Renforcer la cybersécurité avec l'aide des hackers éthiques

Dans un hall d'exposition à Helsinki, un hacker qui se fait appeler 'The Mask Guy' s'assoit à son PC aux côtés d'un groupe d'experts en informatique, qui commencent tous à pirater fébrilement un système de surveillance de test KONE. Leur objectif est très clair : déjouer les défenses de KONE et mettre ce système à genoux.

Ces prodiges informatiques talentueux et souvent anonymes viennent de différents horizons, mais ils partagent une passion commune : trouver des moyens de s'introduire dans des appareils connectés, des services et des systèmes embarqués, quel que soit le degré de sécurité que leurs administrateurs pensent avoir.

Ce qui distingue cette foule, c'est qu'ils sont connus dans la communauté cyber comme des hackers 'chapeau blanc' ou hackers amicaux - des professionnels de l'informatique guidés par l'éthique. Leur motivation, que ce soit pour le plaisir, le profit ou le prestige, est de sonder les faiblesses des systèmes connectés puis de collaborer avec leurs propriétaires pour aider à les rendre plus sécurisés contre les méchants, les 'chapeaux noirs'.

C'est pour cette raison que les entreprises, les professionnels de la cybersécurité et les hackers éthiques se sont réunis lors de l'événement annuel Disobey Nordic Security à Helsinki pour partager leur expertise et participer à des défis. Lors de la compétition 'Capture the Flag (CTF)', co-parrainée par KONE, des équipes de hackers chapeau blanc vont s'affronter pour trouver une vulnérabilité dans un système de surveillance de test KONE et l'exploiter, permettant ainsi à l'entreprise d'acquérir des perspectives toujours plus profondes et de rester une longueur d'avance sur les attaquants.

Pour les hackers, des événements comme Disobey ne sont pas seulement une occasion "de sensibiliser à la sécurité", dit 'The Mask Guy', mais aussi de socialiser et de travailler aux côtés d'autres personnes "guidées par l'éthique, positives et collaboratives".

Le piratage éthique est une nécessité dans le monde d'aujourd'hui, car les cyberattaques menées par des hackers hostiles ou "black hat" ont explosé.

Une recherche de Check Point Software Technologies nous informe qu'entre 2020 et 2021, les cyberattaques sur les entreprises ont augmenté de 50 pour cent. De plus, le coût des cyberattaques augmente - pour les entreprises et finalement pour leurs clients, avec le coût moyen d'une violation de données estimé à 4,35 millions de dollars en 2022.

À mesure que les produits et services deviennent de plus en plus connectés, les clients ont plus que jamais besoin d'être rassurés que les entreprises prennent toutes les mesures possibles pour se protéger et protéger leurs clients contre les acteurs hostiles.

"Les hackers non éthiques ont plusieurs vecteurs pour attaquer n'importe quelle entreprise - en particulier celles qui n'investissent pas et n'améliorent pas continuellement leurs pratiques de sécurité", explique Laura Kankaala, responsable du renseignement sur les menaces chez F-Secure basée en Finlande, un parangon dans l'industrie de la cybersécurité et consultante périodique pour KONE.

"Ils vous attaqueront via une application web vulnérable, un service cloud mal configuré, une identité mal protégée, un personnel non formé qui est victime d'attaques de phishing par e-mail, ou dans les cas où l'entreprise n'a pas appliqué les paramètres de sécurité de base tels que l'authentification à plusieurs facteurs pour les services informatiques de l'entreprise."

Kankaala, elle-même hacker éthique expérimentée, compare la cybersécurité réussie à un puzzle composé de nombreuses pièces. Celles-ci comprennent traditionnellement les professionnels de l'informatique de l'entreprise, des consultants en sécurité de premier ordre, des politiques internes éprouvées et des formations. Mais plus récemment, faire appel à des hackers amicaux prêts à jouer dans votre équipe est devenu un outil inestimable dans la boîte.

