Ce que les organisations à but non lucratif apprennent au secteur de la cybersécurité

Et si nous abordions la cybersécurité non pas comme une case à cocher de conformité ou une réponse à une crise, mais comme un acte de service ?  

C'est la question à laquelle je suis revenu après ma conversation avec Kelley Misata, fondateur et PDG de Sightline Security, dans le dernier épisode de l'émission The Segment.  

Le parcours de Misata dans le domaine de la cybersécurité est atypique. C'était personnel. Après avoir été harcelée pendant des années par une personne utilisant des technologies d'anonymisation, elle a poursuivi un doctorat en sécurité de l'information afin de comprendre comment les outils numériques pouvaient protéger et nuire.  

Cette expérience a façonné son approche fondée sur l'empathie et sa conviction de démystifier la sécurité pour tout le monde.

Le fossé cybernétique des organisations à but non lucratif

Le travail de Misata se situe à l'intersection de la cybersécurité et du monde associatif, où les organisations à mission fonctionnent souvent avec des marges très réduites et un soutien technique limité.  

Mais comme elle l'a précisé, cela ne signifie pas qu'ils manquent de sophistication ou d'objectif. En fait, c'est souvent le contraire qui est vrai.

Qu'il s'agisse d'un refuge pour victimes de violences domestiques, d'une banque alimentaire ou d'une association de prévention du suicide, les enjeux sont humains et pas seulement financiers. Cela signifie que les approches traditionnelles de la cybersécurité ne sont pas toujours applicables.  

Des termes tels que "inventaire des actifs" ou "cadres de contrôle" peuvent sembler abstraits ou même aliénants dans des environnements où les gens essaient simplement d'aider les autres à survivre.

Kelley a raconté l'histoire d'une organisation d'aide au suicide qui organise délibérément un forum ouvert. Lorsque Kelley a évoqué les risques potentiels, le fondateur a expliqué que leur communauté avait besoin d'un endroit pour observer et se sentir en sécurité avant de participer.

"C'est ce dont notre communauté a besoin", a déclaré le fondateur à Misata.

Ce moment a changé sa façon de voir le risque de sécurité, non pas comme quelque chose à éradiquer, mais comme quelque chose à gérer de manière réfléchie.

Intégrer la sécurité dans les comportements quotidiens

Misata préconise un changement d'état d'esprit - qui intègre la cybersécurité dans le comportement quotidien au lieu de la reléguer à des départements informatiques cloisonnés.

Mon rêve est que nous prenions du recul et que nous nous disions : "Euh, peut-être devrions-nous y réfléchir à nouveau"", a-t-elle déclaré. Il s'agit donc de faire une pause au lieu de se dire : "Oh, mon Dieu, il faut aller parler à l'équipe de sécurité".

Ce type de changement culturel prend du temps. "Je pense que les personnes travaillant dans le domaine de la sécurité sont impatientes à ce sujet", a-t-elle déclaré. "J'espère que j'apporterai un peu de patience à la conversation et que je dirai que tout va bien. Nous avons progressé. Continuons à avancer".

Écouter d'abord, sécuriser ensuite

Cet état d'esprit reflète le travail de Misata à Sightline Security, où elle et son équipe traduisent les cadres de sécurité dans un langage compréhensible pour les organisations à but non lucratif. Ils ne le font pas en simplifiant les choses, mais en écoutant d'abord.

"Je connais peut-être la cybersécurité, mais je ne connais pas votre mission. Commençons donc par là", dit-elle aux organisations à but non lucratif.

Elle a toutefois mis en garde contre les réponses hâtives.

"N'y allez pas comme un super-héros", dit-elle. "Allez-y en toute humilité. Demandez-leur comment ils fonctionnent. Qu'est-ce qui les intéresse ? C'est ainsi que l'on progresse".

Nous avons également discuté du rôle croissant des logiciels libres, en particulier dans les organisations à but non lucratif, où des solutions rentables sont essentielles.  

Le conseil de Misata : Traitez les projets de logiciels libres comme des vendeurs tiers. Posez des questions. Comprendre la gouvernance. Sachez qui assure la maintenance du code.

Renforcer la confiance dans la cybersécurité dans un monde où la confiance est nulle

Nous parlons souvent de la confiance zéro en termes d'architecture : vérification des utilisateurs, segmentation des réseaux et élimination de la confiance implicite.  

Mais le travail de Misata nous rappelle que la confiance zéro est aussi une attitude culturelle. Il s'agit de ne pas faire d'hypothèses - sur les personnes, sur la technologie, sur ce qu'est une "bonne sécurité".

Il s'agit plutôt d'une question de curiosité. Il s'agit de rencontrer les organisations là où elles se trouvent et de leur demander ce dont elles ont besoin pour être sûres dans leur contexte.

Le message de Misata est d'une humanité rafraîchissante dans un monde qui privilégie la vitesse et le contrôle. La sécurité ne consiste pas à être la personne la plus intelligente dans la pièce. Il s'agit d'être le plus présent possible, d'écouter, d'apprendre et de s'adapter.

Son histoire nous rappelle que la véritable résilience cybernétique n'est pas le fruit d'outils parfaits ou de périmètres hermétiques. Elle découle d'une profonde compréhension des personnes - de leurs craintes, de leurs missions et de leurs réalités.

C'est le travail qui compte. Et cela commence par demander, et non par dire.

Écoutez, abonnez-vous et commentez The Segment : Un podcast sur le leadership sans confiance

Vous souhaitez écouter l'intégralité de mon entretien avec le Dr Kelley Misata ? Écoutez l'épisode de cette semaine sur Apple Podcasts, Spotify ou tout autre site de diffusion de podcasts. Vous pouvez également lire la transcription complète de l'épisode.