Comment combler les lacunes en matière de cybersécurité

Comment combler les lacunes en matière de cybersécurité Gorodenkoff / Shutterstock.com

Les incidents de cybersécurité gagnent de plus en plus en visibilité. Dans le passé, ces incidents avaient peut-être été principalement perçus comme une question un peu lointaine pour les organisations telles que les banques. Mais les attaques récentes telles que le 2017 Incident de Wannacry, dans lequel une cyberattaque a désactivé les systèmes informatiques de nombreuses organisations, y compris le NHS, démontre les conséquences réelles des cyberattaques.

Ces attaques sont de plus en plus sophistiquées, faisant appel à la manipulation psychologique et à la technologie. Parmi les exemples, citons les courriels de phishing, dont certains peuvent être extrêmement convaincants et crédibles. Ces e-mails de phishing ont conduit à des violations de la cybersécurité, même dans les plus grandes entreprises de technologie, y compris Facebook et Google.

Pour faire face à ces défis, la société a besoin de professionnels de la cybersécurité capables de protéger les systèmes et d'atténuer les dommages. Pourtant, la demande de praticiens qualifiés en cybersécurité a rapidement dépassé l'offre, avec trois millions postes de cybersécurité non pourvus partout dans le monde.

Il peut donc être surprenant qu'il existe déjà une population active passionnée par la cybersécurité, les pirates informatiques. C'est un terme avec de nombreuses connotations négatives. Il évoque l'image stéréotypée d'un adolescent assis dans une pièce sombre, tapant furieusement pendant qu'un texte vert défile sur l'écran de l'ordinateur, souvent en présumant qu'une activité criminelle est en cours. L'idée d'inclure de telles personnes dans la création et la protection de systèmes informatiques peut sembler paradoxale.

Mais - comme nous l’avons souligné dans notre recherches récentes - la réalité des communautés de piratage informatique est plus complexe et nuancée que ne le suggèrent les stéréotypes. Même l'expression «pirate informatique» est controversée pour de nombreuses personnes qualifiées de «pirates informatiques». C'est parce qu'il a perdu le sens original: quelqu'un qui utilise la technologie pour résoudre un problème de manière innovante.

Hacking aujourd'hui

Il existe un nombre croissant de communautés de piratage en ligne - et de réunions et de conventions hors ligne régulières où les pirates se rencontrent en personne. L’un des plus importants de ces événements est DEFCON, qui se tient chaque année à Las Vegas et à laquelle participent jusqu’à 20,000. Ces communautés et événements de piratage constituent une source d'informations importante pour les jeunes qui se lancent dans le piratage et peuvent constituer leur premier contact avec d'autres pirates.

En surface, les conversations tenues sur ces forums sont souvent liées au partage d'informations. Les gens recherchent des conseils sur la manière de surmonter différents obstacles techniques dans le processus de piratage. Une assistance est fournie à ceux qui rencontrent des difficultés - à condition qu'ils démontrent d'abord une volonté d'apprendre. Cela reflète l’une des caractéristiques des communautés de piratage informatique, à savoir qu’il existe une culture d’individus faisant preuve de passion et de volonté de surmonter les obstacles.

Mais ces événements vont bien au-delà du partage de compétences pratiques. En tant qu'individus, nous sommes fortement influencés par ceux qui nous entourent, souvent avec un plus grand accord dont nous sommes conscients. C'est particulièrement le cas lorsque nous sommes dans un nouvel environnement et que nous ne sommes pas certains des normes sociales du groupe. En tant que telles, ces communautés de piratage en ligne et hors ligne constituent également une source importante d’identité sociale pour les individus. Ils apprennent ce qui est un comportement inacceptable ou non, y compris l'éthique et la légalité du piratage.

Mythes et opportunités

Il est important de souligner ici que le piratage informatique n'est pas une activité intrinsèquement illégale. Il existe de nombreuses possibilités de piratage éthique, qui consiste à tenter de pirater des systèmes dans le but de détecter et de corriger les failles que des pirates informatiques malveillants peuvent tenter d'exploiter à des fins d'activités criminelles.

Nos recherches démontrent que la majorité des personnes actives dans les communautés de piratage informatique ne souhaitent pas exploiter la défauts qu'ils trouvent bien qu'ils croient que ces failles doivent être dénoncées pour pouvoir être corrigées - en particulier lorsque l'organisation concernée détient des données publiques et dispose de ressources suffisantes pour qu'il soit raisonnable de penser qu'elles ne devraient pas avoir de faille dans leur cybersécurité. Plusieurs grandes entreprises bien connues s’engagent activement dans cette culture en proposant aux pirates informatiques «primes de bug”- des récompenses financières pour identifier et signaler les faiblesses jusque-là inconnues de leurs systèmes.

Bien sûr, le piratage criminel se produit - et beaucoup de personnes à qui nous avons parlé reconnaissent participer à des activités d'une légalité douteuse afin d'atteindre leur objectif de trouver les failles d'un système. Cela crée un risque pour les personnes, en particulier les jeunes adultes, qui se livrent au piratage. Par ignorance ou délibérément en erreur, ils peuvent être impliqués dans des activités qui les amènent à obtenir un casier judiciaire.

Si tel est le cas, cela les concerne non seulement en tant qu'individu, mais également pour la profession de cybersécurité. En raison de cette culture, de nombreuses entreprises sont privées d'individus qui auraient pu contribuer à combler le fossé de plus en plus urgent des professionnels de la cybersécurité. Pour faire face à ces deux problèmes, nous devons dépasser les stéréotypes inutiles et négatifs et travailler avec les jeunes et les communautés de piratage informatique pour faire prendre conscience de la façon dont leur passion et leurs compétences peut être utilisé relever les défis de la cybersécurité auxquels la société est confrontée.La Conversation

À propos des auteurs

John McAlaney, professeur agrégé en psychologie, Université de Bournemouth et Helen Thackray, associée principale de recherche, Université de Portsmouth

Cet article est republié de La Conversation sous une licence Creative Commons. Lis le article original.

Livres connexes

{amazonWS: searchindex = Livres; keywords = Travaux de cybersécurité; maxresults = 3}