Tech.Rocks

Le Rôle des Security Champions au sein des Équipes : Implémentation et Défis

Publié le 22 juin 2023



Dans un monde numérique en constante évolution, les cyber-menaces ne cessent de croître en complexité et en nombre. Alors que la plupart des entreprises se concentrent sur les technologies pour renforcer leur sécurité, une approche complémentaire souvent sous-estimée consiste à tirer parti du capital humain à travers le rôle des Security Champions. Cet article explore en profondeur le rôle, la sélection et la formation des Security Champions en entreprise.



Contributeurs du groupe de travail “DevSecOps Tech.Rocks” :

  • Aroua Biri, responsable du groupe de travail “DevSecOps” et fondatrice de Frcyber-WeeSec

  • Adnan Aita, CTO de Sharelock

  • Camille Marsigny, Information Security Manager chez Blablacar

  • Davy Kiala, Senior Software Engineer & Manager · SNCF Connect & Tech

  • Ludovic Eschard, DevSecOps Team Lead, Orange France

  • Stéphane Loesel, Co-fondateur et CTO de Antidot

  • Tobias Rohrle, Solutions Engineer, Cloudflare



Qu'est-ce qu'un Security Champion ?

Un Security Champion est généralement une personne au sein d'une équipe (développement, ventes, ressources humaines, marketing, etc.) qui sert de relais entre son équipe et les experts en cybersécurité. Ils jouent un rôle clé dans la sensibilisation à la cybersécurité, la communication des meilleures pratiques et la remontée des problèmes de cybersécurité. Dans le cadre des équipes de développement, ils peuvent également aider à analyser le code sous l'angle de la sécurité et suggérer des améliorations.

Dans un environnement en constante évolution, il est crucial que les Security Champions entretiennent la flamme de la vigilance et s'adaptent aux nouvelles menaces. Les cybercriminels sont constamment à la recherche de nouvelles vulnérabilités et techniques d'attaque, il est donc essentiel que les Security Champions partagent ces connaissances au sein de leur équipe.

Il est également intéressant de noter que certains considèrent le recours aux Security Champions comme une phase transitoire.

Ils soulignent l'importance de sensibiliser tous les membres de l'équipe avec le même niveau d'exigence, en particulier dans des contextes non techniques. En effet, la cybersécurité ne devrait pas être uniquement la responsabilité d'une seule personne ou d'un petit groupe, mais plutôt une préoccupation partagée par tous.

Comment les Security Champions sont-ils sélectionnés ou désignés ?

La sélection d'un Security Champion peut varier selon les entreprises. Dans certains cas, les membres de l'équipe se portent volontaires pour assumer ce rôle. Cela peut être motivé par leur intérêt pour la cybersécurité et leur désir de contribuer à la protection de l'entreprise. Dans d'autres cas, il peut s'agir d'une combinaison de désignation et de volontariat, où des candidats potentiels sont identifiés et invités à se porter volontaires.

L'important est de s'assurer que les Security Champions ont un intérêt pour la cybersécurité et sont disposés à consacrer du temps à ce rôle en plus de leurs responsabilités habituelles. Ils doivent être des leaders au sein de leur équipe, capables de communiquer efficacement et de motiver les autres à adopter des pratiques de cybersécurité saines.

Il est essentiel que le processus de sélection soit transparent et inclusif. Le fait de communiquer ouvertement sur le rôle et d'encourager les candidatures peut aider à éveiller la curiosité et l'intérêt des employés. Les entreprises peuvent également envisager de fournir des incitations ou des avantages supplémentaires pour les personnes qui assument le rôle de Security Champion, afin de reconnaître leur contribution et de les encourager à s'investir pleinement.

Quelle formation ou quel soutien est fourni aux Security Champions pour qu'ils puissent remplir efficacement leur rôle ?

Pour que les Security Champions puissent être efficaces, il est essentiel qu'ils reçoivent une formation adéquate. Cette formation peut comprendre des séances sur la compréhension du déroulement des attaques informatiques, l'analyse du code pour les vulnérabilités et la sensibilisation aux meilleures pratiques de cybersécurité. 

Il est également essentiel de leur donner le temps et les ressources nécessaires pour se former. Cela peut être difficile à concilier avec les cadences soutenues de mise en production et les responsabilités existantes. Toutefois, il est important de comprendre que la formation en cybersécurité est un investissement qui peut prévenir des problèmes majeurs à court, moyen et long terme. 

Les entreprises devraient allouer du temps dédié à la formation des Security Champions et leur fournir des ressources telles que des cours en ligne, des séminaires, des livres et des outils de sécurité.

La formation ne doit pas être un événement unique, mais plutôt un processus continu. Les menaces évoluent rapidement, de nouvelles vulnérabilités sont découvertes et des techniques d'attaque sophistiquées sont développées. Les Security Champions doivent être tenus informés des dernières tendances en matière de cybersécurité et avoir la possibilité d'échanger régulièrement avec des experts en sécurité pour discuter des problèmes et des meilleures pratiques.



En conclusion, les Security Champions jouent un rôle essentiel dans le renforcement de la sécurité au sein des entreprises. En servant de pont entre les équipes et les experts en cybersécurité, ils contribuent à créer une culture de cybersécurité plus solide et réactive. Cependant, pour que ce rôle soit efficace, il est crucial que les Security Champions soient correctement sélectionnés, soutenus et formés. En fin de compte, investir dans des Security Champions est un investissement dans la résilience de l'entreprise face à un paysage de cyber-menaces en constante évolution.