Recruter le premier poste sécu en startup

"Chez Contentsquare, l’élément qui a déclencher le staffing de la fonction était clairement au niveau business. L’équipe commerciale dépotait et passer l’étape de validation de sécurité devenait de plus en plus longue et complexe."

Cet interview fait suite à l’article Comment gérer le passage au scale, et la double casquette sécu du CTO ? Lorsque la charge de travail devient trop importante pour le CTO et que la startup change de paradigme, à savoir, les risques pour l’entreprise sont si élevés que le jeu n’en vaut plus la chandelle, vient le moment de staffer la fonction sécurité.

Quel est le déclencheur ? Pour quel mandat ? Quel profil recruter ? Comment faire travailler cette nouvelle fonction avec l’ensemble de l’entreprise sans monter une machine de guerre lourde et contraignante ?

Alexandre Menguy a toujours bossé dans la sécurité, d’abord côté audit et conseil chez Mazars puis chez Peopledoc. Il est aujourd'hui CISO de Contentsquare dont il a été le premier profil sécurité recruté. Il gère aujourd’hui une équipe de 11 personnes.

Alexandre, quand on parle de sécurité en startup de quoi parle-t-on ? Quelle est l’étendue du mandat du responsable sécurité ?

La fonction sécurité a pour mission de protéger le patrimoine informationnel de l’entreprise selon 3 axes :

• la confidentialité : veiller à donner accès à l’information uniquement aux bonnes personnes.
• l’intégrité : veiller à ce que l’information ne soit pas modifiée, ni par erreur ni volontairement. Par exemple, une banque n’aimerait pas voir modifiée l’intégrité de la balance des comptes de ses clients.
• la disponibilité : l’information doit être délivrée au bon moment ou en toute circonstance. Si, par exemple, un tremblement de terre faisait crasher les serveurs d’un fournisseur de service cloud, son équipe sécurité devrait pouvoir redémarrer l’activité de l’entreprise et rendre l’information disponible à nouveau grâce à son DRP¹ sans discontinuité pour le client.

La personne en charge de la sécurité travaille sur trois aspects dans l’entreprise :

• la gouvernance de la sécurité : comment distiller de la sécurité dans tous les processus de l'entreprise. Par exemple, former les employés du support au phishing car ils sont plus susceptibles d’être contactés, définir un processus de gestion des accès avec les équipes techniques, comprendre les risques des différentes équipes, etc.
• la sécurité technique : comment protéger et s’assurer d’avoir une sécurité by design pour le service délivré par l’entreprise mais aussi le patrimoine informationnel de l’entreprise.
• en soutien à l’avant-vente pour compléter les appels d’offres et démontrer aux clients que le service est conforme à ses attentes en matière de sécurité : en B2B Enterprise, le CTO ou responsable sécurité est souvent sollicité.

Quelles sont les spécificités de Contentsquare ? Peux-tu me décrire l’activité, les ressources de l'entreprise à protéger et les enjeux de sécurité auxquels tu fais face ?

Contentsquare aide les marques à analyser l’expérience de leurs utilisateurs. C’est une solution SaaS B2B qui cible les grandes entreprises. Si l’on peut spontanément comparer la solution à Google Analytics, il faut avoir conscience que Contentsquare offre beaucoup plus de fonctionnalités. Lorsque nous implémentons notre solution, nos équipes déposent un tag javascript sur le site client (un SDK dans le cas d’applications mobiles), ce qui permet d’analyser le comportement des utilisateurs.

Les enjeux de disponibilité sont plutôt limités : si notre solution venait à tomber, l’activité du client ne s'interromprait pas pour autant. Les enjeux se situent donc principalement à deux niveaux :

• la confidentialité : les risques sont relatifs car nous avons une politique extrêmement stricte en matière de collecte et de rétention des données, de ce fait nous ne collectons pas de données sensibles. Le risque principal porte plus sur l'image de l’entreprise en cas de fuite de données. D’autant plus que des marques concurrentes font appel à notre solution, il est donc crucial d’empêcher qu’une entreprise ait accès aux données d’une autre…
• l’intégrité de la solution : si un pirate malveillant venait à modifier le code que l’on met sur les sites clients, les conséquences seraient plus graves car, chaque jour, des millions de personnes téléchargent ce code lorsqu’elles visitent le site de notre client et pourraient être hackées. Par exemple, lorsque British Airways a été piraté par le passé, les hackers avaient modifié une librairie tierce et réussi à intercepter les données de carte bleue.

