En 2005, la cybercriminalit\u00e9 a rapport\u00e9 davantage \u00e0 la mafia am\u00e9ricaine que le trafic de drogue. Un argument de choc qui justifie \u00e0 lui seul l’existence d’Ilion Security. La soci\u00e9t\u00e9 genevoise est sp\u00e9cialis\u00e9e dans le piratage l\u00e9gal, un hacking ethique destin\u00e9 aux entreprises souhaitant se d\u00e9fendre contre les attaques informatiques.<\/p>\n
Seule \u00e0 offrir ce service en Suisse romande, la start-up est n\u00e9e en 2002 de l’imagination de trois ing\u00e9nieurs de l’EPFL et emploie aujourd’hui 25 personnes en Suisse, en France, en Russie et \u00e0 Duba\u00ef.<\/p>\n
Les soci\u00e9t\u00e9s, qui jusqu’\u00e0 r\u00e9cemment r\u00e9fl\u00e9chissaient surtout en termes de s\u00e9curit\u00e9 physique, ont en effet commenc\u00e9 \u00e0 comprendre les avantages d’une infrastructure informatique r\u00e9sistante aux attaques.<\/p>\n
\u00abL’information, qui est la cible principale des hackers, repr\u00e9sente pour de nombreuses entreprises une part importante de leur valeur\u00bb, souligne C\u00e9dric Renouard, l’un des trois fondateurs d’Ilion Security.<\/p>\n
Exemples: les listes de clients et des num\u00e9ros de compte dans le cas d\u2019une banque, ou les r\u00e9sultats de recherche qui vont se transformer en brevets pour un groupe pharmaceutique. Les instances gouvernementales, qui repr\u00e9sentent 25% de la client\u00e8le de la soci\u00e9t\u00e9 (contre 65% de banques), sont \u00e9galement concern\u00e9es: \u00abLa r\u00e9cente affaire du fax \u00e9gyptien a affaibli la cr\u00e9dibilit\u00e9 de la Suisse. Un tort non n\u00e9gligeable pour un pays qui exporte beaucoup.\u00bb<\/p>\n
Tenant compte de la valeur croissante de l’information, Ilion Security propose aux entreprises un syst\u00e8me en six \u00e9tapes pour g\u00e9rer le risque d’une attaque informatique. Tout audit d\u00e9bute par la d\u00e9finition du niveau de s\u00e9curit\u00e9 que la soci\u00e9t\u00e9 veut atteindre.<\/p>\n
\u00abLa s\u00fbret\u00e9 \u00e0 100% n’existe pas. On peut cracker n’importe quel syst\u00e8me pour autant qu’on y mette les moyens suffisants. Il faut donc d\u00e9terminer le degr\u00e9 de s\u00e9curit\u00e9 id\u00e9al en fonction des besoins de l’entreprise.\u00bb<\/p>\n
D\u00e9bute ensuite la phase de hacking proprement dit, soit \u00abune simulation d’attaque r\u00e9aliste qui s’apparente au crash test que l’on fait subir aux voitures\u00bb. Seule diff\u00e9rence: Ilion Security n’endommage pas le syst\u00e8me lorsqu’elle le p\u00e9n\u00e8tre en douce.<\/p>\n
Les employ\u00e9s de la soci\u00e9t\u00e9 \u00abattaqu\u00e9e\u00bb ne sont pas mis au courant au pr\u00e9alable, de mani\u00e8re \u00e0 rendre le hack encore plus proche de la r\u00e9alit\u00e9. \u00abParfois, m\u00eame le responsable de la s\u00e9curit\u00e9 (CSO) ne sait pas que nous intervenons.\u00bb La firme genevoise dit parvenir \u00e0 craquer le syst\u00e8me de son client dans 98% des cas.<\/p>\n
Cette \u00e9tape permet de dresser un bilan des failles, ainsi que de d\u00e9finir les mesures pour y rem\u00e9dier et leur co\u00fbt. La r\u00e9alisation de ces recommandations sera confi\u00e9e par la suite \u00e0 une autre soci\u00e9t\u00e9, une s\u00e9paration des t\u00e2ches qui garantit l’ind\u00e9pendance d’Ilion Security.<\/p>\n
