Nous avons récemment terminé notre troisième session annuelle de formation à la sécurité chez PagerDuty. Nous proposons deux sessions : pour tous les employés , où nous discutons de sujets tels que l'ingénierie sociale, la gestion des mots de passe et la gestion des données ; et un autre pour les équipes d'ingénierie , où nous discutons des vulnérabilités courantes et de la manière de les exploiter et de les atténuer.

Il s'agit de deux formations que nous avons développées en interne et dispensées nous-mêmes, et je voulais raconter pourquoi nous avons décidé d'adopter une approche de formation différente de la plupart des autres, ainsi que la façon dont cela a fonctionné pour nous, à la fois les bons et les mauvais côtés.

Je suis également très heureux d'annoncer que nous avons rendu notre formation à la sécurité à l'usage de la communauté. Si vous préférez ignorer l'histoire et vous lancer directement, vous pouvez la consulter à l'adresse https://sudo.pagerduty.com .

Le problème de la formation à la sécurité

Tout au long de ma carrière, j'ai participé à de nombreuses formations obligatoires en sécurité. Cela implique généralement de se connecter à un site web et de visionner plusieurs vidéos incontournables pendant plus de deux heures, le plus souvent sous forme de jeux de rôle artificiels et embarrassants. On est ensuite contraint de répondre à une série de questions à choix multiples avec un nombre illimité de tentatives. Je n'ai encore jamais rencontré quelqu'un qui ait réellement suivi ces formations avec attention, et pire encore, je n'ai jamais rencontré quelqu'un qui en soit ressorti avec le sentiment d'avoir bien utilisé son temps et d'avoir appris quelque chose d'utile.

Je comprends pourquoi ce type de formation est courant dans le secteur : elle nécessite peu d'investissement initial et permet aux entreprises de suivre la participation (puisque des exigences de conformité peuvent nécessiter un suivi et un audit de la formation). Mais si personne n'y prête attention, si les réponses peuvent être brutalement imposées et si tout le monde la perçoit comme une corvée, à quoi bon ? Cocher une case de conformité ne sert à rien si votre personnel n'est pas bien formé aux menaces de sécurité courantes.

Ce type de formation m'a toujours dérangé. Je me suis juré que si jamais je pouvais faire quelque chose de différent, je le ferais. Chez PagerDuty , j'ai eu cette opportunité, et j'en ai pleinement profité.

Philosophie de la formation

La première tâche consistait à déterminer comment je souhaitais aborder la formation. Quels étaient mes objectifs ? Quels étaient mes points faibles par le passé ? Comment pourrais-je améliorer ces points ? Ce sont là mes principes directeurs pour l'élaboration du matériel. J'ai finalement retenu les quatre suivants :

1. Enseignez le pourquoi, pas seulement le quoi.
2. N’hésitez pas à aborder les détails techniques.
3. Rendez-le accessible à tous les niveaux de compétence.
4. C'est OK d'être drôle.

Enseignez le pourquoi, pas seulement le quoi

J'ai toujours trouvé agaçant qu'on me donne une règle ou une instruction à suivre, mais qu'on ne me donne aucun contexte quant à pourquoi Je devrais le suivre. Lors de l'élaboration de notre programme de formation à la sécurité, je voulais m'assurer de passer du temps à expliquer pourquoi certaines règles existent, plutôt que de simplement les réciter mot pour mot et d'obliger tout le monde à les suivre.

Par exemple, si je disais à tout le monde qu'il faut utiliser un gestionnaire de mots de passe et que tous leurs mots de passe doivent être longs, aléatoires et uniques, je risque de me retrouver face à des regards vides. Les gens hocheront la tête, puis ignoreront immédiatement le conseil, car il est bien plus simple de conserver le même mot de passe. Même si nous pouvons cocher la case indiquant que tous les employés ont suivi la formation, cela n'apporte aucun bénéfice réel.

Dans notre approche, j'ai donc d'abord choisi de montrer l'importance d'une bonne gestion des mots de passe. J'ai présenté des exemples concrets de la manière dont les mots de passe sont déchiffrés, de la facilité avec laquelle ils sont déchiffrés et de la difficulté qu'un meilleur mot de passe peut rendre la tâche plus difficile à un attaquant.

J'ai pris un exemple de base de données volée et j'ai travaillé dessus pour casser les mots de passe en temps réel.

