Max Chan : Ne jouez pas à l'adversaire avec votre organisation de sécurité, qu'elle fasse ou non partie de votre groupe. En fin de compte, il s'agit vraiment de votre responsabilité personnelle et vous devez l'envisager sous l'angle du prix final. C'est un gage de réussite. Cela permettra de donner le bon ton, du haut en bas de l'organisation, afin que chacun fasse preuve de la vigilance nécessaire pour sécuriser l'entreprise.
Intervenant 2 : Bonjour et bienvenue aux Visionnaires de la sécurité. Vous venez d'entendre l'invité d'aujourd'hui, Max Chan, directeur de l'information chez Avnet. Sécuriser votre entreprise et le faire avec succès commence par le sommet de la hiérarchie. Qu'il s'agisse de s'adresser au conseil d'administration ou de permettre aux employés, les DSI sont personnellement responsables de la communication des risques et des solutions à l'ensemble de leur organisation. Max Chan veille à ce que son entreprise maintienne un environnement informatique solide et sécurisé grâce à une communication réfléchie. Avant de nous plonger dans l'interview de Max, voici un bref mot de notre sponsor.
Intervenant 3 : Le podcast Security Visionaries est alimenté par l'équipe de Netskope. Chez Netskope, nous redéfinissons la sécurité des nuages, des données et des réseaux grâce à une plateforme qui offre un accès optimisé et une sécurité zéro confiance pour les personnes, les appareils et les données, où qu'ils se trouvent. Pour en savoir plus sur la façon dont Netskope aide ses clients à être prêts à tout au cours de leur parcours SASE, visitez le site N-E-T-S-K-O-P-E.com.
Speaker 2 : Sans plus attendre, voici l'épisode 14 de Security visionaries avec Max Chan, directeur de l'information chez Avnet, et votre hôte, Mike Anderson.
Mike Anderson : Bonjour à tous. Bienvenue dans l'épisode d'aujourd'hui du podcast Security Visionaries. Je suis votre hôte, Mike Anderson, responsable du numérique et de l'information chez Netskope. Aujourd'hui, je suis accompagné de mon ami et confrère Max Chan, DSI d'Avnet. Max, comment allez-vous aujourd'hui ?
Max Chan : Mike, vous allez bien, c'est vraiment un plaisir de vous parler aujourd'hui. Lorsque vous m'invitez, je vous dis que je ne sais pas pourquoi je suis ici, parce que je ne me considère pas comme un visionnaire en matière de sécurité. Vous pourrez donc peut-être m'éclairer tout au long de la conversation d'aujourd'hui.
Mike Anderson : La sécurité est un sport d'équipe, donc je suis sûr que nous aurons beaucoup de choses à nous dire, et la clé est d'embaucher de bonnes personnes dans nos équipes qui savent comment diriger le programme de sécurité. Avant d'aborder ce sujet, je voudrais vous présenter Avnet, car tout le monde n'est pas familier avec cette entreprise. Je le suis évidemment, car j'ai travaillé avec Avnet tout au long de ma carrière, à la fois comme client et comme partenaire. Parlez-nous également de votre parcours pour devenir DSI.
Max Chan : Tout à fait. Ainsi, Avnet est l'un des plus grands fournisseurs de solutions technologiques spécialisé dans la chaîne d'approvisionnement pour toutes les distributions technologiques. Nous prenons en charge l'ensemble de la chaîne de valeur de cette solution technologique, de la conception à l'introduction de nouveaux produits, jusqu'à la production de masse et à la mise sur le marché. Nous travaillons avec nos partenaires fournisseurs ainsi qu'avec nos clients à chaque étape de leur chaîne de valeur. Tant que nous sommes en mesure de leur apporter de la valeur, nous pouvons jouer un rôle dans leur chaîne d'approvisionnement.
Mike Anderson : C'est très bien. Parlez-nous un peu de votre parcours pour devenir DSI. Vous avez manifestement reçu le prix CIO 100 au début de l'été. J'ai pu être à vos côtés lorsque vous avez reçu ce prix. Parlez-nous un peu de votre parcours pour devenir DSI, puis nous aborderons les questions de sécurité qui vous sont si familières.
Max Chan : Il est intéressant de noter que je me considère toujours comme un débutant chez Avnet. Je ne travaille dans l'entreprise que depuis 11 ans. Avnet existe depuis un peu plus de 100 ans et une grande partie de l'équipe dirigeante travaille dans l'entreprise depuis plus de 20 ans. Lorsque j'ai commencé chez Avnet, on m'a demandé d'aller à Hong Kong pour assumer le rôle de DSI de la division pour l'Asie-Pacifique, ce que j'ai fait pendant les trois premières années et demie passées dans l'entreprise, en mettant en œuvre un modèle régional d'ERP pour l'entreprise là-bas, ainsi qu'en déployant une instance régionale de CRM pour l'entreprise. Après trois ans et demi, je suis revenu à Phoenix, en Arizona, pour occuper un poste de responsable mondial des applications, qui s'est transformé au fil du temps en DSI de division pour les Amériques, avant que l'on me propose le poste de DSI mondial il y a environ quatre ans, lorsque le DSI précédent, mon prédécesseur, a quitté l'organisation.
Mike Anderson : C'est un grand voyage, une expérience internationale, et j'y participerai certainement. Nous ferons en sorte d'en parler un peu du point de vue de la sécurité, car je vous garantis que vous en savez plus sur la sécurité que vous ne le laissez entendre. Avant d'aborder le sujet de la sécurité, je sais que vous avez reçu le prix CIO 100. Je sais que c'est génial. Vous aimez toujours parler de l'excellent travail réalisé par votre équipe, peut-être juste une minute sur les projets passionnants sur lesquels vous travaillez. Nous nous pencherons ensuite sur certains aspects de la sécurité.
Max Chan : Comme beaucoup d'entreprises, nous nous concentrons sur les transformations numériques. J'aimerais vous expliquer un peu plus en détail ce que cela signifie pour Avnet, parce que les transformations numériques, les deux mêmes mots signifient toutes sortes de choses différentes pour tout le monde. En ce qui nous concerne, la transformation numérique comporte trois éléments clés, le premier étant l'habilitation numérique. C'est la transformation numérique typique dont les gens parlent, où nous examinons les interactions internes et externes. Nous disposons d'un lieu de travail numérique. Nous nous intéressons à l'IA, à la ML, ainsi qu'aux automatismes. C'est là que nous cherchons à créer le plus de valeur pour l'organisation, pour l'entreprise, en introduisant des transactions ou des interactions sans friction, de machine à machine, ainsi que des capacités qui nous permettent d'être un meilleur prestataire de services pour notre partenaire fournisseur, ainsi que pour notre client. Vous m'entendez toujours mentionner les fournisseurs partenaires, car ils constituent un élément important de notre écosystème, n'est-ce pas ?
Avnet travaille dans le secteur du papier. Tout tourne autour de notre fournisseur. Tout tourne autour de notre client. Tout tourne autour de l'employé, et c'est pourquoi l'habilitation numérique s'efforce de créer cette vitre unique, cette source de preuve unique, une couche d'intégration solide grâce à l'API M, des microservices nous permettant d'acheminer les données en aval vers l'endroit où elles doivent aller pour être consommées par la suite. C'est donc le premier élément essentiel de nos transformations numériques. Les deux autres aspects qui sont plus fondamentaux pour la transformation numérique que nous avons sont vraiment notre migration vers le cloud et la modernisation de notre ERP. Nous considérons qu'il s'agit là d'un élément essentiel pour nous permettre d'atteindre l'habilitation numérique dont je parle. L'idée ici est vraiment de conduire des modernisations, et nous déplaçons toutes les charges de travail dans le nuage, en tirant parti des capacités inhérentes que nous pouvons obtenir du nuage, par opposition à ce que nous faisons ici sur place. La modernisation de l'ERP est ce qu'elle est, comme son nom l'indique, un long voyage, mais important pour notre succès global.
Mike Anderson : C'est un excellent travail. Je suis tout à fait d'accord pour dire que chacun a une définition différente de ce que signifie la transformation numérique, et qu'il est important de clarifier en termes simples ce que cela signifie pour votre organisation. Vous avez fait un excellent travail dans ce domaine. Lorsque je pense aux transformations que vous effectuez autour de l'habilitation, des API et de la modernisation de l'informatique en nuage, le thème de cette année de ce podcast est la sécurité en tant que sport d'équipe. En effet, à l'heure où nous envisageons de nous lancer dans l'informatique dématérialisée, nous devons nous assurer que nos environnements dématérialisés sont dotés d'un dispositif de sécurité adéquat. Nous devons nous assurer que nous n'avons pas d'angles morts lorsque nous permettons à nos clients de penser aux API. Le RSSI régit la politique et le programme, mais il est évident que nous devons l'intégrer dans notre personnel, non seulement dans le secteur informatique, mais aussi dans l'ensemble de l'organisation. Il faut donc peut-être encadrer un peu. Comment envisagez-vous ce défi ? Et comment vous assurez-vous que la sécurité est dans l'état d'esprit et un sport d'équipe chez Avnet ?
Max Chan:J'ai aimé la façon dont vous l'avez exprimé. La sécurité est une affaire d'équipe, n'est-ce pas ? Vous avez fait allusion tout à l'heure, Mike, au fait que le CISO et l'équipe de sécurité définissent essentiellement la stratégie, créent le cadre, veillent à ce que nous mesurions réellement les bonnes choses afin de pouvoir les améliorer pour sécuriser l'environnement, pour sécuriser les organisations. Toutefois, l'équipe chargée de la sécurité ne dispose pas des ressources nécessaires pour effectuer une grande partie de l'exécution en aval. Prenons l'exemple d'un correctif de vulnérabilité très, très simple. Lorsque l'organisation de la sécurité identifie les domaines dans lesquels nous devons sécuriser notre environnement au moyen de correctifs, nous ne disposons pas d'un groupe important d'équipes de sécurité capables d'examiner l'ensemble de l'environnement et de le sécuriser. Nous avons besoin de l'équipe opérationnelle. Nous avons besoin que l'équipe chargée des applications identifie les éléments critiques et examine l'impact potentiel des correctifs sur l'environnement pour pouvoir les exécuter.
Ensuite, l'équipe de sécurité aiderait, faute d'un meilleur terme, à gérer le programme, en s'assurant que ce que nous avons dit que nous ferions a été fait et rapporté aux organisations, et en aidant à suivre cela. L'autre aspect de la question est que, dans tous les sports, il y a généralement des joueurs de réserve. Travailler avec des partenaires de confiance comme Netskope et d'autres nous a permis de puiser dans les ressources et de faire appel à d'autres acteurs en cas de besoin pour compléter ce que nous n'avions peut-être pas afin d'achever le travail dans les délais impartis. Nous savons tous que, du point de vue des menaces pour la sécurité, chaque minute perdue, chaque jour perdu représente un risque supplémentaire pour les organisations. C'est là qu'interviennent les acteurs de soutien, les partenaires qui nous aident à réduire ce risque en nous fournissant les ressources nécessaires pour effectuer le travail dans les délais impartis.
Mike Anderson : Nous apprécions vraiment ce partenariat. Lorsque je pense au rôle de ce groupe, dans le domaine de la cybersécurité, nous voyons Gartner Research, et vous voyez n'importe quel sondage de n'importe quel cabinet d'analystes. La sécurité est, si ce n'est la première, du moins la deuxième de toutes les priorités, car elle représente, comme vous l'avez dit, un risque. Nous pensons toujours au risque de l'entreprise, tout comme pour la chaîne d'approvisionnement. Comment éliminer les risques de notre chaîne d'approvisionnement grâce à la diversité des fournisseurs ?
Max Chan : Eh bien, avec les gens d'Avnet qui savent comment vous pouvez réellement faire un remplacement broche à broche, ce qui vous permet d'avoir des groupes plus diversifiés auxquels vous n'auriez peut-être pas accès directement. Mais, je suis désolée, ce n'est qu'une publicité pour nous-mêmes.
Mike Anderson : Non, c'est très bien. Je l'adore. Les bouchons sont excellents. C'est aussi très bien. Je sais que vous avez toujours été un fervent partisan de la mise en avant de l'excellent travail réalisé par votre entreprise et vos équipes, et c'est une excellente chose. Tout cela est également lié au sport d'équipe, car notre travail consiste souvent à améliorer l'équipe qui nous entoure. Si vous pensez à d'autres DSI, quels conseils leur donneriez-vous en matière de sécurité, s'il s'agissait d'un DSI débutant dans cette fonction ?
Max Chan : Avant de répondre à cette question, je pense que j'ai de la chance que la sécurité fasse partie de mon champ d'action ou de mon domaine de responsabilité. Beaucoup d'entre vous qui m'écoutez ne sont peut-être pas d'accord avec moi pour dire que notre sécurité doit être indépendante. Je comprends. Je ne suis pas en désaccord avec cela. Toutefois, compte tenu des besoins de notre organisation, j'ai la chance d'avoir la sécurité dans mon domaine de responsabilité. Que vous soyez ou non responsable de la sécurité en tant que DSI, vous devez assumer la responsabilité personnelle de l'organisation vis-à-vis des organisations du point de vue de la sécurité. En fin de compte, il s'agit de sécuriser l'environnement, de s'assurer que nous disposons des bons processus, des bonnes personnes et de la bonne technologie. Vous avez parlé de sport d'équipe, Mike, tout à l'heure. Les collaborations nécessaires non seulement entre l'informatique et la sécurité, mais aussi entre la sécurité informatique et l'ensemble de l'entreprise pour vraiment réussir à sécuriser votre environnement.
Ne jouez donc pas à l'adversaire avec votre organisme de sécurité, qu'il fasse ou non partie de votre groupe. En fin de compte, vous devez considérer cela comme votre responsabilité personnelle et l'envisager dans l'optique de l'entreprise. C'est un gage de réussite. Cela permettra de donner le bon ton, du haut en bas de l'organisation, afin que chacun fasse preuve de la vigilance nécessaire pour sécuriser l'entreprise. Mike a parlé de la nécessité d'embaucher les bonnes personnes. C'est tout à fait vrai. Comment faire pour avoir le bon responsable de la sécurité, le CISO en quelque sorte ? Comment pouvez-vous vous assurer que vous disposez de la bonne stratégie et de la bonne structure pour soutenir les organisations ? Et quels sont les besoins de vos organisations de soutien pour être en mesure de tenir l'entreprise au courant des menaces et des risques potentiels pour l'entreprise ? L'équipe que vous allez constituer au sein de votre organisation ou en tant qu'organisation distincte est donc essentielle à votre réussite et à celle de l'ensemble de l'entreprise.
Mike Anderson : Non, je suis tout à fait d'accord et vous venez d'évoquer une grande partie des raisons pour lesquelles il est si important de travailler de manière transversale au sein de l'organisation. Puisque nous parlons de ce sujet en particulier, revenons-y un instant. J'ai déjà entendu quelqu'un dire que lorsque le RSSI éternue, la personne qui s'enrhume est souvent le responsable de l'infrastructure, parce que vous êtes revenu à votre point de correctif. Ce sont eux qui ont les mains et les pieds sur le terrain pour déployer ces correctifs et faire ce travail. Dans les deux cas, il s'agira évidemment de personnes qui vous seront directement rattachées. Comment pouvez-vous contribuer à la mise en place d'un partenariat entre ces deux organisations afin d'aligner les priorités ? Car, comme nous le savons, ce désalignement se produit lorsque vous avez des équipes différentes avec des priorités différentes. Elle provoque souvent des frictions au sein de l'organisation. Que faites-vous pour favoriser l'alignement de ces équipes afin de garantir un partenariat étroit ?
Max Chan : Je pense que cela commence par le ton de la tête. La façon dont je procède est la suivante : parmi mes quatre priorités stratégiques pour les organisations informatiques, l'une d'entre elles est la sécurité. Je veille à ce que chaque équipe au sein des organisations informatiques, qu'il s'agisse d'applications informatiques, de relations commerciales, d'infrastructures, etc. fasse de la sécurité et de la conformité l'un de ses objectifs de performance, l'un de ses buts. Chacun joue un rôle dans le succès de la lutte contre les cybermenaces. Ce point au sommet est très important.
