Quand on fait des trimestriels planificationmon équipe classe nos objectifs en quatre résultats permanents :
- Réduire le risque d’incidents de sécurité de l’information
- Augmenter la confiance dans le programme de sécurité de l’information de Vanta
- Réduisez les frictions causées par les contrôles de sécurité de l’information
- Utiliser l’expertise en sécurité pour soutenir l’entreprise
Dans cet article, je vais me concentrer sur le numéro trois : réduire la friction.
Déclarer ses intentions
Il est important de faire de la « réduction des frictions » un objectif explicite de votre programme de sécurité. Cela donne le bon ton avec vos homologues de l’ensemble de l’organisation et constitue une étape vers la création d’une culture de sécurité positive.
La première fois que j’ai présenté ces résultats dans un forum à l’échelle de l’entreprise, j’ai reçu un message Slack d’un cadre supérieur qui venait de rejoindre l’entreprise :
« fantastique d’entendre que les équipes de sécurité se concentrent sur la suppression des contrôles de sécurité invisibles. Excellente philosophie pour l’équipe de sécurité
[…]
c’est juste génial
trop d’équipes de sécurité considèrent la sécurité comme un compromis exclusif entre la puissance de fonctionnement de l’équipe et la sécurité »
Friction cachée
Parfois, lors de l’introduction de nouveaux contrôles de sécurité, vous faites un compromis bien réfléchi entre la sécurité et l’expérience utilisateur. Il existe un certain nombre de scénarios où la friction n’est pas si clairement comprise :
- La friction causée par un contrôle de sécurité n’est pas bien comprise par vous ou votre équipe à l’avance
- Une personne extérieure à votre organisation active les contrôles de sécurité avec de bonnes intentions, mais sans en informer vous ou votre équipe
- Les employés attribuent un contrôle ennuyeux à l’équipe de sécurité, mais il a en fait été mis en œuvre pour des raisons totalement indépendantes
Chacun de ces scénarios entraîne des frictions cachées. Les frictions cachées érodent la confiance dans votre équipe et poussent votre culture de sécurité vers la négativité.
Une solution au frottement caché est l’enquête sur le frottement.
Trouver des frictions cachées
À Vanta, nous réalisons une enquête semestrielle auprès des employés pour identifier les frictions cachées. Pour éviter la « fatigue des enquêtes » lorsque les employés sont également interrogés via des enquêtes d’engagement, nous nous joignons à deux autres équipes : Ingénierie d’entreprise et Confidentialité, risques et conformité.
Chacune de nos trois équipes rassemble un petit nombre de questions pour mieux comprendre comment l’entreprise perçoit les frictions causées par notre travail.
Au sein de l’équipe de sécurité, nous posons trois questions :
- Comment évaluez-vous les frictions causées par les contrôles de sécurité de Vanta dans l’exécution de vos activités quotidiennes ? (échelle 1-5)
- Veuillez décrire comment et où les contrôles de sécurité affectent votre travail chez Vanta.
- Avez-vous d’autres réflexions ou commentaires sur l’équipe de sécurité ou sur notre travail ? (Nous aimerions particulièrement avoir de vos nouvelles si vous avez sélectionné 3/neutre ou moins pour l’une des questions ci-dessus.)
La première fois que nous avons mené cette enquête, c’était au deuxième trimestre 2022. Nous avons reçu des notes positives et peu de commentaires exploitables. J’ai tendance à considérer cela comme un signe d’engagement limité, plutôt qu’une critique élogieuse.
Nous avons refait l’enquête au quatrième trimestre 2022 et nous avons obtenu des résultats beaucoup plus intéressants. Nous avons découvert d’importantes sources de friction attribuées à la sécurité, mais qui n’avaient rien à voir avec notre équipe.
Nous avons également découvert que de nombreuses personnes rencontraient des problèmes avec les nouvelles politiques d’authentification que nous avions commencé à déployer. Ils ne savaient pas quel était le flux attendu, alors lorsqu’ils ont rencontré des bogues les obligeant à s’authentifier plusieurs fois par jour, ils ont supposé que cela faisait simplement partie de la politique.
Prendre part
À la suite de l’enquête, nous avons élaboré un document à partager avec l’entreprise résumant les résultats et les actions que nous prévoyons de prendre. Nous voulons être aussi transparents que possible. L’objectif est de préciser quand quelque chose a des frictions parce que nous avons fait un compromis explicite, quand nous avons fait une erreur et quand il y a un contexte supplémentaire qui aidera les gens à mieux comprendre les commandes.
Résultats
L’enquête sur les frictions est un outil précieux pour lutter contre les normes héritées de la culture de sécurité. En entretenant des relations de travail positives avec chaque collègue, nous serons beaucoup plus efficaces dans les autres résultats que notre équipe cherche à atteindre.
Au fil du temps, ces résultats constituent une métrique de programme puissante et peuvent être suivis dans le cadre de vos KPI.
Note: Cet article rédigé par des experts a été rédigé par Rob Picard, responsable de la sécurité chez Vanta. Rob Picard dirige Vanta’s programme de sécurité de l’information. Avant de rejoindre, il était le fondateur d’une startup de sécurité soutenue par Y Combinator, un consultant en sécurité de longue date et a créé plusieurs fonctions de sécurité chez Robinhood. Il aime utiliser les leçons qu’il a apprises pour aider les startups à créer des programmes de sécurité modernes, efficaces et efficients. Cet article a été initialement publié le LinkedIn.