Qu’est-ce qu’un hacker éthique : définition, enjeux et valeurs d’un métier récent

En marge de l’European Cyber Week, BDM a rencontré Brice Augras, président de BZHunt, une entreprise bretonne de cybersécurité spécialisée dans le hacking éthique. Encore entouré de préjugés péjoratifs dus à son pendant illégal, le hacking éthique s’impose pourtant comme un des moyens les plus efficaces pour démontrer la sécurité, ou souvent la vulnérabilité, de systèmes informatiques, d’applications ou encore d’objets connectés.

Brice Augras, président de BZHunt

Brice Augras est chercheur en cybersécurité et président de BZHunt. Son entreprise de hacking éthique lutte pour mettre le hacking au service des acteurs du secteur public et privé afin d’identifier les failles dans leurs systèmes numériques. Avec ses équipes, il contribue également à inciter les jeunes générations à tendre vers un métier encore récent.

Brice Augras, pouvez-vous nous expliquer ce qu’est le hacking éthique, en quoi cela consiste, et ce que vous faites au quotidien ?

Le terme « hacker » a été défini pour la première fois dans les années 1990, mais son origine remonte aux années 1960 et au MIT. Historiquement, c’étaient des passionnés de locomotives, des « rois de la bidouille », qui cherchaient à comprendre et à optimiser leur fonctionnement. Au fil du temps, ce terme a été galvaudé par les médias et Hollywood, et il est aujourd’hui souvent associé à l’illégalité. Dans le Larousse, par exemple, la définition* intègre cette notion. Pour légitimer notre métier, le mot « éthique » a été ajouté au terme « hacker ». Cela peut paraître contradictoire au premier abord, mais cela reflète bien ce que nous faisons.

Chaque jour, nous avons de nouvelles énigmes à résoudre.

Car notre travail consiste à mettre nos compétences légalement à disposition des entreprises pour identifier les failles dans tout système ayant une composante électronique ou connectée : sites internet, objets connectés, équipements IoT… Nous testons, identifions les vulnérabilités, et aidons à les corriger pour réduire les risques, car les incidents sont de plus en plus fréquents.

Au quotidien, chaque mission est différente. On peut un jour travailler sur la sécurité d’un site web pour un acteur financier et le lendemain tester une application médicale. Cela rend le travail très varié et stimulant, car chaque jour, nous avons de nouvelles énigmes à résoudre.

*Définition du hacker selon le Larousse : Personne qui, par jeu, goût du défi ou souci de notoriété, cherche à contourner les protections d’un logiciel, à s’introduire frauduleusement dans un système ou un réseau informatique.

Cela dépasse-t-il le cadre purement numérique ?

Oui. Par exemple, dans des missions qu’on appelle « Red Team », nous testons la sûreté physique, en nous mettant dans la peau de James Bond ! Carte blanche va nous être donnée pour entrer dans un site industriel et repartir à la fin de la journée avec un document confidentiel, des brevets, ou aller coller un sticker dans le bureau du PDG pour prouver que nous avons pu passer. Ces tests permettent de minimiser les risques d’espionnage industriel ou d’autres menaces, particulièrement pour de gros acteurs industriels, avec des flux humains importants.

Même si les missions peuvent être variées et très différentes de l’une à l’autre, à quoi peut ressembler une journée type pour vous et vos équipes ?

Une journée type consiste à recevoir une « boîte de Lego » sans mode d’emploi, et notre mission est de construire quelque chose avec. Chaque jour, nous devons découvrir, analyser et exploiter des failles.

Personnellement, avec la croissance de l’entreprise, je fais moins de technique. Je garde environ 15 à 20 % de mon temps pour des tâches techniques, car c’est un métier de passion et cela me semble important pour rester légitime auprès de mes équipes. En parallèle, il y a beaucoup de R&D, car le domaine évolue vite. Idéalement, 30 % du temps d’une équipe devrait être dédié à la R&D.

Et quel a été votre parcours personnel pour acquérir ce profil et en arriver jusqu’à la création de BZHunt ?

J’ai commencé par passion il y a presque 20 ans, mais je ne pratique ce métier professionnellement que depuis 2016. J’ai un parcours atypique : après le bac, j’ai fait un DUT G2I orienté informatique et électronique. J’ai tenté une école d’ingénieur en alternance, mais cela ne m’a pas convenu. Je me suis ensuite autoformé pendant deux ans et demi, jusqu’à ce qu’une entreprise me donne ma chance.

Le tournant s’est fait en 2016-2017 avec des attaques comme WannaCry. Ces événements ont poussé les entreprises, qui auparavant demandaient des diplômes classiques, à s’ouvrir à des profils atypiques pour combler le manque de compétences.

