CQ
Threat Research

Cyberseriousness Quotient (CQ) : la qualité, le respect, l’intégrité et l’utilité au service de la cybersécurité

Nous souhaitons que les diverses discussions internes, ayant eu lieu ces dernières années, au sujet du "CQ" (Cyberseriousness Quotient) puissent impliquer à présent l’univers de la cybersécurité dans sa globalité.

Les professionnels de la cybersécurité sont par nature sceptiques. Il est donc de notre devoir de prendre tous les composants qui permettent de faire fonctionner la société moderne sur le plan technologique, de les pirater et de vous montrer que le monde n’est en fait pas aussi sûr, privé et sécurisé que vous le pensiez. Nous développons ensuite des moyens pour vous protéger contre les individus qui utilisent de manière malveillante les mêmes compétences et la même curiosité pour commettre des cybercrimes et mettre en danger la confidentialité, l’intégrité et la disponibilité (CIA : Confidentiality, Integrity, and Availability) de nos systèmes et données.

La plupart d’entre nous connaissent le Quotient Intellectuel (QI) et beaucoup d’entre nous connaissent même le Quotient Intellectuel Émotionnel (QE), qui vise à mesurer les capacités émotionnelles à proprement parler. Chez Sophos, nous estimons qu’il est crucial que nous évaluions également notre travail en fonction de sa valeur, c’est pourquoi nous avons créé, et mis en œuvre pendant des années, notre propre évaluation pour garantir que la qualité, le respect, l’intégrité et l’utilité de la recherche et des produits que nous développons atteignent les normes les plus élevées : nous l’appelons le CQ (Cyberseriousness Quotient).

Cet article est une présentation du concept de CQ, les éléments que le CQ permet d’équilibrer au quotidien chez Sophos, et quelques exemples (hypothétiques ?) de ce qu’il ne faut pas faire. Dans les semaines à venir, nous entrerons plus dans le détail : comment nous évaluons le CQ dans nos projets et comment la priorisation du CQ fonctionne chez Sophos (même si cette approche génère des étapes supplémentaires).

Conceptualisation du CQ : trois éléments

Inventé il y a plusieurs années par Joe Levy, le président du Sophos Technology Group, le CQ est une évaluation qualitative pour s’assurer que nos clients, le grand public et les chercheurs peuvent compter sur le meilleur contenu et les meilleurs produits possible en provenance de Sophos.

Tout comme la sécurité est un voyage, et pas une destination, le CQ est un concept qui doit être expérimenté de manière concrète. Il s’agit de la première étape de chaque projet sur lequel nous travaillons. Les changements doivent être mesurés afin de mieux évaluer s’ils augmentent le CQ du projet, montrant ainsi à nos clients que leur sécurité, notre connaissance du cyber-risque et la protection efficace de leurs données sont toujours au centre de nos préoccupations.

Nous avons tous de nombreuses exigences qui entrent en concurrence les unes avec les autres, mais c’est en gardant tous ces objectifs, souvent contradictoires, en équilibre que nous pouvons atteindre notre but et celui de nos clients, le tout en suivant nos standards. Pour exister et faire de la recherche, nous devons générer un chiffre d’affaires nous permettant d’embaucher les gens qui développerons les futurs produits et qui créeront ainsi une véritable valeur ajoutée. Je sais que si je veux continuer à me développer chez Sophos en pratiquant ma passion pour la recherche à fort impact, je dois aussi m’assurer qu’elle a de la valeur et contribue à la sécurité et à la productivité de mes clients, ce qui au final permettra de générer un chiffre d’affaires qui financera mes recherches.

Si, d’un autre côté, nous laissons les besoins de l’entreprise l’emporter sur les besoins de nos clients, nous entrons alors dans une zone dangereuse. Nous découvrons, chaque jour, des histoires et des recherches publiées par des personnes dont l’objectif est de transformer une problématique en un problème plus important, qu’elles seront les seules à pouvoir vous aider à résoudre. Ce comportement est si répandu qu’un éminent journaliste spécialisé dans la cybersécurité, Patrick Gray, a décidé d’appeler ces fournisseurs de cybersécurité des “Snake Oilers“. Ce type de comportement ne fait de bien à personne et finit souvent par pousser les entreprises à concentrer leur énergie sur des éléments qui sont plutôt des ‘flashs sensationnels’, même lorsqu’elles subissent des violations de données commises par des individus utilisant des techniques complexes pour atteindre leurs objectifs.

