Comment passe-t-on d’une carrière de militaire spécialisé dans la sécurité au secteur privé ? Jeff Schilling, responsable de la sécurité des systèmes d’information (RSSI) du groupe Teleperformance, a passé 24 brillantes années dans l’armée américaine, prenant sa retraite en 2012 après avoir obtenu le grade de Colonel. Avant de rejoindre Teleperformance cette année, il avait auparavant travaillé pour le ministère de la Défense des États-Unis, où il était chargé des opérations de sécurité et de la stratégie de réponse aux incidents pour plus de 4 millions de systèmes informatiques.
Jeff a dû surmonter de nombreux changements et défis pour passer de l’armée à une société du secteur privé. Dans le dernier épisode de : « The New CISO Podcast» diffusé sur Exabeam, Jeff explique que les types de menaces dans le secteur privé sont différentes de ce qu’il a pu connaitre et maitriser dans le secteur militaire. « Je pense que ce qui m’a le plus marqué, c’est que dans le secteur civil, il existe un manque général de connaissance sur la sécurité et de son importance », déclare Jeff. « Et je ne parle pas seulement de la cybersécurité. Lorsque vous êtes un soldat, ou que vous avez grandi comme soldat spécialisé dans les opérations de sécurité (que ce soit dans le monde réel ou dans le monde cyber), bon nombre de principes sont identiques. Toutes les personnes dans l’armée maîtrisaient ce langage de la sécurité, et le comprenaient. Lorsque Jeff a débuté sa carrière de conseiller dans le secteur privé, il a été surpris par la méconnaissance des règles élémentaires en matière de sécurité. « Il existe un sérieux manque de compréhension, pas seulement sur la manière d’exécuter des opérations de sécurité, mais également sur la manière d’exécuter un processus opérationnel », poursuit Jeff. « Et c’est clairement, je pense, ce que j’ai apporté à toutes les entreprises au sein desquelles j’ai pu travailler depuis que j’ai quitté l’armée : les aider à comprendre comment se concentrer sur les opérations, et la signification même d’avoir des opérations. »
L’armée a inculqué à Jeff la valeur de la rigueur, et cela s’est révélé bénéfique à long terme. Cette rigueur lui a permis d’aborder des menaces potentielles ou des failles de sécurité avec minutie et cohérence, encourageant ses homologues à soigneusement examiner, analyser, évaluer et consigner les incidents de manière précise pour réduire le risque d’avoir de nouveau ces problèmes à l’avenir.
Le podcast s’intéressait également à l’importance de nouer des relations solides avec les DSI et les équipes chargées des audits, dans la mesure où ce sont ces personnes-là qui peuvent aider les RSSI à combler les failles en matière de sécurité. « Si vous entretenez de bonnes relations avec vos directeurs informatiques, ils peuvent défendre vos idées et argumenter en votre faveur pour apporter un changement significatif au sein de votre entreprise », souligne Jeff. « Vous devez absolument déterminer si leurs processus et les objectifs qu’ils souhaitent atteindre coïncident avec ce que vous essayez de réaliser. »
Selon Jeff, un domaine de sécurité où il serait bénéfique de se concentrer davantage est la protection des accès à privilèges élevés, dans la mesure où toutes les grandes violations de données qui se produisent impliquent la compromission d’identifiants d’administrateurs.
En se focalisant sur le Cloud et l’automatisation de la sécurité, il insiste sur l’importance de l’intégration et d’une bonne communication entre les équipes d’analystes et de développeurs après la première version du logiciel.
Lorsqu’on lui demande ce que signifie le « nouveau RSSI », Jeff rappelle que les interactions humaines jouent encore un rôle fondamental. « Cela fait écho aux relations en interne dans les environnements d’entreprise, et c’est le rôle du nouveau RSSI d’entretenir ces relations », fait remarquer Jeff. « Vous devez développer ces liens humains à l’intérieur de votre entreprise, mais également en dehors de votre organisation pour veiller à ce que votre stratégie puisse être mise en œuvre et correctement exécutée. »
Pour en savoir plus sur l’environnement de sécurité du Cloud et la manière dont les pirates informatiques se comportent dans le Cloud, écoutez la version intégrale du podcast de Jeff Schilling. Pour en savoir plus sur les stratégies et capacités de sécurité de Teleperformance, contactez-nous sans plus tarder !
