Fondée en 2007 et basée au World Trade Center de Genève, la société genevoise High-Tech Bridge milite pour la protection des données informatiques. Afin de parvenir à ses fins, elle pratique l'Ethical Haking, qui consiste à reprendre les méthodes d'intrusion des pirates virtuels pour évaluer la capacité d'un système à y faire face. Comme l'indique l'adjectif "ethical", de telles démarches sont entreprises de manière légale suite à la sollicitation de la société testée et à l'accord des autorités compétentes.
Les deux services d'Ethical Haking les plus fréquemment utilisés sont le scan de vulnérabilités et le test de pénétration. Entièrement automatisé et plus commun, le premier cité revient à établir le degré d'exposition basique d'un système. Chez High-Tech Bridge, cette étape est complétée par l'utilisation d'applications propriétaires et un affinage par des tests d'expertise manuels.
Sur la base des résultats obtenus, une évaluation des risques encourus - faible, moyen, élevé, critique - et un guide de remédiation sont intégrés au rapport.
Les deux services d'Ethical Haking les plus fréquemment utilisés sont le scan de vulnérabilités et le test de pénétration. Entièrement automatisé et plus commun, le premier cité revient à établir le degré d'exposition basique d'un système. Chez High-Tech Bridge, cette étape est complétée par l'utilisation d'applications propriétaires et un affinage par des tests d'expertise manuels.
Sur la base des résultats obtenus, une évaluation des risques encourus - faible, moyen, élevé, critique - et un guide de remédiation sont intégrés au rapport.
Quatre axes principaux
Comme le rapporte Frédéric Bourla, directeur du Département Ethical Haking de High-Tech Bridge, les quatre axes sur lesquels cette entreprise s'articule sont :
- Les tests de pénétration
- Les conseils en sécurité des Systèmes d'Information
- La formation du personnel
- Les investigations numériques post-mortem (c'est-à-dire après qu'un système ait été compromis)
- Les conseils en sécurité des Systèmes d'Information
- La formation du personnel
- Les investigations numériques post-mortem (c'est-à-dire après qu'un système ait été compromis)
Pour élaborer des tests de pénétration efficaces, il s'agit de "penser comme un haker." C'est ce que s'efforce de faire quotidiennement l'équipe de Marcel Salakhoff, directeur du Département Recherche & Développment de High-Tech Bridge. Le centre de recherches qu'il chapeaute est, avec l'élaboration de tests de pénétrations manuels et la non vente de solutions ou logiciels commerciaux, la marque de fabrique de la société mise en avant par Frédéric Bourla. "C'est une structure unique en Suisse. Les nombreux programmes automatisés présents sur le marché ne permettent pas de lutter contre la cybercriminalité de manière efficace, car ils génèrent de nombreux faux positifs (de fausses alertes de sécurité) et, pire encore, une quantitée élevée de faux négatifs (absence de détection de réelles vulnérabilités)", affirme-t-il.
Une éducation à faire
Contrairement à ce que l'on pourrait penser, le réflexe de la protection des données informatiques est encore loin d'être inné. Conscient de cela, High-Tech Bridge a organisé le 18 mai dernier une conférence dans le but de sensibiliser les entrepreneurs aux risques qu'ils courent en négligeant cet aspect. "Le nerf de la guerre, c'est l'information. Les données informatiques d'une entreprise sont fréquemment convoitées par la concurrence. Malgré l'omniprésence de la menace, la demande de ce marché spécifique est relativement faible, peut-être en raison du système capitaliste dans lequel nous vivons, qui incite les chefs d'entreprise à n'investir que si le besoin s'en fait ressentir. La plupart des sociétés nous contactent généralement après après avoir subi une attaque cybernétique. Il est regrettable de ne prévoir un budget pour la protection des données qu'après que ses brevets ont été bafoués", avance Frédéric Bourla. Il ajoute que "l'étendue du périmètre numérique et l'évolution incessante des menaces informatiques rendent très délicate la protection des données. Le périmètre lui-même n'est plus clairement défini. Il ne suffit plus de protéger son infrastructure par un pare-feu périmétrique. Certes, il permettra d'éviter de nombreuses attaques émanant d'Internet, mais il sera aveugle à toutes les menaces provenant du réseau même de l'entreprise. Or une attaque sur cinq est réalisée par un employé mal intentionné, et la plupart des attaques externes contemporaines, comme les Reverse Trojans (chevaux de Troie inversés) et les XSRF (définition de Frédéric Bourla : "attaques qui permettent d'abuser de la confiance qu'un site accorde à certains utilisateurs privilégiés en leur faisant exécuter des commandes à leur insu"), contournent les défenses périmétriques en ciblant directement les postes clients et leurs utilisateurs", un phénomène encore largement sous-estimé en milieu entrepreneurial.
Les "méchants" avantagés
"Dans la plupart des cas, l'information n'a de valeur que lorsqu'elle circule. Les réseaux d'entreprise se sont donc tournés vers l'extérieur. Aujourd'hui, les employés disposent de portables, de PDA, de smartphones, de périphériques de stockages portatifs et accèdent aux ressources corporatives via Internet tout en étant connectés à des réseaux personnels et échappant au contrôle de l'employeur. La protection des données consiste donc à résoudre le paradoxe d'exposer ses informations et d'ouvrir son réseau tout en évitant que ses données ne se retrouvent n'importe où et ne soient utilisées par n'importe qui. La tâche n'est pas simple... La confidentialité des données doit être abordée tout au long de leur existence, de leur naissance à leur stockage, en passant par leur transit et leur archivage. Un tel objectif sécuritaire est asymétrique, et par conséquent délicat. Les "gentils" doivent penser à pléthore d'éléments à sécuriser, alors que les "méchants" n'ont qu'à trouver une seule vulnérabilité critique oubliée ou sous-estimée pour s'approprier les données. Il est donc nécessaire que leur sécurité comporte de multiples couches", explique notre interlocuteur.
Malgré la tâche ardue qui lui incombe, High-Tech Bridge s'est fixé un objectif élevé, celui de contribuer à faire de la Suisse le leader mondial en matière de protection des données informatiques. L'entreprise compte essentiellement parmi ses clients des institutions financières et bancaires, étatiques et gouvernementales, des instituts de pharmacologie et de recherches scientifiques, des leaders industriels ainsi qu'une faible minorité de PME.
Malgré la tâche ardue qui lui incombe, High-Tech Bridge s'est fixé un objectif élevé, celui de contribuer à faire de la Suisse le leader mondial en matière de protection des données informatiques. L'entreprise compte essentiellement parmi ses clients des institutions financières et bancaires, étatiques et gouvernementales, des instituts de pharmacologie et de recherches scientifiques, des leaders industriels ainsi qu'une faible minorité de PME.
Effectif complet
Pour l'heure, et en dépit des sollicitations, High-Tech Bridge ne recherche aucun collaborateur. Si la donne devait toutefois changer, il faut savoir que, dixit Frédéric Bourla : "Posséder un diplôme ou un certificat mondialement reconnus dans le domaine informatique représente un avantage certain pour rejoindre nos rangs". Avoir de bonnes références n'est pas pour autant synonyme d'engagement assuré car, une fois le CV retenu et l'entretien d'embauche passé, le candidat devra encore relever les challenges techniques qui lui seront soumis. Ne devient pas spécialiste de la protection des données informatiques qui veut !
Pour en savoir plus sur la société High-Tech Bridge
Pour en savoir plus sur la société High-Tech Bridge
LP
