Carrières dans la sécurité : une journée dans la vie d’un membre de l’équipe CSIRT
Comme de nombreux professionnels de la cybersécurité, mon amour pour les ordinateurs a commencé alors que j’étais encore enfant. Je me souviens d’avoir appris mes premières commandes DOS pour exécuter des jeux et parcourir les répertoires, curieux de savoir ce qui se cachait là-dessous, « là dessous » étant le système d’exploitation, mais aussi le matériel informatique lui-même. Et je me demandais comment tout cela fonctionnait. Ma curiosité a explosé avec l’arrivée de notre première connexion par ligne commutée et la possibilité de rechercher des informations en ligne et de m’instruire.
Au lycée, j’apprenais quelques langages de programmation et de réseau, jusqu’au jour où un élève plus âgé m’a donné un CD de jeux que j’ai essayé sans succès de lancer sur mon ordinateur. Quelques jours plus tard, alors que je discutais avec des amis en ligne, mon ordinateur a commencé à devenir fou : le lecteur de CD s’ouvrait et se fermait, le fond d’écran changeait et soudain, une zone de texte avec un message de sa part est apparue.
À l’époque, je n’ai pas fait le rapprochement entre ces événements, car je n’étais même pas au courant que des logiciels malveillants pouvaient être installés à cette fin. J’étais impressionné et je voulais en comprendre le fonctionnement, alors j’ai commencé à m’intéresser à la sécurité des ordinateurs.
Après avoir obtenu mon diplôme, j’ai travaillé comme administrateur réseau, puis administrateur système, avant d’accéder à mon premier poste d’analyste en cybersécurité. Ensuite, j’ai travaillé dans un centre d’opérations de sécurité pendant de nombreuses années avant de finalement rejoindre Salesforce en tant qu’intervenant de réponse aux incidents pour la CSIRT, notre équipe de réponse aux incidents de cybersécurité.
Comme vous vous en doutez peut-être, la cybersécurité implique de nombreux types de risques et de détection différents, alors, qu’est-ce qui est exactement qualifié d’incident et comment réagissons-nous ?
Attention, nous allons entrer dans des considérations un peu techniques.
En commençant par le début, Salesforce définit un incident de sécurité de l’information comme une violation de sécurité confirmée ou raisonnablement suspectée entraînant la destruction accidentelle ou illégale, la perte, l’altération, la divulgation non autorisée ou l’accès à des données transmises, stockées ou autrement traitées par Salesforce et ses tiers.
Fondamentalement, la CSIRT est responsable de la détection, de la remontée et de la réponse 24 heures sur 24 à ces incidents de sécurité de l’information. Cela paraît assez simple, n’est-ce pas ? En fait, notre mission a de nombreuses composantes, dont nous ne pourrions certainement pas nous charger seuls !
La CSIRT collabore étroitement avec des équipes du monde entier pour réaliser notre vision d’être le principal centre de réponse de sécurité des fournisseurs de Cloud et de fournir une capacité de réponse de classe mondiale. Il s’agit vraiment de maintenir la confiance en tant que valeur fondamentale de Salesforce. Pour ce faire, nous utilisons un modèle de service mondial dans lequel les équipes régionales de différents fuseaux horaires (par exemple, l’Asie, l’Europe, l’Amérique) transfèrent leurs tâches à la fin de leur journée de travail, assurant une assistance 24 h/24, 7 j/7 et 365 j/an.
Ne sous-estimez jamais l’importance d’une bonne préparation.
En tant que fournisseur de services essentiels à beaucoup d’entreprises, de gouvernements et d’organisations parmi les plus importants et les plus critiques au monde, Salesforce intègre la sécurité dans toutes ses pratiques. Cela inclut l’instauration d’une culture de confiance et de sécurité dans toute l’organisation, la formation des utilisateurs sur les éléments à surveiller et la préparation pour réagir rapidement en cas d’incident.
Nous adoptons une approche de défense en profondeur de la sécurité, ce qui est une autre façon de dire que nous essayons de limiter la possibilité d’occurrence de tout point de défaillance unique grâce à l’intégration d’une approche en couches de la technologie, des processus et des personnes. Cependant, en cas d’incident, nous disposons de plus de 1 400 professionnels de la sécurité et de dizaines d’outils, de processus et d’approches de sécurité de pointe pour prévenir, détecter et répondre à toute menace de sécurité.
