0:00:01.6 Max Havey : Bonjour et bienvenue dans une nouvelle édition de Security Visionaries, un podcast consacré au monde des cyberdonnées et de l’infrastructure technologique, réunissant des experts du monde entier et de tous les domaines. Je suis votre hôte, max Havey, et aujourd’hui, nous parlons des rôles de DSI et de RSSI avec notre invitée, Jadee Hanson, CISO chez Vanta. Jadee, bienvenue dans l’émission.
0:00:21.2 Jadee Hanson : Merci de m’avoir invité.
0:00:22.4 Max Havey : Pour commencer, pouvez-vous nous parler un peu de votre parcours professionnel ? Je sais que vous avez travaillé pour un certain nombre d’entreprises et que vous avez occupé de nombreux postes de direction en matière de sécurité au fil des ans. Pouvez-vous nous donner un peu de contexte ici ?
0:00:31.8 Jadee Hanson : Et comment. oui. J’ai commencé à faire de la cybersécurité assez jeune. En fait, j’ai commencé à faire du cybertravail à mon école secondaire, croyez-le ou non, j’ai travaillé pour le coordonnateur de la technologie de mon école secondaire. Nous avons fait toutes sortes de choses différentes pour l’école. Il m’a demandé d’assembler des ordinateurs afin d’économiser de l’argent pour notre district scolaire, ce qui était un peu comme mon entrée dans le monde de la technologie et du cyberespace. J’ai commencé ma carrière chez Deloitte en faisant des tests d’intrusion, des audits de sécurité, et c’est à ce moment-là que j’ai occupé mon premier poste de direction. Je suis ensuite passé chez Target Corporation, où j’ai décidé de faire partie de toutes les fonctions de l’équipe cybernétique. Quand j’ai finalement décidé que je ne voulais plus voyager autant et passer à un rôle de startup, je suis passé à Code 42. Chez Target, j’ai eu une introduction dans le monde des startups parce que j’ai fait beaucoup de diligence raisonnable pour certaines des entreprises que Target Corp a achetées.
0:01:35.0 Jadee Hanson : En fait, nous avons acheté quelques petites entreprises technologiques basées dans la Silicon Valley lorsque j’étais chez Target. C’est ainsi que j’ai fait une petite introduction au monde des startups et que j’ai vraiment apprécié la culture du monde des startups, la rapidité avec laquelle il a évolué et a décidé de rejoindre Code 42 et a occupé le poste de CIO CISO chez Convery Two pendant environ huit ans, puis a récemment déménagé chez Vanta. Et Vanta, nous sommes également une entreprise de logiciels de sécurité, et nous sommes vraiment en train de créer un produit qui change la façon dont les gens perçoivent la section gouvernance, risque et conformité d’un programme de sécurité.
0:02:18.6 Max Havey : Absolument. Je sais que dans votre rôle précédent, vous avez parlé d’avoir à la fois une sorte de DSI et un rôle de RSSI. Pouvez-vous nous parler un peu de ce que c’était que de naviguer dans ce genre de double rôle, opérant à la fois sur le plan de la technologie et de la sécurité ? Je sais qu’il peut souvent s’agir de forces opposées, alors pouvez-vous nous en dire un peu plus sur la façon dont cela fonctionnait ?
0:02:34.7 Jadee Hanson : Oui, je pense que beaucoup d’auditeurs savent probablement que les DSI poussent toujours les investissements dans les nouvelles technologies, tandis que le rôle du RSSI consiste à faire apparaître prudemment les risques liés aux nouvelles technologies. Ma blague récurrente était qu’en occupant les deux postes, j’étais capable d’avoir une discussion interne avec moi-même tous les jours, mais les rôles de DSI et le rôle de DSI que j’occupais sont vraiment un rôle de chef d’entreprise stratégique. Et je pense que c’est ainsi que mon patron m’a vu lorsque j’étais à Code 42 à la tête de l’équipe de sécurité. Ainsi, lorsque j’étais RSSI chez code 42, je rendais compte directement à notre PDG et j’ai eu la chance de participer à de nombreuses décisions commerciales stratégiques prises. Et je pense que mon leader de l’époque m’a vu au-delà d’un cyberleader et a reconnu que j’avais un sens aigu des affaires, et c’est ce qui m’a finalement valu le poste de DSI. Et je pense que le rôle de DSI et celui de RSSI sont plus similaires qu’ils ne sont probablement différents, tous deux des rôles de niveau C dans une organisation. Et à cet égard, les deux rôles doivent être axés sur le sens aigu des affaires et la forte capacité d’évaluer les risques pour s’assurer que vous prenez les bonnes décisions technologiques pour l’organisation.
0:04:01.5 Max Havey : Je pense que j’étais peut-être un peu en tête dans ma question auparavant, mais en assumant ces deux rôles à l’époque, avez-vous rencontré ce genre de forces opposées comme les équipes technologiques essaient d’optimiser le rendement la plupart du temps ou les sécurités qui essaient de s’assurer qu’il y a des contrôles appropriés à cet égard ? Avez-vous rencontré ce genre de problèmes alors que vous remplissiez ces deux rôles en même temps ?
0:04:19.9 Jadee Hanson : Oui, je veux dire, je pense qu’il s’agit de compromis, de compromis à 100 % et de comprendre et d’évaluer chaque décision technologique à partir d’une analyse coûts-avantages, d’une analyse des risques et des résultats pour vraiment prendre la meilleure décision et de faire en sorte que les deux rôles me rendent compte directement. Je pense que cela a certainement aidé à combler cette lacune chez Code 42 et chez Vanta, les équipes informatiques me rendent compte directement, et je pense que c’est un modèle que beaucoup de RSSI dans les petites entreprises ont mis en place aujourd’hui et qui, je pense, fonctionne certainement très bien. Si vous assumez correctement le rôle de RSSI, vous essayez en fin de compte d’identifier les initiatives commerciales qui contribuent au succès de l’organisation, ce qui n’est vraiment pas si différent du rôle de DSI lui-même. Et si vous parvenez à aligner la fonction de RSSI et la fonction de DSI pour atteindre les objectifs commerciaux convenus, les équipes qui travaillent sous vos ordres font un excellent travail en se réunissant pour obtenir des résultats communs.
0:05:27.8 Max Havey : Absolument. Dans le même ordre d’idées, quelles sont les stratégies que vous avez rencontrées dans le cadre de ces deux rôles et que vous recommanderiez à d’autres RSSI qui cherchent également à combler ce fossé au sein de leur organisation ? Quels types de stratégies ou de conseils leur donneriez-vous à ce sujet ?
0:05:40.3 Jadee Hanson : oui. Je pense que l’une des stratégies les plus percutantes que j’ai poussées au sein des équipes est le concept de processus intégrés. Il y a donc de nombreux résultats souhaités différents qui nécessitent la participation de la sécurité et de l’informatique, et en développant ce processus conjoint pour obtenir les résultats, vous constatez que les équipes se soudent vraiment. C’est un peu comme je l’ai déjà dit en termes de trouver des objectifs communs afin que chaque équipe s’engage vers le résultat final ou le succès final. Un exemple simple serait comme un processus de correctif zero day. La sécurité a certainement un intérêt direct à ce que les choses soient corrigées et terminées, mais elle doit absolument s’appuyer sur l’informatique pour y parvenir. Ainsi, en mettant en œuvre un cadre et un processus où les deux parties sont impliquées et tenues responsables du résultat final, vous voyez les équipes travailler beaucoup plus étroitement ensemble.
0:06:38.8 Max Havey : Absolument. Cette responsabilité égale, je pense que la transversalité est un mot qui est utilisé là-dedans aussi. Et la saison dernière, notre thème était autour de l’idée de la sécurité en tant que sport d’équipe. Et je pense que le fait de les rassembler de cette manière et de réfléchir à ces objectifs communs est une excellente façon de considérer la sécurité et l’infrastructure comme un sport d’équipe.
Max Havey : Sans faute. C’est le même genre de pensée interfonctionnelle et de travail interfonctionnel tout en travaillant de manière indépendante et en trouvant un moyen de rassembler ces éléments afin que vous puissiez le faire de la meilleure façon possible et obtenir le meilleur résultat possible.
0:06:55.0 Jadee Hanson : Oui, absolument. Nous exerçons en grande partie une influence sans autorité et nous essayons donc de rendre tout le monde responsable de la sécurité et je dis souvent à l’organisation Vanta que la sécurité est la responsabilité de tous et qu’elle exige vraiment la participation de tous.
0:07:14.1 Max Havey : En tant que personne qui a également des années d’expérience en tant que DSI, comment cela influence-t-il la façon dont vous abordez votre rôle de RSSI aujourd’hui ?
0:07:21.0 Jadee Hanson : Oui, encore une fois, je vais revenir au concept du rôle du RSSI est vraiment un rôle de leader stratégique au sein de l’organisation et nous voulons le meilleur pour l’entreprise et nous voulons les meilleurs résultats commerciaux. Et ce n’est pas différent du rôle du DSI. Et donc, quand je pense au rôle de DSI, mon travail consistait auparavant à choisir toutes les bonnes technologies pour l’organisation, à m’assurer que nous faisons tous les bons choix de compromis, à m’assurer que nous sommes financièrement responsables. Le rôle de RSSI que j’ai aujourd’hui, j’ai des éléments de l’informatique qui en font partie, mais c’est vraiment très similaire dans le sens où, du point de vue de la sécurité, je veux influencer aux bons endroits pour que nous obtenions les bons résultats commerciaux. Je veux m’assurer que nous appliquons les bonnes pratiques de sécurité en place afin de nous assurer que nous n’avons aucune sorte d’impact secondaire d’un événement. Et donc je ne vois pas les choses vraiment différemment. Je pense que de nombreux postes de direction dans une organisation ont leur domaine d’expertise, mais en fin de compte, il s’agit vraiment d’une prise de décision stratégique pour avoir un impact positif sur l’entreprise.
0:08:34.8 Max Havey : Absolument. Dans une certaine mesure, vous trouvez des moyens d’aider à prendre ces décisions, quel que soit votre rôle, que vous soyez RSSI ou DSI, vous prenez toujours ces décisions au niveau de l’entreprise et contribuez à l’entreprise dans son ensemble, qu’il s’agisse de sécurité, de technologie ou d’un amalgame des deux.
0:08:50.5 Jadee Hanson : Oui, absolument.
0:08:53.8 Max Havey : Un mot que vous n’arrêtez pas de dire et sur lequel j’ai un peu envie de double-cliquer ici. Lorsque vous parlez de l’idée de créer une influence entre toutes ces différentes équipes et de travailler de manière interfonctionnelle, de quelles façons créez-vous cette influence pour essayer d’aider les gens à mieux comprendre les besoins, par exemple, d’une équipe technologique ou d’une équipe de sécurité pour les amener à comprendre pourquoi c’est une chose importante qu’ils devraient prendre au sérieux ?
0:09:11.0 Jadee Hanson : Oui, je pense que cela a beaucoup à voir avec une approche similaire. Et donc, quand je pense à la façon dont nous travaillons chez Vanta, nous nous concentrons beaucoup sur les principes d’être accessibles, d’être un partenaire et de collaborer et certainement pas d’être le département de non, mais le département qui vient nous voir avec un problème et aidons-nous à obtenir le meilleur résultat pour l’organisation. Je pense que le fait d’avoir ce type d’approche à l’échelle de l’organisation finit par nous donner le bon impact. Encore une fois, je reviendrai sur le fait que nous influençons vraiment sans autorité. Nous n’avons pas l’occasion de prendre les décisions dans toutes les organisations. C’est pourquoi une partie de notre travail le plus important consiste à obtenir la bonne influence dans l’organisation, à les éduquer avec les bons aspects éducatifs dont ils ont besoin pour nous assurer que nous prenons le temps de leur expliquer pourquoi. Tout le monde ne voit pas ce que nous voyons du paysage extérieur. Il faut donc prendre le temps de s’assurer qu’ils comprennent les menaces que nous voyons à l’extérieur et qui peuvent avoir une incidence sur ce que vous faites. Et décrire cela de manière à ce que nous n’arrivions pas et que nous disions simplement que cela doit être fait de cette façon, mais que nous éduquions vraiment dans le cadre de cela.
