Le manuel du RSSI : Comment la confiance fait de la sécurité un moteur de croissance pour l'entreprise
Les clients d'aujourd'hui ne veulent pas seulement un produit qui fonctionne. Ils veulent faire confiance à l'entreprise qui en est à l'origine.
Pour Erik Bloch, vice-président de la sécurité de l'information chez Illumio, c'est précisément là que la cybersécurité entre en jeu.
Sous la direction d'Erik, la sécurité est devenue un outil commercial de premier plan chez Illumio. C'est un élément clé qui permet à Illumio de gagner la confiance de ses clients, de conclure des affaires et d'établir des relations durables avec eux. La sécurité ne protège pas seulement l'entreprise. Il contribue à la croissance de l'entreprise.
Dans ce nouvel épisode de la série The CISO's Playbook, je me suis entretenu avec Erik pour comprendre comment les responsables de la sécurité peuvent recadrer leurs stratégies pour soutenir la croissance de l'entreprise, l'échelle et la confiance des clients dans leur organisation.
La confiance est le nouveau périmètre de sécurité
Si vous dirigez une équipe de sécurité dans une entreprise en pleine croissance, vous le savez déjà : la sécurité est un facteur de réussite ou d'échec pour les ventes.
Comme le dit Erik, "si nous n'avions pas notre SOC 2, notre ISO 27001, notre PCI - si nous ne pouvions pas répondre à toutes les questions de nos clients - nous ne serions pas en mesure de faire des affaires".
Les certifications et la posture de sécurité ne sont pas seulement une question de conformité. Ce sont des enjeux de croissance.
Ils apparaissent partout, des appels d'offres aux examens juridiques en passant par les questionnaires d'intégration.
"La sécurité fait partie du cycle de vente pour pratiquement toutes les affaires qui nous parviennent", explique Erik.
Dans cet environnement, la sécurité devient une fonction de croissance. C'est ce qui ouvre la voie aux recettes. "Nous déverrouillons ces portes pour que l'entreprise puisse continuer à fonctionner", explique Erik.
Pourquoi les responsables de la sécurité doivent-ils parler le langage des affaires ?
Le conseil le plus important qu'Erik donne aux responsables de la sécurité est d'être capable d'évoluer avec fluidité entre les objectifs de sécurité et les objectifs commerciaux.
Si je vais voir le PDG et lui dis que mon SOC a traité 2 000 alertes le mois dernier, il me dira : "Pourquoi me dites-vous cela ?". explique Erik. Mais si je dis : "Nous risquons de ne pas pouvoir conclure la moitié des contrats en cours au prochain trimestre", j'ai attiré son attention.
Il est essentiel de passer de la sécurité à l'impact sur les entreprises.
Les dirigeants ne veulent pas de noms d'outils ou de mesures tactiques. Ils veulent de la clarté. Ils veulent savoir si nous allons atteindre nos objectifs. Et si ce n'est pas le cas, qu'est-ce qui fait obstacle ?
"Il s'agit de leur fournir juste assez d'informations pour qu'ils puissent poser la prochaine question ou prendre la prochaine décision", explique Erik. "S'ils sont confus ou me demandent de revenir en arrière et d'expliquer à nouveau, c'est que je n'ai pas fait mon travail.
Instaurer la confiance de l'intérieur
L'équipe d'Erik est chargée de sécuriser l'environnement interne d'Illumio et de son produit. Ces efforts se renforcent mutuellement.
Une partie de son équipe se concentre sur les opérations quotidiennes, les alertes et les incidents. Un autre est intégré à l'ingénierie pour garantir la sécurité du code, examiner les nouvelles fonctionnalités avant leur publication et orienter les décisions relatives aux produits.
"Nous nous impliquons très tôt", a déclaré Erik. "C'est le vieil adage : mesurez deux fois, coupez une fois. Si nous l'assurons dès le départ, nous aurons moins de problèmes par la suite".
Ils utilisent également les produits Illumio en interne. L'équipe d'Erik peut fournir un retour d'information aux équipes chargées des produits et rassurer les clients.
Vous ne pouvez pas dire : "Nous n'utilisons pas notre propre produit"", a déclaré Erik. "C'est un facteur de perte de confiance.
Les 3 piliers d'Erik pour une stratégie de sécurité centrée sur la confiance
Erik organise sa stratégie autour de trois piliers, tous liés à une étoile polaire : la construction de la confiance.
- Sécurisez l'entreprise. Maintenir de solides pratiques de sécurité au quotidien et répondre aux exigences fondamentales en matière de conformité.
- Soutenir les ventes et l'expansion. Veillez à ce que l'équipe de sécurité ne devienne pas un goulot d'étranglement au fur et à mesure que l'entreprise se développe. "L'intégration de nouveaux clients ne doit pas devenir un fardeau", déclare Erik. "Nous devons suivre le rythme de l'activité.
- Utilisez ce que vous vendez. Déployez Illumio en interne et partagez ces expériences avec les clients. "Nous validons le produit et aidons les équipes sur le terrain à expliquer sa valeur", a-t-il déclaré.
Ces initiatives se renforcent mutuellement.
"Si je ne faisais pas les bases, je ne pouvais pas obtenir les certifications. Si je n'avais pas les certifications, nous ne pourrions pas conclure d'affaires. Et si nous n'utilisions pas notre produit, nous ne pouvions pas gagner la confiance des clients", explique Erik.
Simplifier d'abord, automatiser ensuite - avec une visibilité qui incite à l'action
Pour renforcer la confiance, il faut d'abord voir ce qui se passe réellement. Pour Erik, cela signifie qu'il faut toujours aller vers une visibilité plus centralisée du réseau.
C'est là qu'intervient Illumio Insights.
Insights offre un lieu central où les données de sécurité affluent, où les alertes sont hiérarchisées et où l'action devient claire, sans bruit.
"Insights nous aide à accroître notre productivité", a déclaré Erik. "Je ne veux pas vivre avec 15 consoles différentes. Je veux des questions prioritaires sur lesquelles je puisse agir, et je veux tout cela au même endroit".
Il n'est pas le seul. Les équipes de sécurité sont partout submergées d'alertes et d'outils déconnectés. Plus la complexité est grande, plus il est difficile de gagner la confiance ou de prouver l'impact.
Des solutions comme Insights changent la donne en offrant une visibilité en temps réel, un contexte de risque et des recommandations exploitables à partir d'une plateforme unique.
"Il m'aide, ainsi que mon équipe, à mesurer l'impact et à prendre de meilleures décisions plus rapidement", a-t-il déclaré.
Pourquoi la confiance est plus importante que jamais
Dans le paysage actuel des menaces, toutes les entreprises sont contraintes d'aller plus vite, d'adopter de nouvelles technologies et d'étendre leurs activités. Et ce, tout en devant composer avec des budgets plus serrés et des attentes croissantes de la part des clients, des conseils d'administration et des autorités de réglementation.
Dans cet environnement, les responsables de la sécurité ne peuvent pas se permettre de travailler en vase clos ou de parler un langage différent de celui de l'entreprise.
Ce qu'il faut, c'est un programme de sécurité qui suscite la confiance, communique clairement, simplifie les opérations et accélère les résultats de l'entreprise.
"Tout ce que nous faisons est basé sur la confiance", explique Erik. " La sécurité , c'est la confiance.
Les RSSI qui dirigent avec confiance seront ceux qui aideront leur organisation à croître et à prospérer dans les années à venir.
Vous souhaitez réduire les risques, simplifier la prise de décision et instaurer un climat de confiance propice à la croissance de l'entreprise ? Commencez votre Essai gratuit d'Illumio Insights aujourd'hui.