Nous avons commencé à déchiffrer les mots de passe en devinant simplement les informations dont nous disposions déjà, puis nous avons progressivement progressé vers des méthodes plus complexes. Au final, tous les mots de passe ont été déchiffrés.

J'hésitais initialement à inclure une telle section, craignant que cela ne rebute les non-techniciens. J'avais tout faux. C'était la section la plus captivante de toute la formation. Montrer à quel point les mots de passe peuvent être facilement piratés a été une révélation pour de nombreux employés. La révélation, à la fin, que c'est exactement ainsi que les mots de passe ont été stockés lors de violations de données passées a été un tournant pour de nombreux participants. Cette section à elle seule a incité nombre de nos employés à modifier leurs habitudes en matière de mots de passe, ce dont je parlerai plus tard.

De même, il y avait une section sur les tentatives d'hameçonnage. J'ai montré de véritables tentatives d'hameçonnage contre PagerDuty. Certaines étaient faciles à repérer, d'autres moins. Nous avons joué à un petit jeu de « Reel or Phish » (j'y reviendrai plus tard), où le public tentait de deviner si un e-mail était authentique ou une tentative d'hameçonnage. Je n'aime généralement pas la participation du public lors des présentations, j'ai donc veillé à ce que le silence ne soit pas gênant, mais que les participants s'expriment et s'expriment ouvertement pour savoir s'ils pensaient que les exemples étaient des tentatives d'hameçonnage ou non.

Bien sûr, j'ai également montré les signaux d'alarme permettant de repérer ces tentatives d'hameçonnage afin que chacun puisse apprendre à les repérer. Mais en utilisant des exemples concrets et en montrant pourquoi Les choses sont importantes, c'est l'un des principes clés de notre formation.

N'hésitez pas à donner des détails techniques

Afin de montrer comment casser les mots de passe, nous devions aborder le hachage. La simple mention du mot « hachage » suffit probablement à faire perdre la tête aux employés non techniques. Je préfère donc l'appeler « Magie ». Car, à vrai dire, nul besoin de connaître la terminologie technique pour comprendre les concepts. Nous pouvons faire simple et accessible à tous, plutôt que de les effrayer avec des termes techniques.

Cela dit, je ne voulais pas induire les gens en erreur. Nous avons donc choisi de leur expliquer clairement qu'il s'agit d'un terme technique ; il n'aura simplement aucune importance pour le reste du contenu. La frontière est mince, car il ne faut pas être condescendant. Il s'agit d'expliquer le « Pourquoi », plutôt que simplement le « Quoi ».

Des concepts tels que les tables arc-en-ciel peuvent ensuite être expliqués sans avoir à se référer à leur nom ; nous pouvons simplement montrer comment créer une recherche et la nommer « liste magique ». L'utilisation d'un langage compréhensible par tous garantit un contenu accessible au plus grand nombre, tout en enseignant des concepts techniques importants.

Rendez-le accessible à tous les niveaux de compétence

Je souhaitais que le contenu soit accessible à tous, quel que soit le niveau d'expertise dans un domaine particulier. Cela impliquait de fournir suffisamment d'informations pour ceux qui connaissaient déjà le contenu, mais des descriptions en anglais simple pour les autres.

J'ai essayé de développer les concepts étape par étape pour que tout le monde soit sur la même longueur d'onde. Par exemple, pour l'authentification multifacteur, j'aurais pu simplement mentionner les trois facteurs : « connaissance », « possession » et « inhérence », et en rester là. Mais la plupart des gens ne comprendront pas ces termes. J'ai donc préféré les présenter en termes simples et ajouter quelques exemples pour plus de clarté. Comme pour le « hachage » précédemment, les termes techniques sont toujours présents pour ceux qui les connaissent mieux.

C'est OK d'être drôle

La sécurité est un sujet sérieux, mais écouter quelqu'un parler sérieusement pendant une heure peut épuiser les gens. J'adore injecter de l'humour dès que possible. Parfois, c'est dans les moments difficiles qu'on a le plus besoin de rire. Je ne suis pas un génie de l'humour (ma famille vous le confirmera), et votre entraînement n'a pas besoin d'être un stand-up. Mais ajoutez de temps en temps une image amusante ou un petit message dans les diapositives pour ceux qui suivent. Faire rire le public avec un mauvais jeu de mots maintient l'intérêt et rend l'expérience plus amusante pour tous.

