En tant que professionnels de la sécurité, nous ne sommes pas connus pour notre légèreté. Il est vrai que nous luttons souvent contre des incidents graves qui peuvent avoir des conséquences profondes pour l'organisation et nos perspectives de carrière. Mais nos relations avec les autres sont généralement caractérisées par le maintien de l'ordre et l'application de la loi plutôt que par l'engagement et le soutien.
Il faut que cela change. Et cela doit commencer par le RSSI.
Le monde a changé
Pourquoi de nombreux employés n'apprécient-ils pas leurs collègues dans le domaine de la cybersécurité ? Parce que la première et souvent la seule expérience d'interaction avec la sécurité est de se faire dire qu'ils font quelque chose de mal, et que cela demandera du travail supplémentaire pour le résoudre. Ce n'est pas la base d'une relation de travail productive.
Une partie du problème vient du fait que la sécurité fonctionne avec un certain retard par rapport au reste de l'organisation. Les RSSI s'adressent souvent à des spécialistes de l'infrastructure et du réseau qui sont également loin de l'action. Cela rend la sécurité réactive et renforce notre réputation de fonction policière. Lorsque les RSSI adoptent cette position, ils ont tendance à s'appuyer excessivement sur les mauvais processus.
La vérité est que les organisations modernes sont agiles, axées sur les fonctionnalités et les produits. Les choses se font plus rapidement. Il y a plus d'équipes impliquées qui utilisent des outils intuitifs pour soutenir le développement et le déploiement rapides. C'est un monde qui n'est pas contrôlé par les mêmes processus que ceux sur lesquels repose la sécurité.
Venez à la fête
Comment les RSSI peuvent-ils résoudre cette tension ? Tout d'abord, en reconnaissant que ces processus ont changé, que DevOps est là et que le monde informatique qui les entoure est désormais fondamentalement différent. L'époque des projets monolithiques soumis à la sécurité pour approbation est révolue. Les projets sont plus nombreux et plus fluides. Les responsables de la sécurité doivent donc s'impliquer davantage au quotidien dans la manière dont les équipes construisent et livrent. Dans le passé, la liste des relations professionnelles du RSSI au sein de l'organisation était probablement assez courte, mais ces relations étaient profondes. La façon dont l'informatique fonctionne aujourd'hui exige une liste de relations beaucoup plus large, avec les équipes de la plateforme et les ingénieurs de fiabilité du site.
Dans ces nouvelles relations, nous devons être des contributeurs et non des gardiens. Les équipes de sécurité travailleront dur pour comprendre comment la sécurité peut apporter une contribution positive à ce que l'entreprise essaie de réaliser, qui va au-delà de la "sécurité". Elles comprendront suffisamment bien les processus d'ingénierie pour offrir les bons outils aux bonnes personnes au bon moment. En fait, ils deviendront plus des vendeurs internes ou des évangélistes de la sécurité que des auditeurs.
Cela nécessitera évidemment un changement d'attitude majeur que de nombreux RSSI et leurs équipes trouveront difficile. Mais nous devons changer. Il s'agit d'établir des relations solides fondées sur la confiance mutuelle et de se présenter avec le sourire. La musique joue, alors arrêtez de vous tenir dans un coin et venez à la fête.
Ce blog a été publié pour la première fois dans The Register.