Trouver un article
Thèmes populaires
Nous avons interviewé Laila Ahddar, directrice de la cybersécurité pour les entités de la Global R&D du groupe IDEMIA. Elle présente ses différentes missions et comment l’entreprise intègre les bonnes pratiques de sécurité pendant toutes les phases de conception d’un produit.
La cybersécurité est un secteur en pleine croissance qui répond à une préoccupation majeure pour les entreprises et les particuliers, dans un monde de plus en plus digital, avec notamment l’explosion des objets connectés, la dématérialisation des SI vers le cloud et d’importants échanges de de données. IDEMIA, en tant que leader mondial de l’identité numérique et biométrique, veille à proposer des technologies de pointe pour garantir les plus hauts standards de sécurité, allié au confort d’utilisation.
Laila Ahddar est à la tête des activités de cybersécurité de la Global R&D du groupe IDEMIA. À travers ses différentes missions, son rôle est de concevoir des systèmes constitués de produits avec un haut niveau de sécurité. La sécurité est pensée de la phase de conception, de développement jusqu’à la phase de production et de déploiement.
J’ai plusieurs casquettes. Je suis directrice du centre d’Excellence IDEMIA Maroc et je suis également en charge de la cybersécurité pour les entités de la Global R&D du groupe. Mon rôle est d’accompagner le développement des produits intégrés dans la chaîne de valeur d’un service autour de solutions que nous vendons à nos clients. Ma première mission est de mettre en œuvre la sécurité tout au long du cycle de vie d’un produit, de sa phase de conception jusqu’à sa phase de livraison, en passant par sa production qui implique un monitoring pour détecter des failles en matière de sécurité et agir rapidement.
IDEMIA met un point d’honneur à assurer la sécurité des produits et des solutions. Nous sommes vigilants à tous les moyens de sécurisation mis en place pour que les développeurs puissent concevoir des produits sécurisés tout au long de la chaîne de valeur.
Je suis également chargée d’effectuer un important travail de sensibilisation de nos collaborateurs :
Nous mettons en pratique ce qu’on appelle une méthodologie DevSecOps : il s’agit d’un framework standardisé. Des solutions composées de produit de type applicatif sont pour certains développés en DevOps (ou développement et en intégration continue), mélangeant des tâches Dev et Opération. Quand nous développons un produit, nous suivons différentes phases : plan, code, build, test, release, deploy, operate, monitor. Dans chacune de ces phases, nous appliquons la cybersécurité.
En amont de la phase de conception, nous réalisons un workshop dans lequel nous regardons le produit à développer et l’écosystème dans lequel il va évoluer pour effectuer une analyse de risques. Au cours de cette analyse, nous envisageons toutes les menaces (extérieures et internes), qui pourraient compromettre le produit ou sa chaîne de valeur. Cela permet de définir des mesures de protection à intégrer dans les phases de développement.
La conception d’un programme implique de veiller à l’assemblage des différents produits qui constituent la solution vendue au client. Pour effectuer cet assemblage, nous faisons en sorte que la compromission d’un produit n’affecte pas toute la chaîne de valeur de la solution (et donc par « effet rebond » tous les autres produits et services de la solution). Par exemple, si nous concevons une application mobile, nous nous assurons qu’en cas de vol d’identifiants, toute la chaîne d’authentification des autres services délivrées à d’autres clients ne soit pas compromise. Notre travail répond à une logique globale. Nous appliquons la sécurité au cours du cycle de vie du produit, mais aussi en tenant compte de toute la chaîne de valeur de la solution dans laquelle le produit s’inscrit.
L’intégration de la cybersécurité prend pleinement en compte l’expérience client. Par exemple, dans le cas de la double authentification pour une application mobile, notre rôle est d’accompagner le designer UX à prendre en compte la sécurité dans son parcours client en cherchant le juste équilibre et rendre cette double authentification non contraignante en simplifiant par exemple la saisie du code SMS.
L’expérience utilisateur doit rester fluide pour garantir l’adoption du produit par le client. Notre objectif est de mettre un niveau de sécurité robuste et transparent pour le client afin de protéger nos infrastructures et nos produits. C’est en effet en amont du développement, lors de la réflexion sur l’UX et l’UI d’un produit, que nous imaginons comment la sécurité va pouvoir englober l’ensemble de ces éléments pour offrir la meilleure expérience utilisateur possible.
Pour garantir la sécurité d’un produit IDEMIA, je me mets dans la peau d’un attaquant pour tenter de compromettre le système à travers ces produits ou les interconnexions avec d’autres produits. Par ailleurs, je me préoccupe des aspects juridiques et légaux qui pourraient nuire à l’image de l’entreprise et causer un préjudice business, par exemple les dispositions du RGPD qui visent à protéger les données personnelles des citoyens européens. Nos recommandations sont transmises aux Projects managers et Développeurs, comprenant notamment les chemins d’attaques, pour qu’ils développent avec vigilance. Nous les accompagnons pour architecturer, nous leur transmettons les bonnes pratiques et nous mettons à leur disposition des outils pour les aider tout au long de la phase de développement.
Une veille sécuritaire est également réalisée. Il s’agit d’une étape importante car, dans un produit, nous utilisons des librairies qui sont développées par des tiers. Nous sommes alertés par des bulletins de sécurité lorsque des vulnérabilités sont trouvées et nous les gérons à l’intérieur même du cycle de vie du produit. Nous récupérons le plus possible ces vulnérabilités pour que nos développeurs les intègrent en correction. Si ces vulnérabilités sont constatées après coup, autour d’une stratégie de patch management, nous décidons du plan de mitigation à mettre en œuvre.
Selon la maturité et la sensibilité du développeur, ses connaissances en matière de sécurité sont plus ou moins développées pour appréhender ces aspects. Nous avons prévu une phase de sensibilisation, qui s’accompagne de documentations, pour lui permettre de monter en compétences. Des outils sont introduits dans sa chaîne de développement de façon à l’aider, lorsqu’il commence à coder, pour lui permettre de détecter où se situent les failles de sécurité. Par ailleurs, nous nous appuyons sur un « sécurité champion » en tant que référent dans chaque projet, interface de l’expert sécurité, pour aider l’équipe projet à monter en compétences. Il est le garant de la mise en œuvre de la sécurité sur un projet.
Chaque langage de programmation a également ses spécificités en termes de sécurité, nous devons donc nous adapter. Le plan de formation prévoit un programme spécifique pour pouvoir les adresser correctement. Nos collaborateurs en interne commenceront par suivre une formation générique sur 2 jours, puis une formation spécifique par langage de programmation, et un programme spécialisé pour DevSecOps en sécurité et agilité. Par ailleurs, dans l’organisation agile, pour faciliter l’approche Security By Design, les exigences devront être intégrées le plus tôt possible dans la conception du produit. Ces mesures de sécurité doivent être traduites en « security baselines », qui deviendront des « security user stories », qui vont ensuite alimenter les « products backlogs », prochaines étapes pour un développeur. Les scénarios de risques seront traduits en « Evils User Stories ».
Une « Evils User Stories » décrit la réalisation d’un scénario de risque à travers l’identification d’une source de risque (attaquant externe / collaborateur malveillant), exploitant une vulnérabilité, occasionnant un impact sur la valeur métier.
Pour appliquer la sécurité sur nos produits, nous utilisons plusieurs outils qui peuvent venir du marché, ou que nous développons nous-même car ils ont une fonction spécifique pour nos métiers. Par exemple, nous utilisons :
Aussi, nous utilisons plusieurs langages de programmation : Java / JEE, Spring, Python, Angular, Javascript, D3.JS, Node.js, React, PHP, HTML5/CSS3, le framework Bootstrap, C/C++ , pour la partie mobile, IOS et Android native, Xamarine pour le développement web mobile et le responsive design.
La boîte à outils DevOps et DevSecOps reste standard, on retrouve des environnements communs à beaucoup de communautés de développeurs, que ce soit au niveau des repository, des outils de collaboration, chaînes CI/CD, ou les outils d’orchestration, test, monitoring et APM. Pour la partie sécurité, nous utilisons les frameworks OWASP, NIST, SANS et des outils de scan de vulnérabilités, analyse de code statique ou dynamique ainsi que des scans de vulnérabilité.
Nos collaborateurs maîtrisent tous ces langages et outils (ce qui légitime notre participation aux différentes éditions de la Battle Dev), et qui sont renforcés par nos équipes sécurité pour développer des produits à la pointe de la technologie.
Nous recrutons des profils experts, que ce soit du côté IT ou dans le développement applicatif. Nous recherchons notamment des architectes IT sécurité, des architectes système, des développeurs sécurité, des pentester ou encore des profils qui travaillent sur la gouvernance. Pour les soft skills, j’attache beaucoup d’importance au leadership et à la communication. Je recherche des experts sécurité qui sont à mi-chemin entre la technique et le volet business. Un bon responsable de la cybersécurité doit faire preuve de leadership tout en sachant faire du marketing de la sécurité pour la vendre auprès de ses clients et de ses partenaires.
La cybersécurité a un coût, quand on ne la prend pas en compte suffisamment en amont des projets, qu’il faut savoir transformer en création de valeur pour répondre aux besoins de nos clients et les satisfaire. J’ai besoin de profils techniques pour accompagner nos partenaires sur ce sujet. Nos collaborateurs doivent également faire preuve de beaucoup de patience, de pédagogie et bien sûr de curiosité.
Retrouver toutes les offres de recrutement d’IDEMIA
Votre adresse email ne sera pas publiée.
En cliquant sur “S’inscrire”, vous acceptez les CGU ainsi que notre politique de confidentialité décrivant la finalité des traitements de vos données personnelles.
En cliquant sur “S’inscrire”, vous acceptez les CGU ainsi que notre politique de confidentialité décrivant la finalité des traitements de vos données personnelles.
C