CISO : comment Mazarin peut nous aider à améliorer nos relations professionnelles ?

Un grand stratège oublié ?

Jules Mazarin, cardinal et homme d'État du XVIIe siècle, a légué à la postérité son "Bréviaire des politiciens", un recueil de conseils à l'attention des dirigeants politiques (toujours utilisé sous le manteau de nos jours). Alors que son contexte historique est éloigné de notre monde ultra numérisé et où l'information circule aussi vite que la lumière, ses enseignements offrent des perspectives fascinantes quant à la gestion des relations humaines, un aspect crucial pour les CISO et autres responsables sécurité. Dans ce domaine exigeant où les technologies semblent faire la loi, les compétences relationnelles et de communication sont souvent sous-estimées, pourtant elles sont essentielles pour se maintenir à flot face au maillon le plus faible de la chaîne de sécurité. Un maillon faible qui se transforme parfois en adversaire ou en ennemi.

(Dis)simuler, le maître-mot ?

Pour Mazarin, la simulation et la dissimulation sont présentées comme des moyens essentiels à (ab)user en politique. Transposées dans le domaine de la sécurité des systèmes d'information, ces tactiques deviennent des outils cruciaux; voire vitaux si l'on se réfère à un autre stratège plus connu, Sun Tzu. Pour le CISO averti, l'art de cacher les vraies capacités de défense de son système tout en dévoilant suffisamment d'informations pour maintenir la confiance et la transparence est une compétence clé.

Dans la pratique, cela se traduit par l'utilisation de stratégies de sécurité telles que les pots de miel (honeypots) ou les "puits sans fond". Ces systèmes simulent des vulnérabilités pour observer les techniques et les comportements des cybercriminels, tout en dissimulant les véritables défenses et la valeur des actifs de l'entreprise.

En parallèle, maintenir un équilibre avec la transparence et l'honnêteté dans les communications internes est un autre enjeu politique. Cela signifie être ouvert sur les politiques et les pratiques de sécurité, éduquer les employés sur les risques et les protocoles de sécurité à suivre, et communiquer clairement lors des incidents de sécurité. Le CISO doit assurer que, tout en gardant certaines stratégies de sécurité confidentielles, les informations essentielles pour la sécurité collective sont partagées de manière transparente tout en respectant le fameux principe de "besoin d'en connaître".

Méfiance, prudence, confiance, audace ?

En cybersécurité, l'adoption d'une posture de méfiance et de prudence, telle que conseillée par Mazarin, est à mon sens fondamentale. Cette approche est particulièrement pertinente dans un environnement où les menaces peuvent provenir de multiples sources, y compris internes à l'organisation.

La sécurité des systèmes d'information et en particulier ses aspects liés à la cybersécurité repose justement sur la vigilance constante. Le CISO doit non seulement surveiller les menaces externes, mais aussi être conscients des risques internes, tels que les employés malveillants ou négligents. Cela implique un processus continu de vérification des informations et des accès aux données. Tout est une question de privilège, non ?

La vérification des informations s'étend également aux moyens d'accès, à l'authentification des utilisateurs. Les systèmes d'authentification forte, comme l'authentification multifacteur, sont essentiels pour garantir que seuls les utilisateurs autorisés accèdent aux ressources sensibles.

La construction de la confiance dans un environnement de sécurité informatique est un véritable défi, car elle nécessite d'équilibrer l'ouverture et la transparence avec la nécessité de protéger le système d'information. Le CISO doit donc développer une culture de la sécurité au sein de leur organisation, et le faire en fonction de critères spécifiques comme les objectifs poursuivis par l'organisation qu'il sert, ses contraintes mais aussi sa culture.

Cela peut être réalisé en formant et en sensibilisant tous les employés et parties prenantes aux bonnes pratiques de sécurité. En faisant comprendre à chacun son rôle dans la protection des actifs numériques, le CISO crée un environnement où la vigilance est une norme commune. De plus, en communiquant ouvertement sur les politiques de sécurité, les procédures et les raisons qui les sous-tendent, le CISO renforce la confiance sans compromettre la prudence.

La mise en place de canaux de communication clairs pour les rapports d'incidents et les préoccupations en matière de sécurité favorise également une culture de confiance. Cela permet aux employés de signaler les incidents ou les activités suspectes sans crainte de répercussions, contribuant ainsi à une détection plus rapide et à une réponse plus efficace aux menaces.

“L'espionnage serait peut-être tolérable s'il pouvait être exercé par d'honnêtes gens” disait Montesquieu

Dans son "Bréviaire des politiciens", Jules Mazarin prône l'espionnage et l'observation minutieuse comme moyens d'acquérir des informations essentielles. Cette approche, transposée dans le contexte de la cybersécurité, peut devenir un pilier pour le CISO dans sa quête et ses missions.

