Q & A sur les cyber-risques et repenser la production de logiciels

AQ Mark et Sebastian

Sebastian Goodwin, expert en cybersécurité, parle du conseil consultatif de Splashtop sur la sécurité, des cyber-risques et de la nécessité de repenser la production de logiciels.

Par Mark Lee, PDG et cofondateur de Splashtop.

Splashtop a récemment rendu public un ajout à notre conseil consultatif de sécurité , que nous avons annoncé en décembre 2020 : Sebastian Goodwin. Sebastian est un chercheur en cybersécurité, un conférencier de premier plan, un conseiller d'entreprise, un professeur adjoint à l'école d'information de l'UC Berkeley et un responsable de la sécurité informatique (CISO) chez Nutanix. Il a plus de 20 ans d'expérience dans l'aide aux entreprises du Global 2000 pour gérer les cyber-risques à grande échelle.

Sebastian a récemment discuté avec Mark Lee, PDG de Splashtop, des raisons pour lesquelles il a rejoint le conseil consultatif sur la sécurité de Splashtop, des raisons pour lesquelles il est passionné par les questions de sécurité, et de la façon dont il voit le paysage de la sécurité évoluer en cette période d'augmentation des attaques de ransomware et d'autres menaces de cybersécurité.

Mark Lee : Sebastian, nous sommes ravis que vous fassiez partie de notre Conseil consultatif de sécurité. Je crois que vous avez découvert Splashtop par l'intermédiaire d'un de nos investisseurs, exact ?

Sebastian Goodwin : Oui, c'est ça. Il connaissait mon parcours et savait que Splashtop recherchait des conseillers en sécurité, il était donc logique de nous mettre en relation.

Mark : Vous avez une expérience professionnelle considérable dans le domaine de la cybersécurité, avec vos fonctions actuelles de RSSI chez Nutanix et de membre du conseil d'administration de SADA, un partenaire privilégié de Google Cloud et fournisseur de solutions.ainsi que les postes de direction que vous avez occupés dans le domaine de la sécurité chez Palo Alto Networks, Robert Half, PeopleSoft et IBM, entre autres. Vous avez une vue d'ensemble de la façon dont les entreprises abordent le cyber-risque. D'une manière générale, dans quelle mesure pensez-vous que les organisations abordent la sécurité de nos jours ?

Sebastian : Les entreprises sont aujourd'hui confrontées à des risques sans précédent en matière de cybersécurité. Comme l'ont souligné de récents reportages, les ransomwares constituent une énorme menace. Les attaquants ont compris qu'ils pouvaient tirer profit de l'attaque de logiciels largement utilisés dans différents secteurs et marchés. Les entreprises doivent repenser la manière dont elles produisent les logiciels afin de mieux préserver la sécurité et de conserver la confiance des clients.

Mark : Pouvez-vous nous en dire plus sur la manière dont les entreprises doivent "repenser" la production de logiciels ?

Sebastian : Bien sûr. Repenser signifie trouver le bon équilibre sur le spectre entre la sécurité à une extrémité et l'agilité de l'entreprise à l'autre. Investir massivement dans la livraison rapide de nouveaux produits et de nouvelles fonctionnalités aux clients peut signifier investir moins dans la sécurité. Mais investir dans la sécurité prend du temps et peut diminuer l'agilité et la capacité à rester compétitif.

Il s'agit de trouver le bon endroit sur le spectre qui vous permettra de servir vos clients avec les produits et les fonctionnalités améliorés qu'ils demandent, tout en rendant vos produits aussi sûrs que possible.

Mark : Les clients s'attendent à obtenir rapidement les dernières et meilleures fonctionnalités, mais ils ne sont pas toujours conscients des risques liés à l'utilisation d'un logiciel qui n'a pas fait l'objet d'une vérification approfondie. Pensez-vous que cela va changer ?

Sebastian : Tout cela fait partie d'un mouvement plus large de sensibilisation aux cyberrisques. Il est clair que toute entreprise ou personne ayant subi une attaque directe comprend l'importance des bonnes pratiques de cybersécurité, même si elle s'en rend compte trop tard pour être épargnée par l'impact d'une attaque. Ceux qui n'ont pas encore subi de cyberattaque appartiennent à l'une des deux catégories suivantes : Soit ils sont déterminés à se protéger et à protéger leur entreprise de manière proactive, soit ils se transforment en une cible facile. Une attaque peut leur coûter leur entreprise.