Pour la recherche en particulier, il y a un troisième aspect lié au CQ. Souvent, la recherche la plus intéressante est le résultat de ce que j’appellerai la “recherche intellectuelle du bonheur“. La curiosité nous permettra d’emprunter de nombreux chemins plutôt agréables, et le plaisir de résoudre un mystère complexe en matière de sécurité est vraiment ce qui alimente une grande partie de notre principale mission. Pour obtenir les résultats les plus percutants dans notre travail, nous avons besoin de liberté pour pouvoir laisser s’exprimer cette curiosité et partager nos découvertes avec nos pairs. Ce travail représente souvent le CQ le plus élevé de tous.

Le CQ est une sorte de test permettant de valider que la publication de nos travaux, des résultats de recherche jusqu’à nos communications corporate, répond véritablement à un besoin à l’extérieur de l’entreprise. Notre évaluation comporte de nombreux niveaux différents, que nous allons vous présenter dans un prochain article. Il s’agit d’une approche que nous souhaitons voir appliquer par tous nos employés aux tâches dont ils ont la responsabilité mais aussi au niveau des interactions avec nos clients via un support technique, les activités commerciales et des évènements marketing auxquels nous participons. Pour résumer, il doit être un ingrédient à utiliser dans toutes nos recettes dès que cela a du sens, bien sûr.

Comment fonctionne le CQ dans la pratique ? Si nous le mettons en œuvre correctement, il devient un cercle vertueux, et les principes du CQ nous guident pour mener à bien des projets avec, dès le départ,  la qualité, le respect, l’intégrité et l’utilité comme préoccupation principale. Comme indiqué ci-dessus, nous détaillerons la manière avec laquelle nous abordons et (si possible) mesurons chacun de ces quatre aspects dans un autre article. Pour l’instant, illustrons cette approche avec quelques exemples.

La quête du CQ : trois échecs

Prenons un exemple, plutôt déprimant mais courant, qui illustre le type de problème que le CQ cherche à éviter : imaginez que la société X ait un nouveau produit sur le point d’être lancé. Le grand public verra trop souvent des “recherches” publiées par la société X qui sont si sensationnelles qu’elles feront forcément la une des journaux. Cette recherche est utilisée en général pour générer de l’intérêt dans le cadre d’un lancement de produit, mais un simple coup d’œil furtif et superficiel à cette soi-disant “recherche” révèlera rapidement des partis pris, des statistiques manipulées ainsi que quelques omissions.

Voici un autre exemple. Peut-être avez-vous été invité par la société Y à la présentation commerciale de sa nouvelle solution qui bloque sans effort toutes les menaces : Nex-Gen Snake Oil 2023 Professionnel. Le TCO (Total Cost of Ownership) est réduit de 60 % car vous n’êtes plus infecté, vous n’avez plus besoin de chasser les menaces et vous n’avez plus besoin non plus de gérer la réponse aux incidents. Super ! Je veux cette solution, je m’inscris tout de suite ! Un petit hic néanmoins : une détection à 100 % (“qui stoppe toutes les menaces”) s’accompagne d’un taux de faux positifs de 10 %, entraînant ainsi une augmentation de 2 000 % des appels au support et une baisse de 20 % de la productivité des employés. Aucun CQ appliqué.

Le CQ peut être extrêmement bas au-delà du monde des lancements de produit, bien sûr. Plus tôt, nous avons décrit le travail découlant de la “recherche intellectuelle du bonheur” comme un indicateur utile d’un CQ potentiellement élevé. C’est vrai en général, mais parfois l’aspect “Whaou super !” peut en fait nuire à un CQ élevé. Imaginez un chercheur qui émet un théorie selon laquelle ‘chanter’ sur votre ordinateur peut améliorer la sécurité de celui-ci (nous avons entendu bien pire). Effectuer des recherches sur la cybersécurité musicale pourrait bien conduire à un moment donné à des outils que les clients pourront adopter. Cependant, si nous devions déclarer que “tout le monde aimera la cybersécurité musicale et que cette approche nous différenciera auprès de nos clients !” en l’intégrant immédiatement dans la nouvelle interface du produit Sophos à l’avenir, il s’agira en fait d’une initiative à faible CQ : qualité incertaine (et franchement très probablement faible sans une importante quantité de recherches interdisciplinaires qui viendraient la renforcer), respect et intégrité potentiellement élevés, mais avec une utilité presque médiocre à coup sûr, littéralement une initiative avec un CQ très peu audible pour le coup !

Les chercheurs, à savoir la contribution de X-Ops à Sophos dans son ensemble, ne devraient pas avoir peur d’explorer et d’envisager des pensées atypiques, mais un CQ élevé signifie que même les chercheurs doivent finalement avoir une idée de la manière avec laquelle leur travail répondra aux besoins de l’entreprise et des clients.

