Lors de son discours d'ouverture précédé par des éclairages et des effets sonores rock, l'ingénieur en sécurité de Square, Dino Dai Zovi, a déclaré à la foule venue l’écouter que la culture était un levier essentiel pour automatiser la sécurité dans l’entreprise. « En affirmant que la sécurité est l'affaire de tous, vous favoriserez une attitude plus responsable qui comprend que les risques sont partagés, mais vous valorisez aussi la coopération et épargnerez le porteur de mauvaise nouvelle », a déclaré Dino Dai Zovi. Alors que le monde fait face à une pénurie massive de compétences en cybersécurité, il faut inciter les équipes chargées de la sécurité des SI, dont les injonctions crissent comme les ongles sur un tableau noir, à être plus ouvertes. « Nous ne sommes plus des étrangers », a-t-il déclaré. « Nous faisons partie des mêmes communautés et des mêmes organisations et nous devons réfléchir à la meilleure façon de mettre cette réalité à profit pour améliorer la sécurité ».
Pour Dino Dai Zovi, la sécurité doit devenir la responsabilité de chacun et l’échec doit être perçu comme un moyen de s’améliorer, et non comme un motif pour blâmer un coupable. C’est, selon lui, le meilleur moyen de diffuser une culture de la sécurité dans l’entreprise. « Il faut encourager la participation de chacun et commencer par dire « oui » au lieu de « non ». C’est mieux, pour engager une conversation, et c’est aussi plus constructif », a-t-il ajouté. « Ça veut dire que l’on veut aider à résoudre les problèmes et améliorer la sécurité. Ce genre d’attitude peut entraîner un vrai changement et avoir un réel impact ».
Le DevSecOps, clé du succès pour l'avenir
Dire « oui » c’est aussi dire « oui » au DevSecOps. Le logiciel s’empare du monde et de la sécurité en même temps. « L'intégration de la sécurité dans les DevOps, tant sur le plan culturel que technique, est essentielle », a encore affirmé l'ingénieur en sécurité de Square. Les défenseurs sont en surnombre et ont besoin d'utiliser des logiciels pour étendre leurs défenses. L'automatisation des logiciels peut permettre de décupler ses forces quand les adversaires ont plus de ressources et de personnels que vous. Chez Square, les ingénieurs de la sécurité ont dû écrire du code comme le reste de l'entreprise, ce qui a beaucoup favorisé la collaboration et l'empathie », a-t-il encore déclaré lors de sa présentation.
« Un élément est souvent négligé pour réussir une approche DevSecOps », a-t-il ajouté. « Il ne faut pas se limiter à la fiabilité, il faut aussi de l'observabilité. Sans sérieuse boucle de rétroaction pour mesurer le bon fonctionnement de l'automatisation, les choses peuvent rapidement dérailler. « Se concentrer exclusivement sur la fiabilité, c'est comme construire un coffre-fort et l'abandonner dans un parking », a-t-il expliqué. « Les équipes de sécurité ne peuvent pas sécuriser ce qu'elles ne voient pas. L’accepter éviterait à des ingénieurs DevOps d’exécuter leur modèle sur une instance cloud aléatoire avec des données d'entreprise, et garantirait que la sécurité est intégrée à chaque étape du processus DevOps, sans besoin de resserrer les boulons après coup ».
La sécurité d'entreprise, c'est comme le parachutisme
« Les professionnels de la sécurité pourraient s’inspirer de toutes les améliorations de sécurité apportées aux parachutes au cours des 50 dernières années », a déclaré Dino Dai Zovi, lui-même parachutiste. Ce dernier a cité l'exemple de Bill Booth, pionnier légendaire de la sécurité dans le parachutisme. En effet, ce « savant fou », a inventé plusieurs des dispositifs de sécurité appliqués depuis dans le monde entier. « Personne n'a réglementé ces changements », a souligné l'ingénieur en sécurité de Square. « Quand Bill Booth a demandé : « Comment puis-je être plus en sécurité en sautant d'un avion ? » Il n'y avait pas d'expert en sécurité pour dire : « Avez-vous envisagé de ne pas sauter ? »
La métaphore est bien sûr, loin d'être parfaite. Sécurité et sûreté ne sont pas équivalentes. En règle générale, il n'y a pas de parachutiste adverse qui cherche à déchiqueter votre parachute en plein vol. Néanmoins, la métaphore vaut la peine d'être méditée. Les entreprises peuvent-elles permettre des activités à première vue dangereuses - sauter d'un avion - mais qui, après mûre réflexion, ne sont peut-être pas aussi dangereuses qu’elles l’imaginaient ? « Les humains ont tendance à surestimer les risques comme le terrorisme ou les failles zero-days et à sous-estimer les risques de maladies cardiaques ou d'attaques par bourrage d’identifiants ». L'équipe de sécurité existe pour permettre à l'entreprise son activité, et non l'inverse. Au départ, la meilleure chose à faire serait plutôt de réfléchir soigneusement sur la véritable nature des risques et à la façon de les atténuer.
Manque d'empathie et pénurie de compétences en codage
Si, comme on peut le penser, Dino Dai Zovi a raison, cela signifie que les professionnels de la cybersécurité de demain auront besoin de meilleures compétences en codage et, surtout, de plus de compétences en général. L'empathie, la communication, la compréhension ont longtemps fait défaut dans les tranchées de la sécurité, et il est clair que cette culture héritée est aujourd’hui contre-productive pour assurer une mission de sécurisation globale. Il est facile d’automatiser les fonctions de sécurité à l'aide d'un logiciel. C’est un peu plus difficile de provoquer un changement culturel radical où la sécurité devient la responsabilité de tous et où les équipes de sécurité sont plus aimables, plus compréhensives et témoignent de plus d’empathie.
Commentaire