L’industrie a cessé de récompenser ce qui fonctionne au profit de ce qui se vend. Mais en tant que leaders de la sécurité confrontés à des risques bien réels, nous avons davantage besoin de solutions fiables que d’argumentaires de vente révolutionnaires.
Le marché de la cybersécurité a perdu la tête.
Il semble que chaque semaine, un nouveau fournisseur apparaît, que les investisseurs investissent dans des idées à moitié cuites et que les RSSI se retrouvent enterrés dans des propositions de produits qui ne stopperont pas la prochaine violation. Le bruit ne cesse de s’intensifier tandis que les fondamentaux restent ignorés.
La plupart de ces produits ne semblent même pas impressionnants dans une démo. J’assiste à des présentations et je me demande pourquoi elles existent. Ils promettent de « redéfinir la sécurité », mais ne peuvent même pas expliquer quel problème ils résolvent. Ils sont construits pour les cycles de financement, pas pour la production. Ce sont des réponses à des questions que personne n’a posées. Pendant ce temps, les mêmes vulnérabilités fondamentales continuent de détruire les entreprises année après année.
Les vendeurs pensent qu’ils vendent de la technologie. Ce n’est pas le cas. Ils tentent de vendre la confiance à ceux dont le travail dépend de la gestion de l’impossible. En tant que RSSI, j’achète parce que j’essaie de réduire les risques qu’une catastrophe se produise sous ma montre. Chaque décision est un pari. Il n’existe pas d’option « sûre » dans ce domaine. J’achète pour réduire les risques personnels et organisationnels, sachant qu’une protection parfaite n’existe pas.
La cybersécurité n’est pas un casse-tête que vous résolvez. C’est un jeu auquel vous jouez – et il ne finit jamais. Vous faites les meilleurs mouvements possibles, sachant que vous ne gagnerez jamais. Même si je corrigeais chaque système et comblais chaque lacune, le coût de la perfection paralyserait l’entreprise. Nous pourrions être totalement en sécurité demain si nous étions prêts à arrêter d’expédier des produits, de servir les clients et de générer des revenus. Mais ce n’est plus de la sécurité.
Le travail consiste à faire fonctionner l’entreprise sans la laisser brûler. Cela signifie que je ne me soucie pas seulement de la disponibilité. Je me soucie de ne pas avoir la brèche qui définit la prochaine année de ma vie. C’est une question d’équilibre. Trop de risques et vous faites la une des journaux. Trop de contrôle et vous tuez l’innovation. Chaque jour dans ce rôle est une négociation entre les deux.
C’est pourquoi j’achète de manière très sélective. J’achète ce qui correspond à la feuille de route, ce qui réduit de manière mesurable les risques, ce qui s’intègre proprement et ce que mon équipe peut maintenir. J’achète de la visibilité parce qu’on ne peut pas défendre ce qu’on ne peut pas voir. J’achète de l’identité parce que l’accès est le lieu où réside le véritable contrôle. J’achète une automatisation qui rend les gens plus rapides, pas plus bêtes. Et j’achète des outils qui rendent la sécurité dès la conception réelle et non théorique.
Ce que je n’achète pas, c’est du battage médiatique. Je n’achète pas d’outils qui chevauchent trois autres. Je n’achète rien qui semble beau dans un diaporama mais qui échoue dans le monde réel. Je n’achète pas la complexité qui rend le travail de l’équipe plus difficile. Et je n’achète pas à quelqu’un qui ne peut pas expliquer dans un langage clair et humain quel problème il résout et comment cela réduit réellement les risques.
Tout est question de fondamentaux
La vérité est que la plupart des organisations n’ont pas besoin de plus d’outils. Ils doivent acquérir les bonnes bases. Si vous parvenez à appliquer des correctifs de manière cohérente, à maintenir de bons contrôles d’accès et à segmenter vos réseaux afin de ne pas fonctionner à plat, vous êtes en avance sur la majeure partie du marché – aucun outil brillant n’est requis. Des correctifs efficaces élimineront à eux seuls la majeure partie de la surface d’attaque que les fournisseurs promettent de « détecter ». La segmentation du réseau empêche les mouvements latéraux. Le contrôle d’accès limite le rayon de souffle. Ce ne sont pas des idées nouvelles. Ils sont anciens, éprouvés et négligés parce qu’ils ne semblent pas assez intéressants pour les investisseurs.