Si vous appliquez les principes du CQ aux produits et à la recherche qui conduit au final aux produits, ces problèmes cessent d’exister. Vous ferez des recherches qui identifieront les problèmes réels qui peuvent conduire à la compromission des entreprises. Lorsque le temps est venu d’annoncer un nouveau produit ou une nouvelle fonctionnalité, vous disposez alors d’une multitude de recherches pour étayer vos affirmations. Comme la recherche est au service des besoins réels des clients, vous n’avez pas besoin d’utiliser des tours de passe-passe et d’autres gadgets. Vos recherches font progresser l’état de la cybersécurité dans votre secteur et garantissent que les protections des clients restent ciblées et pertinentes, en innovant délibérément plutôt que d’ajouter simplement des fonctionnalités “cool” ou à la mode dans les produits. La valeur du travail parle d’elle-même et vient en renfort pour le plus grand bien de tous.

Tout notre travail découle de notre recherche incessante de faits. Nos experts utilisent ensuite leur expertise pour interpréter ces informations afin d’établir une vérité observable sur le terrain et sur laquelle d’autres pourront s’appuyer. Les équipes responsables des relations publiques, du marketing, de la gestion des produits et d’autres équipes travaillent à partir de cette réalité du terrain pour s’assurer que leur travail s’aligne sur ce que nous savons, et non l’inverse.

Avec des chaînes d’information 24h/24 et un paysage médiatique saturé de publicités et de clics pour survivre, il peut être tentant pour les éditeurs de cybersécurité d’exploiter les pires craintes des gens et leur soif de gros titres douteux pour faire avancer un programme particulier. Le problème est que lorsque les éditeurs participent à ce type d’activité, non seulement ils brouillent les cartes, mais ils détournent l’attention du public de la vérité, diminuant ainsi sa capacité à répondre aux menaces réelles et actuelles.

Le CQ en pratique : trois exemples

Pour obtenir plus d’informations, surveillez les publications de ce blog concernant la deuxième partie de notre série dédiée au CQ, où nous expliquerons comment les clients peuvent utiliser le CQ pour naviguer dans le paysage de sécurité actuel, en particulier lorsqu’ils évalueront des partenaires et des éditeurs potentiels (nous aborderons également certaines questions intéressantes, liées aux activités de l’entreprise, qui se posent lorsque le CQ fait partie du mix quotidien). En attendant, et juste au cas où vous en auriez assez des mauvais exemples hypothétiques et que vous voudriez de bons exemples bien réels, voici quelques projets Sophos que nous considérons en interne comme étant des exemples de CQ élevé, avec quelques éléments de réflexion afin de mieux comprendre les raisons qui nous permettent de les considérer ainsi :

Le blog Sophos X-Ops : il s’agit d’une zone non médiatique ; les chercheurs sont encouragés à travailler en profondeur, à citer des recherches n’émanant pas de Sophos le cas échéant, à tout remettre en question et à montrer généralement leur travail.

  • Qualité (non négociable) : chaque publication, article et (bientôt !) vidéo de Sophos est vérifié tout au long du processus de développement et à plusieurs niveaux de l’entreprise. De plus, nous avons une équipe spécialisée composée de chercheurs en cybersécurité qui apportent également à Sophos une vaste expérience en matière de journalisme et de publication. Chaque article publié sur le blog X-Ops est accompagné d’un ou plusieurs de ces spécialistes pour recueillir les commentaires techniques et éditoriaux de leurs collègues Sophos afin de s’assurer que les résultats soient bien lisibles et attractifs.
  • Respect : le processus qui consiste, non seulement à vérifier la recherche, mais aussi la publication d’informations claires, précises et lisibles à son sujet doit être rigoureux : une collaboration respectueuse réduit au minimum les problèmes d’ego. Les chercheurs Sophos invités à publier sont fortement encouragés à remercier leurs collègues (au sein et en dehors de Sophos) qui ont contribué à leur travail.
  • Intégrité : outre le fait que la qualité et l’intégrité soient intrinsèquement liées dans notre processus de vérification préalable à la publication, il est important pour nous que nos recherches publiées reconnaissent que nous faisons partie d’une communauté plus large de défenseurs. Aucune recherche dans le monde de la cybersécurité,  aucune, n’est effectuée ex nihilo. Les chercheurs qui publient sur le blog X-Ops sont tenus de citer leurs sources, de préférence avec des liens vers ces dernières, même s’il s’agit du site Web d’un concurrent.
  • Utilité : parfois, le travail que nous publions est immédiatement exploitable, et parfois il s’agit d’une immersion profonde dans un sujet de cybersécurité qui est intéressant ou mérite d’être analysé en profondeur, que ce soit comme base pour des recherches plus approfondies ou bien tout simplement parce qu’il représente un intérêt en soi. La chose la plus utile que nous puissions faire est invariablement de nous assurer que ce que nous publions est exact, précis et clair.

