Suite au hack de Yo, application virale de messagerie dont le simplisme intrigue et interroge, un jeune étudiant de Georgia Tech (Atlanta, Géorgie) est entré mi-août dans le rang prestigieux et non moins controversé des hackers recrutés pour avoir au préalable repéré et exploré la faille d’une entreprise.
Quand le hack se transforme en offre de job…
[encadre]Adobe, Target, eBay, la NSA… Ce n’est pas la première fois que le hack du logiciel d’une compagnie se transforme en offre de job, à l’heure où la sécurité des données devient une préoccupation primordiale. En juillet, Google avait ainsi dévoilé les membres de sa nouvelle équipe de hackers d’élite, Project Zero, choisis pour s’atteler à la difficile tâche d’identifier et éradiquer les vulnérabilités présentes dans les différents logiciels du géant d’Internet. À la recherche des failles dites « zero day », plus sensibles d’être hackées par les pirates car encore méconnues du public, les membres de l’équipe de Chris Evans, responsable de la sécurité du navigateur Google Chrome, se chargeront de « rendre Internet plus sûr » pour l’entreprise ainsi que pour ses nombreux clients.
Cette décision fait également écho à une nouvelle manière de concevoir le recrutement, passant désormais par la recherche de nouvelles compétences et la fin du recours traditionnel et systématique aux profils issus des grandes écoles. A l’instar de Google, qui oriente désormais son recrutement vers les dits « outsiders », ou personnes ayant démontré leur capacité à échouer pour mieux rebondir par la suite, les recruteurs modifieraient désormais leurs critères de sélection pour répondre aux nouvelles problématiques auxquelles ils doivent faire face. Si les compétences universitaires étaient autrefois privilégiées, 91% des DRH considèrent désormais la capacité d’adaptation au changement et à l’incertitude comme la première qualité à dénicher chez une nouvelle recrue.
Le coût des attaques web fait de la sécurité un enjeu stratégique
Avec la transition numérique, de nouveaux enjeux voient le jour au sein des entreprises. Les problèmes de piratage se multiplient et s’intensifient, les attaques malveillantes envers les grandes entreprises ayant subi une croissance de 81% entre 2010 et 2011 d’après Symantec.
De plus, la protection des données, classée sujet sensible, devient incontournable alors qu’il n’existe « pas une seule entreprise qui n’ait été victime d’espionnage », selon Patrick Pailloux, président de l’Agence nationale de la sécurité des systèmes d’information (l’Anssi). Les attaques web subies par les entreprises ont un coût qu’il convient de réduire : ce dernier a doublé de 2012 à 2013, selon la société NTT Com Security, et continue d’augmenter, à mesure que le numérique s’impose au sein des organisations. En parallèle, la revente de failles sur le marché noir peut rapporter de 200 000 à 300 000 euros à leurs heureux hackers.
Un « cabinet de recrutement de hackers » ?
En l’occurrence, c’est-à-dire concernant ces hackers recrutés par les plus grosses firmes mondiales, il faut bien se rendre à l’évidence. Les compétences affirmées en termes de hacking sont de redoutables qualités pour qui veut assurer la sécurité d’une entreprise et les meilleurs data-experts du monde (cryptographes, codeurs, consultants) ont un jour ou l’autre flirté avec les bas-fonds du web, certains ayant pour cela écopé d’une peine carcérale. Si ces comportements entraînent un problème de confiance de la part des recruteurs, elles ne changent rien au fait que le hacker se distingue du pirate, en ce qu’il reste un passionné qui maîtrise mieux que personne les renseignements et la configuration du logiciel, l’ayant lui-même hacké sans nécessaire intention de nuire. L’intégrer dans son entreprise revient à éviter qu’il ne récidive.
Ce nouveau regard apporté au recrutement constitue une alternative si intéressante pour les entreprises que certaines institutions sont prêtes à contourner des lois considérées comme rigides pour embaucher de tels hackers. C’est ainsi le cas du FBI, qui aux États-Unis assouplit ses exigences face à ses recrues en matière de consommation de stupéfiants pour pouvoir intégrer des hackers chevronnés dans leurs équipes. Une tendance à suivre également en France ? Un projet de création de cabinet de recrutement de « hackers éthiques » (les fameux White Hats) a récemment été soumis sur la plate-forme de crowdfunding KissKissBankBank… Pourquoi recruter un white hat ? Selon le projet, les raisons sont pour le moins loin de manquer :
Seul le hacker a les capacités de repérer les failles du système, et d’analyser une attaque de A à Z. Le hacker est un passionné qui agit. Le hacker entretient des rapports familiers avec l’Inconnu et l’Incertitude. Il est le seul à présenter simultanément les qualités suivantes : de fortes capacités adaptatives, de la créativité, de la démarche heuristique et du pragmatisme, une intelligence intuitive, la rationalité, la ténacité, et la recherche de l’amélioration continue, le culte de la performance, le sens du travail d’équipe, l’autonomie, l’innovation et finalement: le refus du déterminisme !