août 24, 2020

Les défis actuels de la cybersécurité exigent des professionnels qui comprennent ce qu’ils protègent, et pourquoi

Myrna Soto

L’industrie de la cybersécurité et ses praticiens ont toujours fait preuve d’un grand savoir-faire technique et se sont focalisés sur les outils et les solutions technologiques. Cela fonctionnait efficacement lorsque toute l’entreprise, toutes ses données et tous ses employés étaient logés en toute sécurité dans un bureau et sur le réseau de l’entreprise, et qu’il n’était pas aussi nécessaire d’évaluer et d’équilibrer les risques. Cependant, ce paradigme commençait déjà à changer avant 2020, avec la transformation numérique, et la crise de la COVID-19 l’a aujourd’hui fait disparaître.

Pour la première fois dans l’histoire du travail moderne, les RSI ne peuvent plus opérer dans le cadre des contrôles stricts de leur programme de sécurité. Le travail à distance, très répandu, a introduit les risques de sécurité non gérés de l’environnement de travail à domicile. Dans le même temps, les agresseurs multiplient les activités malveillantes : les attaques de phishing ont augmenté de plus de 667 % au cours du premier semestre de cette année. Aujourd’hui, le coût d’un incident de compromission des données peut être astronomique pour les entreprises –3,92 millions de dollars US en moyenne. Pour les entreprises, ce coût peut varier en fonction de la rapidité avec laquelle la brèche est découverte et les mesures palliatives sont prises. Et ce coût comprend non seulement des amendes importantes, mais aussi des pertes de revenus, une détérioration de l’image de marque et de la confiance, et la perte de propriétés intellectuelles qui peuvent avoir un impact irrévocable sur l’avantage concurrentiel d’une entreprise.

Tout cela fait qu'il est désormais très important que les spécialistes de la cybersécurité de votre entreprise comprennent bien le fonctionnement de votre entreprise pour qu'ils puissent la protéger le mieux possible. La récente enquête menée par Forcepoint et le Wall Street Journal auprès des RSI, le rapport C-Suite : L’état actuel et futur de la cybersécurité souligne ce point : 63 % des leaders en cybersécurité indiquent que l’absence de vocabulaire commun entre les PDG et les RSI peut rendre difficile l’identification des principales priorités de l’organisation, et 53 % déclarent que cela rend les décisions techniques plus difficiles. L'enquête révèle également que deux fois plus d’entreprises de premier plan indiquent que leur conseil d’administration reconnaît que la cybersécurité est essentielle et s’y engage pleinement, dans le cadre d’une stratégie commerciale clé.

En tant que RSI de Comcast, j’ai vu les opportunités offertes par une stratégie de sécurité plus connectée et intégrée dans l’entreprise. J’ai donc créé un nouveau rôle de responsable de la sécurité de l’information commerciale (RSIC). Les professionnels de la sécurité ayant ce rôle ont développé des relations avec les responsables des unités commerciales afin de mieux comprendre les objectifs de l’unité commerciale, et ce qu’elle devrait protéger et réaliser pour réussir.

Nos RSIC devaient non seulement connaître les dernières menaces et technologies en matière de cybersécurité, mais aussi être de bons communicants et être capables d’acquérir rapidement de nouvelles connaissances. Bien qu’ils n'aient pas reçu une telle formation lors de leur prise de poste, ils se sont rapidement familiarisés avec les principes et la terminologie utilisés dans notre activité. J’ai accéléré cet apprentissage en les intégrant dans les unités opérationnelles pour effectuer des « tournées opérationnelles » de plusieurs mois. Je leur ai également offert des possibilités telles qu’une formation complémentaire pour les aider à développer leur sens des affaires. Cela a profité, non seulement à l’entreprise, mais aussi à l’évolution de la carrière des individus. Tout cela a contribué à leur ouvrir les yeux sur les besoins et les perspectives des entreprises et à en faire des employés et des cadres plus polyvalents. Les avantages découlant de ces cations sont également précieux : des travailleurs techniquement compétents peuvent être temporairement affectés à l’organisation de la sécurité afin d’élargir leurs perspectives et leurs connaissances. La pollinisation croisée à tous les niveaux accroît la compréhension et aide la sécurité à mieux comprendre les enjeux.

Je suis ravi de poursuivre cette approche pour cultiver les compétences opérationnelles au sein des équipes de sécurité de Forcepoint, qui ont des engagements interfonctionnels similaires. Les meilleurs responsables de la sécurité que je connaisse ont travaillé dans des rôles opérationnels, en dirigeant des équipes responsables de l’activité tout en gardant en ligne de mire les pertes et profits. Je pense que c’est parce qu’ils ont une idée de la raison pour laquelle nous sécurisons l’entreprise. En d’autres termes, ils comprennent les objectifs de l’entreprise. Car si vous ne comprenez pas ce que vous sécurisez dans votre corps de métier, comment pouvez-vous faire une analyse correcte fondée sur le risque ? C’est ce besoin de compréhension profonde qui motive notre action.

À propos de Forcepoint

Forcepoint est une entreprise leader en cybersécurité pour la protection des utilisateurs et des données. Son objectif est de protéger les entreprises tout en stimulant la transformation et la croissance numériques. Nos solutions s’adaptent en temps réel à la façon dont les personnes interagissent avec les données, et offrent un accès sécurisé tout en permettant aux employés de créer de la valeur.

Myrna Soto

Myrna Soto is the Chief Strategy and Trust Officer for Forcepoint. A strategic business and technology leader, Soto drives and champions the company’s enterprise vision, strategy and programs to protect people, critical data and IP both within the company and for thousands of Forcepoint...

Read more articles by Myrna Soto