Dans la culture actuelle et avec l’expansion des pratiques DevOps, les équipes de développement ont pour objectif de réduire le Time To Market de leurs produits, applications ou sites web.
Cette volonté de rapidité ne doit pas omettre sécurité dans les projets de développements. C’est en cela que les pratiques DevSecOps sont une approche permettant d'intégrer la sécurité dès le début d'un projet et tout au long de son cycle de vie. Ces pratiques sont devenues essentielles.
Cependant, une équipe de sécurité au sein d’une entreprise, si elle existe, ne peut pas couvrir toutes les problématiques. Trop souvent, elle n’est malheureusement pas dimensionnée, ni formée pour accompagner chaque équipe de projet tech.
C’est pourquoi le programme ou le rôle de Security Champion devient intéressant. Il fait office de référent sécurité, à la fois pour sa propre équipe, mais aussi pour l’équipe transverse chargée de la sécurité.
Les Security Champion existent grâce à la création d’un programme spécifique au sein de l’entreprise. Concrètement, il consiste à sélectionner un membre de l’équipe, sur la base du volontariat. S'ensuit alors un accompagnement, un suivi et une formation par l’équipe sécurité.
On peut donc s’interroger sur ce qu’est réellement un Security Champion et quelles sont ses qualités ?
Un Security Champion est une personne (Dev, Ops ou encore Site Reliability Engineering) membre d’un projet tech qui s’engage auprès de l’équipe sécurité à être le représentant sécurité de son projet/équipe et le garant du suivi des guidelines de cybersécurité.
Il est également chargé :
Afin d’accomplir toutes ces tâches avec brio, le Security Champion doit avoir quelques appétences avec la Tech et la Securité. Dans cet article, nous avons recensé les 5 qualités à avoir ou à développer.
Le Security Champion a bien souvent des connaissances en cybersécurité. Mais, il doit avant tout être désireux et motivé d’en apprendre davantage sur les différentes facettes de la cybersécurité.
L’équipe sécurité doit jouer son rôle de formateur pour transmettre la connaissance et la mentalité de la cybersécurité.
Il doit s'intéresser à l'évolution des développements de son équipe et être prêt à contribuer sur les différents outils ou processus afin d’améliorer la sécurité.
Il sera en mesure de comprendre les attaques, les vulnérabilités et d’identifier les mesures à mettre en œuvre pour s’en prémunir.
Il doit également être sensible à la protection des données, du System d’information. C'est-à-dire qu’il doit être à même de comprendre les impacts et les enjeux entourant une cyberattaque.
Quel que soit son niveau d'expérience, le Security champion promeut les meilleures pratiques en matière de sécurité à son équipe. Il est le relai direct de l’équipe sécurité.
C’est pourquoi ses qualités relationnelles et de communication vont permettre de briser les silos et de sensibiliser aux questions de sécurité, encourageant ainsi les membres de l'équipe à aller dans ce sens.
Il connaît les points sensibles et la culture de ses coéquipiers. Il est donc bien placé pour présenter la sécurité d'une manière qui les touche directement.
Il sert également de personne-ressource pour les questions techniques et s'assure de contacter les équipes adéquates pour remonter les problèmes de sécurité.
Le Security Champion se doit d'être optimiste. Capable d’offrir des observations, des remarques diligentes et des suggestions constructives à son équipe. Il est par ailleurs plus apte à gérer ses émotions et à faire face au stress. Il peut alors aider son équipe lors d’incidents de sécurité en étant plus axé sur les solutions.
Il est important de rassurer ses collaborateurs et de ne pas transmettre son stress lorsqu'une vulnérabilité est détectée ou lors d’une compromission d’un des éléments du SI.
Cette qualité aura une influence positive sur l’adhésion des bonnes pratiques de sécurité au sein de l’équipe.
Un Security Champion doit rester informé des vulnérabilités, des patchs ou encore les techniques pratiquées par les acteurs malveillants. Cela passe avant tout par de la veille technologique.
Tous les jours, des nouvelles failles informatiques sont découvertes et des entreprises se font pirater.
La veille permet d’anticiper les attaques informatiques, d’être mieux préparé et donc de limiter le risque d’un incident. Le Security Champion sera en mesure de patcher, avertir son équipe avant une potentielle attaque.
Voici une liste non exhaustive de ressources que vous pouvez consommer durant votre veille :
Les Capture The Flag (CTF) sont des compétitions sur le thème de la sécurité au cours desquelles les équipes doivent capturer des "drapeaux" (ils se présentent sous forme de chaîne de caractère unique et identifiable). Ils sont typiquement cachés dans des fichiers chiffrés ou encodés, dans des infrastructures restreintes, etc.
Une fois ce “drapeau” obtenu, il n’a plus qu’à le soumettre à la plateforme de CTF pour le valider et obtenir des points.
Les Capture The Flag sont des exercices ludiques et éducatifs, basés sur des scénarios réels, ce qui permet de renforcer les connaissances et les compétences sur les domaines de sécurité.
D’après le podcast de Michael VIRGONE, ces événements ont donné des résultats prometteurs en matière de sensibilisation.
Ci-dessous, une liste non exhaustive des avantages des CTF :
La gamification de la formation à la cybersécurité facilite le processus d'apprentissage, et l'aspect compétition peut motiver votre équipe à améliorer ses compétences en cybersécurité.
Si vous souhaitez participer à des CTF, voici quelques plateformes :
Contrairement à la croyance populaire, la méthodologie DevSecOps ne consiste pas seulement à automatiser les tests de sécurité, mais également à intégrer la sécurité tout au long du cycle de vie d'une application ou d'une infrastructure.
Par conséquent, un champion sécurité est un véritable atout dans une équipe. Il pourra y apporter la culture et la philosophie liées au DevSecOps.
Il va permettre d'identifier au plus tôt les vulnérabilités potentielles et de prendre des mesures correctives.
Les qualités présentées dans cet article seront un réel avantage dans la mise en œuvre des points cités.
Je conclus sur le fait qu’un champion sécurité ne peut pas agir seul. Les équipes de sécurité doivent les accompagner, les former, les suivre, tout en leur fournissant les bons outils pour garantir une implémentation efficace de la sécurité au sein des projets.