La sécurité d'un logiciel fait aujourd'hui partie des conditions de base les plus importantes pour les utilisatrices et les utilisateurs. Il est donc d'autant plus important pour les fabricants de logiciels de penser à la sécurité informatique dès le stade du développement. Chez Abacus Research AG, Stefan Schwizer, en tant que responsable de la sécurité de l'information, s'assure que le logiciel est sécurisé et qu'il le reste. Dans cette interview, Stefan nous donne un aperçu de ses tâches et des défis qu'elles impliquent.
Quelle est ta fonction et comment y es-tu parvenu ?
Je travaille en tant que "Information Security Manager" chez Abacus. À l'origine, je travaillais au développement, mais je me suis toujours intéressé aux questions de sécurité. Lorsqu'il y a eu un remaniement interne dans ce domaine il y a bientôt deux ans, j'ai saisi ma chance.
Quelles sont les tâches qui font partie de ta fonction ?
Kurz gesagt: Ich werde involviert, sobald es um die Sicherheit in unserer Software geht, intern sowie extern. Kunden kommen beispielsweise auf mich zu, wenn sie das Gefühl haben, sie hätten etwas gefunden oder wenn sie bereits einen eigenen Penetration-Test gemacht haben. Intern komme ich bei neuen Projekten ins Spiel, bei denen man von Anfang an ein Auge auf IT Security oder Datenschutz wirft.
Darüber hinaus überwache ich Lizenzen unserer über 5000 Fremdsoftwares und führe regelmässige Penetration-Tests durch. Mein Zuständigkeitsbereich umfasst alle Abacus Produkte und teilweise auch Produkte von DeepCloud.
En quoi consiste un tel test d'intrusion ?
Un test d'intrusion est une extension d'un audit de sécurité. Lors d'un test d'intrusion, une partie d'un logiciel est testée avec des consignes claires. Pour ce faire, on utilise des techniques similaires ou identiques à celles utilisées par les pirates informatiques.
Comment commence ta journée de travail ?
Wie die meisten checke ich am Morgen meine E-Mails und schaue mir die neusten Security Meldungen an – gibt es Themen, die uns betreffen könnten? Gleichzeitig führen wir ein System, das die News überwacht und uns bei Risiken warnt. Darüber hinaus können sich unsere Kundinnen und Kunden direkt an [email protected] wenden. Die meisten Anfragen erreichen mich nach wie vor via E-Mail.
Quels sont les défis dans ton travail ?
Abacus entretient une culture d'entreprise qui fait confiance aux capacités des collaborateurs. Je joue en quelque sorte le rôle d'une instance de contrôle qui établit des règles et assure leur respect. Afin de pouvoir garantir la sécurité, je dois disposer du contrôle nécessaire. Malheureusement, cela va parfois à l'encontre de notre culture de confiance et me demande un travail de persuasion interne constant.
Passons des défis aux réussites : Y a-t-il un cas qui t'a particulièrement marqué ?
C'est l'affaire "Log4j" qui a fait la une des médias en décembre 2021. Il s'agissait d'une bibliothèque Java largement utilisée, mais qui présentait d'importantes failles de sécurité. Chez Abacus, nous avons immédiatement identifié le problème et réagi, ce qui nous a permis d'annoncer rapidement à nos partenaires que notre logiciel n'était pas concerné. L'incident nous a montré que nos processus fonctionnent très bien et que nous sommes prêts à faire face à une nouvelle situation d'urgence.
Que signifie pour toi la sécurité informatique ?
Un logiciel fiable doit se jouer sur plusieurs niveaux. Il doit être irréprochable d'un point de vue technique, mais les processus environnants doivent également fonctionner. Nos logiciels sont en constante évolution, des nouveautés apparaissent ou des nouvelles fonctions sont ajoutées. C'est pourquoi un logiciel doit être entretenu et surveillé en permanence tout au long de son cycle de vie.
