<< Il est essentiel que tout le monde apprenne à apprécier le travail des cyberexperts >>

03 octobre 2023 - 8 min

Inti De Ceukelaire saisit toutes les occasions de mettre en lumière le travail méconnu des cyberexperts et des hackers éthiques. Pour cela, il n’hésite pas à pirater Facebook, Donald Trump ou même le Vatican. Membre du jury du concours du ‘Meilleur Cyberexpert’, le hacker éthique le plus célèbre de Belgique espère que le/la gagnant(e) va tricher. 

Tricher, Inti. Vraiment ?

Inti : (rire) “C’est juste une idée comme ça. Je l’ai fait à un quiz du journal De Standaard, ‘Het Grootste Licht’. Mais j’avais commis une erreur cruciale. Je m’étais attribué un score mathématiquement impossible.

 

Après coup, il est important d’avouer que vous avez triché et d’expliquer comment. En tant que hacker éthique, vous devez partir du principe que tout est possible, à condition de faire preuve d’honnêteté par la suite.”

Pourquoi avez-vous rejoint le jury du Meilleur Cyberexpert ?

Inti : “Les cyberexperts travaillent souvent dans l’ombre. De plus, on prend rarement le temps d’apprécier leur travail. Lorsqu’une entreprise est piratée, les regards se braquent directement sur eux, et on les soupçonne de ne pas avoir fait leur job correctement.

 

Et quand tout va bien, les regards sont aussi braqués sur eux mais parce qu’on remet leur utilité en question. Je pense qu’il est essentiel pour tout le monde d’apprendre à apprécier le travail des cybersexperts, sous quelque forme que ce soit.”

Qu’est-ce qui a changé ces dix dernières années ?

Inti : “Quand je cherchais les failles de sécurité lorsque j’étais adolescent, c’était illégal. La plupart des entreprises acceptaient d’en rester là lorsque je leur pointais les situations dangereuses auxquelles elles s’exposaient. En 2014, une entreprise a décidé de maintenir sa plainte. Ça m’a valu une condamnation avec sursis dans mon casier judiciaire. Je l’ai encadrée. Elle trône à côté d'une lettre que m’a adressée Miguel De Bruycker, directeur du Centre pour la Cybersécurité, pour avoir identifié une faille dans les systèmes du gouvernement fédéral l'année dernière.

 

Ces deux documents illustrent l’évolution qui s’est jouée. Notre pays a actuellement l'une des législations les plus progressistes en matière de piratage éthique.”

Pouvez-vous nous repréciser ce qu’est le piratage éthique ?

Inti : “Quand on dit pirater ou ‘hacker’, la plupart des gens ont cette image très hollywoodienne de criminels s’introduisant dans les systèmes informatiques avec des logiciels malveillants dans le but de nuire à des individus, des entreprises ou des institutions publiques.

 

Un hacker éthique pense comme un criminel, mais s’arrête à la première étape. Il ou elle cherche les failles au niveau de la sécurité ou les faiblesses du système, que des personnes malintentionnées pourraient exploiter. Mais son but est de permettre d’y remédier à temps.”

Quel est l’avantage pour les entreprises de travailler avec un hacker éthique ?

Inti : “Même si votre organisation accorde une grande importance à la cybersécurité, il y a des failles dans vos applications ou votre infrastructure IT, c’est inévitable. Cela s’explique de différentes façons. L'implémentation des innovations numériques doit être tellement rapide qu’il est impossible pour les informaticiens de tout vérifier.

 

En outre, investir dans des outils de sécurité coûteux ne garantit pas que vous allez stopper les hackers. Un hacker éthique aide à examiner votre infrastructure informatique avec un esprit ouvert. Chaque faille détectée dans les logiciels d'une entreprise est une victoire. Les entreprises sont de plus en plus nombreuses à s’en rendre compte. Quant aux autres, elles finiront par faire la une parce qu’elles auront été piratées.”

Notre pays a actuellement l'une des législations les plus progressistes en matière de piratage éthique

Inti De Ceukelaire

Chief Hacker Officer chez Intigriti

Vous êtes Chief Hacker Officer. Pouvez-vous nous en dire plus ?

Inti : “Intigriti est une plateforme qui met en contact les hackers éthiques et les entreprises. En quelques années, nous avons bâti une communauté d’environ 75.000 hackers éthiques à travers le monde. À la demande des entreprises ou des organes gouvernementaux, ceux-ci recherchent les failles et les vulnérabilités. Notre système de rémunération est unique. Plus l'impact potentiel de la faille de sécurité repérée est important, plus le montant que vous touchez en tant que hacker est élevé. On parle de bonus allant de cinq cents à cent mille euros.

 

Quarante pour cent de nos membres sont des étudiants, pour qui ce type de missions représente un revenu supplémentaire appréciable. C’est aussi une excellente façon pour les universitaires actifs dans le domaine de mettre leurs recherches en pratique.”

Quelles tendances observez-vous actuellement ?

Inti : “Pour moi, il y en a deux qui se détachent : l’automatisation et le ciblage. L’automatisation permet aux criminels d’engranger énormément d’informations. Dès qu'ils repèrent une faille qu’ils peuvent exploiter, ils frappent immédiatement. Dans le secteur, tout le monde connaît le Patch Tuesday. Tous les deuxièmes mardis de chaque mois, les entreprises appliquent les dernières mises à jour pour mieux protéger leurs logiciels. Les hackers qui cartographient les infrastructures en utilisant l’automatisation gardent une longueur d’avance sur ces mises à jour.”

 

“Ensuite, il y a le ciblage ou targeting. Les pirates avaient l'habitude d'utiliser un montant standard lorsqu'ils installaient un rançongiciel pour extorquer de l’argent. Aujourd'hui, on constate que le montant est ajusté en fonction de la taille de l’entreprise visée. En d’autres termes, les hackers sont beaucoup mieux renseignés.”

Comment protéger votre organisation contre ces menaces ?

Inti : “La base, c’est une bonne gestion des risques. C’est par là qu’il faut commencer. Quels sont les éléments les plus précieux de votre organisation ? Comment sont-ils protégés ? Quels points peut-on améliorer ? Vous devez partir du principe que votre entreprise sera piratée un jour ou l’autre, et agir comme si cela pouvait arriver n’importe quand. Les réglementations européennes telles que la directive NIS2 aident les entreprises à s’orienter dans le domaine. Chacun(e) a sa part de responsabilité dans ce monde ultra connecté.”

 

“Il y a un aspect qu’on n’aborde pas assez dans notre domaine. C’est la culture d’entreprise. De quelle façon votre entreprise gère-t-elle la cybersécurité ? Aujourd'hui, on ne licencie plus les personnes ayant introduit par mégarde un logiciel malveillant dans une entreprise. Cette culture du blâme tend heureusement à disparaître. Mais cela ne veut pas dire que tout est réglé. Je pense qu’il faut davantage de transparence dans la communication touchant à la cybersécurité. Y compris en cas de problème.”

Des recommandations pour les participants du Meilleur Cyberexpert ?

Inti : “Continuez à cultiver votre curiosité ! C’est l’un des traits essentiels des cyberexperts. Cela motive à garder les yeux et les oreilles grand ouverts. Lorsqu'un piratage est médiatisé, essayez de reconstituer par vous-même ce qui a pu se passer. Vous apprendrez énormément.”

Photographie: Lies Willaert

Inspiration