La société, baptisée @Stake, veut conseiller les plus grandes banques mondiales, ainsi que les hôpitaux, sur la manière de protéger leurs données sensibles. Elle emploie déjà 25 salariés dont les huit membres de Lopht et plusieurs analystes issus de Forrester Research et de Cambridge Technology Partners.
John Rando, ancien vice-président de Compaq, dirige cette entreprise qui a obtenu 10 millions de dollars de Battery Ventures, capital-risqueur ayant précédemment investi dans Akamai Technologies et Infoseek.
Les membres de Lopht se définissent comme des hackers du type ” chapeau gris “. Leur but est de dénicher les failles de sécurité contenues dans les logiciels et les réseaux afin de les contrer. Par opposition, ils désignent par ” chapeaux noirs ” les hackers utilisant les trous de sécurité des systèmes informatiques pour se livrer à des pratiques illégales.
Le groupe Lopht est célèbre aux Etats-Unis pour ses outils de sécurité vendus sur Internet mais surtout pour avoir été auditionné par le Sénat américain. Lors de cet entretien, les membres du groupe s’étaient déclarés capables de détériorer en moins de trente minutes l’Internet américain.
Le Sénat avait autorisé les hackers à ne pas dévoiler leur véritable identité lors de cette audition, se référant à eux par les pseudonymes qu’ils utilisent sur Internet. Ce geste avait alors été interprété comme un signe de respect et de considération de l’autorité publique vis-à-vis du groupe Lopht.
De fait, des entreprises américaines comme IBM n’hésitent pas à employer des hackers pour tester leur propre système de sécurité. “Le Sénat américain a demandé au groupe Lopht de s’exprimer sur la sécurité du réseau Internet. C’est la meilleure preuve d’intégrité et de crédibilité que l’on puisse avoir “, a déclaré à la chaîne de télévision MSNBC le vice-président marketing d’@Stake et précédemment analyste sécurité à Forrester Researh, Ted Julian.
Pour Pascal Lointier, président de la commission Menaces du Club de la sécurité informatique français (Clusif), utiliser des hackers pour tester la sécurité des entreprises est une politique à double tranchant.
“S’agit-il de tester véritablement un système dont on sait pertinemment qu’il est vulnérable ou bien d’évaluer les connaissances des pirates? “,interroge Pascal Lointier.
“Les tests dintrusion de ce type coûtent très cher et il existe des moyens plus raisonnables de sensibiliser une direction générale aux problèmes de sécurité “, estime-t-il.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
