Je réalise que je n’ai pas eu l’opportunité d’écrire un nouveau texte depuis mars 2021… Probablement ensevelie par différents mandats à chasser les pissenlits!
Dernièrement, je suis retombé sur une vieille publication Linkedin qui a été publié par mon homonyme de nom (c-a-d. Martin Laberge) et qui démontre tellement bien en une image, la triste réalité des grandes organisations d’aujourd’hui face à la cybersécurité (et beaucoup d’autres secteurs d’activités en fait).
Toute personne ayant déjà travaillé en cybersécurité dans de grandes organisations a surement leur propre version de cette liste d’activités quotidienne à très grande valeur rajoutée pour la cybersécurité (sarcasme). Je dois dire qu’avec les années, j’ai développé une véritable aversion à ces activités sans véritable valeur ajoutée de mon point de vue. Terminer sa journée, voir sa semaine et se dire… j’ai déployé beaucoup d’énergie cette semaine, je suis crevé, mais est-ce que j’ai réellement apporté de la valeur à l’organisation ?
Oui j’ai livré plusieurs dossiers. Oui j’ai participé à de nombreuses réunions. Oui j’ai fait de mon mieux pour répondre le plus consciencieusement possible aux diverses demandes. Oui j’ai pris le temps de passer mes observations. Oui j’ai respecté les normes établies. Mais est-ce que tous ceci a fait du sens?
Je m’explique avec une analogie.
Supposons que l’organisation désire un terrain d’une grandeur de 10 terrains de soccer avec du gazon naturel très bien fourni, sans mauvaise herbe et d’un vert impeccable (en d’autres mots une cybersécurité d’une grande maturité et pleinement conforme au standard du marché). La réalité est que ce terrain, est plein de mauvaise herbe et asséché par plusieurs années de mauvais entretien et un système d’irrigation déficient. De plus, plusieurs rapports mentionnent à la haute direction que le gazon n’est pas conforme et qu’il faut y voir sous peine d’amende (vous savez les fameuses Loi et/ou les régulateurs).
Moi en tant que jardinier, j’ai une pelle et je m’efforce de retourner un maximum de terre afin de cacher la mauvaise herbe car l’instruction est de retourner la terre afin d’être conforme. Je donne un coup de pelle, je retourne la terre et je la tape. Marche quelque pas, et je répète la procédure approuvée par l’organisation. J’assume qu’une autre personne viendra semer, une autre arroser ou retourner la terre que je n’ai pas pu faire. À la fin de la journée, je fais une belle reddition du nombre de coups de pelle car le tout est suivi avec précision.
Mon exemple est un peu extrême, mais une chose est certaine, la mauvaise herbe aura le temps de repousser bien avant que l’ensemble du terrain soit conforme aux attentes. Et ici, je ne mentionne pas que ce terrain est entouré de champs et de semeur de pissenlit.
Je me rappelle encore il y a 20 ans, le VPTI de l’entreprise ou je travaillais avait qu’une seule diapo dans son PowerPoint pour expliquer la sécurité informatique. C’était mentionné simplement 3 mots « Sécurité, Sécurité et Sécurité ». J’étais responsable d’une petite équipe de sécurité à ce moment et je comprenais mal le sens. En privé, son discourt était, lorsque tu auras réussi a faire comprendre a tous que la sécurité doit être intégrée partout, ton poste ne sera plus requis (dans sa forme actuelle).
Aujourd’hui en octobre 2022, j’observe que nous tous sommes rendus très bon pour exécuter un million de tâches en cybersécurité sans être conscient que nous avons perdu le véritable sens du pourquoi nous réalisons les choses. Que dire du gros bon sens… Les équipes de cybersécurité surtout dans la grande entreprise ont grossi de façon exponentielle, les budgets sont rendus parfois démesurés et de plus en plus de tâches sont réalisées a un niveau de maturité qui n’a rien a voir avec ce qu’on réalisait il y a 15-20 ans.
Mais malgré tout, ne retournons pas juste des tas de terre sur le gazon ?
Qui suis-je?
Mon nom est Stéphane Laberge, je suis consultant et j’oeuvre dans le domaine de la cybersécurité depuis plus de 20 ans. Je m’efforce de promouvoir de véritables prises de conscience humaine face aux différents enjeux de la cybersécurité.