Connect with us

Technologie

Le secret de la construction d’une équipe de cybersécurité à l’épreuve du temps

Published

on


Chaque entreprise est maintenant une entreprise numérique. Selon le ministère britannique de la Culture, des Médias et du Sport (DCMS), 96% des entreprises britanniques ont « une certaine forme d’exposition numérique », offrant aux cybercriminels plus d’opportunités que jamais auparavant.

Des violations spectaculaires qui attirent l’attention mondiale sur les défaillances quotidiennes, le paysage des menaces de cybersécurité évolue rapidement, avec des cybercriminels encouragés à frapper un monde qui a adopté à la hâte les technologies numériques. ForgeRock Rapport 2021 sur les atteintes à l’identité des consommateurs a révélé une augmentation de 450 % des atteintes au nom d’utilisateur et aux mots de passe, coûtant en moyenne 8,64 millions de dollars, ce qui attribue en partie cette augmentation à un manque de préparation à la cybersécurité.

C’est dommage, aussi, car les PDG avaient travaillé dur pour donner la priorité à la cybersécurité avant la pandémie. Quelque 77 % des entreprises le considèrent maintenant comme une priorité au niveau du conseil d’administration, selon le DCMS. Mais les changements provoqués par la pandémie posent de nouveaux défis aux chefs d’entreprise et à la sécurité, tout en exacerbant les anciens. Et peut-être que l’obstacle le plus persistant à l’atteinte d’une posture de cybersécurité suffisamment forte a été la mise en place, la rétention et la mise à l’échelle des équipes de cybersécurité elles-mêmes.

Alors, dans le monde numérique post-pandémique d’aujourd’hui, où les cybercriminels voient un festin d’opportunités, quels sont les secrets pour construire une fonction de cybersécurité de classe mondiale? À mon avis, les trois éléments clés sont les attributs, les types de personnalité et les attentes.

Embauchez pour les attributs, pas l’expérience

La pénurie de personnel ayant des compétences hautement techniques en cybersécurité, comme la conception de systèmes sécurisés, est bien documentée à ce stade (voir ici et ici), mais ce qui est souvent négligé par les leaders de la cybersécurité, c’est l’importance d’embaucher pour les compétences générales aussi.

C’est un domaine où il y a eu des améliorations récemment – une enquête Tripwire a révélé que 21% des répondants ont évalué les compétences générales comme plus importantes que les compétences techniques.

Cependant, il est toujours courant de trouver une entreprise essayant de construire son équipe de cybersécurité en poursuivant une licorne insaisissable avec 15 ans d’expérience dans le domaine dont elle a besoin à ce moment particulier – par exemple, DevSecOps ou la détection d’intrusion – et sans tenir compte des autres compétences dont elle aura besoin à long terme. Ils peuvent être la personne la plus talentueuse dans ce domaine, mais ils ont besoin de suffisamment de ce travail pour les garder occupés et / ou passionnés, ce qui est difficile dans le monde en évolution rapide de la cybersécurité.

Et embaucher pour l’entreprise aujourd’hui n’équivaut pas à un succès demain. Les changements technologiques, les menaces évoluent et votre base technologique de cybersécurité s’aligne. Les normes techniques d’aujourd’hui seront bientôt obsolètes, de sorte que l’attribut le plus important est de pouvoir résoudre les problèmes et s’adapter, afin qu’elles puissent répondre aux nouveaux défis et les surmonter.

Comment pouvez-vous garder quelqu’un heureux si vous l’insérez dans un attribut plutôt que dans un trou en forme de compétence? Ancrez votre embauche dans une feuille de route de trois à cinq ans. Par exemple, si vous embauchez un diplômé en cybersécurité, cette personne ne voudra pas être à ce poste pendant 10 ans. C’est à vous de créer un plan pour les développer professionnellement.

Vous devez les utiliser dans des projets qui fourniront une expérience et des compétences supplémentaires pendant que vous recherchez des opportunités de faire correspondre leurs compétences techniques existantes à d’autres projets. Par exemple, demandez-leur d’observer d’autres membres de l’équipe. C’est ainsi que vous retenez les talents : avec une feuille de route guidée. Et si vous avez vraiment besoin de ce spécialiste technique à aspect unique, embauchez simplement un entrepreneur plutôt qu’un employé permanent.