L'autre chose à faire est d'encourager la collaboration au niveau de la direction générale. Le responsable de la sécurité, le responsable des applications, le responsable de l'infrastructure et le responsable de la mise en réseau doivent tous être présents à la même table pour déterminer les éléments clés de la réussite de l'organisation, dont la sécurité. Avec la sensibilisation accrue à la sécurité dans l'industrie à travers le monde aujourd'hui, en particulier au cours des dernières années, les entreprises sont de plus en plus conscientes de la nécessité de la sécurité. En fait, nous avons eu des partenaires qui cherchaient à renouveler leur partenariat avec Avnet, voulant mieux comprendre ce que nous faisons du point de vue de la sécurité, afin de nous assurer que nous nous protégeons et que nous les protégeons aussi lorsque nous avons ce partenariat étroit dans l'entreprise. Tous ces éléments favorisent une compréhension commune, un sens commun de l'importance et une prise de conscience de la nécessité d'intégrer la sécurité dans tout ce que nous faisons.
Mike Anderson : Non, je suis tout à fait d'accord. Vous avez évoqué ce besoin. En ce qui concerne la chaîne d'approvisionnement, nous disons toujours que si vous construisez un produit et qu'un composant ne peut pas être expédié parce que cette personne est compromise ou touchée par un ransomware, cela peut avoir un effet paralysant sur votre chaîne d'approvisionnement en aval. Lorsque vous pensez à la sécurité, cela devrait faire partie de la conversation avec vos responsables de la chaîne d'approvisionnement et vos organisations afin de vous assurer que si vous vous approvisionnez auprès d'un fournisseur unique pour un produit de base ou une matière première, vous vous assurez que la sécurité est au cœur de cette conversation.
En effet, si vous avez recours à un fournisseur unique et que cette personne est compromise, cela peut avoir des répercussions et créer un risque pour la génération de revenus, qui est évidemment l'un des risques auxquels nous sommes très attachés. Vous avez évoqué la sensibilisation des entreprises à la sécurité. J'ai entendu quelqu'un, il y a quelques semaines, dire que le travail de l'organisation de la sécurité est de bloquer les bits, et que le travail de l'équipe de l'infrastructure est de déplacer les bits. Il est évident qu'il y a des frictions, mais aussi que les gens ne peuvent aller nulle part, ni faire quoi que ce soit. Nous devons améliorer l'hygiène de notre personnel au sein de notre organisation. Vous l'avez fait pour votre structure hiérarchique directe autour de cet objectif de sécurité. Que font vos pairs au sein de l'organisation pour s'assurer que la sécurité est au premier plan lorsqu'ils pensent à leur organisation ?
Max Chan : C'est quelque chose que nous avons commencé, un programme que nous avons lancé il y a environ quatre ans lorsque j'ai pris le rôle de DSI et que la sécurité m'a été confiée. L'une des choses essentielles que nous avons reconnues est que les gens constituent probablement la première ligne de défense en matière de sécurité. Depuis lors, nous avons diligenté une série de campagnes, de campagnes de sensibilisation, etc., à tous les niveaux de l'organisation, en commençant par le conseil d'administration, en passant par la direction et jusqu'à la base des organisations. Nous nous intéressons à la sensibilisation au phishing, au smishing, aux logiciels malveillants, aux différents canaux d'où ils proviennent, à leur évolution, et nous prenons des exemples concrets que nous avons vus et que nous transmettons à l'employé pour le sensibiliser.
Je suis vraiment très heureux de voir comment cela a amélioré la résilience des organisations au fil du temps. En effet, lorsque nous avons commencé, nous avons également introduit un programme de simulation afin d'évaluer le degré de sensibilisation des gens à la sécurité et la facilité avec laquelle ils peuvent être amenés à cliquer sur un mauvais lien ou à brancher un périphérique USB intentionnellement ou non, sans savoir ce qu'il peut contenir. Nous sommes peut-être allés trop loin dans la sensibilisation des organisations. Notre pare-feu humain devient si fort qu'ils signalent à la sécurité, au SOC, le centre d'opérations de sécurité, tout ce qu'ils considèrent comme suspect, ou ils commencent à écrire et à s'éduquer les uns les autres sur le fait que vous ne devriez pas envoyer cet e-mail, parce que vous avez une faute d'orthographe ici. Vous avez une adresse incorrecte ici et une faute de frappe ici.
C'était amusant à regarder, mais c'était aussi un grand sentiment de savoir que notre message est passé à travers les organisations. Mais, pour en revenir à ce que je disais plus haut, il est essentiel que le ton soit donné au sommet, que les présidents régionaux, les présidents d'unité, les responsables fonctionnels parlent tous le même langage et qu'ils obtiennent l'adhésion de la direction générale. De temps en temps, le responsable de la sécurité participe à une réunion publique pour rappeler aux gens ce qui se passe et la facilité avec laquelle ils peuvent être trompés, n'est-ce pas ? L'autre avantage de ce site est qu'il nous permet également d'éviter les escroqueries. Il ne s'agit pas nécessairement de cybersécurité, mais l'escroquerie est aussi l'une des conséquences potentielles de l'utilisation de la technologie pour tenter de vous faire ouvrir le cordon de votre bourse. Cela nous a permis de réduire le nombre d'escroqueries que nous considérons comme un avantage pour les organisations.
Mike Anderson : Non, absolument. C'est intéressant. La semaine dernière, un article a été publié dans lequel il est question d'usurpations d'identité. Je ne sais pas si vous avez vu cela sur LinkedIn où des personnes se font passer pour des RSSI. Il y a tout ce concept de fausses profondeurs et de fausses identités. La menace évolue constamment. Toutes les menaces évoluent chaque jour de différentes manières. Ce n'est qu'un exemple de l'un des plus récents.
Max Chan : Oui, j'ai souri quand j'ai vu ça, parce que vous et moi savons que des gens ont utilisé LinkedIn pour créer de faux profils afin d'escroquer quelqu'un et de l'utiliser potentiellement comme canal pour déployer des logiciels malveillants, ou quoi que ce soit d'autre, le dernier en date étant l'usurpation de l'identité d'un responsable de la sécurité des systèmes d'information (CISO). C'était assez intéressant. Je me souviens que je n'arrêtais pas d'envoyer des messages à LinkedIn pour leur dire que je pouvais reconnaître qu'il s'agissait d'un faux profil bien avant que l'IA ne soit capable de reconnaître et de supprimer ce profil. C'est donc l'un de mes passe-temps préférés.
Mike Anderson : C'est très bien. Les sports d'équipe prennent alors une toute autre dimension. Il améliore l'écosystème qui nous entoure. Je voudrais revenir sur ce que vous avez dit à propos du conseil d'administration. Lorsque vous travaillez en collaboration avec votre RSSI, et il est évident que vous avez un excellent RSSI, j'ai également passé du temps avec lui. Comment s'est déroulée la conversation avec votre conseil d'administration ? Comment parler de sécurité au conseil d'administration ? Et comment votre RSSI vous a-t-il aidé ? Lorsque vous parlez de sécurité à votre conseil d'administration, il est évident que vous ne devez pas vous contenter de parler de technologie. Parlez-moi un peu de cette interaction.
Max Chan : Si vous savez comment travailler avec le conseil d'administration, cela se résume en fait à trois choses qu'ils veulent savoir sur n'importe quel sujet, en particulier la sécurité. Tout d'abord, pourquoi me dites-vous cela, n'est-ce pas ? Pourquoi parlez-vous au conseil de cette chose en particulier, qu'il s'agisse d'une escroquerie, d'un hameçonnage, de ce qui se passe en Ukraine, et cetera, n'est-ce pas ? Pourquoi leur dire cela ? Deuxièmement, quel est l'impact sur Avnet en tant qu'entreprise ? Quels sont les risques potentiels ou les menaces auxquels nous pourrions être confrontés du fait de ce que nous leur disons ? Enfin, et ce n'est pas le moins important, que faisons-nous à ce sujet ? Avec ces trois éléments, ils peuvent alors avoir une bonne idée de ce qu'il faut faire pour ne pas perdre le sommeil, ou si Avnet, la direction, a une bonne maîtrise de la situation.
Le CISO aide essentiellement à établir des priorités et à examiner toutes les choses qui se produisent et qui sont les plus critiques pour Avnet en tant qu'organisation. Évidemment, l'autre chose que nous apportons au conseil d'administration, c'est que mon RSSI lui dise quels sont les indicateurs critiques que nous suivons pour qu'il sache et comprenne que nous allons bien, que nous allons bien ou que nous avons des difficultés. C'est ainsi que nous nous associons pour communiquer et collaborer avec le conseil d'administration. En cas d'inquiétude, nous nous adresserons au conseil d'administration pour obtenir d'éventuels conseils ou orientations. Mais c'est ainsi que nous collaborons avec eux.
Mike Anderson : C'est très bien. Ensuite, l'une des questions que l'on me pose souvent, et je vais donc vous lancer une petite balle courbe, j'imagine que votre PDG et votre conseil d'administration se posent la question suivante : comment savons-nous que nous en faisons assez dans ce domaine ? Comment répondez-vous à cette question ? Max Chan : Je dis toujours que nous ne le faisons pas, parce que les menaces de sécurité ou de cybersécurité évoluent tous les jours. Je sais que dans l'environnement qui est le nôtre, dans tout ce que nous faisons aujourd'hui, nous abordons au moins plus de 75, 80, 85 % de ce que nous savons. Cependant, il y a ces 25 % supplémentaires qui évoluent constamment et qui peuvent survenir demain, après-demain, la semaine prochaine, et sur lesquels nous devons toujours nous tenir au courant. Nous essayons donc ce que nous savons faire. Nous sommes toujours à l'affût de ce que nous ne savons peut-être pas.
C'est à ce moment-là qu'il faut parfois écouter le conseil d'administration, car beaucoup de ses membres siègent dans d'autres conseils d'administration. Parfois, ils disent : "Hé, j'ai entendu parler de cela par l'autre entreprise, par l'autre conseil auquel je participe. Que faisons-nous à ce sujet ?" S'il s'agit de choses totalement nouvelles pour nous, alors d'accord, nous les reprendrons. Nous reviendrons avec nos conclusions la prochaine fois, soit que nous sommes couverts, soit que cela n'est pas pertinent pour nous à cause de ceci, ceci et ceci. Ou bien, non, nous n'avions pas cette question à l'esprit, mais nous la suivons maintenant. Je reviens donc toujours avec un plan d'action pour clôturer, mais il n'y a pas de 100% de nos jours, parce qu'il y a toujours ces 25% qui persistent et que nous ne savons jamais ce qu'il y aura demain.
Mike Anderson : Non, je suis tout à fait d'accord. J'ai entendu ceci. C'était lors de l'un des symposiums Gartner sur les technologies de l'information qui s'est tenu récemment ici. J'ai eu l'occasion d'assister à celle qui s'est déroulée en Australie. Ils parlaient de ce concept d'accords sur le niveau de protection. Il s'agit de savoir combien vous êtes prêt à dépenser par rapport au degré de précision que vous souhaitez obtenir pour un contrôle. En effet, vous ne pourrez jamais l'obtenir à 100 %, car il n'y a pas de montant que vous puissiez inscrire pour cela. Mais quel est votre goût du risque ? Il s'agit de savoir combien vous voulez investir dans le contrôle et de vous assurer que votre conseil d'administration comprend quel est cet investissement, de sorte que si quelque chose se produit, ce n'est pas une défaillance du contrôle, tant que vous respectez le contrôle. Il se peut que nous soyons tous d'accord pour dire que c'est l'investissement que nous voulions faire dans ce contexte. C'est le...
Max Chan : Non, c'est un excellent point, n'est-ce pas ? les gens tirent parti de la norme ISO 27001. Les gens s'intéressent au NIST CFS. Quoi que vous fassiez, soyez très conscient et conscient de votre goût du risque, de ce que l'entreprise est prête à sacrifier ou de ce qu'elle est capable d'absorber. À partir de là, élaborez un programme qui a du sens pour vous, pas pour toutes les institutions financières ou de santé ou autres qui exigent le plus haut niveau de maturité en matière de sécurité, etc. Mais, sur cette base, et Mike, vous avez soulevé un point important, l'alignement avec le conseil d'administration, l'alignement avec la suite C est tellement critique pour s'assurer que nous avons les bonnes attentes, et que nous avons le bon tableau de bord pour gérer le succès de ce résultat.
Mike Anderson : Absolument, toujours. Vous avez également soulevé un point important, à savoir que toutes les organisations ne sont pas créées sur un pied d'égalité. Souvent, si vous avez un membre qui siège au conseil d'administration d'une banque ou d'une organisation de soins de santé, mais qu'il siège à votre conseil d'administration en tant que fabricant ou personne de la chaîne d'approvisionnement ou de la distribution, la dynamique est différente. La prise de risque est différente lorsque je traite avec eux. En effet, du point de vue de la fabrication, il s'agit de pouvoir continuer à expédier des produits. Le risque le plus important est donc de perturber ma chaîne d'approvisionnement et ma capacité à générer des revenus. En revanche, si je suis une banque, les données, une violation des données et la diffusion d'informations sur votre personnel, vos clients ou vos utilisateurs sont évidemment aussi importantes qu'une panne de système dans ce monde. C'est donc tout à fait exact.
J'aime aussi le pare-feu humain. Notre RSSI a d'ailleurs envoyé des T-shirts à nos employés pour promouvoir ce concept, sous le nom de "pare-feu humain". J'aime que vous utilisiez ce terme, d'ailleurs. Nous allons maintenant nous pencher sur les prévisions futures. Mais avant cela, je tiens à vous dire que vous en savez beaucoup plus sur la sécurité que vous ne le pensez. Je pense que vous avez beaucoup de bons conseils à donner aux auditeurs de ce podcast sur la façon dont ils devraient envisager la sécurité dans leur organisation. Elle accomplit vraiment un travail remarquable à tous les niveaux, alors bravo à vous et à votre organisation.
Max Chan : Je vous remercie. Venant de Mike Anderson de Netskope, je me sens humilié. Mike Anderson : Passons maintenant au retour vers le futur. C'est toujours un moment agréable ici. Donc, si nous avançons rapidement jusqu'à la fin de la décennie, 2030 ou même 2025, que pensez-vous que les DSI auraient souhaité investir en regardant en arrière ?
Max Chan : Plusieurs choses. Je pense que nous vivons une époque formidable dans le domaine de la technologie, car d'après ce que nous avons constaté au cours des deux dernières années et demie, de nombreux employés ont commencé à profiter du pouvoir de la liberté et du pouvoir de la technologie qui leur permet de jouir de cette liberté tout en restant productifs. C'est le moment idéal pour tout DSI de réfléchir à la transformation numérique d'une manière très structurée et pertinente pour son organisation. C'est le moment idéal pour le faire. Qu'est-ce qui a fonctionné au cours des 10, 20 ou 30 dernières années ? Demandez-moi, je sais. Nous existons depuis plus de 100 ans. Ce qui a bien fonctionné ne fonctionnera plus dans les cinq ou dix prochaines années si vous ne pivotez pas, si vous ne vous transformez pas. Les transformations sont donc essentielles. Lorsque je parle de transformation, ne pensez pas qu'il s'agit d'un exercice d'innovation où vous vous lancez dans quelque chose, mais ne pensez jamais à passer à l'échelle supérieure. Il s'agira simplement d'un passe-temps pour votre équipe, pour votre organisation.
Dès que vous trouvez quelque chose dont vous savez qu'il va fonctionner et qu'il va changer la façon dont vous faites des affaires, la façon dont vous interagissez avec vos clients, vos fournisseurs, vos employés ou vos partenaires stratégiques, vous devez rapidement passer à l'échelle supérieure. La mise à l'échelle est beaucoup plus difficile que les innovations. Cherchez donc de l'aide. Il est essentiel de rechercher des partenaires qui peuvent vous aider à mettre à l'échelle ce dont vous avez besoin, ce qui m'amène à mon deuxième point : il est essentiel d'identifier et d'établir des partenariats stratégiques avec des personnes sur lesquelles vous pouvez compter pour vous aider à développer vos solutions.
Enfin, vous ne pouvez pas négliger la sécurité, tout simplement parce qu'elle ne fera que croître et devenir de plus en plus importante. Je ne dis pas qu'il faut créer une armée d'équipes de sécurité, car ce n'est pas non plus très pratique. Mais si vous n'avez pas de cadre en place, établissez-le. Commencez à vous intéresser à ce qui est important, à comprendre l'intérêt, à sensibiliser les organisations et à améliorer en permanence la posture de sécurité de votre organisation. Si vous ne le faites pas, vos partenaires, vos clients, vos fournisseurs l'exigeront. Si vous ne l'avez pas, ils vous quitteront.
Mike Anderson : Non, c'est un excellent conseil. Lorsque nous réfléchissons à nos équipes et à nos compétences, la diversité est également importante. Par ailleurs, alors que nous évoluons vers plus de leadership du point de vue des DSI, quelles sont vos réflexions sur la manière de promouvoir la diversité au sein de vos équipes ? Que faites-vous pour développer nos futurs dirigeants du point de vue de la diversité ?