Le CISO, s'il suit l'esprit de Mazarin, doit exceller dans l'art de la veille stratégique. Cette veille implique une surveillance constante des dernières tendances en matière de menaces informatiques, des vulnérabilités émergentes et des techniques d'attaque nouvelles. Cela nécessite non seulement de suivre les bulletins de sécurité et les rapports d'incidents, mais aussi de participer à des réseaux professionnels et des forums d'échange pour recueillir des renseignements précieux. D'ailleurs, ce conseil fait résonance à l'un des contrôles de l'annexe A de l'ISO 27001.

L'observation attentive des comportements au sein même de l'entreprise peut également être un facteur clé. Un CISO avisé observera les tendances de l'utilisation des systèmes d'information par les employés, en identifiant, par exemple, les modèles qui pourraient indiquer des failles de sécurité ou des risques potentiels. Cette observation permet non seulement de détecter les menaces, mais aussi de comprendre la culture de sécurité de l'organisation et d'identifier les domaines nécessitant une sensibilisation accrue. Prévenir plutôt que guérir. L'anticipation avant l'action !

En outre, le CISO doit être capable de lire entre les lignes des rapports de sécurité et des analyses de risques qu'il reçoit ou commet, en discernant les implications cachées pour l'organisation qu'il sert et ses objectifs intrinsèques. Cela peut comprendre l'identification des motivations des cybercriminels, l'analyse des tactiques adverses, et l'anticipation des mouvements futurs des menaces.

L'espionnage et l'observation, dans le sens mazarinien des termes, ne sont pas seulement des moyens de collecte d'informations, mais aussi des outils pour élaborer des stratégies proactives, préventives. En adoptant cette approche, le CISO anticipe les défis de sécurité, élabore des réponses stratégiques et contribue à créer un environnement d'entreprise plus sécurisé et plus résilient.

Cette application des leçons de Mazarin montre que, malgré l'évolution des technologies et des menaces, certaines vérités fondamentales sur la nature humaine et la gestion de l'information restent constantes. Pour le CISO, "politicien" moderne, embrasser cet héritage peut enrichir sa compréhension de la cybersécurité et renforcer sa capacité à protéger les ressources les plus précieuses de son organisation.

Lobby, influence...

Dans le contexte de sa mission, pas le choix, le CISO doit interagir et maintenir des relations avec divers groupes au sein et à l'extérieur de l'organisation. Ces groupes incluent la parties prenantes, le management, le board, les actionnaires, les collègues de différents départements et les partenaires extérieurs comme les fournisseurs de services de sécurité, les consultants et les organismes de réglementation. Chaque groupe présente des dynamiques uniques et différentes et exige une approche spécifique pour une collaboration efficace.

Les bonnes relations entre le CISO et la direction sont la base du travail du CISO, n'en déplaise aux dingues de technologies, de firewalls, d'antivirus, de SIEM, de SOC et que sais-je encore. Le CISO doit communiquer efficacement l'importance de la sécurité des systèmes d'information et son impact sur les objectifs commerciaux globaux auprès de ce public particulier. Cela implique de traduire les problématiques techniques en termes de risques (PESTEL), de conformité réglementaire et d'impact sur la réputation de l'entreprise. Pour renforcer cette relation, le CISO peut :

- Présenter des rapports de sécurité clairs et concis.

- Aligner les stratégies de sécurité avec les objectifs commerciaux.

- Proposer des solutions de sécurité qui soutiennent l'innovation et la croissance de l'entreprise.

Au sein de l'organisation, le CISO interagit avec divers départements tels que les RH, le marketing, les opérations, et l'IT. Chaque département peut avoir des niveaux de compréhension et d'engagement différents en matière de sécurité. Pour améliorer la collaboration, le CISO peut :

- Établir des lignes de communication claires et des processus pour signaler les problèmes de sécurité.

- Fournir une formation et une sensibilisation régulières à la sécurité.

- Collaborer sur des projets interfonctionnels pour garantir que les pratiques de sécurité sont intégrées dans toutes les activités de l'entreprise.

Enfin, les relations avec les partenaires extérieurs, comme les fournisseurs de solutions de sécurité, les consultants en cybersécurité et les organismes de réglementation, sont également à gérer avec adresse. Le CISO peut :

- Évaluer et gérer les risques associés aux partenaires tiers.

- S'assurer que les contrats et les accords respectent les besoins et exigences de sécurité de l'organisation.

- Participer activement à des réseaux professionnels et des groupes de travail pour rester informé des meilleures pratiques et des tendances du secteur.

Quelques conseils pour naviguer et améliorer ces relations :

- Écoute active et communication empathique pour comprendre les besoins et les préoccupations de chaque groupe.

- Développer des compétences en négociation et en résolution de conflits pour gérer efficacement les désaccords ou les malentendus.

