Par Claire Loffler, Security Engineer, chez Vectra AI
Dans le monde entier, le confinement a agi comme l'équivalent social de la privation sensorielle pour faire immerger de nouvelles tendances. Les gens ont réexaminé leur compassion, ce qui s'est traduit par des enquêtes et par un regain d'intérêt pour les critères environnementaux, sociaux et de gouvernance. En bref, que ce soit pour eux-mêmes ou pour les autres, les gens ont commencé à penser davantage aux personnes.
Cela s'étend aux acteurs économiques. Aujourd'hui, à tous les postes, nous constatons qu'une plus grande importance est accordée à l'expérience de l'employé. Il faut donner aux professionnels les outils dont ils ont besoin pour être productifs, inspirés, stimulés et satisfaits. Tout cadre RH sait que vous devez aller plus loin. Tous les aspects de la vie professionnelle et privée de l'employé doivent être pris en compte. La direction, à tous les niveaux, doit permettre et contrôler le nouveau concept de « se donner à fond au travail ». Les conflits interdépartementaux doivent être traités avec calme et attention. Et l'un de ces conflits séculaires qui revient au premier plan dans le nouveau lieu de travail hybride est celui qui oppose les professionnels de la cybersécurité aux autres.
Dans le contexte du domaine numérique et de ses données sensibles et charges de travail critiques, les professionnels de la sécurité sont à la fois des policiers, des espions, des pompiers et des médecins. Mais pour leurs collègues, ils sont rarement considérés comme des héros. Pour de nombreux professionnels de la sécurité, un talent vital que les entreprises numériques doivent apprendre à attirer et à retenir. Aujourd’hui, on ne les remarque souvent que lorsqu'un incident indésirable se produit ou lorsqu'ils tentent d'éduquer leurs collègues sur les bonnes pratiques. Ironiquement, d'autres ont tendance à les rendre responsables des incidents qu'ils tentaient d'éviter en préconisant les bonnes pratiques.
Productivité contre risque
La triste vérité est que les bonnes pratiques de sécurité peuvent être gênantes pour une personne dont le rôle n'inclut pas la gestion des risques. Leur productivité rendue possible par les données et les charges de travail que les cyber-professionnels s'engagent à protéger doit passer avant tout. Ils prennent donc des raccourcis ou ignorent les conseils, ce qui conduit à de nouvelles confrontations. Il est temps de changer d’habitudes grâce aux RSSI. Leur rôle dans ce nouvel environnement informatique complexe et rapide doit être de s'engager et de soutenir plutôt que de faire la police et d'appliquer la loi. L'ensemble des technologies a changé. Les employés, où qu'ils travaillent, doivent s'habituer à fournir leur production de manière efficace et fiable dans un environnement de travail qui ne leur est pas familier. Lorsque les membres de l'équipe de sécurité leur disent qu'ils font quelque chose de mal, ils ont tendance à ne pas être d'accord.
C'est cet état d'esprit que le RSSI et son équipe doivent surmonter. Aujourd'hui, c'est par la capacité à produire rapidement des améliorations successives des expériences numériques que les équipes DevOps prouvent leur valeur. Mais les équipes de sécurité peuvent s'inquiéter du manque de gouvernance dans le processus de développement, ce qui entraîne des conflits.
"Rapidement, rapidement" ou "doucement, doucement" ?
La transition est difficile. Les équipes de sécurité sont formées pour réagir au risque. Et si elles déterminent qu'un collègue est la source de ce risque, leur instinct les poussera à faire des commentaires, que ce soit en face à face ou par e-mail. L'agilité est importante pour l'entreprise numérique moderne. La menace de la perdre peut être aussi existentielle que celle d'une attaque par ransomware. Les équipes DevOps et les autres départements doivent travailler rapidement pour mettre sur le marché la prochaine grande nouveauté.
Cette rapidité contraste fortement avec les méthodes lentes et constantes des spécialistes de la cybersécurité. Cependant, les RSSI doivent reconnaître que les temps ont changé. DevOps n'est pas l'avenir - il s'agit ni plus ni moins d'un dogme établi pour l'entreprise numérique. Il n'est pas pratique d'obtenir l'aval de la sécurité sur chaque projet avant qu'il ne soit déployé dans la nature. D'abord, il y a souvent trop de projets et trop peu de professionnels de la sécurité dans une organisation pour le permettre. Ensuite, le processus de développement moderne est si fluide que chaque analyste de la sécurité devrait presque travailler à plein temps à l'approbation des demandes de changement pour une poignée de solutions seulement.
La meilleure façon de surmonter ce problème est d'impliquer davantage les analystes de sécurité au quotidien dans les méthodes utilisées par les équipes DevOps pour construire et expédier, afin que DevOps devienne plus autonome en ce qui concerne la mise en œuvre des bonnes pratiques de sécurité. Le RSSI doit établir de nouvelles relations où les membres de son équipe deviennent des contributeurs plutôt que des gardiens - en allant au-delà de leur mission principale pour devenir des facilitateurs de productivité et d'innovation au sein des expériences numériques elles-mêmes et en donnant aux bonnes personnes les bons outils au bon moment.
Tous les secteurs d'activité ont pris conscience de la nécessité de changer les mentalités avant de se tourner vers nos capacités numériques. Ce sera un défi pour les responsables des systèmes d'information et leurs équipes, ancrés qu'ils sont dans la méthodologie et les processus de détection des risques. Mais s'ils donnaient plutôt la priorité à l'établissement de relations solides, ils pourraient trouver beaucoup plus d’opportunités assurer la sécurité promise.