Focus sur David Smith : sa carrière, son avis sur les menaces et les hackers

David Smith a travaillé pendant 20 ans dans la gestion des technologies de l’information en tant que chef de branche du centre des opérations de sécurité d’entreprise (ESOC). Il était alors au département du travail des États-Unis. Officier de l’armée à la retraite, il possède une vaste expérience dans la gestion des risques, la conformité réglementaire, l’alignement stratégique ou encore la gestion des ressources.

David Smith fait son premier pas dans le monde de la cybersécurité au FBI. Il y travaille en tant qu’opérateur informatique et analyste. On lui attribue aussitôt des dossiers sur les délits informatiques à une époque où la cybersécurité devenait un domaine à part entière.

Après quelques années au FBI, il intègre les services secrets américains en tant qu’agent spécial. Il est chargé des crimes électroniques et de l’informatique légale. Cela lui permet d’acquérir de l’expérience dans la cybersécurité et de développer des compétences en gouvernance de l’information.

Il passe ensuite sept ans de sa carrière à donner des formations en criminalistique et enquêtes sur la cybercriminalité. Ses apprenants appartenaient aux forces de l’ordre. Dans son travail de formateur, il a travaillé avec les forces de l’ordre dans plus de 80 pays.

Il revient ensuite à la gestion de la cybersécurité en intégrant l’entreprise australienne Nuix. Au cours de sa carrière, il a eu la chance d’avoir travaillé avec des experts de la criminalistique à l’instar de Chris Pogue.

Dans une interview, il concède que le meilleur moyen d’apprendre et de rester à jour sur la cybersécurité est la formation. Il faut aussi se tenir informé à travers les blogs et newsletters spécialisés. Enfin, le plus important est de discuter avec les opérateurs qui sont confrontés aux cybermenaces au quotidien.

The Black Report constitue un recueil révolutionnaire sur les menaces informatiques. Le rapport offre une meilleure compréhension de la psychologie des hackers et des menaces actuelles. David Smith et son organisation livrent dans ce document des protocoles de tests et d’exercices, fruit de sa longue expérience dans les services secrets.

Les différentes menaces qui pèsent sur les entreprises actuellement

David Smith soulève la diversité des attaques dans ce rapport. Selon lui, les pirates n’ont pas délaissé les méthodes traditionnelles malgré les avancées technologiques. Le phishing reste leur type d’attaque de prédilection.

De même, les ouvertures VPN et l’analyse des réseaux pour trouver des accès distants sont des pratiques qui existent depuis des années. Il a également constaté que les formes de malwares traditionnels sont toujours en circulation. Ces anciennes méthodes se mélangent aux nouvelles technologies.

Face à ces menaces, l’approche de défense et de profondeur reste la meilleure alternative selon lui. D’après David Smith, les entreprises font souvent l’erreur de s’octroyer le dernier outil tendance pour contrer une menace. Pourtant, il est préférable de s’en tenir aux outils qui ont déjà fait leur preuve.

Les modèles défensifs du genre s’inspirent des modèles du gouvernement américain. Bien qu’ils soient différents, ils se rejoignent tous sur les actions suivantes :

• La sensibilisation et la formation des utilisateurs,
• La mise en place d’un plan d’urgence,
• Les méthodes de sauvegarde des données.

La sauvegarde des données : un sujet délaissé par le monde de la cybersécurité

La sauvegarde et la récupération des données font partie des points mis en avant par David Smith. Le sujet est peu évoqué en cybersécurité ces dernières années. Pourtant, il était très populaire dans les années 2000.

Ceci s’explique par l’apparition de nouvelles menaces et de nouvelles méthodes de défense. Le monde de la cybersécurité réagit en fonction des sujets d’actualité. Ces derniers temps, on parle par exemple de l’authentification à deux facteurs.

Peu d’experts reviennent sur les anciens sujets, considérés comme ennuyeux. C’est le cas des plans d’urgence et de sauvegarde.

David Smith encourage les organisations à simuler des attaques pour tester ces plans. Selon lui, il est impossible de savoir s’ils fonctionnent réellement sans les avoir essayés.

David Smith apporte une réelle contribution à la démystification de la communauté des hackers dans le rapport élaboré par son organisation. Selon lui, on pense à tort qu’il s’agit d’une équipe d’adolescents qui essaient de pirater dans le sous-sol de leurs parents. Ce profil ne concerne qu’une infime partie de ces gens.

Les hackers : des personnes instruites qui ont soif d’apprendre

Il a mené plusieurs interviews avec ces attaquants et révèle qu’il s’agit majoritairement de personnes instruites. D’après les statistiques, environ 75 % des hackers ont suivi des études supérieures et travaillent dans des grandes entreprises. Certains sont même dans le secteur de la sécurité.

David Smith s’intéresse à leur motivation et met en avant l’apprentissage. La communauté de hackers prend du plaisir à trouver les vulnérabilités. Elle veut apprendre le fonctionnement d’un système pour le contourner. Peu d’entre eux sont motivés par le gain financier.

Les différents groupes de hackers

Par ailleurs, l’expert estime qu’il n’existe pas une communauté de hackers soudée qui partage des informations. Le forum maléfique où tous les hackers se réunissent n’existe pas non plus. Néanmoins, il ne nie pas l’existance de plusieurs forums et des flux Twitter pour partager des informations. D’après Black Report, il s’agit plutôt de petits groupes d’une douzaine de personnes au maximum.

Ces groupes ne sont pas tous des criminels et se spécialisent dans une catégorie d’exploit. David Smith a identifié par exemple une communauté de scripteurs Power Shells et des testeurs de stylos.

Chez les criminels, il a identifié des hackers isolés qui travaillent dans leur coin et les groupes plus organisés qui fonctionnent comme une mafia.