Par Doug Fisher, vice-président senior et responsable de la sécurité, Lenovo

Un logiciel de pointe pour surveiller vos réseaux, idéalement avec des logiciels alimentés par l’IA afin d’identifier et de repousser les attaques potentielles aussi rapidement qu’elles atteignent votre réseau, est également essentiel. Et vous devriez exiger que seuls les appareils approuvés, dotés d’un logiciel de sécurité à jour, aient accès à votre réseau. Ce sont là les fondamentaux de la sécurité.

Pourtant, l’élément le plus important pour vous protéger des cyberattaques, ce sont vos collaborateurs, et pas seulement vos équipes de sécurité. Évidemment, vous voulez des personnes expérimentées, talentueuses et concentrées dans vos équipes de sécurité, afin de garantir que toutes les protections mentionnées ci-dessus sont en place et pleinement opérationnelles. Mais la vérité, c’est que pour être vraiment en sécurité, chaque personne de votre organisation – des ventes à la finance en passant par les ressources humaines jusqu’au PDG – doit connaître son rôle pour maintenir la sécurité de votre organisation. Et pour cela, vous devez bâtir une solide culture de la sécurité.

Le thème du Mois de Sensibilisation à la Cybersécurité – « Faites Partie de Cyber » – s’aligne sur ces deux aspects importants d’une cybersécurité solide. 0La première est que tous les secteurs ont besoin de davantage de personnes qualifiées et talentueuses pour envisager la cybersécurité comme une carrière. Les menaces de sécurité continuent de croître en volume et en gravité, et le monde doit se concentrer sur la constitution et le développement des talents en cybersécurité, tout en y investissant. Mais je dirais que la deuxième partie – le fait que chacun sache comment contribuer à renforcer la cybersécurité – est tout aussi importante, et c’est précisément là qu’une forte culture de la sécurité est essentielle.

Qu’est-ce qu’une « culture axée sur la sécurité » ?

Que veux-je dire par une forte culture de la sécurité ? Je parle d’une organisation dans laquelle réfléchir à la sécurité est aussi routinier et instinctif que de réfléchir au coût financier d’un projet ou aux plans pour la date de lancement d’un produit à venir. Tout comme les organisations se concentrent sur la qualité dans chaque processus, elles doivent penser à la sécurité de la même manière. Penser à la sécurité signifie tout, depuis l’intégration de la sécurité dans chaque nouveau produit jusqu’au fait d’hésiter avant d’ouvrir un lien dans un e-mail provenant d’une source incertaine, ou de répondre à une demande d’informations potentiellement confidentielles par téléphone ou via les réseaux sociaux. En bref, cela signifie que la sécurité est toujours au premier plan pour tout le monde.

Pour que tout le monde se concentre sur la sécurité, vous devez d’abord obtenir le soutien des plus hauts niveaux de votre organisation.  Chez Lenovo, cela a commencé lorsque notre PDG a créé le poste de Chief Security Officer et l’a intégré au comité exécutif de l’entreprise, tout en établissant un lien hiérarchique indirect avec le conseil d’administration.  Cette structure de reporting apporte au CSO un soutien formidable, me donnant l’autorisation d’avoir les conversations difficiles et de prendre les mesures fortes nécessaires pour garantir que la sécurité reste toujours une priorité.

Ce niveau élevé de soutien permet également à un CSO d’adopter une approche holistique de la sécurité. Surtout dans les grandes organisations comportant plusieurs unités opérationnelles et gammes de produits, il est trop facile d’adopter une approche en silo pour un large éventail de questions métier, y compris la sécurité. Cependant, nous avons constaté des avantages évidents à une structure unifiée – ce que nous appelons l’approche One Lenovo – qui rassemble les équipes de sécurité de toute l’entreprise. Nous réunissons les responsables du bureau du directeur de la sécurité de l’information, de la sécurité des produits, de la sécurité de la chaîne d’approvisionnement et de la sécurité physique afin d’identifier les réussites et de soulever les questions qui doivent être traitées. Souvent, nous trouvons des domaines dans lesquels différentes parties de l’entreprise peuvent collaborer sur des solutions, tout en parvenant également à un consensus sur les principaux défis que l’entreprise doit relever. Cette approche est particulièrement utile lorsqu’il s’agit de demander les ressources nécessaires pour traiter les problèmes de sécurité.

C’est aussi pourquoi le CSO doit créer un partenariat solide avec les autres dirigeants seniors de l’organisation, car aucun CSO ne peut y parvenir seul. Ce partenariat doit reposer sur la compréhension partagée que les clients attendent des protections fortes pour leurs données et leur vie privée, et que tout manquement à cet égard risque d’endommager à long terme la réputation et la marque de l’organisation, ainsi que les actifs financiers et les scores ESG de l’entreprise. Compte tenu de cela, le CSO est responsable d’identifier les risques de sécurité et les solutions potentielles, puis de travailler avec la direction générale pour convenir des solutions prévues et trouver les ressources nécessaires pour mener ce plan à bien.

Une sécurité solide inclut tout le monde

Mais après vous être aligné avec vos dirigeants seniors et vos équipes de sécurité, il vous reste encore plus de 90 % de votre organisation qui doit elle aussi faire passer la sécurité en premier. Comment deviennent-ils partie intégrante de la culture de la sécurité ? La réponse est de les aider à comprendre comment ils peuvent contribuer et en quoi une sécurité forte profite à tout le monde.  Et la meilleure façon de transmettre cette information est la formation. Compte tenu du volume considérable d’attaques visant la plupart des grandes entreprises, les employés se retrouveront tôt ou tard en première ligne, généralement sous la forme d’une attaque de phishing.  La sophistication sans cesse croissante de ces faux e-mails, alertes sur les réseaux sociaux, SMS ou appels téléphoniques signifie qu’au presque chaque jour, un employé décide s’il doit cliquer sur un lien dans un e-mail bien déguisé, ou le signaler à la place.

La formation permet d’atteindre deux objectifs principaux.  D’abord, elle donne aux employés les outils pour identifier les attaques se faisant passer pour des alertes ou des salutations amicales et savoir quoi faire.  Ensuite, elle rappelle aux employés de rester vigilants.

Nous dispensons chaque année une formation obligatoire à l’échelle de l’entreprise, et par obligatoire, j’entends que personne n’en est exempté, en particulier les cadres supérieurs. Et même si aucune formation n’est parfaite, la nôtre a certainement contribué à une baisse significative des attaques réussies, ainsi qu’à une hausse spectaculaire des attaques qui sont identifiées et signalées à nos équipes de sécurité.

La sécurité est certes un parcours, pas une destination. Mais si vous pouvez bâtir une forte culture de la sécurité dans toute votre organisation et communiquer que chacun – y compris les hauts dirigeants – a un rôle à jouer, vous vous placez dans une bien meilleure position pour rendre ce parcours aussi fluide que possible.

Doug Fisher, vice-président senior et responsable de la sécurité, Lenovo