Le Belge Maarten Van Horenbeeck, émigré aux Etats-Unis, guide actuellement les efforts d’Adobe en matière de cybersécurité. Nous avons abordé avec lui différents défis qui se posent, l’impact de l’IA et la manière dont on peut passer du statut de consultant en sécurité à Herselt à celui de CISO d’un des principaux éditeurs de logiciels au monde.
Vous avez débuté chez Ubizen et aujourd’hui, vous êtes CISO chez Adobe. Comment en arrive-t-on là?
VAN HORENBEECK: Je voulais surtout résoudre des problèmes plus importants au fil des années, mais on ne peut pas y parvenir seul. La sécurité est un travail d’équipe, entre des personnes, des entreprises et des autorités. Pour les choses que je voulais faire, il fallait une équipe.
Un deuxième aspect est que je recherche toujours des choses que je n’ai pas encore faites. Lorsque j’ai débuté chez Microsoft, je travaillais sur la sécurité des applications, et chez Google, je m’occupais principalement de ‘public key infrastructure’, comme l’authentification et les certificats web. Ce sont des compétences très différentes, mais cela m’a beaucoup apporté. J’y ai également appris la mise en conformité, domaine dans lequel je n’étais pas vraiment spécialisé à l’époque. Tous ces rôles avaient une approche légèrement différente, ce qui m’a permis d’évoluer vers le poste de CISO. Si je n’avais eu qu’une seule spécialisation, il m’aurait été beaucoup plus difficile de réussir dans ce rôle.
Le paysage et le métier de responsable de la cybersécurité ont-ils significativement changé?
VAN HORENBEECK: Quand j’ai commencé chez Ubizen, il n’y avait pas encore beaucoup d’experts dans différents domaines. Lorsqu’un client venait nous voir avec un problème, c’était souvent la première fois que nous le voyions nous-mêmes et ensuite, en tant que professionnel de la sécurité, il fallait imaginer des solutions très larges et multidisciplinaires dans différents secteurs. C’était cela en partie aussi la force d’Ubizen en Belgique, et c’était de ce fait l’un des rares endroits où l’on pouvait acquérir de l’expérience.
La véritable valeur d’une équipe de sécurité réside dans sa capacité à être multidisciplinaire
Malheureusement, aujourd’hui les choses sont différentes. Une fois diplômé, la question se pose rapidement de savoir quelle sera votre spécialité: allez-vous travailler dans un SOC? Allez-vous vous concentrer sur l’identité? Ou autre chose? Vous devez choisir rapidement. J’essaie moi-même de m’y employer avec mes équipes. Tant chez mon ancien employeur qu’ici chez Adobe, nous accordons beaucoup d’attention à notre programme de stage. Nous donnons aux personnes qui viennent d’obtenir leur diplôme la possibilité de tester différents domaines de la sécurité, afin qu’elles sachent ce qu’elles préfèrent. La véritable valeur d’une équipe de sécurité réside dans sa capacité à être multidisciplinaire.
Adobe est surtout connue pour avoir produit le PDF et une suite étoffée d’outils de créativité tels que Photoshop, InDesign, Premiere, After Effects, Dreamweaver et bien d’autres. La firme cotée en bourse compte actuellement plus de trente mille employés et a réalisé un chiffre d’affaires de 21,51 milliards de dollars au cours du dernier exercice.
La voix du CISO est-elle davantage prise en compte aujourd’hui?
VAN HORENBEECK: La plupart des entreprises de notre taille reconnaissent la valeur d’un CISO. Je suis moi-même rattaché au directeur financier, mais j’ai connu d’autres structures dans différentes entreprises, et on ne travaille pas pour un seul dirigeant, mais pour l’ensemble de l’entreprise. Il faut élever la voix auprès de tous les managers d’une entreprise. Qu’il s’agisse du Chief People Officer, du Chief Legal Officer, du CEO ou d’autres encore, notre rôle est de veiller à ce que l’entreprise prenne les bonnes décisions en matière de sécurité, et cela implique de pouvoir collaborer avec tout le monde.
Ne cessez jamais de rêver des choses que vous voulez accomplir
Quels conseils de carrière prodigueriez-vous aux jeunes?
VAN HORENBEECK: Ne cessez jamais de rêver des choses que vous voulez accomplir. On nous répond souvent ‘non’ et parfois, on abandonne, mais ce n’est pas une mauvaise idée de garder un peu la tête haute et de réfléchir à ce que l’on pourrait faire. Les rares fois où j’ai regretté une décision, c’est après avoir dit non à des choses qui auraient en fait été une excellente occasion d’apprendre et de grandir en tant que personne.