Sophos Trust Center : la confiance se mérite, mais nous vous invitons à juger plutôt par vous-même. Pour gagner votre confiance, nous pensons que nous devons être aussi transparents que possible en ce qui concerne notre propre sécurité, nos pratiques de codage et notre gouvernance.

  • Qualité : nous sommes convaincus que nos pratiques sont conformes aux normes les plus élevées et partageons non seulement ce que nous faisons, mais aussi comment nous le faisons. Notre approche n’est pas seulement transparente et ouverte, elle est aussi un guide utile pour tous ceux qui sont à la recherche d’un point de départ et souhaitent suivre notre chemin.
  • Respect : qu’il s’agisse de travailler avec des pentesteurs externes ou d’exploiter notre programme bug bounty, notre respect pour la communauté peut être quantifié à travers nos actions. Comme toute entreprise, même nos meilleurs efforts ne se traduisent pas forcément par une sécurité parfaite. La meilleure manière, pour nous, de nous améliorer continuellement est de traiter la communauté des chercheurs en sécurité avec respect et de prendre leurs commentaires à cœur.
  • Intégrité : nous publions nos politiques d’entreprise en matière d’éthique, de conformité aux réglementations, d’impact sur l’environnement, de traitement des données clients, etc. dans notre Trust Center. Bien que nous attendions de tous les employés qu’ils lisent et adhèrent à ces normes, nous estimons qu’elles doivent être rendues publiques afin que nos partenaires et nos clients sachent comment nous menons nos opérations.
  • Utilité : il existe de nombreuses situations où il est important de pouvoir accéder rapidement à vos véritables besoins tout en évaluant la posture de sécurité de votre partenaire. C’est aussi un moyen de comparer vos options lorsque vous recherchez de nouveaux fournisseurs ou employeurs.

Le rapport Active Adversary (lien vers l’édition d’avril 2023) : il s’agit de la troisième édition (et au moment d’écrire ces lignes, nous sommes en plein processus de finalisation de la deuxième des trois éditions de 2023) de notre rapport AA qui rend compte de ce que nos équipes de réponse aux incidents ont vu sur le terrain ces derniers temps.

  • Qualité : les rapports AA sont basés sur les données IR recueillies à chaque étape du processus, de la prise en compte des informations des clients au rapport final d’incident. Toutes les données utilisées dans le rapport sont scrupuleusement normalisées avant l’analyse, et plusieurs examens des données sont effectués tout au long du processus de création de chaque rapport. De plus, les examens et analyses précédents sont réexaminés si les données sont réutilisées (par exemple, dans une analyse historique), pour s’assurer qu’elles soient bien normalisées et analysées conformément aux meilleures pratiques actuelles.
  • Respect : nous prenons des mesures assez extrêmes (et effectuons plusieurs examens en interne) pour nous assurer que les clients IR mentionnés dans le rapport ne soient jamais mis en danger et identifiés par les données…
  • Intégrité : … mais nous nous efforçons d’être aussi transparents que possible sur la manière avec laquelle nous travaillons avec les données et sur la partie du paysage de la cybersécurité qui y est représentée, dans la section ‘Méthodologie’ incluse à la fin des rapports AA à partir de cette année.
  • Utilité : depuis son lancement en 2021, nous nous sommes efforcés de trouver, dans ces piles de données, des informations qui peuvent aider les défenseurs qui font face chaque jour aux menaces qui pèsent sur leurs propres systèmes. Pour 2023, nous avons réalisé que nous pouvions améliorer l’utilité des rapports AA en examinant les données sous plusieurs angles : après tout, les chefs d’entreprise, les responsables techniques et les chasseurs de menaces sont tous des défenseurs, mais leurs besoins en matière d’informations ne sont pas les mêmes. Et c’est ainsi que le rapport Active Adversary en est à sa troisième édition.

La cybersécurité est plus complexe qu’elle ne l’a jamais été, et en tant qu’éditeur responsable dans ce secteur particulier, nous devons aider à mettre en évidence les plus grands risques et, en outre, aider les autres à comprendre ces risques afin qu’ils puissent réagir de manière appropriée pour se défendre. Mettre en pratique le CQ nous permet d’avoir la garantie d’être toujours du bon côté de la barrière. La cybersécurité est une affaire de confiance. En effet, Sophos sécurise les personnes et les entreprises depuis 38 ans et nous avons toujours placé leur confiance en première ligne.

Billet inspiré de Introducing Cyberseriousness: A manifesto for quality, respect, integrity, and usefulness in infosec, sur le Blog Sophos.