Dites bonjour à Aren, fondateur et CEO de Foxpass !
Aren est un ancien grand voyageur, passionné de voyages et habitué à passer d’un pays à l’autre en jet-set, devenu père de famille, avec une vaste expérience à des postes d’ingénierie de haut niveau tels que Vice President of Operations chez Bebo, CTO chez Third Ave Labs et Director of Engineering chez Oodle.
Rejoignez-nous pour une conversation avec Aren, tandis que nous lui tirons les vers du nez pour obtenir tous ses éclairages sur la sécurité des réseaux, la création d’une entreprise et tout ce que vous devez savoir sur Foxpass :
Entretien avec Aren
Commençons par un peu de contexte sur vous ?
Je suis Aren, le fondateur de Foxpass. Je fais ça depuis environ 4 ans maintenant.
Avant cela, j’étais responsable des opérations techniques et de l’IT chez Pinterest, et avant cela, j’ai travaillé chez Beebo, Oodle et Danger (ils ont créé le T-Mobile Sidekick, si vous vous souvenez de ce téléphone).
Et avant cela, j’étais à Stanford où j’ai obtenu une licence et un master en informatique.
Alors, comment avez-vous commencé à programmer ?
Ma mère a rapporté à la maison un Apple IIC de son bureau, l’un des premiers ordinateurs portables, et je me suis tout simplement retrouvé à essayer de l’utiliser tous les week-ends, en apprenant autant que possible à son sujet.
J’ai fini par apprendre un peu d’Applesoft BASIC, et à partir de là, j’ai pu créer des programmes assez simples.
Quand nous avons acheté notre ordinateur suivant, j’ai pris un livre sur le C, j’ai appris comment cela fonctionnait, et je suis simplement parti de là.
Waouh. Donc, vous avez appris en autodidacte et vous êtes aussi allé à l’école ?
Oui. C'est exact.
La plupart de ce que j’ai appris en programmation avant l’école, je l’ai appris en autodidacte, puis à Stanford, j’ai obtenu un diplôme en informatique et j’y ai suivi tous les cours de CS.
En ce qui concerne les applications que vous avez développées, quelle est celle que vous aimez le moins parmi celles que vous avez créées ? Avez-vous déjà réalisé un projet parallèle sans vous souvenir pourquoi vous l’avez fait ?
Je pense que mes souvenirs, du moins en ce qui concerne la programmation, sont tous liés à des projets scolaires.
Celles que je fais pour le plaisir sont toutes formidables, même si elles n’aboutissent pas, parce qu’au moins j’ai appris quelque chose ou pu expérimenter.
Ceux pour l’école étaient vraiment difficiles, simplement parce qu’on est sous pression du temps et que tout le contenu est nouveau. Vous ne savez pas vraiment exactement ce qu’ils sont censés faire ni à quoi ils sont censés ressembler, donc certains de mes moments de programmation les moins appréciés viennent clairement de l’école, comme ces soirées tardives au labo informatique à me cogner la tête contre le clavier.
Parlez-moi d’un événement, dans l’une des entreprises où vous avez travaillé, où vous avez vu une catastrophe complète. Avez-vous déjà vécu un moment comme celui-là ?
Je n'arrive pas à en imaginer un qui ait [duré] 10 heures, mais il y a certainement eu des moments de terreur où quelque chose d'assez grave était sur le point de se produire.
Je pense avoir eu beaucoup de chance, dans le sens où les incidents prolongés n’ont entraîné que deux, trois ou quatre heures de perturbation ou d’indisponibilité.
Mais il y a toujours des moments où vous pensiez avoir tout prévu, et où autre chose surgit.
La loi de Murphy, j’imagine. J’en ai eu dans toutes les entreprises où j’ai travaillé.
Comment en êtes-vous venu à la sécurité des serveurs et des réseaux ?
C’est quelque chose que j’ai dû apprendre dans pratiquement tous les postes que j’ai occupés depuis Oodle.
