Les pirates informatiques en forte demande


Les pirates sont en demande dans le cadre d'une pénurie de main d'oeuvre en sécurité informatique. Le phénomème est connu aux États-Unis et le Québec n'y échappe pas.


 Photo : Agence QMI
Il y a quelques jours à peine, des représentants de la Défense, de la Sécurité intérieure et de la National Security Agency (NSA) des États-Unis se sont mélangés à 10 000 pirates lors de DefCon, une conférence dehackers qui s'est tenue à Las Vegas.

Le besoin pour cette main d'oeuvre est urgent. Washington cherche 10 000 à 30 000 «cyberexperts» pour mettre ses système à l'épreuve et contrer le cyberespionnage.

Le site de réseautage social Facebook a pour sa part mis le grappin sur George Francis Hotz. Ce pirate de 21 ans est connu pour son déverouillage de l'iPhone d'Apple et de la console de jeux PlayStation 3 de Sony.

Les hackers les plus recherchés sont les pirates «blancs», qui trouvent des failles afin de renforcer la sécurité des systèmes. Ils deviennent faciles à repérer lors de concours et festivals de piratage comme le Hackfest, qui se tient en novembre à chaque année à Québec.

Les pirates «noirs», eux, tentent de nuire aux entreprises ou de leur voler des renseignements. C'était le cas quand le réseau PlayStation Online a été attaqué, il y a quelques semaines.

Le Québec aussi
Les États-Unis ne sont pas seuls à avoir besoin des pirates blancs, indique Mario Audet, éditeur du magazine Secus, spécialisé dans la sécurité informatique.

«Ce sont des ressources appréciées parce qu'elles possèdent une expertise de pointe qui est rare, souligne-t-il. Il y a une pénurie de main d'oeuvre à beaucoup d'endroits en technologie. Ce qui est particulier pour la sécurité, c'est que les travailleurs sont suffisamment rares pour que l'on recrute dans d'autres pays. Parfois, c'est risqué parce que l'on connaît moins leurs antécédents.»

«Il faut avoir une bonne dose de confiance pour embaucher un hacker et l'intégrer à son personnel, estime Patrice-Guy Martin, PDG du Réseau Action TI. Comment le surveille-t-on ? C'est plus facile de se tourner vers une firme spécialisée et reconnue pour obtenir un tel service. Ça ne garantit pas tout, mais le fournisseur tient à sa réputation.»

Un petit marché
Au Québec, des entreprises comme OKIOK, INFRAX et LOGICNET proposent de faire le travail, en choisissant elles-mêmes les employés.

«Plusieurs offrent des services comme les tests d'intrusion aux gouvernements, institutions bancaires et entreprises, fait remarquer Mario Audet. Le fournisseur va tenter de réaliser une intrusion par Internet ou dans les bureaux du client. Ce genre d'intervention est pointu, mais en même temps, ça ne dure pas très longtemps. Le prix dépend de l'envergure des tests, mais c'est plus ou moins lucratif.»

«Six ou sept entreprises peuvent en vivre au Québec, ajoute M. Audet. Mais plus ça va, plus la demande devient importante. Les entreprises veulent aussi obtenir de l'information sur les travailleurs qu'elles engagent. Ça va demander de l'investigation sur des personnes et leurs activités en ligne.»

Tout dépendant de la complexité du travail, le prix d'un mandat peut s'élever à quelques dizaines de milliers de dollars.
Des cabinets comptables et vérificateurs comme Deloitte ou KPMG peuvent aussi s'acquitter de ces tâches, affirme Patrice-Guy Martin, du Réseau Action TI.

C'est un investissement même quand ça coûte cher, avance-t-il. «Une institution financière comme Desjardins ou la Banque Nationale voit la solidité de ses infrastructures comme un élément clé. Une banque ne peut pas se permettre de laisser des failles ouvertes parce que son industrie est fondée sur la confiance.»

Peu importe les choix effectués par une entreprise, celle-ci se doit d'agir avant même le lancement d'un service ou d'un système.

«C'est souvent à la suite de la planification que l'on demande à un pirate de tester les vulnérabilités et de recommender des solutions, indique Patrice-Guy Martin. Ça doit être intégré au système pendant son développement, et non après.»