Cinq façons de constituer une équipe de cybersécurité performante
Qu'est-ce qui fait qu'un mode de pensée qui s'intéresse avant tout aux personnes parvient à relever de grands défis techniques et donne lieu à des résultats opérationnels
En tant que Corporate Vice President and Deputy CISO, je dirige une grande partie de la cybersécurité pour NCR Voyix et j'ai la responsabilité d'assurer la protection de la première plateforme de commerce numérique utilisée par des revendeurs, des restaurants et des institutions financières, du travail de 15 000 collaborateurs et de notre marque de confiance, fondée il y a 140 ans. Je souhaitais partager les plus importants enseignements que j'ai recueillis (parfois dans l'adversité) au cours de mes 30 années de carrière : ce que vous faites a de l'importance, mais la manière dont vous le faites est encore plus importante.
Les professionnels de la cybersécurité doivent obtenir les formations et les certifications requises ; toutefois, une attitude de « servant leadership » vous permettra d'apporter davantage de valeur et d'exercer une influence plus grande, au-delà de l'équipe de cybersécurité. Par exemple, une récente étude réalisée par Gartner a révélé que plus des deux tiers (65 %) des RSSI les plus performants établissent principalement des relations avec des décideurs dirigeants hors du contexte des projets. Les RSSI performants rencontrent également trois fois plus de décideurs extérieurs au secteur informatique (par exemple, le personnel de vente/marketing ou les responsables d'unités opérationnelles) que de décideurs issus du secteur informatique.
Pour moi, le succès de l'alignement de la cybersécurité avec les résultats commerciaux commence par une démarche qui s'intéresse avant tout à l'humain. Voici cinq moyens concrets par lesquels les responsables de la sécurité peuvent faire progresser l'esprit de service :
1. Laissez votre ego de côté. Notre Executive Director of Product Management pour le secteur des services bancaires numériques a récemment expliqué de quelle manière les banques et les coopératives de crédit accordaient une priorité croissante aux « solutions permettant d'intégrer plus d'empathie et de personnalisation » aux expériences numériques, afin de fidéliser les consommateurs. Tout comme la création d'expériences numériques nécessite de se concentrer sur chaque étape de l'expérience humaine, la sécurisation de ces expériences exige de faire preuve d'empathie pour les personnes utilisant les services de votre entreprise.
Je travaille dans le secteur de la cybersécurité depuis 25 ans et j'ai occupé des postes dans les domaines de l'ingénierie système, de l'architecture et du conseil depuis encore plus longtemps. Mais, bien avant cela, j’ai tracé mon chemin dans un hôtel, de serveur à directeur, où j’ai appris à écouter, à résoudre les problèmes avec sérénité et à faire attention aux détails. Des expériences rondement menées et orientées sur le service m'ont permis d'être un responsable de la sécurité plus efficace.
Si vous ne l'avez pas encore fait, enrichissez vos connaissances au-delà du domaine de la sécurité. Apprenez à connaître votre entreprise : écoutez les enseignements du personnel travaillant en première ligne au sein du service d'assistance à la clientèle ou dans le back office. Effectuez un « stage de découverte » ou proposez un échange de postes, afin de comprendre les difficultés et les pressions liées à leur travail. L'adoption d'une perspective plus large vous aidera, en fin de compte, à développer et communiquer plus efficacement à vos nombreuses parties prenantes les raisons pour lesquelles la cybersécurité est si importante.
Les acteurs malveillants sortent des sentiers battus. Vous devriez en faire de même. Une personne qui jusqu'à récemment gérait un magasin de pneus peut-elle devenir un grand analyste de sécurité ? D'après mon expérience, oui ! Avec une formation et un encadrement adéquats, sa capacité à résoudre sereinement les situations de grand stress des clients fera d'elle l'artisan indispensable de la lutte les attaques sophistiquées.
En recrutant des profils issus de parcours éducatifs variés, vous améliorez la fidélisation des talents et les performances des équipes de cybersécurité. Regardez au-delà des voies de recrutement traditionnelles et pensez aux personnes qui ont quitté le parcours universitaire de quatre ans, qui ont suivi une autre voie de carrière, qui souhaitent changer de carrière ou qui reprennent une carrière après une pause. Vous y trouverez des personnes possédant une forte motivation pour apprendre, des compétences démontrées en matière de résolution des problèmes et le courage de réussir.
2. L'intérêt des personnes doit primer sur les tâches, dans toutes les situations. Il y a toujours beaucoup à faire. Toutefois, si vous concentrez exclusivement sur vos tâches, vos relations deviennent transactionnelles et impersonnelles. Dans n'importe quelle relation, il est essentiel d'être vrai et authentique. Écoutez activement votre équipe, vos pairs et les parties prenantes. Prenez le temps de comprendre le point de vue de l'autre personne. Faites preuve de curiosité à son égard.
La création d'une équipe inclusive et la mise en place d'un mentorat sont particulièrement gratifiantes, en effet j'ai souvent l'impression d'apprendre autant d'eux que eux de moi, et c'est ce qui m'aide à être un dirigeant plus efficace.