Ces opportunités existent-elles encore aux Etats-Unis à l’heure actuelle?
VAN HORENBEECK: Je ne vais pas parler de politique, car nous pourrions alors continuer pendant des heures. Mais un pays ne se résume jamais uniquement à un gouvernement. Ce sont les gens qui y travaillent, la façon dont ils réfléchissent aux problèmes, la façon dont ils collaborent qui font un pays. A cet égard, l’Amérique sera toujours un pays offrant des opportunités de faire des choses qui s’avèrent plus difficiles ailleurs. En raison de la créativité des gens, parce que différents types de personnes se réunissent pour résoudre des problèmes. Cela reste.
Développez-vous également des outils à usage interne ou s’agit-il principalement d’achat et d’intégration de solutions?
VAN HORENBEECK: Les deux. Pour certaines solutions, nous nous adressons au marché, car il existe des entreprises qui ont plus d’expertise dans un domaine de sécurité spécifique. Ce qu’elles développent, ce sont souvent des choses très proches de la façon dont travaillent nos développeurs, mais nous n’allons pas les vendre nous-mêmes comme des produits de sécurité.
Adobe dispose-t-il de son propre environnement cloud, ou celui-ci fait-il partie d’un ou plusieurs hyperscalers?
VAN HORENBEECK: Nous faisons les deux, c’est un mélange. Je n’ai pas d’opinion tranchée sur le multicloud. Cela présente des avantages et des inconvénients, et lorsque vous faites cette abstraction, vous devez également vous assurer que vos équipes peuvent travailler efficacement avec les différents fournisseurs. Cela dépend en grande partie de la solution que vous créez, de l’entreprise que vous êtes et des capacités dont vous disposez en interne.
Maarten Van Horenbeeck a débuté sa carrière au sein de l’entreprise belge Ubizen (rebaptisée plus tard Cybertrust), puis a rejoint Seattle pour travailler pour Microsoft. Au cours des années qui ont suivi, il occupa divers postes de cybersécurité pour Google, Amazon, Fastly et Zendesk. Aujourd’hui, il vit à San Francisco et est Chief Information Security Officer d’Adobe depuis 2022.
Le cloud permet des intégrations plus faciles. Vous pouvez relier des solutions entre elles plus facilement, ce qui rend également la protection des choses plus complexe. Mais je dois ajouter que de nombreux problèmes plus anciens ont également été réduits. Un fournisseur cloud a beaucoup plus de visibilité sur les abus sur ses plateformes, lorsque des choses anormales s’y produisent. Identifier un problème et réagir en conséquence s’avère beaucoup plus rapide.
Existe-t-il un compromis entre la sécurité d’Adobe en tant qu’entreprise et les produits qui doivent être sécurisés dès leur conception? Ou pourriez-vous faire la même chose dans une autre entreprise?
VAN HORENBEECK: Il y a un lien très important entre les deux, et je passe beaucoup de temps sur les deux. Nous devons sécuriser l’entreprise pour pouvoir sécuriser nos produits. Si le premier élément ne fonctionne pas, il y aura également des problèmes potentiels avec le second. Parallèlement, vous devez également répondre aux attentes des clients avec vos applications. Ces clients ont leurs propres programmes de sécurité, et notre objectif est que nos produits répondent à leurs attentes dans le cadre de ces programmes.
Comment vous assurez-vous que tout reste sécurisé avec de nouveaux produits ou fonctionnalités?
VAN HORENBEECK: Ce que nous, et par là j’entends l’ensemble du secteur de la cybersécurité, faisons beaucoup, c’est de la modélisation des menaces. Lorsque les développeurs créent une nouvelle fonctionnalité ou un nouveau produit, nous demandons à cette équipe de réfléchir aux risques de sécurité. Si deux systèmes doivent communiquer entre eux, la question se pose de savoir quel serait l’impact d’une attaque et quels principes de sécurité seraient alors garantis.
C’est une première étape, mais l’année dernière, nous avons nous-mêmes incorporé la technologie basée sur genAI. La modélisation des menaces n’est pas très évolutive, ce qui nécessite souvent qu’un ingénieur en sécurité assiste aux réunions avec les développeurs pour les aider à identifier les faiblesses potentielles du code.