Max Chan : Je pense que la première chose que nous devons tous reconnaître, c'est que la diversité se présente sous des formes très différentes. Si vous continuez à penser que la diversité se définit par l'une de ces deux choses ... Je sais que vous savez de quoi je parle et que les personnes qui vous écoutent comprendront de quoi il s'agit, alors vous ne parviendrez pas à promouvoir la diversité. Pour moi, la première chose est la diversité de pensée. Ne vous entourez pas de personnes qui sont toujours d'accord avec vous. Entourez-vous de personnes ayant une approche différente, un état d'esprit différent, des antécédents différents, une éducation différente, etc. au sein de vos organisations dirigeantes. Je pense que c'est la première chose à faire.
Deuxièmement, je suis vraiment très heureux de pouvoir dire que la plupart de mes subordonnés directs au niveau de la direction informatique travaillent dans l'entreprise depuis au moins 10 ans ou plus, pour la plupart d'entre eux. Pour répondre à votre question, Mike, l'opportunité interne qui leur permet de passer d'un rôle à l'autre au fil des ans et d'accéder à un poste de direction est le meilleur moyen de former des dirigeants loyaux et passionnés pour les organisations qui se concentreront sur le succès de ces dernières. Enfin, n'hésitez pas à transférer une personne d'un domaine à un autre. Une personne qui s'occupait d'applications, si elle peut développer une passion et un intérêt pour le domaine de la sécurité, devrait avoir la possibilité de se perfectionner techniquement et de s'initier à ce domaine à partir d'un niveau inférieur pour voir comment elle évolue. Je pense que c'est la raison pour laquelle j'ai eu la chance de m'entourer de membres de l'équipe qui ont joué différents rôles tout au long de leur carrière chez Avnet avant de me rejoindre au sein de mon équipe de direction.
Mike Anderson : C'est très bien, et cette diversité d'expériences est vraiment importante. En fait, l'une des choses que je demande toujours aux gens de faire aussi, c'est de travailler au sein d'une unité opérationnelle et d'apprendre cette partie de l'activité, parce que vous devez d'abord comprendre ce que vous allez changer. Vous ne pouvez pas changer quelque chose sans l'avoir d'abord bien compris. C'est quelque chose que vous avez beaucoup fait dans le cadre de ce parcours d'habilitation numérique. Ainsi, le fait de saisir ces opportunités et d'exporter des talents dans l'organisation, puis de les importer, peut également apporter une autre diversité d'expérience qui peut aider votre organisation.
Max Chan : C'est tout à fait vrai.
Mike Anderson : Alors, dernière question avant de passer aux réponses rapides, nous avons parlé des mots à la mode. L'un des mots à la mode que l'on entend souvent est la confiance zéro. Je pense que tous les fournisseurs de sécurité dans le monde n'ont aucune confiance. S'agit-il d'un terme qui est même évoqué chez Avnet ? Si c'est le cas, comment définiriez-vous cela pour les gens ? En effet, lorsque le président publie un décret stipulant que tout le monde doit adhérer au principe de la confiance zéro, cela commence à susciter des conversations à tous les niveaux du conseil d'administration. Est-ce un sujet que vous abordez ? Et comment définiriez-vous cela au sein d'Avnet ?
Max Chan : Oui, mais pas parce que c'est un mot à la mode. Il s'agit en fait d'une reconnaissance de la façon dont les gens travaillent aujourd'hui et à l'avenir. Nous allons travailler avec des personnes qui préfèrent être à distance, ou nous allons commencer à travailler avec des ressources qui ne sont pas nécessairement à plein temps dans les organisations. Comment créer un environnement qui permette aux employés, aux sous-traitants ou aux partenaires d'être réellement productifs, d'obtenir ce dont ils ont besoin en toute sécurité et sans perdre de temps, afin d'être agiles et d'apporter rapidement de la valeur à l'organisation ? C'est ainsi que je vois les choses. J'essaie de réduire les délais nécessaires pour permettre aux gens d'accéder aux bonnes données, à la bonne ressource au bon moment, dès qu'ils en ont besoin, plutôt que de procéder à une mise en œuvre fantaisiste.
De ce point de vue, nous commençons à considérer que la confiance zéro est la bonne approche pour y parvenir. Il permet également de réduire la frustration des personnes qui dépendent aujourd'hui de l'informatique, de l'équipe chargée de l'identité, etc. pour obtenir un accès spécifique à une ressource donnée. Chaque fois qu'ils n'ont pas certains accès, ils doivent revenir en arrière et les paramétrer à nouveau. C'est peut-être différent de ce que pensent les gens, mais dans mon processus simple, c'est ce à quoi je veux arriver, une meilleure expérience utilisateur permettant aux gens d'accéder facilement aux bonnes ressources quand et comme ils en ont besoin.
Mike Anderson : C'est très bien. Si nous réfléchissons à la définition du travail hybride, il s'agit de savoir comment je peux permettre aux gens d'être en sécurité et productifs en travaillant depuis l'endroit où ils veulent travailler, que ce soit un bureau, un café ou une destination de vacances.
Max Chan : Exactement.
Mike Anderson : Très bien, voici la partie la plus amusante de l'histoire. Cela n'a rien à voir avec la technologie, mais tout à voir avec Max, la personne. C'est ce que nous appelons nos "quick hits". La première question que j'ai à vous poser est la suivante : quel est le meilleur conseil que vous ayez reçu en matière de leadership ?
