Allison Miller, RSSI de Reddit, vise une approche proactive de la sécurité

Allison Miller a rejoint le réseau social Reddit, spécialisé dans le partage et la notation de liens, en février 2021, assumant une série de responsabilités, allant de la sécurité et de la confidentialité à la confiance et à la sûreté, qui reflètent l'élargissement du poste de RSSI lui-même - un rôle qu'elle résume comme suit : « empêcher les manigances d'avoir un impact sur une bonne expérience utilisateur ». Comme tous les responsables de la sécurité informatique, Allison Miller supervise la stratégie et les opérations de cybersécurité de cette entreprise qui a maintenant 16 ans. Elle est également chargée de la protection de la vie privée et veille à ce que Reddit protège les données contre les utilisations illicites et les accès non autorisés.

Contrairement à de nombreux autres chefs de la sécurité, Mme Miller est également chargée de la sûreté et dirige les collaborateurs qui contribuent à faire appliquer les politiques de l'entreprise concernant le contenu publié sur ses sites communautaires. Tout cela, précise Mme Miller, relève du domaine de la confiance, une caractéristique dont il est question dans son titre, une reconnaissance inhabituelle de l'élargissement de la portée du travail de sécurité qui se fait aujourd'hui. Allison Miller considère que le renforcement de la confiance est au cœur de ses fonctions, qu'il détermine la manière dont elle dirige son équipe et l'impact qu'elle peut avoir sur l'entreprise elle-même lorsqu'elle élabore une stratégie. « Je veux définir une vision inspirante pour l'équipe et raconter une histoire sur ce que l'organisation de confiance essaie d'accomplir en termes de résultats et de valeur pour Reddit et ses utilisateurs », poursuit-elle.

Un historique cyber fort

Forte de près de 25 ans d'expérience dans le domaine de la cybersécurité, elle avait passé une grande partie de son mandat dans la profession à faire évoluer les équipes et la technologie. Elle a été l'une des premières à développer des systèmes de prévention et de détection des risques en temps réel à l'échelle de l'internet et a dirigé des initiatives visant à renforcer les défenses des principaux systèmes de paiement et de commerce électronique. Mme Miller travaillait auparavant pour la Bank of America, d'abord en tant que vice-présidente directrice de l'ingénierie, où elle a mis au point les technologies de cybersécurité utilisées pour protéger la société, puis en tant que vice-présidente directrice de la stratégie et de la conception technologiques, où elle a dirigé une équipe chargée de remanier la pile technologique défensive.

Aujourd'hui, en tant que responsable des équipes de sécurité de Reddit, elle est chargée de développer les opérations de confiance et de sécurité, de garantir la sécurité des données et de faire évoluer les programmes de l'entreprise pour atténuer les risques. Elle est également chargée de redéfinir les cadres de confiance et les efforts de transparence de Reddit, qui ont tous deux été identifiés comme des facteurs de croissance sur la plateforme. Elle est arrivée chez Reddit prête à se lancer dans le sprint. « Ma première priorité, comme c'est le cas dans toutes les entreprises que j’ai rejoint, était d'acquérir une connaissance de la situation, de comprendre ce qui se passe, mais ici, j'ai été jetée au cœur de l'action », dit-elle, admettant qu'elle aurait aimé avoir plus de temps pour une visite d'écoute.

Une gestion proactive des risques

« L'entreprise grandit et évolue si vite, il y avait déjà tellement de choses qui se passaient, j'ai porté mon attention sur le fait de m'assurer que l'équipe était prête à réussir. Je voulais m'assurer que l'équipe fonctionnait vraiment comme une équipe et qu'elle avait une culture de collaboration et de travail efficace ensemble et de manière transversale ». En ce qui concerne les priorités pour l'avenir, Allison Miller veut se baser sur le principe de « shift-left » qui consiste à donner aux développeurs les moyens d'intégrer la sécurité dans le cycle de développement le plus tôt possible et en « investissant plus d'énergie en amont du boom, avant que quelque chose de grave ne se produise ». Selon elle, « il est nettement préférable de trouver des vulnérabilités dans votre code et de traiter un problème de sécurité dans la conception avant le lancement ».

Elle veut par ailleurs exploiter davantage la télémétrie et construire des défenses plus axées sur les données pour construire une approche plus proactive de la sécurité. « Être capable de prévenir et de protéger, plutôt que d'avoir tous ses œufs dans la détection et la réponse, a toujours été un moteur dans ma façon d'aborder la sécurité », ajoute Mme Miller. Cependant, elle affirme que le recrutement des talents nécessaires à la mise en œuvre de sa vision reste un défi. Comme beaucoup d'autres RSSI, elle a du mal à trouver des talents qualifiés et les bons spécialistes pour développer son équipe aussi rapidement qu'elle le souhaite. Parallèlement, elle explique que la visibilité de Reddit peut créer des défis de sécurité supplémentaires qu'il faut anticiper et contrer, car l'entreprise peut être ciblée d'une manière qui diffère d’autres attaques subies par des entreprises moins importantes. « Cela signifie qu'il y a plus d'angles sur lesquels nous devons garder les yeux ouverts », déclare Mme Miller.

L’ouverture d’esprit et la transparence comme mots d’ordre

Malgré ces défis, Allison Miller souligne que l'intégrité de l'entreprise et de sa plateforme est primordiale. À cette fin, Reddit a renforcé le personnel de son département de sécurité et a redoublé d'efforts en ce qui concerne les principes fondamentaux de la cybersécurité. Dans le même temps, et à la manière de Reddit, elle poursuit la tradition d'ouverture d’esprit de l'entreprise. Elle et son équipe partagent des informations sur leurs pratiques, leurs développements et leurs découvertes avec le secteur de la sécurité et au sein de sa propre communauté en ligne (r/redditsecurity).

« Reddit est une communauté de communautés, donc partager ce qui façonne nos valeurs, comment nous agissons en accord avec nos valeurs [fait partie de notre culture] », précise-t-elle, notant que Reddit publie également des rapports trimestriels sur la sûreté et la sécurité et dispose d'un programme public de bug bounty. Selon cette RSSI, la transparence est essentielle pour établir la confiance avec les clients. « Ce qui est vrai chez Reddit et peut-être unique, c'est le niveau de transparence que nous offrons à nos clients, parce que nous voulons que ce soit le meilleur endroit pour que les gens trouvent d'autres personnes partageant les mêmes idées ».

Pousser à plus de partage dans le milieu cyber

« Nous devons donc construire et renforcer nos relations avec nos utilisateurs et nos clients et clarifier ce qui se passe en coulisses pour qu'ils aient envie de faire partie d'une communauté et de partager des choses de leur plein gré ». C'est également un facteur de différenciation, ajoute-t-elle, faisant de la transparence un élément essentiel de son travail - au même titre que la sécurité et la confidentialité. « La sécurité est transparente et la vie privée est dans notre ADN », explique-t-elle, citant en exemple le système de Reddit qui permet aux utilisateurs de partager sélectivement des informations les concernant. « Nous pensons que c'est un avantage ».

La passion de Miller pour la transparence ne se limite pas à Reddit. Elle plaide pour plus de partage au sein de la profession de la cybersécurité dans son ensemble et est active auprès de divers groupes, ayant joué un rôle consultatif et de conseil d'administration pour des organisations telles que le Center for Cyber Safety and Education, ISC(2) et la Society of Information Risk Analysts (SIRA). « Il est utile, lorsque vous êtes à un niveau exécutif, d'être connecté à d'autres dirigeants, ajoute-t-elle, car nous sommes confrontés à des problèmes et à des adversaires communs ».