Quand il s'agit de protéger votre entreprise, vous ne pouvez jamais être trop prudent. C'est pourquoi, à l'ère des attaques DDoS et de l'hameçonnage, il peut être utile d'avoir une assurance de votre côté. Les pirates éthiques, parfois appelés «chapeaux blancs», possèdent les mêmes compétences que les pirates informatiques, mais ils les utilisent uniquement pour détecter et corriger les faiblesses de la technologie Internet de l'entreprise plutôt que de les exploiter. Si vous avez besoin d'un pirate éthique, commencez par formuler un énoncé de mission clair décrivant ce que vous espérez accomplir avec leur aide. Vous pouvez ensuite rechercher des candidats qualifiés via des programmes de certification officiels ou des marchés de hackers en ligne.

Première partie de trois:
Remplir la position

  1. 1 Evaluer les risques de ne pas être protégé. Il peut être tentant d'essayer de faire des économies en restant fidèle à votre équipe informatique existante. Sans sauvegarde spécialisée, les systèmes informatiques de votre entreprise seront vulnérables aux attaques trop sophistiquées pour un ordinateur moyen. Il suffirait d'une de ces attaques pour nuire gravement aux finances et à la réputation de votre entreprise.[1]
    • En tout, le coût moyen de sécurisation et de nettoyage d'une violation de données en ligne est d'environ 4 millions de dollars.[2]
    • Pensez à embaucher un chapeau blanc pour souscrire une police d'assurance. Quelle que soit la commande de leurs services est un petit prix à payer pour votre tranquillité d'esprit.
  2. 2 Identifiez les besoins en cybersécurité de votre entreprise. Il ne suffit pas de simplement décider que vous devez renforcer vos défenses Internet. Proposez un énoncé de mission décrivant exactement ce que vous espérez accomplir en embauchant un expert externe. De cette façon, vous et votre candidat aurez une idée claire de leurs tâches.[3]
    • Par exemple, votre entreprise financière pourrait avoir besoin d'une protection accrue contre l'usurpation de contenu ou l'ingénierie sociale, ou votre nouvelle application d'achat pourrait exposer les clients au vol de leurs informations de carte de crédit.[4]
    • Votre déclaration devrait fonctionner comme une sorte de lettre de motivation inversée. Non seulement il annoncera le poste, mais décrira également l'expérience spécifique que vous recherchez. Cela vous permettra d'éliminer les candidats occasionnels et de trouver la meilleure personne pour le poste.
  3. 3 Soyez prêt à offrir un salaire compétitif. Avoir un pirate éthique de votre côté est un geste judicieux, mais ce n’est pas bon marché. Selon PayScale, la plupart des chapeaux blancs peuvent s'attendre à gagner 70 000 $ ou plus par année. Encore une fois, il est important de garder à l'esprit que le travail qu'il effectuera vaut ce qu'il demande. C'est un investissement que vous ne pouvez probablement pas vous permettre ne pas faire.[5]
    • Un taux de rémunération exagéré est un petit échec financier par rapport à un trou dans le système informatique dont dépend votre entreprise pour réaliser des bénéfices.
  4. 4 Voir si vous pouvez embaucher un pirate par le travail. Il n'est peut-être pas nécessaire de garder un chapeau blanc sur votre personnel informatique à temps plein. Dans le cadre de votre énoncé d'objectifs, précisez que vous recherchez un consultant pour mener un projet majeur, peut-être un test de pénétration externe ou une réécriture de certains logiciels de sécurité. Cela vous permettra de leur verser une rétribution unique plutôt qu'un salaire continu.
    • Le travail de consultation peut être parfait pour les pirates indépendants ou ceux qui ont récemment reçu leur certification.
    • Si vous êtes satisfait des performances de votre expert en cybersécurité, vous pouvez leur offrir une chance de travailler à nouveau avec vous sur de futurs projets.

Deuxième partie de trois:
Suivi d'un candidat qualifié

  1. 1 Recherchez des candidats avec une certification Certified Ethical Hacker (CEH). Le Conseil international des consultants en commerce électronique (CE-Council en abrégé) a répondu à la demande croissante de pirates informatiques éthiques en créant un programme spécial de certification conçu pour les former et les aider à trouver un emploi. Si l'expert en sécurité que vous interrogez peut indiquer la certification officielle CEH, vous pouvez être sûr qu'il s'agit du véritable article et non de quelqu'un qui a appris son métier dans un sous-sol sombre.[6]
    • Bien que le piratage des informations d'identification puisse être difficile à vérifier, vos candidats devraient être tenus de respecter les mêmes normes rigoureuses que tous les autres candidats.
    • Évitez d'embaucher quelqu'un qui ne peut pas fournir une preuve de certification CEH. Comme ils n’ont pas de tiers pour s’assurer, les risques sont trop élevés.
  2. 2 Parcourez un marché en ligne de hackers éthiques. Jetez un coup d'œil à certaines des annonces sur des sites tels que Hackers List et Neighbourhood haker. Semblables aux plates-formes de recherche d'emploi ordinaires telles que Monster et Indeed, ces sites compilent les entrées de pirates éligibles recherchant des opportunités pour appliquer leurs compétences. Cela peut être l'option la plus intuitive pour les employeurs qui sont habitués à un processus d'embauche plus traditionnel.[7]
    • Les marchés éthiques des hackers ne font que promouvoir des spécialistes légaux et qualifiés, ce qui signifie que vous pouvez dormir facilement en sachant que vos moyens de subsistance seront entre bonnes mains.
  3. 3 Organisez une compétition de piratage ouverte. Une solution amusante que les employeurs ont commencé à utiliser pour attirer des candidats potentiels consiste à opposer les concurrents dans des simulations de piratage. Ces simulations sont modélisées après les jeux vidéo et sont conçues pour mettre à l'épreuve l'expertise générale et les capacités de prise de décision rapides. Le gagnant de votre concours pourrait bien être celui qui fournira le soutien que vous recherchez.[8]
    • Demandez à votre équipe technique de préparer une série de puzzles inspirés des systèmes informatiques courants ou achetez une simulation plus sophistiquée à un développeur tiers.[9]
    • En supposant que concevoir votre propre simulation représente trop de travail ou de dépenses, vous pouvez également essayer de contacter les anciens gagnants de compétitions internationales comme Global Cyberlympics.[10]
  4. 4 Entraînez un membre de votre personnel à gérer vos tâches de contre-piratage. Toute personne est libre de s'inscrire au programme du Conseil de la CE que les chapeaux blancs utilisent pour obtenir leur certification CEH.Si vous préférez conserver une position aussi prestigieuse en interne, envisagez de faire suivre l’un de vos employés actuels en informatique. On leur apprendra à effectuer des tests de pénétration qui pourront ensuite être utilisés pour détecter les fuites.[11]
    • Le programme est structuré comme un cours pratique de 5 jours, avec un examen complet de 4 heures donné le dernier jour. Les participants doivent obtenir un score d'au moins 70% pour réussir.[12]
    • Il en coûte 500 $ pour passer l'examen, en plus des frais supplémentaires de 100 $ pour les étudiants qui choisissent d'étudier seuls.[13]