0:10:28.7 Max Havey : Cette partie de l’éducation semble particulièrement importante lorsque nous parlons de l’idée que les RSSI deviennent plus répandus dans les conseils d’administration et qu’ils s’adressent à des cadres supérieurs au sein d’une entreprise. Je pense que le fait d’être capable d’influencer et d’éduquer les gens qui ne sont pas techniques, qui n’ont pas ce genre d’expérience en matière de sécurité ou de technologie pour les aider à comprendre, je pense que c’est la clé de tout cela.
0:10:48.6 Jadee Hanson : Oui, absolument. Notre travail consiste vraiment à prendre les concepts que nous connaissons et à les transformer en un langage commercial de niveau supérieur qui se transforme en un impact similaire pour eux. Comment cela pourrait-il affecter vos objectifs ultimes ?
0:11:05.3 Max Havey : Absolument. Et en pensant un peu plus loin, l’idée de convergence est beaucoup évoquée lorsque vous parlez des RSSI et des rôles de DSI. Quelle est votre vision de l’avenir de ce type de rôles, quels types de changements pensez-vous que le rôle de RSSI est prévu pour les années à venir en ce qui concerne l’aspect technologique des choses ?
0:11:27.3 Jadee Hanson : En ce qui concerne le rôle du DSI et la convergence des rôles des RSSI, permettez-moi d’abord d’aborder cette question. Je pense que dans beaucoup de petites et moyennes entreprises, le rôle de RSSI finira par en avoir la responsabilité. On pourrait presque dire qu’il s’agit en quelque sorte d’un rôle combiné, sans l’aspect DSI désigné. Dans les grandes entreprises, je pense qu’elles resteront largement séparées, mais je vois un monde où ces deux organisations travaillent main dans la main et sont considérées comme plus égales en ce qui concerne l’avenir du rôle de RSSI pour les années à venir. Je pense qu’il est important de se rappeler que le rôle de RSSI est encore un rôle de niveau C relativement nouveau. Je pense donc qu’il y aura des changements constants au fur et à mesure que les choses avancent. Cela dit, je pense qu’il y a deux changements principaux qui nous attendent davantage dans les années à venir et le premier est une importance stratégique accrue ou une responsabilité accrue au sein de l’organisation.
0:12:33.5 Jadee Hanson : C’est pourquoi les RSSI commencent à être considérés de plus en plus comme de simples leaders technologiques dans une organisation, mais plutôt comme l’un des leaders stratégiques de l’entreprise qui ont cet intérêt collectif pour des résultats commerciaux positifs parmi le reste de l’équipe de direction. Je pense que c’est un grand changement par rapport à ce que nous avons vu dans le passé. Les RSSI commencent à jouer un rôle essentiel dans l’élaboration de la stratégie commerciale, en équilibrant les risques et la résilience à mesure que l’entreprise se développe. Et au niveau de l’entreprise, nous constatons presque que cette importance stratégique accrue est due en grande partie à tous les aspects de ce qui se passe avec la SEC et la SEC qui tient les grandes entreprises publiques responsables des actions des RSSI et les RSSI sont maintenant à ce niveau d’être tenus responsables des principales divulgations pour les exigences des actionnaires. ce qui est certainement en train d’élever le rôle du RSSI, ce qui conduit à un rôle beaucoup plus large et plus percutant pour ce RSSI.
0:13:40.2 Jadee Hanson : Je pense que le deuxième type de changement que je vois dans les années à venir pour le rôle de RSSI est ce changement du rôle de la sécurité par les pairs à celui de la technologie, de la stratégie et du risque. Donc, un peu plus de convergence avec le DSI et un peu plus comme la convergence du directeur de la gestion des risques. Ainsi, dans de nombreux cas, les RSSI d’aujourd’hui assument bon nombre des mêmes responsabilités que le DSI et le directeur des risques, nous en avons déjà parlé, mais de nombreuses responsabilités pour la prise de décisions technologiques clés au sein de l’organisation finissent par atterrir dans le laboratoire des RSSI. Aujourd’hui, le rôle du RSSI est allé au-delà de la sécurité et de la technologie, mais a plutôt eu un siège à la table pour évaluer la sécurité au fur et à mesure que des solutions similaires sont introduites dans l’organisation.
