Comment les RSSI de renommée mondiale gagnent la confiance des membres du conseil d'administration et des budgets en 2023
Cet article a été publié pour la première fois dans Revue SC. Il a été mis à jour et syndiqué ici.
Les RSSI se trouvent dans une situation de plus en plus difficile : protéger davantage d'actifs, envoyer plus de code, réduire la surface d'attaque et le faire avec des ressources financières qui diminuent rapidement. Il ne fait aucun doute que la cybersécurité est considérée comme un centre de coûts, et bien que le programme de sécurité d'une organisation soit ce qui empêche un acteur de la menace de faire la une des journaux de demain, les responsables de la sécurité doivent redoubler d'efforts pour vendre et prouver la valeur commerciale globale du département, dans un langage qui soit logique pour l'organe exécutif.
Les RSSI de renommée mondiale sont à la hauteur de l'occasion en dirigeant des programmes de sécurité holistiques qui renforcent la confiance des clients et la réputation de la marque et utilisent tous les outils à leur disposition pour créer une valeur indéniable. Cela commence par une approche stratégique et préventive des pièges de sécurité courants, et par l'abandon de la mentalité selon laquelle il n'y a jamais assez de temps, de ressources ou de personnel pour maintenir l'excellence en matière de sécurité.
Changez la discussion dans la salle de conférence.
Dans le climat économique actuel, peu d'entreprises et de départements échappent à la surveillance en ce qui concerne l'argent qu'ils dépensent, les recrutements qu'ils effectuent et leur impact stratégique sur les objectifs commerciaux. Bien qu'il puisse sembler évident que l'entreprise moderne a besoin d'un vaste programme de cybersécurité, cela représente un coût important pour l'organisation qui n'est pas facile à justifier en termes de retour sur investissement.
Les dirigeants et les parties prenantes du conseil d'administration devront clairement comprendre les résultats escomptés des initiatives d'investissement en matière de cybersécurité, en des termes qui n'ont pas de sens aux chiffres d'une feuille de calcul. Ils auront différents niveaux de connaissances et de compréhension techniques, et les RSSI doivent faire un effort pour présenter leur cas avec une messagerie accessible. Expliquez l'ampleur du programme, ce qui doit être protégé et qui doit être activé afin de fournir un exemple de premier ordre. Les attaques se multiplient, pourtant, les budgets ne suivent pas, et mener le bon combat commence par une campagne verbale pour en justifier le mérite.
On dit depuis longtemps que, quel que soit son secteur d'activité, chaque entreprise est en train de devenir rapidement une entreprise technologique. L'approche numérique étant la norme dans la plupart des entreprises, cela représente une énorme surface d'attaque qui nécessite la meilleure protection possible à ce moment-là. Les responsables de la sécurité ont de nombreux rôles, mais l'un d'entre eux est négligé (jusqu'à ce qu'il soit trop tard) qu'ils sont essentiellement les garants de la confiance des clients. Cela ne peut pas être surestimé en tant que proposition de valeur, et il est tout aussi vital que les objectifs de vente et de marketing.
Démontrez la valeur d'une approche préventive en matière de sécurité.
Statistiques actuelles sur la cybersécurité font lever les cheveux, mais jouer au FUD et semer la peur est généralement une tactique futile lorsqu'il s'agit de gagner plus de budget. Peu de membres de l'équipe de direction d'une entreprise pourraient prétendre que la cybersécurité n'est pas une priorité, mais ils sont bien plus susceptibles d'être réceptifs aux augmentations budgétaires si une stratégie entrepreneuriale est proposée qui utilise les ressources existantes pour de meilleurs résultats.
Selon une étude récente du Conseil de sécurité international Neustar, 50 % seulement des entreprises estiment disposer d'un budget suffisant pour résoudre leurs problèmes de cybersécurité connus. Et avec les cyberattaques mondiales en hausse de 38 % entre 2021 et 2022, cela risque de représenter une route encore plus difficile pour le CISO moyen. Cependant, de véritables leaders de la sécurité de renommée mondiale sont capables de surmonter ces difficultés et d'innover malgré l'adversité.
