Équipe Cybersécurité

À quoi diable pensaient-ils ? C’est ce que nous – et d’autres experts en sécurité – nous demandions lorsque le géant du contenu Patreon a récemment licencié toute son équipe interne de cybersécurité en échange de services externalisés.

Bien sûr, nous ne connaissons pas les véritables motivations de ce mouvement. Mais, en tant qu’observateurs extérieurs, nous pouvons deviner que les implications de la décision sur la cybersécurité seraient inévitables pour toute organisation.

Virez l’équipe interne et vous prenez un risque énorme

Patreon est un site de création de contenu qui gère des milliards de dollars de revenus. Pour des raisons que nous ignorons, Patreon n’a pas licencié seulement quelques membres du personnel ou un cadre intermédiaire. Non : l’entreprise a licencié toute son équipe de sécurité.

C’est une grande décision aux conséquences importantes car elle entraîne une perte incalculable de connaissances organisationnelles. Au niveau technique, il s’agit d’une perte de connaissances générales sur les interdépendances profondes des systèmes que les experts en sécurité interne « connaîtront » et accumuleront au fil du temps. Des connaissances rarement écrites.

Virez l’équipe, et toutes ces connaissances ont disparu. Peut-il être reconstruit ? Peut-être, mais au milieu d’une crise, combien de temps faudra-t-il à une équipe externe pour comprendre les choses ? Tout le monde peut deviner, mais ce ne sera pas facile.

Publicité

Le « buy-in » et le « maintenant »

Il y a deux autres choses dont il faut s’inquiéter lorsque l’on considère les équipes internes par rapport aux équipes externalisées et que l’on licencie votre équipe interne. C’est du dévouement et de la réactivité.

Quel que soit le niveau de connaissance d’un entrepreneur, un entrepreneur n’aura jamais le même assentiment que celui que vous obtenez de votre employé interne qui gère vos systèmes dans votre entreprise. Après tout, les entrepreneurs regardent un système parce qu’ils sont sous contrat et ne s’intégreront jamais complètement dans la culture de l’entreprise.

Cela affecte le dévouement et la rapidité avec lesquels les problèmes sont résolus et l’investissement d’une équipe dans la résolution d’un problème. Oui, les SLA peuvent guider les normes de performance, mais lorsqu’il est important, en cas de crise, un SLA ne reproduira jamais le sentiment d’urgence du « maintenant » que vous avez avec une équipe interne dédiée.

Bien sûr, les équipes internes peuvent ne pas être en mesure de résoudre un problème instantanément. Pourtant, au milieu d’une crise de sécurité, la dernière chose que vous voulez est un groupe d’entrepreneurs surveillant l’horloge et partageant leur attention entre plusieurs clients.

Oubliez le remplacement des talents perdus

Lors de la prise d’une décision importante comme celle-ci, un autre point à considérer : pouvons-nous revenir sur la décision si nous la regrettons ? Oui, avec suffisamment de temps, Patreon pourrait reconstruire les capacités et les connaissances qu’ils ont perdues. Mais l’entreprise peut-elle trouver le talent pour le faire ?

L’acquisition de talents est un problème important sur le marché de la technologie – retenir les talents est difficile et embaucher de nouveaux talents est encore plus difficile. Quoi qu’il en soit, il faudra des mois et des mois pour reconstruire un niveau de compétence modéré.

Cela coûtera également très cher, car les recrues prennent le temps de comprendre leur nouvel environnement et la façon dont ses subtilités diffèrent des autres environnements dans lesquels ils ont travaillé. Une grande partie de cela s’apprend par l’expérience – aucun manuel de « meilleures pratiques » ne peut le couvrir de manière approfondie.

Le résultat net est-il comme prévu ?

Nous ne savons pas pourquoi Patreon a pris cette décision, mais cela pourrait être une mesure de réduction des coûts, la motivation courante de l’externalisation. Mais voici le problème : investir dans une équipe de cybersécurité interne qui maîtrise vraiment les choses est conçu pour vous faire économiser des coûts lorsque cela compte.

Lorsque les systèmes d’une organisation sont attaqués, une équipe interne profondément enracinée et hautement qualifiée aura travaillé pour empêcher une violation réussie. Tout ce travail acharné, ce dévouement et ces connaissances s’ajoutent à des systèmes hautement sécurisés.

C’est un défi pour la cybersécurité : lorsqu’une équipe bien financée et motivée fait bien son travail, il n’y a rien à montrer si ce n’est l’absence d’incidents. D’un autre côté, les incidents résultant d’une sécurité inadéquate fournie par un sous-traitant externe (moins cher ?) peuvent être extrêmement coûteux à traiter et à nettoyer.

Mauvais pour la presse, mauvais pour les finances, mauvais pour la sécurité

Y avait-il une raison valable autre que les économies de coûts pour licencier toute une équipe interne de cybersécurité ? Manque de compétence, risque interne, problèmes interpersonnels, manque de communication ou incapacité à atteindre les objectifs commerciaux ? Ce seraient toutes des raisons valables.

Pourtant, même s’il y a une raison valable, le résultat ne sera pas bon. La couverture médiatique est mauvaise, car des changements massifs et soudains dans les régimes de cybersécurité envoient le mauvais signal. Cela, à son tour, peut entraîner une perte de confiance avec les créateurs qui déterminent les résultats de Patreon.

Le risque le plus important est une défaillance de la cybersécurité. Le risque le plus important est une défaillance de la cybersécurité lors du licenciement de toute une équipe de sécurité interne. L’équipe interne était-elle incompétente ? Peut-être que la meilleure solution aurait été de combiner les connaissances internes avec une expertise externe.

Avec personne maintenant à la barre, nous pensons que la décision de Patreon ne fonctionnera tout simplement pas bien pour ses efforts de sécurité et que le leur est un risque que cela ne fonctionne pas bien pour les créateurs qui continuent de faire confiance à Patreon pour leur contenu.

La cybersécurité ne devient pas plus facile et trouver une aide extérieure réputée et fiable ne devient pas plus facile non plus. Lorsque vous évaluez vos options, vous devez revérifier votre situation avant de vous engager dans une telle démarche. Même si c’était la meilleure décision, la tache de réputation serait difficile à enlever.


Rate this post
Publicité
Article précédentCall Of Duty: les joueurs bêta de Modern Warfare 2 demandent le retour des plaques signalétiques ennemies
Article suivantAlors qu’Apple déploie le suivi des médicaments sur tous les iPhones, Pharma doit adopter la connectivité –
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici