« Les équipes de sécurité ont beaucoup de responsabilités, mais il n’est pas nécessaire que tous les membres soient des as du codage, explique Clarke Rodgers, Enterprise Security Strategist chez Amazon Web Services (AWS). Les entreprises ont besoin de perspectives, d’expériences et de processus de réflexion diversifiés pour évaluer les forces et les vulnérabilités de l’organisation en matière de sécurité, tout en gardant un esprit ouvert. Et c’est exactement cette combinaison de personnes diverses et de leurs capacités à résoudre des problèmes qui rendra la sécurité de l’entreprise plus forte et plus efficace, tout en assurant la sécurité des clients. »

Voici quelques moyens non-traditionnels de constituer ses équipes de sécurité :

Chercher en interne. Les employés passionnés – avec des compétences technologiques ou non – peuvent être formés à différents aspects de la sécurité. Par exemple, donner à un développeur passionné quelques sessions pilotées par un membre de l’équipe de sécurité sera bénéfique. Il pourra ainsi commencer à écrire des codes de gestion d’identités et de droits d’accès (IAM) ou un script de surveillance capable de détecter un comportement anormal. Un employé du service financier particulièrement doué pourrait quant à lui être le prochain expert en détection de fraude.

Un autre modèle efficace consiste à mettre en place un programme de « rotation » pendant lequel un développeur effectue une rotation d’un à trois mois dans l’équipe Sécurité, avec plusieurs bénéfices :
• L’équipe Sécurité dispose de compétences de codage indispensables aux efforts de sécurité et d’automatisation du cloud.
• Cela permet aux développeurs d’avoir une meilleure compréhension des problématiques auxquelles les équipes de sécurité sont confrontées au quotidien.
• Cela permet la mise en place naturellement d’un programme d’ambassadeurs Sécurité : lorsque le développeur reviendra dans son équipe produit, il apportera ce qu’il a appris au cours de sa rotation et l’intègrera dans son processus de développement.
• Cela favorise un environnement plus sûr !

Développer ses futurs employés. Pour développer la prochaine génération de professionnels de la sécurité, l’entreprise ne doit pas hésiter à s’associer et collaborer avec des écoles et universités afin de susciter l’intérêt des étudiants pour la profession. Il est essentiel de leur inculquer la nécessité de créer des applications hautement sécurisées. Il sera également possible de faire appel aux étudiants pour palier à des besoins de codage dans l’équipe de sécurité, l’entreprise bénéficiera ainsi de certaines des dernières compétences, et pourrait en inspirer quelques-uns à choisir une nouvelle carrière.

Diversifier ses équipes. Il est important de se questionner sur les expériences de vie des pirates informatiques qui constituent un mélange diversifié de nationalités et d’horizons. Ces pirates ont des motivations différentes – qu’elles soient politiques ou idéologiques – et il est très difficile de déterminer l’identité de ces personnes et comment elles élaborent leurs myriades de scénarios d’attaque. Cela a donc du sens que les défenseurs de la sécurité aient eux-aussi des antécédents et des expériences de vie aussi uniques et diversifiés que possible.