Cybersäkerhet är ett växande område som svarar på den stora oro hos företag och individer, i en allt mer digital värld, särskilt explosionen av anslutna objekt, decentraliseringen av Internet, materialisera IS till molnet och utbyta viktig data. IDEMIA, som en global ledare inom digital identitet och biometri, strävar efter att tillhandahålla den senaste tekniken för att säkerställa högsta säkerhetsstandard, kombinerat med användarvänlighet.
Laila Ahddar är chef för cybersäkerhetsverksamheten i IDEMIA Groups Global R&D. Genom sina olika uppdrag är dess roll att designa system som består av produkter med en hög grad av säkerhet. Säkerhet beaktas från design- och utvecklingsstadiet till produktions- och driftsättningsfasen.
Vad innehåller din roll på IDEMIA?
Jag har några hattar. Jag är chef för IDEMIA Marockos Center of Excellence, och jag är också ansvarig för cybersäkerhet för gruppens globala FoU-organisationer. Min roll är att stödja utvecklingen av integrerade produkter i tjänstens värdekedja kring de lösningar vi säljer till våra kunder. Min första uppgift är att implementera säkerhet under hela produktens livscykel, från design till leverans, inklusive produktion, inklusive övervakning av säkerhetsbrister och agera snabbt.
IDEMIA lägger stor vikt vid att säkerställa säkerheten för produkter och lösningar. Vi är vaksamma på alla säkerhetsmetoder som tillämpas så att utvecklare kan designa säkra produkter längs hela värdekedjan.
Jag är också ansvarig för att göra viktigt arbete för att öka medarbetarnas medvetenhet:
å ena sidan, för att säkerställa skyddet av anläggningen och skyddet av information, å andra sidan, för att skydda våra produkter är förvisso utvecklade i en säker miljö, men sedan bearbetas av samarbetspartnerna insiders och utomstående som agerar på uppdrag av IDEMIA. Vi måste utbilda dem och lära dem hur man tillämpar bästa praxis.
Kan du beskriva hur IDEMIA integrerar cybersäkerhet i designen av sina produkter?
Vi utövar det som kallas DevSecOps-metoden: det är ett standardiserat ramverk. Lösningarna består av produkter av applikationstyp för flera lösningar utvecklade i DevOps (eller kontinuerlig utveckling och integration), som kombinerar Dev- och Operationsuppgifter. När vi utvecklar en produkt följer vi olika faser: planering, kodning, byggande, testning, släpp, driftsättning, drift, övervakning. I vart och ett av dessa steg tillämpar vi cybersäkerhet.
Uppströms designfasen genomför vi en workshop där vi granskar produkten som ska utvecklas och ekosystemet där den kommer att utvecklas för att göra en riskanalys. Under denna analys tar vi hänsyn till alla hot (externa och interna), som kan påverka produkten eller dess värdekedja. Detta gör det möjligt att definiera skydd som är inbyggda i utvecklingsfaserna.
Är processen annorlunda när det kommer till ett program som innehåller olika produkter? Vilka är de viktiga punkterna att kontrollera när det gäller säkerhet?
Att utforma ett program innebär att övervaka monteringen av de olika produkterna som utgör lösningen som säljs till kunden. För att göra denna sammansättning säkerställer vi att kompromissen av en produkt inte påverkar hela värdekedjan för lösningen (och därmed genom att “rebounda” alla produkter och andra tjänster i lösningen). Till exempel, om vi designar en mobilapplikation, säkerställer vi att i händelse av identitetsstöld, hela autentiseringskedjan av andra tjänster som tillhandahålls till andra kunder inte kommer att äventyras. Vårt arbete möter en global logik. Vi tillämpar säkerhet under hela produktens livslängd, men tar också hänsyn till hela värdekedjan för den lösning som produkten är en del av.
Hur integreras användarupplevelsen i produktdesign?
Cybersäkerhetsintegration tar full hänsyn till kundupplevelsen. Till exempel vid dubbel autentisering för en mobilapp är vår roll att hjälpa UX-designern att ta hänsyn till säkerheten i kundresan genom att hitta rätt balans och göra Denna dubbla autentisering är bindande genom att förenkla t ex inmatning av SMS-kod.
Användarupplevelsen måste förbli flytande för att säkerställa att kunden accepterar produkten. Vårt mål är att sätta en stark nivå av säkerhet och transparens för våra kunder för att skydda vår infrastruktur och våra produkter. Verkligen uppströms utvecklingen, när vi tänker på användarupplevelsen och användargränssnittet för en produkt, föreställer vi oss hur säkerheten kommer att kunna inkludera alla dessa element för att leverera den bästa användarupplevelsen. den bästa möjliga användaren.
Hur säkerställer du en produkts säkerhet?
För att säkerställa säkerheten för IDEMIA-produkter, satte jag mig i en angripares skor som försöker penetrera systemet genom dessa produkter eller ansluta till andra produkter. Vidare är jag oroad över juridiska och regulatoriska aspekter som kan skada företagets image och skada dess verksamhet, såsom GDPR-bestämmelser som syftar till att skydda personuppgifter om europeiska medborgare. Våra förslag skickas till projektledare och utvecklare, inklusive attackvägar, för att de ska utvecklas med försiktighet. Vi stödjer dem med deras arkitektur, vi förmedlar bästa praxis till dem och vi ger dem verktygen för att hjälpa dem genom utvecklingsfasen.