Je vous encourage toutefois à privilégier le contexte. Ne vous contentez pas d'une image amusante de chat sans contexte. Adaptez-la au contenu. Par exemple, voici une diapositive sérieuse de la formation. Elle montre une tentative d'hameçonnage, dont nous avons mis en évidence certains indicateurs. L'essentiel est là : nous expliquons le problème dans l'e-mail et indiquons qu'il s'agit d'une tentative d'hameçonnage. Mais il y a un petit jeu de mots sympathique pour ceux qui sont attentifs.

De même, à l’approche de la date de formation, je j'ai fait des affiches amusantes et les avons affichés dans nos bureaux. Ils ont un rôle important : rappeler à tous qu'une formation à la sécurité approche, mais ils permettent aussi de détendre l'atmosphère et de faire rire, avec plein de petites blagues pour ceux qui sont attentifs.

À quoi cela ressemble-t-il finalement ?

La présentation a duré 1 heure et 15 minutes, avec 15 minutes à la fin pour les questions-réponses.

Cinq thèmes principaux ont été abordés :

1. Ingénierie sociale : Il s’agit principalement de phishing, mais d’autres types d’ingénierie sociale ont également été mentionnés.
2. Mots de passe : Un cours intensif sur le crackage des mots de passe et l'importance d'utiliser des mots de passe forts. On y découvre également les gestionnaires de mots de passe et leur utilité.
3. Sécurité physique : Comment assurer la sécurité des bureaux et des équipements de PagerDuty et comment signaler toute activité suspecte.
4. Traitement des données : Les types de données que nous traitons et comment les traiter en toute sécurité.
5. Conformité: Descriptions de diverses réglementations de conformité et de la manière dont elles nous affectent.

Bien sûr, nous aurions pu aborder bien d'autres sujets, mais nous avons choisi ceux-ci car nous estimions qu'ils étaient les plus pertinents pour tous les employés. La sécurité à 100 % n'existe pas, et il n'existe pas non plus de formation à la sécurité qui couvre tout. Nous évoluons constamment dans nos supports de formation et modifierons probablement les sujets abordés dans les années à venir, en fonction des menaces que nous jugeons les plus importantes à aborder.

Quel a été le retour ?

À la fin de la formation, les participants ont été invités à fournir des commentaires facultatifs dans le cadre d'un sondage. Deux questions étaient posées, et un champ était prévu pour les commentaires supplémentaires. Plus de 300 réponses ont été recueillies, ce qui nous a permis d'obtenir des données précieuses.

La première question était : « Avez-vous apprécié la formation ? », avec une note de 1 à 5 ; 1 étant le pire et 5 le meilleur. Plus de 98 % des répondants ont attribué une note de 3 ou plus, et la note moyenne était de 4,54 sur 5. (Il est important de noter que je n'ai pas soudoyé ni manipulé qui que ce soit pour obtenir ces notes).

La deuxième question était : « Dans quelle mesure pensez-vous que cela a été pertinent ou utile pour votre travail ? », avec la même échelle d'évaluation que la question précédente. Plus de 99 % des répondants ont attribué une note de 3 ou plus, et la note moyenne était de 4,56 sur 5.

Qu'est-ce qui s'est bien passé ?

Ces deux résultats sont extrêmement encourageants et montrent à quel point la grande majorité de notre personnel a trouvé la formation précieuse et agréable.

Il y a eu d'autres choses intéressantes qui se sont produites, grâce à la formation, qui n'ont pas nécessairement été prises en compte dans les commentaires, mais que je voulais souligner :

• Plus de 30 employés ont témoigné du temps qu'ils ont consacré à l'adoption d'un gestionnaire de mots de passe, non seulement pour leurs comptes professionnels, mais aussi pour leurs comptes personnels !
• Plus de 20 employés ont demandé une version open source ou aseptisée des diapositives afin de pouvoir les partager avec leur famille (plus d'informations à ce sujet dans un instant).
• La sensibilisation à la sécurité semble avoir augmenté dans toute l’entreprise.

