Contactez-nous
-
sécurité

Les 5 qualités d’un Security Champion

Les 5 qualités d’un Security Champion

Sommaire

Dans la culture actuelle et avec l’expansion des pratiques DevOps, les équipes de développement ont pour objectif de réduire le Time To Market de leurs produits, applications ou sites web. 

Cette volonté de rapidité ne doit pas omettre sécurité dans les projets de développements. C’est en cela que les pratiques DevSecOps sont une approche permettant d'intégrer la sécurité dès le début d'un projet et tout au long de son cycle de vie. Ces pratiques sont devenues essentielles. 

Cependant, une équipe de sécurité au sein d’une entreprise, si elle existe, ne peut pas couvrir toutes les problématiques. Trop souvent, elle n’est malheureusement pas dimensionnée, ni formée pour accompagner chaque équipe de projet tech.

C’est pourquoi le programme ou le rôle de Security Champion devient intéressant. Il fait office de référent sécurité, à la fois pour sa propre équipe, mais aussi pour l’équipe transverse chargée de la sécurité. 

Les Security Champion existent grâce à la création d’un programme spécifique au sein de l’entreprise. Concrètement, il consiste à sélectionner un membre de l’équipe, sur la base du volontariat. S'ensuit alors un accompagnement, un suivi et une formation par l’équipe sécurité.

On peut donc s’interroger sur ce qu’est réellement un Security Champion et quelles sont ses qualités ?

Qu’est-ce qu’un Security Champion ?

Un Security Champion est une personne (Dev, Ops ou encore Site Reliability Engineering) membre d’un projet tech qui s’engage auprès de l’équipe sécurité à être le représentant sécurité de son projet/équipe et le garant du suivi des guidelines de cybersécurité.

Il est également chargé :

  • de sensibiliser son équipe aux pratiques de cybersécurité
  • d’améliorer les contrôles de sécurité durant toutes les phases d’un projet
  • de remettre en question les décisions de l'équipe sur la partie sécurité
  • d’informer l’équipe sécurité sur des failles, afin que celles-ci puissent les combler et en assurer le suivi
  • etc. 

Afin d’accomplir toutes ces tâches avec brio, le Security Champion doit avoir quelques appétences avec la Tech et la Securité. Dans cet article, nous avons recensé les 5 qualités à avoir ou à développer.

Avoir un attrait pour la sécurité informatique

Le Security Champion a bien souvent des connaissances en cybersécurité. Mais, il doit avant tout être désireux et motivé d’en apprendre davantage sur les différentes facettes de la cybersécurité.

L’équipe sécurité doit jouer son rôle de formateur pour transmettre la connaissance et la mentalité de la cybersécurité.

Il doit s'intéresser à l'évolution des développements de son équipe et être prêt à contribuer sur les différents outils ou processus afin d’améliorer la sécurité.

Il sera en mesure de comprendre les attaques, les vulnérabilités et d’identifier les mesures à mettre en œuvre pour s’en prémunir.

Il doit également être sensible à la protection des données, du System d’information. C'est-à-dire qu’il doit être à même de comprendre les impacts et les enjeux entourant une cyberattaque.

Avoir le sens de la communication

Quel que soit son niveau d'expérience, le Security champion promeut les meilleures pratiques en matière de sécurité à son équipe. Il est le relai direct de l’équipe sécurité.

C’est pourquoi ses qualités relationnelles et de communication  vont permettre de briser les silos et de sensibiliser aux questions de sécurité, encourageant ainsi les membres de l'équipe à aller dans ce sens.

Il connaît les points sensibles et la culture de ses coéquipiers. Il est donc bien placé pour présenter la sécurité d'une manière qui les touche directement.

Il sert également de personne-ressource pour les questions techniques et s'assure de contacter les équipes adéquates pour remonter les problèmes de sécurité.

Avoir la positive attitude

Le Security Champion se doit d'être optimiste. Capable d’offrir des observations, des remarques diligentes et des suggestions constructives à son équipe. Il est par ailleurs plus apte à gérer ses émotions et à faire face au stress. Il peut alors aider son équipe lors d’incidents de sécurité en étant plus axé sur les solutions.

Il est important de rassurer ses collaborateurs et de ne pas transmettre son stress lorsqu'une vulnérabilité est détectée ou lors d’une compromission d’un des éléments du SI.

Cette qualité aura une influence positive sur l’adhésion des bonnes pratiques de sécurité au sein de l’équipe.

Faire de la veille

Un Security Champion doit rester informé des vulnérabilités, des patchs ou encore les techniques pratiquées par les acteurs malveillants. Cela passe avant tout par de la veille technologique.

Tous les jours, des nouvelles failles informatiques sont découvertes et des entreprises se font pirater. 

