0:00:06 Max Havey : Bonjour et bienvenue dans cette nouvelle édition de Security Visionaries, un podcast consacré au monde des cyberdonnées et des infrastructures technologiques, qui réunit des experts du monde entier et de différents domaines. Je suis votre hôte, Max Havey, et aujourd'hui nous nous plongeons dans le monde de la cybersécurité et des risques centrés sur l'humain. Notre invitée aujourd'hui est Beth Miller Field RSSI de Mimecast, qui a littéralement écrit le livre sur le recadrage des risques. Beth, merci beaucoup de vous être jointe à nous aujourd'hui.
0:00:30 Beth Miller : Merci beaucoup de m'accueillir aujourd'hui, Max. Je vous remercie.
0:00:34 Max Havey : Tout à fait. Pour commencer, au cas où les gens ne connaîtraient pas ce terme, pouvez-vous nous expliquer ce qu'est une approche de la cybersécurité centrée sur l'humain et à quoi cela ressemble ?
0:00:46 Beth Miller : Oui, bien sûr. Je pense donc que lorsque nous parlons de centrage sur l'humain, nous devons vraiment commencer par la définition. Pour moi, le risque est donc humain par définition. Il ne s'agit pas d'une défaillance du système, ni d'un manque de conformité. Il s'agit d'une personne qui navigue dans l'incertitude sans nécessairement disposer des bons outils. La vieille question est donc de savoir comment mettre fin aux erreurs. Elles sont remplacées par les questions New sur la manière dont nous aidons les gens à réussir réellement sous la pression et dans un contexte de changement constant. Le changement, c'est que les utilisateurs ou les employés ne sont plus considérés comme des variables à contrôler, mais comme des navigateurs individuels qu'il faut équiper. Tout le reste suit lorsque vous changez de perspective. Nous savons que 95% des violations impliquent une erreur humaine, mais seuls 8% des employés sont à l'origine de 80% des incidents. Il y a donc un fossé entre cette sécurité centrée sur l'homme qui est considérée comme douce ou moins bonne que la sécurité intelligente.
0:01:53 Max Havey : Pourquoi la peur est-elle à l'origine de beaucoup de ces formations et de la façon dont les gens abordent la sécurité ? Pourquoi la peur est-elle un tel moteur dans tout cela ?
0:02:03 Beth Miller : La peur est efficace. Il attire donc l'attention, suscite l'adhésion et semble mesurable. L'industrie, le personnel de sécurité l'adoptent donc par défaut, mais les neurosciences montrent clairement que la réaction à la menace dégrade la prise de décision et que la peur engendre la honte. La honte pousse les gens à cacher leurs erreurs plutôt qu'à les signaler. Nous avons donc optimisé la sensibilisation, mais pas le changement de comportement, ce qui n'est pas la même chose. La peur attire l'attention, mais n'incite pas au jugement, et lorsque les gens ont peur d'avoir des ennuis, ils cessent de vous dire ce qui se passe lorsque les choses vont mal, ce qui va à l'encontre de ce dont nous avons besoin. Nous avons organisé des exercices d'incendie et appelé cela la sécurité incendie.
0:02:49 Max Havey : Les gens ont plus peur d'admettre qu'ils ont tort que de dire qu'ils ont tort et de régler le problème. C'est une façon très intéressante d'aborder la cybersécurité et le risque de cette manière.
0:03:00 Beth Miller : Il y a beaucoup de choses construites autour de cette idée de contrôle. Il y a les systèmes, les données, les identités, mais l'arc qui se superpose à tout cela, ce sont les humains, n'est-ce pas ? Les humains ont donc des identités. Ils accèdent aux systèmes pour interagir avec les données, n'est-ce pas ? Les humains sont en fait le début et la fin de cette chaîne. Les impliquer dans une partie de ce processus est essentiel pour garantir une meilleure gestion des risques dans l'ensemble des systèmes, de la protection des données et de la gestion de l'identité.
