Quels sont les métiers d’hacking éthique ?

img-post
blog

Rédigé par colas Bonvicini , 23 février 2024

Il y a peu de temps que le poste d’hacker éthique est un intitulé de poste reconnu. Au sens large, les métiers liés à la Cybersécurité sont affiliés à ce que l’on appelle du hacking voire du piratage éthique, dans le sens où ils visent à protéger les utilisateurs de cyberattaques et de cybermenaces. 

Les métiers les plus connus en matière de Cybersécurité sont donc les suivants :

Le Pentester

En professionnel de la cybersécurité, le pentester contrôle la sécurité des réseaux informatiques en réalisant des tests d’intrusion ou en anglais “penetration test” ce qui a donné naissance à l’abréviation « Pentest » et « Pentester ». 

Pentest

Parmi ces tests d’intrusion, le Pentester pourra en effectuer deux types bien distincts qui sont les tests d’intrusion internes et les tests d’intrusion externes.

Ce double test permettra de vérifier la vulnérabilité du réseau d’une organisation depuis le réseau interne, et aussi depuis une connexion à l’extérieur de ce réseau. Ces tests permettront par la même occasion de tester si les antivirus et firewalls sont suffisamment robustes pour repousser ses tentatives d’intrusion ou non.

Grâce aux divers tests d’intrusion, le pentester pourra évaluer le degré de la vulnérabilité et la complexité de sa correction, ainsi que l’ordre de priorité qu’il faudra donner à ces corrections.

Suite à ces tests, le Pentester identifie les vulnérabilités et propose des actions pour les corriger, puis, il efface derrière lui toutes les traces de tests de vulnérabilités pour éviter une exploitation malveillante des failles précédemment identifiées. 

Il sera aussi en charge d’audits de sécurité du système d’information de l’entreprise tels que les audits de code, les audits de configuration, les audits d’architecture, et même les audits organisationnels. Ces audits lui permettront également de remonter à l’organisation quelles sont les brèches dans la sécurité du SI, sous de multiples aspects.

Le pentester et le hacker éthique sont étroitement liés par leurs missions. La confusion entre ces deux termes et ces deux fonctions est monnaie courante. Ils ont en commun l’histoire de deux métiers récents, pour lesquels il n’y avait à l’origine aucune formation et uniquement des profils autodidactes. Comme pour un White Hat Hacker, à la mise en lumière de ce type de profil, il était possible de passer du côté au malveillant au côté éthique.

L’ingénieur cybersécurité

L’ingénieur cybersécurité, aussi appelé expert Sécurité des Systèmes Informatiques (SSI) est en charge de l’analyse et du traitement des menaces d’intrusion qui visent le système informatique de l’entreprise qui l’a recruté ou de l’entreprise pour laquelle il intervient. Il définit des plans d’actions pour anticiper des menaces informatiques.

Comme le Pentester, il traque les éventuelles failles sur les réseaux internes et externes, pour empêcher les intrusions et éviter que des pirates informatiques malveillants exploitent une faille de l’architecture réseau de l’entreprise qu’il défend.

Lui aussi fait un audit du niveau de sécurité des systèmes informatiques, et le fait de manière permanente. Il surveille tous les points d’accès réseau pouvant provoquer une attaque. S’il identifie des sources pouvant représenter une menace pour les intérêts de l’entreprise qui l’a recruté, il peut travailler au blocage préventif de ces sources externes au réseau. 

Aussi, il rédige des procédures de sécurité à suivre par le personnel de l’entreprise et peut jouer un rôle dans la sensibilisation aux enjeux de la sécurité informatique des collaborateurs de l’entreprise. Il peut créer des supports de formation en fonction des départements de l’entreprise et du niveau de connaissances nécessaire à chacun.

Il peut être amené à piloter les équipes techniques (IT) pour sécuriser le réseau et les systèmes informatiques de l’entreprise. Il est également amené à faire une veille des menaces qui circulent sur le net, et peut être amené à travailler dans la confidentialité avec d’autres services de cybersécurité comme le Security Operating Center (SOC).

