Comment créer un réseau de champions de la sécurité dans votre organisation

1673524971_0x0.jpg

Jonathan Fischbein est le directeur de la sécurité de l’information chez Technologies logicielles Check Point.

Avez-vous déjà eu l’impression que vous et votre équipe de sécurité êtes dans une lutte de plus en plus injuste contre les pirates et les criminels ? Selon les propres recherches de notre entreprise, les cyberattaques contre tous les secteurs industriels augmentent dans le monde entier, augmentant de 28% au troisième trimestre 2022 par rapport à la même période en 2021, les organisations subissant en moyenne plus de 1 100 attaques par semaine. Dans le même temps, le déficit de cyber-compétences continue de se creuser, avec 3,4 millions de postes vacants pour les cyber-professionnels dans le monde cette année, contre 2,7 millions en 2021.

L’un des principaux défis auxquels sont confrontées les équipes de sécurité est que les pirates informatiques ciblent activement les employés individuels lors du lancement de leurs attaques. L’hameçonnage, les e-mails contenant des logiciels malveillants, l’ingénierie sociale et les informations d’identification compromises ont été les premiers vecteurs d’entrée dans près de 30 % des cyberattaques traitées par notre équipe de réponse aux incidents au premier semestre 2022. Les attaquants se nourrissent du fait que les gens sont occupés et veulent être utiles. .

Prévenir ces violations causées par des erreurs humaines signifie favoriser une meilleure cyber-sensibilisation dans toutes les organisations, mais c’est plus facile à dire qu’à faire, surtout compte tenu de l’énorme augmentation du travail à distance et hybride au cours des deux dernières années. Une équipe de sécurité déjà surchargée ne peut pas faire grand-chose pour éduquer et pousser une main-d’œuvre largement dispersée vers de meilleures pratiques et comportements sécurisés.

Entrez les champions de la sécurité

Cependant, il existe une grande opportunité d’innovation en matière de sécurité en termes de personnes et de processus qui est encore largement inexploitée. C’est là qu’un programme de champions de la sécurité (SCP) entre en jeu.

Un SCP recrute des employés de toutes les disciplines d’une entreprise (RH, marketing, finance, etc.) pour une formation et des conseils ciblés sur la cybersécurité. Ces champions de la sécurité deviennent alors le point de contact et la voix de la cybersécurité au sein de leurs différents départements ou bureaux parallèlement à leur rôle principal. Ils aident à conseiller, intégrer et renforcer les bonnes pratiques de sécurité avec leurs collègues.

Cela rend les conseils de sécurité plus pertinents et accessibles, évitant l’attitude « nous contre eux » qui peut parfois exister entre les employés et les équipes de sécurité d’entreprise traditionnelles. Il est plus facile pour un collègue d’expliquer un risque ou un problème de sécurité à un collègue qu’à un professionnel de la sécurité que le collègue n’a jamais rencontré.

Le rôle du champion de la sécurité ressemble un peu à celui du prévôt des incendies d’un ministère. De la même manière que le maréchal n’a pas besoin d’être un spécialiste de la lutte contre les incendies, le champion de la sécurité n’a pas besoin d’être un pro de l’informatique ou de l’infosec ; ils ont juste besoin de savoir comment travaillent leurs collègues, quels sont les risques de sécurité au sein de leur service ou de leur équipe et les mesures de bon sens à prendre pour atténuer ces risques. Ils aident également à décider si ou quand faire remonter un problème aux véritables pros de l’infosec de l’entreprise, ce qui permet d’alléger une partie de la charge de travail de l’équipe de sécurité.

Choisir vos champions et mettre en place le programme

Alors, comment devez-vous procéder pour choisir des candidats pour un SCP ? De combien de champions avez-vous besoin ? Et comment mettre en place le programme ?

Tout d’abord, rappelez-vous que les champions ne naissent pas, ils sont entraînés. Un bon champion de la sécurité n’est pas nécessairement la personne la plus expérimentée d’un service ou d’une équipe ou la personne ayant le plus de connaissances informatiques. Il est plus important qu’ils soient disposés à en apprendre davantage sur le paysage de la cybersécurité et qu’ils souhaitent apporter des changements positifs au sein de leur service.

Vous n’avez pas besoin de recruter une armée de champions. Par exemple, mon équipe chez Check Point se compose de 15 employés à temps plein, avec 10 champions de la sécurité dans différentes équipes à travers le monde qui aident à diffuser plus efficacement notre message de sécurité.

Pour faire fonctionner votre propre SCP, voici cinq points à considérer.

1. Questions de formation : Concevez un plan de formation qui donnera à vos futurs champions de la sécurité les connaissances dont ils ont besoin. N’oubliez pas qu’ils viennent d’horizons divers et qu’ils n’ont peut-être pas de connaissances approfondies en matière de cybersécurité. La formation doit donc commencer par les bases de la sécurité, puis introduire progressivement un contenu plus avancé.

2. Rendez-le pertinent : Incluez des sujets de formation et des exemples auxquels les champions peuvent s’identifier et faire le lien avec leur travail quotidien. Par exemple, le champion d’une équipe financière doit connaître les méthodes d’attaque telles que la chasse à la baleine et les demandes inhabituelles de transferts d’argent importants. Le champion des RH doit connaître les problèmes de confidentialité des données et les liens de phishing. La clé pour engager vos champions est d’adapter le contenu à ce qu’ils font au quotidien ; ils n’ont pas besoin de connaître des choses comme les vulnérabilités de ProxyShell.

3. Fixez-vous des objectifs et des horaires : Comme mentionné précédemment, les champions sont formés, pas nés. Mais rappelez-vous que vos champions ont aussi leur travail principal à faire. Alors, gardez des séances d’entraînement courtes et ciblées avec des objectifs précis (par exemple, à la fin d’une séance donnée, les champions sauront identifier un type d’attaque spécifique et quoi faire à ce sujet). De plus, c’est une bonne idée d’organiser régulièrement des « réunions des champions » pour partager des mises à jour et des commentaires sur les activités récentes – une courte session toutes les deux ou trois semaines fonctionnerait bien dans la plupart des organisations.

4. Gardez-le engageant : Planifiez des événements et des exercices occasionnels de consolidation d’équipe tels que des compétitions et des quiz pour garder vos champions engagés et perfectionner leurs compétences.

5. Mettez en avant vos champions : Enfin, assurez-vous de souligner la présence et l’engagement de vos champions envers leurs collègues afin qu’ils sachent à qui s’adresser pour toute question ou problème de sécurité. Chaque employé doit savoir qu’il peut bénéficier de l’aide du SCP s’il en a besoin.

Comme je l’ai noté plus tôt, une seule erreur d’un employé peut être le début d’une attaque coûteuse. Un programme efficace de champions de la sécurité aide à réduire le risque de réussite de ces attaques en renforçant et en étendant la portée de l’équipe de sécurité et en augmentant la sensibilisation à la cybersécurité dans toutes les fonctions de l’entreprise. Lorsque vous avez des champions de la sécurité à vos côtés, la lutte en cours contre les pirates informatiques est un match plus égal.


Forbes Technology Council est une communauté sur invitation uniquement pour les DSI, les CTO et les cadres technologiques de classe mondiale. Suis-je éligible ?


Facebook
Pinterest
Twitter
LinkedIn
Email