Q & R sur les cyber-risques et repenser la production de logiciels
Partager
Discussion sur le Conseil consultatif de sécurité de Splashtop, les cyberrisques et la refonte de la production de logiciels avec l’expert en cybersécurité Sebastian Goodwin
Par Mark Lee, PDG et cofondateur, Splashtop
Splashtop a récemment rendu public un ajout à notre Conseil consultatif de sécurité, que nous avons annoncé en décembre 2020: Sebastian Goodwin. Sebastian est chercheur en cybersécurité, conférencier principal, conseiller d’entreprise, professeur adjoint à la School of Information de l’UC Berkeley et directeur de la sécurité de l’information (CISO) chez Nutanix. Il a plus de 20 ans d’expérience à aider les entreprises Global 2000 à gérer les cyber-risques à grande échelle.
Sebastian s’est récemment entretenu avec le PDG de Splashtop, Mark Lee, sur les raisons pour lesquelles il a rejoint le Splashtop Security Advisory Council, pourquoi il est passionné par les questions de sécurité et comment il voit le paysage de la sécurité se dérouler en cette ère d’attaques de ransomware et d’autres menaces de cybersécurité.
Mark Lee : Sebastian, nous sommes très heureux que vous fassiez partie de notre Conseil consultatif sur la sécurité. Je crois que vous avez découvert Splashtop pour la première fois par l’intermédiaire de l’un de nos investisseurs, n’est-ce pas?
Sebastian Goodwin : Oui, c’est vrai. Il connaissait mes antécédents et savait que Splashtop recherchait des conseillers en sécurité, il était donc logique de nous réunir.
Marque: Vous avez une vaste expérience professionnelle dans le domaine de la cybersécurité, avec vos rôles actuels de RSSI chez Nutanix et de membre du conseil d’administration de SADA, un partenaire Google Cloud Premier et fournisseur de solutions, ainsi que vos postes de direction liés à la sécurité chez Palo Alto Networks, Robert Half, PeopleSoft et IBM, entre autres. Vous avez une vue d’ensemble de la façon dont les entreprises gèrent les cyber-risques. En général, dans quelle mesure pensez-vous que les organisations abordent la sécurité de nos jours ?
Sebastian: Les entreprises sont aujourd’hui confrontées à des risques de cybersécurité sans précédent. Comme l’ont souligné des reportages récents, les ransomwares constituent une menace énorme. Les attaquants ont réalisé qu’ils peuvent gagner en effet de levier en attaquant des logiciels largement utilisés dans différents secteurs et marchés. Les entreprises doivent repenser la façon dont elles produisent des logiciels pour mieux maintenir la sécurité et conserver la confiance des clients.
Marque: Pouvez-vous nous en dire plus sur la façon dont les entreprises doivent « repenser » la façon dont elles produisent des logiciels ?
Sebastian: Sûr. Repenser signifie trouver le bon équilibre entre la sécurité à une extrémité et l’agilité de l’entreprise à l’autre. Investir massivement dans la fourniture rapide de nouveaux produits et fonctionnalités aux clients peut signifier moins d’investissement dans la sécurité. Mais investir dans la sécurité prend du temps et peut réduire l’agilité et la capacité à rester compétitif.
La clé est de trouver le bon endroit sur le spectre où vous êtes en mesure de servir vos clients avec les produits et les fonctionnalités améliorés qu’ils exigent, tout en rendant vos produits aussi sûrs que possible.
Marque: Les clients s’attendent à obtenir rapidement les fonctionnalités les plus récentes et les plus performantes, mais ils ne sont peut-être pas conscients des risques liés à l’utilisation d’un logiciel qui n’a pas été soigneusement vérifié. Pensez-vous que cela changera?
Sebastian: Tout cela fait partie d’un changement plus large dans la sensibilisation aux cyberrisques. De toute évidence, toute entreprise ou individu qui a subi une attaque de première main comprend l’importance des bonnes pratiques de cybersécurité, même s’il s’en rend compte trop tard pour être épargné par l’impact d’une attaque. Ceux qui n’ont pas encore subi de cyberattaque appartiennent à l’une des deux catégories suivantes : soit ils s’engagent à se protéger et à protéger leur entreprise de manière proactive, soit ils deviennent une cible facile. Une attaque peut leur coûter leur entreprise.