\u00abSi nous \u00e9tions \u00e9galement charg\u00e9s d’appliquer les solutions que nous proposons, nous aurions un int\u00e9r\u00eat financier direct \u00e0 dire que tout va bien ou mal, selon que nous venons d’installer un nouveau syst\u00e8me de s\u00e9curit\u00e9 ou que nous envisageons de le faire.\u00bb<\/p>\n
Un audit rapporte en effet bien moins que l’installation de m\u00e9canismes de s\u00fbret\u00e9, \u00abquelques centaines de milliers de francs contre plusieurs millions, dans le cas d’une soci\u00e9t\u00e9 de taille moyenne\u00bb.<\/p>\n
Parmi les recommandations d’Ilion Security figurent des mesures organisationnelles comme la mise en place d’un plan de r\u00e9action optimal en cas de piratage. \u00abIl faut d\u00e9terminer qui fait quoi, qui appellera la police, qui contactera l’avocat, qui est de piquet le week-end, etc.\u00bb<\/p>\n
Il s’agit \u00e9galement de former le personnel \u00e0 l’\u00e9ventualit\u00e9 d’une attaque informatique et de lui donner les outils de base pour pratiquer un audit interne du syst\u00e8me de s\u00e9curit\u00e9 de l’entreprise.<\/p>\n
Enfin, Ilion Security conseille quelques solutions technologiques: mise \u00e0 jour r\u00e9guli\u00e8re des postes, filtrage de l’information et compartimentage du syst\u00e8me pour \u00e9viter qu’une tentative de hacking localis\u00e9e ne contamine l’ensemble de la soci\u00e9t\u00e9.<\/p>\n
Des nouvelles technologies issues de la recherche devraient pouvoir \u00eatre appliqu\u00e9es bient\u00f4t. \u00abL’une d’entre elles, le Trusted Computing, servira \u00e0 s\u00e9curiser le poste de travail de l’employ\u00e9, qui est le point faible dans l’infrastructure informatique de toute entreprise, explique C\u00e9dric Renouard. Le PC du futur contiendra ainsi une puce qui d\u00e9sactivera tous les programmes non utilis\u00e9s lorsqu’une transaction d\u00e9licate est effectu\u00e9e (paiement, etc.).\u00bb<\/p>\n
Une fois l’audit pratiqu\u00e9 et les recommandations \u00e9mises, Ilion Security aide encore ses clients \u00e0 maintenir leur syst\u00e8me de s\u00fbret\u00e9 sur le long terme, leur conf\u00e9rant une \u00abind\u00e9pendance s\u00e9curitaire\u00bb. La soci\u00e9t\u00e9 genevoise est en effet partenaire d’Allianz et parvient \u00e0 ce titre \u00e0 obtenir pour ses mandants une assurance sur le hacking \u00e0 bon prix.<\/p>\n
\u00abNous t\u00e9moignons aupr\u00e8s de l’assureur du niveau de s\u00e9curit\u00e9 de l’entreprise. Or, plus il est \u00e9lev\u00e9 et plus les primes vont \u00eatre basses.\u00bb<\/p>\n
Mais quels sont, dans le fond, les risques informatiques encourus par une entreprise? \u00abDans 50% des cas, le probl\u00e8me vient de l’int\u00e9rieur, soit d’un employ\u00e9 m\u00e9content, corrompu ou maladroit\u00bb, r\u00e9pond le patron d’Ilion Security. <\/p>\n
Le hack peut prendre la forme d’un vol d’informations. \u00abUn g\u00e9rant de fortune qui vole la liste des clients de sa banque peut les revendre \u00e0 la concurrence, s’en servir pour son propre usage, faire chanter sa direction ou encore les publier sur internet, causant un tort d’image consid\u00e9rable \u00e0 l’\u00e9tablissement.\u00bb<\/p>\n
Le hacker peut \u00e9galement effectuer une op\u00e9ration frauduleuse (d\u00e9tournement d’argent, phishing) visant les soci\u00e9t\u00e9s et banques qui se servent de l’internet pour effectuer leurs paiements ou qui mettent ce service \u00e0 disposition de leurs clients.<\/p>\n
