Présentation :

Dans ce billet de blog, je souhaite partager mon parcours, depuis 35 ans passés à lutter contre les malwares jusqu'à devenir directeur de la conformité et de la sécurité pour une start-up logicielle appelée Massive. J'expliquerai pourquoi j'ai effectué cette transition et comment Massive est le pionnier d'une nouvelle approche de monétisation qui donne la priorité à la confidentialité, à la sécurité et à l'intégrité des utilisateurs. En cours de route, j'espère vous proposer des idées et des idées qui pourraient également vous inspirer.

La transition :

Il y a environ deux ans, un collègue m'a proposé une opportunité intéressante. Une start-up recherchait une personne possédant une solide expérience dans la lutte contre les malwares, mais le problème était que le poste était celui de directeur de la conformité. Au début, j'étais perplexe. Qu'est-ce que la conformité avait à voir avec la protection contre les programmes malveillants ? Au fur et à mesure que j'approfondissais les opérations de l'entreprise, il est devenu évident que Massive se consacrait au développement d'un modèle de monétisation donnant la priorité aux intérêts de sécurité et de confidentialité de ses utilisateurs.

Leur idée était simple mais révolutionnaire. Tout comme le modèle SETI at Home, ils visaient à permettre aux éditeurs de logiciels de subventionner leurs produits en permettant aux utilisateurs de choisir d'utiliser le Massive Software Engine. Le « produit » serait constitué des ressources inutilisées des utilisateurs, et non des utilisateurs eux-mêmes.

Naviguer dans le paysage de la sécurité :

Le paysage des malwares avait évolué pour devenir une industrie axée sur le profit, et le moteur de Massive incorporait des fonctionnalités similaires. La nouvelle approche de Massive en matière de recrutement d'ordinateurs et d'exploitation de leurs ressources inutilisées n'est pas nouvelle. Les botnets font exactement la même chose, ce qui représente un défi de taille. Comment nous différencier des méchants, notamment aux yeux de l'industrie antivirus ? Mon rôle était de m'assurer que nous fonctionnions de manière ouverte, éthique et sécurisée. Cela impliquait de vérifier rigoureusement les partenaires commerciaux et les fonctionnalités du logiciel. Contrairement au stéréotype du responsable de la conformité « M. NON » d'une entreprise, j'ai considéré que mon rôle était de protéger notre réputation.

Collaboration avec le secteur de la lutte contre les programmes malveillants :

L'un de nos premiers défis a été de collaborer avec le secteur de la protection contre les programmes malveillants. De nombreux produits de sécurité hébergés étaient fondamentalement sceptiques quant à la monétisation, la jugeant peu sûre et abusive. Notre première tâche a donc été de dialoguer avec l'industrie, de recueillir son avis et de collaborer avec les ventes et l'ingénierie pour établir de nouvelles normes. Cela comprenait la mise en œuvre de commandes intégrées et l'élimination des limites ajustables par l'utilisateur (limitation de l'utilisation des ressources à une valeur activée ou désactivée) afin de minimiser l'impact sur l'expérience de l'utilisateur final.

Renforcer la sécurité des produits :

Nous avons également porté une attention particulière à la manière et au moment où nous avons affiché les notifications et avons sollicité le consentement des utilisateurs. Nous avons amélioré la sécurité de nos produits en ajoutant des protections contre la copie non autorisée d'entrées de registre et de répertoires de fichiers afin d'empêcher les installations silencieuses sans consentement. Nous avons même dû corriger un distributeur non autorisé qui a associé notre application légitime à un logiciel douteux. Tout au long de ce processus, nous avons collaboré avec App Esteem pour garantir la conformité à leurs normes de certification et faire certifier nos applications.

Le rôle du directeur :

Au cours de mes entretiens, j'ai appris que mon rôle de directeur aurait une ligne pointillée par rapport au PDG, indépendant des ventes, du marketing et de l'ingénierie, avec un droit de veto. Cela a démontré le ferme engagement de l'entreprise en faveur de pratiques éthiques, ce qui était un argument de vente important pour moi.

Les pièges de la monétisation traditionnelle :

En réfléchissant aux méthodes de monétisation traditionnelles telles que les logiciels publicitaires, j'ai constaté leurs insécurités inhérentes. Ces modèles exposaient les utilisateurs à de potentielles publicités malveillantes et à des infections au volant, compromettant ainsi la confidentialité et la sécurité des utilisateurs. Massive avait pour objectif de faire les choses différemment.

L'approche massive de la monétisation :

Pour Massive, la monétisation était en constante évolution. Les services des partenaires ont été rigoureusement contrôlés pour garantir leur légitimité et leur éthique. Nous avons commencé par proposer des services d'extraction et de gestion de cryptomonnaies, mais en raison de contraintes de rentabilité, nous sommes passés à un service de proxy distribué. Pour renforcer la sécurité, nous avons mis en place des limites strictes et filtré l'accès à des catégories de sites Web spécifiques.

Applications diverses :

Notre modèle avait diverses applications, allant de l'intelligence de cybersécurité à la surveillance de l'état du réseau. Nous avons établi des partenariats avec des organisations telles que l'Anti-Malware Testing Standards Organization (AMTSO) pour permettre le scraping de sites Web à des fins de test. Cela nous a permis d'identifier les sites web malveillants et de phishing, de mesurer le délai de détection par les produits Host Security, et bien plus encore.

La puissance d'un superordinateur :

La question qui m'a le plus intriguée était : « Que feriez-vous avec la puissance d'un superordinateur et d'un réseau mondial à votre disposition ? » Ce concept a mis en évidence l'énorme potentiel de l'approche de Massive.

Conclusion :

La transition vers le poste de directrice de la conformité et de la sécurité chez Massive a été une décision facile pour moi. Cela combinait le désir de monétisation de mon développeur, l'aversion de l'utilisateur final pour les publicités intrusives et le besoin de reconnaissance éthique d'un chercheur en sécurité. Le potentiel de cette méthode de monétisation révolutionnaire était clair et je voulais faire partie de l'équipe qui l'a menée à bien.

Dans les prochains articles de blog, j'aborderai des aspects spécifiques du parcours de Massive et j'explorerai les implications plus larges de la monétisation éthique dans l'industrie du logiciel. Restez à l'affût pour plus d'informations et de mises à jour !

‍