J'ai toujours été passionné par les produits nouveaux et innovants. Du fait de l'évolution constante du panorama des menaces, la cybersécurité présente une demande quasi infinie en matière d'innovation sur les produits. C'est pourquoi ce domaine s'est révélé aussi passionnant pour moi ces cinq dernières années. Je pourrais même dire que les acteurs malveillants eux-mêmes figurent parmi les plus grands innovateurs. Ainsi, chaque fois que de nouveaux outils sont développés pour contrecarrer les pirates, ces derniers conçoivent rapidement de nouvelles techniques pour contourner les mesures de défense.
En tant que RSSI d'une structure qui aide à guider les voyageurs vers de nouvelles destinations, j'ai eu l'occasion de collaborer avec quelques entreprises innovantes sur leur propre parcours. J'éprouve une grande joie à aider les start-ups à faire mûrir leurs produits et leur stratégie concernant ces derniers. Pour tout dire, le fait d'être un mentor me permet également de découvrir de nouveaux moyens de protéger mon entreprise.
Je n'ai jamais cherché à devenir un mentor, mais comme j'occupe un poste important chez KAYAK, on m'a souvent demandé conseil (peut-être encore plus après !). Pour un RSSI, il est facile de tomber dans le piège qui pousse à se dire : « Je n'ai pas le temps pour ça. » En réalité, personne n'a vraiment le temps de se consacrer à d'autres tâches que celles qui sont les siennes au sein de son entreprise. Je m'efforce toutefois de faire de la place pour mon activité de mentorat, car je pense qu'elle sert le bien commun et permet de contribuer à l'innovation continue dans le domaine de la cybersécurité.
Nous savons tous que les start-ups sont essentielles à l'écosystème de la cybersécurité (et aux écosystèmes de l'innovation en général). Leur progression profite à toutes les entreprises, tout en stimulant la création d'emplois et la croissance économique. C'est un cercle vertueux : en tant qu'acheteur de services technologiques, je souhaite que les jeunes start-ups de cybersécurité bâties sur de bonnes idées prospèrent et gagnent davantage de clients, afin qu'elles puissent, à leur tour, investir davantage dans l'amélioration de leurs produits. Plus tôt une entreprise deviendra financièrement viable, plus ses produits s'amélioreront rapidement. (Les entreprises traditionnelles du secteur de la tech ne font pas toujours preuve du même sentiment d'urgence).
L'ensemble revêt également un caractère personnel. J'aime travailler avec des entreprises et des jeunes animés par la passion, afin de les voir grandir. Le principe se rapproche un peu de l'idée d'élever un enfant. Comme je suis passionné par les idées nouvelles et les nouveaux moyens d'améliorer les produits, j'ai considéré que le fait d'aider certaines de ces entreprises valait la peine de leur consacrer un peu de mon temps.
Les grandes entreprises ne sont pas moins bien placées, mais les risques liés au fait de tenter de nouvelles approches se révèlent beaucoup plus élevés pour elles que pour les petites entreprises. Il leur est donc plus difficile d'innover. Les grandes entreprises ont tendance à essayer de protéger ce qu'elles ont déjà, plutôt que d'essayer de concevoir la prochaine révélation. Bien souvent, elles achètent simplement la nouvelle grande innovation et se développent par le biais d'acquisitions. Les possibilités d'innovation sont plus nombreuses pour les petites entreprises, car leurs collaborateurs peuvent prendre davantage de risques et font face à moins d'obstacles bureaucratiques.
Les start-ups restent néanmoins confrontées à des défis colossaux. Une bonne idée seule ne suffit pas. Le fait de définir un marché pour une clientèle de masse (ou de pénétrer une catégorie de marché bien établie) ne se limite pas à la résolution d'un problème unique pour un client unique. Les start-ups rencontrent souvent des difficultés pour concrétiser leurs idées. C'est là que les mentors interviennent.
La plupart d'entre nous manquent de temps. Vous devez donc établir des priorités quant aux entreprises à encadrer et à la manière de procéder. Avant de m'engager dans une relation de mentorat, je me pose trois questions :
Cette entreprise a-t-elle une vision claire de ce que son produit apporte sur le marché et de la manière dont elle compte développer ce produit au fil du temps ?
Est-elle enthousiaste à l'égard de cette vision ?
L'entreprise travaille-t-elle dans un domaine qui m'intéresse et me passionne ?
Les nouvelles start-ups ont beaucoup d'opportunités de se développer et de concevoir des produits que je pourrais envisager d'utiliser un jour au sein de notre entreprise. En ce moment, par exemple, je vois de nombreuses innovations autour de la gestion de l'identité et des accès, du réseau Zero Trust et de la micro-segmentation du réseau. Les projets qui relèvent de ces domaines m'intéressent à l'échelon personnel. Il y a quelque chose de spécial à voir le mentorat faire toute la différence dans le destin d'une entreprise. Dans un cas précis, j'ai entamé une relation avec une entreprise de sécurité qui s'attaquait au problème de l'intégration et de la protection de l'identité des sous-traitants indépendants. La vision initiale de l'entreprise a piqué mon intérêt et nos conversations ont commencé par un échange d'idées. Pendant trois ans, je leur ai régulièrement adressé mes retours sur leurs idées de produits, en soulignant les lacunes de leur offre et en les aidant à proposer des solutions alternatives. Leur produit a finalement évolué pour devenir l'ITDR (Identity Threat Detection Response, réponse à la détection des menaces visant l'identité).
À chaque étape, je me suis intéressé aux rouages de ce qu'ils essayaient de réaliser et aux aspects qu'ils devaient améliorer, y compris leur rapport signal/bruit (vous trouverez plus d'informations sur le sujet ci-dessous). Je ne peux bien entendu pas m'attribuer tout le mérite, mais le fruit de notre travail a porté ses fruits : une entreprise classée au Fortune 100 a racheté la start-up, à laquelle je continue à prodiguer des conseils occasionnellement.
