Comment embaucher un hacker éthique?
Quand il s'agit de protéger votre entreprise, vous ne pouvez jamais être trop prudent. C'est pourquoi, à l'ère des attaques DDoS et du phishing, il peut être utile d'avoir une assurance de votre côté. Les hackers éthiques, parfois appelés «chapeaux blancs», possèdent les mêmes compétences que les hackers criminels, seulement ils les utilisent pour trouver et corriger les faiblesses de la technologie Internet d'une entreprise plutôt que de les exploiter. Si vous avez besoin d'un hacker éthique, commencez par formuler un énoncé de mission clair décrivant ce que vous espérez réaliser avec leur aide. Vous pouvez ensuite rechercher des candidats qualifiés via des programmes de certification officiels ou des marchés de hackers en ligne.
Partie 1 sur 3: pourvoir le poste
- 1Évaluez les risques de ne pas être protégé. Il peut être tentant d'essayer d'économiser de l'argent en restant fidèle à votre équipe informatique existante. Cependant, sans sauvegarde spécialisée, les systèmes informatiques de votre entreprise seront vulnérables à des attaques beaucoup trop sophistiquées pour être détectées par le génie informatique moyen. Il suffirait d'une de ces attaques pour nuire gravement aux finances et à la réputation de votre entreprise.
- Au total, le coût moyen de la sécurisation et du nettoyage d'une violation de données en ligne est d'environ 3 millions d'euros.
- Pensez à louer un chapeau blanc comme à souscrire une police d'assurance. Quelle que soit la commande de leurs services, c'est un petit prix à payer pour votre tranquillité d'esprit.
- 2Identifiez les besoins de votre entreprise en matière de cybersécurité. Il ne suffit pas de décider simplement que vous devez renforcer vos défenses Internet. Préparez un énoncé de mission décrivant exactement ce que vous espérez accomplir en embauchant un expert externe. De cette façon, vous et votre candidat aurez une idée claire de leurs tâches.
- Par exemple, votre société financière peut avoir besoin d'une protection accrue contre l'usurpation de contenu ou l'ingénierie sociale, ou votre nouvelle application d'achat peut exposer les clients au risque de voir leurs informations de carte de crédit volées.
- Votre déclaration doit fonctionner comme une sorte de lettre de motivation inversée. Non seulement il annoncera le poste, mais décrira également l'expérience spécifique que vous recherchez. Cela vous permettra d'éliminer les candidats occasionnels et de trouver la meilleure personne pour le poste.
- 3Soyez prêt à offrir un salaire compétitif. Avoir un hacker éthique à vos côtés est une sage décision, mais ce n'est pas bon marché. Selon PayScale, la plupart des chapeaux blancs peuvent s'attendre à gagner 52200€ ou plus par an. Encore une fois, il est important de garder à l'esprit que le travail qu'ils effectueront vaut ce qu'ils demandent. C'est un investissement que vous ne pouvez probablement pas vous permettre de ne pas faire.
- Un taux de rémunération gonflé est un petit revers financier par rapport à un trou dans le système informatique dont dépend votre entreprise pour réaliser des bénéfices.
- 4Voyez si vous pouvez embaucher un pirate informatique à la tâche. Il n'est peut-être pas nécessaire de garder un chapeau blanc sur votre personnel informatique à plein temps. Dans le cadre de votre déclaration d'objectifs, précisez que vous recherchez un consultant pour mener un projet majeur, peut-être un test de pénétration externe ou une réécriture de certains logiciels de sécurité. Cela vous permettra de leur verser un acompte unique plutôt qu'un salaire continu.
- Le travail de conseil étrange peut être parfait pour les pirates indépendants ou ceux qui ont récemment reçu leur certification.
- Si vous êtes satisfait des performances de votre expert en cybersécurité, vous pouvez lui offrir la possibilité de travailler à nouveau avec vous sur de futurs projets.