0:03:33 Max Havey : Elle évolue à mesure que vous parlez d'une approche centrée sur l'humain. Il s'agit en quelque sorte de changer l'état d'esprit dans lequel vous abordez la sécurité avec les personnes qui travaillent dans votre entreprise. Il s'agit de passer de la peur de faire une erreur à l'idée qu'il est normal de faire des erreurs, mais qu'il est préférable d'apprendre de ces erreurs et d'aller de l'avant. C'est ainsi que tous les navires sont remis à flot.
0:03:56 Beth Miller : Et je pense que ce qui différencie la gestion des risques humains des autres disciplines liées aux risques au sein d'une organisation, c'est qu'elle nécessite réellement une approche multidisciplinaire. Je pense donc que lorsque vous élaborez un programme de gestion des risques humains, il y a en réalité cinq personas qui sont impliqués. Il y a donc la sécurité, l'informatique, les ressources humaines, la sécurité juridique, et enfin les managers ou les employés eux-mêmes. Fondamentalement, vous créez donc un changement culturel en accord avec les objectifs de l'entreprise. Intégrer les employés dans cette solution est donc tout simplement une bonne affaire, en plus de garantir que ce prochain vecteur, la surface d'attaque humaine, est réellement géré d'une manière qui peut également être mesurée et mûrie.
0:04:46 Max Havey : C'est d'autant plus intéressant que notre dernière invitée, Jenny Radcliffe, la hackeuse, nous a parlé de l'ingénierie sociale et de tout ce qui s'y rattache. Et de son point de vue et de celui de beaucoup de personnes qui lisent la psychologie, la surface d'attaque humaine n'est pas une chose. J'ai l'impression que beaucoup de gens, en particulier dans les cercles de sécurité que j'ai fréquentés, n'ont pas l'impression d'entendre beaucoup de gens parler de la surface d'attaque humaine. Je pense donc que c'est très intéressant.
0:05:16 Beth Miller : C'est la prochaine évolution de la sécurité. Encore une fois, si je peux me permettre, les années 90 ont été l'occasion de se familiariser avec toutes les données qui se trouvaient dans votre environnement. Les années 2000 ont été consacrées aux systèmes et à la migration de l'informatique sur site vers l'informatique en nuage, puis aux identités, au début des années 2010, afin de pouvoir suivre les secrets humains et non humains dans l'ensemble de l'organisation. Nous avons donc évolué jusqu'à devenir des humains et à identifier le tissu conjonctif, simplement parce que nous en sommes au point où nous reconnaissons les humains et l'IA dans le chapitre suivant, mais c'est là où nous en sommes actuellement. Il ne défait pas le tissu conjonctif entre les couches. Vous aviez quelque chose Max, qu'alliez-vous dire ?
0:06:03 Max Havey : Oui, j'allais vous demander spécifiquement, quand vous pensez à cette sorte de recadrage du risque autour de l'aspect humain des choses, en quoi l'IA change-t-elle cela ? Je veux dire que j'ai l'impression qu'à chaque épisode, nous devons nous demander quel est l'impact de l'IA sur ce sujet. Parce qu'il s'agit d'un phénomène omniprésent, quel que soit le secteur d'activité, à l'heure actuelle. Je suis donc curieux de savoir ce que vous en pensez. Quelle est la place de l'IA dans cette conversation ?
0:06:28 Beth Miller : Il y a deux façons de voir les choses : traditionnellement, nous parlons des utilisateurs de la défense du périmètre comme d'un passif, donc des employés comme d'un passif et de la sécurité comme d'une taxe sur la productivité. Mais l'IA rend la réflexion sur le cadre de conformité définitivement obsolète. Vous ne pouvez pas rédiger une politique pour chaque scénario que l'IA générera, ce n'est tout simplement pas possible. L'IA amplifie donc le besoin de jugement humain. Il ne le remplace pas. L'homme supervise désormais les résultats de l'IA, ce qui requiert davantage de compétences, et non moins. Ainsi, nous savons que 95% des organisations utilisent l'IA pour se défendre, mais seulement 55% admettent qu'elles ne sont pas totalement préparées à des attaques basées sur l'IA. Nous avons donc automatisé la couche de défense tout en laissant la couche humaine sur une formation de conformité aux erreurs de 2005.
