LMi-MAG17 avril - Flipbook - Page 13
« SLACK A INTÉGRÉ
LA SÉCURITÉ
DÈS SES DÉBUTS »
La rédaction du Monde Informatique a rencontré Larkin Ryder, responsable de la sécurité
chez Slack. Elle a évoqué son parcours, l’organisation de la sécurité au sein de la plateforme
ainsi que les défis auxquels elle est confrontée.
Propos recueillis par Célia Séramour
Quel est exactement le périmètre
de votre fonction ?
Larkin Ryder : Je suis directrice principale de la sécurité des produits chez Slack où je travaille depuis plus de
six ans. J’ai été embauchée en 2016 en tant que directrice
des risques et de la conformité. J’ai ensuite cumulé plusieurs fonctions, notamment responsable de la sécurité
par intérim, avant de prendre mon poste actuel.
Comment la question de la sécurité est devenue
aussi prégnante chez Slack ?
LR : Avant la création de l’équipe de sécurité, Cal Henderson, cofondateur et CTO de Slack, avait créé en 2014 un
programme de bug bounty. Ensuite, Slack a embauché son
premier professionnel de la sécurité et j’ai probablement
été la quatrième personne recrutée dans ce domaine.
Le responsable de la sécurité des produits de l’époque a
lancé deux projets. Le premier a consisté à s’associer à
l’équipe de développement afin de s’assurer que les développeurs prennent bien en compte le sujet et utilisent les
meilleures pratiques en la matière, alignées sur le Top 10
de l’OWASP. En 2018, lorsque j’ai pris la direction du programme, j’ai eu l’opportunité de développer ce projet. Six
personnes y travaillaient en étroite collaboration avec les
développeurs. Nous avons élargi le rôle de l’équipe, en recrutant d’autres personnes, en nous appuyant sur davantage d’outils, en élargissant les capacités des solutions
déjà utilisées et, enfin, en nous concentrant plus sur les
domaines avec un risque identifié.
Le second projet a consisté à intégrer directement une
équipe de développeurs au sein du pôle sécurité, ce qui
est plutôt inhabituel. La plupart des organisations de sécurité n’ont pas la flexibilité nécessaire pour cela. Cette
équipe a écrit les composants les plus sensibles du produit. Ainsi, tandis que les professionnels de la sécurité
traitent uniquement de la sécurité, les développeurs de
l’offre Slack se concentrent sur les problèmes complexes
de fiabilité, d’évolutivité, de convivialité, d’accessibilité et
de fonctionnalité dont nos clients ont besoin.
D’un point de vue organisationnel, comment
est gérée la sécurité de Slack ?
LR : L’équipe compte environ soixante-dix personnes
à l’heure actuelle, elle est divisée en trois activités. Mon
équipe s’occupe de toutes les caractéristiques et fonctions
de la plateforme qui fonctionnent dans un environnement sécurisé. Elle s’assure aussi de la sécurisation de
l’ensemble du code Slack. Cela inclut les services Web,
ainsi que les applications clientes exécutées sur votre
bureau ou votre appareil mobile. L’équipe des opérations de sécurité, la deuxième activité, est responsable
de l’infrastructure. Elle gère le système de surveillance
et d’alerte et tient un registre des événements de sécurité
dans toute notre infrastructure. Ils ont également créé
le réseau de chiffrement Nebula que nous utilisons aujourd’hui. C’est une solution que nous avons développée –
avant Nitro d’AWS– pour connecter de manière transpaSUITE
DE L’ENTRETIEN
13