Peux-tu te présenter rapidement ? Parle-nous de ton parcours.
Je m’appelle Ndeye Codou Baka Diop, souvent appelé uniquement Baka DIOP que j’ai hérité de mon père Baka DIOP, ingénieur électromécanicien qui a fait son stage à EDF, dirigeait les grands travaux à la SENELEC (Sénégal) et maintenant consultant en énergie.
Je suis actuellement Tech Leader sur la Sécurité Applicative chez Squad et une geekette.
Je suis issue d’un parcours un peu spécial : après mon BAC S, j’ai été accepté en Faculté de médecine de Cheikh Anta Diop mais mon rêve a toujours été d’innover, de construire de nouvelles choses et je me suis vite rendu compte que je serai une bonne chirurgienne…ailleurs que sur des patients, c’est-à-dire en réparant le système informatique.
Dès mon jeune âge, je faisais de la maintenance informatique et en été, quand d’autres partaient en vacances, je faisais des jobs d’été en maintenance informatique. En même temps que mes études mathématiques appliquées à l’université de Tlemcen, je faisais également des formations en développement logiciel à l’école de formation Protech. Ensuite, j’ai fait un Master en Smart Aerospace and Autonomous Systems à l’université Paris Saclay avec un stage Erasmus en Pologne. Et finalement, je l’ai complété avec mon Mastère (BAC+6) à L’ESIEA spécialisé en sécurité des informations et des systèmes (MSSIS) labelisé SecNumEdu.
J’ai été très rapidement attirée vers certains modules comme l’analyse de risques, la Revue de code, les Pentest etc. A la fin de mon Mastère, j’ai commencé à enchainer mes missions sur la sécurité applicative notamment sur la mise en place de la « Security by Design » chez des clients. J’ai eu à faire également de nombreuses certifications et formations notamment l’ISO27001, PCIDSS et le RGPD.
Pourquoi avoir choisi Squad ?
A la fin de mon stage chez Orange, j’ai été mise en contact par mon N+2 avec Squad par le biais de Magaly Provost. Squad avait une excellente réputation. Dès l’accueil convivial de Magaly chez Squad, je me suis sentie très vite chez moi. J’ai eu à mener des challenges tout aussi captivant qu’éducateur, qui m’ont fait monter en compétences sur mon expertise.
C’est une boîte qui te donne la possibilité de grandir, d’évoluer, j’ai pu vite prouver mes capacités avec beaucoup d’autonomie. D’ailleurs, je dirige une communauté CATS (Communauté d’Automatisation des Tests de Sécurité) qui s’occupe de la sécurité applicative. En tant que membre OWASP, j’ai participé dernièrement à la conférence OWASP à Amsterdam où j’ai représenté Squad. J’anime ce 08 Octobre à l’occasion de la journée ADALOVELACE, une session sur la « Security by design » lors de la 3eme édition du « Sophia Security Camp » à Sophia Antipolis.
Mon objectif pendant cette conférence sera de présenter 3 cas pratiques pour faire un réveil aux consciences des participants sur l’importance de la Sécurité Applicative notamment la sécurité dès sa conception (SBD).
Y avait-il beaucoup de femmes dans ta promotion ?
Nous étions deux. Lors de ma participation à la conférence OWASP, j’avais constaté cette rareté. Il n’y avait que quelques dizaines de femmes pour environ 500 personnes.
Pour moi, les métiers de l’IT sont des métiers comme d’autres. On voit naturellement des infirmiers, des sages-femmes hommes etc… Pourquoi la cybersécurité devrait-elle être un mythe pour les femmes ? Le seul prérequis est d’être passionné. Il faut aimer, être passionnée, être curieux, creuser, fouiller… mais pour moi c’est une passion et un métier exigeant et rigoureux. Les femmes y ont autant de place que les hommes.
Les métiers de la sécurité sont des métiers prometteurs et plus encore, la Sécurité Applicative. Car il y’a une rareté d’expert et pourtant c’est un métier d’avenir qui englobe de nombreuses expertises. Avec ces lots de surprises et de rigueur, tous les jours !