Comme le dit Steven Spaar, co-auteur de l'article « Wiring the Wining Organization », sans un bon état d'esprit organisationnel, les collaborateurs n'auront pas la possibilité de résoudre les problèmes. Les entreprises à grande vélocité disposent de systèmes de gestion qui libèrent l'esprit des collaborateurs « individuellement et par le biais d'une collaboration collective et créative », leur permettant de se consacrer à des problèmes extrêmement complexes.
Les gens vous écouteront lorsqu'ils se sentiront entendus. Les équipes qui se connaissent et se font confiance sont plus mobilisées, plus motivées et, en fin de compte, plus efficaces.
3. Faites preuve de transparence et n'ayez pas peur de communiquer plus que nécessaire. Le National Institute of Standards and Technology (NIST) a écrit en 2023 :
« Nos conversations sur les produits connectés se concentrent très souvent sur la connectivité au sens technique (protocole, algorithmes, etc.). La promotion de la confiance entre les participants à l'écosystème et la réduction des risques de cybersécurité associés à l'utilisation de ces produits reposent sur un type de communication différent : le dialogue ouvert et la communication d'informations ».
Au sein de mon équipe, communiquer des informations signifie dire la vérité, même lorsque cela peut mettre mal à l'aise. Que vous soyez débutant ou expérimenté, si vous pensez qu’une méthode particulière de sécurité ne fonctionne pas, il vous incombe de le dire. La transparence permet de renforcer la confiance, et ainsi, de découvrir et de traiter plus rapidement les menaces, les incidents et les problèmes potentiels.
Demandez des commentaires aux autres (et acceptez-les). Les commentaires honnêtes sont un cadeau. D'après mon expérience, tout le monde commet des erreurs, mais ce qui importe vraiment, c'est la façon dont vous réagissez et rétablissez la situation après ces erreurs. Restez modeste et adoptez la bonne conduite.
4. Soyez dans l'action. La cybersécurité chez NCR Voyix est un champ vaste, complexe et en constante évolution. Mais mes équipes ne sont pas perdues pour autant. Il est important de se concentrer sur ce que nous pouvons contrôler au sein de notre organisation, puis de prendre des mesures.
N'attendez pas d'avoir trouvé la solution parfaite à un problème. Vous n'êtes peut-être qu'à 60 ou 70 % de l'objectif, mais prenez une décision et lancez-vous. Vous pouvez intégrer les informations manquantes et apporter des améliorations itératives. Que ce soit à titre individuel ou en tant qu'équipe, il est essentiel de toujours aller au bout de ce qui a été commencé, et de finir à temps. Cela permet de renforcer la confiance, tant au niveau individuel qu'au niveau de l'équipe.
« Un manque de confiance ralentit tout : chaque décision, chaque communication et chaque relation ». -Stephen M.R. Covey, The SPEED of Trust: The One Thing that Changes Everything
Vous ne savez jamais quand vous devrez puiser dans cette confiance. Par exemple, en période de crise pour la sécurité, vous devez agir rapidement et déléguer les tâches dans toutes les directions. L'équipe est beaucoup plus efficace et obtient de meilleurs résultats avec moins de stress, lorsque les personnes qui la composent savent qu'elles peuvent compter les unes sur les autres, car les personnes de cette équipe respectent toujours leurs engagements.
5. Souvenez-vous (et rappelez-le à vos équipes) de la manière dont la cybersécurité améliore les résultats des entreprises. Plus les RSSI se concentrent sur leur activité, plutôt que sur leur situation interne, plus forte est la pression qu'ils subissent concernant le retour sur investissement de leurs investissements dans la technologie, ce qui peut être très difficile à prouver.
Cependant, vous pouvez réorienter la discussion autour de la valeur liée au fait d'être un bon gestionnaire de l'entreprise. Accenture rapporte que les organisations qui alignent la cybersécurité avec les objectifs commerciaux sont 18 % « plus susceptibles de générer une croissance des revenus, d'accroître leurs parts de marché et d'améliorer la satisfaction des clients ainsi que la productivité des employés ».
Faites découvrir aux parties prenantes de votre entreprise l'intérêt de la cybersécurité afin de leur permettre de comprendre comment aller de l'avant. Les interruptions d'activité augmentent-elles en raison de surfaces d'attaque non protégées ? Les bots malveillants menacent-ils les transactions légitimes des clients ?
Rappelez à tous les problèmes commerciaux auxquels la cybersécurité a apporté une solution. Quel que soit votre rôle ou l'endroit où vous travaillez, les personnes veulent être reconnues comme étant source de valeur.
Un état d'esprit orienté services peut vous rendre plus efficace, que vous soyez un RSSI en début de carrière ou expérimenté. Lorsque vous intégrez la transparence, l'inclusivité et la confiance dans la valeur commerciale apportée par votre équipe, les capacités de réalisation de votre équipe et de vous-même sont sans limites.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Approfondir le sujet
Consultez le calculateur de retour sur investissement de Cloudflare pour estimer les avantages potentiels liés au renforcement de la sécurité partout où vous exercez une activité.
Auteur
Paul Farley – @allaboutrisk
Corporate Vice President & Deputy CISO
NCR Voyix
Points clés
Cet article vous permettra de mieux comprendre les points suivants :
Comment un mode de pensée qui donne la priorité aux services peut contribuer à protéger l'entreprise
5 recommandations pour diriger des équipes de cybersécurité hautement performantes
L'importance de la communication des résultats opérationnels stratégiques