Max Chan : Le meilleur conseil que j'ai reçu en matière de leadership est d'agir avec ses tripes. J'ai étudié les mathématiques à l'université et il m'arrive d'être trop analytique avant de prendre une décision. Cependant, il y a de très nombreuses années, avant que je n'assume un rôle de manager ou de dirigeant, le conseil que l'on m'a donné est le suivant : comment pouvez-vous prendre une décision, parce que vous savez au fond de vous que c'est la bonne, sur la base de 30 ou 40 % des informations dont vous disposez ? Je pense que c'est vraiment ce qui m'a permis d'arriver là où je suis aujourd'hui.
Mike Anderson : Non, c'est vraiment un excellent conseil. Il est toujours important de faire confiance à son instinct. Question suivante : quel serait votre dernier repas ?
Max Chan : Je n'y ai jamais pensé, mais si jamais j'ai le choix, un verre d'eau me suffira.
Mike Anderson : Très simple, très simple.
Max Chan : C'est très simple. Je suis d'origine chinoise. Nous croyons que nous sommes partis de rien. Nous repartirons sans rien. Un verre d'eau suffit donc.
Mike Anderson : D'accord. Je dois dire que vous êtes la première personne à avoir cette réponse, mais elle est très perspicace. Puis, la dernière, votre chanson préférée, et qu'est-ce qu'elle nous apprend sur vous ?
Max Chan : Je dois dire "My Shot" de la comédie musicale Hamilton. C'est la chanson à laquelle je reviens toujours, parce que je suis le genre de personne qui n'a aucun problème à se débrouiller et à avoir toujours faim. C'est ainsi que je peux apporter de la valeur aux organisations sans avoir à en faire tout un plat. J'y crois et je veille à ce que mon équipe en fasse autant. Construisons quelque chose. Montrons la valeur. Et avant d'en faire toute une histoire, il faut que les entreprises y adhèrent. Je n'abandonne donc pas. "My shot" de Hamilton serait ma chanson préférée de tous les temps.
Mike Anderson : C'est très bien. Max, je tiens à vous remercier d'avoir passé du temps avec nous aujourd'hui et d'avoir partagé vos idées et le travail extraordinaire que vous et votre équipe réalisez chez Avnet et aussi dans l'écosystème. Je vous en remercie. Je vous remercie pour le temps que vous m'avez accordé.
J'espère que vous avez apprécié la conversation d'aujourd'hui avec Max Chan, CIO d'Avnet. Je sais que je l'ai fait. Je voudrais résumer quelques-unes des principales conclusions. Tout d'abord, en tant que DSI, nous ne pouvons pas jouer à l'adversaire avec notre organisation de sécurité. Mieux encore, nous devons nous assurer que nous donnons le ton de haut en bas de l'organisation. Il faut s'assurer que tout le monde travaille à la sécurité de l'entreprise, non seulement au sein du service informatique, mais aussi dans l'ensemble de l'organisation. Nous devons également nous assurer que nous disposons des structures de soutien adéquates pour aider nos responsables de la sécurité à atteindre cet objectif. Deuxièmement, lorsque nous parlons de sécurité au conseil d'administration, nous devons nous concentrer sur trois points : tout d'abord, pourquoi leur parler d'un événement lié à la sécurité ? Pourquoi devraient-ils s'en préoccuper ? Ensuite, quels sont les risques et les menaces potentiels auxquels nous pouvons être confrontés en tant qu'entreprise, et comment cela va-t-il affecter la capacité de l'entreprise à fonctionner, d'un point de vue commercial ? Et ensuite, que font-ils spécifiquement au sein de l'organisation informatique et de sécurité pour s'assurer que nous anticipons et évitons ces menaces ou risques potentiels pour notre entreprise ? Enfin, il s'agit vraiment de rendre nos équipes plus diversifiées. Et cela commence par le renforcement de la diversité au sein de notre organisation, en faisant appel à des personnes d'horizons, d'approches et d'états d'esprit différents pour s'assurer que nous disposons d'une vision bien équilibrée en matière de sécurité. Deuxièmement, nous voulons créer des opportunités de mobilité au sein de l'organisation afin de continuer à développer la diversité et à former des leaders loyaux et passionnés au sein de notre organisation, des défenseurs des droits de l'homme. Enfin, n'ayez pas peur de faire passer un membre de notre organisation d'un domaine à l'autre, même en dehors de l'organisation informatique, parce qu'il peut devenir notre défenseur, en particulier pour la sécurité dans d'autres parties de notre entreprise. J'espère que vous avez apprécié notre conversation avec Max. Restez à l'écoute de notre prochain épisode du Security Visionaries Podcast. Je m'appelle Mike Anderson, je suis votre hôte, je suis DSI et Chief Digital Officer pour Netskope.
Intervenant 3 : Le podcast Security Visionaries est alimenté par l'équipe de Netskope. Rapide et facile à utiliser, la plateforme Netskope offre un accès optimisé et une sécurité zéro confiance pour les personnes, les appareils et les données où qu'ils aillent, aidant ainsi les clients à réduire les risques, à accélérer les performances et à obtenir une visibilité inégalée sur l'activité de n'importe quelle application cloud, web ou privée. Pour en savoir plus sur la façon dont Netskope aide ses clients à être prêts à tout au cours de leur parcours SASE, visitez le site N-E-T-S-K-O-P-E.com.
Intervenant 5 : Merci d'avoir écouté les Visionnaires de la sécurité. Veuillez prendre un moment pour évaluer et commenter l'émission et la partager avec quelqu'un que vous connaissez et qui pourrait l'apprécier. Restez à l'écoute des épisodes qui paraîtront toutes les deux semaines, et nous vous donnons rendez-vous pour le prochain.