.png)
Ce que les organisations à but non lucratif enseignent au secteur de la cybersécurité
Et si nous considérions la cybersécurité non pas comme une case à cocher de conformité ou une réponse à une crise, mais comme un acte de service ?
C'est la question à laquelle je revenais sans cesse après ma conversation avec le Dr Kelley Misata, fondatrice et PDG de Sightline Security, à propos du dernier épisode de Le segment.
Le parcours de Misata vers la cybersécurité n'était pas typique. C'était personnel. Après avoir été harcelée pendant des années par une personne utilisant des technologies d'anonymisation, elle a poursuivi un doctorat en sécurité de l'information afin de comprendre comment les outils numériques pouvaient protéger et nuire.
Cette expérience a façonné son approche axée sur l'empathie et sa conviction de la nécessité de démystifier la sécurité pour tous.
Le cyber-fossé des organisations à but non lucratif
L'œuvre de Misata se situe à l'intersection de cybersécurité et le monde des organisations à but non lucratif, où les organisations axées sur une mission opèrent souvent avec des marges très minces et avec un soutien technique limité.
Mais comme elle l'a clairement indiqué, cela ne veut pas dire qu'ils manquent de sophistication ou de finalité. En fait, c'est souvent le contraire qui se produit.
Qu'il s'agisse d'un refuge pour victimes de violence domestique, d'une banque alimentaire ou d'une organisation à but non lucratif de prévention du suicide, les enjeux sont humains et pas seulement financiers. Cela signifie que les approches traditionnelles en matière de cybersécurité ne se traduisent pas toujours.
Des termes tels que « inventaire des actifs » ou « cadres de contrôle » peuvent sembler abstraits, voire aliénants, dans des environnements où les gens essaient simplement d'aider les autres à survivre.
Kelley a raconté une histoire marquante à propos d'une organisation de soutien au suicide qui organise intentionnellement un forum ouvert. Lorsque Kelley a évoqué les risques potentiels, le fondateur a expliqué que leur communauté avait besoin d'un endroit où observer et se sentir en sécurité avant de participer.
« C'est ce dont notre communauté a besoin », a déclaré le fondateur à Misata.
Ce moment a changé sa façon de voir risque de sécurité, non pas comme quelque chose à éradiquer, mais comme quelque chose sur lequel il faut travailler de manière réfléchie.
Intégrer la sécurité dans les comportements quotidiens
Misata plaide pour un changement de mentalité, qui intègre la cybersécurité dans les comportements quotidiens au lieu de la reléguer à des départements informatiques cloisonnés.
« Mon rêve est que nous prenions du recul et que nous nous disions : 'Hein, peut-être devrions-nous y repenser' », a-t-elle dit. « Donc, c'est presque prendre cette pause au lieu de se dire : « Oh mon dieu, nous devons aller parler à l'équipe de sécurité ». »
Ce type de changement culturel prend du temps. « Je pense que les acteurs du secteur de la sécurité sont impatients à ce sujet », a-t-elle déclaré. « Et j'espère que j'apporterai un peu de patience à la conversation pour dire : « Ça va. Nous avons fait des progrès. Continuons simplement. '»
Écoutez d'abord, puis sécurisez
Cet état d'esprit reflète le travail de Misata chez Sécurité Sightline, où elle et son équipe traduisent les cadres de sécurité dans un langage adapté aux besoins des organisations à but non lucratif. Ils le font non pas en minimisant les choses, mais en écoutant d'abord.
« Je connais peut-être la cybersécurité, mais je ne connais pas votre mission. Commençons donc par là », confie-t-elle aux organisations à but non lucratif.
Elle a toutefois mis en garde contre la précipitation des réponses.
« N'y allez pas comme un super héros », a-t-elle dit. « Entrez avec humilité. Demandez-leur comment ils fonctionnent. Qu'est-ce qui les intéresse ? C'est ainsi que l'on progresse. »
Nous avons également discuté du rôle croissant des logiciels libres, en particulier dans les environnements à but non lucratif, où des solutions rentables sont essentielles.
Le conseil de Misata : traitez les projets open source comme des fournisseurs tiers. Posez des questions. Comprenez la gouvernance. Sachez qui gère le code.
Instaurer la confiance en matière de cybersécurité dans un monde Zero Trust
On parle souvent de Confiance zéro en termes d'architecture : vérification des utilisateurs, segmentation des réseaux et élimination de la confiance implicite.
Mais le travail de Misata nous rappelle que Zero Trust est également une posture culturelle. Il s'agit de ne pas faire de suppositions, sur les personnes, sur la technologie, sur ce à quoi ressemble une « bonne sécurité ».
C'est plutôt une question de curiosité. Il s'agit de rencontrer les organisations là où elles se trouvent et de leur demander : de quoi avez-vous besoin pour être en sécurité dans votre contexte ?
Le message de Misata est d'une humanité rafraîchissante dans un monde qui privilégie la vitesse et le contrôle. La sécurité ne consiste pas à être la personne la plus intelligente de la pièce. Il s'agit d'être le plus présent possible, d'écouter, d'apprendre et de s'adapter.
Son histoire nous rappelle que cyber-résilience ne provient pas d'outils parfaits ou de périmètres étanches. Elle repose sur une compréhension approfondie des gens, de leurs peurs, de leurs missions et de leurs réalités.
C'est le travail qui compte. Et ça commence par demandant, sans rien dire.
Écoutez, abonnez-vous et révisez Le segment : un podcast sur le leadership Zero Trust
Vous voulez entendre l'intégralité de ma discussion avec le Dr Kelley Misata ? Écoutez l'épisode de cette semaine sur Podcasts Apple, Spotify, ou partout où vous pouvez accéder à vos podcasts. Vous pouvez également lire un transcription complète de l'épisode.
.webp)
