(English version below)
En juillet 2018, un rapport de l’Institut Ponemon a estimé que le coût des failles de sécurité avait augmenté de 6,4% et le nombre de données volées ou perdues à cause des cyber-attaques avait augmenté de 2,2% par rapport à 2017. L’année 2018 a vu l’apparition de failles de sécurité telles que Spectre et Meltdown, le scandale Facebook-Cambridge Analytica, le piratage de Marriott et un nombre élevé de cas d’hameçonnage.
Une vulnérabilité doit exister et être exploitable pour qu’une brèche de sécurité soit réussie. Il peut exister des vulnérabilités techniques, mais aussi des vulnérabilités de procédure ou de personnes. Une approche selon le modèle de défense en profondeur (defense in depth (DiD) en anglais) à multicouches est nécessaire afin de se protéger contre ces menaces. Cela implique non seulement d’identifier les vulnérabilités techniques, mais aussi celles qui sont liées aux individus. Traditionnellement, afin de se protéger, les organisations utilisent une approche défensive en ayant recours à des pare-feu, des logiciels antivirus ou logiciels anti-programmes malveillants, une segmentation du réseau ou une liste de contrôle des accès. Au cours des dernières années, l’attention s’est déplacée des aspects techniques de la sécurité de l’information pour y inclure les aspects humains. Cela implique de s’adresser aux formations en sensibilisation à la sécurité ayant pour but d’éduquer les utilisateurs sur les meilleures pratiques de sécurité et à détecter les activités malveillantes.
Il est clair qu’il n’existe pas un seul moyen de contrôle qui puisse empêcher les menaces à la sécurité. S’assurer de l’efficacité d’un programme de cybersecurité est important et une des méthodes clé afin de conduire un test de pénétration. Le but de ce test est d’évaluer l’efficacité des contrôles et signaler les résultats. Les professionnels engagés pour effectuer ces test sont communément appelé pirates éthiques. Un pirate éthique identifie les vulnérabilités au sein d’une organisation. Ils peuvent aussi essayer d’exploiter n’importe quelle vulnérabilité qu’ils trouvent en ayant pour but de gagner un accès administratif ou avoir accès à des informations sensibles et confidentielles.
La confiance joue un rôle important lorsque les organisations embauchent des pirates éthiques. Une organisation invite un pirate à l’attaquer et gagner l’accès non seulement à des informations potentiellement sensibles, mais aussi à des informations sur les vulnérabilités du système de l’organisation. Ainsi un certain niveau de confiance doit être établit afin que l’organisation puisse s’assurer que le pirate se conduira d’une manière éthique.
Thomas Goerg, Oliver Burmeister et Gregory Low ont effectué une revue de la littérature existante sur ces questions. Seulement 0,1% des articles identifiés portent sur le piratage éthique et la confiance implicite et 3,9% portent sur le professionnalisme. Avant 2001, il n’y avait aucun article sur ce sujet. En 2013, d’importantes brèches de sécurité (telles que celles de Target ou Adobe) peuvent expliquer une augmentation d’articles sur la problématique. La majorité des articles portait sur l’apprentissage du piratage éthique aux étudiants car ces derniers peuvent utiliser les techniques qu’ils apprennent de manière inappropriée ou illégale. Aussi, certaines études se sont intéressées au contexte de la confiance implicite envers les systèmes et plateformes ou les sites web connus. Enfin, il existe un certain nombre de code d’éthique et de conduite dans l’industrie de la sécurité de l’information (par exemple, code de conduite de l’Australian Computer Society, code de conduite de CREST, code d’éthique du EC-Council, etc.), mais il n’existe aucun code de conduite uniforme ou obligatoire pour le piratage éthique.
Les auteurs concluent leur étude en soulignant la nécessité de recherches futures sur des sujets tels que l’identification du besoin de développer un code de conduite unifié et obligatoire qui s’appliquera aux pirates éthiques.
Citer: Georg, T, Burmeister, O. et Low, G. (2018). Issues of Implied Trust in Ethical Hacking. ORBIT Journal, 2(1) 10.29297/orbit.v2i1.77
Source: https://www.researchgate.net/publication/321717098_Issues_of_Implied_Trust_in_Ethical_Hacking
In July 2018, a report from Ponemon Institute estimated that the cost of data breaches increased by 6.4 % and the number of data stolen or lost because of cyber-attacks increased by 2.2% compared to 2017. Many security breaches like Spectre and Meltdown, Facebook-Cambridge Analytica scandal, hacking of Marriott data and a wide number of phishing scam occured in 2018.
For a breach to be successful, a vulnerability needs to exist and be exploited. There can be technical vulnerabilities but also vulnerabilities in processes or related to people. A multilayered “defense in depth”(DiD) approach is needed to protect against threats. This includes not only identifying technical vulnerabilities, but also those that are people related. Traditionally a defensive approach to protect organizations has been used such as firewalls, antivirus/antimalware software, network segmentation, and access control lists. Over the past few years the focus has shifted from just the technical aspects of information security to include the human factor ones. This includes addressing security awareness training, which aims to educate users on best security practices and detecting malicious activities.
It is clear that there is no single control that can prevent security threats. Ensuring the effectiveness of the cyber security program is important and a key method to do this is through conducting a penetration test. The aim of the test is to assess the controls effectiveness and report back any findings. Professionals hired to perform those tests are commonly known as ethical hackers. An ethical hacker will identify vulnerabilities within an organization. They can also attempt to exploit any vulnerability they discover with the purpose of gaining administrative access or gaining access to confidential and sensitive information.
Trust plays an important role when organizations engage the services of ethical hackers. An organization is inviting a hacker to attack them and gain not only access to potentially sensitive information, but information about the vulnerabilities the organization has. Therefore, a level of trust needs to be established so that the organization will have an adequate level of confidence that the professionals will conduct themselves in an ethical manner.
Thomas Goerg, Oliver Burmeister and Gregory Low analyzed a review of existing literature. Only 0.1% of identified articles written on ethical hacking discuss implied trust and 3.9% discuss professionalism. Prior to 2001, no literature was identified that discusses these areas. In 2013, there were several significant breaches (Target and Adobe breaches) that occurred that may explain or have influenced the spike in literature that year. Much of the existing literature focuses on teaching ethical hacking to students as they may use the techniques they have learned inappropriately or in an illegal manner. Also, some studies focused on the context of implied trust towards systems and platforms, such as trust toward security platforms and well-known websites. Finally, there are currently a number of codes of ethics and conduct in the information security industry (e.g. Australian Computer Society Code of Ethics, CREST Code of Conduct, EC-Council Code of Ethics, etc.) but there is no uniform or mandatory code of conduct for ethical hacking.
The authors concluded their work by highlighting the necessity for further research on this topic, such as identifying a need in developing mandatory, unified code of conduct that applies to ethical hackers.
Cite: Georg, T, Burmeister, O. and Low, G. (2018). Issues of Implied Trust in Ethical Hacking. ORBIT Journal, 2(1) 10.29297/orbit.v2i1.77
Source: https://www.researchgate.net/publication/321717098_Issues_of_Implied_Trust_in_Ethical_Hacking
