System engineers collaborating on coding project, discussing about programming algorithm for new cloud computing user interface. Diverse team of software developers running database system code.

Comment les ingénieurs en sécurité Staff+ peuvent-ils multiplier leur impact ?

Lucas Morel

Considérez quelques idées sur la manière de devenir un leader de la sécurité efficace qui multiplie les résultats, et non les charges de travail.

Les ingénieurs Staff+ jouent un rôle essentiel dans la conception, la mise à l’échelle et l’influence de la posture de sécurité d’une organisation. Leurs principaux domaines d’expertise comprennent l’élaboration d’une stratégie et d’une gouvernance de sécurité, le leadership en matière de réponse aux incidents, l’automatisation, la gestion de la conformité/des risques et la collaboration inter-organisations pour façonner la culture de sécurité. Ensemble, ces fonctionnalités sont essentielles pour améliorer la sécurité des applications et l’efficacité de leurs organisations.

Cependant, d’après notre expérience, nous avons constaté que de nombreux ingénieurs en sécurité et en personnel sont confrontés à des défis de mise à l’échelle. Au lieu de tirer parti de leur expertise pour générer un impact large et transversal, ils ont tendance à se concentrer sur des incidents ou des domaines spécifiques, ce qui limite leur capacité à étendre leur influence et leur portée stratégique. Un tel problème d’échelle a des conséquences sur l’organisation et ses objectifs personnels.

En outre, la direction considère les ingénieurs Staff+ comme des conseillers de confiance, les aidant à prendre des décisions fondées sur un bon jugement. Cependant, lorsque les ingénieurs ont tendance à rester bloqués sur des incidents ou des solutions tactiques spécifiques, les dirigeants se retrouvent privés de leurs connaissances stratégiques. À l’inverse, le personnel et les ingénieurs qui sont trop occupés à préparer le terrain ne parviennent pas à s’occuper de manière proactive des « problèmes de leurs dirigeants ». Les dirigeants perçoivent ces ingénieurs comme trop occupés et hésitent à élargir leur champ d’action et à les intégrer à des discussions plus larges, ce qui conduit finalement à des opportunités manquées pour le personnel et les ingénieurs de sécurité.

Il existe de nombreuses pratiques que les ingénieurs Staff+ peuvent adopter pour leur permettre d’étendre et de multiplier leur impact au sein de leur organisation. N’oubliez pas qu’en tant qu’ingénieur de sécurité Staff+, vous êtes en fin de compte un facilitateur et non un goulot d’étranglement !

Des idées pratiques pour vous aider à évoluer

L’une des idées les plus courantes en matière de gestion des personnes, « l’évolution à travers les autres », s’applique parfaitement au personnel et aux ingénieurs en sécurité. Cela signifie essentiellement amplifier votre impact non pas en faisant plus de travail vous-même, mais en permettant à de nombreuses autres personnes de travailler de manière plus efficace et plus productive sous votre influence. En d’autres termes, vous ne ferez pas mieux en étant un héros, mais en créant des « mini-vous » à travers l’organisation. Lorsqu’il est appliqué avec discipline, il permet de bien mettre à l’échelle le travail des autres dans des contextes pratiques. Voici quelques idées que vous pouvez considérer :

Créez des mécanismes qui vous permettent d’évoluer

Les mécanismes imposent ou renforcent automatiquement un comportement. En outre, ils ne sont pas universels, mais après quelques essais et erreurs, nous avons observé que des mécanismes solides soutiennent systématiquement le comportement souhaité. Par exemple, un cadre de politique en tant que code intégré aux pipelines CI/CD applique automatiquement les politiques de sécurité et de conformité, réduisant ainsi les vérifications manuelles et les erreurs humaines. Bien qu’il s’agisse d’un exemple de mécanisme technique (dont nous parlerons plus en détail dans la section suivante), les mécanismes peuvent également être axés sur les personnes, par exemple des programmes de mentorat ou des arbres de mentorat.

Déterminez où approfondir et où déléguer

En tant qu’experts dans le domaine, les ingénieurs Staff+ peuvent intervenir à peu près n’importe où, des incidents critiques aux initiatives stratégiques. Ils peuvent être attirés par les besoins urgents de l’équipe, leur propre curiosité ou autre chose. Mais il est crucial pour eux d’évaluer soigneusement où prendre et d’éviter des engagements coûteux. Poser un ensemble de questions ciblées peut fournir des informations précieuses : « Quel est l’impact potentiel sur la posture de sécurité ou le risque pour l’organisation ? » ; « Existe-t-il un processus ou un outil établi (« voie pavée ») pour résoudre ce problème ? » ; » et « S’agit-il d’un incident ponctuel ou d’un problème de sécurité récurrent qui nécessite une solution stratégique et évolutive ? » Souvent, le véritable apprentissage vient de l’échec. Si le risque est gérable, permettez aux autres de prendre le relais et d’apprendre de leurs propres échecs.

