Des failles de sécurité dans les systèmes d’information des entreprises sont toujours détectées, et dans tous les domaines d’activités. Les hackers éthiques les exploitent, mais pour faire de la prévention auprès des entreprises. Ils agissent dans le cadre de la loi. Entretien avec Brice Augras, fondateur de BZHunt et hacker éthique de métier. Ce dernier était de passage à Sierre en janvier dernier, à l’occasion de la Swiss Digital Conference.
Brice, comment êtes-vous devenu un hacker éthique ?
Je suis un enfant d’internet, j’ai grandi avec. Pour moi, au début, internet était un monde sans frontières, sans limites. Mais très vite, je me suis rendu compte qu’il allait falloir mettre un cadre à tout cela. J’ai vu les normes se mettre en place. Celles-ci ont donné la chance à des individus comme moi de ne pas finir en prison, mais plutôt d’en faire un métier. Après avoir monté une équipe de cybersécurité, j’ai fondé BZHunt, en Bretagne en 2020, avec Victor Poucheret.
Comment définit-on un hacker éthique ?
Pour moi, un hacker est un individu qui fait les choses autrement que de la manière dont on leur a demandé. Dans la définition de base, on parle toujours de détourner les systèmes. Il n’y a donc pas de notion d’illégalité. Il faut donc bien différencier les hackers des cybercriminels. Les cybercriminels attaquent les entreprises et agissent dans l’illégalité.
Etes-vous nombreux à pratiquer ce métier ?
La communauté de hackers francophones est toute petite. Elle regroupe une quarantaine de personnes qui ont un savoir-faire offensif, avec des « armes numériques ». Au niveau de notre métier, il n’existe pas de hacker qui connaît tout et qui peut pirater n’importe quelle entreprise à travers le monde. On a chacun des savoir-faire différents et il est donc important d’échanger régulièrement avec nos pairs. Cela nous permet de continuer à progresser dans un monde numérique ou tout va extrêmement vite.
Quel est votre emploi du temps standard ?
Tout d’abord, nous dormons relativement peu, puisque tout va très vite. Le hacking est avant tout une passion. Il faut donc y passer un temps énorme. Au niveau du hacking, nous participons régulièrement à des programmes de Bug Bounty, où de grandes entreprises nous paient si on arrive à entrer dans leurs systèmes d’information. Nous ne sommes pas rémunérés si nous n’arrivons pas à casser les systèmes. Nous réalisons également des tests d’intrusion, virtuels ou physiques. Là aussi, les entreprises font appel à nous pour mettre en exergue leurs failles informatiques. Cela passe par la gestion des flux informatiques, mais également par la gestion des flux humains. Dans notre emploi du temps, nous faisons environ un tiers de recherche et développement. On est obligés de toucher à tout et d’apprendre énormément de choses.
A quoi servent les hackers éthiques ?
J’ai parfois tendance à dire : à rien. Pourquoi ? Parce que les chiffres qui sont diffusés sont biaisés. En France, comme ailleurs, on adopte la politique de l’autruche. 80% des personnes et entreprises victimes de hacking ne signalent pas les cas aux autorités. Du coup, les chiffres en lien avec les coûts moyens des cyberattaques sont faux, tout comme le nombre d’attaques. On a encore du chemin à faire pour arriver à sensibiliser les entreprises et pour que notre métier serve vraiment à quelque chose. Et on se sent parfois impuissants face aux cybercriminels, qui sont très bien organisés, hiérarchisés et dotés d’importants moyens. On est ancré dans un jeu du chat et de la souris. En tant que hackers éthiques, nous avons des obligations contractuelles et juridiques, afin de faire connaître nos métiers et les démocratiser.
Au niveau des entreprises, comment est la situation en terme de sécurité de l’information ?
On est aujourd’hui encore sur une dette technologique de 10 à 15 ans, y compris dans des domaines réputés sûrs comme la banque ou le luxe. Chez tout le monde, on continue donc de trouver des failles. C’est aussi le cas de certains sites e-commerce, dont il est relativement facile de modifier les prix de vente des objets, ou de faire réduire les additions via des frais de port négatifs, par exemple.
Qu’en est-il de l’aspect humain lors de vos interventions en entreprise ?
Lorsque l’on intervient en mode « pompier » dans les entreprises, on s’est formé pour remettre en marche une machine, aussi complexe soit-elle. En revanche, nous n’avons jamais été formés à réparer l’humain. Dans certaines grandes entreprises, lorsque l’on revient quelques années après notre intervention, il y a de vrais traumatismes au niveau des collaborateurs. Une cyberattaque massive dans une entreprise, avec souvent un arrêt de production de plusieurs semaines et des pertes en centaines de milliers de francs, marque les esprits. Les collaborateurs concernés expriment cela comme un cambriolage, ou même un viol numérique. C’est réellement traumatique pour eux, même lorsque le système d’information refonctionne normalement. Certaines personnes développent du coup une phobie technologique et n’osent plus se servir d’outils informatiques. Pour l’instant, on est concentrés à contrer les attaques. Donc on a très peu de recul sur le sujet.
Propos recueillis le 27 janvier au Swiss Digital Center de Sierre
