écouter, faire confiance et vérifier

Sécurité

19.07.2021
David Mantock, Chief Information Security Officer

L'un des nombreux avantages en tant que spécialiste en cybersécurité est la diversité des personnes avec lesquelles vous collaborez. Cette diversité est essentielle si vous souhaitez intégrer un programme de sécurité efficace au sein de votre entreprise et ainsi, garantir les objectifs commerciaux.

Il est essentiel d’établir une confiance solide entre les différentes parties prenantes pour une collaboration épanouissante. La confiance s'établit lorsqu'il y a transparence et que les attentes sont clairement définies. Le processus d'audit est un outil indispensable dans le monde des affaires, et encore plus dans le domaine de la cybersécurité en ces temps de crise.

Malheureusement, ce processus suscite souvent une certaine résistance et, tout comme une visite chez le dentiste, l'appréhension et la peur masquent souvent, voire complètement, les avantages. Ma question est donc la suivante : quelle est notre croyance ? Vaut-il mieux prévenir que guérir ou préférons-nous arracher des dents plutôt que de les sauver ? Si vous aimez vous faire arracher les dents sans anesthésie, arrêtez de lire, cet article n'est pas pour vous. Si, au contraire, vous souhaitez éviter la douleur et les désagréments, poursuivez votre lecture.

Tout le monde sait comment fonctionnent les audits, mais on oublie souvent que certaines règles de base préalables peuvent vraiment faciliter le processus. Plus précisément, nous parlons de la gestion des attentes. Ainsi, dans le contexte des audits, il est très important d'ÉCOUTER, de FAIRE CONFIANCE et de VÉRIFIER.

"Quand vous parlez, vous ne faites que répéter ce que vous savez déjà. Mais si vous écoutez, vous pouvez apprendre quelque chose de nouveau" Dalai Lama

La clarté et la transparence, qui sont si essentielles pour instaurer la confiance, doivent être établies dès le début du processus. Voici ce que l'expérience et le professeur Google m'ont appris :

- Communiquez clairement les avantages de l'audit, par exemple : "Cet audit montrera le bon travail que fait le département x et, avec votre coopération, il vous rendra encore meilleur !"

- Communiquez clairement les avantages de l'audit, par exemple : "Cet audit montrera quel bon travail fait le département x et, avec votre coopération, il vous rendra encore meilleur !"

- 5 choses à éviter :

o « shoot the messenger ». Surmontez la tentation naturelle de considérer les auditeurs et les auteurs du rapport comme des ennemis à combattre et à réfuter.
o Ignorer les conclusions de l'audit ou tarder à y donner suite.
o Minimiser les conclusions relatives à la sécurité.
o Accepter simplement toutes les conclusions et passer à autre chose sans vraiment comprendre ou traiter correctement les faiblesses.
o Accorder une faible priorité aux mesures à prendre en fonction des conclusions de l'audit de cybersécurité.

- 5 choses à faire :

o Voir le côté positif des audits comme un bilan de santé :  les conclusions font partie d’un cyber écosystème sain.
o Collaborer étroitement avec les auditeurs.
o Établir des relations positives et à long terme avec les auditeurs internes et externes afin d'améliorer les points faibles.
oConstruire un plan d'action d'audit
o Apprendre de l'expérience d'audit des autres

Je vous promets que ces directives, appliquées avec diligence, transformeront la douleur de l'audit en gain. Il est bon d'écouter et encore mieux de faire confiance et de vérifier.

back to panels