Soit il n’y avait personne à ce poste, soit cette personne avait quitté l’entreprise, et cela demandait un peu d’attention.
Surtout chez Pinterest, ce qui est courant dans beaucoup de nouvelles entreprises, il n’y avait vraiment que des développeurs d’applications, et la sécurité n’était pas aussi importante jusqu’à ce qu’il faille intégrer beaucoup de nouvelles personnes.
C’est là que le contrôle d’accès et l’identité deviennent vraiment importants, car vous intégrez toutes ces nouvelles personnes.
Vous voulez leur donner accès aux serveurs immédiatement, pour qu’ils puissent être productifs le plus vite possible. C'est excellent pour le moral lors de l'intégration. Mais en même temps, vous devez faire attention à qui peut faire quoi.
Vous voulez pouvoir réagir rapidement, aussi bien lors de l’onboarding que de l’offboarding.
Quelle est une grosse erreur de sécurité que vous voyez souvent dans les équipes d’ingénierie ?
Je pense que la plus grosse erreur de sécurité consiste à partager des identifiants. C’est vraiment facile.
« Bonjour, vous avez de nouveaux ingénieurs dans l’équipe. » Voici comment se connecter aux serveurs, qu’il s’agisse du nom d’utilisateur et du mot de passe que tout le monde utilise, ou du partage avec eux de la clé privée qui a été configurée sur le serveur lors de sa création.”
Ce sont les erreurs les plus importantes et les plus graves que je vois.
À partir de là, peut-être que chacun a sa propre clé SSH, mais ils partagent tous le même utilisateur. Ce n’est pas terrible, mais ce n’est toujours pas la meilleure pratique.
Disons que tout le monde faisait toutes ces choses — décrivez les résultats. Qu’est-ce qui pourrait mal tourner ?
Je pense que le pire scénario, c’est que vous ne protégez tout simplement pas l’entreprise.
Si quelqu’un quitte l’entreprise ou est licencié et qu’il vous en veut, si vous ne changez pas immédiatement tous ces identifiants partagés, cette personne peut se connecter à vos serveurs, tout supprimer et vous causer beaucoup de problèmes.
C’est le pire des cas, mais le rôle d’une entreprise est de se protéger.
C’est pourquoi l’entreprise doit simplement réfléchir à ces situations et à la manière de se protéger. C’est évidemment le pire des cas ; cela arrive rarement, mais si cela se produit, c’est catastrophique.
Comment expliqueriez-vous Foxpass au monde ? Quelle est votre fonctionnalité préférée parmi celles que vous avez développées pour Foxpass ?
En gros, nous voulons donner à chacun son propre nom d’utilisateur et mot de passe, ou ses propres identifiants, pour tout ce qui se trouve dans votre infrastructure. Fini les mots de passe Wi‑Fi partagés sur le tableau blanc. Plus besoin de noms d’utilisateur partagés ni de clés SSH pour vos serveurs Linux. Chacun a ses propres identifiants.
Maintenant que chacun a ses propres identifiants, vous pouvez passer au contrôle d’accès :
« Cette personne ne peut accéder qu’à ces serveurs, qui constituent une liste distincte de celle de Bob là-bas. Il ne peut accéder qu’à un ensemble différent de serveurs, et sur ces serveurs, ses fonctionnalités sont limitées. »
Ce n’est pas tout ou rien pour l’ensemble de l’infrastructure. Ce n’est même pas une question de tout ou rien pour un serveur donné ou un ensemble de serveurs. Chacun dispose d’un accès granulaire spécifiquement adapté à ses besoins.
Ensuite, en plus de cela, vous pouvez accorder un accès temporaire.
Vous accordez l’autorisation à quelqu’un sur un ensemble de machines avec soit une date de fin (comme une date et une heure), soit un événement de fin.
Par exemple, l’exemple que j’aime donner est le suivant : lorsque vous avez une semaine d’astreinte, vous disposez alors de pseudo-autorisations partout où vous en avez besoin. Mais lorsque votre période d’astreinte est terminée, vous perdez ces autorisations.