Parle-nous de la Sécurité Applicative...
La Sécurité Applicative est la mise en œuvre des contrôles et mesures de sécurité afin d’assurer un niveau de sécurité acceptable à tout l’écosystème applicatif : l’application en elle-même, son serveur, ses composants, sa configuration, ses processus, ses utilisateurs et ses acteurs. En cela, il faut avoir une certaine expertise.
La SecApp n’est pas limitée aux tests d’intrusions applicatifs et à l’audit de code, elle englobe des compétences en code, en cryptographie, en IAM, en réseaux, en gouvernance, .... C’est très vaste et à la croisée de chemins de nombreux métiers.
Les experts en Sécurité Applicative comme moi doivent être capables de vite monter en compétences sur de nombreux modules et être en mesure de parler avec les personnes, qu’elles soient techniques, fonctionnelles, opérationnelles ou organisationnelles ou mêmes à des enfants et des personnes âgées.
En cela, nous sommes de vrais évangélistes. Toutes les entreprises doivent aujourd’hui intégrer la sécurité et c’est notre rôle de les accompagner.
C’est quoi ta définition du DevOps ?
Pour moi le DevOps est avant tout une culture. Jusqu’à un certain stade, les Développeurs étaient d’un côté et les Ops de l’autre. On a vu les limites de ce modèle. En Agilité et en travaillant ensemble, le Dev faisait un peu d’Ops et inversement, il n’est plus seul et cloisonné dans son activité à produire exclusivement du développement : il doit prendre en compte les opérations dans un flux de travail permanent. En cela le DevOps est une culture pour plus de réactivités et de meilleurs résultats.
En 1990, nous avions moins d’une dizaine de sites contre des milliards aujourd’hui, on n’anticipait pas à ce point l’essor de l’IT. Bien qu’il y ait aujourd’hui des structures qui s’adaptent plus vite que d’autres (ces dernières étant assez conservatrices), le DevOps ou même le DevSecOps sont des philosophies qui existaient déjà en filigrane. Selon la stratégie et la prise en compte des cycles courts qu’exigent le marché, les entreprises n’ont plus tellement le choix et doivent intégrer ce type d’approche. Si on veut un produit qui marche bien, dans un univers très concurrentiel et garder le lead, la fiabilité et la notoriété, il faut garantir la sécurité aux consommateurs ou clients. La sécurité est un gage de confiance et pour y parvenir on est contraint d’adhérer une culture DevSecOps.
… et le DevSecOps ?
Pour moi, le Sec du DevOps a toujours existé, il était uniquement mis de côté dans la culture et la stratégie de l’entreprise. Maintenant que la brèche applicative a causé d’énormes dégâts au sein des entreprises, il a fallu repenser le système mis en place. Pour des enjeux de portefeuille client, de réputation et de confiance des utilisateurs, ainsi que les exigences et lois sur la liberté et la vie privée, le Sec a de plus en plus pris d’ampleur et est devenu crucial au DevOps.
A mesure que des évangélistes comme moi, force de propositions, émergent, ces cultures s’intègrent de plus en plus dans tous les secteurs de l’IT.
Comment on en arrive à être experte en Security by Design ?
La Security by Design est un modèle en soi. Quand l’absence de Sécurité Applicative peut faire perdre des millions d’Euros à une entreprise, on comprend que la Sécurité est fondamentale. Plus encore, on se rend compte de la complexité engendrée par une sécurisation après la phase de production. Cela mène souvent une application à retourner en développement… L’idéal exige que la sécurité soit intégrée dès la conception de toute application. C’est pourquoi on parle de Security by Design. Il s’agit d’implémenter la Sécurité en amont du projet, et pendant toutes les phases : prérequis, design, préproduction, production. La sécurité est pensée dès la phase de cadrage de l’application et maintenue tout au long de son existence. Chaque intervenant et acteur impliqués doivent intégrer cette culture de DevSecOps.