Cinq façons de constituer une équipe de cybersécurité performante
Qu'est-ce qui fait qu'un mode de pensée qui s'intéresse avant tout aux personnes parvient à relever de grands défis techniques et donne lieu à des résultats opérationnels
En tant que Corporate Vice President and Deputy CISO, je dirige une grande partie de la cybersécurité pour NCR Voyix. J'ai ainsi la responsabilité d'assurer la protection de la première plateforme de commerce numérique utilisée par les commerçants, les restaurants et les institutions financières, du travail de 15 000 collaborateurs et d'une marque fondée il y a 140 ans, à laquelle nos clients accordent toute leur confiance. Je souhaitais vous faire part des enseignements les plus essentiels que j'ai retirés (parfois dans l'adversité) de mes 30 années de carrière : ce que vous faites a de l'importance, mais la manière dont vous le faites est encore plus importante.
Les professionnels de la cybersécurité doivent obtenir les formations et les certifications requises. Toutefois, une attitude axée sur le « servant leadership » vous permettra d'apporter davantage de valeur et d'exercer une plus grande influence au-delà de l'équipe de cybersécurité. Une récente étude réalisée par Gartner a révélé, par exemple, que plus des deux tiers (65 %) des RSSI les plus performants établissent principalement des relations avec des décisionnaires expérimentés hors du contexte des projets. Les RSSI performants rencontrent également de manière régulière trois fois plus de parties prenantes extérieures au service IT (des parties prenantes du service des ventes ou du marketing, par exemple, ou des responsables d'unités opérationnelles) que de parties prenantes issues du service IT.
Pour moi, la réussite de l'alignement de la cybersécurité sur les résultats opérationnels commence par une démarche qui s'intéresse avant tout à l'humain. Voici cinq moyens concrets qui permettront aux responsables de la sécurité de faire progresser l'esprit de service :
1. Laissez votre ego de côté. Notre Executive Director of Product Management pour le secteur des services bancaires numériques a récemment expliqué de quelle manière les banques et les coopératives de crédit accordaient une priorité croissante aux « solutions permettant d'intégrer plus d'empathie et de personnalisation » aux expériences numériques, afin de fidéliser les consommateurs. Tout comme la création d'expériences numériques nécessite de se concentrer sur chaque étape de l'expérience humaine, la sécurisation de ces expériences exige de faire preuve d'empathie pour les personnes utilisant les services de votre entreprise.
Je travaille dans le secteur de la cybersécurité depuis 25 ans et j'ai occupé des postes dans les domaines de l'ingénierie systèmes, de l'architecture et du conseil depuis encore plus longtemps. Toutefois, bien avant cela, j'ai gravi les échelons dans un hôtel (de bagagiste à directeur) où j'ai appris à écouter, à résoudre les problèmes avec sérénité et à faire attention aux détails. Ces expériences riches et axées sur le service m'ont aidé à devenir un responsable de la sécurité plus efficace.
Si ce n'est pas déjà le cas, je vous invite à enrichir vos connaissances au-delà du domaine de la sécurité. Apprenez à connaître votre entreprise : écoutez les collaborateurs qui travaillent en première ligne au sein du service client ou du back office. Effectuez un « stage de découverte » ou proposez un échange de postes afin de mieux comprendre les difficultés et les pressions liées à leur travail. L'adoption d'une perspective plus large vous aidera, en fin de compte, à mieux développer et à faire comprendre de manière plus efficace à vos nombreuses parties prenantes les raisons pour lesquelles la cybersécurité est aussi importante.
Les acteurs malveillants sortent des sentiers battus. Vous devriez en faire de même. Une personne qui jusqu'à récemment gérait un magasin de pneus peut-elle devenir un grand analyste de sécurité ? D'après mon expérience, oui ! Avec une formation et un encadrement adéquats, sa capacité à résoudre sereinement les situations de grand stress des clients fera d'elle l'artisan indispensable de la lutte les attaques sophistiquées.
En recrutant des profils issus de parcours variés, vous améliorez la fidélisation de vos talents et les performances de votre équipe de cybersécurité. Voyez au-delà des voies de recrutement traditionnelles et pensez à celles et ceux qui ont quitté le parcours universitaire « classique » de quatre ans, qui ont suivi une autre voie, qui souhaitent changer de carrière ou qui retournent sur le marché du travail après une pause. Vous y trouverez des personnes dotées d'une forte motivation, d'une soif d'apprendre, de compétences démontrées en matière de résolution des problèmes et de la volonté nécessaire pour réussir.
2. L'intérêt des personnes doit primer sur les tâches, dans toutes les situations. Il y a toujours beaucoup à faire. Toutefois, si vous concentrez exclusivement sur vos tâches, vos relations deviennent transactionnelles et impersonnelles. Dans n'importe quelle relation, il est essentiel d'être vrai et authentique. Écoutez activement votre équipe, vos pairs et les parties prenantes. Prenez le temps de comprendre le point de vue de l'autre personne. Faites preuve de curiosité à son égard.
La création d'une équipe inclusive et la mise en place d'un mentorat sont particulièrement gratifiantes, en effet j'ai souvent l'impression d'apprendre autant d'eux que eux de moi, et c'est ce qui m'aide à être un dirigeant plus efficace.
Comme le dit Steven Spaar, co-auteur de l'article « Wiring the Wining Organization », sans un bon état d'esprit organisationnel, les collaborateurs n'auront pas la possibilité de résoudre les problèmes. Les entreprises à grande vélocité disposent de systèmes de gestion qui libèrent l'esprit des collaborateurs « individuellement et par le biais d'une collaboration collective et créative », leur permettant de se consacrer à des problèmes extrêmement complexes.
Les gens vous écouteront lorsqu'ils se sentiront entendus. Les équipes qui se connaissent et se font confiance sont plus mobilisées, plus motivées et, en fin de compte, plus efficaces.
3. Faites preuve de transparence et n'ayez pas peur de communiquer plus que nécessaire. Le National Institute of Standards and Technology (NIST) a écrit en 2023 :
« Nos conversations sur les produits connectés se concentrent très souvent sur la connectivité au sens technique (protocole, algorithmes, etc.). La promotion de la confiance entre les participants à l'écosystème et la réduction des risques de cybersécurité associés à l'utilisation de ces produits reposent sur un type de communication différent : le dialogue ouvert et la communication d'informations ».
Au sein de mon équipe, communiquer des informations signifie dire la vérité, même lorsque cela peut mettre mal à l'aise. Que vous soyez débutant ou expérimenté, si vous pensez qu’une méthode particulière de sécurité ne fonctionne pas, il vous incombe de le dire. La transparence permet de renforcer la confiance, et ainsi, de découvrir et de traiter plus rapidement les menaces, les incidents et les problèmes potentiels.
Demandez des commentaires aux autres (et acceptez-les). Les commentaires honnêtes sont un cadeau. D'après mon expérience, tout le monde commet des erreurs, mais ce qui importe vraiment, c'est la façon dont vous réagissez et rétablissez la situation après ces erreurs. Restez modeste et adoptez la bonne conduite.
4. Soyez dans l'action. La cybersécurité chez NCR Voyix est un champ vaste, complexe et en constante évolution, mais mes équipes ne s'y enlisent pas pour autant. Il est important de se concentrer sur ce que nous pouvons contrôler au sein de notre entreprise, puis de prendre des mesures en conséquence.
N'attendez pas d'avoir trouvé la solution parfaite à un problème. Vous n'êtes peut-être qu'à 60 ou 70 % de l'objectif, mais prenez une décision et lancez-vous. Vous pouvez intégrer les informations manquantes et apporter des améliorations itératives. Que ce soit à titre individuel ou en tant qu'équipe, il est essentiel de toujours aller au bout de ce qui a été commencé, et de finir à temps. Cela permet de renforcer la confiance, tant au niveau individuel qu'au niveau de l'équipe.
« Un manque de confiance ralentit tout : chaque décision, chaque communication et chaque relation ». -Stephen M.R. Covey, The SPEED of Trust: The One Thing that Changes Everything
Vous ne savez jamais quand vous devrez puiser dans cette confiance. Par exemple, en période de crise pour la sécurité, vous devez agir rapidement et déléguer les tâches dans toutes les directions. L'équipe est beaucoup plus efficace et obtient de meilleurs résultats avec moins de stress, lorsque les personnes qui la composent savent qu'elles peuvent compter les unes sur les autres, car les personnes de cette équipe respectent toujours leurs engagements.
5. Souvenez-vous (et rappelez-le à vos équipes) de la manière dont la cybersécurité dynamise les résultats opérationnels. À l'heure où ils se concentrent davantage sur l'opérationnel que sur l'interne, les RSSI se retrouvent soumis à une pression de plus en plus forte concernant le ROI des investissements réalisés dans la technologie (qui peuvent d'ailleurs se révéler très difficiles à prouver).
Toutefois, vous pouvez réorienter la discussion autour de la valeur liée au fait d'être un bon gestionnaire de l'entreprise. Accenture rapporte que les entreprises qui alignent la cybersécurité sur les objectifs opérationnels sont 18 % « plus susceptibles de soutenir la croissance des revenus, d'accroître les parts de marché et d'améliorer la satisfaction des clients, mais aussi la productivité des collaborateurs ».
Faites découvrir tout l'intérêt de la cybersécurité aux parties prenantes de votre entreprise afin de leur permettre de comprendre comment aller de l'avant. Les épisodes de perturbation de l'activité augmentent en raison de surfaces d'attaque non protégées ? Des problèmes de /lp/pg-security/ menacent les transactions légitimes de vos clients ?
Rappelez à tout le monde les problèmes opérationnels résolus grâce à la cybersécurité. Quel que soit votre rôle ou l'endroit où vous travaillez, vos collaborateurs souhaitent être reconnus comme des sources de valeur.
Un état d'esprit orienté services peut vous rendre plus efficace, que vous soyez un RSSI en début de carrière ou expérimenté. Lorsque vous intégrez la transparence, l'inclusivité et la confiance dans la valeur commerciale apportée par votre équipe, les capacités de réalisation de votre équipe et de vous-même sont sans limites.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Approfondir le sujet
Consultez le calculateur de retour sur investissement de Cloudflare pour estimer les avantages potentiels liés au renforcement de la sécurité partout où vous exercez une activité.
Auteur
Paul Farley – @allaboutrisk
Corporate Vice President & Deputy CISO
NCR Voyix
Points clés
Cet article vous permettra de mieux comprendre les points suivants :
Comment un mode de pensée qui donne la priorité aux services peut contribuer à protéger l'entreprise
Cinq recommandations pour diriger des équipes de cybersécurité hautement performantes
L'importance de la communication des résultats opérationnels stratégiques