Nous avons récemment terminé notre troisième cycle de formation annuelle en sécurité chez PagerDuty. Nous organisons deux sessions : une pour tous les employés , où nous discutons de sujets tels que l'ingénierie sociale, la gestion des mots de passe et la gestion des données ; et un autre pour les équipes d'ingénierie , où nous discutons des vulnérabilités courantes et de la manière de les exploiter et de les atténuer.

Il s'agit de deux cours de formation que nous avons développés en interne et dispensés nous-mêmes, et je voulais raconter pourquoi nous avons décidé d'adopter une approche de formation différente de la plupart des autres, ainsi que la façon dont cela a fonctionné pour nous, à la fois les bons et les mauvais côtés.

Je suis également très heureux d'annoncer que nous avons rendu open source notre formation en sécurité à l'usage de la communauté. Si vous préférez ignorer l'histoire qui se cache derrière et vous lancer directement, vous pouvez la consulter à l'adresse https://sudo.pagerduty.com .

Le problème de la formation à la sécurité

Tout au long de ma carrière, j'ai participé à de nombreux types de formations obligatoires en matière de sécurité. Cela signifie généralement se connecter à un site Web et regarder plusieurs vidéos incontournables pendant plus de deux heures, qui impliquent le plus souvent des scénarios de jeu de rôle artificiels et embarrassants. Vous êtes ensuite obligé de répondre à une série de questions à choix multiples pour lesquelles vous disposez d'un nombre illimité de tentatives. Je n'ai encore rencontré personne qui ait réellement prêté attention à ces approches de formation et, pire encore, je n'ai encore rencontré personne qui en soit ressorti avec le sentiment d'avoir bien utilisé son temps et d'avoir appris quelque chose d'utile.

Je peux comprendre pourquoi ces types de formation sont courants dans l'industrie : ils nécessitent peu d'investissement initial et permettent aux entreprises de suivre la participation (puisque vous pouvez avoir des exigences de conformité qui vous obligent à suivre et à vérifier que la formation a été suivie). Mais si personne ne prête attention à la formation, que les réponses peuvent être forcées et que tout le monde la considère comme une corvée qu'il peut ignorer, à quoi bon la suivre ? Cocher une case de conformité n'est pas très utile si votre personnel n'est pas bien formé aux menaces de sécurité courantes.

Ces types de formation sont depuis longtemps une de mes bêtes noires. J'ai juré que si jamais j'étais dans une position où je pouvais faire quelque chose de différent, je le ferais. Chez PagerDuty, j'ai eu exactement cette opportunité et j'en ai pleinement profité.

Philosophie de la formation

La première tâche consistait à décider de la manière dont je souhaitais aborder la formation. Quels étaient mes objectifs ? Qu’est-ce qui avait échoué dans le passé ? Comment pouvais-je essayer de m’améliorer ? Ce sont là les principes qui me guideraient lors de l’élaboration du matériel. J’ai finalement opté pour ces quatre principes :

1. Enseignez le pourquoi, pas seulement le quoi.
2. N'ayez pas peur des détails techniques.
3. Rendez-le accessible à tous les niveaux de compétence.
4. C'est OK d'être drôle.

Enseignez le pourquoi, pas seulement le quoi

J'ai toujours trouvé agaçant qu'on me donne une règle ou une instruction à suivre, mais qu'on ne me donne aucun contexte quant à pourquoi Je devrais m'y conformer. Lors de l'élaboration de notre programme de formation à la sécurité, je voulais m'assurer de consacrer du temps à expliquer pourquoi certaines règles existent, plutôt que de simplement les réciter mot pour mot et de forcer tout le monde à les suivre.

Par exemple, si je disais à tout le monde qu'ils devraient utiliser un gestionnaire de mots de passe et que tous leurs mots de passe devraient être longs, aléatoires et uniques, je risque de me retrouver face à des regards vides. Les gens hocheront la tête, puis ignoreront immédiatement le conseil, car il est beaucoup plus facile de continuer à utiliser le même mot de passe qu'ils ont toujours utilisé. Même si nous pouvons cocher la petite case indiquant que tous les employés ont suivi la formation, cela n'apporte aucun avantage réel.

Dans notre approche, j’ai donc choisi de montrer aux gens pourquoi une bonne gestion des mots de passe est importante. J’ai montré des exemples concrets de la façon dont les mots de passe sont déchiffrés, de la facilité avec laquelle on peut « déchiffrer » des mots de passe volés et de la difficulté qu’il y a à avoir un meilleur mot de passe pour déjouer un attaquant.

