Les dirigeants de la cybersécurité partagent un aperçu d’une tâche cruciale mais négligée après tout incident de sécurité: reconstruire la confiance avec les parties prenantes qui comptent le plus.
Lorsque les plans de réponse aux incidents couvrent les conséquences, ils se concentrent généralement uniquement sur les questions techniques, telles que l’analyse des causes profondes ou les systèmes de mise à niveau. Le problème avec cette approche est que les violations ne sont pas seulement de nature technique – elles peuvent également saper la confiance entre diverses parties prenantes internes et externes de l’entreprise.
Cette perte de confiance peut être difficile à mesurer, mais elle se manifeste concrètement. Par exemple, les sociétés cotées en bourse peuvent perdre l’enthousiasme des investisseurs institutionnels et de détail. Une fois que les organisations populaires pour les talents technologiques peuvent voir leur pipeline de candidats se sécher. Le moral de votre équipe de cybersécurité peut décliner, entraînant des problèmes de rétention et des démissions.
En bref, les CISO doivent prioriser la reconstruction de la confiance avec les parties prenantes en tant que priorité égale à tout exercice technique. Après tout, aucune amélioration ou mise à niveau n’a d’importance si les parties prenantes n’acceptent pas le plan ou l’exécution globale de la cybersécurité de votre organisation.
Transparence tout au long du cycle de vie des incidents
Christopher Robinson, architecte en chef de la sécurité de la Fondation Linux, affirme que la transparence est essentielle pour reconstruire la confiance des parties prenantes. Malheureusement, les entreprises adoptent souvent l’approche opposée.
«Un journaliste apprendra que quelque chose s’est produit, et ils approcheront une entreprise, demandant:« Nous entendons que vous êtes au milieu d’un cyber Très calme, ou ils vous mettront (en contact) avec l’équipe juridique, et ils feront des menaces », dit-il.
Larry Lidz, vice-président de CX Security chez Cisco, estime que la reconstruction de la fiducie des parties prenantes commence pendant l’incident, et il implique deux groupes généraux avec lesquels un CISO devra communiquer avec: les parties prenantes internes, telles que la suite C et les employés; et les parties prenantes externes, comme les clients et les régulateurs. «Le point commun entre les deux est (le besoin) de la transparence», dit-il.
À cette fin, LIDZ conseille aux CISO d’indiquer ce qui est fait et lorsque les parties prenantes peuvent s’attendre à entendre avec de plus amples informations.
« C’est une amélioration massive de l’augmentation de la crédibilité parce qu’ils savent que vous y êtes », explique Lidz. «Et quand vous dites:« Je vais vous donner une mise à jour demain à midi », ils savent que vous allez y revenir», même si cette mise à jour est que la criminalistique est toujours en cours.
Grant Bourzikas, CISO du fournisseur de solutions de cloud CloudFlare, convient que les CISO devraient être «trop communicatives» tout au long du cycle de vie des incidents.
«Une communication proactive et réfléchie à travers les temps de crise ne fonctionnera que pour établir davantage la confiance, contre la démolition. Vous pouvez avoir la meilleure réponse technique au monde, mais si vous ne le communiquez pas, votre marque et votre entreprise tomberont à plat », explique Bourzikas.
Maintenir la sensibilité de la responsabilité
Le LIDZ de Cisco souligne que la transparence ne se termine pas à la résolution des incidents.
«Être transparent, en particulier en particulier, en s’assurant que les parties prenantes vous comprenez et votre équipe ont appris de l’incident, qu’il y a des choses que vous feriez mieux non seulement en termes de protections, mais comment vous réagissez et réagissez aux incidents» est essentiel, est essentiel, est essentiel, est essentiel, dit-il.
Pablo Riboldi, CISO du fournisseur de talents de Chare Baresdev, recommande d’utiliser des auditeurs tiers pour renforcer la crédibilité de ces évaluations.
«Les CISO peuvent amener les auditeurs indépendants pour examiner les actions correctives mises en œuvre et partager ouvertement leurs résultats avec toutes les personnes impliquées. Montrer comment nous prenons des responsabilités et recherchons activement des moyens d’améliorer va beaucoup à la reconstruction de la confiance et de la confiance », dit-il.
Mais lors de la réalisation d’analyses post mortem ou de cause profonde, il est également important d’être sensible à toutes les parties impliquées, dit Robinson de la Fondation Linux.