Toutes ces interactions m'ont permis d'adopter de nouveaux points de vue que je peux désormais utiliser pour stimuler l'innovation au sein de mon entreprise.
Le mentorat peut prendre différentes formes en fonction de votre investissement personnel et des besoins de l'entreprise encadrée. Certaines entreprises peuvent avoir besoin de conseils en continu, tandis que d'autres n'ont besoin que d'une ou deux réunions pour se placer sur la bonne voie. De nombreux aspects dépendent du stade d'évolution de la start-up, selon qu'elle dispose simplement d'une idée de base, d'une maquette de solution ou d'un produit à part entière. Quoi qu'il en soit, les circonstances que je décris devraient fonctionner pour tous les acteurs impliqués.
Tout comme il n'existe pas deux entreprises identiques, vous ne trouverez pas non plus deux engagements de mentorat identiques. J'ai donc recommandé aux entreprises de cybersécurité de se concentrer sur un certain nombre de domaines ces dernières années :
Rapport signal/bruit élevé. Le bruit constitue l'un des plus gros problèmes des outils de sécurité. Si le rapport signal/bruit est élevé, les utilisateurs devront consacrer des ressources en personnel au suivi de chaque notification, en courant ainsi le risque d'engendrer chez eux un phénomène de lassitude liée aux alertes de sécurité et de les faire passer à côté d'alertes critiques. Ce n'est pas parce que vous pouvez déclencher une alerte que vous devez nécessairement le faire. L'alerte est-elle efficace et utile ? Ou ne fait-elle qu'ajouter davantage de travail ? Ces questions sont essentielles, car face à un trop grand nombre d'alertes, les utilisateurs ont tendance à les ignorer. Le problème ne concerne d'ailleurs pas que la quantité des alertes, mais aussi leur qualité. Les signaux essentiels que vous envoyez doivent être simples, afin que leur analyse ne demande que peu de temps et d'efforts.
Facilité de mise en œuvre. De nombreuses entreprises rendent la mise en œuvre de leur produit beaucoup trop difficile. Tout le monde vous dira que l'étape de mise en œuvre ne demande que 15 minutes, mais ce n'est jamais le cas. Je vois beaucoup d'entreprises commettre l'erreur de s'attendre à ce que des humains s'assoient devant une interface graphique (Graphical User Interface, GUI) pendant des heures pour configurer leur produit. C'est inefficace, surtout à grande échelle. Les entreprises doivent se concentrer sur l'utilisation des API et de l'automatisation pour la mise en place, mais aussi pour l'utilisation continue. C'est un fait.
Conformité SOC2 ou ISO 27001. Je sais que je ne suis pas le seul à admettre que la technologie m'intéresse bien plus que la conformité. Toutefois, la conformité à l'une de ces normes est essentielle pour les entreprises basées sur le cloud qui traitent des données sensibles. C'est le seul moyen de gagner la confiance des entreprises clientes. La conformité doit d'ailleurs faire partie des plans dès le début de l'échange.
Je ne suis pas un spécialiste du marketing, mais j'incarne souvent l'acheteur cible. Je pousse ainsi les start-ups à définir leur proposition de valeur. Cette opération peut constituer un véritable défi, mais si la thèse de l'entreprise trouve son écho en moi, je pense qu'elle le trouvera également chez d'autres RSSI.
Le mentorat n'est pas une relation à sens unique. Je prodigue des conseils, bien sûr, mais je retire aussi quelque chose du processus. Lorsque je découvre un nouveau point de vue sur la sécurité, j'ai également l'occasion d'améliorer les processus de mon entreprise.
La vie offre toujours plus à apprendre et certaines des meilleures idées naissent des nouvelles conversations. En encadrant la société ITDR, par exemple, j'ai appris que la durée de ma session IAM n'était pas celle que je pensais. J'ai ainsi pu la corriger.
Je suis un drogué de l'information. Je me dope à la stimulation intellectuelle qui résulte de la discussion avec des individus passionnés par les mêmes sujets que moi. C'est la raison pour laquelle je me lève le matin et pour laquelle j'aime aider d'autres dirigeants à aller de l'avant. J'éprouve également un sentiment de fierté à participer à la réussite de quelqu'un d'autre.
Les fondateurs créent et innovent, car c'est ce qu'ils aiment faire. La direction d'une entreprise ne s'avère toutefois pas aussi simple que le fait d'enfourcher un vélo et de nombreuses start-ups échouent encore. Le mentorat donne un coup de pouce supplémentaire à ces entreprises, en leur donnant l'occasion de proposer leurs idées au monde.
KAYAK dispose d'un solide programme en termes de conformité et d'éthique. Toutefois, la collaboration avec des fournisseurs présente le risque d'engendrer un conflit d'intérêts si je pense qu'un produit pourrait convenir à KAYAK. J'ai personnellement atténué ce risque en remplissant des déclarations de divulgation d'informations, comme l'exige KAYAK, et en laissant mon équipe prendre la décision finale concernant l'adéquation d'un produit à notre entreprise.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Tom Parker
VP of IT and CISO, KAYAK
Cet article vous permettra de mieux comprendre les points suivants :
Le mentorat sert le bien commun et contribue à l'innovation permanente dans le domaine de la cybersécurité.
Les start-ups rencontrent souvent des difficultés pour concrétiser leurs idées. C'est là que les mentors interviennent.
Le mentorat offre aux mentors une occasion d'améliorer les processus au sein de leur propre entreprise.
Comment j'ai appris à ne plus m'en faire et à aimer la conformité
La lassitude liée au contrôle de la sécurité met les entreprises en danger