La veille permet d’anticiper les attaques informatiques, d’être mieux préparé et donc de limiter le risque d’un incident. Le Security Champion sera en mesure de patcher, avertir son équipe avant une potentielle attaque. 

Voici une liste non exhaustive de ressources que vous pouvez consommer durant votre veille :

Aimer faire des challenges sécurité et/ou des CTF

Les Capture The Flag (CTF) sont des compétitions sur le thème de la sécurité au cours desquelles les équipes doivent capturer des "drapeaux" (ils se présentent sous forme de chaîne de caractère unique et identifiable). Ils sont typiquement cachés dans des fichiers chiffrés ou encodés, dans des infrastructures restreintes, etc.

Une fois ce “drapeau” obtenu, il n’a plus qu’à le soumettre à la plateforme de CTF pour le valider et obtenir des points.

Les Capture The Flag sont des exercices ludiques et éducatifs, basés sur des scénarios réels, ce qui permet de renforcer les connaissances et les compétences sur les domaines de sécurité. 

D’après le podcast de Michael VIRGONE, ces événements ont donné des résultats prometteurs en matière de sensibilisation.

Ci-dessous, une liste non exhaustive des avantages des CTF :

  • Prise de connaissance de la façon dont les failles de sécurité peuvent se produire
  • Apprendre les techniques utilisées par les attaquants
  • Développer ses stratégies de réponse aux incidents
  • Développer sa réflexion
  • Apprendre dans un environnement sûr et contrôlé

La gamification de la formation à la cybersécurité facilite le processus d'apprentissage, et l'aspect compétition peut motiver votre équipe à améliorer ses compétences en cybersécurité.

Si vous souhaitez participer à des CTF, voici quelques plateformes :

Conclusion

Contrairement à la croyance populaire, la méthodologie DevSecOps ne consiste pas seulement à automatiser les tests de sécurité, mais également à intégrer la sécurité tout au long du cycle de vie d'une application ou d'une infrastructure. 

Par conséquent, un champion sécurité est un véritable atout dans une équipe. Il pourra y apporter la culture et la philosophie liées au DevSecOps. 

Il va permettre d'identifier au plus tôt les vulnérabilités potentielles et de prendre des mesures correctives.

Les qualités présentées dans cet article seront un réel avantage dans la mise en œuvre des points cités.

Je conclus sur le fait qu’un champion sécurité ne peut pas agir seul. Les équipes de sécurité doivent les accompagner, les former, les suivre, tout en leur fournissant les bons outils pour garantir une implémentation efficace de la sécurité au sein des projets.

Antoine Mayer

Dossier

DÉCOUVREZ LES ARTICLES LIÉS

(String: sécurité)
  • Scanner les vulnérabilités de son site web
    sécurité

    Scanner les vulnérabilités de son site web

    (String: <h2 id="s-curiser-son-site-site-web-pourquoi">Sécuriser son site site web, pourquoi?</h2> <p>On pourrait se demander pourquoi perdre du temps à faire de la <a href="https://www.wescale.fr/secops" rel="noopener" target="_blank">sécurité sur un site</a> qui n’est peut-être qu’une vitrine.</p>)

    Héberger un site web est quelque chose de normal de nos jours. Je ne connais pas beaucoup d’entreprises qui n’ont pas de site Internet. Toutefois, cette ouverture sur le monde est aussi une porte d’entrée pour les pirates ! Aujourd’hui, je vous propose de découvrir (ou revoir) deux outils vous permettant de renforcer la sécurité de vos applications.

    Lire la suite

  • Gestion de vos secrets : Chut, ne le dites à personne ! - featured image
    sécurité

    Gestion de vos secrets : Chut, ne le dites à personne !

    La sécurité, le stockage et le contrôle des secrets s’imposent aux DSI qui doivent être sur tous les fronts ! Sécuriser les applications et services, tirer parti d'un modèle d'exploitation cloud pour mieux maîtriser leurs coûts, réduire les risques et augmenter la vitesse à laquelle les développeurs créent et déploient des applications sécurisées… Décidément, être DSI en 2024 ne sera pas de tout repos !

    Lire la suite

  • SecNumCloud : Tout comprendre sur la qualification de l'ANSSI - featured image
    sécurité

    SecNumCloud : Tout comprendre sur la qualification de l'ANSSI

    Parlons SecNumCloud Le référentiel SecNumCloud (SecNum pour les intimes), créé par l’ANSSI en 2016, permet la qualification de fournisseurs de services cloud, avec pour objectif d'améliorer l’offre "de confiance" pour toute entreprise ou service public qui souhaite externaliser une partie de son SI. Mais concrètement : Quel intérêt pour votre SI ou vos utilisateurs ? Quels sont les défis à relever ? Voyons ensemble de quoi il retourne.

    Lire la suite

Voir plus d'articles sur le cloud native