LMi-MAG17 avril - Flipbook - Page 14
ENTRETIEN
Larkin RYDER
responsable de la sécurité des produits chez Slack
Aujourd’hui, nous parlons beaucoup
de cybersécurité. Quel genre de menaces
rencontrez-vous ?
rente et sécurisée des ordinateurs partout dans le monde.
Enfin, la troisième activité est gérée par l’équipe chargée
des risques et de la conformité. C’est celle pour laquelle
j’ai été initialement embauchée en 2016 afin de la faire
évoluer.
En quoi consiste le travail de votre équipe
sur la plateforme ?
LR : J’ai toujours dit que le plus facile pour un responsable de la conformité était de s’attribuer le mérite d’un
excellent programme de sécurité – dans le cas présent
déjà existant. Or, dès ses débuts, Slack a intégré la sécurité dans l’environnement opérationnel à un niveau très
fondamental. L’entreprise était extrêmement compétente
sur la surveillance et l’alerte des événements de sécurité
dans l’environnement d’exploitation. Une fois que c’est
acquis et bien traité, tout le reste du programme de sécurité en découle, car vous pouvez voir très rapidement à
quoi ressemble une situation normale dans votre environnement. Toute anomalie devient alors un événement qui
peut faire l’objet d’une alerte et vous pouvez empêcher
l’accès à votre environnement.
Nous menons aussi des évaluations avec des fournisseurs externes. Cela nous a permis d’obtenir différentes
certifications, telles que SOC 2, SOC 3 ou les normes
ISO 27 001, 27 017 et 27 018. Mais nous devons également
intégrer la sécurité dans le produit. Et c’est là qu’intervient réellement mon équipe. Elle s’assure que lorsque
les développeurs construisent, ils le font d’une manière
qui est conforme. Un des grands changements des deux
dernières années, c’est que nous avons commencé à
travailler avec les agences gouvernementales américaines pour qu’elles utilisent Slack, notamment en nous
adaptant à certaines des normes de sécurité les plus élevées de l’Etat. La plupart des entreprises comme Slack,
fournisseurs de solutions SaaS, doivent se conformer à
FedRAMP (Federal Risk and Authorization Management
Program) afin de travailler avec ce type d’organisation.
Pour ce faire, elles fournissent un environnement séparé
et extrêmement sécurisé où elles isolent ces agences, avec
un verrouillage renforcé. Les autres clients sont quant
à eux dans un environnement plus agile et plus convivial, mais moins protégé. Nous avons cependant décidé
d’améliorer cet environnement afin que tous nos clients
travaillent dans Slack avec le même niveau de sécurité
que les agences gouvernementales.
14 / mars / avril / mai 2023
LR : La principale menace que nous observons est celle
motivée par des raisons financières. Des personnes
cherchent à avoir accès à des données sur des individus
pour les faire chanter ou déployer des ransomwares.
Certains veulent accéder à la puissance de calcul pour
le minage de bitcoins, pour l’utilisation de services pour
l’ingénierie sociale afin de lancer des attaques ciblant
le personnel directement responsable des transactions
financières dans une entreprise, leur but va être, par
exemple, de leur faire transférer un million de dollars
sur des comptes en Suisse.
Le secteur de la santé a particulièrement
été touché ces derniers temps,
notamment par manque de protection.
Est-ce une priorité pour vous ?
LR : Oui. L’un des premiers projets sur lesquels j’ai travaillé quand j’ai rejoint l’équipe de risque et de conformité concernait la conformité HIPAA, qui protège les
informations de santé aux Etats-Unis. La protection des
données de santé est l’une de nos priorités avec la capacité des professionnels de santé à se concentrer sur les
soins sans s’inquiéter de la sécurité des données. Et dans
ce secteur qui traite des données très sensibles, nous
portons une attention particulière aux ransomwares. En
ce sens, le cloud est une véritable valeur ajoutée. [Lire
l’intégralité de l’entretien sur lemondeinformatique.fr]
APPROFONDIR
ÉCOUTER EN LIGNE
Entretien/Podcast
tinyurl.com/podcast-Slack
LIRE EN LIGNE
Entretien
tinyurl.com/article-Slack