\u00abLe Citigroup s’est fait voler 30 millions de dollars comme cela\u00bb, d\u00e9taille C\u00e9dric Renouard, tout en pr\u00e9cisant que les banques suisses sont \u00abrelativement bien prot\u00e9g\u00e9es contre ce type de fraude\u00bb.<\/p>\n
Troisi\u00e8me risque: l’indisponibilit\u00e9. Le hacker met le serveur de l’entreprise hors service pendant une p\u00e9riode donn\u00e9e. \u00abUn employ\u00e9 de l’UBS m\u00e9content de sa prime de fin d’ann\u00e9e a bloqu\u00e9 le syst\u00e8me pendant 24 heures.\u00bb<\/p>\n
Une action malveillante qui aurait co\u00fbt\u00e9 pas loin de 100 millions de francs \u00e0 la banque, selon plusieurs sources.<\/p>\n
Aujourd’hui, Ilion Security est la seule entreprise suisse romande qui permette de lutter contre ce type d’attaques de fa\u00e7on globale. Une autre soci\u00e9t\u00e9 bas\u00e9e \u00e0 Gen\u00e8ve, Hacknet, fait du hacking \u00e9thique, mais sans proposer de solutions par la suite.<\/p>\n
Quant \u00e0 Objectif Securit\u00e9, une start-up fond\u00e9e par le professeur de l’EPFL Philippe Oechslin \u00e0 Gland, elle propose surtout des audits et applique les mesures de s\u00e9curit\u00e9 pr\u00f4n\u00e9es par des firmes comme Ilion Security. \u00abNous sommes en fait assez compl\u00e9mentaires avec nos concurrents\u00a0\u00bb, dit C\u00e9dric Renouard.<\/p>\n
Sur le march\u00e9 suisse, seule une firme al\u00e9manique, OneConsult, intervient \u00e0 peu pr\u00e8s sur le m\u00eame cr\u00e9neau qu’Ilion Security \u00abtout en faisant davantage d’impl\u00e9mentation\u00bb.<\/p>\n
A l’\u00e9tranger, en revanche, les concurrents sont nombreux, notamment aux Etats-Unis, en Isra\u00ebl, en Russie et en Afrique du Sud. Ilion Security b\u00e9n\u00e9ficie toutefois d’un avantage sur ses concurrents.<\/p>\n
\u00abNous profitons du label suisse. En Russie, par exemple, on nous font davantage confiance qu’\u00e0 une soci\u00e9t\u00e9 de hacking locale. Et au Moyen-Orient, la neutralit\u00e9 helv\u00e9tique joue en notre faveur, par rapport aux entreprises am\u00e9ricaines ou isra\u00e9liennes.\u00bb La r\u00e9putation de s\u00e9rieux et de pr\u00e9cision du \u00abSwiss made\u00bb a encore frapp\u00e9\u2026<\/p>\n
——-<\/p>\n
Profession hacker<\/p>\n
Les employ\u00e9s d’Ilion Security passent leurs journ\u00e9es \u00e0 cracker les syst\u00e8mes informatiques des banques de la place et des plus grandes entreprises pharmaceutiques du pays. La soci\u00e9t\u00e9 genevoise se doit donc de choisir son personnel soigneusement. \u00abNous engageons des gens tr\u00e8s comp\u00e9tents techniquement, mais nous examinons \u00e9galement leur casier judiciaire, qui doit \u00eatre vierge, ainsi que leur stabilit\u00e9, leur honn\u00eatet\u00e9 et leur d\u00e9ontologie\u00bb, d\u00e9taille C\u00e9dric Renouard, l’un des trois co-fondateurs d’Ilion Security.<\/p>\n
Des crit\u00e8res s\u00e9v\u00e8res \u00e0 la hauteur de l’enjeu. Il s’agit d’\u00e9viter \u00e0 tout prix le hacker \u00aboff the record\u00bb, qui entreprend des actions ill\u00e9gales \u00e0 c\u00f4t\u00e9 de son travail ou le soir, une fois rentr\u00e9 chez lui. D’autant que le pirate \u00e9thique doit rester en contact permanent avec le monde du hack s’il veut se tenir au courant des derni\u00e8res nouveaut\u00e9s.<\/p>\n