Dans de nombreux scénarios, il est plus facile et plus direct de prévenir que de guérir, et la cybersécurité ne fait pas exception à la règle. Un programme de sécurité holistique doit aller bien au-delà des mesures réactives et inclure la gestion des vulnérabilités parmi les trois principales préoccupations de nombreux RSSI, il est logique que les développeurs fassent partie intégrante de ce mouvement. Ils ont besoin d'une formation pratique pour s'attaquer de front aux bogues de sécurité courants, les aider à éliminer ces problèmes à la source et à s'assurer qu'ils ne seront jamais mis en production. Nous en sommes arrivés à un point où nous ne pouvons plus continuer à excuser un code peu fiable et de mauvaise qualité, et le renforcement des compétences de la cohorte de développement est de loin le remède le plus rentable et le plus efficace contre les vulnérabilités au niveau du code.
Il est essentiel que les RSSI luttent pour conserver le budget existant, et détailler les avantages de l'amélioration des compétences en matière de sécurité basée sur les rôles, en particulier pour les développeurs, constitue une victoire plus rapide que d'ajouter la prochaine « solution miracle » à une infrastructure technologique de sécurité peu maniable.
La sécurité doit faire partie des fondamentaux de la marque.
La plupart des RSSI n'ont pas assumé leur rôle par passion pour le marketing, mais c'est un domaine sur lequel vous pourriez avoir envie de travailler, du moins lorsque vous présenterez votre cas à ceux qui détiennent les cordons de la bourse.
L'impact d'un programme de cybersécurité sur la confiance des clients et la fidélité à une marque ne peut être surestimé, et une violation à grande échelle peut provoquer un exode aux proportions bibliques. En revanche, en alignant vos pratiques de sécurité strictes sur les valeurs fondamentales de la marque, vous envoyez un message clair selon lequel la confidentialité et la protection des données ne sont pas seulement une priorité, mais aussi des éléments sur lesquels les clients peuvent compter.
Il est essentiel que le CISO moderne prenne le temps de mettre en évidence les avantages concurrentiels de la stratégie et de la politique de sécurité en ce qui concerne le sentiment positif et la confiance continus des clients ; la sécurité réactive à elle seule n'aura pas le même impact, et une approche équilibrée axée sur la protection des actifs privilégiés avec toutes les ressources disponibles peut constituer le facteur de différenciation ultime.
Il n'y a plus de place pour les excuses, mais il existe de nombreuses raisons convaincantes que les RSSI peuvent mettre en avant dans leur quête d'un financement adéquat pour une stratégie de sécurité véritablement transformatrice.
Les RSSI se trouvent dans une situation de plus en plus difficile : protéger davantage d'actifs, envoyer plus de code, réduire la surface d'attaque et le faire avec des ressources financières qui diminuent rapidement. Il ne fait aucun doute que la cybersécurité est considérée comme un centre de coûts, et bien que le programme de sécurité d'une organisation soit ce qui empêche un acteur de la menace de faire la une des journaux de demain, les responsables de la sécurité doivent redoubler d'efforts pour vendre et prouver la valeur commerciale globale du département, dans un langage qui soit logique pour l'organe exécutif.
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
Cet article a été publié pour la première fois dans Revue SC. Il a été mis à jour et syndiqué ici.
Les RSSI se trouvent dans une situation de plus en plus difficile : protéger davantage d'actifs, envoyer plus de code, réduire la surface d'attaque et le faire avec des ressources financières qui diminuent rapidement. Il ne fait aucun doute que la cybersécurité est considérée comme un centre de coûts, et bien que le programme de sécurité d'une organisation soit ce qui empêche un acteur de la menace de faire la une des journaux de demain, les responsables de la sécurité doivent redoubler d'efforts pour vendre et prouver la valeur commerciale globale du département, dans un langage qui soit logique pour l'organe exécutif.
Les RSSI de renommée mondiale sont à la hauteur de l'occasion en dirigeant des programmes de sécurité holistiques qui renforcent la confiance des clients et la réputation de la marque et utilisent tous les outils à leur disposition pour créer une valeur indéniable. Cela commence par une approche stratégique et préventive des pièges de sécurité courants, et par l'abandon de la mentalité selon laquelle il n'y a jamais assez de temps, de ressources ou de personnel pour maintenir l'excellence en matière de sécurité.
Changez la discussion dans la salle de conférence.
Dans le climat économique actuel, peu d'entreprises et de départements échappent à la surveillance en ce qui concerne l'argent qu'ils dépensent, les recrutements qu'ils effectuent et leur impact stratégique sur les objectifs commerciaux. Bien qu'il puisse sembler évident que l'entreprise moderne a besoin d'un vaste programme de cybersécurité, cela représente un coût important pour l'organisation qui n'est pas facile à justifier en termes de retour sur investissement.