"Même alors, il est essentiel de comprendre que repousser les hackers non éthiques et criminels résulte d'un plan de cybersécurité complet, et pourtant le plan lui-même n'est pas une destination mais plutôt un voyage continu", ajoute Kankaala.

De retour au défi CTF de Disobey, le hacker éthique "The Mask Guy", - qui utilise un pseudonyme en raison de son travail quotidien en tant qu'expert de l'Internet des Objets dans une grande entreprise de cybersécurité - conspire avec son équipe pour utiliser toutes les astuces possibles afin de pirater le système de démonstration de KONE et en prendre le contrôle avant les autres pour remporter la compétition.

Observant par-dessus l'épaule de ces hackers, Antti Salminen, expert en sécurité des applications chez KONE, sourit en constatant le codage astucieux et la résolution impressionnante des problèmes.

"KONE a toujours pris très au sérieux la cybersécurité et la menace que représentent les hackers," dit Salminen. "Nous voulons mener ce combat à notre manière, et nous avons donc reconnu que l'un des meilleurs moyens de le faire était de construire un pont entre KONE et la communauté des white hats pour établir une collaboration plus étroite."

"L'événement Disobey offre le lieu parfait pour construire ces ponts."

En plus des grands événements, KONE propose également un programme d'incitation financière, appelé "bug bounty", où il invite les hackers éthiques à sonder ses services et produits afin de localiser des vulnérabilités non découvertes.

De tels programmes de primes pour la découverte de bogues sont non seulement devenus monnaie courante parmi les organisations du secteur privé et public ces dernières années, mais sont désormais considérés comme une meilleure pratique émergente pour garantir une cybersécurité robuste. En effet, des formations et certifications formalisées sont désormais proposées, telles que le programme Certified Ethical Hacker du EC-Council, ainsi qu'un programme de certificat en trois cours à l'Université de Washington aux États-Unis.

Mais Salminen insiste sur le fait qu'il n'y a pas de substitut à avoir sa propre équipe de spécialistes en cybersécurité de haut niveau au sein de l'entreprise également.

"Par le passé, une entreprise de déplacement de personnes comme KONE n'aurait peut-être pas été le premier endroit où un spécialiste de la cybersécurité aurait cherché une carrière. Mais cela change. Nous sommes en ligne avec nos produits et services plus que jamais et la cybersécurité est une priorité absolue, nous nous efforçons donc d'attirer les meilleurs talents en matière de cybernétique de l'industrie."

L'engagement de KONE en matière de cybersécurité a été reconnu en 2023 lorsqu'il est devenu le premier dans l'industrie à obtenir la certification de cybersécurité IEC 62443 pour ses ascenseurs de classe DX, et la certification ISO 27001 pour ses services numériques, y compris KONE 24/7 Connected Services.

Alors, la question demeure ... 'The Mask Guy' et son équipe de "chapeaux blancs" ont-ils réussi, ou la forteresse cyber du système de démonstration de KONE a-t-elle tenu bon?

"Ouais ... nous avons capturé le drapeau," répond 'The Mask Guy' d'un ton neutre. "Ce n'était pas facile, mais notre équipe a trouvé un moyen d'obtenir un accès complet au système."

Et avec cela, ils sont devenus les gagnants de la compétition Disobey CTF 2023.

Pour KONE, la manière dont les hackers ont trouvé pour entrer dans le système a fourni des informations précieuses sur la cybersécurité qui peuvent être utilisées à l'avenir.

"C'était une excellente expérience d'apprentissage pour nous", souligne Salminen, "et la résilience cyber de notre système de surveillance de démonstration a bien résisté - la plupart du temps."

"Pour KONE, les expériences que nous avons partagées à Disobey ont aidé à démystifier la communauté des hackers chapeaux blancs et servent de cadre pour nous permettre de collaborer plus étroitement à l'avenir afin de renforcer la cybersécurité dans nos produits et services pour nos clients", ajoute Salminen.