Clarke Rodgers (00:08) :
Mike, merci beaucoup de m'avoir rejoint aujourd'hui.

Mike Wagner (00:10) :
Merci, Clarke. Je suis content d'être ici.

Clarke Rodgers (00:12) :
Si vous le voulez bien, parlez-moi de votre rôle et de vos responsabilités.

Mike Wagner (00:16) :
Clark, je suis le CISO d'une société appelée Kenvue. Kenvue faisait partie du groupe de sociétés Johnson & Johnson. Vous l'avez probablement reconnue en découvrant certains des produits que nous fabriquons, tels que Tylenol, Motrin, Aveeno, Neutrogena et Johnson's Baby.

Et mon rôle dans l'entreprise est de m'assurer que les données, les systèmes et les personnes sont protégés de manière adéquate contre les menaces existantes. Tout en veillant à être protégés, nous permettons également à l'entreprise de garantir un accès plus rapide, plus rationalisé et plus rentable pour nos consommateurs, nos clients, nos fournisseurs et évidemment pour notre personnel.

Clarke Rodgers (01:01) :
Pour aller un peu plus loin, avant d'occuper ce poste, pouvez-vous me parler un peu de votre expérience dans le domaine de la sécurité ? Je crois comprendre que vous n'avez pas forcément commencé comme CISO.

Mike Wagner (01:11) :
C'est vrai, oui. Je suis allé à l'US Air Force Academy et j'ai fait partie du département des cyberopérations de l'Air Force, où j'ai eu différents rôles. L'un de ces rôles était au sein du Bureau des enquêtes spéciales, j'étais dans la région de Washington au moment du 11 septembre. Je me suis retiré au début des années 2000, mais je suis resté réserviste. C'était donc agréable d'avoir un petit parcours parallèle avec les entreprises américaines et l'Air Force.

Dans une carrière comme la cybersécurité, ils se complètent très bien parce que vous obtenez des informations et pouvez vous entraîner du côté des réservistes ou de la Garde nationale, et appliquer ces techniques, ces leçons, ces informations dans l'espace de l'entreprise. Dans l'espace de l'entreprise, j'ai travaillé dans plusieurs secteurs verticaux différents. J'ai débuté dans les télécommunications. J'ai rapidement travaillé dans les services financiers, principalement dans le domaine de la santé au cours des 15 dernières années.

Ces cinq ou six dernières années, je me suis concentré sur notre entreprise et notre chaîne d'approvisionnement mondiale. Je me suis beaucoup concentré sur la partie OT de la sécurité alors que l'entreprise mettait en place sa stratégie de chaîne d'approvisionnement numérique. Je m'assurais que les différentes fenêtres ouvertes dans le réseau de l'entreprise étaient protégées et que seul l'accès approprié était autorisé. En plus de gérer nos fournisseurs, notre logistique, notre réseau, nos prestataires logistiques tiers, etc. S'assurer qu'ils étaient bien placés et/ou travailler avec eux en cas d'incident.

Clarke Rodgers (03:01) :
Intéressant. Pouvez-vous nous parler un peu de votre transition de la vie militaire à la vie en entreprise ? Cela a-t-il été une transition importante pour vous, ou, parce que le cyberespace s'immisce un peu partout, cela n'a peut-être pas été si difficile ?

Mike Wagner (03h16) :
Lorsque vous êtes officier dans l'armée, vous sortez et boum, vous avez 22 ans et environ 25 personnes sous vos ordres. Dans le monde de l'entreprise, vous devez faire vos preuves un peu plus. Ils ne vous donnent tout simplement pas ce type de crédibilité tout de suite. Du point de vue du leadership, il s'agissait donc de reprendre les bases, de renforcer la confiance, de renforcer la crédibilité, de comprendre ce que les gens faisaient.

Mais d'un point de vue professionnel, en termes de capacités techniques, dans la cybersécurité et l'armée, et de protection d'un réseau, les mêmes techniques et tactiques s'appliquent à la protection d'un réseau d'entreprise. De plus, vous pouvez également y parvenir en suivant votre propre objectif intérieur. L'objectif intérieur est si important pour nous tous : la défense des réseaux, la défense des données, la défense des personnes...

Clarke Rodgers (04:11) :
Suivre cette mission.