Les dirigeants et les parties prenantes du conseil d'administration devront clairement comprendre les résultats escomptés des initiatives d'investissement en matière de cybersécurité, en des termes qui n'ont pas de sens aux chiffres d'une feuille de calcul. Ils auront différents niveaux de connaissances et de compréhension techniques, et les RSSI doivent faire un effort pour présenter leur cas avec une messagerie accessible. Expliquez l'ampleur du programme, ce qui doit être protégé et qui doit être activé afin de fournir un exemple de premier ordre. Les attaques se multiplient, pourtant, les budgets ne suivent pas, et mener le bon combat commence par une campagne verbale pour en justifier le mérite.
On dit depuis longtemps que, quel que soit son secteur d'activité, chaque entreprise est en train de devenir rapidement une entreprise technologique. L'approche numérique étant la norme dans la plupart des entreprises, cela représente une énorme surface d'attaque qui nécessite la meilleure protection possible à ce moment-là. Les responsables de la sécurité ont de nombreux rôles, mais l'un d'entre eux est négligé (jusqu'à ce qu'il soit trop tard) qu'ils sont essentiellement les garants de la confiance des clients. Cela ne peut pas être surestimé en tant que proposition de valeur, et il est tout aussi vital que les objectifs de vente et de marketing.
Démontrez la valeur d'une approche préventive en matière de sécurité.
Statistiques actuelles sur la cybersécurité font lever les cheveux, mais jouer au FUD et semer la peur est généralement une tactique futile lorsqu'il s'agit de gagner plus de budget. Peu de membres de l'équipe de direction d'une entreprise pourraient prétendre que la cybersécurité n'est pas une priorité, mais ils sont bien plus susceptibles d'être réceptifs aux augmentations budgétaires si une stratégie entrepreneuriale est proposée qui utilise les ressources existantes pour de meilleurs résultats.
Selon une étude récente du Conseil de sécurité international Neustar, 50 % seulement des entreprises estiment disposer d'un budget suffisant pour résoudre leurs problèmes de cybersécurité connus. Et avec les cyberattaques mondiales en hausse de 38 % entre 2021 et 2022, cela risque de représenter une route encore plus difficile pour le CISO moyen. Cependant, de véritables leaders de la sécurité de renommée mondiale sont capables de surmonter ces difficultés et d'innover malgré l'adversité.
Dans de nombreux scénarios, il est plus facile et plus direct de prévenir que de guérir, et la cybersécurité ne fait pas exception à la règle. Un programme de sécurité holistique doit aller bien au-delà des mesures réactives et inclure la gestion des vulnérabilités parmi les trois principales préoccupations de nombreux RSSI, il est logique que les développeurs fassent partie intégrante de ce mouvement. Ils ont besoin d'une formation pratique pour s'attaquer de front aux bogues de sécurité courants, les aider à éliminer ces problèmes à la source et à s'assurer qu'ils ne seront jamais mis en production. Nous en sommes arrivés à un point où nous ne pouvons plus continuer à excuser un code peu fiable et de mauvaise qualité, et le renforcement des compétences de la cohorte de développement est de loin le remède le plus rentable et le plus efficace contre les vulnérabilités au niveau du code.
Il est essentiel que les RSSI luttent pour conserver le budget existant, et détailler les avantages de l'amélioration des compétences en matière de sécurité basée sur les rôles, en particulier pour les développeurs, constitue une victoire plus rapide que d'ajouter la prochaine « solution miracle » à une infrastructure technologique de sécurité peu maniable.
La sécurité doit faire partie des fondamentaux de la marque.
La plupart des RSSI n'ont pas assumé leur rôle par passion pour le marketing, mais c'est un domaine sur lequel vous pourriez avoir envie de travailler, du moins lorsque vous présenterez votre cas à ceux qui détiennent les cordons de la bourse.
L'impact d'un programme de cybersécurité sur la confiance des clients et la fidélité à une marque ne peut être surestimé, et une violation à grande échelle peut provoquer un exode aux proportions bibliques. En revanche, en alignant vos pratiques de sécurité strictes sur les valeurs fondamentales de la marque, vous envoyez un message clair selon lequel la confidentialité et la protection des données ne sont pas seulement une priorité, mais aussi des éléments sur lesquels les clients peuvent compter.
Il est essentiel que le CISO moderne prenne le temps de mettre en évidence les avantages concurrentiels de la stratégie et de la politique de sécurité en ce qui concerne le sentiment positif et la confiance continus des clients ; la sécurité réactive à elle seule n'aura pas le même impact, et une approche équilibrée axée sur la protection des actifs privilégiés avec toutes les ressources disponibles peut constituer le facteur de différenciation ultime.