0:14:32.9 Max Havey : Et d’avoir cette visibilité en amont, si les RSSI sont tenus responsables de plus de choses, comme les dépôts et les divulgations auprès de la SEC, et des choses de ce genre. Je pense qu’il est risqué d’être en mesure d’avoir ce genre de vision de la technologie, des pratiques que nous pouvons adopter pour éliminer ce risque, d’avoir ces choses en amont plutôt que lorsque vous les découvrez au moment où elles se produisent. Je pense qu’il s’agit d’une stratégie clé pour améliorer votre sécurité et votre technologie, en même temps, j’ai entendu de nombreux responsables de la sécurité au cours des années de travail sur cette émission, c’est qu’avoir une approche proactive est l’une des clés pour être un bon RSSI et pour avoir une bonne stratégie de sécurité en tant qu’organisation.
0:15:11.1 Jadee Hanson : Oui, à 100%. Autant de fois que nous pouvons nous impliquer tôt, il y a un tas d’études sur le coût d’un changement de sécurité précoce et même simplement comme le cycle de développement par rapport à essayer de mettre en œuvre un changement dans un produit après que le produit a été livré. Et il est certain que le coût est incroyablement faible si vous pouvez vous impliquer tôt et influencer les bonnes personnes pour qu’elles prennent les bonnes décisions plutôt qu’après coup.
0:15:38.0 Max Havy : Absolument. Et pour conclure, qu’est-ce qui vous passionne le plus en tant que personne ayant travaillé dans le secteur de la sécurité à des postes de RSSI et de DSI ? Qu’est-ce qui vous enthousiasme dans le fait de voir ce genre de rôles converger et de voir les responsabilités se rejoindre autour de la technologie et de la sécurité ?
0:15:53.6 Jadee Hanson : Je pense que ce qui me passionne, c’est que du point de vue du RSSI, nous sautons de haut en bas en disant : « Hé, faites attention à nous pendant des années et récemment, je pense que nous avons eu beaucoup d’attention, beaucoup de projecteurs pointés sur le rôle du RSSI. Et je pense que dans de nombreux cas, c’est une bonne chose. Nous avons certainement plus à faire pour nous assurer que les organismes gouvernementaux comprennent vraiment notre espace. Mais cela dit, je pense qu’il est vraiment, vraiment important d’avoir de la visibilité sur le rôle, sur ce que nous faisons et sur la façon dont nous fonctionnons. Et cela me passionne. Je pense aussi à ce que je vois dans l’industrie, c’est que de plus en plus de décisions technologiques font également partie du rôle de RSSI. On pourrait donc penser à la prise de décision du DSI en matière de technologie, et à ce partenariat avec le RSSI, et maintenant vous voyez en quelque sorte les RSSI diriger différentes équipes technologiques et la prise de décision se produire au rôle du RSSI, ce qui, à mon avis, est extrêmement important. Et c’est vraiment excitant parce que je pense qu’à cet égard, le RSSI ne se contente pas de s’accrocher et d’essayer de rattraper son retard, mais il fait partie du processus de prise de décision.
0:17:12.8 Max Havey : Certainement plus de rattrapage et enfin avoir leur temps sous les projecteurs, leur temps pour briller et leur temps pour mener le peloton.
0:17:18.0 Jadee Hanson : Absolument.
0:17:18.9 Max Havey : Absolument. Eh bien, Jadee, merci beaucoup d’avoir pris le temps d’être ici aujourd’hui. C’était une excellente conversation qui a permis d’approfondir la dichotomie entre les rôles du DSI et du RSSI et comment ils convergent. Merci beaucoup d’avoir pris le temps. Nous l’apprécions vraiment.
0:17:30.2 Jadee Hanson : Oui, absolument. Merci beaucoup de m’avoir invité.
0:17:32.7 Max Havey : Absolument. Et vous avez écouté le podcast Security Visionaries. J’ai été votre hôte, Max Havey, et si vous avez apprécié cet épisode, partagez-le avec un ami et abonnez-vous à Security Visionaries sur votre plateforme de podcast préférée. Là, vous pouvez écouter notre catalogue d’épisodes et garder un œil sur les nouveaux, qui tombent toutes les deux semaines, animés par moi ou ma co-animatrice, la merveilleuse Emily Wearmouth. Et sur ce, nous vous retrouverons dans le prochain épisode.
Pourquoi Netskope 
){kind=icon}