Mike Wagner (04:13) :
Oui, cela fait partie de mon objectif. C'est au cœur de mon ADN.

Clarke Rodgers (04:17) :
C'est génial. Dans le monde de l'entreprise et dans votre rôle actuel, nous constatons généralement que les CISO ont évolué au fil du temps. Auparavant, il s'agissait d'un rôle très, très technique et pas tellement axé sur les affaires, mais aujourd'hui, nous voyons les CISO et les CSO faire réellement partie de la haute direction des organisations – rendre régulièrement compte au conseil d'administration et parler vraiment le langage des affaires plutôt que celui des bits, des octets et des pare-feux. Comment avez-vous effectué cette transition ? Nous avons parlé de confiance il y a une minute. Comment gagner la confiance des autres cadres supérieurs de votre organisation ?

Mike Wagner (04:58) :
L'une des compétences les plus importantes, je pense, pour tout professionnel de la sécurité, et évidemment pour un CISO, est la capacité à établir des relations avec les gens, vous savez ? Avoir un lien, un point commun qui va les amener à écouter ce que vous dites. Ainsi, une fois que vous êtes en mesure d'établir cette connexion et de vous fixer comme objectif d'éduquer les gens sur ce qu'est la cybersécurité et pourquoi elle est importante pour eux, cela devient beaucoup plus facile.

Ce ne sont là que les principes fondamentaux, mais en gros, il faut s'adresser à ces cadres et s'assurer qu'ils comprennent le cyberespace, qu'ils comprennent que c'est une responsabilité commerciale. Et franchement, ils devraient utiliser nos services pour les aider à développer leurs activités.

Nous sommes une grande entreprise de santé grand public. Nous comptons plus d'un milliard de consommateurs et nous voulons continuer à croître. Les consommateurs vont acheter de plus en plus directement auprès de nous. Comment pouvons-nous les aider à accéder à nos produits, qui, selon nous, les rendent meilleurs et en meilleure santé, qu'il s'agisse d'écran solaire, de Tylenol ou encore de produits pour que leurs bébés se sentent mieux ?

Nous voulons donc en faciliter l'accès. Nous voulons également nous assurer qu'ils savent que nous pouvons protéger leurs données. Et évidemment, au-delà du consommateur, nous travaillons avec nos excellents clients, fournisseurs et employés. Nous rendons cette expérience utilisateur, cette expérience des personnes qui interagissent avec nos systèmes beaucoup plus simple, fluide et sûre.

Clarke Rodgers (06:33) :
Ce que vous venez de décrire constitue donc un défi courant pour les CISO, n'est-ce pas ? Il s'agit de développer cette culture de sécurité en dehors de l'organisation de sécurité. Pour que les gens comprennent que c'est une bonne chose d'intégrer la sécurité tôt et souvent, n'est-ce pas ? Comment vous y prenez-vous ou quels types de programmes avez-vous mis en place pour aider à développer cette culture de sécurité au sein de votre organisation ?

Mike Wagner (06:58) :
L'un des programmes que nous avons mis en place et qui a connu un réel succès est le concept suivant : j'ai parlé un peu de technologie opérationnelle ou OT. Nous sommes un fabricant mondial. Nous avons des dizaines d'usines et des centaines de prestataires logistiques tiers. Nous avons mis en place ce que nous appelons un programme OT champion, dans le cadre duquel nous connaissons et avons un point de contact qui est un champion de la sécurité dans le secteur de la chaîne d'approvisionnement.

Clarke Rodgers (07:28) :
Oh, intéressant.

Mike Wagner (07:29) :
Oui. Ces personnes, nous les formons, un peu comme dans un programme de « formation des formateurs ». Mais plus que cela, nous sommes une ressource pour eux. Nous les défendons et ils défendent notre programme. Ce programme a été un succès parce qu'il nous a permis de pénétrer des espaces que nous ne serions pas en mesure de pénétrer autrement.