Pour moi, le succès, c’est quand tout le monde dans l’entreprise parle de sécurité
Nous utilisons désormais l’IA générative pour étendre la modélisation des menaces à davantage d’équipes. Bien sûr, nous continuerons à faire appel à des ingénieurs en sécurité pour les choses les plus importantes, mais pour les projets plus modestes, nous laisserons genAI poser la question ‘que se passera-t-il si quelque chose dérape ici et quelles en seront les conséquences?’ Ce faisant, vous pouvez avoir beaucoup plus de personnes modélisant les menaces qu’auparavant. Cela incite davantage de personnes à parler de sécurité et ce, souvent très tôt dans le cycle de développement. Cela débouche aussi sur un meilleur résultat final.
En tant que CISO, on me demande parfois ce que le succès signifie pour moi. Pour moi, le succès, c’est quand tout le monde dans l’entreprise parle de sécurité, même lorsque je ne suis pas présent physiquement. Cela fait alors partie de la culture de l’entreprise, et la modélisation des menaces, ainsi que l’automatisation que nous y appliquons pour la faire évoluer, en sont un bon exemple.
S’agit-il d’outils d’IA classiques ou sont-ils plus adaptés localement?
VAN HORENBEECK: Dans ce cas, nous le faisons avec un logiciel que nous avons développé nous-mêmes, et nous veillons à ce que les informations soient sécurisées. Mais cela démontre comment l’IA peut avoir un impact positif sur la cybersécurité.
Un autre exemple de notre threat intelligence team est la surveillance des conversations publiques autour de la sécurité. Supposons qu’un article, un billet de blog ou un message Twitter apparaisse à propos d’Adobe et d’un problème de sécurité potentiel, quelle leçon pouvons-nous en tirer?
Dans ce but, nous avons développé une technologie capable de résumer des choses, afin que l’équipe ou un ingénieur puisse les examiner. Nous avons procédé ainsi en supposant que cela fonctionnerait en anglais, mais nous avons constaté qu’un jour, le système détectait également un blog français qui postait quelque chose sur nos produits. Sans aucune adaptation, il nous l’a signalé.
Par la suite, le problème s’est avéré ne pas être si grave, mais nous ne l’aurions jamais remarqué, si nous avions effectué la numérisation uniquement manuellement, car l’équipe est principalement anglophone. Cela montre comment nous pouvons évoluer plus qu’avant.
Est-il difficile d’équilibrer confidentialité/sécurité et facilité d’utilisation? Vous pourriez par exemple être en mesure de détecter davantage de comportements suspects, si vous pouviez visionner beaucoup plus de données de vos clients.
VAN HORENBEECK: Ce n’est pas toujours un équilibre difficile à obtenir, mais quand même. Lorsque nous réfléchissons à ce genre de solutions et que nous collectons des renseignements, nous devons être absolument certains de recueillir les bonnes informations, de les protéger correctement et de ne pas collecter d’informations engendrant davantage de risques. Nous procédons ensuite à une pondération du genre: ‘Est-ce la bonne solution au problème que nous avons?’
Avez-vous également une ‘équipe rouge’ dont la mission est de ‘tenter de la détruire’? Ou vous vous en sortez-vous avec un programme bug bounty?
VAN HORENBEECK: Nous avons à la fois un programme bug bounty et une ‘équipe rouge’ interne. Les deux sont très précieux. Au fil du temps, les équipes qui détectent des problèmes en interne, deviennent plus spécialisées dans les problèmes sur lesquels nous réfléchissons spécifiquement. Avec les primes aux bugs (bug bounties), vous disposez d’une communauté entière de chercheurs en sécurité qui pensent tous différemment aux problèmes qui pourraient exister.
Il faut avoir des gens qui pensent comme des agresseurs
Nous considérons les chasseurs de primes aux bugs comme un élément important de notre programme de sécurité, car ils nous montrent ce que nous avons nous-mêmes manqué et comment nous pouvons en tirer des leçons. L’équipe rouge fonctionne un peu différemment. Elle recherche les problèmes et voit ensuite jusqu’où elle peut aller. Cette équipe s’est davantage orientée vers les solutions d’IA au cours des deux dernières années.
Les deux sont en fait extrêmement utiles: un groupe recherche autant de problèmes que possible, alors que l’autre se concentre davantage sur un bug et sur son amplitude. Il faut avoir des gens qui pensent comme des agresseurs. Nous avons beaucoup investi dans ce domaine ces dernières années, car ces connaissances sont très utiles.
L’impact de (gen)AI est-il perceptible du côté des attaques? Par exemple lors de tentatives d’effraction ou d’abus de produits?
VAN HORENBEECK: J’en tire une impression plutôt positive jusqu’à présent, lorsque j’examine l’attaque par rapport à la défense. genAI a certainement le potentiel de rendre le côté attaquant plus rapide et plus facile, mais je vois cela comme un changement évolutionnaire.