Il n'y a plus de place pour les excuses, mais il existe de nombreuses raisons convaincantes que les RSSI peuvent mettre en avant dans leur quête d'un financement adéquat pour une stratégie de sécurité véritablement transformatrice.
Cet article a été publié pour la première fois dans Revue SC. Il a été mis à jour et syndiqué ici.
Les RSSI se trouvent dans une situation de plus en plus difficile : protéger davantage d'actifs, envoyer plus de code, réduire la surface d'attaque et le faire avec des ressources financières qui diminuent rapidement. Il ne fait aucun doute que la cybersécurité est considérée comme un centre de coûts, et bien que le programme de sécurité d'une organisation soit ce qui empêche un acteur de la menace de faire la une des journaux de demain, les responsables de la sécurité doivent redoubler d'efforts pour vendre et prouver la valeur commerciale globale du département, dans un langage qui soit logique pour l'organe exécutif.
Les RSSI de renommée mondiale sont à la hauteur de l'occasion en dirigeant des programmes de sécurité holistiques qui renforcent la confiance des clients et la réputation de la marque et utilisent tous les outils à leur disposition pour créer une valeur indéniable. Cela commence par une approche stratégique et préventive des pièges de sécurité courants, et par l'abandon de la mentalité selon laquelle il n'y a jamais assez de temps, de ressources ou de personnel pour maintenir l'excellence en matière de sécurité.
Changez la discussion dans la salle de conférence.
Dans le climat économique actuel, peu d'entreprises et de départements échappent à la surveillance en ce qui concerne l'argent qu'ils dépensent, les recrutements qu'ils effectuent et leur impact stratégique sur les objectifs commerciaux. Bien qu'il puisse sembler évident que l'entreprise moderne a besoin d'un vaste programme de cybersécurité, cela représente un coût important pour l'organisation qui n'est pas facile à justifier en termes de retour sur investissement.
Les dirigeants et les parties prenantes du conseil d'administration devront clairement comprendre les résultats escomptés des initiatives d'investissement en matière de cybersécurité, en des termes qui n'ont pas de sens aux chiffres d'une feuille de calcul. Ils auront différents niveaux de connaissances et de compréhension techniques, et les RSSI doivent faire un effort pour présenter leur cas avec une messagerie accessible. Expliquez l'ampleur du programme, ce qui doit être protégé et qui doit être activé afin de fournir un exemple de premier ordre. Les attaques se multiplient, pourtant, les budgets ne suivent pas, et mener le bon combat commence par une campagne verbale pour en justifier le mérite.
On dit depuis longtemps que, quel que soit son secteur d'activité, chaque entreprise est en train de devenir rapidement une entreprise technologique. L'approche numérique étant la norme dans la plupart des entreprises, cela représente une énorme surface d'attaque qui nécessite la meilleure protection possible à ce moment-là. Les responsables de la sécurité ont de nombreux rôles, mais l'un d'entre eux est négligé (jusqu'à ce qu'il soit trop tard) qu'ils sont essentiellement les garants de la confiance des clients. Cela ne peut pas être surestimé en tant que proposition de valeur, et il est tout aussi vital que les objectifs de vente et de marketing.
Démontrez la valeur d'une approche préventive en matière de sécurité.
Statistiques actuelles sur la cybersécurité font lever les cheveux, mais jouer au FUD et semer la peur est généralement une tactique futile lorsqu'il s'agit de gagner plus de budget. Peu de membres de l'équipe de direction d'une entreprise pourraient prétendre que la cybersécurité n'est pas une priorité, mais ils sont bien plus susceptibles d'être réceptifs aux augmentations budgétaires si une stratégie entrepreneuriale est proposée qui utilise les ressources existantes pour de meilleurs résultats.
Selon une étude récente du Conseil de sécurité international Neustar, 50 % seulement des entreprises estiment disposer d'un budget suffisant pour résoudre leurs problèmes de cybersécurité connus. Et avec les cyberattaques mondiales en hausse de 38 % entre 2021 et 2022, cela risque de représenter une route encore plus difficile pour le CISO moyen. Cependant, de véritables leaders de la sécurité de renommée mondiale sont capables de surmonter ces difficultés et d'innover malgré l'adversité.