J'ai pris un exemple de base de données volée et j'ai travaillé dessus pour casser les mots de passe en temps réel.

Nous avons commencé à déchiffrer les mots de passe en devinant simplement à partir des informations dont nous disposions déjà, puis nous avons progressivement progressé vers des méthodes plus complexes. Au final, tous les mots de passe ont été déchiffrés.

Au début, j'hésitais à inclure une telle section, craignant qu'elle ne rebute les personnes non techniques. Je n'aurais pas pu me tromper davantage. C'était la section la plus intéressante de toute la formation. Le fait de montrer aux gens à quel point les mots de passe peuvent être facilement déchiffrés a ouvert les yeux de nombreux employés. La révélation à la fin que c'est exactement de cette manière que les mots de passe ont été stockés lors de certaines violations passées a été le tournant pour de nombreuses personnes dans l'auditoire. Cette section à elle seule a incité beaucoup de nos employés à changer leurs habitudes en matière de mots de passe, ce dont je parlerai plus en détail plus tard.

De même, il y avait une section sur les tentatives de phishing. J'ai montré de véritables tentatives de phishing contre PagerDuty. Certains d’entre eux étaient faciles à repérer, d’autres moins. Nous avons joué à un petit jeu de « Reel or Phish » (je reviendrai sur les jeux de mots plus tard), où le public a tenté de deviner si un e-mail réel était authentique ou s'il s'agissait d'une tentative de phishing. Je ne suis généralement pas fan de la participation du public aux présentations, alors je me suis assuré que ce ne serait pas un silence gênant si personne ne disait rien, mais les gens ont vraiment essayé et crié s'ils pensaient que les exemples étaient des tentatives de phishing. ou non.

Bien sûr, j'ai également montré les signaux d'alarme pour savoir comment repérer ces tentatives de phishing afin que tout le monde puisse apprendre quelque chose sur la façon de les repérer. Mais en utilisant des exemples concrets et en montrant pourquoi les choses sont importantes, est l’un des principes clés de notre formation.

N'ayez pas peur des détails techniques

Pour montrer aux gens comment les mots de passe sont déchiffrés, nous avons dû parler du hachage de mot de passe. La simple mention du mot « hachage » suffit probablement à faire baver les yeux des employés non techniques. Je l'appelle donc simplement « Magie ». Car à vrai dire, il n'est pas nécessaire de connaître la terminologie technique pour comprendre les concepts. Nous pouvons faire en sorte que les choses soient simples et facilement compréhensibles par tout le monde, plutôt que d'effrayer les gens avec des mots techniques.

Cela dit, je ne voulais pas induire les gens en erreur. Nous avons donc choisi de leur faire comprendre qu'il s'agissait d'un terme technique, mais qu'il n'était pas important pour le reste du contenu. Il y a une limite à ne pas franchir ici, car il ne faut pas être condescendant. Encore une fois, il s'agit d'expliquer le « pourquoi », plutôt que simplement le « quoi ».

Des concepts tels que les tables arc-en-ciel peuvent alors être expliqués sans avoir à se référer au nom réel ; nous pouvons simplement démontrer que vous pouvez créer une recherche et l'appeler une « liste magique ». L'utilisation d'un langage compréhensible par tous garantit que le contenu est accessible au plus grand nombre possible de personnes, tout en enseignant des concepts techniques importants.

Rendez-le accessible à tous les niveaux de compétence

Je voulais que le contenu soit accessible à tous, quel que soit le niveau d'expertise dans un domaine particulier. Cela signifiait donner suffisamment d'informations à ceux qui connaissent déjà bien le contenu, mais avec des descriptions en anglais simple pour ceux qui ne le connaissent pas.

J'ai essayé de le faire en élaborant les concepts pièce par pièce pour m'assurer que tout le monde était sur la même longueur d'onde. Par exemple, avec l'authentification multifacteur, j'aurais pu simplement dire qu'il y avait trois facteurs, « connaissance », « possession » et « héritage », et en rester là. Mais la plupart des gens ne comprendront pas ces termes. J'ai donc plutôt rédigé le texte en anglais simple et ajouté quelques exemples pour le rendre encore plus clair. Tout comme pour le « hachage » plus tôt, les termes techniques sont toujours là pour ceux qui les connaissent mieux.

C'est OK d'être drôle

La sécurité est un sujet sérieux, mais écouter quelqu'un parler sérieusement pendant une heure va fatiguer les gens. Je suis un grand fan de l'humour chaque fois que je le peux. Parfois, c'est dans les moments sérieux qu'il faut le plus rire. Je ne suis pas un génie de l'humour (comme ma famille vous le confirmera), et votre formation n'a pas besoin d'être une routine de stand-up. Mais ajoutez de temps en temps une image amusante ou un petit message dans les diapositives pour ceux qui y prêtent attention. Faire rire le public à la vue d'un mauvais jeu de mots que vous avez fait permet de garder les gens engagés et de rendre la chose plus amusante pour tout le monde.