Marque: Quelles sont les choses que les éditeurs de logiciels comme la nôtre peuvent faire pour aider à protéger nos clients contre les victimes de la cybersécurité?
Sebastian: Cela commence par une réflexion très approfondie sur la sécurité et la conception de produits logiciels sécurisés par défaut. Par exemple, faites de l’authentification à deux facteurs une valeur par défaut pour l’authentification auprès de vos services sur les réseaux publics.
Adoptez une posture de confiance zéro, ce qui signifie ne faire confiance à personne ou à quoi que ce soit. Supposons que tout finira par être violé et travaillez à limiter votre rayon d’explosion, le terme de l’industrie de la sécurité qui décrit jusqu’où une attaque donnée se répercute. Par exemple, faites en sorte que si un utilisateur d’un réseau a un périphérique compromis, le logiciel malveillant ne puisse pas se propager au-delà de cet utilisateur pour infecter d’autres périphériques sur le réseau.
Marque: Vous vous engagez à enseigner aux entreprises comment améliorer leurs pratiques de cybersécurité. Pouvez-vous nous parler un peu de cet aspect de votre travail?
Sebastian: Je pense qu’il est crucial que les organisations soient en mesure de mesurer et de gérer efficacement leurs cyber-risques afin de pouvoir protéger leurs activités de manière proactive. L’une des façons dont j’aide est en tant que conférencier indépendant en cybersécurité et conseiller auprès de PDG et de conseils d’administration. Siéger à votre Conseil consultatif sur la sécurité est un exemple de ce rôle. J’enseigne également un cours de deuxième cycle que j’ai créé pour UC Berkeley, où j’aide les futurs dirigeants technologiques et commerciaux à devenir plus aptes à évaluer et à gérer les cyber-risques au niveau de la direction et du conseil d’administration.
Marque: Vous êtes clairement passionné par la gestion des cyberrisques. D’où vient cette passion ?
Sebastian: Eh bien, je m’intéresse aux ordinateurs depuis aussi longtemps que je me souvienne. J’ai appris la programmation en autodidacte quand j’étais assez jeune, à l’époque des modems 2400 bauds et à l’aube du web mondial. J’ai toujours été fasciné par les hackers et la créativité et les compétences impliquées dans le piratage. Pensez-y. Vous devez d’abord comprendre en profondeur comment un système a été construit pour fonctionner d’une certaine manière, puis vous devez trouver des moyens de faire en sorte que ce système fasse des choses pour lesquelles il n’a pas été conçu.
C’est un casse-tête fascinant et un défi. Une histoire amusante: au lycée, j’ai failli être expulsé lorsque j’ai pu contourner le logiciel de cryptage complet du disque nouvellement déployé par le service informatique. La seule chose qui m’a sauvé, c’est qu’un de mes professeurs avait lancé un défi à « tout élève capable de pirater le cryptage incassable ». Heureusement, j’ai échappé à l’expulsion.
Marque: Nous sommes heureux que vous ayez décidé de continuer à travailler pour prévenir les attaques plutôt que de rejoindre le côté obscur du piratage nuisible!
Sebastian: Moi aussi! Mais je pense qu’il est important d’apprécier le niveau de compétence des hackers. Lorsque j’embauche des responsables de la sécurité pour mes équipes, je m’assure qu’ils comprennent l’ensemble de la pile technologique. Un jeune diplômé qui excelle dans l’écriture de code a besoin de beaucoup de formation pour arriver au point où il peut comprendre toutes les façons dont le logiciel qu’il construit peut être contourné. C’est un défi sans fin, mais c’est aussi infiniment fascinant.
Marque: Merci beaucoup pour cette conversation, Sebastian. Et merci de rejoindre notre Conseil consultatif de sécurité pour aider Splashtop à améliorer continuellement la sécurité des produits que nous livrons.
Sebastian: J’apprécie l’attitude sécuritaire de Splashtop. Comme mon entreprise actuelle, Nutanix, Splashtop s’engage à regarder vers l’avenir et à être proactif face aux risques de sécurité. C’est le seul point de départ responsable pour déterminer comment construire les solutions les plus sécurisées pour nos clients.