On évoquait avec Yann Perchec, dans l'article Comment gérer le passage au scale, et la double casquette sécu du CTO ? que ce qui déclenche le changement de rapport au risque est généralement un événement avec un fort impact business. Une mise en conformité, une levée de fonds ou encore un gros incident de sécurité.

Qu'est ce qui a déclenché le staffing de la fonction sécurité chez Contentsquare ? 

L’élément déclencheur a été clairement au niveau business. L’équipe commerciale avait des performances exceptionnelles, mais passer l’étape de validation de sécurité devenait de plus en plus long et complexe. Nous faisions aussi face à un déficit de documentation technique. Staffer cette première fonction de sécurité a permis de réduire le cycle de vente et d’aller chercher des plus grands comptes tout en avançant sur un plan d’amélioration sécurité et nos certifications ISO 27001 puis SOC2.

Contentsquare avait passé le stade de la série C, l’essentiel des clients étaient de grands comptes français et l’entreprise commençait son expansion aux États-Unis.

Quel profil recruter pour ce premier poste sécurité  ?

C’est très dur de recruter car les formations sont récentes, il y a peu de profils disponibles sur le marché et beaucoup de demandes. C’est un métier de passionnés dans lequel on se forme beaucoup sur le tas.

Sur le marché aujourd’hui, on trouve soit des personnes à dominante gouvernance, soit des personnes plus techniques. L’idéal serait de trouver quelqu’un ayant les 2 compétences à part égale, mais c’est un peu le mouton à 5 pattes. Évidemment, cela varie dans chaque entreprise, en fonction des besoins de l’entreprise et de la complémentarité recherchée avec le CTO.

Pour une dominante plus technique, on parle de Dev-Sec-Ops. Pour ces postes, en France, le prix sur le marché d’un profil middle est autour de 50-70K. Pour une dominante plus governance, il y a plein d’intitulé de poste (RSSI, consultant, etc.).

Quelle complémentarité as-tu eu avec le CTO ?

Dans mon cas, chez Contentsquare, le besoin était côté technique et en avant-vente. Notre CTO, Patrick Chatain, avait déjà une bonne compréhension des enjeux de sécurité ; mon rôle a été d’apporter plus de finesse et une vision sur les aspects non liés au service (IT corporate, gouvernance,etc.). J’étais totalement autonome sur la mise en place du changement, avec l’appui de nos CEO, COO ou CTO quand c’était nécessaire pour travailler à l’échelle de toute la boîte.

Et former en interne pour staffer la fonction ?

C’est une super alternative. Identifier un développeur qui a cette appétence pour la sécurité et lui payer des formations pour compléter son bagage, c’est top.

Côté technique, il existe des formations sur chaque stack : AWS / Azure security Architect, OSCP (Offensive Security Certified Professional), certification ethical hacker, etc. Et puis s'auto-former en se tournant vers les communautés est le bon réflexe à avoir.

Idem côté gouvernance, il existe des formations ISO 27001 qui apprennent les bases de la gouvernance et mettre en place les process pour distiller de la sécurité dans l’entreprise.

Rien pour te former au support de l’avant-vente ?

Non, pas vraiment, le plus important est de se former sur le produit en interne et bien le connaître. Répondre aux questionnaires / RFP, c’est facile, la sécu c’est ton boulot quotidien.

Comment fait-on pour évaluer un Dev Sec Ops au recrutement lorsqu’on n’a pas ton expertise ni de point de comparaison ?