Si les parcours atypiques intéressent le secteur, quelles compétences techniques et humaines sont nécessaires ?

C’est super de voir les écoles créer une dynamique avec de plus en plus de filières cyber et les diplômes qui vont avec, mais en premier lieu, c’est avant tout un métier de passion. Il faut aimer apprendre, mais aussi apprendre à apprendre. Quand une nouvelle technologie qu’on ne maîtrise pas apparaît, on sort le manuel de 400 pages et on se l’approprie, car c’est une fois cela fait qu’on peut commencer à être créatifs, puis réfléchir à comment détourner son fonctionnement.

En termes de qualités humaines, il y a un vrai esprit collectif. Un pan de l’activité est consacré aux Bug Bounty : cela consiste à tester des systèmes pour des entreprises via des plateformes, souvent dans un cadre compétitif. Cela nous permet d’explorer des failles avancées et d’améliorer notre expertise. Chez BZHunt, nous aimons allier cet aspect compétitif avec nos missions traditionnelles de tests d’intrusion pour garder un bon équilibre et travailler l’aspect collaboratif. Mais il faut aussi avoir de bonnes capacités de vulgarisation pour expliquer les failles aux clients et un bon sens rédactionnel pour rédiger les rapports, qui peuvent être très longs.

Est-ce cette pluralité de missions qui a fait le succès de BZHunt ?

Je pense que notre croissance repose sur la qualité de notre service et nos clients reviennent souvent grâce au bouche-à-oreille. Nous avons aussi innové avec notre sonde NEO, qui permet de réaliser des tests à distance. Cela économise des frais pour le client et nous offre une grande flexibilité, puisque nous pouvons travailler partout dans le monde.

C’est cependant un métier relativement récent. Existe-t-il un véritable cadre juridique pour l’exercer ?

Oui, c’est encore un métier relativement jeune, surtout en France. Le cadre juridique qui protège les hackers éthiques n’existe que depuis 2016. C’est l’article 42 de la loi pour une République numérique, qui reconnaît et protège le statut de lanceur d’alerte. Avant cela, remonter une faille à une entreprise pouvait vous exposer à des poursuites, même si vous le faisiez sans intention malveillante.

Aujourd’hui, nous pouvons avertir une entreprise de façon légale, sans craindre des représailles juridiques, tant que nous respectons les règles.

Quels défis le secteur du hacking éthique et de la cybersécurité doit-il relever en 2025 ?

Les défis sont nombreux. D’un côté, il faut continuer à sensibiliser les entreprises à l’importance de la cybersécurité. Même si cela progresse, beaucoup agissent encore en réaction. L’arrivée de réglementations comme NIS 2 ou DORA va aider à structurer les efforts, notamment pour les secteurs critiques comme la santé, qui souffre d’une importante dette technologique, l’énergie ou les télécoms.

Un autre défi concerne les nouvelles technologies, comme l’intelligence artificielle. Cela fait un an et demi que nous explorons les vulnérabilités dans ce domaine et c’est encore très jeune. Il y a énormément de choses à découvrir.

Enfin, il y a la pénurie de compétences. En France, nous sommes passés de 15 000 postes vacants en 2021 à 55 000 aujourd’hui. Les écoles doivent adapter leurs cursus, mais cela ne suit pas la demande.

Quels conseils donneriez-vous à une entreprise hésitant à investir dans la cybersécurité ?

Il ne faut pas être un marchand de peur pour convaincre. La cybersécurité n’est pas seulement un sujet technique, mais un enjeu pour l’ensemble de l’entreprise. Le côté humain derrière chaque incident peut être plus lourd à porter. En tant qu’experts techniques, on est habitué à réparer de la machine, on n’est pas habitué à réparer de l’humain. Alors quand on arrive, que les gens n’ont pas dormi depuis quatre jours à essayer de gérer la crise, qu’après un constat d’échec il faudra déposer le bilan… Humainement, ces sujets-là sont difficiles.

Et pour quelqu’un qui veut se lancer dans une carrière de hacker éthique ?

Depuis dix ans, énormément d’efforts ont été faits au sein de la communauté pour que les plateformes d’apprentissage se développent. Aujourd’hui, il existe des plateformes comme Hack The Box ou RootMe, où l’on peut s’entraîner gratuitement. Ce sont des vrais faux terrains de jeu, conçus pour apprendre et pratiquer de manière légale et sécurisée, avec des systèmes de points et de classement. Pour démarrer donc : RootMe et Hack The Box !