De temps en temps, le programme de sécurité a besoin d’une refonte. Le succès dépend de l’établissement de priorités claires, de l’évitement des erreurs courantes et de la prise en charge du nombre personnel.
En 2024, Marriott a reçu un réveil sévère: une ordonnance fédérale pour restructurer son programme de sécurité. L’ordonnance de la Federal Trade Commission américaine a suivi une enquête qui a découvert une série de violations remontant à 2014, des incidents qui ont exposé les informations personnelles de 344 millions d’invités.
La décision de la FTC a forcé Marriott à réviser ses défenses, à resserrer les contrôles d’accès, à améliorer la surveillance des fournisseurs et à effectuer des tests en cours, des mesures attendues depuis longtemps.
En attendant une ordonnance fédérale ou une brèche pour déclencher une refonte des politiques, des procédures et des contrôles qui protégeaient les informations, les actifs et le personnel est un pari que peu peuvent se permettre. Le cours plus sage est de repérer les panneaux d’avertissement tôt et d’agir avant que les fissures ne commencent à se manifester.
Certains signes d’alerte précoce incluent «une augmentation des attaques réussies ou des masses proches, de la fatigue de l’outil ou de la surcharge d’alerte dans le centre d’opérations de sécurité (SOC), des échecs réglementaires, et peut-être le plus révélateur, une perception de l’entreprise que la sécurité est un bloqueur plutôt qu’un partenaire», explique Karim Benslimane, VP et Field Ciso à Darktrace.
Transformer une situation toxique
Après une violation majeure – ou une série d’entre eux, comme dans le cas de Marriott – il n’est pas rare que les organisations souhaitent restructurer leurs programmes de sécurité. Si le CISO est remplacé, le nouveau chef de sécurité peut se retrouver dans un environnement où la confiance a été érodée, les équipes sont épuisées et les relations avec les membres du conseil d’administration sont déjà sous la pression.
Dans des moments comme ceux-ci, les premières décisions du nouveau CISO peuvent donner le ton à tout ce qui suit. «Le nouveau CISO devrait effectuer un examen de haut en bas, en utilisant idéalement un tiers indépendant, pour s’assurer qu’il n’y a pas d’autres violations latentes qui attendent d’être découvertes, et aussi pour former une vue de savoir si les contrôles sont suffisants et efficaces», explique Phil Venables, conseiller en sécurité stratégique de Google et ancien CISO de Google Cloud.
Et il y a une autre évaluation initiale que le CISO doit faire: découvrir si le leadership exécutif, y compris le CIO ou le CTO, avait vraiment soutenu leur prédécesseur. La réponse à cela pourrait les aider à comprendre si les violations ont été la faute de l’ancien CISO ou un signe profond que l’organisation n’a pas suffisamment investi dans la sécurité.
Une partie de ces connaissances peut être acquise en écoutant véritablement les gens. Chuck Herrin, Ciso Field à F5, recommande que les nouveaux cisos passent leurs premières semaines au travail en mode écoute avant d’apporter de grands changements.
«Je commencerai avec des séances d’écoute courtes et ciblées à travers l’entreprise – avec des équipes de sécurité, des informations, des développeurs et des cadres», explique Herrin. «Posez des questions comme: qu’est-ce qui a fonctionné? Où nous gênons-nous? Comment vous montrons-nous que nous sommes ici pour nous associer, pas bloquer? Comment mesurez-vous la valeur que nous vous offrons, votre secteur d’activité et votre équipe?»
Ces visites d’écoute peuvent aider à reconstruire rapidement la confiance et aider les problèmes systémiques à faire surface. Et au fil du temps, ils envoient un message puissant: la voix de l’équipe de sécurité compte vraiment. «Ils ont beaucoup d’opinions sur ce qui vient de se passer, et sont probablement nerveux à propos du nouveau patron qui arrive: il va nous soutenir et nous tirer tous et faire venir leur propre peuple? Jetez-nous sous le bus pour caler la faveur avec le leadership?» Dit Herrin. « Il est maintenant temps de ne pas supposer autre chose que de poser beaucoup de questions et de démontrer que vous écoutez. »
À partir de là, le CISO de F5 suggère à la recherche de petites victoires visibles, ce qui compte pour l’entreprise et peut être livrée rapidement. Cela pourrait être de mieux rapporter, rationaliser un processus d’approbation cassé ou fermer un angle mort flagrant. «Une amélioration rapide et significative prouve pour tout le monde que cette équipe de direction est sérieuse au sujet du changement, et elle ouvre la voie à un travail culturel et technique plus profond à venir», dit-il.
Si l’équipe est surchargée de travail, les dirigeants doivent investir dans l’automatisation, rationaliser les processus et impliquer tout le monde dans la recherche d’efficacité.
Restructuration du programme de sécurité lorsque la technologie et les compétences changent
Lors de la refonte des programmes de sécurité, les CISO peuvent avoir à l’esprit le cadre en quatre phases de Venables, ce qui est suffisamment flexible pour s’adapter à presque toutes les organisations. Les entreprises peuvent commencer où elles se trouvent, apporter les modifications qu’elles souhaitent, puis revenir pour effectuer les tâches restantes.
La restructuration du programme de sécurité doit être effectuée périodiquement, car la technologie évolue. Venables recommande que les CISO «consomment des renseignements stratégiques sur les menaces» pour rester à jour. Et il leur conseille également de traiter de manière proactive des classes entières de risques, de menaces et de vulnérabilités, plutôt que d’attendre qu’un incident se produise.