Partie 2 sur 3: traquer un candidat qualifié
- 1Recherchez des candidats avec une certification de hacker éthique certifié (CEH). Le Conseil international des consultants en commerce électronique (EC-Council en abrégé) a répondu à la demande croissante de hackers éthiques en créant un programme de certification spécial conçu pour les former et les aider à trouver un emploi. Si l'expert en sécurité que vous interrogez peut indiquer la certification officielle CEH, vous pouvez être sûr qu'il s'agit de l'article authentique et non de quelqu'un qui a appris son métier dans un sous-sol sombre.
- Bien que le piratage des informations d'identification puisse être une chose difficile à vérifier, vos candidats doivent être tenus de respecter les mêmes normes rigoureuses que tous les autres candidats.
- Évitez d'embaucher des personnes qui ne peuvent pas fournir de preuve de certification CEH. Comme ils n'ont pas de tiers pour se porter garant d'eux, les risques sont tout simplement trop élevés.
- 2Parcourez un marché de hackers éthiques en ligne. Jetez un œil à certaines des listes sur des sites comme Hackers List et Neighborhoodhacker.com. Semblables aux plates-formes de recherche d'emploi ordinaires telles que Monster et Indeed, ces sites compilent les candidatures de pirates éligibles à la recherche d'opportunités pour appliquer leurs compétences. C'est peut-être l'option la plus intuitive pour les employeurs habitués à un processus d'embauche plus traditionnel.
- Les marchés de hackers éthiques ne promeuvent que des spécialistes légaux et qualifiés, ce qui signifie que vous pouvez dormir tranquille en sachant que votre gagne-pain sera entre de bonnes mains.
- 3Organisez un concours de piratage ouvert. Une solution amusante que les employeurs ont commencé à utiliser pour attirer des candidats potentiels consiste à opposer les concurrents les uns aux autres dans des simulations de piratage en tête-à-tête. Ces simulations sont calquées sur des jeux vidéo et sont conçues pour mettre à l'épreuve l'expertise générale et les capacités de prise de décision rapide. Le gagnant de votre concours est peut-être celui qui vous fournira le soutien que vous recherchiez.
- Demandez à votre équipe technique de préparer une série d'énigmes inspirées de systèmes informatiques courants ou achetez une simulation plus sophistiquée auprès d'un développeur tiers.
- En supposant que la conception de votre propre simulation représente trop de travail ou de dépenses, vous pouvez également essayer d'entrer en contact avec d'anciens lauréats de compétitions internationales comme Global Cyberlympics.
- 4Formez un membre de votre personnel à gérer vos tâches de lutte contre le piratage informatique. Tout le monde est libre de s'inscrire au programme EC-Council que les chapeaux blancs utilisent pour obtenir leur certification CEH. Si vous préférez conserver un poste aussi prestigieux en interne, envisagez de faire suivre le cours à l'un de vos employés informatiques actuels. Là, ils apprendront à effectuer des techniques de test de pénétration qui peuvent ensuite être utilisées pour sonder les fuites.
- Le programme est structuré comme un cours pratique de 5 jours, avec un examen complet de 4 heures donné le dernier jour. Les participants doivent obtenir un score d'au moins 70% pour réussir.
- Il en coûte 370€ pour passer l'examen, ainsi qu'un supplément de 75€ pour les étudiants qui choisissent d'étudier seuls.
Partie 3 sur 3: Faire entrer un pirate informatique éthique dans votre entreprise
- 1Effectuez une vérification approfondie des antécédents. Il sera nécessaire de faire une enquête approfondie sur vos candidats avant même de penser à les inscrire sur votre liste de paie. Envoyez leurs informations aux RH ou à une organisation extérieure et voyez ce qu'ils révèlent. Portez une attention particulière à toute activité criminelle passée, en particulier à celles impliquant des infractions en ligne.
- Tout type de comportement criminel qui apparaît dans les résultats d'une vérification des antécédents doit être considéré comme un signal d'alarme (et probablement un motif de disqualification).
- La confiance est la clé de toute relation de travail. Si vous ne pouvez pas faire confiance à la personne, elle n'appartient pas à votre entreprise, quelle que soit son expérience.