«C’est un équilibre très délicat: il y a un art à dire la vérité, et pas nécessairement être punitif. Ce sont toutes les personnes qui travaillent très dur, donnant tout – l’équipe des opérations, les développeurs – et vous ne voulez pas écraser leur moral », dit-il.
Robinson souligne qu’à moins qu’un incident de cybersécurité ne soit originaire de malveillance, la plupart des incidents commencent à partir de problèmes commerciaux, tels que l’erreur humaine, une vulnérabilité de sécurité dans des logiciels tiers ou une porte dérobée négligée. Dans cet esprit, Robinson dit que les CISO peuvent encadrer positivement l’autopsie.
« Si quelqu’un se gâchait, tiendez les gens responsables, mais vous pouvez le faire de manière positive, en disant: » Nous avons réalisé qu’il y avait un écart dans ce processus, mais nous allons corriger ce processus afin que cela ne se reproduise plus « . »Dit-il, ajoutant que la sollicitation des commentaires du groupe peut démontrer davantage l’empathie et la reconstruction de la confiance.
Robinson dit que la cybersécurité peut être un travail ingrat, et rappeler aux professionnels de la sécurité que le leadership comprend que leurs difficultés contribue grandement à remonter le moral.
«Le leadership montrant qu’ils voient et apprécient ces personnes dans les tranchées, les opérateurs – juste la reconnaissance que vous existez, et votre travail est précieux – va beaucoup plus loin que trois pizzas ou cartes-cadeaux Starbucks», dit-il, ajoutant que les CISO peuvent souvent souvent Portez trop d’attention au conseil d’administration et à ses collègues plutôt qu’à leurs membres du personnel de sécurité sur le terrain.
Améliorer le moral dans les tranchées
Sakshi Grover, responsable de la recherche principale pour IDC Asia, estime que les employés de l’équipe d’intervention des incidents sont souvent les plus négligés, même s’ils peuvent supporter le stress.
«Ils se sentiraient tellement démoralisés après l’attaque et se seraient probablement blâmés pour la violation», dit-elle.
Grover recommande de promouvoir un état d’esprit de croissance pour atténuer ces sentiments après une attaque en se concentrant sur la capacité de résolution de problèmes de l’équipe. L’entreprise peut également proposer des séances de santé mentale ou même des conseils pour leur bien-être, ajoute-t-elle.
La participation à ces employés est impérative car ce sont les principaux évangélistes du département de cybersécurité. «Le bouche à oreille se déplace. Ils vont ensuite poursuivre les employés potentiels pour venir faire partie de cette organisation », explique Grover.
Esteban Gutierrez, CISO et vice-président de la sécurité de l’information chez New Relic, affirme que lors d’un incident précédent, la société a veillé à ce que son équipe de cybersécurité soit suivie, de sorte qu’elle n’a pas connu de burnout. Les assistants exécutifs les ont aidés à la livraison des repas et ont pris des dispositions afin que leurs tâches ménagères puissent être pris en charge.
«Nous nous sommes assurés qu’ils avaient un moyen de faire en sorte que ces choses soient prises en charge pendant qu’ils aidaient à ramener l’entreprise dans l’état qu’il devrait être», explique Gutierrez, ajoutant que cette approche devrait se poursuivre après un incident, y compris des congés et des examens plus profonds de la structure et des processus pour aider à améliorer les opérations et l’expérience de la réponse à un incident.
«Sommes-nous configurés de la bonne façon de gérer un incident comme celui-ci à l’avenir? Avons-nous besoin de constituer une équipe plus mondiale? Avons-nous besoin de plus de ressources dans un GEO par rapport à un autre afin de gérer la continuité des opérations? » Dit Gutierrez.
Les employés post-incitatifs de la cybersécurité retournent souvent dans leur bulle, tels que la surveillance des alertes ou la gestion des pare-feu et la posture de sécurité du cloud. Gutierrez dit qu’il est important de relier les points entre le travail de chaque personne et sa contribution globale à l’organisation comme un moyen d’assurer l’amélioration du moral.
«Je fais une priorité clé pour mes équipes et pour mes dirigeants non seulement de comprendre ce qu’ils ont besoin de faire du point de vue de la sécurité, mais de comprendre l’entreprise et comment nous soutenons l’entreprise», dit Gutierrez, ajoutant ce fort Les relations avec les propriétaires d’entreprise fournissent encore plus de contexte à cet impact.
