C'est dommage que le terme « pensée systémique » semble un peu ennuyeux, n'est-ce pas ? Parce qu'il s'agit d'une petite expression assez intelligente et succincte qui décrit quelque chose que les humains tentent de faire depuis des millénaires : donner un sens au monde en examinant ses différentes parties et leurs relations, en observant comment les choses sont interconnectées et, surtout, en améliorant leur fonctionnement. Nous le faisons souvent sans même nous en rendre compte, mais quand cela est conscient et réfléchi, c'est particulièrement puissant.
Prenons par exemple le monde de Dinesh Dilip Panjwani. C'est notre responsable des vulnérabilités au sein de l'équipe PSIRT (équipe de réponse aux incidents de sécurité des produits de Canon EMEA) et, comme son nom l'indique, il joue un rôle clé dans la sécurité de nos produits. « Tout problème nous est signalé, puis nous évaluons s'il est réel. Si c'est le cas, nous le corrigeons, publions des correctifs ou des micrologiciels et communiquons les informations à nos clients, en plus de la publication CVE [Common Vulnerabilities and Exposures] (Vulnérabilités et expositions communes) », explique-t-il. À première vue, Dinesh pourrait sembler occuper une place isolée au sein de Canon, travaillant dans un domaine très spécifique de l'entreprise sur un ensemble de circonstances de niche, mais cela est loin d'être le cas. Avec ses collègues, il fait partie d'un écosystème beaucoup plus large, au sein d'une dynamique d'équipe qui n'est pas aperçue aussi souvent qu'elle le devrait, mais qui est très admirée dans le monde de la sécurité des informations.
En effet, il arrive souvent que les mondes de la sécurité des produits et de la sécurité de l'entreprise ne se rencontrent pas. On considère souvent que l'un est tourné vers l'extérieur (travailler avec les produits achetés par les clients et assurer leur prise en charge) et l'autre vers tourné vers l'intérieur (garantir que les systèmes utilisés par l'entreprise pour effectuer son travail quotidien sont sécurisés). Mais notre approche et l'équipe au sein de laquelle travaille Dinesh considèrent que ces deux mondes sont indissociables. En fait, et revenons ici à la pensée systémique, nous pensons que la société dans son ensemble serait plus sûre si la sécurité des produits était toujours associée à la sécurité de l'entreprise. Pourquoi ? Parce qu'une faiblesse dans l'un ou l'autre de ces mondes rend une entreprise, ainsi que ses partenaires, fournisseurs et clients, vulnérable à tous les niveaux.
« Notre équipe CSIRT [équipe dédiée à la réponse aux incidents de sécurité de l'entreprise] atténue ou résout les problèmes de sécurité liés aux systèmes que nous utilisons pour servir nos clients », explique Dinesh. « Comme beaucoup d'autres, nous sommes à la fois fournisseur et client, œuvrant pour la sécurité globale de notre entreprise et, par extension, pour la sécurité d'un grand nombre d'autres entreprises. C'est pourquoi la sécurité de l'entreprise et la sécurité des produits doivent partager un langage commun. Nos objectifs sont les mêmes. » Cela signifie également que ces deux mondes peuvent partager des ressources, s'informer et se soutenir mutuellement, et même créer des boucles de rétroaction qui caractérisent les équipes efficaces.
Cependant, cette explication ne rend pas tout à fait justice au rôle de cette équipe de sécurité intégrée. En particulier si l'on considère une perspective plus large de la pensée systémique. Dinesh et ses collègues sont connectés à l'ensemble de l'entreprise de nombreuses façons qui ne viennent pas forcément immédiatement à l'esprit. Dans une entreprise aussi proche de ses clients que la nôtre, il existe de nombreux domaines dans lesquels l'expertise en matière de sécurité n'est pas seulement requise : elle est essentielle.