À mon avis, le plus grand succès a été le fait que plusieurs employés aient adopté un gestionnaire de mots de passe. C'est énorme, car nous n'avons jamais informé personne de leur décision. avait Utiliser un gestionnaire de mots de passe ! Nous avons simplement montré comment les mots de passe sont décryptés et pourquoi nous pensons que les gestionnaires de mots de passe contribuent à la sécurité. Les employés ont pris la décision d'utiliser un gestionnaire de mots de passe eux-mêmes, et l'ont également fait pour leurs comptes personnels.

On pose de plus en plus de questions à l'équipe de sécurité. On nous pose désormais des questions sur tout, de la vérification de la légitimité d'un appel téléphonique à la sécurisation efficace d'un compte Facebook. Il ne s'agit pas seulement de la sécurité de PagerDuty , mais aussi de la protection des comptes personnels. Je sais que dans mes précédents postes, cela aurait probablement été considéré comme « hors de propos » et que les réponses n'auraient pas été fournies, mais nous adorons répondre à ces questions au sein de notre équipe. Cela permet toujours d'engager une discussion constructive sur la protection en ligne, de renforcer la confiance au sein de l'entreprise et de créer une communauté dynamique.

Je suis convaincu que les équipes de sécurité ne devraient pas se contenter de dire « non » à tout. La devise de notre équipe chez PagerDuty est : « Facilitez-vous la tâche pour faire ce qui est juste Nous ne sommes pas là pour gêner tout le monde. Nous sommes là pour faire en sorte que la « bonne » voie (c'est-à-dire la plus manière sécurisée ) le chemin le plus simple, afin que les gens l'utilisent naturellement.

Qu'est-ce qui ne s'est pas bien passé ?

Mais tout n'était pas rose. Comme le montrent les graphiques précédents, certains ont donné une très mauvaise note à la formation. Nous aurions tort de nous contenter de nous féliciter et de ne pas approfondir ces données. En analysant les commentaires négatifs, nous pouvons les classer en deux catégories :

1. La formation était une répétition des deux années précédentes, ce qui signifie que c'était la troisième fois que certains de nos employés voyaient le même matériel.
2. La formation était trop longue.

Difficile de contester ces deux points. Grâce aux retours reçus, nous envisageons de modifier notre programme pour l'année prochaine et de proposer une formation de remise à niveau beaucoup plus courte, avec de nouveaux contenus, pour ceux qui ont déjà suivi cette formation. Nous espérons que cela répondra aux principales préoccupations soulevées lors de la formation de cette année.

Un autre point qui n'a pas été très réussi a été la préparation. Oh là là, j'avais sous-estimé le temps qu'il faudrait pour créer la formation. Créer la formation n'a pas pris que quelques jours. Il a fallu plusieurs semaines d'efforts pour rassembler le matériel et produire un contenu captivant. La production des diapositives a nécessité beaucoup d'efforts, bien plus que prévu initialement. Cela a représenté un investissement important en temps et en argent.

Nous avons ensuite mobilisé tous les employés pendant une heure et demie pour présenter la formation. Là encore, il s'agit d'un investissement important, surtout compte tenu de la taille actuelle de PagerDuty .

Cela valait-il la peine ? Je pense que oui. Mon équipe le pense aussi. Et beaucoup d'employés le pensent aussi. Mais est-ce adapté à votre entreprise ? Peut-être pas. Je comprends parfaitement que vous ne souhaitiez pas faire un tel investissement initial. Nous avons la chance que le contenu soit déjà créé. Une fois cet investissement initial terminé, la charge de maintenance est relativement faible. Ce qui m'amène à une bonne nouvelle…

Je suis convaincu ! Puis-je assister à la formation ?

Je suis très heureux d'annoncer qu'à partir d'aujourd'hui, nous avons rendu open source notre formation à la sécurité à l'usage de tous !

L'ensemble du contenu n'est pas accessible au public, certains contenus étant encore réservés aux employés de PagerDuty . Cependant, la plupart des formations sont génériques et non spécifiques à PagerDuty . Tout contenu expurgé est clairement identifié et accompagné d'une description textuelle.

Pour l'instant, le site ne propose que les formations destinées à l'ensemble de nos employés. Restez connectés pour découvrir les formations spécifiques aux ingénieurs, que j'espère ajouter au site dans les semaines à venir.

Si cela vous semble être quelque chose sur lequel vous aimeriez travailler, ou si vous souhaitez voir les diapositives internes uniquement, nous embauchons toujours .