Dans de nombreux scénarios, il est plus facile et plus direct de prévenir que de guérir, et la cybersécurité ne fait pas exception à la règle. Un programme de sécurité holistique doit aller bien au-delà des mesures réactives et inclure la gestion des vulnérabilités parmi les trois principales préoccupations de nombreux RSSI, il est logique que les développeurs fassent partie intégrante de ce mouvement. Ils ont besoin d'une formation pratique pour s'attaquer de front aux bogues de sécurité courants, les aider à éliminer ces problèmes à la source et à s'assurer qu'ils ne seront jamais mis en production. Nous en sommes arrivés à un point où nous ne pouvons plus continuer à excuser un code peu fiable et de mauvaise qualité, et le renforcement des compétences de la cohorte de développement est de loin le remède le plus rentable et le plus efficace contre les vulnérabilités au niveau du code.
Il est essentiel que les RSSI luttent pour conserver le budget existant, et détailler les avantages de l'amélioration des compétences en matière de sécurité basée sur les rôles, en particulier pour les développeurs, constitue une victoire plus rapide que d'ajouter la prochaine « solution miracle » à une infrastructure technologique de sécurité peu maniable.
La sécurité doit faire partie des fondamentaux de la marque.
La plupart des RSSI n'ont pas assumé leur rôle par passion pour le marketing, mais c'est un domaine sur lequel vous pourriez avoir envie de travailler, du moins lorsque vous présenterez votre cas à ceux qui détiennent les cordons de la bourse.
L'impact d'un programme de cybersécurité sur la confiance des clients et la fidélité à une marque ne peut être surestimé, et une violation à grande échelle peut provoquer un exode aux proportions bibliques. En revanche, en alignant vos pratiques de sécurité strictes sur les valeurs fondamentales de la marque, vous envoyez un message clair selon lequel la confidentialité et la protection des données ne sont pas seulement une priorité, mais aussi des éléments sur lesquels les clients peuvent compter.
Il est essentiel que le CISO moderne prenne le temps de mettre en évidence les avantages concurrentiels de la stratégie et de la politique de sécurité en ce qui concerne le sentiment positif et la confiance continus des clients ; la sécurité réactive à elle seule n'aura pas le même impact, et une approche équilibrée axée sur la protection des actifs privilégiés avec toutes les ressources disponibles peut constituer le facteur de différenciation ultime.
Il n'y a plus de place pour les excuses, mais il existe de nombreuses raisons convaincantes que les RSSI peuvent mettre en avant dans leur quête d'un financement adéquat pour une stratégie de sécurité véritablement transformatrice.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
显示报告预约演示
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
Cet article a été publié pour la première fois dans Revue SC. Il a été mis à jour et syndiqué ici.
Les RSSI se trouvent dans une situation de plus en plus difficile : protéger davantage d'actifs, envoyer plus de code, réduire la surface d'attaque et le faire avec des ressources financières qui diminuent rapidement. Il ne fait aucun doute que la cybersécurité est considérée comme un centre de coûts, et bien que le programme de sécurité d'une organisation soit ce qui empêche un acteur de la menace de faire la une des journaux de demain, les responsables de la sécurité doivent redoubler d'efforts pour vendre et prouver la valeur commerciale globale du département, dans un langage qui soit logique pour l'organe exécutif.
Les RSSI de renommée mondiale sont à la hauteur de l'occasion en dirigeant des programmes de sécurité holistiques qui renforcent la confiance des clients et la réputation de la marque et utilisent tous les outils à leur disposition pour créer une valeur indéniable. Cela commence par une approche stratégique et préventive des pièges de sécurité courants, et par l'abandon de la mentalité selon laquelle il n'y a jamais assez de temps, de ressources ou de personnel pour maintenir l'excellence en matière de sécurité.
Changez la discussion dans la salle de conférence.
Dans le climat économique actuel, peu d'entreprises et de départements échappent à la surveillance en ce qui concerne l'argent qu'ils dépensent, les recrutements qu'ils effectuent et leur impact stratégique sur les objectifs commerciaux. Bien qu'il puisse sembler évident que l'entreprise moderne a besoin d'un vaste programme de cybersécurité, cela représente un coût important pour l'organisation qui n'est pas facile à justifier en termes de retour sur investissement.
Les dirigeants et les parties prenantes du conseil d'administration devront clairement comprendre les résultats escomptés des initiatives d'investissement en matière de cybersécurité, en des termes qui n'ont pas de sens aux chiffres d'une feuille de calcul. Ils auront différents niveaux de connaissances et de compréhension techniques, et les RSSI doivent faire un effort pour présenter leur cas avec une messagerie accessible. Expliquez l'ampleur du programme, ce qui doit être protégé et qui doit être activé afin de fournir un exemple de premier ordre. Les attaques se multiplient, pourtant, les budgets ne suivent pas, et mener le bon combat commence par une campagne verbale pour en justifier le mérite.
