Le confinement accroît la vulnérabilité des systèmes d’information des entreprises
La cybercriminalité enregistre une forte hausse depuis le début de la crise sanitaire. Pour détecter les failles dans leur système d’information, les entreprises peuvent faire appel à des spécialistes, dont des chasseurs de bugs… qui sont aussi des chasseurs de primes.
Le cybercrime ne cesse d’augmenter depuis la mise en œuvre des mesures de lutte contre la pandémie. Les hackers profitent de la situation pour passer à l’attaque, ajoutant une nouvelle crise à la crise. Et la France fait partie des principaux pays visés par les pirates informatiques. Entreprises, hôpitaux, institutions, particuliers… personne n’échappe à ces attaques.
Le télétravail, un terrain propice
Souvent mis en place dans la précipitation pour assurer la continuité de l’activité, le télétravail et le relâchement des règles de sécurité informatique habituelles constituent un terrain propice aux cyberattaques. L’extension massive du réseau de l’entreprise et les services et applications informatiques installés en urgence pour permettre le travail à domicile font que les systèmes d’information sont plus exposés et plus vulnérables. Et les pirates exploitent toutes les failles pour les infiltrer, afin de les paralyser ou d’en extraire des informations sensibles.
Pas de risque zéro
Les responsables de la sécurité des systèmes d’information s’efforcent de détecter et de corriger toutes les failles au sein de leur entreprise (infrastructures, sites web, applications mobiles, objets connectés…). Mais le risque zéro n’existe pas. Depuis l’explosion du travail à distance, le Club de la sécurité de l’information français (Clusif) a créé une liste de diffusion dédiée à l’entraide en cybersécurité. Pour les structures qui ne disposent pas de compétences idoines en interne, l’Agence nationale pour la sécurité des systèmes d’information (Anssi) a labellisé un certain nombre de prestataires de services informatiques spécialisés, auxquels les entreprises peuvent faire appel.
Chasseurs de bugs…
Une des façons de tester la vulnérabilité d’un système informatique consiste à procéder à des tests d’intrusion. C’est ce que propose notamment la plateforme YesWeHack, lancée par une start-up rouennaise, et qui a enregistré une forte augmentation de son activité depuis le début de la crise sanitaire. Spécialisée dans la chasse aux failles de sécurité, cette plateforme permet de mettre en relation des entreprises avec une communauté de plus de 15 000 chercheurs en cybersécurité, issus de 120 pays. L’entreprise cliente demande alors à ces derniers de «hacker» son propre système d’information pour détecter toutes les brèches susceptibles d’être exploitées par des hackers malveillants.
…et de primes
C’est l’entreprise cliente qui détermine la durée du hack, le périmètre d’intervention, ou le montant des primes accordées…Car ces chasseurs de bugs informatiques sont aussi des chasseurs de primes. Ils perçoivent des récompenses qui peuvent aller jusqu’à plusieurs milliers d’euros, en fonction de la nature des failles identifiées, et sur lesquelles la plateforme prélève également une commission.
YesWeHack, dont le slogan est « pay a reward not a ransom » («payez une récompense plutôt qu’une rançon») est aujourd’hui une des plus grandes plateformes de «bug bounty » (chasse aux bugs) au monde. Elle a réalisé une levée de fonds de 4 millions d’euros en février dernier pour poursuivre l’ouverture de nouveaux bureaux à l’étranger.
Chasseurs éthiques et engagés
Depuis le 1er avril et pour une durée de deux mois, la jeune pousse offre l’accès gratuit à sa plateforme éducative YesWeHackEDU, lancée en 2019 et destinée aux étudiants et aux enseignants en informatique. Les licences gratuites sont à demander directement sur le site. Objectif : faciliter l’enseignement à distance de la cybersécurité pour les universités et les écoles, pendant toute la durée de la crise sanitaire et des mesures de confinement.
Miren LARTIGUE