Techniquement, il faut avoir le même niveau d’attente et le même processus que pour un Dev Ops, ce à quoi tu ajoutes l’évaluation des connaissances en sécurité. Un challenge technique est un très bon exercice d’évaluation, par exemple tu donnes une journée à un candidat pour identifier une faille dans une application. Je regarde la méthode qu’il utilise, s’il a la curiosité d’aller chercher de l’info sur des blogs quand il ne connaît pas toutes les failles.

Pour un poste avec une dominante Gouvernance, Il faut quelqu’un qui sache interagir et possède une bonne compréhension de l’organisation. Pour ça, j’aime bien les profils d’anciens auditeurs, ils ont vu énormément de structure et de processus différents et sont capables d’aller chercher la petite bête !

Pour finir, le point le plus important pour moi est de trouver quelqu’un qui a une culture sécurité. C’est un métier de passionné ! Je cherche quelqu’un qui soit engagé dans la communauté, qui met à jour ses connaissances et monte en compétences de manière autonome.

"Ma question phare en fin d’entretien : est-ce que tu peux me citer une nouveauté de sécu qui est sortie il y a 2-3 jours ?"

On associe souvent l’arrivée d’un profil sécu à l’arrivée de processus qui vont contraindre l’interne et ralentir le delivery.

Comment fait-on pour faire travailler cette nouvelle fonction avec l’ensemble de l’entreprise sans monter une machine de guerre contraignante et te mettre tout le monde à dos ?

La sécurité est toujours sur le fil, entre l’usabilité et le contrôle, et au fur et à mesure que la boîte grossit, indubitablement tu es obligé de mettre plus de contrôles.

Ma philosophie est d’être un facilitateur. Si tu dis “non” tout le temps, le risque est que les équipes te contournent. Je dis “oui, mais ajoute ça !”.

Ca c’est la théorie, en pratique, tu ne peux pas toujours le faire… Et là c’est de la conduite du changement.

Comment accompagnes-tu les équipes au changement ?

En arrivant, j’ai passé pas mal de temps avec l’ensemble des équipes (tech et non tech) pour faire mon propre audit de la situation. J’ai écouté les besoins pour construire quelque chose d'adapté, je ne suis pas arrivé avec ma recette toute faite. Ces échanges m’ont permis d’identifier des champions dans chaque division : R&D, marketing, privacy, etc. Ces personnes ont été clés pour amorcer le changement.

• Côté technique, on utilise une approche “security by design” : on  travaille au plus prêt de la forge avec l’équipe produit et R&D, la sécurité est abordée à chaque étape de conception du produit et non en fin de cycle de développement. C’est d’ailleurs l’approche “by design” retenue par le Règlement Général sur la Protection des Données (RGPD) qui impose désormais le “Privacy by design”. La protection des données est d’ailleurs un sujet sur lequel nous travaillons de manière accrue avec l’équipe Privacy.
• On a construit des formations pour nos sales / pre-sales ainsi que de solides bases documentaires. Ainsi, ils peuvent s’approprier les notions clés et mieux discuter avec le client.
• Accompagner dans la communication : une fois que des mesures sont identifiées, on accompagne le responsable sur sa communication auprès de l’équipe.
• La transparence : On partage dans la mesure du possible les succès et les pépins, ça souligne l’importance et la pertinence de nos actions.
• On contrôle : Ça fait partie du boulot, je n’aime pas ça, mais parfois il faut contrôler. Quand je repère une incartade, je vais voir la personne et on a une discussion discrète. Si ça arrive une deuxième fois en revanche, l’approche sera un peu différente.. Jusqu’à maintenant, je n’ai pas eu besoin d’en arriver là !

"Une main de fer dans un gant de velours."

Comment savoir si on a recruté le bon profil à la fin de sa période d’essai ? Quel est le ROI qu’on doit attendre au bout de 6 mois ?

En 6 mois, tu n’as pas le temps d’avoir un retour sur investissement. De plus, ça dépend beaucoup de l’agilité et de la bande passante des équipes. A la fin de la période d’essai, j’attends d’avoir un état des lieux exhaustif et une bonne ébauche de plan d’action.

"Si les deals sont débloqués côté vente, c’est bon signe !"