Et c’est là le problème. L’industrie a cessé de récompenser ce qui fonctionne. Cela récompense ce qui se vend. Le capital-risque continue d’injecter de l’argent dans tout ce qui est « alimenté par l’IA » et « autonome » pendant que les bases pourrissent. Les vendeurs chassent le battage médiatique parce que le battage médiatique obtient du financement. Les RSSI achètent du battage médiatique parce que nous recherchons désespérément quelque chose qui mettra enfin un terme à la douleur. Le cycle se nourrit. Tout le monde est rationnel, mais le résultat est fou.
Nous ne pouvons pas blâmer uniquement les fournisseurs. Nous avons créé le marché qu’ils servent. Nous avons adhéré à l’illusion selon laquelle l’innovation est synonyme de progrès. Nous avons ignoré les fondamentaux parce qu’ils sont durs et peu glamour. Nous avons rempli nos environnements de produits que nous ne pouvions pas utiliser pleinement et avons appelé cela la maturité. Nous avons construit la complexité et l’avons appelé stratégie. Ensuite, nous sommes choqués lorsque les mêmes causes profondes continuent de nous faire tomber.
Une bonne sécurité commence toujours par une bonne informatique. Cela a toujours été le cas. Le sera toujours. Si vous ne savez pas ce que vous possédez, vous ne pouvez pas le protéger. Si vous ne le corrigez pas, il est déjà compromis. Si vous accordez un accès excessif ou exploitez un réseau plat, vous êtes à un identifiant compromis d’une crise. Les solutions existent. Ils ne sont tout simplement pas excitants. Ils nécessitent de la patience, du processus et de la persévérance, qui sont les trois choses que cette industrie évite parce qu’elle ne photographie pas bien chez RSA.
Vous recherchez la fiabilité, pas la révolution
Je ne suis pas anti-technologie. Je compte dessus. Mais je l’achète avec intention. J’achète des outils qui nous rendent meilleurs sur les bases, qui aident à faire respecter la discipline et qui réduisent les erreurs humaines. J’achète des solutions qui simplifient, pas compliquent. Et j’achète auprès de vendeurs qui me disent la vérité, même lorsque cela ne me convient pas.
Les bons vendeurs le comprennent. Ils savent qu’ils ne vendent pas la révolution. Ils vendent de la fiabilité. Ils se présentent préparés. Ils comprennent mon activité, savent où se situe leur solution et sont honnêtes sur ce qu’elle peut et ne peut pas faire. Ils savent que je ne recherche pas la magie. Je cherche de l’aide pour gérer un problème qui ne finit jamais.
Les investisseurs doivent également prendre leurs responsabilités. Arrêtez de financer les vaporwares. Arrêtez de courir après le prochain acronyme. Financez le travail ennuyeux mais critique : visibilité, identité, configuration sécurisée, activation des développeurs et hygiène informatique. C’est ce qui empêche les entreprises de faire la une des journaux.
Et les RSSI, nous devons cesser de nous prendre pour des victimes. Nous ne le sommes pas. Nous avons construit ce marché avec nos habitudes d’achat. Nous avons récompensé le bruit. Nous avons recherché l’innovation qui ne correspondait pas à notre maturité. Si nous voulons que l’industrie change, nous devons changer notre façon de dépenser. Achetez moins. Achetez plus intelligemment. Investissez dans les personnes, les processus et l’architecture avant d’acheter une autre plateforme. Si vous ne pouvez pas appliquer de correctifs, si vous ne pouvez pas contrôler l’accès, si votre réseau est toujours plat, vous n’avez pas besoin d’un autre outil. Vous avez besoin de discipline.
La sécurité n’est pas un problème technique. C’est un problème d’exécution. Et tant que nous n’aurons pas résolu ce problème, aucun financement, aucune IA ou aucune nouvelle catégorie ne nous sauveront.
Je continuerai à acheter ce qui compte. J’achèterai ce qui réduit le risque réel et renforce les fondations. J’achèterai ce qui nous rend plus difficiles à percer et plus faciles à récupérer. Mais tout le reste, le bruit, le battage médiatique, le flux incessant d’outils qui ne résolvent pas les vrais problèmes, peuvent rester sur les étagères (ou dans vos diapositives PowerPoint).
