Il y a quelques semaines, l'équipe de sécurité de PagerDuty s'est entretenue avec Guy Podjarny depuis Le développeur sécurisé pour une discussion sur notre philosophie de sécurité et un aperçu de certains des outils que nous utilisons.

L'une des philosophies qui guident l'équipe sécurité de PagerDuty est de collaborer avec tous les membres de l'organisation, et non de simplement leur dire « non ». Les équipes de sécurité sont souvent perçues comme un obstacle au sein des entreprises technologiques, les employés étant réticents à les contacter, sachant déjà qu'ils recevront une réponse négative. Chez PagerDuty, nous avons délibérément adopté une approche différente. Nous avons discuté avec Guy de notre philosophie et de la façon dont notre mission, en tant qu'équipe sécurité, consiste à créer des outils et des politiques qui permettent aux utilisateurs de prendre automatiquement les bonnes décisions.

« Nous sommes là pour permettre aux gens de faire ce qu'il faut. »

Nous avons discuté de la manière dont nous travaillons avec d'autres équipes de l'entreprise — de l'ingénierie aux ventes — pour déterminer ce qui doit être accompli pour que le travail soit effectué de manière sécurisée, sans gêner les gens.

L’une des façons dont nous travaillons avec d’autres équipes est par le biais de notre programme de formation à la sécurité interne.

Nous avons adopté une approche différente des programmes de formation standard et développé notre formation à la sécurité en interne. Cette formation met un point d'honneur à enseigner à tous les employés des concepts tels que le décryptage de mots de passe. En montrant à tous la simplicité de cette méthode, nous avons ouvert de nombreuses portes aux gestionnaires de mots de passe et avons contribué à sécuriser les informations de nos employés, non seulement au travail, mais aussi dans leur vie privée en ligne.

Nous discutons de la manière dont la sécurité devient de plus en plus un problème opérationnel et de la manière dont nous commençons à voir les mêmes tendances que dans le passé. Transition d'Ops vers DevOps Il y a quelques années. Les problèmes sont différents, mais les enseignements sont les mêmes. Nous discutons de notre approche de ce terrain changeant et de nos projets pour l'avenir.

Les outils sont importants, et nous n'avons pas hésité à présenter les différents outils que nous avons utilisés et continuons d'utiliser. Nous racontons comment nous avons mis en œuvre l'authentification à deux facteurs pour SSH grâce à Duo et Yubikeys Nous avons testé la solution en version bêta avec nos équipes et l'avons itérée pour obtenir une solution adaptée à tous. Nous abordons également la manière dont nous utilisons des outils généralement conçus pour les problèmes opérationnels de sécurité, tels que Splunk et Chef. Cependant, tout n'a pas été simple : Guy nous a interrogés sur d'autres outils que nous utilisons et nous avons expliqué certaines difficultés rencontrées lors de leur mise en œuvre, ainsi que les facteurs qui influencent notre décision d'utiliser ou non un nouvel outil.

Écoutez notre épisode complet de Le développeur sécurisé : assurer la sécurité de PagerDuty   pour obtenir le scoop complet .

Assurez-vous de suivre The Secure Developer ( @thesecuredev ) et l'équipe de sécurité de PagerDuty : Arup Chakrabarti ( @arupchak ), Rich Adams ( @r_adams ), et Kevin Babcock ( LinkedIn ) pour les dernières mises à jour !