Embrassez un hacker...

L’entreprise X a été piratée et 3 millions de données personnelles se retrouvent dans la nature. C’est un gros titre que l’on pourrait lire dans n’importe quel journal. Une entreprise de premier plan a été piratée et maintenant, elle a un gros problème.

Mais elle n’est pas la seule, car tous ses clients sonteux aussi fortement impactés. Les données des cartes de crédit et les données personnelles se retrouvent dans la nature avec, à la clé, des possibilités de fraude à l’identité.

Les hackers sont des criminels!

Cette affirmation se confirme lorsque vous tapez "hacker" dans Google et que vous cliquez sur les images. Vous nevoyez que des masques de ski et des sweats à capuche. Des bandits.

Vous ne lirez jamais « Le hacker X a aidé l’entreprise X à ne PAS être piratée grâce à un acte de divulgation responsable. » Bien que j’ose affirmer que ce genre de situation arrive bien plus souvent que des actes de piratage « malveillants ». En tant que hacker community aux Pays-Bas, nous avons travaillé dur pour concevoir une magnifique politique de divulgation responsable. En coopération avec le ministère public et le NCSC (Centre national de Cybersécurité). La collaboration avec des hackers est très appréciée, et elle fonctionne.

De très nombreux hackers veulent simplement vous aider.

Qu’implique une politique de divulgation responsable? Imaginez que vous ayez une entreprise avec un beau site internet et des produits tout aussi attractifs. Si un hacker trouve une faille dans votre site internet et peut accéder à des données personnelles, il peut bien entendu les dérober et les vendre, mais ce qu’il peut faire aussi, c’est vous informer du piratage et vous aider à colmater la brèche. Le hacker doit toutefois se conformer à certaines règles: ne pas faire d’utilisation abusive des données, ne pas signaler la brèche à des tiers, ne télécharger que les données strictement nécessaires pour prouver que la brèche est réelle. Et vous informer de la manière dont il/elle l’a découverte et, de préférence aussi, comment vous pourriez y remédier.

En tant qu’entreprise, vous êtes aussi soumis à certaines règles, dont les principales sont: réagir dans un délai bien défini (en général 5 jours), entamer la discussion avec le lanceur d’alerte, et promettre de ne pas porter plainte. That’s it. Vous êtes informé d’une brèche de sécurité et pouvez y remédier en collaboration avec le hacker, de manière à ce que des personnes malveillantes ne puissent plus utiliser vos données de manière abusive. Et qu’est-ce que cela va vous coûter? Un T-shirt, ce serait formidable. Ou un bon d’achat. Ou peut-être une somme d’argent. Tout est envisageable.

De très nombreux hackers veulent simplement vous aider. Bien sûr, on trouve aussi des criminels parmi eux, qui agissent comme des cambrioleurs. Mais la majorité d’entre eux le font parce qu’ils sont extrêmement curieux et parce qu’ils en sont capables. Tirez-en profit. Accueillez-les à bras ouverts. Pour contribuer tous ensemble à une société plus sûre!

Edwin van Andel, CEO Zerocopter (Appeared in FokusIT)

Written by Zerocopter

February 27, 2020