Pour éprouver la qualité de la sécurité de son SI, la pratique du test d'intrusion constitue sans doute la voie royale. Pour en effectuer sans supervision limitative, le recours à des hackers éthiques rémunérés à la faille découverte est la manière la plus radicale. Mais une majorité de RSSI sont plus que réticents à cette pratique. Ainsi, selon une étude réalisée par HackerOne à partir d'une enquête menée par Opinion Matters, 51 % des RSSI français préféreraient courir le risque d'avoir des vulnérabilités dans leur système plutôt que d'inviter des hackers inconnus à les trouver. Leurs confrères allemands et britanniques sont plus encore réticents avec respectivement 59% et 62% refusant également le test par des inconnus. La moyenne sur les trois pays est ainsi de 57%.
Pourtant, 87% des répondants en France et 86 % en moyenne en Europe admettent que les craintes en matière de sécurité entravent l'innovation numérique. 83% des RSSI européens (90% au Royaume-Uni, 88 % en France et 80% en Allemagne) assurent ainsi que les failles logicielles constituent une menace sérieuse pour leur organisation. Mais cela n'empêche pas la gestion de la sécurité d'être globalement préoccupante. 64% des RSSI européens (68% en France, 63% au Royaume-Uni et 60% en Allemagne) se plaignent d'effectifs insuffisants pour suivre le rythme des évolutions de leur organisation. 48% des RSSI européens (46% en France) estiment aussi qu'ils passent trop de temps à chercher les failles logicielles. 26% des RSSI européens se plaignent d'un budget insuffisant pour mener à bien un programme de sécurité offensive (17% en France, 22% au Royaume-Uni, 32% en Allemagne). Et 35% des RSSI européens se sentent globalement freinés par un manque de budget et de compétences pour avancer (30% en France, 34% au Royaume-Uni et 40% en Allemagne).
Le hacker vu comme une menace et non une solution
Côté résultats, 45% des RSSI européens (65% au Royaume-Uni, 39% en Allemagne et 30% en France) jugent que les tests d'intrusion ne fournissent pas des résultats à la hauteur des attentes. Mais recourir à des hackers extérieurs suscite des craintes et des réticences importantes. Seuls 26% des RSSI européens se sentent ainsi prêts à accepter les soumissions de bugs de l'ensemble de la communauté de hackers (17% au Royaume-Uni, 23% en France, 36% en Allemagne), ce score augmentant considérablement (jusqu'à 40% en France) si les hackers sont certifiés.
Au niveau européen, 54% des RSSI ne sont pas à l'aise à l'idée de collaborer avec des hackers ayant un passé criminel. Les Français sont les moins regardants (44%), bien moins que leurs confrères allemands (55%) ou britannique (62%).
J'ai etudié la sécurité informatique depuis 27 ans , voilà ce que je souhaite dire sur le sujet : Selon une étude HackerOne / Opinion Matters, les RSSI sont majoritairement hostiles au recours à des hackers éthiques pour tester leur sécurité.
Signaler un abusEffectivement on peut comprendre que les RSSI soi hostile au hackers ethiques , mais la réalité c est qu un Ingénieur en Sécurité Informatique ou plutot je diraiss qu' un Expert en Securité Informatique ne peut se dire Expert que si & si seulement (condition if & else, lool ) cet expert à etait capable de faire des intrusions en miieu hautment sécurisés , question pourquoi je dit cela ??? simplement parceque je crains que dans le titre d expert en Securité on RSSI on est un peu trop vanté le titre du RSSI ou expert en securité informatique , apres tous peut on réelmement se dire expert en Sécurité informatique si on n'a jamais pénétré des systemes informatiques , et justement le pentesteur ou hacker ethiques sont plus proche du hacker que celui qui va élaborer ce qui ce fais de mieux en sécurité et oubliant une régle d or , Sécurisé sans tester de façon agressive n est que perte de temps et décoration
Après tous bougyes pour les prendre comme exemples malgré l equipe RSSI et expert en Sécurité (lool) expert !!! à réussi a ce prendre un Ransomware et quelle est la conclusion de cela ? que les compétences Professionnel , ne semble pas sufifsante pour break le ransomware installé .conclusion : la Sécurité Informatique est un rêve illusoire !!!!!!!! l expert doit vanté des qualités qui ne possèdent pas , car face juste a un Ransomware c est toute l architecture qui est out !!!!!!!!!!!!!!!!!!!!