Les cartes de bingo de nombreux responsables des technologies et des risques n'ont pas commencé l'année avec une case ouverte pour une autre compromission de la chaîne d'approvisionnement - sans parler d'une compromission dont l'impact potentiel est supérieur à celui de SolarWinds. Et pourtant, nous voici, avec la poussière de la porte dérobée XZUtils suffisamment loin dans le rétroviseur pour que nous ayons dépassé le stade de la lutte contre l'incendie. Mais les ramifications sont encore suffisamment proches à l'esprit pour nous offrir une bonne occasion de réflexion.
Plus précisément, cela signifie une réflexion sur l'un des principaux facteurs contribuant à tant de nos nuits blanches : notre peur collective de l'inconnu. Dans la gestion des risques de sécurité de l'entreprise (ESRM), ce sont les risques inconnus qui vous feront sombrer.
Pourquoi ? Parce que les risques inconnus ne sont généralement pas gérés et ne sont donc pas traités efficacement. Au mieux, et en petites quantités, ils sont transférés de manière inefficace par le biais de l'assurance. Au pire, entre les mains des acteurs motivés et destructeurs d'aujourd'hui, ils deviennent la matière première des gros titres et des informations du soir.
Quelles leçons pouvons-nous tirer pour la gestion de la sécurité des risques de l'entreprise ?
Lorsqu'un ingénieur motivé de Microsoft, Andres Freund, a dépanné ce qui pouvait sembler au départ un problème de performance bénin, il a fini par s'enfoncer dans un trou de lapin de sécurité suffisamment profond pour mettre à jour un véritable gâchis. Il a finalement déjoué les plans d'un acteur malveillant doté de la planification stratégique à long terme d'un État-nation, évitant ainsi bien des ennuis à un grand nombre de personnes.
Ce fait est remarquable, d'une part, parce qu'aucun effort formel de prévention ou de conformité n'aurait permis d'atténuer ce risque et, d'autre part, parce que la victoire s'est produite en dehors d'un programme ou d'une hiérarchie de sécurité formelle. Cet exemple illustre deux facteurs culturels qui devraient être encouragés par tout dirigeant soucieux de gérer les risques inconnus : la curiosité et la collaboration : La curiosité et la collaboration.
Pourquoi ces valeurs culturelles sont-elles si efficaces pour gérer les risques inconnus ? La réponse à cette question est illustrée par une analogie.
Gérer les icebergs et les récifs inexplorés des risques inconnus
En réalité, les risques inconnus prennent généralement l'une des deux formes suivantes. Dans le premier cas, ils imitent les risques identifiés mais se cachent principalement sous la ligne de flottaison des mesures de découverte de routine, comme des icebergs. Dans la seconde, les récifs non répertoriés, ils sont entièrement sous l'eau et uniques à un aspect de l'entreprise - mais pas entièrement étrangers à la connaissance collective et distribuée du domaine, à l'expertise et à l'expérience de la main-d'œuvre.
Des deux, les icebergs sont les plus simples à conceptualiser car beaucoup d'entre nous reconnaissent dans leur entreprise des modèles de risques bien compris, mais insaisissables - ceux dont nous savons qu'ils sont présents mais non découverts. Bien que la plupart de ces risques soient sous la surface, nous avons l'avantage de pouvoir découvrir des signes révélateurs - si vous savez où (et comment et quand) regarder. Pour aborder ces risques de manière culturelle, il faut repenser les processus de prise de décision habituels. Il faut reconnaître les limites des listes de contrôle traditionnelles, de la recherche de vulnérabilités et des tests de pénétration. Bien que ces principes de gestion des risques établis et acceptés à l'échelle mondiale soient précieux pour offrir un plancher de risque fiable, ils ne doivent jamais être confondus avec la couverture du plafond.
Une culture qui privilégie la curiosité ne se contente pas d'explorer un problème bien défini à un rythme annuel. Au contraire, l'équipe évalue en permanence les décisions en matière de gestion des risques, remet en question les hypothèses et choisit parfois de sortir des sentiers battus. Concrètement, ces cultures se concentrent sur l'amélioration continue pour une gestion des risques plus holistique. Elles combinent les outils et l'intuition humaine pour tester et valider l'ensemble de la chaîne des activités de protection, de détection, de réponse et de récupération. En encourageant la collaboration, vous incitez les gens à découvrir les icebergs du risque en s'informant, en enquêtant et en chassant au-delà des contraintes habituelles.
Quant aux récifs non répertoriés, ils représentent une catégorie de risques qui se situent entièrement sous la ligne de flottaison. Bien que ces problèmes ne se conforment pas aux listes de contrôle, aux cadres ou aux soi-disant meilleures pratiques, ils sont souvent compris à un niveau collectif et instinctif par l'ensemble du personnel. Comment s'en étonner alors que la nature de ce risque est elle-même un sous-produit des facteurs globaux de l'entreprise ? Par exemple, les combinaisons de votre chaîne d'approvisionnement, de votre modèle d'entreprise, de vos piles technologiques internes et de la prévalence de facteurs tels que l'informatique fantôme sont toutes capables d'avoir un impact sur les risques de l'entreprise de manière complexe et interconnectée.
Il est souvent impossible d'anticiper toutes les implications de ces facteurs complexes depuis le sommet, en particulier dans les entreprises où les silos, les fiefs politiques et l'isolement organisationnel sont monnaie courante. Là encore, la curiosité et la collaboration en tant que valeurs culturelles sont bénéfiques car elles encouragent le franchissement de ces frontières culturelles, donnant à votre personnel une véritable chance d'identifier et de hiérarchiser les risques grâce à leur expertise, leurs connaissances et leur expérience collectives dans le domaine. C'est ainsi que les organisations performantes rassemblent, identifient et atténuent les risques bien avant que des dommages ne soient causés.
En pratique, cette approche reconnaît que si la gestion centralisée des risques est nécessaire, elle n'est pas suffisante pour tous les cas d'utilisation. Après tout, le risque lui-même est réparti au sein de l'organisation. Si les efforts formels tels que les programmes de champions de la sécurité ou la sensibilisation et la formation sont précieux, ils ne supplantent pas l'importance des lignes ouvertes de communication et d'accès. Il est essentiel de favoriser des relations fructueuses pour découvrir et gérer ces risques.
Pour renforcer vos défenses, concentrez-vous sur la culture
Oui, la gestion des risques inconnus ne se résume pas à des efforts culturels - les personnes, les processus et la technologie jouent tous un rôle. Mais sans soutien culturel, même les meilleurs éléments auront encore un long chemin à parcourir. C'est pourquoi il est essentiel de créer une culture ambitieuse. Elle constitue non seulement la base de votre agilité face aux menaces modernes, mais elle vous permet également d'exploiter tout le potentiel de votre personnel. Une fois cette base posée, vous serez en mesure de maximiser l'habilitation et l'outillage.
La culture est essentielle - les pratiques de sécurité de votre organisation en dépendent. Mettez tout le monde sur la voie de la réussite en lui accordant la priorité.
Vous ne savez pas par où commencer ? Des milliers d'analystes et d'architectes SOC utilisent la plateforme Vectra AI pour détecter, hiérarchiser, étudier et répondre aux menaces inconnues sur de multiples surfaces d'attaque. Faites une visite autoguidée pour voir comment cela fonctionne.