

Gérard Péliks

Copyright © 2025 Les « Lundi de la cybersécurité », All rights reserved.