Cela aide si les CISO et les équipes de sécurité prennent le temps d’examiner les plans, processus et procédures existants pour déterminer s’il y a des améliorations ou des innovations nécessaires pour renforcer les capacités de défense, ajoute Lemaire.
Parfois, il existe des outils qui peuvent être ajoutés et des outils qui peuvent être enlevés. « Si vous pouvez simplifier vos piles et obtenir 90% de 10 outils au lieu de 10% sur 90, vous libérerez le budget et l’attention pour le prochain défi », explique Lemaire. Pendant ce temps, les experts indiquent que les outils axés sur l’IA qui peuvent augmenter la productivité et la capacité de l’équipe par «10x», comme le dit Venables.
La formation doit également être prise au sérieux – soutenir les équipes de sécurité à grandir est un autre thème reproduit par de nombreux experts dans le domaine. «En cas de doute, investissez dans votre peuple», explique Lemaire. « Vous ne pouvez pas vraiment la sécurité à l’épreuve du temps, mais vous pouvez constituer une équipe qui peut s’adapter. »
Mais au-delà de l’embauche du bon talent et de la garantie de formation appropriée, les CISO doivent également être prêtes à prendre des décisions de personnel difficiles si nécessaire.
«Parfois, vous changez les gens, et parfois vous changez les gens, dit Herrin.« Si vous avez les mauvaises personnes dans des rôles critiques, vous devez apporter des changements et les faire rapidement. Ce qui compte le plus, ce sont les gens et le leadership, pas la technologie. »
Erreurs courantes
Les erreurs sont inévitables lors de la retravail de quelque chose d’aussi complexe qu’un programme de sécurité. Ils viennent généralement de ne pas avoir suffisamment de soutien, de conserver les mauvaises hypothèses ou de sous-estimer la taille d’un changement culturel nécessaire pour apporter des changements.
De tels grands projets réussissent rarement sans le soutien complet du sommet, donc une erreur que les CISO peuvent faire est de ne pas confirmer un engagement explicite à la confiance et au soutien du PDG, du CFO et du COO de leur organisation. «Les personnes qui contrôlent la vision, les chaînes de bourse et les opérations de l’organisation sont les champions dont un CISO aura besoin lorsque la restructuration commencera à changer inévitablement et nécessairement les processus et les comportements de tous ceux de cette organisation», explique Bird.
Un autre faux pas commun, ajoute-t-il, est «de croire qu’ils peuvent se restructurer dans l’existence». En réalité, sans de fortes compétences générales pour négocier avec le leadership et rallyer les employés derrière l’effort, même les plans les mieux mis en fonction risquent de tomber à plat.
Les compétences générales aident également les CISO à identifier les bonnes personnes avec qui travailler, et ils devraient être ouverts sur les connaissances, les attitudes et l’adaptabilité qu’ils recherchent. Une erreur, cependant, ne fait que l’embauche de personnes ayant une expérience à grande entreprise, ce qui peut limiter les perspectives et l’agilité de nouvelles. Des horizons divers, que ce soit des startups, du secteur public ou des cheminements de carrière non conventionnels, peuvent apporter de nouvelles approches de résolution de problèmes que les anciens combattants établis pourraient ignorer. Et ces employés devraient être traités équitablement.
«Une équipe titulaire sans augmentation pendant plusieurs années peut signaler que l’entreprise n’est pas vraiment investie dans la sécurité», explique Nick Muy, CISO à Scrut Automation. Le manque d’investissement s’associe souvent à des attentes irréalistes pour l’équipe et des appels douteux sur la façon dont les ressources sont allouées. « Si l’attitude est à tout en interne, c’est rarement pratique pour la plupart des entreprises de taille moyenne », ajoute Muy. «Des ressources internes directes où vous en avez le plus besoin et tirer parti de l’externalisation ou des outils pour le reste.»
D’autres faux pas communs dans une restructuration impliquent des outils et de la technologie. «Les CISO doivent éviter trois pièges clés», explique Benslimane. «Sous-estimation de l’impact des menaces alimentées par l’IA, en s’appuyant sur des outils statiques, en héritage et en maltant les attentes concernant les nouvelles technologies comme l’IA.» Sa suggestion est d’embrasser les infrastructures natives du cloud et de faire talent les compétences pour exploiter l’IA.
Les problèmes peuvent également faire surface lorsque les CISO se concentrent trop sur l’activation de l’entreprise, ce qui signifie souvent que la sécurité prend un coup. «Cela peut parfois conduire à un compromis entre la mise en œuvre des exigences de sécurité robustes et l’entreprise prenant plus de risques», explique Chad Thunberg, CISO à Yubico. «Parfois, il est important de ralentir et de réévaluer une situation ou une décision de s’assurer que l’accent est mis sur les bons domaines au bon moment.»
À bien des égards, la reconstruction d’un programme de sécurité est plus difficile que de la créer à partir de zéro. C’est pourquoi les CISO peuvent faire face à une pression intense pour produire des résultats malgré les ressources limitées qu’ils disposent, ce qui peut souvent conduire à des nuits blanches.
«Lorsqu’un CISO se lance dans ce genre de croisade, il ne tient souvent pas compte du bilan, cela prendra leurs relations avec leur famille, leurs amis et leur communauté», explique Bird. «Oublier de prendre soin de l’équilibre émotionnel, physique et interpersonnel signifie généralement que la restructuration échoue et avale également toutes ces composantes personnelles du rayon de souffle.»
