Cinq façons de constituer une équipe de cybersécurité performante

Qu'est-ce qui fait qu'un mode de pensée qui s'intéresse avant tout aux personnes parvient à relever de grands défis techniques et donne lieu à des résultats opérationnels

En tant que vice-président corporate et RSSI adjoint, à la tête d'une grande partie de la cybersécurité pour NCR Voyix, je suis chargé de garantir la protection de la première plateforme de commerce numérique utilisée par les détaillants, les restaurants et les institutions financières, du travail de 15 000 employés et de notre marque créée il y a 140 ans. Je voulais transmettre les leçons les plus importantes que j'ai pu dégager (parfois dans l'adversité) au cours de mes 30 années de carrière : vos actions importent, mais la manière dont vous les menez importe encore plus.

Les professionnels de la cybersécurité ont besoin de la formation et des certifications requises ; mais une attitude « servant-leader » vous permettra d'apporter davantage de valeur et d'exercer une influence plus grande, au-delà de l'équipe de cybersécurité. Par exemple, une récente étude menée par Gartner a révélé que plus des deux tiers (65 %) des RSSI les plus performants établissent es relations avec des décideurs de haut niveau principalement en dehors du contexte des projets. Les RSSI les plus performants rencontrent également trois fois plus de parties prenantes extérieures à la sphère informatique (par exemple, les ventes/marketing, les responsables d'unités opérationnelles) que celles des services informatiques.

Pour moi, le succès de l'alignement de la cybersécurité avec les résultats commerciaux commence par une démarche qui s'intéresse avant tout à l'humain. Voici cinq moyens concrets par lesquels les responsables de la sécurité peuvent faire progresser l'esprit de service :

1.Oubliez votre ego. Notre directeur exécutif de la gestion des produits pour la banque numérique a récemment expliqué de quelle manière les banques et les coopératives de crédit accordaient une priorité croissante aux « moyens d'intégrer plus d'empathie et de personnalisation » aux expériences numériques, afin de fidéliser les consommateurs. Tout comme la création d'expériences numériques implique de se concentrer sur chaque étape de l'expérience humaine, la sécurisation de ces expériences exige de l'empathie pour les personnes que votre entreprise sert.

Je travaille dans le secteur de la cybersécurité depuis 25 ans et j'ai occupé des postes dans les domaines de l'ingénierie système, de l'architecture et du conseil depuis encore plus longtemps. Mais, bien avant cela, j’ai tracé mon chemin dans un hôtel, de serveur à directeur, où j’ai appris à écouter, à résoudre les problèmes avec sérénité et à faire attention aux détails. Des expériences rondement menées et orientées sur le service m'ont permis d'être un responsable de la sécurité plus efficace.

Si vous ne l'avez pas encore fait, enrichissez vos connaissances au-delà du domaine de la sécurité. Apprenez à connaître votre entreprise : tirez les enseignements de personnes qui travaillent en première ligne dans le service à la clientèle ou dans le back office. Proposez des rythmes de travail ou une rotation des postes de travail afin de pouvoir comprendre les difficultés et les pressions liées au travail qu'ils doivent affronter. En adoptant une perspective plus large, parviendrez plus efficacement à développer et à communique les raisons qui font que la cybersécurité est si importante pour vos nombreuses parties prenantes.

Les acteurs malveillants sortent des sentiers battus. Vous devriez en faire de même. Une personne qui jusqu'à récemment gérait un magasin de pneus peut-elle devenir un grand analyste de sécurité ? D'après mon expérience, oui ! Avec une formation et un encadrement adéquats, sa capacité à résoudre sereinement les situations de grand stress des clients fera d'elle l'artisan indispensable de la lutte les attaques sophistiquées.

En recrutant des profils issus de parcours éducatifs variés, vous améliorez la fidélisation des talents et les performances des équipes de cybersécurité. Regardez au-delà des voies de recrutement traditionnelles et pensez aux personnes qui ont quitté le parcours universitaire de quatre ans, qui ont suivi une autre voie de carrière, qui souhaitent changer de carrière ou qui reprennent une carrière après une pause. Vous y trouverez des personnes possédant une forte motivation pour apprendre, des compétences démontrées en matière de résolution des problèmes et le courage de réussir.

2. L'intérêt des personnes doit primer sur les tâches, dans toutes les situations. Il y a toujours beaucoup à faire. Toutefois, si vous concentrez exclusivement sur vos tâches, vos relations deviennent transactionnelles et impersonnelles. Dans n'importe quelle relation, il est essentiel d'être vrai et authentique. Écoutez activement votre équipe, vos pairs et les parties prenantes. Prenez le temps de comprendre le point de vue de l'autre personne. Faites preuve de curiosité à son égard.

La création d'une équipe inclusive et la mise en place d'un mentorat sont particulièrement gratifiantes, en effet j'ai souvent l'impression d'apprendre autant d'eux que eux de moi, et c'est ce qui m'aide à être un dirigeant plus efficace.

Comme le dit Steven Spaar, co-auteur de l'article « Wiring the Wining Organization », sans un bon état d'esprit organisationnel, les collaborateurs n'auront pas la possibilité de résoudre les problèmes. Les entreprises à grande vélocité disposent de systèmes de gestion qui libèrent l'esprit des collaborateurs « individuellement et par le biais d'une collaboration collective et créative », leur permettant de se consacrer à des problèmes extrêmement complexes.

Les gens vous écouteront lorsqu'ils se sentiront entendus. Les équipes qui se connaissent et se font confiance sont plus mobilisées, plus motivées et, en fin de compte, plus efficaces.

3. Faites preuve de transparence et n'ayez pas peur de communiquer plus que nécessaire. Le National Institute of Standards and Technology (NIST) a écrit en 2023 :

« Nos conversations sur les produits connectés se concentrent très souvent sur la connectivité au sens technique (protocole, algorithmes, etc.). La promotion de la confiance entre les participants à l'écosystème et la réduction des risques de cybersécurité associés à l'utilisation de ces produits reposent sur un type de communication différent : le dialogue ouvert et la communication d'informations ».

Au sein de mon équipe, communiquer des informations signifie dire la vérité, même lorsque cela peut mettre mal à l'aise. Que vous soyez débutant ou expérimenté, si vous pensez qu’une méthode particulière de sécurité ne fonctionne pas, il vous incombe de le dire. La transparence permet de renforcer la confiance, et ainsi, de découvrir et de traiter plus rapidement les menaces, les incidents et les problèmes potentiels.

Demandez des commentaires aux autres (et acceptez-les). Les commentaires honnêtes sont un cadeau. D'après mon expérience, tout le monde commet des erreurs, mais ce qui importe vraiment, c'est la façon dont vous réagissez et rétablissez la situation après ces erreurs. Restez modeste et adoptez la bonne conduite.

4. Soyez dans l'action. La cybersécurité chez NCR Voyix est un champ vaste, complexe et en constante évolution. Mais mes équipes ne sont pas perdues pour autant. Il est important de se concentrer sur ce que nous pouvons contrôler au sein de notre organisation, puis de prendre des mesures.

N'attendez pas d'avoir trouvé la solution parfaite à un problème. Vous n'êtes peut-être qu'à 60 ou 70 % de l'objectif, mais prenez une décision et lancez-vous. Vous pouvez intégrer les informations manquantes et apporter des améliorations itératives. Que ce soit à titre individuel ou en tant qu'équipe, il est essentiel de toujours aller au bout de ce qui a été commencé, et de finir à temps. Cela permet de renforcer la confiance, tant au niveau individuel qu'au niveau de l'équipe.

« Un manque de confiance ralentit tout : chaque décision, chaque communication et chaque relation ». -Stephen M.R. Covey, The SPEED of Trust: The One Thing that Changes Everything

Vous ne savez jamais quand vous devrez puiser dans cette confiance. Par exemple, en période de crise pour la sécurité, vous devez agir rapidement et déléguer les tâches dans toutes les directions. L'équipe est beaucoup plus efficace et obtient de meilleurs résultats avec moins de stress, lorsque les personnes qui la composent savent qu'elles peuvent compter les unes sur les autres, car les personnes de cette équipe respectent toujours leurs engagements.

5. Souvenez-vous (et rappelez-le à vos équipes) de la manière dont la cybersécurité améliore les résultats des entreprises. Plus les RSSI se concentrent sur leur activité, plutôt que sur leur situation interne, plus forte est la pression qu'ils subissent concernant le retour sur investissement de leurs investissements dans la technologie, ce qui peut être très difficile à prouver.

Cependant, vous pouvez réorienter la discussion autour de la valeur liée au fait d'être un bon gestionnaire de l'entreprise. Accenture rapporte que les organisations qui alignent la cybersécurité avec les objectifs commerciaux sont 18 % « plus susceptibles de générer une croissance des revenus, d'accroître leurs parts de marché et d'améliorer la satisfaction des clients ainsi que la productivité des employés ».

Faites découvrir aux parties prenantes de votre entreprise l'intérêt de la cybersécurité afin de leur permettre de comprendre comment aller de l'avant. Les interruptions d'activité augmentent-elles en raison de surfaces d'attaque non protégées ? Les bots malveillants menacent-ils les transactions légitimes des clients ?

Rappelez à tous les problèmes commerciaux auxquels la cybersécurité a apporté une solution. Quel que soit votre rôle ou l'endroit où vous travaillez, les personnes veulent être reconnues comme étant source de valeur.

Un état d'esprit orienté services peut vous rendre plus efficace, que vous soyez un RSSI en début de carrière ou expérimenté. Lorsque vous intégrez la transparence, l'inclusivité et la confiance dans la valeur commerciale apportée par votre équipe, les capacités de réalisation de votre équipe et de vous-même sont sans limites.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.

Approfondir le sujet

Consultez le calculateur de retour sur investissement de Cloudflare pour estimer les avantages potentiels liés au renforcement de la sécurité partout où vous exercez une activité.

Auteur

Paul Farley — @allaboutrisk vice-président corporate et RSSI adjoint

NCR Voyix

Points clés

Cet article vous permettra de mieux comprendre les points suivants :

• Comment un mode de pensée qui donne la priorité aux services peut contribuer à protéger l'entreprise

• 5 recommandations pour diriger des équipes de cybersécurité hautement performantes

• L'importance de la communication des résultats opérationnels stratégiques

Ressources associées :

• Vidéo client Cloudflare et étude de cas : NCR

• Permettre la cyber-résilience : le rôle des dirigeants dans l'instauration d'une culture organisationnelle

• Connecter la cybersécurité à la valeur économique stratégique

• La transformation de la cybersécurité commence en conseil d'administration