Créer un groupe de confiance

Pour évoluer parmi les autres, vous aurez besoin d’un groupe sur lequel s’appuyer. Certaines organisations résolvent ce problème via des niveaux de poste, où les rôles de personnel et d’ingénieur sont définis pour évoluer vers d’autres rôles tels que les ingénieurs de sécurité senior. Dans d’autres cas, vous devrez peut-être définir vos critères de sélection et votre parcours de formation. Il ne suffit pas de créer ce groupe ; un plan d’action et une exécution minutieuse sont essentiels. Dans la pratique, ces groupes de travail organisent des séances de réflexion, créent des programmes de mentorat et de reconnaissance et discutent/examinent des solutions qui contribuent à améliorer les KPI de sécurité de l’organisation. De plus, les séances de mentorat et les heures de bureau du personnel et des ingénieurs contribuent à établir des relations de travail durables.

Employer des ingénieurs non-sécurité pour la cause

Impliquer les ingénieurs d’application dans la cause de la sécurité est un « hack » souvent négligé qui fonctionne bien dans les environnements industriels. Cette approche « shift-left » implique d’intégrer les pratiques de sécurité directement dans le pipeline de développement logiciel, permettant aux équipes de développement de s’approprier les contrôles et les évaluations de sécurité dès le début du cycle de vie. Des programmes tels que les champions de la sécurité ou les réviseurs de sécurité permettent aux ingénieurs d’application d’intégrer des pratiques standard de sécurité et de conformité dans le cadre de leurs flux de travail réguliers, réduisant ainsi les goulots d’étranglement et favorisant un état d’esprit axé sur la sécurité. Les ingénieurs de sécurité de Staff+ doivent rechercher des opportunités pour piloter la création de ces programmes, permettre une collaboration interfonctionnelle et évoluer via les ingénieurs d’application pour augmenter leur impact.

Éliminer les anti-schémas

Enfin, nous recommandons au personnel et aux ingénieurs de sécurité d’inspecter et d’éliminer les anti-modèles dans leurs organisations (et celles de leurs pairs). Ces anti-modèles s’opposent à la mise à l’échelle et font d’eux et de leurs organisations des goulots d’étranglement, au lieu de des catalyseurs. Un exemple que nous avons souvent vu est celui où les ingénieurs de sécurité agissent comme des gardiens permanents. Cette approche de « blocage par défaut » est coûteuse, nécessite un investissement de temps important pour le personnel et les ingénieurs et ralentit l’activité. De même, les politiques sans exception font perdre du temps aux équipes de sécurité et d’application. Nous recommandons fortement aux ingénieurs de sécurité Staff+ d’identifier de manière proactive ces modèles et de les remplacer par des mécanismes.

Mécanismes techniques à considérer

Pour accroître efficacement leur impact, les ingénieurs en sécurité de Staff+ doivent défendre une approche technique globale qui intègre des pratiques sécurisées à chaque couche de l’organisation, de la technologie et de la culture. Cela agit en fin de compte comme un mécanisme ou un garde-fou pour leurs organisations, garantissant que leurs orientations sont automatiquement appliquées et leur laissant le temps d’exercer une influence stratégique. Les éléments clés comprennent :

  • Intégrez des domaines d’action ciblés dans la stratégie de sécurité à l’échelle de l’organisation : Bien que les ingénieurs de sécurité Staff+ soient chargés de développer une stratégie de sécurité claire et exploitable, nous recommandons qu’ils englobent l’application de la politique en tant que code, les barrières de risque et la surveillance continue. Tirez parti du groupe de confiance pour attribuer la responsabilité en nommant des dirigeants de domaine qui stimulent la responsabilité et le progrès dans leurs domaines. Examinez leurs conclusions et ajustez la stratégie périodiquement. Cela aide les ingénieurs Staff+ à éviter d’avoir à inspecter chaque aspect de la stratégie de sécurité d’une grande organisation.
  • Adopter des architectures de référence et sécurisé par défaut modules réutilisables : Nous recommandons aux ingénieurs de sécurité Staff+ de créer et de fournir des plans fiables et avisés, des images dorées, des politiques de base et des composants réutilisables qui font de la conception sécurisée la voie de moindre résistance pour les équipes de développement. Construire de tels « chemins pavés » permet un développement transparent et sécurisé pour les équipes, sans coup de fouet des développeurs. Enfin, en utilisant des groupes de confiance pour favoriser l’adoption, ils peuvent influencer efficacement l’orientation technique des équipes.
  • Maj-gauche pratiques de sécurité : Brièvement évoqué précédemment, l’intégration de la sécurité dès le début du cycle de vie du développement est le thème central des pratiques DevSecOps modernes. L’intégration de contrôles automatisés, d’outils de modélisation et de validation des menaces dans les demandes d’extraction, les pipelines CI/CD et les plans d’infrastructure en tant que code (IaC) permet aux développeurs de détecter et de résoudre les problèmes avant le déploiement sans interruption du flux de travail. Par conséquent, cela permet aux ingénieurs du personnel (et à leurs organisations) de réduire les bogues de sécurité qui atteignent la production.
  • Tirez parti avec prudence des outils d’analyse et de l’automatisation basés sur l’IA : Le développement rapide de GenAI a libéré des capacités significatives en matière d’outils de sécurité. Des outils d’IA sont désormais disponibles pour renforcer les pratiques de sécurité grâce à l’apprentissage adaptatif, à la priorisation des risques et à la détection contextuelle. Les ingénieurs en sécurité de Staff+ devraient promouvoir l’adoption de ces outils pour améliorer la détection des vulnérabilités et rationaliser les flux de travail. Compléter ces outils par des avis d’experts permet d’atténuer les faux positifs et d’évaluer efficacement l’impact des vulnérabilités de sécurité.
  • Garde-corps au-dessus des portes : Nous recommandons aux ingénieurs de sécurité Staff+ de créer des contrôles qui imposent le blocage uniquement sur les signaux de sécurité à haut niveau de confiance et à fort impact, tout en avertissant ou en enregistrant les problèmes à faible risque pour maintenir la vitesse. Utiliser des contrôles compensatoires tels que la surveillance, les mesures correctives automatisées et la notation des risques pour gérer les risques sans bloquer les progrès.