Soyez sensible aux types de personnalité

Un autre trait qui est souvent négligé est l’intelligence émotionnelle et les types de personnalité. Cela est en train de changer – l’enquête F-Secure menée cette année auprès des responsables de la sécurité de l’information (RSSI) a révélé que les deux tiers comprenaient le rôle de plus en plus important de l’intelligence émotionnelle pour les aider à naviguer dans l’entreprise. Cette mentalité peut, et doit, s’appliquer à l’ensemble de l’équipe de cybersécurité, car elle peut modifier fondamentalement sa cohésion.

S’assurer que vous formez un groupe cohésif aidera à vous assurer que les membres de l’équipe travailleront bien avec les autres. Même s’ils ont le CV le plus impressionnant, leur façon de travailler pourrait être en contradiction avec l’équipe et peut finir par perturber l’équilibre de votre équipe. Aucune quantité d’expertise ne peut compenser ces dommages, donc faire le bon jugement sur la façon dont un candidat s’intégrera dans l’écosystème existant dès le départ est tout aussi important que de développer les qualifications dans la construction d’une équipe percutante.

C’est là que les CV et de nombreuses entrevues sont gravement déficients. Vous n’obtenez aucun aperçu de la personnalité de quelqu’un en lisant une liste aseptite de faire l’expérience d’un cadre de sécurité ou leur demander leur avis sur un cadre de sécurité. Utilisez donc les entretiens pour vous mettre derrière le voile en posant des questions inhabituelles auxquelles les candidats ont peu de chances d’avoir répété des réponses, afin d’avoir un aperçu de qui ils sont. Je demande souvent: « Quelle est votre idée d’un bon week-end? » pour savoir comment ils priorisent les choses dans la vie – et leur volonté de répondre honnêtement aux questions.

Soyez réaliste quant aux attentes

De nombreux diplômés ont reçu des idées exagérées sur le marché du travail de la cybersécurité, créant le risque d’un décalage entre les attentes et la réalité. Par conséquent, il incombe aux gestionnaires d’embauche d’être clairs sur ce à quoi ressemble réellement une carrière , tout en créant les futures opportunités de développement qui aideront les nouveaux employés à progresser dans leur carrière.

Le meilleur antidote aux attentes irréalistes est la transparence totale. Les recruteurs doivent brosser un tableau très clair pour le candidat de ce qu’est réellement la réalité pour les nouveaux employés, y compris mettre le salaire sur l’annonce d’emploi. En Californie, les entreprises doivent indiquer aux candidats l’échelle salariale du rôle si on leur le demande, mais je ne vois pas l’intérêt d’attendre.

Pour vous assurer qu’ils sont conformes à votre géographie et à l’ancienneté du rôle, utilisez les repères de rémunération de Radford pour la diligence raisonnable. Assurez-vous de discuter des exigences salariales au début du processus de recrutement – c’est l’une des pierres d’achoppement les plus courantes à l’embauche, alors ne la remettez pas à plus haut niveau. Et combinez ce réalignement précoce avec un véritable engagement envers la progression de carrière à long terme, de sorte que même si les diplômés n’obtiennent pas le glamour qu’on leur avait faussement promis dès le début, ils savent qu’il existe des possibilités de croissance.

Les entreprises ne peuvent pas se permettre d’avoir une équipe de cybersécurité composée de professionnels inefficaces dans ce climat – elles échoueront avant même de commencer. Cela peut sembler évident, mais la mise à l’échelle et le renforcement de votre équipe de cybersécurité et de vos talents est un élément fondamental que tant d’entreprises se trompent encore.

Mais en recrutant pour des compétences générales, et non pour de l’expérience, en étant sensibles aux types de personnalité et en étant franches sur les attentes en matière de rôles, les entreprises peuvent renforcer leurs défenses à un moment où les risques sont élevés et équiper leurs équipes pour s’adapter à l’avenir.


Russ Kirby est RSSI chez ForgeRock.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance