Tsahy Shapsa, co-fondateur et co-PDG de Jit – Interviews sur la cybersécurité

Tsahy Shapsa est le co-fondateur et co-PDG de Jit, une plate-forme qui permet de simplifier la sécurité continue, afin que les développeurs puissent créer des applications cloud sécurisées dès la conception dès le jour zéro.

Vous avez été impliqué dans la cybersécurité pendant la majeure partie de votre carrière, qu'est-ce qui vous a initialement attiré dans l'industrie ?

En grandissant, j'ai toujours été attiré par la science-fiction, et c'est le film "WarGames" qui a vraiment éveillé mon imagination sur le rôle que les ordinateurs joueraient dans la sécurité de notre monde. Alors que je regardais le jeune hacker du film tomber par inadvertance dans un cyberconflit à enjeux élevés, je suis devenu captivé par les possibilités et les défis d'un avenir numérique. Plus tard dans la vie, en tant qu'adulte entouré par l'esprit innovateur de la « Startup Nation » d'Israël, j'ai ressenti un fort appel à contribuer à ce domaine passionnant et crucial. Cette inspiration, combinée à mon immigration aux États-Unis, "la terre des opportunités", m'a amené à créer ma première entreprise de cybersécurité. J'ai eu la chance de jouer un rôle dans l'élaboration de l'avenir de la cybersécurité tout en adoptant l'esprit d'entreprise de mes deux pays d'origine - les États-Unis et Israël.

Pourriez-vous partager l'histoire de la genèse derrière Jit?

L'histoire de la genèse de Jit.io a commencé avec moi et mes co-fondateurs identifiant une lacune critique dans le paysage de la cybersécurité. Alors que les équipes d'ingénierie modernes ont rapidement adopté l'approche CI/CD, l'intégration de la cybersécurité a souvent pris du retard, ce qui a entraîné un risque accru de vulnérabilités. Une partie du problème était la pléthore écrasante d'outils de sécurité disponibles, les équipes d'ingénierie devant souvent assembler 15 à 20 outils sur AppSec, CI/CD, Cloud et DAST pour créer une solution de sécurité complète. Chacun de ces outils est venu avec sa propre expérience d'intégration, de gestion et de développement, ce qui a considérablement ralenti la vitesse de développement.

Poussé par la mission de rendre ridiculement facile pour ces équipes d'intégrer la cybersécurité dans leurs pipelines CI/CD, Jit.io est né. Mon équipe a entrepris d'accélérer DevSecOps en organisant méticuleusement les meilleurs outils de sécurité open source au monde et en les regroupant dans une plate-forme unique et unifiée. En offrant un DevX rationalisé, Jit.io permet aux équipes d'ingénierie modernes d'intégrer et de gérer de manière transparente la sécurité de leurs produits, éliminant ainsi le besoin d'intégrations complexes de chaînes d'outils et de processus d'intégration chronophages. Cela garantit que les mesures de sécurité des applications robustes ne sont pas seulement une réflexion après coup, mais un élément essentiel et facilement réalisable du processus de développement.

Cette approche innovante a positionné Jit.io comme un changeur de jeu dans le domaine de la cybersécurité, révolutionnant la façon dont les équipes d'ingénierie s'attaquent au paysage des menaces numériques en constante évolution en simplifiant et en consolidant la mise en œuvre d'outils de sécurité essentiels, augmentant ainsi la vitesse et l'efficacité du développement.

Pour les lecteurs qui ne connaissent pas la terminologie DevSecOps, pourriez-vous nous la définir ?

DevSecOps est la pratique consistant à intégrer la sécurité à chaque étape du processus de développement et de déploiement de logiciels pour les équipes d'ingénierie modernes, en unifiant AppSec, la sécurité CI/CD et la sécurité cloud. Cela permet aux développeurs de posséder la sécurité de leur produit tout comme ils possèdent CI et CD, tout en favorisant la collaboration et le partage des responsabilités entre les équipes de développement, de sécurité et d'exploitation.

Jit permet aux développeurs de s'approprier la sécurité des produits qu'ils créent dès le jour zéro, pourquoi est-il si important de donner la priorité à la sécurité à un stade aussi précoce ?

En utilisant une analogie avec la construction de bâtiments, examinons comment DevSecOps couvre divers aspects du processus de développement logiciel, y compris AppSec (sécurité des applications), CI/CD (intégration continue/déploiement continu), cloud et DAST (test dynamique de la sécurité des applications).

