Comment l'équipe de sécurité de 5 personnes de la Spokane Teachers Credit Union parvient à obtenir une grande confiance zéro

La petite équipe de cinq personnes de Greg Mitchell à la Spokane Teachers Credit Union (STCU) a réalisé ce dont beaucoup de grandes institutions financières ne font que rêver. Ils ont atteint plus de 90% dans le cadre de leur stratégie "Zero Trust".

Ce qui rend l'histoire de la STCU si convaincante, ce ne sont pas seulement les chiffres, mais aussi l'état d'esprit de l'équipe.

Au cours de notre conversation dans le dernier épisode du podcast The Segment, Greg a partagé les cinq leçons que lui et son équipe ont apprises au cours de la mise en œuvre de Zero Trust.  

Nous avons discuté de la manière dont les équipes allégées peuvent faire de la segmentation une priorité commerciale, renforcer la résilience étape par étape et consolider les relations dans l'ensemble de l'organisation en cours de route.

1. Faire de la cybersécurité une initiative de l'entreprise

Trop souvent, nous entendons dire que la sécurité doit "soutenir" l'entreprise. Greg voit les choses différemment.

"Nous avons en quelque sorte changé d'optique", a-t-il déclaré. "C'est tout aussi important que ces initiatives commerciales. C'est devenu une autre initiative dont nous assurons le suivi trimestriel avec l'accord des dirigeants".

L'encadrement est important. Lorsque les initiatives de confiance zéro, telles que la segmentation, sont traitées comme des projets de base, elles bénéficient de la même attention, des mêmes ressources et du même élan que les initiatives génératrices de revenus.  

Elle envoie également un message fort à l'ensemble de l'entreprise : la cybersécurité n'est pas facultative.

2. Pour obtenir des gains rapides, les petites organisations doivent commencer (très) petit.

La sagesse courante en matière de confiance zéro est de commencer par sécuriser les actifs les plus critiques de votre organisation. Cela permet de montrer les premiers progrès, d'obtenir l 'adhésion du conseil d'administration et de verrouiller les données, les applications et les ressources dont l'entreprise dépend le plus.

Mais pour une coopérative de crédit régionale comme STCU, toute erreur ou faux pas peut être catastrophique. C'est pourquoi Greg a choisi un point de départ légèrement différent pour Zero Trust.

"Vous voulez obtenir de petites victoires, alors commencez par de petites applications", a-t-il conseillé. "Construisez un cahier des charges, gagnez en confiance, puis attaquez-vous aux applications les plus critiques et les plus complexes".

L'approche de Greg a fonctionné. STCU a évité les obstacles initiaux et a plutôt construit sa crédibilité, sa confiance et des processus reproductibles.  

Les progrès se sont multipliés jusqu'à ce qu'ils atteignent 90%. Comme l'a dit Greg, même le fait de faire passer une application de 100% exposés à 40% protégés est un progrès. Chaque incrément compte, surtout dans une petite organisation.

Vous voulez obtenir de petites victoires, alors commencez par de petites applications. Élaborez un cahier des charges, gagnez en confiance, puis attaquez-vous aux applications les plus critiques et les plus complexes.

3. Établir des relations, pas seulement des règles

Pour de nombreuses organisations, la confiance zéro est souvent considérée comme purement technique. Mais Greg a mis en évidence un avantage inattendu pour l'entreprise : le renforcement de la collaboration interfonctionnelle.

"Le plus grand avantage que nous avons constaté est que les relations entre pairs sont un peu plus étroites", a-t-il déclaré. "Nous avons formé les équipes à la visualisation des blocs et au libre-service. Il ne s'agissait pas de faire tout cela à huis clos. Il s'agissait d'un partenariat.

Cette transparence a transformé ce qui aurait pu être une source de friction en un pont entre l'informatique et l'entreprise. Cela signifie également que la petite équipe de cinq personnes de Greg bénéficie du soutien du reste de l'organisation, ce qui facilite grandement le travail de chacun.

4. Pratiquez et testez l'état d'esprit "assumer la rupture".

Greg a également expliqué comment STCU teste sa résilience par le biais d'exercices trimestriels de reprise après sinistre et de tests de pénétration effectués par des tiers.

"La reprise après sinistre, la reprise après sinistre, la reprise après sinistre", a-t-il souligné. "Ce n'est pas très amusant, mais c'est important. Vous trouvez des lacunes, puis vous les corrigez".

Cela rejoint un thème que je commence à retrouver dans tout le secteur de la cybernétique : la cyber-résilience n'est pas seulement une stratégie, c'est un mode de vie.  

Il ne s'agit pas de le régler et de l'oublier. Vous répétez jusqu'à ce que cela devienne une seconde nature. Et cela vaut pour l'ensemble de l'organisation, pas seulement pour l'équipe de sécurité.

5. Faites de l'adhésion des dirigeants votre multiplicateur de force

À chaque fois, Greg a fait preuve de leadership.

"Je tire mon chapeau à notre directeur", a-t-il déclaré. "Lorsque les dirigeants déclarent qu'il s'agit d'une priorité, elle devient une priorité à mettre en œuvre par la personne suivante.

Cet engagement descendant a permis à l'équipe allégée de Greg d'équilibrer son parcours Zero Trust avec d'autres priorités informatiques et commerciales sans sacrifier la productivité.

La prochaine étape pour STCU est d'étendre Zero Trust à son environnement Microsoft Azure. La marche à suivre restera la même : impliquer les bons architectes dès le début, aligner la technologie sur les objectifs de l'entreprise et développer ce qui fonctionne déjà.

Big Zero Trust : les leçons d'une petite équipe

Pour les dirigeants de petites entreprises qui se demandent si la confiance zéro est trop complexe, trop coûteuse ou trop perturbatrice, STCU prouve le contraire. Avec le bon état d'esprit, même des équipes réduites peuvent fournir une résilience de niveau entreprise.

C'est Greg qui l'a le mieux exprimé : "La confiance zéro est un état d'esprit. Vous n'avez pas besoin de vous ruiner. Utilisez ce que vous avez, obtenez l'adhésion des dirigeants et continuez. On peut toujours faire plus".

Écoutez l'intégralité de notre conversation sur The Segment : Un podcast sur le leadership sans confiance via Apple, Spotifyou notre website.