L’analyste SOC 

Le SOC (Security Operation Center), correspond à l’équipe en charge d’assurer la sécurité de l’information dans une entreprise. Cette équipe souvent qualifiée de plateforme, permet de superviser et de gérer la sécurité du SI avec divers outils de collecte, permettant d’établir des liens entre divers événements comme des tentatives d’intrusion, ou des piratages avérés.
Le SOC veille à ce que les failles et que les incidents de sécurité soient identifiés et analysés, compris et contrôlés. 

Les différents membres de l’équipe SOC surveillent et analysent l’activité sur les différents réseaux de l’entreprise, sur les serveurs, les terminaux, les bases de données, les applications, les sites Web et autres systèmes, à la recherche de comportements anormaux qui pourraient annoncer ou expliquer un incident en matière de sécurité.
Comme le SOC doit permettre de répondre à différentes missions, il s’organise de manière générale en 3 niveaux :

  • Le niveau 1 – l’opérateur : il relève les alertes et fait un premier diagnostic. Il peut éventuellement résoudre des incidents qu’il a identifié si c’est dans ses cordes.
  • Le niveau 2 – l’analyste sécurité : il analyse en détail les alertes remontées et qui n’ont pu être traités par le l’opérateur du niveau 1 pour une étude plus approfondie, et si possible une résolution des incidents. Pour cela, il communique vers les équipes concernées par ces typologies d’incidents et les accompagne dans le traitement de ces derniers. S’il le peut, l’analyste met en place des remédiations.
  • Le niveau 3 – l’expert sécurité : c’est le dernier échelon après le niveau 2 en cas de non-résolution des incidents par l’analyste sécurité. L’expert intervient donc pour des analyses approfondies ou nécessitant une compétence particulière ou plus poussée. En s’appuyant sur l’analyse de risques, le responsable du SOC va proposer et implémenter des uses-cases couvrant de nombreuses menaces. Si le use-case n’est pas déjà présent dans le catalogue, il est chargé de le développer pour répondre à ce besoin spécifique.

L’architecte cybersécurité

L’architecte cybersécurité des SI s’assure des choix techniques et technologiques des projets IT et métiers afin qu’ils soient conformes aux exigences de sécurité de l’organisation. Il représente l’autorité technique sur les architectures de sécurité. 

Il est amené à produire une documentation de cette architecture cybersécurité qu’il a lui-même définie, et est en charge de son évolution.

Il en produit également les spécifications nécessaires à son bon fonctionnement, et à sa bonne compréhension par les autres ressources qui sont amenées à se documenter, à s’informer ou à se former à ce sujet.

Il réalise et met à jour les politiques et standards de sécurité applicables à toute l’entreprise, et rédige également les stratégies de tests sécurité & d’audits sécurité, ainsi que toute la documentation de sécurité nécessaires aux certifications et aux homologations. 

Il réalise et met à jour les analyses de risques, ce qui étend entre autres d’étendre les exigences de cybersécurité de l’entreprise à ses différents fournisseurs.

C’est un véritable chef d’orchestre de la cybersécurité. Il vérifie quotidiennement le niveau de sécurité atteint par des campagnes de tests de conformité et d’intrusion. Il prend en compte et analyse les incidents et problèmes identifiés par les diverses ressources affectées à la sécurité du système d’information, et propose des plans d’action pour lutter plus efficacement contre ces menaces. 

C’est également l’architecte cybersécurité qui assure la coordination des travaux de l’équipe technique en matière de sécurité informatique, tout comme la sensibilisation et la formation continue du personnel à ce sujet, et gère aussi tout ce qui concerne le transfert de connaissances et l’accompagnement des collaborateurs dans le but de maintenir le niveau de connaissance acquis.

Le SOAR vient-il remplacer le SIEM ?
Avant de proposer une réponse à cette question qui circule ces derniers temps dans le monde de la cybersécurité, nous devons avoir une idée sur l’origine de cette question et sur ce que le SIEM et le SOAR peuvent offrir au SOC et au service de la gestion de menaces et des vulnérabilités. Lire l'article