Par Doug Fisher, Vice-Président Senior & Chef de la Sécurité, Lenovo

Un logiciel de pointe pour surveiller vos réseaux, idéalement incluant un logiciel alimenté par l'IA pour identifier et repousser les attaques potentielles aussi rapidement qu'elles atteignent votre réseau, est également crucial. Et vous devriez insister pour que seuls les appareils approuvés avec des logiciels de sécurité à jour aient accès à votre réseau. Ce sont tous des fondamentaux de la sécurité.

Pourtant, l'élément le plus important pour vous protéger des cyberattaques est votre personnel, et pas seulement vos équipes de sécurité. Évidemment, vous voulez des personnes expérimentées, talentueuses et concentrées dans vos équipes de sécurité, garantissant que toutes les protections mentionnées ci-dessus sont en place et pleinement opérationnelles. Mais la vérité est que, pour être vraiment sécurisé, il faut que chaque personne de votre organisation – des ventes aux finances en passant par les ressources humaines et le PDG – connaisse son rôle dans la protection de votre organisation. Et pour cela, vous devez bâtir une forte culture de la sécurité.

Le thème du Mois de la sensibilisation à la cybersécurité - «See Yourself in Cyber» - s'aligne sur ces deux aspects importants pour une cybersécurité solide. Le premier est que toutes les industries ont besoin de plus de personnes qualifiées et talentueuses pour envisager la cybersécurité comme une carrière. Les menaces de sécurité continuent de croître en volume et en gravité, et le monde doit se concentrer et investir dans la formation et la croissance des talents en cybersécurité. Mais j'argumenterais que la seconde partie – que chacun sache comment il peut contribuer à rendre la cybersécurité plus forte – est tout aussi importante et où une forte culture de la sécurité est essentielle.

Qu'est-ce qu'une «culture de la sécurité avant tout»?

Que veux-je dire par forte culture de la sécurité? Je veux dire une organisation dans laquelle penser à la sécurité est aussi routinier et inné que de penser au coût financier d'un projet ou aux plans pour la date de lancement d'un produit à venir. Tout comme les organisations se concentrent sur la qualité à chaque étape, elles doivent penser à la sécurité de la même manière. Penser à la sécurité signifie tout, de la construction de la sécurité dans chaque nouveau produit à réfléchir à deux fois avant d'ouvrir un lien dans un courriel d'une source incertaine, ou de répondre à une demande d'informations potentiellement confidentielles par téléphone ou réseaux sociaux. En bref, cela signifie que la sécurité est toujours une priorité pour tout le monde.

Pour que chacun se concentre sur la sécurité, vous devez d'abord obtenir le soutien des plus hauts niveaux de votre organisation. Pour Lenovo, cela a commencé avec notre PDG créant le rôle de Chef de la Sécurité et en faisant partie du comité exécutif de l'entreprise ainsi qu'avec un rapport en pointillé au Conseil d'administration. Cette structure de reporting donne au CSO un immense soutien, me permettant d'avoir les conversations difficiles et d'entreprendre les actions fortes nécessaires pour garantir que la sécurité reste toujours une priorité.

Ce niveau de soutien élevé permet également au CSO d'adopter une approche holistique de la sécurité. Surtout dans les grandes organisations avec plusieurs unités commerciales et lignes de produits, il est trop facile de développer une approche cloisonnée pour un large éventail de problèmes commerciaux, y compris la sécurité. Cependant, nous avons vu des avantages clairs à une structure unifiée – ce que nous appelons une approche One Lenovo – qui rassemble les équipes de sécurité de l'ensemble de l'entreprise. Nous réunissons les dirigeants du Bureau de la Sécurité de l'Information, de la sécurité des produits, de la sécurité de la chaîne d'approvisionnement et de la sécurité physique pour identifier les succès et soulever les problèmes qui doivent être abordés. Souvent, nous trouvons des endroits où différentes parties de l'entreprise peuvent collaborer sur des solutions, tout en parvenant à un consensus sur les principaux défis que l'entreprise doit relever. Cette approche est particulièrement utile pour demander les ressources nécessaires pour résoudre les problèmes de sécurité.

C'est pourquoi le CSO doit également créer un partenariat fort avec les autres cadres supérieurs de l'organisation car aucun CSO ne peut le faire seul. Ce partenariat doit être basé sur la compréhension partagée que les clients attendent de fortes protections pour leurs données et leur vie privée, et qu'un échec à cet égard risque d'endommager à long terme la réputation et la marque de l'organisation, ainsi que les propriétés financières et d'endommager les scores ESG de l'entreprise. Compte tenu de cela, le CSO est responsable de l'identification des risques de sécurité et des solutions potentielles, puis de travailler avec la haute direction pour s'accorder sur les solutions planifiées et trouver les ressources pour concrétiser ce plan.

Une sécurité forte inclut tout le monde

Mais après vous être aligné avec vos cadres supérieurs et vos équipes de sécurité, vous avez encore plus de 90% de votre organisation qui doit également mettre la sécurité en priorité. Comment peuvent-ils faire partie de la culture de la sécurité? La réponse est de les aider à comprendre comment ils peuvent contribuer et comment une sécurité forte profite à tout le monde. Et le meilleur moyen de transmettre cette information est la formation. Compte tenu du volume purement des attaques sur la plupart des grandes entreprises, les employés se retrouveront finalement sur les premières lignes, généralement sous la forme d'une attaque de phishing. La sophistication toujours croissante de ces faux courriels, alertes sociales, textos ou appels téléphoniques signifie que presque chaque jour un employé décide s'il doit cliquer sur un lien dans un courriel bien déguisé, ou le signaler à la place.

La formation atteint deux objectifs principaux. Premièrement, elle fournit aux employés les outils pour identifier les attaques déguisées en alertes ou salutations amicales et savoir quoi faire. Deuxièmement, elle rappelle aux employés de rester vigilants.

Nous avons une formation obligatoire à l'échelle de l'entreprise chaque année, et par obligatoire, je veux dire que personne n'est exempté, en particulier les cadres supérieurs. Et bien qu'aucune formation ne soit parfaite, la nôtre a certainement contribué à une diminution significative des attaques réussies et à une augmentation dramatique des attaques identifiées et signalées à nos équipes de sécurité.

La sécurité est certainement un voyage, pas une destination. Mais si vous parvenez à instaurer une forte culture de la sécurité dans votre organisation et à communiquer que tout le monde – y compris les cadres dirigeants – a un rôle à jouer, vous vous mettez dans une bien meilleure position pour rendre ce voyage aussi fluide que possible.

Doug Fisher, Vice-Président Senior & Chef de la Sécurité, Lenovo