Conseil à un nouveau RSI : Tais-toi et écoute

On dit que le silence est d’or. Et c’est également un excellent outil pour un nouveau responsable de la sécurité de l’information (RSI), a déclaré un panel aux participants lors de la conférence RSA 2022 à San Francisco.

 « Durant vos 30 premiers jours, vous devriez vous taire », a déclaré la panéliste Olivia Rose, RSI et vice-présidente de l’informatique et de la sécurité de la société d’analyse de données Amplitude.

« Beaucoup de gens viendront vous voir et ils commenceront à parler », a-t-elle déclaré. « Vous devez vous taire et garder vos idées pour vous. Écoutez simplement ce qui se passe. »

Le sujet du panel portait sur les choses qu’un RSI devrait faire au cours de ses 90 premiers jours de travail. Les panélistes comprenaient aussi Allison Miller, RSI et vice-présidente de la confiance chez Reddit, qui a rejoint l’entreprise en février 2021, et Caleb Sima, RSI de la plateforme de commerce en ligne Robinhood, qui a rejoint son entreprise le même mois – juste après l’annonce d’une énorme violation de données concernant 7 millions d’utilisateurs.

Ils avaient tous des conseils utiles.

« Je trouve que si vous travaillez pour une entreprise de technologie dans la région de la baie de San Francisco et que ses fondateurs et ses travailleurs de niveaux C sont des techniciens, si vous croyez qu’ils vont vous écouter au sujet de la sécurité, vous vous trompez », a déclaré Rose, qui a été la première employée de sécurité de son entreprise. « C’est la dernière chose à laquelle ils pensent. La meilleure façon de le faire est de trouver des moyens créatifs. Je le recommande tout le temps aux nouveaux RSI. Vous devez approcher les gens subtilement. Parlez leur langue. »

D’autres conseils :

Sur ce qu’un RSI devrait faire au cours des 90 premiers jours de travail : Sima a déclaré qu’une chose qu’il avait faite était de distribuer un questionnaire aux employés sur leur relation avec l’équipe de sécurité. Là où il y avait des réponses négatives, il a creusé plus profondément pour savoir pourquoi, ainsi que pour établir des relations avec ces départements.

Sur qui est le meilleur allié du RSI : L’équipe d’ingénierie logicielle, a déclaré Rose, car ils possèdent une grande partie des contrôles de sécurité. Cependant, faire d’eux des alliés doit être fait avec précaution, a-t-elle ajouté. « J’avais besoin de savoir qui possédait quoi et de faire très attention avant de les éloigner. Parce que même si les ingénieurs ne se soucient pas toujours de la sécurité, ils ne veulent pas en perdre le contrôle quand ils l’ont. Ils ne veulent pas qu’on leur dise quoi faire en matière de sécurité. »

Sur qui devrait être votre première embauche : Rose a embauché une femme qui était en concurrence avec elle pour le poste de RSI. Cette personne avait plus de compétences techniques qu’elle, a admis Rose. Si vous formez une nouvelle équipe de sécurité, recherchez d’abord des généralistes, a déclaré Sima. « Recherchez des personnes qui peuvent porter plusieurs chapeaux. Et recherchez également des personnes passionnées ou enthousiastes et capables de faire beaucoup de choses différentes. Si vous pouvez en embaucher trois ou cinq, faites-en pour la plupart des généralistes et engagez-en un avec l’expertise nécessaire pour être un gestionnaire de programme qui peut s’assurer que les choses sont faites. » Trouvez des personnes qui veulent diriger, a convenu Miller.

Lorsque vous vous adressez au conseil d’administration : Racontez une histoire, ne vous contentez pas de présenter un tas de diapositives avec un tas de mesures, a déclaré Sima. Il présente généralement deux diapositives : la première, basée sur le cadre de cybersécurité du National Institute of Standards and Technology (NIST) des États-Unis, qu’il appelle « Raising Safety Hygiene » et qui montre les progrès de l’entreprise en matière de maturité en matière de cybersécurité. L’autre répertorie les tâches critiques de l’équipe de sécurité et l’avancement de ces projets. Les détails sont mis en annexe.

Pour plus de détails, l’article original (en anglais) est disponible sur le site IT World Canada, une publication sœur de Direction informatique.

Lire aussi :

Les RSI canadiens privilégient la prévention dans la lutte aux rançongiciels

Le rôle essentiel d’un responsable de la protection de la vie privée

Il faut aider les petites entreprises et les organismes à but non lucratif

Traduction et adaptation française par Renaud Larue-Langlois

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

Détecter les intrusions avant une attaque

Par Avi Posesorsky, directeur des ventes chez Fortinet Avec leurs...

Google Cloud annonce de nouvelles solutions de sécurité

Google Cloud élargit son offre de cybersécurité et place sa récente acquisition de la société de cybersécurité Mandiant au premier plan de ses annonces de sécurité lors de la conférence Google Cloud Next 2022.

BRP victime d’une cyberattaque

On apprend ce matin que le fabricant de produits récréatifs BRP de Valcourt est actuellement la cible d’une « activité malveillante en matière de sécurité », tel que décrit par la société dans un communiqué.

Conseil aux RSI : ne prenez pas tout sur vos épaules

Avec un nombre croissant de cybermenaces visant leurs organisations et devant faire face à des budgets serrés, les responsables de la sécurité de l'information (RSI) peuvent ressentir un poids oppressant sur leurs épaules.

La semaine dernière dans le monde du rançongiciel – lundi 11 juillet 2022

Une diminution des attaques, ou le « calme plat avant la tempête » ? Publication du rapport du second trimestre de Cyberint sur les rançongiciels.