Cela signifie que l'équipe sera activement impliquée dans les appels d'offres et les contrats, de la fourniture de cadres et de garanties de cybersécurité à l'apport de son expertise en matière de protection des données personnelles, de réglementation, de droit et de conformité. Elle joue également un rôle important dans le développement commercial, en participant fréquemment aux visites chez les clients, en étant présente dans nos salles d'exposition et, en bref, en contribuant également à la réussite des ventes. Le collègue de Dinesh au sein de l'équipe CSIRT, Wouter van Gils, entretient des relations étroites avec nos filiales, en les soutenant dans les audits et les demandes de certifications, telles que l'ISO. Là encore, créant de l'unité et de la continuité au sein de Canon.
La sécurité de l'entreprise et la sécurité des produits doivent partager un langage commun. »
Mais il y a aussi une forte emphase sur la formation. En effet, c'est l'un des principes clés de la sécurité numérique chez Canon. « Nous avons des responsables de la formation qui sont chargés de sensibiliser à la sécurité des produits et des applications », explique Dinesh. Ce travail fait partie intégrante des responsabilités de l'équipe de sécurité et contribue à créer une solide culture de la sécurité numérique dans l'ensemble de l'organisation EMEA, ce qui renforce notre réputation d'excellence et la valeur de la pensée connectée.
Cela remet clairement en question les idées reçues sur les professionnels de la sécurité des informations, souvent perçus comme des introvertis qui ne quittent jamais leur ordinateur. Dinesh et ses collègues sont aussi éloignés que possible de ce stéréotype. Ils assistent régulièrement à des événements du secteur et Dinesh fait partie d'un réseau précieux de chercheurs en sécurité et de hackers éthiques, une communauté généreuse qui partage ses connaissances et ses ressources, là encore, contribuant à la sécurité numérique à tous les niveaux.
Tout cela démontre un point évident, mais important : il est important de prendre du recul pour avoir une vue d'ensemble. Deux équipes travaillant en parallèle, ce serait simple, voire facile. Mais serait-ce vraiment efficace ? La réponse de notre directeur principal de la sécurité des informations, de la sécurité des produits et de la réponse à l'échelle internationale, Quentyn Taylor, est toute simple : « Non. Sinon, nous ne voyons que la moitié du tableau. L'intégration de cette manière permet aux équipes de voir l'autre côté de la situation, ce qui offre une meilleure visibilité pour la gestion des vulnérabilités. »
Notre situation actuelle est donc le résultat de plusieurs années d'observation, qui nous ont permis de comprendre ce qui fonctionne bien. Et d'identifier les domaines qui ne fonctionnent pas tout à fait comme il le faudrait. Il s'agit de créer une équipe qui prend en compte la façon dont l'entreprise fonctionne dans son ensemble et la manière dont elle peut apporter le plus de valeur ajoutée. C'est pourquoi la pensée systémique est vraiment intelligente et pas du tout ennuyeuse, car elle peut conduire à des refontes réfléchies et de nouvelles méthodes de travail surprenantes qui non seulement aident les responsables de la sécurité des informations à dormir sur leurs deux oreilles, mais qui devraient également nous offrir à tous la tranquillité d'esprit.
En savoir plus sur les carrières chez Canon.
Sujets connexes
-
La nature humaine de la cybersécurité
Les meilleurs experts en cybersécurité sont la définition même de la polyvalence. Ils associent un grand savoir-faire technique à des points forts humains et à une expérience vécue.
-
Né pour pirater : la vocation sécurité de Timur Iunusov
À l'âge de 8 ans, Timur Iunusov a reçu son premier ordinateur, ce qui a changé sa vie. Aujourd'hui, il est notre responsable de la recherche en sécurité pour la région EMEA, chargé de protéger nos produits.
-
Des femmes inspirantes dans le monde de la cybersécurité
Zoë Rose et Sakina Asadova, les deux femmes les plus inspirantes dans le domaine de la cybersécurité, évoquent leur carrière et donnent des conseils aux personnes qui souhaitent suivre leur exemple.
-
De meilleures technologies pour tous : comment Wamda Saeid Elsirogi propose une vision commune du développement durable en Europe
Wamda Saeid Elsirogi représente deux organisations partageant le même objectif : un bon compromis pour les personnes et la planète dans le cadre de la dernière législation sur le développement durable dans le domaine des technologies.