Je vous conseille néanmoins de garder le contexte. Ne vous contentez pas d'ajouter une image amusante d'un chat sans contexte. Faites en sorte que le message soit pertinent par rapport au contenu. Par exemple, voici une diapositive sérieuse de la formation. Elle montre une tentative de phishing pour laquelle nous avons mis en évidence certains indicateurs. Les informations importantes sont toutes là : nous montrons ce qui ne va pas dans l'e-mail et qu'il s'agit d'une tentative de phishing. Mais il y a un joli petit jeu de mots pour ceux qui font attention.

De même, à l’approche de la date de formation, je j'ai fait des affiches amusantes et nous les avons collés dans nos bureaux. Ils ont une fonction importante : rappeler à tout le monde qu'une formation en sécurité est prévue, mais ils permettent aussi de détendre l'atmosphère et de faire rire les gens, avec plein de petites blagues pour ceux qui y prêtent attention.

À quoi cela ressemble-t-il finalement ?

La présentation a duré 1 heure et 15 minutes, avec 15 minutes à la fin pour les questions et réponses.

Cinq thèmes principaux ont été abordés :

1. Ingénierie sociale: Il s’agit principalement de phishing, mais d’autres types d’ingénierie sociale ont également été mentionnés.
2. Mots de passe: Un cours intensif sur la façon dont les mots de passe sont déchiffrés et pourquoi il est important d'avoir des mots de passe forts. Les gestionnaires de mots de passe et la façon dont ils peuvent vous aider sont également abordés.
3. Sécurité physique: Comment assurer la sécurité des bureaux et des équipements de PagerDuty et comment signaler toute activité suspecte.
4. Le traitement des données: Les types de données que nous traitons et comment les gérer en toute sécurité.
5. Conformité: Descriptions des différentes réglementations de conformité et de la manière dont elles nous affectent.

Bien entendu, nous aurions pu aborder bien d'autres sujets, mais nous avons choisi ceux-ci car nous avons estimé qu'ils étaient les plus pertinents pour tous les employés. Il n'existe pas de sécurité à 100 % et, de même, il n'existe pas de formation en sécurité qui couvre tout. Nous faisons évoluer en permanence notre matériel de formation et nous modifierons probablement les sujets dans les années à venir, en fonction des menaces que nous jugeons les plus importantes à aborder.

Quel a été le retour ?

À la fin de la formation, les participants ont été invités à fournir des commentaires facultatifs dans le cadre d'une enquête. Deux questions ont été posées et un champ était prévu pour d'éventuels commentaires supplémentaires. Nous avons reçu plus de 300 réponses à l'enquête, ce qui nous a fourni des données précieuses.

La première question était, « Avez-vous apprécié la formation ? », avec une note de 1 à 5 ; 1 étant le pire et 5 le meilleur. Plus de 98 % des répondants ont donné une note de 3 ou plus, et la note moyenne était de 4,54 sur 5. (Il convient de noter que je n'ai soudoyé ni manipulé socialement personne pour obtenir ces notes).

La deuxième question était : « Dans quelle mesure pensez-vous que cela a été pertinent ou utile pour votre travail ? », avec la même échelle de notation que la question précédente. Plus de 99 % des répondants ont donné une note de 3 ou plus, et la note moyenne était de 4,56 sur 5.

Qu'est-ce qui s'est bien passé?

Ces deux résultats sont extrêmement encourageants et montrent à quel point la grande majorité de notre personnel a trouvé la formation précieuse et agréable.

Il y a eu d'autres choses intéressantes qui se sont produites, grâce à la formation, qui n'ont pas nécessairement été prises en compte dans les commentaires, mais que je voulais souligner :

• Plus de 30 employés ont indiqué qu'ils avaient désormais passé du temps à utiliser un gestionnaire de mots de passe. Non seulement pour leurs comptes d'employés, mais aussi pour leurs comptes personnels !
• Plus de 20 employés ont demandé une version open source ou aseptisée des diapositives afin de pouvoir les partager avec leur famille (plus d'informations à ce sujet dans un instant).
• La sensibilisation à la sécurité semble avoir augmenté dans toute l’entreprise.

