Le « white hat » hacker ou « chapeau blanc », homme ou femme, est très recherché par les entreprises de sécurité informatique. Photo Bigstock
Pour comprendre le domaine de la sécurité informatique « InfoSec », ou sécurité des systèmes d’information (SSI), il faut visualiser un monde où tout objet est connecté : la maison, le réfrigérateur, le chauffage central, les volets électriques, les lunettes, le stylo, la voiture, les chaussures, les vêtements de sport… Cela s’appelle l’internet des objets et c’est une réalité en devenir. Imaginez que votre frigo envoie sur une application de votre téléphone mobile une information disant que vous n’avez plus de jus d’orange, que la date de péremption de votre fromage est proche, qu’il vous reste encore du riz et des légumes de la veille, mais pas de salade… Imaginez que votre application fasse directement la commande au supermarché ou au site en ligne de votre choix… et que cette commande soit payée en ligne par votre carte de crédit. Le tout en un clic.
Cette connectivité de toute chose augmente les risques d’intrusion dans la vie privée de chacun, dans son intérieur, dans son compte bancaire, dans ses e-mails, dans ses polices d’assurance, dans les moindres informations privées qui le concernent. Des « chapeaux noirs » en font leur gagne-pain, sachant que la grande majorité des failles sécuritaires viennent des usagers eux-mêmes, de la faiblesse de leurs mots de passe, des informations qu’ils partagent sur les réseaux sociaux notamment, ou d’un système peu sécurisé comportant des données sensibles.
Des débouchés infinis
Cela explique les besoins immenses dans cette profession qui n’a pas encore décollé au Liban ni même dans le monde (sauf au niveau des banques et des grandes entreprises), tant au niveau de la sécurité des États – la cybersécurité – que de la sécurité des systèmes informatiques des entreprises ou des particuliers. Des besoins tels que les étudiants sont déjà happés par le marché avant même d’avoir terminé leurs études. Et que les entreprises peinent à recruter, vu le manque de professionnels qualifiés. Quant aux jeunes qui ont l’esprit d’entreprise, ils doivent réaliser qu’avant de créer leur propre boîte, ils ont besoin d’acquérir de l’expérience, de l’expertise et de l’excellence, pour bénéficier d’une bonne crédibilité, compte tenu du fait que la matière première est l’intelligence humaine. Ils doivent aussi savoir que les autorités encouragent la création de start-up et qu’il existe des incubateurs et des pépinières qui aident les jeunes entreprises à se développer.
Des professionnels expliquent ce domaine, ses nombreux métiers et les moyens d’y accéder : Cyrus Salesse, PDG de Krypton Security, fournisseur de services dans le domaine de la sécurité de l’information et de la gestion des risques ; un « start-uper » libanais, Antoine Vincent Jebara, PDG et cofondateur de la start-up Myki de développement informatique (qui a développé une application de protection d’identités) ; et deux enseignants universitaires : Dany Mezher, enseignant à l’Université Saint-Joseph et directeur de l’Institut national des télécommunications et de l’informatique (INCI), et Charbel Farès, chef du département de Computer Science à l’Université Saint-Esprit de Kaslik (USEK).
Nature du travail
Deux domaines d’activité principaux sont possibles dans la profession de sécurité informatique, plus communément appelée IT security.
La sécurité opérationnelle et le travail auprès d’une entreprise ou d’une organisation en vue de la sécurité de son information (banque, assurance, carte bancaire, télécoms, hôpital, ministère, armée...). À titre d’exemple, un hacker éthique, appelé dans le jargon « chapeau blanc », expert en sécurité informatique, réalise sous contrat des tests d’intrusion afin d’assurer la sécurité des systèmes d’information. Il lance donc des attaques et s’invite dans un système d’information pour tester son niveau de sécurité, le faire évoluer et minimiser les risques d’attaques.
L’autre facette du métier consiste dans les études de conformité, de réglementation, et les conseils prodigués aux entreprises, aux industriels, aux États… pour protéger leurs systèmes d’information.
Études universitaires
- L’USEK a développé un master en cybersécurité et cyberdéfense, en partenariat avec l’Université de Bretagne-Sud. Un master auquel accèdent les ingénieurs informaticiens, ceux des télécoms, les étudiants détenteurs d’une licence en Computer Science ou autres diplômes de technologie.
- L’USJ propose, en plus des formations de base liées à l’informatique, les réseaux, les télécoms ou la technologie (niveau ingénieur ou licence), un master en systèmes et réseaux avec option « sécurité de l’information », au sein de l’Institut national des télécommunications et de l’informatique (INCI). Les ingénieurs feront ce master en un an, alors que les détenteurs d’une licence le feront en deux ans.
- L’Université libanaise, en plus de ses formations de génie et de Computer Science, développe un master de recherche en télécommunications et sécurité de réseaux.
- La grande majorité des hackers éthiques n’ont pas d’éducation universitaire mais sont reconnus et agréés par nombre d’organismes internationaux de certification, contrairement aux « chapeaux noirs » ou pirates informatiques malintentionnés. Depuis leur jeune âge, les hackers éthiques bidouillent. Leurs compétences sont pragmatiques. Ils sont particulièrement doués. Ils n’ont généralement aucune difficulté à se faire embaucher car ils sont productifs et les entreprises ont besoin d’eux. Souvent bien plus que les jeunes diplômés que les entreprises n’ont pas le temps de former. Ils apprennent donc sur le tas. Plus ils ont de l’expérience, plus leur salaire est élevé.
Aptitudes et compétences requises
Pour se lancer dans ce domaine, il faut :
- Être doué, avoir le savoir-faire et le niveau technique nécessaires pour devenir un excellent « white hat » hacker ou « chapeau blanc », car pour protéger un système d’information, il faut savoir l’attaquer.
- Avoir de la curiosité pour aller à la recherche des techniques et les apprendre.
- Être créatif, le but étant de trouver le moyen le plus facile pour hacker un système.
- Être passionné, endurant, patient, doté d’une bonne autonomie. Un hacker éthique chargé d’une mission ne lâchera pas son ordinateur tant qu’il n’a pas trouvé la faille. Il risque donc de rester éveillé trois jours pour accomplir sa tâche.
- Avoir la capacité de travailler en équipe.
- Avoir le sens des responsabilités.
- Être formé et former ses équipes aux situations de stress. Car c’est souvent en situation de stress (créée par des hackers) que se fait l’hameçonnage (phishing, vishing…) et que des mots de passe sont communiqués.
- Prendre conscience du fait que les problèmes de sécurité sont principalement liés à des erreurs humaines.
Difficultés et contraintes
- Devenir un excellent hacker nécessite de nombreuses années, une bonne dose d’expérience et un travail d’apprentissage permanent. C’est à ce prix que le « chapeau blanc » sera reconnu comme tel et jouira de crédibilité. Car l’université donne les bases. C’est l’expérience professionnelle qui fait le reste.
- Le stress est une des difficultés liées à la profession.
- Les horaires élastiques, les journées de 10 à 14 heures, les nuits blanches, les week-ends ratés, plus particulièrement au niveau des professionnels travaillant dans le conseil.
commentaires (0)
Commenter