- 2Interviewez votre candidat en profondeur. En supposant que votre prospect passe avec succès sa vérification des antécédents, la prochaine étape du processus consiste à mener une entrevue. Demandez à votre responsable informatique, un membre des ressources humaines, de s'asseoir avec le candidat avec une liste de questions préparées, telles que «Comment vous êtes-vous impliqué dans le piratage éthique?», «Avez-vous déjà effectué un autre travail rémunéré?», «De quelles sortes des outils que vous utilisez pour détecter et neutraliser les menaces? " et «donnez-moi un exemple de la façon dont nous défendons notre système contre une attaque de pénétration externe».
- Rencontrez-vous en face à face, plutôt que de vous fier au téléphone ou à l'e-mail, afin que vous puissiez avoir une idée précise du caractère du candidat.
- Si vous avez des inquiétudes persistantes, planifiez une ou plusieurs entrevues de suivi avec un autre membre de l'équipe de direction afin d'obtenir un deuxième avis.
- 3Confiez à votre expert en cybersécurité le soin de travailler en étroite collaboration avec votre équipe de développement. À l'avenir, la priorité numéro un de votre équipe informatique devrait être de prévenir les cyberattaques plutôt que de les nettoyer. Grâce à cette collaboration, les gens qui créent de votre entreprise de contenu en ligne seront en savoir plus sûres pratiques de codage, plus des tests de produits exhaustive et d' autres techniques pour outsmarting serait-être arnaqueurs.
- Avoir un hacker éthique sur place pour vérifier chaque nouvelle fonctionnalité peut ralentir légèrement le processus de développement, mais les nouvelles fonctionnalités de sécurité hermétiques qu'ils conçoivent en valent la peine.
- 4Informez-vous sur l'impact de la cybersécurité sur votre entreprise. Tirez parti de la richesse des connaissances de votre chapeau blanc et apprenez-en un peu plus sur les types de tactiques couramment utilisées par les pirates. Lorsque vous commencez à comprendre comment les cyberattaques sont planifiées et exécutées, vous pourrez les voir venir.
- Demandez à votre consultant de vous soumettre régulièrement des informations détaillées sur ce qu'il a découvert. Une autre façon de se rafraîchir est d'analyser leurs résultats avec l'aide de votre équipe informatique.
- Encouragez votre pirate informatique engagé à expliquer les mesures qu'il met en œuvre plutôt que de simplement le laisser faire son travail sans aucun doute.
- 5Surveillez de près votre pirate informatique engagé. Bien qu'il soit peu probable qu'ils tentent quoi que ce soit sans scrupules, ce n'est pas hors du domaine des possibilités. Demandez aux autres membres de votre équipe informatique de surveiller l'état de votre sécurité et de rechercher des vulnérabilités qui n'existaient pas auparavant. Votre mission est de protéger votre entreprise à tout prix. Ne perdez pas de vue le fait que les menaces peuvent venir de l'intérieur comme de l'extérieur.
- Une réticence à vous expliquer leurs plans ou méthodes exacts peut être un signe d'avertissement.
- Si vous avez des raisons de soupçonner qu'un spécialiste externalisé nuit à votre entreprise, n'hésitez pas à mettre fin à son emploi et à en chercher un nouveau.
- La cybersécurité est une préoccupation vitale pour toutes les entreprises du 21e siècle, de la plus grande entreprise financière à la plus petite startup.
- L'achat d'une assurance cybersécurité peut garantir que vous récupérerez tout ce que vous perdez en cas d'escroquerie, de violation ou de fuite de données.
- Il peut être judicieux d'annoncer votre besoin d'un pirate informatique éthique sur des sites comme Reddit, où les chapeaux blancs sont connus pour faire parler de vous.
- Éloignez-vous des agents libres non certifiés, des hackers avec de fortes tendances politiques ou religieuses et des soi-disant «hacktivistes». Ces escrocs peuvent tenter d'utiliser les informations auxquelles ils ont accès à des fins insidieuses.
- Travailler avec un hacker, même éthique, pourrait avoir une mauvaise image de votre entreprise aux yeux de vos partenaires ou clients.
Lisez aussi: Comment supprimer Netintelligence sans mot de passe?