\u00abChaque auditeur investit une partie de son temps pour cela, indique Antonio, l’un des employ\u00e9s de la firme qui pr\u00e9f\u00e8re conserver l’anonymat pour des raisons de s\u00e9curit\u00e9. Nous nous rendons \u00e9galement aux r\u00e9unions internationales et suivons les r\u00e8gles du r\u00e9seautage.\u00bb<\/p>\n
Antonio raconte qu’il s’est retrouv\u00e9, \u00e0 un moment donn\u00e9, face \u00e0 un \u00abdilemme \u00e9thique\u00bb, au vu des possibilit\u00e9s que lui offraient ses comp\u00e9tences informatiques. Il a d\u00fb faire un choix: \u00abJ’ai d\u00e9cid\u00e9 que je ne voulais pas enfreindre la loi\u00bb. Ilion Security lui offrait \u00e0 cet \u00e9gard la seule possibilit\u00e9 d’exercer sa passion en conformit\u00e9 avec la loi.<\/p>\n
\u00abC’est un choix de vie, comme entrer dans la police plut\u00f4t que dans le crime organis\u00e9\u00bb, observe C\u00e9dric Renouard. Pour parer \u00e0 toute \u00e9ventualit\u00e9, la start-up genevoise ne m\u00e9nage pas ses moyens.<\/p>\n
\u00abNous faisons tout notre possible pour que nos employ\u00e9s demeurent stables: nous leur offrons de bonnes conditions de travail, un tr\u00e8s bon salaire et nous n’engageons que des r\u00e9sidents helv\u00e9tiques qui ont des attaches ici.\u00bb<\/p>\n
La Suisse \u00e9tant dot\u00e9e d’un niveau de vie \u00e9lev\u00e9, les employ\u00e9s d’Ilion Security risquent aussi moins de c\u00e9der \u00e0 une offre malhonn\u00eate. \u00abIl est plus facile d’\u00eatre honn\u00eate quand on gagne bien sa vie\u00bb, r\u00e9sume-t-il.<\/p>\n
Par ailleurs, seuls les auditeurs concern\u00e9s par un contrat particulier connaissent le nom du mandant. Face au reste des employ\u00e9s, le client est d\u00e9sign\u00e9 par un pseudonyme. <\/p>\n
Les employ\u00e9s d’Ilion Security ne sont-ils pas tout de m\u00eame soumis \u00e0 une tentation \u00e9norme, eux qui ont quotidiennement entre les mains des informations hautement confidentielles qui peuvent rapporter gros? C\u00e9dric Renouard reste confiant:<\/p>\n
\u00abSi l’un de nos auditeurs parvient \u00e0 hacker un syst\u00e8me depuis chez nous, c’est qu’il peut le faire depuis l’ext\u00e9rieur \u00e9galement. Or, si vous aviez le choix entre cambrioler une banque en lui remettant votre passeport au pr\u00e9alable ou de le faire anonymement, que choisissez-vous?\u00bb CQFD.<\/p>\n
——-
\nUne version de cet article est parue dans le magazine Reflex de janvier 2007.<\/p>\n","protected":false},"excerpt":{"rendered":"
Ils tentent de s\u2019introduire par effraction dans les syst\u00e8mes informatiques. Et ils sont pay\u00e9s pour cela. Rencontre avec les professionnels de Ilion Security, \u00e0 Gen\u00e8ve.<\/p>\n","protected":false},"author":19062,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[],"class_list":["post-2325","post","type-post","status-publish","format-standard","hentry","category-technophile","technophile"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts\/2325","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/users\/19062"}],"replies":[{"embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2325"}],"version-history":[{"count":0,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts\/2325\/revisions"}],"wp:attachment":[{"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2325"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2325"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2325"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}