Dans le processus de construction de bâtiments, AppSec revient à garantir que les matériaux de construction et la conception architecturale sont sécurisés et conformes aux normes de sécurité. CI/CD s'apparente à la coordination transparente des activités de construction, permettant un assemblage et une intégration efficaces de différents composants, tels que la plomberie, l'électricité et les systèmes de sécurité. La sécurité du cloud représente l'infrastructure et les services publics prenant en charge le bâtiment, tels que l'approvisionnement en eau, l'électricité et la connectivité Internet. Enfin, DAST est comparable à la réalisation d'inspections et de tests de sécurité réguliers pour identifier et résoudre les vulnérabilités potentielles des systèmes de sécurité du bâtiment.

En intégrant DevSecOps tout au long du cycle de vie du développement logiciel, les organisations peuvent s'assurer que la sécurité fait partie intégrante de chaque étape, de la conception d'un code d'application sécurisé (AppSec) et de l'intégration efficace de mesures de sécurité dans le pipeline CI/CD, à la sécurisation de l'infrastructure cloud et à la conduite continue tests de sécurité dynamiques (DAST). Cette approche holistique permet de créer des applications plus sécurisées et plus fiables et de minimiser les vulnérabilités et les risques de sécurité dans tous les aspects du processus de développement logiciel.

Pourriez-vous décrire en quoi Jit se différencie des autres outils de cybersécurité ?

Jit se différencie des autres outils de cybersécurité en offrant une plate-forme DevSecOps complète et unifiée qui simplifie l'intégration et la gestion de plusieurs outils de sécurité « à gauche » sur AppSec, CI/CD, Cloud et DAST. Cette approche rationalise les opérations de sécurité et l'expérience des développeurs, permettant une collaboration transparente.

En éliminant le besoin d'intégrations complexes de chaînes d'outils et de verrouillage des fournisseurs, Jit permet aux ingénieurs en sécurité des produits et des applications de choisir les meilleures solutions de sécurité adaptées à leurs besoins spécifiques. Cette adaptabilité permet aux équipes de mettre en place des mesures de sécurité robustes tout en maintenant une expérience de développement unifiée et native.

L'accent mis par Jit sur une expérience transparente et cohérente pour les développeurs et les équipes de sécurité permet une surveillance, une analyse et une réponse plus efficaces aux menaces dans tous les aspects du cycle de vie du développement logiciel. En conséquence, Jit accélère la mise en œuvre des meilleures pratiques DevSecOps et promeut une responsabilité partagée de la sécurité dans l'ensemble de l'organisation.

Vous parlez souvent d'éviter le "verrouillage des outils" afin d'avoir une plate-forme DevSecOps à l'épreuve du temps, pourriez-vous décrire ce qu'est le verrouillage des outils et pourquoi c'est un tel problème ?

Dans le contexte de DevSecOps et des fournisseurs de sécurité décalés à gauche, le verrouillage des outils peut être particulièrement problématique pour plusieurs raisons :

1. Portefeuilles de produits médiocres : de nombreux fournisseurs de sécurité à gauche obtiennent initialement du succès grâce à un produit exceptionnel. Cependant, à mesure qu'ils élargissent leurs offres, souvent par le biais d'acquisitions, ils peuvent se retrouver avec un portefeuille de produits médiocres qui ne s'intègrent pas nécessairement bien ou ne fournissent pas les meilleures solutions pour chaque aspect de la sécurité.
2. Tactiques de vente et de marketing : les fournisseurs disposant d'un portefeuille diversifié utilisent souvent diverses tactiques de vente et de marketing pour « forcer » les clients à acheter toute leur gamme de produits. Cette approche empêche les utilisateurs d'avoir la liberté de choisir les meilleures solutions et peut conduire à des résultats de sécurité sous-optimaux.
3. Adaptabilité entravée : le verrouillage des outils limite la capacité d'une organisation à s'adapter à l'évolution des menaces de sécurité ou à tirer parti des avancées technologiques. Lorsqu'ils sont enfermés dans les offres d'un fournisseur spécifique, il devient difficile d'explorer et d'adopter de meilleures solutions de sécurité au fur et à mesure qu'elles deviennent disponibles.
4. Innovation réduite : S'appuyer sur le portefeuille d'un seul fournisseur pour la sécurité peut étouffer l'innovation, car l'organisation peut devenir trop concentrée sur les capacités des outils actuels plutôt que sur la recherche de solutions alternatives potentiellement supérieures.

Pour construire une chaîne d'outils DevSecOps évolutive et éviter les pièges du verrouillage des outils, il est crucial pour les organisations de conserver la flexibilité de choisir les meilleures solutions de sécurité adaptées à leurs besoins. Cette approche permet aux organisations de créer une posture de sécurité plus robuste et efficace, favorisant ainsi l'innovation et l'adaptabilité face à des environnements de sécurité en constante évolution.