En ordningsvakt sattes också in. Detta är ett viktigt steg eftersom vi i en produkt använder bibliotek som utvecklats av tredje part. Vi varnas med säkerhetsbulletiner när sårbarheter hittas och hanterar dem under hela produktens livscykel. Vi återställer dessa sårbarheter så mycket vi kan så att våra utvecklare integrerar dem för att åtgärda dem. Om dessa sårbarheter observeras i efterhand, runt patchhanteringsstrategin, beslutar vi om en begränsningsplan som ska implementeras.
Hur är utvecklare medvetna om den goda praxis som ingår i utvecklingen av en produkt?
Beroende på utvecklarens mognad och känslighet utvecklas hans kunskap om säkerhet mer eller mindre för att förstå dessa aspekter. Vi har planerat en medvetenhetsperiod, åtföljd av material, för att hjälpa honom att utveckla sina färdigheter. Verktyg inkluderades i hans utvecklingskedja för att hjälpa honom, när han började koda, så att han kunde se var säkerhetshålen fanns. Dessutom förlitar vi oss på en “säkerhetsmästare” som referent i varje projekt, gränssnittet för en säkerhetsexpert, för att hjälpa projektteamet att bygga färdigheter. Det är han som säkerställer implementeringen av säkerheten i ett projekt.
Varje programmeringsspråk har också sina egna säkerhetsegenskaper, så vi måste anpassa oss. Utbildningsplanen ger ett specifikt program för att kunna ta itu med dem korrekt. Våra interna samarbetspartners kommer att börja med att följa en allmän 2-dagars utbildning följt av specifikt programmeringsspråk och DevSecOps-programmering om säkerhet och smidig, smidig. I agila organisationer måste dessutom krav integreras så tidigt som möjligt i designen av produkten för att underlätta Security By Design-metoden. Dessa säkerhetsåtgärder bör översättas till en “säkerhetsbaslinje”, som kommer att bli en “säkerhetsanvändarberättelse”, som sedan kommer att inkluderas i “produktloggen”, nästa steg för utvecklare. . Riskscenarier kommer att översättas till “Evil User Stories”.
Vad är “User Stories of Evil”?
“The Devil’s User Story” beskriver implementeringen av ett riskscenario genom att identifiera källan till risken (extern angripare/skadlig kollaboratör), utnyttja sårbarheten, påverka till affärsvärde.
Vilka verktyg och programmeringsspråk använder du för att utföra dessa olika uppdrag?
För att tillämpa säkerhet på våra produkter använder vi ett antal verktyg som kan komma från marknaden eller utvecklas av oss då de har en specifik funktion för vår verksamhet. Till exempel använder vi:
verktyg för hotmodellering efter behov, verktyg för analys av statisk kod för CI/CD-kedjor tillgängliga och används av andra företag, marknadsverktyg för att testa och granska våra testare, för att utföra sårbarhetsskanningar, kompletterat med pentest, penetrationstestning, av våra Redteam-team. Detta är ett mycket skickligt säkerhetsteam i attacksituationer.
Dessutom använder vi flera programmeringsspråk: Java/JEE, Spring, Python, Angular, Javascript, D3.JS, Node.js, React, PHP, HTML5/CSS3, Bootstrap framework, C/C++ , för mobil del, Native IOS och Android, Xamarine för mobil webbutveckling och responsiv design.
DevOps- och DevSecOps-verktygslådorna är fortfarande standard, det finns gemensamma miljöer för många utvecklargemenskaper, oavsett om det är på förvarsnivå, samarbetsverktyg, CI/CD-kedjor eller test- och orkestreringsverktyg. , övervakning och APM. För säkerheten använder vi OWASP, NIST, SANS ramverk och verktyg för sårbarhetsskanning, statisk eller dynamisk kodanalys samt sårbarhetsskanning.
Våra medarbetare är flytande i alla dessa språk och verktyg (vilket legitimerar vårt engagemang i de olika Battle Dev-versionerna) och får stöd av våra säkerhetsteam för utveckling. utveckla produkter med avancerad teknologi.
Vilken typ av jobb söker du och vilka mjuka färdigheter tycker du är viktiga för att arbeta inom cybersäkerhet?
Vi rekryterar specialistprofiler, oavsett om det är inom IT eller applikationsutveckling. I synnerhet söker vi IT-säkerhetsarkitekter, systemarkitekter, säkerhetsutvecklare, pentestare eller en arbetande profil inom administration. För mjuka färdigheter lägger jag stor vikt vid ledarskap och kommunikation. Jag söker säkerhetsproffs mitt emellan tekniskt och affärsmässigt. En bra cybersäkerhetschef måste visa ledarskap och veta hur man marknadsför cybersäkerhet för att sälja den till kunder och partners.
Cybersäkerhet har ett pris att betala, när den inte är fullt redovisad uppströms projekt, utan måste omsättas till värdeskapande för att tillfredsställa kundernas behov och glädje. Jag behöver teknisk dokumentation för att stödja våra partners i detta ämne. Vår personal måste också visa ett stort tålamod, pedagogik och förstås nyfikenhet.
Hitta alla IDEMIA rekryteringserbjudanden