Mark : Quelles sont les mesures que les entreprises de logiciels comme la nôtre peuvent prendre pour éviter que leurs clients ne deviennent des victimes de la cybersécurité ?

Sebastian : Cela commence par une réflexion approfondie sur la sécurité et la conception de produits logiciels sécurisés par défaut. Par exemple, faites de l'authentification à deux facteurs une option par défaut pour l'authentification à vos services sur les réseaux publics.

Adoptez une attitude de confiance zéro, ce qui signifie ne faire confiance à personne ni à rien. Partez du principe que tout finira par être violé et efforcez-vous de limiter votre rayon d'action, terme utilisé dans le secteur de la sécurité pour décrire la portée d'une attaque donnée. Par exemple, faites en sorte que si un utilisateur d'un réseau possède un appareil compromis, le logiciel malveillant ne puisse pas se propager au-delà de cet utilisateur pour infecter d'autres appareils sur le réseau.

Mark : Vous vous êtes engagé à enseigner aux entreprises comment améliorer leurs pratiques en matière de cybersécurité. Pouvez-vous nous parler de cet aspect de votre travail ?

Sebastian : Je pense qu'il est essentiel que les organisations soient en mesure de mesurer et de gérer efficacement leur cyber-risque afin de pouvoir protéger leur activité de manière proactive. J'apporte notamment mon aide en tant que conférencier et conseiller indépendant en matière de cybersécurité auprès des PDG et des conseils d'administration. Faire partie de votre conseil consultatif sur la sécurité est un exemple de ce rôle. J'enseigne également un cours de niveau supérieur que j'ai créé pour l'UC Berkeley, dans lequel j'aide les futurs dirigeants technologiques et commerciaux à mieux évaluer et gérer les cyberrisques, tant au niveau de la direction que du conseil d'administration.

Mark : Vous êtes manifestement passionné par la gestion des cyberrisques. D'où vient cette passion ?

Sebastian : Je m'intéresse aux ordinateurs depuis aussi longtemps que je me souvienne. J'ai appris à programmer tout seul quand j'étais assez jeune, à l'époque des modems à 2400 bauds et à l'aube du web mondial. J'ai toujours été fasciné par les pirates informatiques et par la créativité et les compétences qu'ils mettent en œuvre. Pensez-y. Il faut d'abord comprendre en profondeur comment un système a été construit pour fonctionner d'une certaine manière, puis il faut trouver des moyens de faire faire à ce système des choses pour lesquelles il n'a pas été conçu.

C'est un puzzle fascinant et un défi. Une histoire amusante : Au lycée, j'ai failli être renvoyé lorsque j'ai réussi à contourner le logiciel de cryptage intégral du disque récemment déployé par le département informatique. La seule chose qui m'a sauvé, c'est qu'un de mes professeurs avait lancé un défi à "tout étudiant capable de pirater le cryptage inviolable". Heureusement, j'ai échappé à l'expulsion.

Mark : Nous sommes heureux que vous ayez décidé de continuer à travailler pour prévenir les attaques plutôt que de rejoindre le côté obscur du piratage nuisible !

Sebastian : Moi aussi ! Mais je pense qu'il est important d'apprécier le niveau de compétence des hackers. Lorsque j'embauche des personnes chargées de la sécurité dans mes équipes, je m'assure qu'elles comprennent l'ensemble de la pile technologique. Un jeune diplômé de l'université qui excelle dans l'écriture du code a besoin de beaucoup de formation pour arriver au point où il peut comprendre toutes les façons dont le logiciel qu'il construit peut être contourné. C'est un défi sans fin, mais c'est aussi infiniment fascinant.

Mark : Merci beaucoup pour cette conversation, Sebastian. Et merci de rejoindre notre Conseil consultatif de sécurité pour aider Splashtop à améliorer continuellement la sécurité des produits que nous livrons.

Sebastian : J'apprécie l'attitude de Splashtop en matière de sécurité. Comme mon entreprise actuelle, Nutanix, Splashtop s'engage à regarder vers l'avenir et à être proactif en matière de risques de sécurité. C'est le seul point de départ responsable pour trouver comment construire les solutions les plus sûres pour nos clients.

Bannière d'essai gratuit sur le fond du blog