Troisième partie de trois:
Amener un pirate éthique dans votre entreprise

  1. 1 Effectuer une vérification approfondie des antécédents. Il faudra que vos candidats fassent l'objet d'une enquête approfondie avant même de penser à les inscrire sur votre liste de paie. Envoyer leurs informations à HR ou à une organisation externe et voir ce qu'ils présentent. Portez une attention particulière à toute activité criminelle passée, en particulier celles impliquant des infractions en ligne.[14]
    • Tout type de comportement criminel qui apparaît dans les résultats d'une vérification des antécédents doit être considéré comme un drapeau rouge (et probablement un motif de disqualification).[15]
    • La confiance est la clé de toute relation de travail. Si vous ne pouvez pas faire confiance à la personne, elle n'appartient pas à votre entreprise, quelle que soit son expérience.
  2. 2 Interviewez votre candidat en profondeur. En supposant que votre prospect réussisse sa vérification des antécédents, la prochaine étape du processus consiste à mener une interview. Demandez à votre responsable informatique, un membre des ressources humaines, de s'asseoir avec le candidat avec une liste de questions préparées, telles que: "Comment avez-vous été impliqué dans le piratage éthique?" des outils que vous utilisez pour filtrer et neutraliser les menaces? " et "donnez-moi un exemple de la défense de notre système contre une attaque de pénétration externe".[16]
    • Rencontrez-vous face à face plutôt que de vous fier au téléphone ou au courrier électronique pour avoir une idée précise du caractère du demandeur.
    • Si vous avez des préoccupations persistantes, planifiez un ou plusieurs entretiens de suivi avec un autre membre de l'équipe de direction pour obtenir un deuxième avis.
  3. 3 Affectez votre expert en cybersécurité à travailler en étroite collaboration avec votre équipe de développement. À l'avenir, la première priorité de votre équipe informatique devrait être de prévenir les cyberattaques plutôt que de les nettoyer. Grâce à cette collaboration, les personnes qui créent le contenu en ligne de votre entreprise apprendront des pratiques de codage plus sûres, des tests de produits plus exhaustifs et d’autres techniques pour déjouer les fraudeurs potentiels.[17]
    • Avoir un pirate éthique là-bas pour vérifier chaque nouvelle fonctionnalité peut ralentir légèrement le processus de développement, mais les nouvelles fonctionnalités de sécurité hermétiques qu’ils conçoivent en valent la peine.[18]
  4. 4 Informez-vous sur la manière dont la cybersécurité affecte votre entreprise. Profitez de la richesse des connaissances de votre chapeau blanc et apprenez-en un peu sur les types de tactiques couramment utilisées par les pirates. Lorsque vous commencerez à comprendre comment les cyberattaques sont planifiées et exécutées, vous pourrez les voir arriver.[19]
    • Demandez à votre consultant de soumettre des briefings réguliers et détaillés sur ce qu'ils ont découvert. Une autre méthode consiste à analyser leurs résultats avec l'aide de votre équipe informatique.
    • Encouragez votre pirate informatique engagé à expliquer les mesures qu’il met en place plutôt que de les laisser agir sans poser de questions.
  5. 5 Surveillez de près votre pirate. Bien qu'il soit improbable qu'ils tentent quelque chose de peu scrupuleux, ce n'est pas en dehors du domaine des possibilités. Demandez aux autres membres de votre équipe informatique de surveiller votre état de sécurité et de rechercher les vulnérabilités qui n'existaient pas auparavant. Votre mission est de protéger votre entreprise à tout prix. Ne perdez pas de vue le fait que les menaces peuvent provenir de l’intérieur comme de l’extérieur.[20]
    • Une réticence à vous expliquer leurs plans ou méthodes exacts peut être un signe d’avertissement.
    • Si vous avez des raisons de soupçonner qu'un spécialiste externalisé nuit à votre entreprise, n'hésitez pas à mettre fin à leur emploi et à en chercher un nouveau.