Pour Joaquim Dos Santos, directeur recherche et développement au sein de l’hébergeur web IKOULA, la sécurité est primordiale. Pourtant, l’analogie entre cette notion et son poste ne vous sautera peut-être pas d’emblée aux yeux. Il faut dire que l’homme de 46 ans a de nombreuses et diverses tâches à gérer. « Le directeur recherche et développement doit, entre autres, orienter l’ensemble de ses forces vives pour tester de nouveaux produits, nous détaille-t-il. Il doit faire le lien avec tous les départements afin d’améliorer sans cesse l’expérience utilisateur et les solutions qui vont avec. De plus, il doit s’assurer qu’au sein des équipes, la veille technologique n’est pas mise de côté. »
Joaquim Dos Santos, directeur recherche et développement chez IKOULA. Source : IKOULA.
La sécurité comme élément central
Le rapport entre toutes ces activités ? La sécurité, qui se veut être l’élément central et ce qu’importe le pôle. Joaquim nous donne un exemple plus précis : « Lorsqu’on va développer une nouvelle page internet, on va la tester au sein du pôle développement, afin d’être sûrs qu’elle ne comporte pas de faille de sécurité. Au sein du pôle Microsoft, dans les déploiements serveur, on retirera les processus qui s’avéreront potentiellement exploitables par des attaquants externes. On va réduire et modifier les configurations afin de les rendre plus sécurisées. »
Ces différentes étapes de vérification de nouveaux produits et services rythment le quotidien de Joaquim. Mais n’ont pour autant rien de redondantes. Ainsi, le directeur nous explique ne pas avoir de «journée type », mais plutôt des « actions types » qui guident son emploi du temps. En plus desdits tests cités plus haut, pas une seule journée ne se déroule sans faire de veille sur l’ensemble des informations disponibles sur la sécurité via les réseaux sociaux, sites et autres forums entièrement dédiés au sujet.
« Ça passe par des bulletins de sécurité sur les différents systèmes d’exploitation… en allant jusqu’à vérifier la portée d’un exploit publié sur un forum d’initiés. » Enfin, troisième action type : revérifier les systèmes d’exploitation pour être sûr que l’ensemble des règles préalablement mises en route n’ont pas été modifiées dans le temps.
Un data-center de la société française IKOULA. Source : IKOULA.
Savoir parfois prendre des mesures radicales
Toutefois, il existe un cas de figure où Joaquim agit toujours peu ou prou de la même façon : là où une faille de sécurité dangereuse est détectée. Celle qui peut être exploitée facilement, car accessible à des personnes malveillantes est, in fine, la plus redoutée.
Dès lors que cette faille exploitable est connue, un certain nombre d’acteurs et de ressources internes vont être mobilisés afin de remédier au problème le plus rapidement possible. Aux départements marketing et support de prévenir les clients, pendant qu’en amont, Joaquim et ses équipes vérifient si la faille est bien réelle. La priorité étant, comme toujours, les données personnelles des clients d’IKOULA.
Pour les protéger, l’entreprise prend des mesures radicales qui ne sont d’ailleurs pas toujours tout de suite comprises du public. « En cas d’alerte rouge, on peut prendre la décision de couper temporairement l’accès au service. Chez IKOULA, on préconise d’autres solutions, cela arrive rarement. Mais parfois, cette option n’en est plus une et s’impose, ce que le client n’assimile pas forcément. C’est peut-être là la mission la plus difficile du métier. »
En effet, qui dit sécurité dit souvent méfiance, ce qui n’est pas nécessairement une bonne chose selon notre expert
Éviter la paranoïa absolue
Savoir encaisser la pression est donc l’une des plus précieuses qualités à avoir si l’on veut perdurer. Mais ce n’est pas la seule. En effet, qui dit sécurité dit souvent méfiance, ce qui n’est pas nécessairement une bonne chose selon notre expert, qui craint les excès « Il faut essayer d’éviter de trop tomber dans la paranoïa absolue. Elle sert dans nos métiers, nous permet d’être sans cesse en alerte. D’être méfiant par rapport à certains vecteurs ici et là qui pourraient être exploitables, certes. Mais il faut savoir s’arrêter à un moment donné. La paranoïa la plus complète n’entraîne pas la fluidité des échanges. »