Du côté défensif, la tendance est plutôt révolutionnaire. L’un des grands problèmes des dix à vingt dernières années, à mon avis, c’est le partage d’informations autour des attaques. Dans le passé, ces informations étaient partagées dans des documents échangés entre responsables de la sécurité, et chacun devait les interpréter et y baser ses décisions. Aujourd’hui, il existe beaucoup plus de technologies permettant de propager automatiquement des informations sur les problèmes et les attaques.
Le plus gros problème reste qu’il faut être capable d’analyser toutes ces informations et de prendre des décisions en fonction de celles-ci. Mais genAI et les grands modèles linguistiques (LLM) sont très efficaces pour analyser de grandes quantités d’informations et fournir un contexte. A mon avis, la valeur de genAI est plus grande pour les défenseurs que pour les agresseurs.
Cela rend-il également la sécurité plus accessible? Peut-on utiliser plus facilement des profils non techniques en cybersécurité?
VAN HORENBEECK: Je ne pense pas que nous allions vers un avenir où nous n’aurions plus besoin de connaissances techniques. Celles-ci auront toujours une grande valeur.
Où peuvent-ils alors apporter une contribution majeure?
VAN HORENBEECK: Je vois des opportunités dans le fait de fournir un contexte aux analystes qui font ce travail. Au lieu de devoir effectuer de nombreuses recherches manuelles, ils pourront prendre des décisions avec les bonnes informations à portée de main. Je ne vois pas vraiment de rôle important pour l’IA dans la prise de décisions elle-même, mais dans ce contexte, pour que les décisions prises par les gens soient mieux étayées et que leur rôle puisse avoir un plus grand impact.
Les créateurs belges sont très réalistes quant à leurs capacités et aux produits qu’ils produisent.
Vous êtes également actif en tant qu’investisseur. Comment une startup doit-elle aujourd’hui se démarquer ou exceller pour attirer l’attention? Ou quelles lacunes les jeunes pousses peuvent-elles combler, que les grands acteurs laissent derrière eux?
VAN HORENBEECK: Le plus important pour moi est qu’une entreprise soit consciente d’un problème réel auquel un responsable de la sécurité est confronté. Il existe de nombreuses entreprises qui résolvent quelque chose, mais est-ce que cela solutionne vraiment un problème qui m’empêche de dormir la nuit?
Ainsi, lorsqu’un créateur vient me voir en connaissant mon problème et qu’il me propose une explication très réaliste de la manière dont il peut le résoudre, c’est la recette magique pour moi.
Il y a d’ailleurs une grande opportunité pour les Belges. Les créateurs belges sont très réalistes quant à leurs capacités et aux produits qu’ils produisent. Ils ne se lancent pas immédiatement dans le marketing ou ne promettent pas des choses qu’ils ne peuvent pas tenir. Ils construisent quelque chose qui fonctionne et ils vont le vendre. La Belgique a l’avantage d’avoir une vision très terre-à-terre des choses et d’offrir une solution technique très solide.
arfois, ils sont un peu trop prudents. Mais je vois cela comme quelque chose de positif. La qualité des entreprises belges en matière de cybersécurité est très élevée. Les entreprises belges sont souvent inconnues sur le marché américain, mais on constate pourtant un travail important de la part de Flanders Invest & Trade par exemple pour mettre des créateurs de chez nous en contact avec des leaders américains de la cybersécurité.
Une grande partie du cryptage dans le monde repose sur des éléments qui ont autrefois été développés à la KU Leuven.
Par exemple Secure Code Warrior, qui est australien sur le plan technique, mais dont les créateurs et développeurs sont belges. Des acteurs comme Intigriti se font également connaître ici, car ils proposent un produit de bonne qualité. La reconnaissance de nombreuses technologies innovantes en provenance de Belgique commence donc à prendre de l’ampleur. Cela en combinaison avec le travail de sécurité qui a historiquement pris naissance en Belgique. Une grande partie du cryptage dans le monde repose du reste sur des éléments qui ont autrefois été développés à la KU Leuven.
Quels sont les principaux défis en matière de sécurité aujourd’hui?
VAN HORENBEECK: Le plus grand défi est de trouver les talents pour l’avenir de notre équipe de sécurité. Nous collaborons par conséquent aussi avec de nombreuses organisations, comme Black Girls Hack, qui forme des femmes à des postes de sécurité, et nous espérons que certaines d’entre elles pourront faire partie de notre équipe à l’avenir.
A l’inverse, nous travaillons en étroite collaboration avec le Cyber Peace Institute en Suisse. C’est un projet absolument unique, car il aide des organisations à but non lucratif ou des ONG en matière de cybersécurité. L’un des problèmes qui se pose, c’est l’absence de budget pour des investissements importants dans la cybersécurité. Nous travaillons donc pour eux gratuitement avec des bénévoles dans notre équipe. Et cela nous aide également à enseigner à notre équipe interne comment fonctionnent d’autres organisations.
Un autre défi est l’évolution de la cybersécurité et la rapidité avec laquelle les choses y changent. Par exemple, dans la façon dont les entreprises pensent ou dans ce qu’elles attendent de leurs fournisseurs. Suivez attentivement ces attentes, par exemple en matière de sécurité des applications, et assurez-vous de pouvoir contribuer à cette technologie au lieu de l’adopter par la suite. Ce sont des choses qui me tiennent éveillé.
Dans quelle mesure la sécurité post-quantique est-elle à l’ordre du jour?
VAN HORENBEECK: Dans le cas de nouvelles normes, nous examinons toujours la rapidité avec laquelle nous pouvons les adopter et si cela a du sens. Mais ce n’est pas notre principal problème pour le moment. Il y a des domaines auxquels nous accordons aujourd’hui une attention beaucoup plus grande, comme la sécurité quotidienne des applications. Or ce n’est pas quelque chose à ignorer. Il viendra un temps où nous entrerons dans un monde post-quantique, mais nous aurons l’agilité nécessaire pour passer rapidement à autre chose. Là, nous suivrons les conseils des cryptographes ou d es autorités.
L’évolution vers le cloud au cours des 10 à 15 dernières années a-t-elle changé l’orientation?
VAN HORENBEECK: Cela rend l’identité et l’autorisation beaucoup plus importantes en raison de toutes ces interconnexions. Lorsque vous avez accès à différentes applications et données avec une seule identité, vous devez comprendre ce qui se passe dans ces différents endroits. C’est souvent plus difficile dans le cloud, car la standardisation n’est pas encore entièrement disponible pour toutes les différentes plateformes. Si les entreprises collaborent davantage pour intégrer ces technologies, Il sera possible de faire beaucoup de progrès sur ce type de problèmes.
Que manque-t-il donc encore?
VAN HORENBEECK: L’identité est standardisée jusqu’à un niveau très élevé. Mais des choses se passent encore en arrière-plan. Divers produits qui ont d’autres implémentations en matière d’historiques, d’identification des problèmes potentiels. Il y a encore des possibilités de clarifier quelque peu les choses.
De nombreux problèmes de sécurité peuvent être liés à l’identité. Des droits d’accès incorrects pour un certain environnement, une API ou des données. Le marché a du mal à apporter une solution de manière uniforme, et on se retrouve alors rapidement avec des IAM vendors (Identity Access Management, ndlr) qui souhaitent s’intégrer à tous ces fournisseurs de cloud.
Comment Adobe gère-t-elle cela elle-même?
VAN HORENBEECK: Nous examinons toutes les possibilités au sein de toutes les solutions et comment nous pouvons les rassembler en une seule solution qui fonctionne pour nous. Mais toutes les entreprises ne peuvent pas faire cela. Nous utilisons des fournisseurs d’identités chez lesquels nous nous intégrons aux identités qui existent au sein des entreprises de nos clients.
Collaborez-vous beaucoup avec d’autres grandes entreprises technologiques sur les questions majeures de cybersécurité? Ou est-ce exceptionnel et plutôt chacun pour soi?
VAN HORENBEECK: C’est le grand changement que j’ai observé dans le monde de la technologie. J’ai travaillé pour plusieurs très grandes et entreprises technologiques et d’autres plus petites, et tout le monde se rend compte que la sécurité n’est pas quelque chose que l’on fait de manière isolée.
Il va de soi que cela a ses limites. Tout le monde protégera très fortement les informations des clients. Mais échanger des expériences, des problèmes survenus et la façon dont on les gère, oui. Et je pense qu’il y a aujourd’hui une collaboration plus étroite que jamais auparavant. Cela contribue également au développement de nouvelles technologies. Je pense notamment à Shared Signals Framework, une nouvelle technologie visant à rendre l’authentification plus sûre, notamment pour détecter plus rapidement les problèmes d’authentification.
Ces choses ressortent beaucoup plus grâce à la collaboration. La sécurité est pour moi un sport d’équipe, il faut travailler ensemble avec les autres pour réussir. Nos adversaires le font aussi, nous devons donc faire mieux qu’eux.