Quentin Berdugo, Chief Information Security Officer, Dailymotion

Qu’est-ce qui vous a attiré dans la cybersécurité ? Qu’est-ce qui vous passionne dans votre métier ?

J’ai été happé par l’informatique quand on a commencé à parler des « autoroutes de l’information » je ne sais pas expliquer pourquoi, mais j’ai ressenti un besoin de comprendre comment ça marchait, d’ouvrir le capot.

J’ai naturellement été intéressé au début par les réseaux, et les UNIX libres. C’est ce besoin de comprendre dans les moindres détails qui m’a amené à la sécurité, et c’est dans ce domaine que j’ai choisi de me spécialiser car il me permettait de pratiquer les autres.

On ne peut pas faire l’impasse sur aucun autre domaine, mais en retour on est amené à travailler sur une très grande variété de sujets.

 

Quel est le plus gros challenge que vous rencontrez en tant que CISO ?

Probablement le « legacy » : la dette sécurité accumulée au fil des années. Changer une façon de faire, un process, un logiciel pour y ajouter la sécurité une fois en production est un ordre de magnitude plus long et plus compliqué que de la prendre en compte a priori dès la conception.

C’est pourquoi il est vital de faire remonter la sécurité en amont du cycle de développement des projets.

 

Quelle est la place de la cybersécurité au sein de votre entreprise aujourd’hui ?
Comment la sécurité informatique est-elle considérée au niveau de votre direction ?

La place de la sécurité est maintenant centrale chez Dailymotion. Nous essayons de faire en sorte qu’elle ne soit pas perçue comme un frein mais comme une force de proposition, pour faire mieux mais pas forcément moins vite. Nous construisons la sécurité comme un processus de qualité, qui a des retombées positives qui vont au-delà de la sécurité.

Nous évoluons dans une industrie où l’agilité est une question de subsistance, il ne s’agit pas de dire « non », mais « voici comment je vous propose de faire ». Pour ça il faut apprendre à connaître les métiers et leurs besoins et les mettre en perspective avec les enjeux de sécurité.  Il faut se positionner en facilitateur et trouver des solutions constructives et pragmatiques qui seront mutuellement acceptables.

C’est justement une approche qui plaît à la direction, car elle permet de démontrer la valeur ajoutée de la sécurité, qui contribue aussi à répondre à d’autres besoins d’entreprise qui préoccupent les dirigeants : la continuité d’activité, la résilience, la lutte contre la fraude, la conformité, la rationalisation des coûts, pour ne citer que ceux-là.

 

Et au niveau des collaborateurs ?

Évoluer dans une société de la « French Tech » a des avantages lorsqu’on est un professionnel de la sécurité.

D’une part, les risques technologiques sont plus évidents à percevoir pour les parties prenantes étant donné que la technologie est l’outil de production, elle est centrale aux métiers et ne concerne pas seulement une fonction support.

D’autre part, il y a cette passion de construire un produit dont on peut être fier. C’est cette volonté de bien faire qui fait que les équipes viennent proactivement consulter l’équipe sécurité pour s’informer sur les bonnes pratiques, chercher des idées pour réduire un risque identifié, ou demander une revue de code pour un fonctionnalité sensible.

Au final il y a toujours les contraintes métiers inévitables et les compromis à trouver, mais j’ai l’impression que le besoin de faire de la sécurité est bien compris chez Dailymotion, et que cela se fait sans friction inutile. 

 

A Cloud & Cyber Security Expo Paris, vous parlerez de Bug Bounty. Y a-t-il eu des réserves au sein de Dailymotion lorsque le projet a été lancé ? 

Non, pas vraiment, il y avait au contraire une volonté de faire mieux en matière de sécurité avec un maximum de transparence.

Nous traitions déjà les soumissions spontanées donc c’était plus un passage à l’échelle d’un process existant qu’un saut dans l’inconnu. Nous nous sommes aussi appuyés sur la plateforme de YesWeHack, ce qui facilite grandement l’exercice.

Il y a eu des précautions à prendre, bien évidemment mais on m’a fait confiance pour les anticiper et les adresser.

Culturellement, ça a été avec le service financier que ça été le plus long ; le principe de cagnotte, et le fait de payer au résultat n’était pas prévu dans les process d’achat et de budget.

Mais ils ont su faire preuve de pragmatisme et de créativité, surtout quand ils ont compris que cela permettait de réduire les coûts d’audit.

 

Quels conseils donneriez-vous à vos pairs qui souhaiteraient se lancer dans un programme Bug Bounty ?

La plupart des RSSI que j’ai essayé de convaincre ne s’estiment « pas prêts », notamment dans la capacité technique à évaluer les vulnérabilités et à les mitiger rapidement.

Mais c’est en forgeant qu’on devient forgeron. Je leur conseille de commencer petit, et d’augmenter graduellement le périmètre au fur et à mesure que leur maturité augmente.

Il existe quatre leviers pour graduer l’intensité d’un programme de bug bounty : le nombre et le calibre des chercheurs qu’on y invite, sa durée, le montant des primes, et le périmètre fonctionnel et technique qu’on autorise à tester. C’est largement suffisant pour contrôler efficacement le débit de vulnérabilités et provisionner la capacité de traitement qu’il convient.

Il existe maintenant un large choix de plateformes pour accompagner les entreprises dans cette démarche avec différents niveaux d’accompagnement, on peut donc acheter une partie de la capacité de traitement si on n’est pas en mesure de la fournir entièrement en interne.

Le premier pas reste de se doter de ce que j’appelle « le bug bounty du pauvre » : publier une politique de divulgation (fichier standardisé « security.txt ») et mettre en place une adresse email (activement surveillée) qui permettra aux chercheurs bénévoles, aux CERTs, ainsi qu’aux utilisateurs de signaler d’éventuelles failles ou incidents de sécurité. Cela permet sans aucun coût financier et pour un investissement humain minimum de remplir une diligence que chaque opérateur de service sur Internet doit à ses utilisateurs.

 

Découvrez sa conférence