Cependant, notre équipe ne se limite pas aux outils et à la technologie. En fait, certaines des compétences les plus importantes dont un membre de l’équipe CSIRT peut disposer ont plus à voir avec la communication, la résolution de problèmes et l’organisation qu’autre chose ! Dans mon rôle d’intervenant de réponse aux incidents, ma journée commence généralement par une réunion de transfert, au cours de laquelle les équipes régionales passent en revue tous les incidents pertinents et donnent toutes les informations nécessaires pour assurer le succès de l’équipe suivante. Il est essentiel de s’assurer que chacun dispose de toutes les informations dont il a besoin afin de réduire les silos et d’arriver à une meilleure prise de décision en fonction de l’évolution des situations.
Rien de tel que le travail d’équipe pour réussir !
Maintenant, imaginons simplement que nous découvrons un tout nouvel incident pendant que nous sommes en poste. Que cet événement ait été signalé par un humain ou détecté par un système, la première étape est le tri, qui consiste à le classer et lui attribuer un ordre de priorité. Ensuite, si un événement est classé comme incident, une catégorie et une gravité sont attribuées.
À partir de là, un responsable ou gestionnaire d’incident élabore un plan. Cette personne est chargée de créer et de diriger la stratégie de réponse, de gérer les opérations et de déléguer les tâches à un groupe d’intervenants de réponse aux incidents. Elle affecte ensuite un ou plusieurs intervenants de réponse pour enquêter, puis pour limiter et pallier le problème.
En tant qu’intervenant de réponse aux incidents, je suis responsable de mener l’analyse technique et les enquêtes en réponse aux incidents. Mon travail consiste à chercher des réponses à de nombreuses questions : que s’est-il passé ? Quand est-ce arrivé ? Qui est touché ? Qui ou quoi a causé l’incident ? Où (physiquement ou bien virtuellement) cela s’est-il passé ? Et comment cela s’est-il passé ?
Cette dernière question marque le début des activités post-incident, durant lesquelles une analyse des causes profondes est effectuée pour identifier et découvrir la source de l’incident. Au cours de n’importe quelle enquête, ma journée peut impliquer l’investigation de l’hôte et du réseau, l’analyse des journaux (des téraoctets voire des pétaoctets de données), la recherche de logiciels malveillants et la collaboration avec de nombreuses parties prenantes. Ensuite, à la fin de ma journée de travail, une autre réunion de transfert a lieu pour que la région suivante puisse continuer ce processus !
Travaillons-nous sous forte pression ? Parfois. Est-ce difficile ? Dans le bon sens ! Et est-ce technique ? Évidemment. Une formation continue est essentielle pour rester au fait dans le domaine de la cybersécurité, qui offre d’ailleurs de nombreuses occasions pour se tenir au courant.
Dans ma carrière, j’ai obtenu diverses certifications (CCNA, CCNA Security, CISM de l’ISACA, HEC de l’EC-Council, (ISC)2, CISSP, CCSK de la CSA), suivi divers cours et supports d’apprentissage en autonomie (vidéos, livres), des flux d’actualités, des podcasts et j’ai assisté à des conférences. C’est un parcours d’apprentissage ininterrompu que je suis toujours, à travers un Master en cybersécurité et le cursus SEC504 du SANS (avec la certification GCIH du GIAC, j’espère !).
Vous souhaitez commencer à vous familiariser avec les dernières avancées en matière de cybersécurité ? Consultez le Centre d’apprentissage de cybersécurité, où vous pourrez obtenir des certifications à ajouter à votre CV, explorer des parcours d’apprentissage guidés, en apprendre plus grâce à d’autres professionnels de la sécurité et échanger avec toute la communauté de la cybersécurité.
Chez Salesforce, nous nous engageons à constituer une main-d’œuvre qui reflète les diverses communautés dont font partie nos clients, et où chacun se sent libre d’être soi-même de façon authentique au travail. Nos valeurs ne sont pas que des mots couchés sur du papier : nous apprenons à les incarner chaque jour, à évaluer notre réussite et à évoluer en permanence. Ensemble, nous avons pour mission d’améliorer l’état du monde.
Vous souhaitez faire partie de cette équipe incroyable ? Rejoignez-nous, nous recherchons des passionnés comme vous !