par Gerald Boyne, chef de l'assurance sécurité, région AWS DACH (Allemagne, Autriche et Suisse)
La sécurité occupe une place primordiale dans l'agenda de chaque organisation allemande. Gerald Boyne, chef de l'assurance de la sécurité, explique comment l'intégration des pratiques de sécurité dans la culture de votre organisation peut permettre d'éviter la fuite financière ou opérationnelle et en faire plutôt un catalyseur organisationnel.
La cybercriminalité est le « cygne noir » de l'environnement numérique allemand ; cette situation est imprévisible et souvent mal évaluée. Voilà pourquoi, en matière de gestion des risques, il ne s'agit plus d'un cas de correspondance de modèles. Il s'agit plutôt de s'attendre à l'inattendu, quitte à rechercher l'inconnu.
Pour ce faire, les entreprises allemandes ont besoin d'une intelligence puissante pour détecter et prévoir les anomalies de sécurité. Cependant, cette initiative repose sur le fait que toute l'organisation considère la sécurité comme plus qu'une simple fonction informatique, mais comme une question de culture qui touche tout le monde.
Cette culture de la sécurité encourage les individus à se réunir et à élargir leur vision des habitudes de sécurité. De cette façon, ils sont plus susceptibles de défendre un sentiment d'unité organisationnelle et de devenir des détecteurs de tout ce qui est anormal, se protégeant ainsi les uns les autres et protégeant leur entreprise.
En Allemagne, la sécurité a souvent été considérée comme « le méchant » ou comme épuisant sur le plan financier et opérationnel. Désormais, de plus en plus d'entreprises en adoptent la véritable valeur et encouragent tous les acteurs du secteur informatique, et au-delà, à célébrer sa valeur. Après tout, la sécurité peut faire la différence entre une entreprise capable de survivre à une cyberattaque et une qui en est incapable.
Deux collègues de Deutsche Telekom IT, notamment Andreas Terwellen, vice-président de la sécurité, et Jeremias Reith, responsable produit du Centre d'excellence cloud, ont partagé cette idée lors de la journée Munich Transformation début 2019. Ils utilisent un modèle DevSecOps et parlent de « prêter l'oreille » aux besoins de l'entreprise plutôt que de toujours dire « non » catégoriquement. Passer fondamentalement de l'exploitation en ayant peur d'être guidé par la science des données et de la sécurité, ainsi que par les scores de sécurité axés sur l'entreprise, est également essentiel à leur façon de travailler.
Au lieu du « presse-papiers et de la liste de contrôle », ils utilisent désormais des « opérations de conformité ». De même, au lieu de conserver toutes les informations auprès de l'équipe de sécurité, ils partagent des informations sur les menaces avec leurs équipes partenaires dans les divisions d'ingénierie et d'opérations. Ils donnent la priorité aux contributions et à la collaboration ouvertes par rapport aux exigences portant uniquement sur la sécurité. Ils ont aussi mis en place une surveillance proactive de la sécurité 24h/24 et 7j/7. Ils invitent les experts en sécurité à informer immédiatement les ingénieurs en cas de problème, et proposent même d'apprendre aux membres de l'équipe de sécurité et d'opérations à écrire des codes afin de mieux comprendre le fonctionnement du logiciel.
Avec cette nouvelle reconnaissance, la sécurité chez Deutsche Telekom est intégrée à la routine quotidienne de tout un chacun et devient aussi naturelle que de filtrer les e-mails ou de planifier une réunion. Une surveillance de la sécurité proactive ou réactive est de mise. Lorsqu'il est bien mis en œuvre, ce nouveau mode d'opération est essentiel pour obtenir une acceptation à l'échelle de l'organisation et pour faire de la sécurité une expérience positive plutôt qu'un inconvénient.
Cependant, faire de la sécurité une norme d'entreprise ne consiste pas seulement à travailler en parallèle entre les personnes et la technologie.Il s'agit aussi de travailler ensemble pour créer un cercle dynamique d'excellence opérationnelle. Dans mon parcours de chef DACH de l'assurance sécurité chez AWS, j'ai appris que l'un des moyens les plus efficaces d'y parvenir consiste à établir un partenariat avec un prestataire de services cloud de confiance pour créer un environnement basé sur l'automatisation, la normalisation et l'évolutivité.
Dans son eBook « Créer une culture de sécurité », mon collègue, Mark Schwartz, partage son expérience de ce sujet et ce que signifie avoir une culture de sécurité. Aujourd'hui plus que jamais, les entreprises allemandes peuvent considérer la sécurité comme un catalyseur pour leur organisation, en intégrant cette mentalité dans leurs méthodes de travail.
Besoin de plus de conseils de dirigeants ?