- Adopter une approche transparente et inclusive, en impliquant les parties prenantes dans les décisions de sécurité et en partageant les succès et les défis.

- Démontrer une compréhension des enjeux commerciaux et une volonté de trouver des solutions de sécurité qui soutiennent les objectifs de l'entreprise.

Pour le CISO qui veut "vivre" ou "survivre", l'observation continue et l'adaptabilité sont essentiels . En garde !

Dans l'esprit de Mazarin, la réussite et la survie dans un environnement politique complexe nécessitent ruse, prudence, sens tactique et stratégie. Pour un CISO, cette perspective "noire" se traduit par la nécessité de naviguer dans un paysage où les ennemis (comme les cybercriminels) et les adversaires (y compris les collègues, la direction, les contraintes budgétaires et les partenaires) représentent des défis constants.

Le monde de la cybersécurité est un terrain où les menaces sont omniprésentes et évoluent sans cesse. Les CISO doivent donc adopter une approche similaire à celle de Mazarin, caractérisée par une vigilance constante et une capacité à naviguer dans des situations complexes et ambiguës. Cela implique :

- La capacité à anticiper et à réagir rapidement aux menaces émergentes.

- Le développement d'une stratégie de sécurité qui soit à la fois robuste et flexible, capable de s'adapter aux nouvelles menaces.

- Une compréhension profonde du paysage des menaces, incluant non seulement les attaques externes mais aussi les risques internes.

Les ennemis en cybersécurité, notamment les pirates informatiques, sont souvent imprévisibles et sophistiqués dans leurs méthodes. Pour les contrer, un CISO doit :

- Mettre en place des systèmes de sécurité multicouches pour protéger contre une variété d'attaques.

- Utiliser des techniques de déception, comme les pots de miel, pour détourner et étudier les attaquants.

- Se tenir constamment informé des dernières tactiques et outils utilisés par les cybercriminels.

Les adversaires internes qui peuvent, souvent involontairement, entraver les initiatives de sécurité. Cela peut être dû à des conflits d'intérêts, des limitations budgétaires ou une mécompréhension des enjeux de sécurité. Pour gérer ces adversaires, le CISO doit :

- Cultiver des compétences diplomatiques pour négocier et défendre efficacement les budgets et les ressources de sécurité.

- Éduquer et sensibiliser les autres départements et la direction sur l'importance de la cybersécurité.

- Développer une capacité à argumenter en faveur des initiatives de sécurité en termes de valeur ajoutée pour l'entreprise et de réduction des risques.

Les relations avec les fournisseurs et les partenaires externes peuvent aussi être complexes. Les enjeux ici incluent la gestion des risques associés aux tiers et la garantie que les partenaires respectent les normes de sécurité. Pour cela, un CISO doit :

- Évaluer rigoureusement les risques liés aux partenaires et fournisseurs.

- Mettre en place des contrôles contractuels et des audits réguliers pour assurer la conformité.

- Négocier des accords qui protègent les intérêts de sécurité de l'entreprise.

Le mot de la fin n'est que le début d'un autre chemin

En examinant les conseils de Jules Mazarin dans son "Bréviaire des politiciens", il apparaît évident que les stratégies pour naviguer dans les complexités du pouvoir politique d'autrefois ont une résonance surprenante avec les défis auxquels les CISO sont confrontés aujourd'hui. Les leçons de Mazarin, centrées sur la ruse, la diplomatie et la compréhension stratégique des environnements complexes, peuvent être des outils précieux pour les CISO qui opèrent dans le paysage dynamique et souvent impitoyable de la cybersécurité.

Les CISO d'aujourd'hui, confrontés à un mélange d'ennemis (cybercriminels) et d'adversaires (défis internes, pressions budgétaires, dynamiques de partenariat), peuvent tirer parti de l'approche de Mazarin pour mieux naviguer dans ces eaux troubles. La prudence, la vigilance, la capacité à anticiper les menaces, à négocier avec habileté et à gérer les relations complexes sont des compétences qui transcendent les siècles et les contextes.

Pour ceux qui cherchent à approfondir leur compréhension des stratégies de gestion et de leadership dans le domaine de la cybersécurité, la lecture du "Bréviaire des politiciens" de Mazarin pourrait s'avérer être une source d'inspiration et de perspicacité inestimable. Non seulement ce texte historique offre un aperçu des pratiques de pouvoir d'une époque révolue, mais il fournit également des leçons intemporelles sur la nature humaine, la prise de décision stratégique et la gestion des relations complexes - des compétences essentielles pour tout CISO cherchant à exceller dans le monde moderne de la sécurité des systèmes d'information.

Ainsi, je vous invite à me contacter pour débattre du sujet ou si vous désirez un coaching basé sur les "anciennes méthodes".

Alexandre,