Vous pouvez les récupérer assez facilement en le demandant à la personne d'astreinte, mais vous ne les avez plus tant que vous n'êtes pas de nouveau d'astreinte ou que vous ne les demandez pas. Ainsi, si votre ordinateur portable est volé, l’entreprise n’a pas à s’inquiéter que vos clés se trouvaient sur cet ordinateur portable.
Ils disposent de toutes les autorisations pour tout, et nous avons une zone de service bien plus vaste à couvrir pour nous assurer qu’il n’y a aucune faille.
Vous avez créé Foxpass à partir d’un problème que vous aviez identifié chez Pinterest. Si vous deviez remonter le temps et faire les choses différemment, y a-t-il quelque chose que vous changeriez à propos de Foxpass ? Ou peut-être des erreurs que vous avez commises au début en tant que fondateur ?
Bien sûr, des tonnes d’erreurs. Je veux dire, j’ai une formation d’ingénieur, pas de créateur d’entreprise. Donc, quand je regarde en arrière, toutes les choses que j’aurais aimé faire différemment concernent le fait de développer l’entreprise plus vite.
Je pense que nous avons fait un excellent travail en offrant une très bonne expérience à tous nos premiers clients, mais il y a probablement des choses que nous aurions pu faire pour trouver plus tôt davantage de clients similaires à ceux-là.
Quelle est la chose aléatoire la plus marquante qu’un client vous a dite ?
Je pense que les meilleurs retours que j’obtiens ressemblent à ceci : « Waouh, je cherchais ça depuis une éternité. »
Ce sont celles où je sais que j’ai trouvé les personnes à qui j’essaie de vendre, et que le produit que nous avons conçu est exactement ce qu’elles recherchent, tout comme c’était exactement ce que je recherchais dans mes postes précédents.
Qu’aimez-vous faire pour vous amuser ?
J’aimais voyager. C’est difficile à faire maintenant avec deux enfants et une startup.
Aujourd’hui, vous me trouverez au parc avec lesdits enfants ou, pendant leur sieste, en train de travailler sur ma maison, qui est l’une de mes passions.
Quel est l’endroit le plus cool où vous avez voyagé ?
Mon lieu de voyage préféré...
Eh bien, en 2009, j’ai fait un tour du monde. Cela n’a duré que trois mois, mais j’ai pu voir des régions du monde qui m’ont tout simplement paru incroyables.
La majeure partie de l’Asie était incroyable. L’Asie du Sud-Est, l’Inde — de magnifiques, magnifiques pays et de magnifiques habitants. C’était probablement ma partie préférée de ce voyage.
C’est tellement difficile d’accéder à ces endroits que je suis content d’avoir eu plus de temps pour les voir.
Il y a énormément de personnes qui lancent des entreprises et créent de très bons produits. Certains ne les conçoivent peut-être pas en tenant compte de la sécurité dès le départ. Si vous aviez un conseil à donner aux fondateurs de ces startups, quel serait-il selon vous ?
« Commencez à renforcer votre sécurité plus tôt que vous ne le pensez nécessaire. »
Tout d’abord, il est important de vous assurer que vous avez un produit que les gens veulent acheter.
Si vous n’avez aucun client, vous n’avez rien à sécuriser. Mais dès que vous commencez à gagner du terrain, commencez à réfléchir à votre posture de sécurité.
Je pense que les clients sont de plus en plus avertis aujourd’hui et vont poser ces questions plus tôt qu’avant.
« Quelle est votre stratégie de contrôle d’accès ? Avez-vous des principes du moindre privilège?”
Pensez à ces éléments à l’avance, pour ne pas être pris au dépourvu quand ils commenceront à poser ces questions.
Renforcez votre sécurité
Êtes-vous prêt à sécuriser votre réseau et à protéger votre entreprise ? Cliquez ici pour découvrir comment Foxpass peut vous aider à éviter des erreurs de sécurité coûteuses !