Nous avons parlé plus tôt de ce que nous avons en commun, le fait d'être dans l'armée. C'est comme lorsque les troupes américaines partent à l'étranger, elles comptent sur les habitants pour se déplacer. Ils connaissent la géographie, ils connaissent le terrain. Ils savent où faire attention et où vous serez le mieux placé. C'est dans le même esprit qu'en amenant ou en suppléant des personnes dans l'activité, en l'occurrence dans la chaîne d'approvisionnement, elles peuvent nous aider à mieux réussir et, en retour, nous les aidons à sécuriser l'entreprise, à ce qu'elle ne fasse pas la une des journaux et à fournir nos produits aux consommateurs qui en ont besoin.

Clarke Rodgers (08:33) :
Et ce programme, tel que vous l'avez publié, ces chefs d'entreprise ont-ils compris les avantages qu'il apporte ?

Mike Wagner (08:40) :
Absolument. La sécurité étant devenue de plus en plus courante, les chefs d'entreprise de ces unités savent que leurs employés ont des liens avec notre programme. Et dans de nombreux cas, nous avons déjà parlé à leurs dirigeants. La connexion étant déjà établie, nous pouvons avancer plus facilement. Ils sont préparés et prêts à recevoir les informations que nous leur donnons, l'éducation que nous leur donnons.

Clarke Rodgers (09:15) :
Pouvez-vous expliquer en quelques mots comment vous leur signalez les risques et comment vous faites pour que la sécurité soit une réalité pour eux ? Dans le temps, pour ce que l'on pourrait appeler les CISO de la vieille école, le rapport reposait sur une affiche présentant des matrices de vulnérabilités et des programmes de correction, etc., qui restent souvent incompris des conseils d'administration. Comment communiquez-vous les risques aux conseils d'administration ?

Mike Wagner (09:38) :
Nous l'exprimons en termes de risque commercial, d'impact sur l'entreprise. Nous nous efforçons évidemment de minimiser cet impact grâce aux contrôles que nous avons mis en place. Nous parlons également de notre programme, de son évolution et de la manière dont ses fonctionnalités permettent à l'entreprise de se développer. Beaucoup de gens considèrent la sécurité comme un jeu défensif, tel qu'un jeu d'assurance.

Clarke Rodgers (10:04) :
Bien sûr.

Mike Wagner (10:05) :
Nous examinons la sécurité non seulement du point de vue défensif, mais également de l'accès. Et l'accès est un facilitateur. J'ai déjà mentionné l'accès pour les consommateurs, pour nos clients, pour nos fournisseurs et évidemment pour notre main-d'œuvre. Si nous pouvons rendre l'accès plus facile et plus fluide, nous pouvons permettre à l'entreprise d'aller plus vite. Dans le cadre de nos processus de développement, nous veillons à ce que la sécurité soit intégrée dès le début des processus et fasse partie du pipeline lors du déploiement de nouvelles versions technologiques. Ce sont des leçons que nous avons apprises très tôt, ce qui nous a permis d'être un véritable partenaire de l'entreprise et un partenaire jouissant d'une grande crédibilité.

Clarke Rodgers (10:49) :
C'est formidable. Changeons un peu de sujet et abordons la dotation en personnel de votre programme de sécurité. Vous avez déjà parlé de votre programme de champions et de l'OT. En dehors de l'OT, disposez-vous d'un moyen efficace de multiplier les forces de votre équipe de sécurité au sein de votre organisation ?

Mike Wagner (11:10) :
Nous comptons évidemment sur le recrutement de personnes ayant des compétences en génie logiciel. Nous avons engagé un certain nombre de militaires. Des compétences telles que la compréhension du déploiement de logiciels et du code sont beaucoup plus importantes et ont fait l'objet d'une plus grande attention récemment. Et ce, parce que nous cherchons à savoir comment l'IA peut contribuer à notre programme de sécurité et comment nous pouvons assurer une présence industrielle mondiale avec un nombre limité d'employés. Nous sommes donc impatients d'explorer d'autres options que l'IA peut offrir.

Mais pour ce qui est des aspects humains, je surveille les gens qui font partie de l'armée de l'air et de différents forums militaires. Nous avons mis en place des programmes dans le cadre desquels nous avons fait venir des anciens combattants après la fin de leur période de service. Certains de ces programmes leur permettent d'obtenir leur diplôme universitaire tout en travaillant. Cela a donc été un grand succès.

