Un ethical hacker, également appelé « white hat », est un pirate informatique embauché pour s'introduire en toute légalité dans les ordinateurs et réseaux d'une entreprise afin de tester la sécurité globale de l'entreprise. Il possède toutes les compétences d'un cybercriminel, ou black hat, mais utilise ses connaissances pour améliorer les défenses des entreprises plutôt que pour les exploiter et leur porter atteinte.
En faisant appel à un ethical hacker, les entreprises bénéficient d'un aperçu de leurs propres vulnérabilités de sécurité et peuvent se prémunir contre de futures cyberattaques.
Ethical hacking et test d'intrusion, quelle différence ?
Bien qu'il règne une certaine confusion entre ces deux notions, elles présentent des différences majeures.
Les cyberpirates éthiques peuvent recourir à des tactiques allant au-delà du simple test d'intrusion. Ils peuvent, par exemple, tester les défenses d'une entreprise contre les techniques d'ingénierie sociale en incitant des collaborateurs à divulguer des données commerciales sensibles ou leurs identifiants de connexion.
Un test d'intrusion vise uniquement à évaluer une ou plusieurs vulnérabilités au niveau du réseau des entreprises.
Combien gagne un ethical hacker ?
D'après le site Salary.com, le salaire moyen d'un ethical hacker était de 101 203 dollars au 28 juin 2021. Le salaire peut varier entre 90 279 et 115 449 dollars en fonction de l'expérience, du niveau de certification et des compétences du ethical hacker.
Comment devient-on un ethical hacker ?
Il existe certes des cas de black hats reconvertis en white hats, mais ce n'est pas le schéma classique. Toute personne qui possède les connaissances et compétences adéquates peut prétendre à une carrière de ethical hacker, en particulier si elle est prête à respecter des normes éthiques élevées.
CrowdStrike a examiné plus de 900 offres d'emploi publiées sur Indeed afin d'identifier les compétences et connaissances recherchées par les employeurs en lien avec la fonction de ethical hacker. Le graphique ci-dessous illustre les compétences, certifications et niveaux d'études les plus demandés dans le cadre de l'embauche d'un ethical hacker :
Un baccalauréat ou un diplôme de niveau supérieur peut permettre à un candidat de se démarquer des autres et de démontrer des qualités clés que recherchent les employeurs, comme la discipline, le discernement, la gestion du temps et la détermination. D'après notre analyse, la détention d'un diplôme était une condition requise dans 73 % des offres d'emploi de ethical hacker examinées.
Il est de notoriété publique que l'une des manières les plus populaires d'entreprendre une carrière de ethical hacker est d'obtenir un diplôme en sciences informatiques. Toutefois, notre analyse révèle que seulement 25,9 % des annonces exigeant un diplôme mentionnent un diplôme en informatique. Cela reste toutefois le diplôme le plus fréquemment cité.
Le nombre considérable d'annonces qui ne mentionnent pas le type de diplôme signifie que les employeurs sont peut-être plus intéressés par vos connaissances et votre expérience que par votre parcours de formation. Si vous pouvez démontrer que vous possédez les connaissances et compétences informatiques adéquates, un diplôme en sciences informatiques n'est pas indispensable.
Les connaissances suivantes sont les plus recherchées par les employeurs. Assurez-vous donc d'en maîtriser les principes :
La connaissance du cloud figure parmi les connaissances les plus réclamées par les employeurs. Le cloud révolutionne aujourd'hui le fonctionnement des entreprises modernes. Et comme de plus en plus d'entreprises évoluent vers un modèle basé sur le cloud, ce dernier devient une cible privilégiée des attaques toujours plus sophistiquées. Par conséquent, tout ethical hacker digne de ce nom se doit de posséder des connaissances avancées en matière de sécurité du cloud.
Il convient également d'avoir une bonne maîtrise des logiciels malveillants, des réglementations en matière de conformité, des normes de sécurité (en particulier, les normes de sécurité PCI) et des systèmes de programmation (Linux, Python et Perl, par exemple).
La maîtrise d'outils tels que Metaspoilt et Wireshark est un atout non négligeable et vous aidera à vous distinguer des autres candidats, même si ces outils sont un peu moins cités dans les offres d'emploi de manière générale.
D'autres connaissances de base, comme la maîtrise des langages HTML et JavaScript, ne sont pas non plus citées dans les annonces, mais il y a de grandes chances pour que les employeurs les considèrent comme acquises.
Parallèlement à ces connaissances, vous pouvez obtenir diverses certifications, qui serviront de gage de l'étendue de vos compétences en matière de piratage et de techniques connexes. Les certifications les plus fréquemment citées sont les suivantes :
Sans grande surprise, le titre CEH (Certified Ethical Hacker, ou ethical hacker certifié) est la certification professionnelle la plus importante – elle est mentionnée dans 77,2 % des offres d'emploi. Pour sortir du lot, vous pouvez également suivre une formation débouchant sur la certification CISSP (Certified Information Systems Security Professional, professionnel certifié de la sécurité des systèmes informatiques), qui est mentionnée dans 62,6 % des offres d'emploi.
Enfin, certaines compétences non techniques, ou « soft skills », peuvent vous soutenir dans votre recherche d'un emploi de ethical hacker :
Les compétences non techniques les plus importantes sont celles liées à la recherche. Pour échapper à la détection, rentabiliser leurs attaques et causer le plus de perturbations possible, les cybercriminels perfectionnent sans cesse leurs techniques et choisissent de nouvelles cibles. Par conséquent, les cyberpirates éthiques doivent se tenir au courant de l'évolution de ces techniques afin de protéger au mieux leurs clients ou les entreprises qui font appel à leurs services.
La collaboration est également un aspect essentiel. Les cyberpirates éthiques n'agissent pas seuls et sont généralement amenés à consulter et à travailler main dans la main avec les experts en sécurité internes et les collaborateurs des entreprises pour les aider à optimiser leurs systèmes et/ou réseaux.
Les compétences non techniques peuvent se révéler tout aussi importantes que les connaissances informatiques et en matière de sécurité. Lors de l'entretien d'embauche, l'employeur vous interrogera probablement sur votre vie privée afin de déterminer si vous correspondez au poste à pourvoir. Veillez donc à donner des exemples concrets de vos compétences non techniques tirés de votre vie privée.
Où les opportunités d'emploi sont-elles les plus nombreuses ?
Un ethical hacker peut être indépendant, employé par une agence ou engagé au sein d'une entreprise. Outre l'examen d'un échantillon d'offres d'emploi pour des postes de ethical hacker, nous nous sommes penchés sur le nombre d'opportunités dans les principales villes américaines.
La ville de Washington offre le plus grand nombre de postes, avec 23,6 % de toutes les offres d'emploi dans ce secteur aux États-Unis, suivie par Baltimore (5,5 %).
Il est important de souligner que de nombreux cyberpirates éthiques travaillent à distance, ce qui signifie que, au final, votre localisation importe peu. Cela signifie également que cette carrière vous offre la liberté de vivre n'importe où dans le monde. Au total, 13,7 % des offres d'emploi aux États-Unis proposent du télétravail.