Le principe directeur général que nous recommandons à tous les ingénieurs de sécurité Staff+ est de faire de la méthode sécurisée le chemin le plus simple et le plus intuitif pour tous les ingénieurs ; cela permet à la sécurité d’évoluer de manière durable parallèlement à la croissance de l’entreprise. Nous pensons que ce principe directeur, ainsi que le cadre technique ci-dessus, permettent aux ingénieurs de sécurité Staff+ de multiplier leur impact en intégrant des bases de sécurité solides, en favorisant une culture de propriété partagée et en automatisant l’application. Le résultat est une posture de sécurité résiliente, évolutive et conviviale pour les développeurs.

Influence des incidents

Alors, comment les ingénieurs en sécurité Staff+ peuvent-ils multiplier leur impact lors d’incidents de sécurité actifs ? L’outil le plus critique dont dispose l’ingénieur dans un tel scénario est son état d’esprit : « Vous êtes le stabilisateur, pas le sauveur. » Jouez le rôle d’un orchestrateur : si vous approfondissez trop les journaux, d’autres domaines qui ont besoin d’assistance en souffriront. Cherchez à confier le travail tactique à différents contributeurs individuels et concentrez-vous sur la gestion de l’incident, la coordination entre les rôles et la gestion des communications de la direction.

Ensuite, il est essentiel d’identifier les points d’inflexion. Vous devrez prendre des décisions rapides et exigeantes qui détermineront le cours de la gestion des incidents. Déterminez les seuils au-delà desquels la participation de la haute direction ou un soutien supplémentaire est essentiel. Utilisez les points d’inflexion pour vous guider quand passer du confinement à la récupération puis à la rétrospective. Une fois la situation sous contrôle, passez à un rôle d’influenceur et passez à d’autres, conformément à vos mécanismes d’engagement standard.

Agir comme pont entre la direction et les équipes

Sachez enfin que vous êtes un lien entre le management/leadership et les ingénieurs de terrain. Les responsables peuvent ne pas comprendre pleinement les détails de l’exécution ou les retards dans l’identification/la correction des vulnérabilités du logiciel. Les équipes compteront sur vous pour identifier et combler les lacunes des processus ou les représenter auprès de la direction pour la prise de décision. Par exemple, dans notre cas, notre équipe hésitait à adopter un outil d’analyse statique puissant. Même si l’équipe l’a identifié comme un besoin critique, les coûts de licence étaient élevés, ce qui a donné lieu à de multiples échanges. Lorsque notre ingénieure principale en a eu connaissance, elle a rapidement créé un document d’une page présentant les avantages et les inconvénients et a aligné les dirigeants sur le financement en raison du retour sur investissement élevé. Elle a résolu un débat et une analyse en équipe de deux semaines en un seul après-midi.

À l’inverse, vous êtes également le représentant de la direction sur le terrain, guidant l’équipe dans le sens de la direction. Envisagez d’influencer les équipes dans la création et la révision de tableaux de bord à visibilité approfondie qui capturent avec précision les informations clés en matière de sécurité. Cela offre aux dirigeants une solide boucle de rétroaction et une visibilité en temps réel sur les conséquences de leurs décisions.

Réflexions finales

Le parcours d’un ingénieur de sécurité staff+ consiste à passer de contributions individuelles à un multiplicateur de force. Ceci est particulièrement important à l’heure où l’IA et l’automatisation redéfinissent l’échelle ; les dirigeants qui conçoivent pour l’autonomisation définiront la prochaine ère de l’ingénierie de la cybersécurité.

Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Vous voulez nous rejoindre ?

Direction informatiqueGestion informatique

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Display Showing Stages of Hacking in Progress: Exploiting Vulnerability, Executing and Granted Access.
Un bug DS modulaire offre aux pirates un accès instantané à l’administrateur WordPress
AppGuard Critiques AI Hyped Defenses; Expands its Insider Release for its Next-Generation Platform
AppGuard critique les défenses hyperactives de l’IA ; étend sa version Insider pour sa plateforme de nouvelle génération
Cisco building exterior with sign
Cisco corrige enfin une faille zero-day vieille de sept semaines dans les produits Secure Email Gateway