Nous offrons aux anciens combattants qui font partie de l'entreprise un excellent programme d'avantages sociaux. Nous soutenons au mieux les militaires. Par exemple, lorsqu'ils doivent partir pour leurs deux semaines d'entraînement annuel ou qu'ils sont appelés sous les drapeaux, nous veillons évidemment à ce que d'excellents avantages leur soient accordés.

J'entends souvent que les gens ont du mal à recruter et que recruter de bons talents est l'un des défis auxquels les CISO seront confrontés au cours des prochaines années, et qu'ils ont dû relever par le passé. Je dis souvent que j'ai l'impression de ressembler à un entraîneur de football américain universitaire. Je recrute avant même que les postes ne soient disponibles. Je cible les talents, j'établis des relations, je participe à différents forums où je sais qu'il y aura de bons talents.

En fin de compte, c'est une activité axée sur les relations. Vous serrez des mains, vous gardez des contacts, vous établissez un lien avec cette personne spéciale que, en fin de compte, vous espérez voir intégrer votre entreprise lorsque vous en aurez besoin. Pour ce qui est de la constitution de l'équipe de cybersécurité de Kenvue, nous avons eu la chance de pouvoir faire appel à des personnes très talentueuses issues de grandes entreprises, et disposons ainsi d'un personnel très, très efficace et très, très productif.

Clarke Rodgers (13:50) :
C'est une histoire fantastique. Pour en rester à la culture, encore une fois, le rôle du CISO ayant évolué au fil du temps, le CISO et le département de la sécurité en général ont souvent été considérés comme des partisans du « Non ». N'est-ce pas ? Et nos clients CISO les plus performants d'aujourd'hui considèrent réellement le service de sécurité comme un facilitateur et un département du « Oui, mais ». N'est-ce pas ? Donc moins de flicage, plus de coaching. Comment se passent les choses dans votre organisation et comment cette transition s'est-elle déroulée au fil des ans ?

Mike Wagner (14:29) :
Nous voulons être reconnus comme des facilitateurs. Nous voulons nous assurer que le département de cybersécurité n'est pas considéré uniquement comme un organisme de défense, mais qu'il permet également l'accès. Comment y sommes-nous parvenus ? Grâce à l'éducation. Et lorsque nous éduquons et sensibilisons dans l'entreprise, les personnes comprennent. Par exemple, quand vous leur parlez d'un concurrent, d'une entreprise que vous connaissez ou d'un fournisseur de services logistiques tiers qui a été victime d'une tentative de rançonnage, elles reconnaissent qu'elles ne veulent pas se retrouver elles-mêmes dans cette situation.

Ainsi, grâce à cette éducation, les entreprises se sont montrées très coopératives avec nous et nous ont permis de leur indiquer la meilleure voie à suivre. Je suis fermement convaincu que nos relations avec les fournisseurs de cloud nous permettent non seulement de sécuriser nos activités, mais également de déployer cette technologie plus rapidement, mieux et à moindre coût. Et les entreprises aiment ça. Si une entreprise constate que nous sommes là pour fournir le produit à ses clients à un prix abordable, plus rapidement, mieux et moins cher, alors elle achètera.

Clarke Rodgers (15:52) :
C'est génial. Je sais bien que vous ne pouvez pas prédire l'avenir, mais si nous devions avoir cette conversation à nouveau dans cinq ans, de quels grands défis et opportunités pour les CISO parlerions-nous ?

Mike Wagner (16:08) :
Eh bien, je pense que dans cinq ans nous aurons gagné en maturité et comprendrons bien mieux comment utiliser ces robots d'IA pour nous renforcer. Je pense que nous continuerons à éduquer pour que l'entreprise soit encore mieux équipée pour comprendre notre travail. Nous avons déjà notre mot à dire. Je pense que nous allons continuer sur cette lancée en tant que voix non seulement technologique, mais aussi commerciale.

Je ne suis pas sûr que le CISO travaillera dans le département informatique ou relèvera toujours du CIO. Je pense qu'il pourrait appartenir à différents services, et qu'il jouera un rôle important dans les décisions commerciales qui sont prises et auprès les différents fournisseurs et clients avec lesquels nous traitons.

Clarke Rodgers (17:15) :
C'est génial. Mike, merci beaucoup de m'avoir rejoint aujourd'hui.

Mike Wagner (17:19) :
Parfait. Merci beaucoup, Clarke.