Forum
Security Champion : quelle responsabilité
_Ulysse431_
Nombre de posts : 100
Nombre de likes : 24
Inscrit :
6 octobre 2017
Bonjour à Tous,
J'occupe actuellement un poste de Dev Senior car j'aime la technique et je préfère limiter mes responsabilités et le nombre de réunions.
Seulement, voilà que je vais être désigné d'office "Security Champion" au sein de mon équipe agile car je suis le seul Dev interne à l'entreprise, l'autre interne a déjà d'autres responsabilités par ailleurs donc il ne reste que moi, pas beaucoup de doute donc sur l'issue.
Cette responsabilité ne m'intéresse pas pour trois raisons :
1) A mon sens, je n'ai pas le niveau de connaissance requis actuellement dans le domaine, je n'ai jamais fait de mission de sécurité ou de formation ou autre, j'ai concentré ma carrière sur le dev Java, les services web, docker, Kubernetes etc.
2) Le niveau de responsabilité, ce truc ressemble pour moi à une planche pourrie, en cas d'attaque sur une appli gérée par notre équipe, on va me tomber dessus alors que nous avons une équipe sécurité dédiée normalement.
3) Cela va clairement me prendre du temps, générer des réunions, des formations etc alors qu'il y aura toujours autant de demandes en Dev.
Il est assez évident que d'autres sujets de dev seront toujours plus prioritaires et donc le travail que je devrais faire en terme de sécurité passera toujours au second plan, sauf que j'ai peur d'être tenu pour responsable en cas de souci.
Jusqu'où ma responsabilité peut être engagée?
Egalement, si on m'ajoute une responsabilité jurisique supplémentaire alors ma fiche de poste doit être modifiée et mon salaire avec. Comment obtenir ça?
J'occupe actuellement un poste de Dev Senior car j'aime la technique et je préfère limiter mes responsabilités et le nombre de réunions.
Seulement, voilà que je vais être désigné d'office "Security Champion" au sein de mon équipe agile car je suis le seul Dev interne à l'entreprise, l'autre interne a déjà d'autres responsabilités par ailleurs donc il ne reste que moi, pas beaucoup de doute donc sur l'issue.
Cette responsabilité ne m'intéresse pas pour trois raisons :
1) A mon sens, je n'ai pas le niveau de connaissance requis actuellement dans le domaine, je n'ai jamais fait de mission de sécurité ou de formation ou autre, j'ai concentré ma carrière sur le dev Java, les services web, docker, Kubernetes etc.
2) Le niveau de responsabilité, ce truc ressemble pour moi à une planche pourrie, en cas d'attaque sur une appli gérée par notre équipe, on va me tomber dessus alors que nous avons une équipe sécurité dédiée normalement.
3) Cela va clairement me prendre du temps, générer des réunions, des formations etc alors qu'il y aura toujours autant de demandes en Dev.
Il est assez évident que d'autres sujets de dev seront toujours plus prioritaires et donc le travail que je devrais faire en terme de sécurité passera toujours au second plan, sauf que j'ai peur d'être tenu pour responsable en cas de souci.
Jusqu'où ma responsabilité peut être engagée?
Egalement, si on m'ajoute une responsabilité jurisique supplémentaire alors ma fiche de poste doit être modifiée et mon salaire avec. Comment obtenir ça?
- Contacter en MP
Free-Worker-540716
Nombre de posts : 12Nombre de likes : 1Inscrit : 6 juin 2021Bonjour,
Le rôle de Security Champion est assez jeune (de ce que je vois) et pas forcément implémenté de la même manière dans toutes les entreprise. Il intervient généralement en mode DevSecOps et à fortiori dans un contexte agile.
A mon sens, tu es sensé être formé un minimum à la sécurité pour être référent au sein de ton équipe et avoir des contacts dans les équipes RSSI pour escalader les questions de ton équipe. Idéalement, tu devrais connaitre la PSSI de ta boite et les "bonnes pratiques" de DEV.
Tu peux aussi avoir un volet de contribution sur le backlog de ton équipe via des Abuser Stories.
Pour les questions juridiques, tu as clairement intérêt à poser la question avant de prendre la casquette pour pas finir en fusible, mais je ne pense pas que ça soit le but premier de mettre en place le rôle de SC qui est plus à mon sens que les équipe RSSI ont besoin d'appuis au niveau des sachants pour faire monter le niveau de sécurité global de l'entreprise. Après tu peux aussi décider de tracer les écrits pour te protéger à minima (je vous ai posée telle question à telle date, j'ai exercé mon devoir d'alerte).
Pour le côté delivery, clairement c'est du travail en plus que tu auras (solicitations de ton équipe, solicitations RSSI, formations à prévoir, travaux de conformité/remédiation, évolution des pratiques de ton équipe). Après à toi de matérialiser cette nouvelle charge dans ta capacité à produire et de faire baisser les attentes concernant le DEV "pure" sinon ça va te peser et ça risque de te mettre sous l'eau.
Pour l'aspect responsabilité, à toi de bien les mesurer et de les remonter à ton manager. Puis de t'appuyer dessus lors d'une négociation salariale.
Petites questions pour ma culture personnelle :
Quelle est la taille de ta boîte ?
L'équipe RSSI est composée de combien de personnes et suivent combien d'équipes ?
Les premières implémentations de ce rôle remontent à quand dans ton entreprise ?