On dit depuis longtemps que, quel que soit son secteur d'activité, chaque entreprise est en train de devenir rapidement une entreprise technologique. L'approche numérique étant la norme dans la plupart des entreprises, cela représente une énorme surface d'attaque qui nécessite la meilleure protection possible à ce moment-là. Les responsables de la sécurité ont de nombreux rôles, mais l'un d'entre eux est négligé (jusqu'à ce qu'il soit trop tard) qu'ils sont essentiellement les garants de la confiance des clients. Cela ne peut pas être surestimé en tant que proposition de valeur, et il est tout aussi vital que les objectifs de vente et de marketing.
Démontrez la valeur d'une approche préventive en matière de sécurité.
Statistiques actuelles sur la cybersécurité font lever les cheveux, mais jouer au FUD et semer la peur est généralement une tactique futile lorsqu'il s'agit de gagner plus de budget. Peu de membres de l'équipe de direction d'une entreprise pourraient prétendre que la cybersécurité n'est pas une priorité, mais ils sont bien plus susceptibles d'être réceptifs aux augmentations budgétaires si une stratégie entrepreneuriale est proposée qui utilise les ressources existantes pour de meilleurs résultats.
Selon une étude récente du Conseil de sécurité international Neustar, 50 % seulement des entreprises estiment disposer d'un budget suffisant pour résoudre leurs problèmes de cybersécurité connus. Et avec les cyberattaques mondiales en hausse de 38 % entre 2021 et 2022, cela risque de représenter une route encore plus difficile pour le CISO moyen. Cependant, de véritables leaders de la sécurité de renommée mondiale sont capables de surmonter ces difficultés et d'innover malgré l'adversité.
Dans de nombreux scénarios, il est plus facile et plus direct de prévenir que de guérir, et la cybersécurité ne fait pas exception à la règle. Un programme de sécurité holistique doit aller bien au-delà des mesures réactives et inclure la gestion des vulnérabilités parmi les trois principales préoccupations de nombreux RSSI, il est logique que les développeurs fassent partie intégrante de ce mouvement. Ils ont besoin d'une formation pratique pour s'attaquer de front aux bogues de sécurité courants, les aider à éliminer ces problèmes à la source et à s'assurer qu'ils ne seront jamais mis en production. Nous en sommes arrivés à un point où nous ne pouvons plus continuer à excuser un code peu fiable et de mauvaise qualité, et le renforcement des compétences de la cohorte de développement est de loin le remède le plus rentable et le plus efficace contre les vulnérabilités au niveau du code.
Il est essentiel que les RSSI luttent pour conserver le budget existant, et détailler les avantages de l'amélioration des compétences en matière de sécurité basée sur les rôles, en particulier pour les développeurs, constitue une victoire plus rapide que d'ajouter la prochaine « solution miracle » à une infrastructure technologique de sécurité peu maniable.
La sécurité doit faire partie des fondamentaux de la marque.
La plupart des RSSI n'ont pas assumé leur rôle par passion pour le marketing, mais c'est un domaine sur lequel vous pourriez avoir envie de travailler, du moins lorsque vous présenterez votre cas à ceux qui détiennent les cordons de la bourse.
L'impact d'un programme de cybersécurité sur la confiance des clients et la fidélité à une marque ne peut être surestimé, et une violation à grande échelle peut provoquer un exode aux proportions bibliques. En revanche, en alignant vos pratiques de sécurité strictes sur les valeurs fondamentales de la marque, vous envoyez un message clair selon lequel la confidentialité et la protection des données ne sont pas seulement une priorité, mais aussi des éléments sur lesquels les clients peuvent compter.
Il est essentiel que le CISO moderne prenne le temps de mettre en évidence les avantages concurrentiels de la stratégie et de la politique de sécurité en ce qui concerne le sentiment positif et la confiance continus des clients ; la sécurité réactive à elle seule n'aura pas le même impact, et une approche équilibrée axée sur la protection des actifs privilégiés avec toutes les ressources disponibles peut constituer le facteur de différenciation ultime.
Il n'y a plus de place pour les excuses, mais il existe de nombreuses raisons convaincantes que les RSSI peuvent mettre en avant dans leur quête d'un financement adéquat pour une stratégie de sécurité véritablement transformatrice.
目录
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示下载帮助您入门的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