Empêcher un exode de clients
Lors de la reconstruction de la confiance après un incident de sécurité, les CISO devraient donner aux clients une considération particulière, car les violations de sécurité sont souvent un point de basculement, poussant les clients à laisser un titulaire en faveur d’un concurrent. Equifax en 2017, Capital One en 2019 et T-Mobile en 2021 ont tous connu un exode important de clients à la suite des violations. Peu importe l’industrie, les gens se soucient de la façon dont leurs données sont gérées et sont prêtes à voter avec leur entreprise.
Post-incidence, Bourzikas de Cloudflare estime que les entreprises devraient se concentrer sur l’amélioration des relations avec les clients et les services actuels plutôt que sur la recherche de clients de remplacement sur leur marché adressable lorsque les clients font défaut.
«Il est plus facile de renforcer la confiance avec vos clients et actionnaires engagés que de réparer les dommages de réputation avec les futurs clients potentiels», dit-il, ajoutant que cette tâche est incroyablement difficile dans le paysage médiatique d’aujourd’hui. «Plusieurs fois, le titre est tout ce que nous lisons», explique Bourzikas.
C’est pourquoi il est très important pour les CISO et leurs équipes de battre les médias au punch.
«Être transparent publiquement – par exemple, publier un blog ou un rapport d’entreprise – vous permettra de partager des informations factuelles et correctes qui ne sont pas exagérées avec la communauté. Ne craignez pas l’incident; Partagez votre histoire et montrez comment vous avez récupéré, endurci votre sécurité et préparé pour l’avenir », explique Bourzikas.
Gutierrez de New Relic recommande également à inclure la gestion des comptes clés des clients de haut niveau dans le cadre de tout plan de réponse aux incidents. Les entreprises doivent faire l’inventaire de leurs 200 meilleurs clients ou plus, selon la nature de leur entreprise. Ces clients s’attendront à être contactés à propos d’un incident, et votre organisation doit connaître le bon point de contact pour les communications de sécurité dans ces sociétés.
«Souvent, le contact d’un client n’est pas toujours la même personne que vous souhaitez parler lorsque vous avez un problème de sécurité que vous devez discuter avec eux», explique Guiterrez. «Nous avons apporté des modifications en interne pour nous assurer que nous avons un endroit pour suivre ce type d’informations chaque fois que nous établissons une relation avec un client.»
Les nuances réglementaires peuvent également façonner la façon dont cette communication est gérée, dit-il. «La façon dont nous communiquons et ce que nous communiquons à nos clients de l’UE lors d’un incident peut différer un peu de ce que nous faisons aux États-Unis et à l’APAC», explique Esteban.
En cas de risques potentiels en aval pour les clients, ces canaux de communication sont essentiels. Par exemple, une attaque contre un fournisseur de logiciels peut conduire à des vulnérabilités de sécurité chez leurs clients d’entreprise.
«Il s’agit vraiment de vous assurer que vous répondez à leurs questions avant de leur poser et de leur donner les informations dont ils ont besoin pour évaluer et gérer leurs propres risques, car en fin de compte, c’est beaucoup de ce que les clients demandent », Explique Guiterrez. «C’est comme,« aidez-moi à comprendre comment cela m’a affecté et ce que je dois faire pour atténuer ce risque ».
Rue à deux voies à la confiance de la construction
James NGui, directeur de l’ingénierie des ventes chez Trend Micro, note que la reconstruction de la confiance après un incident de sécurité nécessite une ouverture aux commentaires.
«Un processus de récupération réussi intègre également activement la contribution des parties prenantes en incluant le principal partisaniste dans l’analyse post-invidence, en rassemblant des commentaires sur l’efficacité de la réponse et en démontrant comment les contributions des parties prenantes façonneront les futures stratégies de sécurité de l’organisation», dit-il.
Cette approche collaborative s’aligne sur la perspective plus large sur la cybersécurité, qui valorise la confiance autant que la technologie.
«La clé du succès réside dans la reconnaissance que la cybersécurité n’est pas seulement un défi technique, mais une responsabilité à l’échelle de l’entreprise qui nécessite une communication efficace, des processus clairs et un leadership engagé à tous les niveaux», explique NGui.