La plus grande victoire de mon point de vue a été le fait que plusieurs employés ont opté pour un gestionnaire de mots de passe. C'est énorme, car nous n'avons jamais dit aux gens qu'ils devaient le faire. avait utiliser un gestionnaire de mots de passe ! Nous avons simplement montré comment les mots de passe sont déchiffrés et pourquoi nous pensons que les gestionnaires de mots de passe contribuent à rendre les choses plus sûres. Les employés ont pris la décision d'utiliser un gestionnaire de mots de passe eux-mêmes, et l'ont fait également pour leurs comptes personnels.

D'autres questions sont posées à l'équipe de sécurité. On nous pose désormais des questions sur tout, depuis la manière de s'assurer qu'un appel téléphonique est légitime jusqu'à la manière de sécuriser correctement leur compte Facebook. Il ne s'agit pas seulement de sécurité de PagerDuty , mais également de protection des comptes personnels. Même si je sais que lors d'emplois précédents, cela aurait probablement été considéré comme « hors de portée » et que les réponses n'auraient pas été fournies, nous aimons répondre à ces questions au sein de notre équipe. Cela démarre toujours une bonne discussion sur les protections en ligne, renforce la confiance avec les autres membres de l'entreprise et favorise une grande communauté.

Je crois fermement que les équipes de sécurité ne devraient pas être celles qui disent « non » à tout. La devise de notre équipe chez PagerDuty est : « Facilitez la réalisation de la bonne action ' Nous ne sommes pas ici pour gêner tout le monde. Nous sommes ici pour faire en sorte que la « bonne » voie (c'est-à-dire la plus manière sécurisée ) le chemin le plus simple, afin que les gens utilisent naturellement ce chemin.

Qu'est-ce qui ne s'est pas bien passé ?

Mais tout n'était pas rose. Comme vous pouvez le constater dans les graphiques ci-dessus, certains ont donné une très mauvaise note à la formation. Nous aurions tort de nous contenter de nous féliciter et de ne pas examiner ces données plus en détail. En analysant les commentaires négatifs dans les commentaires, nous pouvons les classer en deux catégories :

1. La formation était une répétition des deux années précédentes, ce qui signifie que c'était la troisième fois que certains de nos employés voyaient le même matériel.
2. La formation était trop longue.

Il est difficile de contester ces deux points. Grâce aux commentaires reçus, nous envisageons de modifier notre programme pour l'année prochaine et de proposer un cours de « remise à niveau » beaucoup plus court, avec du nouveau matériel, pour ceux qui ont déjà suivi cette formation. Nous espérons que cela répondra aux principaux sujets de préoccupation de la formation de cette année.

Un autre aspect qui n’a pas été très satisfaisant a été la préparation. Oh mon Dieu, j’avais sous-estimé le temps qu’il me faudrait pour créer la formation. La création de la formation n’a pas pris que quelques jours. Il a fallu plusieurs semaines d’efforts pour rassembler le matériel et produire le contenu de manière à ce qu’il soit engageant. Beaucoup d’efforts ont été consacrés à la production des diapositives, bien plus que ce que j’avais prévu au départ. Cela a représenté un investissement important en temps et en argent.

Nous avons ensuite retiré tous les salariés de leur travail pendant une heure et demie pour présenter la formation. Encore une fois, il s’agit d’un investissement important, surtout compte tenu de la taille actuelle de PagerDuty .

Cela valait-il la peine ? Je pense que oui. Mon équipe le pense. Et beaucoup d’employés le pensent aussi. Mais est-ce que cela convient à votre entreprise ? Peut-être pas. Je peux tout à fait comprendre que vous ne souhaitiez pas faire un tel investissement initial. Nous avons de la chance maintenant, car le contenu est déjà créé. Une fois cet investissement initial terminé, la charge de maintenance est relativement faible. Ce qui m’amène à une bonne nouvelle…

Je suis convaincu ! Puis-je voir la formation ?

Je suis très heureux d'annoncer qu'à partir d'aujourd'hui, nous avons ouvert le code source de notre formation en sécurité à l'usage de tous !

Tout le matériel n'est pas accessible au public, car certains contenus sont toujours réservés aux employés de PagerDuty . Cependant, la plupart des formations sont génériques et non spécifiques à PagerDuty lui-même. Tout contenu qui a été expurgé est clairement étiqueté et comprend une description textuelle de son contenu.

Pour l'instant, le site ne contient que nos formations destinées à tous les employés. Restez à l'écoute pour la formation spécifique aux ingénieurs, que j'espère ajouter au site dans les semaines à venir.

Si cela ressemble à quelque chose sur lequel vous aimeriez travailler, ou si vous souhaitez voir les diapositives internes uniquement, nous embauchons toujours .