Comment Jit crée-t-il une solution unifiée « à guichet unique » qui évite ce problème ?

Jit résout le problème du verrouillage des outils en privilégiant la flexibilité, l'intégration et l'adaptabilité. Voici comment Jit y parvient :

1. Intégration transparente de plusieurs outils : la plate-forme de Jit est conçue pour intégrer les meilleures solutions de sécurité sur AppSec, CI/CD, Cloud et DAST. Cela permet aux organisations de choisir les outils les plus adaptés à leurs besoins spécifiques, tandis que Jit gère les complexités de la gestion et de l'intégration de ces outils disparates dans un système cohérent.
2. Flexibilité et choix : Jit permet aux organisations d'éviter la dépendance vis-à-vis d'un fournisseur en offrant la liberté de sélectionner et de basculer entre différents outils de sécurité au fur et à mesure que leurs besoins évoluent. Cette flexibilité garantit que les organisations peuvent toujours adopter les solutions les plus efficaces pour leurs besoins de sécurité, sans être limitées par le portefeuille d'un seul fournisseur.
3. Expérience unifiée des développeurs et des opérations de sécurité : Jit rationalise l'expérience des développeurs et des opérations de sécurité en fournissant une interface cohérente et conviviale pour la gestion et l'interaction avec divers outils de sécurité. Cette expérience unifiée simplifie le processus d'intégration des pratiques de sécurité dans le cycle de vie du développement logiciel et garantit que les développeurs et les équipes de sécurité peuvent collaborer efficacement.
4. Innovation et adaptabilité continues : en permettant aux organisations de tirer parti des meilleures solutions de sécurité, Jit favorise l'innovation et l'adaptabilité continues. À mesure que de nouveaux outils et technologies de sécurité émergent, la plate-forme de Jit peut facilement s'adapter à ces avancées, garantissant que les organisations ont toujours accès à des solutions de sécurité de pointe.

En offrant une plate-forme unifiée et flexible qui intègre de manière transparente plusieurs outils de sécurité tout en maintenant une expérience cohérente pour les développeurs et les opérations de sécurité, Jit évite efficacement les pièges du verrouillage des outils et permet aux organisations de créer des plates-formes DevSecOps pérennes qui peuvent s'adapter et se développer avec leur évolution des besoins de sécurité

Jit-DevSecOps se décrit comme une approche allégée et itérative pour ajouter de la sécurité « juste à temps ». Pourriez-vous préciser l'importance d'appliquer la sécurité de cette manière ?

Jit-DevSecOps, une approche allégée et itérative pour ajouter de la sécurité « juste à temps », souligne l'importance d'une intégration de la sécurité rapide et efficace. Cette méthode permet une détection et une correction précoces des vulnérabilités, des cycles de développement plus rapides et une collaboration améliorée. L'approche basée sur le changement/delta de Jit se concentre sur la résolution des problèmes de sécurité au fur et à mesure qu'ils surviennent, en veillant à ce que les vulnérabilités les plus critiques soient corrigées en premier. En donnant la priorité à une mentalité fix-first et en s'adaptant à l'évolution des paysages de sécurité, Jit-DevSecOps permet aux organisations de maintenir une sécurité robuste tout en garantissant l'agilité et l'efficacité du processus de développement.

Quelle est votre vision de l'avenir du DevSecOps et de la cybersécurité en général ?

Ma vision de l'avenir du DevSecOps et de la cybersécurité est d'exploiter la puissance des technologies avancées telles que l'intelligence artificielle, l'apprentissage automatique et l'automatisation pour identifier et répondre aux menaces en temps réel. Par exemple, les solutions de sécurité basées sur l'IA peuvent aider à détecter les anomalies et les vulnérabilités potentielles, tandis que la réponse automatisée aux incidents peut aider à contenir et à atténuer les incidents de sécurité.

De plus, nous explorerons les technologies émergentes telles que la blockchain et le cryptage pour améliorer la sécurité et la confidentialité des données. Ces technologies peuvent aider à garantir l'intégrité et la confidentialité des données, et à empêcher l'accès non autorisé ou la falsification.

Dans l'ensemble, ma vision met l'accent sur l'importance de la collaboration, de l'innovation et des mesures proactives pour garder une longueur d'avance sur les menaces émergentes. Et bien sûr, nous nous souviendrons toujours de la règle d'or de la cybersécurité : le seul ordinateur sécurisé est celui qui est débranché, enterré dans le béton et jamais allumé.

Merci pour cette excellente interview, les lecteurs qui souhaitent en savoir plus devraient visiter Jit.