Les entretiens de sécurité: comment Crest refait le futur du conseil

Une décennie de croissance

Depuis sa création, Crest est passé d’une petite organisation à but non lucratif centrée sur le Royaume-Uni à une organisation mondiale avec un peu moins de 200 entreprises membres au niveau mondial, régional ou national.

« La façon dont elle fonctionne, c’est que nous accréditons ces organisations qui examinent leurs politiques, leurs processus et leurs procédures », explique M. Glover. « Nous faisons des vérifications sur place, nous faisons des évaluations techniques le cas échéant, et nous pouvons les effectuer dans n’importe quelle partie du monde. Et nous accréditons les entreprises dans les tests de pénétration, la cybersécurité, la réponse aux incidents, l’analyse de la vulnérabilité, le renseignement sur les menaces, et nous accréditons également les SOC [Security Operations Centres].

« Cela se fait grâce à une combinaison de vérification papier, de vérification sur place et d’évaluation technique, de sorte que c’est assez élevé et nous avons encore plus de demandes en cours que de membres. C’est une chose assez difficile à atteindre pour les organisations.

Crest affirme que ses accréditations sont de plus en plus recherchées dans la communauté des acheteurs – en particulier aux États-Unis, où on dit qu’un nombre croissant de spécialistes des services de sécurité sont régulièrement interrogés pour savoir s’ils sont membres de Crest lorsqu’ils soumissionnent pour un emploi.

Glover met cela à la taille croissante et la complexité du marché de la sécurité. « Les services de sécurité sont des choses difficiles à acheter », dit-il. « omment exactement allez-vous sortir et acheter un test de stylo si vous n’avez pas fait si avant? Comment savez-vous que le service soc dans lequelle vous sous-traitez est bon, mauvais ou indifférent? Ce n’est pas une chose facile pour un programme d’approvisionnement traditionnel à identifier réellement – nous faisons le gros du travail au nom de la communauté des acheteurs, et nous mettons également en place de bonnes pratiques.

Du conseil à l’opinion

Maintenant que le marché de la sécurité s’est considérablement développé et que les fournisseurs de services de sécurité sont passés de boutiques à des marques de grands noms, ce besoin est de plus en plus grand que jamais, dit Glover. Il ajoute que les acheteurs se rendent maintenant compte que s’ils contractent leurs services de sécurité à des organisations structurées qui soutiennent leurs revendications technologiques avec des compétences certifiées et des meilleures pratiques, ils obtiennent de meilleurs résultats.

Il estime également que le conseil en sécurité va bientôt commencer à passer d’une pratique fondée sur le conseil à une pratique fondée sur l’opinion. « Nous n’avons pas encore vraiment fait cela en tant qu’industrie, mais je crois absolument que c’est la direction du jeu », dit-il.

Mais qu’est-ce que cela signifie réellement? Glover explique : « À l’heure actuelle, nous fournissons des conseils et des conseils. Nous examinons vos systèmes et nous disons « e n’est pas très bon – vous devriez le corrige ». C’est un conseil. Mais ce que nous voyons maintenant sous GDPR [General Data Protection Regulation] et d’autres règlements, on vous demande si vous avez pris les mesures appropriées pour sécuriser vos données, sinon l’organisme de réglementation va prendre des mesures réglementaires ou vous infliger beaucoup d’argent.

« Nous nous dirigeons donc maintenant vers ce domaine où les consultants en sécurité doivent être des auditeurs professionnels et dire, à notre avis professionnel, que cette organisation a ou n’a pas pris les mesures appropriées pour sécuriser ses données. Cela va être un changement important dans le marché des services de sécurité. Nous sommes bien préparés à le faire, mais cela ne se fera pas sans une certaine douleur, et certainement un changement d’état d’esprit parmi les membres de Crest.

Ce changement d’état d’esprit sera nécessaire parce que, dans le cadre de ce modèle, les consultants en sécurité se retrouveront sous des restrictions semblables à ce qu’ils feraient s’ils fournissaient d’autres services lorsqu’ils donnent un avis professionnel, comme la vérification financière.

Il y a beaucoup de risques et de responsabilité personnelle associés à ce genre d’activité, comme le rappelle Glover depuis son passage au conseil d’administration de la SEC, lorsqu’il a dû lire et comprendre les rapports qui lui étaient présentés à fond, parce que les signer le rendait personnellement responsable. À mesure que la réglementation comme le GDPR se généralise, c’est quelque chose que les OSCI n’ont peut-être pas encore saisi.

« L’éducation est nécessaire pour aider les professionnels de la sécurité à comprendre l’orientation du jeu », dit-il. « Je ne pense pas qu’il s’agit d’un grand changement de l’avis à la responsabilisation, mais c’est un changement et ce sera un changement pour l’organisation autant que pour les individus, parce que cette organisation sera responsable des conseils et des conseils qu’elle fournit dans ce service fondé sur l’opinion. »

Défis à venir

Mais la voie à suivre pour ce nouveau modèle de services de sécurité ne sera pas sans défis, dit Glover. « e modèle que nous avons mis de l’avant en termes d’organisations de confiance avec des individus accrédités liés avec des codes de conduite efficaces sons, en une phrase, une chose vraiment facile à faire, mais en fait, il est assez difficile à réaliser. Nous devons ranger les choses.

Bon nombre de ces défis seront mis en évidence sur la légalité et le comportement éthique – comme ce qui constitue une violation du GDPR, ou sur la façon d’exécuter des attaques simulées d’hameçonnage ou des tests de pénétration – des domaines où Glover affirme qu’il y a clairement certaines zones grises.

« Prenez des méthodes perturbatrices, comme les programmes de primes aux bogues crowdsourc », dit-il. « Nous devons comprendre comment ceux-ci pourraient fonctionner dans un environnement réglementé et nous devons comprendre comment nous pouvons contrôler l’accès à ces personnes.

« Si vous ouvrez votre système à un programme de primes aux bogues, il est très difficile de l’éteindre, alors vous devez le faire à un moment donné de maturité – vous ne pouvez pas le faire trop tôt. Mais si vous n’agissez pas sur les observations qui les font passer, alors où va cette information légitimement? C’est une question assez difficile à répondre.

Il ne fait aucun doute, ajoute M. Glover, se tromper dans le cas d’une violation majeure des données pourrait voir les professionnels de la sécurité être légalement sanctionnés par les tribunaux, il est donc important que le processus de certification soit étanche.

Le processus de Crest est déjà comparable, en termes de temps nécessaire pour y parvenir, à devenir comptable agréé avec l’ICAEW – un processus de trois ans si vous vous entraînez avec un cabinet « Big Four » (Deloitte, EY, KPMG et PwC).

« Nos qualifications arrivent à environ 2 500 heures après un bon diplôme, puis elles passent à environ 6 000 heures pour notre niveau enregistré et environ 10 000 pour notre niveau certifié », explique M. Glover.

« Nos praticiens peuvent travailler sur ces missions avec soutien, notre niveau enregistré peut fonctionner sans soutien, mais ne peut pas signer, et nos personnes certifiées sont compétentes sur le plan opérationnel et peuvent signer. Nous avons obtenu environ 4 000 personnes certifiées, et nous entresons des relations internationales avec d’autres organismes de certification professionnels à l’échelle mondiale.