En tant que professionnels de la sécurité, nous ne sommes pas connus pour notre légèreté. Il est vrai que nous luttons souvent contre des incidents graves qui peuvent avoir des conséquences profondes pour l'organisation et nos perspectives de carrière. Mais nos relations avec les autres sont généralement caractérisées par le maintien de l'ordre et l'application de la loi plutôt que par l'engagement et le soutien.
Il faut que cela change. Et cela doit commencer par le RSSI.
Le monde a changé
Pourquoi de nombreux employés n'apprécient-ils pas leurs collègues dans le domaine de la cybersécurité ? Parce que la première et souvent la seule expérience d'interaction avec la sécurité est de se faire dire qu'ils font quelque chose de mal, et que cela demandera du travail supplémentaire pour le résoudre. Ce n'est pas la base d'une relation de travail productive.
Une partie du problème vient du fait que la sécurité fonctionne avec un certain retard par rapport au reste de l'organisation. Les RSSI s'adressent souvent à des spécialistes de l'infrastructure et du réseau qui sont également loin de l'action. Cela rend la sécurité réactive et renforce notre réputation de fonction policière. Lorsque les RSSI adoptent cette position, ils ont tendance à s'appuyer excessivement sur les mauvais processus.
La vérité est que les organisations modernes sont agiles, axées sur les fonctionnalités et les produits. Les choses se font plus rapidement. Il y a plus d'équipes impliquées qui utilisent des outils intuitifs pour soutenir le développement et le déploiement rapides. C'est un monde qui n'est pas contrôlé par les mêmes processus que ceux sur lesquels repose la sécurité.
Venez à la fête
Comment les RSSI peuvent-ils résoudre cette tension ? Tout d’abord, en reconnaissant que ces processus ont évolué, que le DevOps est désormais une réalité et que le monde informatique qui les entoure a radicalement changé. L’époque où les projets monolithiques étaient soumis à la sécurité pour validation est révolue. Les projets sont plus nombreux et plus fluides. Cela exige des responsables de la sécurité qu'ils s'impliquent davantage au quotidien dans la manière dont les équipes développent et livrent leurs produits. Autrefois, la liste des relations professionnelles du RSSI au sein de l'organisation était probablement assez courte, mais ces relations étaient profondes. Le fonctionnement actuel de l'informatique nécessite un éventail de relations beaucoup plus large, avec les équipes de plateformes et les ingénieurs en fiabilité des sites.
Dans ces nouvelles relations, nous devons être des contributeurs et non des gardiens. Les équipes de sécurité travailleront dur pour comprendre comment la sécurité peut apporter une contribution positive à ce que l'entreprise essaie de réaliser, qui va au-delà de la "sécurité". Elles comprendront suffisamment bien les processus d'ingénierie pour offrir les bons outils aux bonnes personnes au bon moment. En fait, ils deviendront plus des vendeurs internes ou des évangélistes de la sécurité que des auditeurs.
Cela nécessitera évidemment un changement d'attitude majeur que de nombreux RSSI et leurs équipes trouveront difficile. Mais nous devons changer. Il s'agit d'établir des relations solides fondées sur la confiance mutuelle et de se présenter avec le sourire. La musique joue, alors arrêtez de vous tenir dans un coin et venez à la fête.
Ce blog a été publié pour la première fois dans The Register.