Le document décrit l'expérience de l'auteur lors d'un audit de sécurité dans une startup qui a signé un contrat avec une banque pour une plateforme Big Data. Il relate les défis internes tels que la sensibilisation à la sécurité et les tensions entre les équipes techniques et administratives, ainsi que les étapes des audits internes et externes. Enfin, il souligne l'importance d'adapter la politique de sécurité pour améliorer à la fois la sécurité et la productivité tout en demandant des retours et en encourageant les questions.

1. Retour d’expérience
L’audit coté startup

2. Youen Chéné
CTO@saagie_io
@youen_chene
Activist @normandyjug @codeursenseine @devoxx4kidsfr @n_w_x

3. 1. Il était une fois un consultant…
2. On a vendu … à une banque
3. L’audit
4. Tensions Internes
5. Un long chemin
6. Bilan

4. 1.

5. Il était une fois
un consultant…

6. Découverte des grands comptes

7. Des droits limités

8. De plus demander la
permission
Ne plus demander la permission

10. Sécurité Productivité

11. 2.

12. On a vendu
… à une banque

14. Big Data Platform as a Service

15. De la data … sensible

16. Avec une box, une appliance

17. Avec une box, une appliance

18. Nous sommes une startup

19. Nous sommes une startup

20. Et on a signé avec une banque

21. On commence tranquille

22. Sécuriser le lac de données

23. Sécuriser le lac de données

24. Sécuriser le lac de données

25. Appel à un freelance

26. Confidentiality
Integrity
Availability
Activated!!

28. Au fait, on a un audit de sécurité

29. La gueule de bois

30. 3.

31. L’audit

32. audit
interne #1
audit
externe #1
rapport
audit #1
audit
interne #2
audit
externe #2
suivi
contre mesures
Timeline

33. 1er audit : notre plateforme

34. Pré audit #1

35. Audit Externe

36. Le rapport d’audit

37. 2ème audit : locaux et data center

38. Pré audit #2

39. Le réseau, le data center

40. Le réseau, le data centerLes locaux

41. et les équipes…

43. les développeurs junior
Les développeurs Juniors

44. L’administratif

45. Et le CEO

46. audit #2

47. Des RSSI bienveillants

48. Risques ou opportunités?

49. 4.

50. Tensions Internes

51. Une culture de la sécurité

53. Sysadmin
Checked

54. Les développeurs
Sensibilisé mais …
> chmod 777 -R *

55. Les consultants
Attention /!

56. Administratif : pas à pas
Administratif
Pas à pas

57. Ventes et Marketing
On va expliquer longtemps

58. Et le CEO

59. Revenons aux techs

60. Dev versus Sys admin

62. The wall

63. La ligne Maginot

64. Comportements à risques

65. Les directions « digitales »

66. Une question de curseur
Sécurité Productivité

67. Marketeux et commerciaux

68. 0% Sécurité

69. 100% Sécurité

70. 100% Sécurité
Trop difficile
Trop chère
Trop contraignant

71. Courbe de progression
Bien évaluer l’impact sur la productivité à chaque étape

72. 5.

73. Un long chemin

75. PCI DSS / ISO 2700x

76. Budget 2017 : 200 K€

77. Onboarding des employées

78. Suivi des contre-mesures avec les clients

79. Arrivées de spécialistes

80. Kanban dédié contre-mesures

82. Automatiser

83. 6.

84. Bilan

85. audit
interne #1
audit
externe #1
rapport
audit #1
audit
interne #2
audit
externe #2
suivi
contre mesures
Timeline
mise en place d’une
politique de sécurité

86. Impact important sur le business plan (B2 gros B)
Mise en place graduelle
Adapter les politiques aux populations
Sur les activités (suivi)
Automatiser, scaler!

87. Rester humble…

88. A vos questions!
@saagie_io
@youen_chene
On recrute !!
www.saagie.com/jobs Toutes les photos ont été volés sur internet