0:07:24 Max Havey : J'ai l'impression qu'une grande partie des conversations autour de l'IA se résume à se demander comment les gens vont interagir avec cette technologie. Je pense que l'accent mis sur le niveau de jugement humain est la clé du succès de l'IA. Il ne s'agit pas seulement d'avoir les bons problèmes, mais aussi d'avoir les bonnes personnes derrière qui comprennent comment ne pas faire cela d'une manière qui va tout mettre en péril.
0:07:47 Beth Miller : Je pense que l'essentiel est que l'IA rend les menaces plus intelligentes et que nous ne pouvons pas continuer à y répondre en gardant nos humains stupides. Ils doivent donc comprendre la partie de ce processus qu'ils peuvent influencer, ce qui incombe à l'organisation parce que c'est une bonne affaire. L'ère de l'IA n'élimine pas l'élément humain, comme vous l'avez dit, Max, elle l'amplifie. Ainsi, lorsque vous ne pouvez pas rédiger une politique pour chaque scénario d'IA, vous avez besoin de personnes capables de réfléchir à la manière de réagir.
0:08:21 Max Havey : 100%. En gardant cela à l'esprit, comment les responsables de la sécurité devraient-ils s'y prendre pour recadrer leur cerveau autour de ces approches plus centrées sur l'humain ? D'autant plus que les choses évoluent constamment, quels sont les moyens que vous suggéreriez pour qu'ils commencent à penser à recadrer cet état d'esprit ?
0:08:38 Beth Miller : Je pense que la définition du risque a également besoin d'être revue. Lorsque l'on consulte le dictionnaire, on s'aperçoit que le mot a tendance à se rapprocher de la sinistrose, mais la racine du mot est italienne, et lorsque l'on creuse un peu, on s'aperçoit qu'il signifie "oser". Quelque part, nous avons donc perdu cette capacité à oser plutôt que d'éviter tout ce qui pourrait mal tourner. Ils avaient un dicton, qui se rapportait à la navigation, et qui me reviendra dans une seconde, selon lequel rien n'est risqué, rien n'est gagné, en gros.
0:09:10 Max Havey : Oui, absolument.
0:09:11 Beth Miller : Et nous y avons vraiment réfléchi, d'une manière ou d'une autre, cela s'est retrouvé dans le domaine de la conformité et de la sécurité, et nous avons réécrit la définition en fonction de nos normes, évidemment. Nous devons donc commencer à redéfinir fondamentalement le sens de ce mot et à examiner les signaux de navigation. Il ne s'agit donc pas d'un simple témoin lumineux. Dans le livre que j'ai écrit, je parle du cadre FOLD et de l'idée de trouver l'état d'esprit actuel, l'état d'esprit de risque dans lequel vous vous trouvez actuellement. Comment vous orientez-vous dans le contexte ? Ensuite, comment apprendre ce qui est à l'origine de cette situation et prendre une décision délibérée. Par exemple, au lieu de ne pas cliquer sur les attaques d'hameçonnage, ne cliquez pas. Voici comment reconnaître les tactiques de pression et ce qu'il faut faire lorsque vous vous sentez pressé. Vous leur donnez ainsi un mode mental et non plus seulement une règle : faites ceci, ne faites pas cela. Un choix binaire. Ainsi, les règles disent aux gens ce qu'il ne faut pas faire, tandis que le recadrage leur apprend vraiment à penser. En conclusion, je tiens à rappeler que le risque n'est pas l'ennemi. Le risque n'est donc pas synonyme de mal, c'est un risque non examiné. C'est bien là le problème.
0:10:18 Max Havey : Tout à fait. Cela entraîne un véritable changement d'état d'esprit dans la manière dont de nombreuses personnes envisagent le risque. Et j'aime la notion de risque, qui ne consiste pas à essayer de ne pas faire la mauvaise chose, mais à oser la faire. Et je pense qu'une fois de plus, cela change votre façon de penser. Et c'est passionnant d'y penser. Dans une autre émission, nous avons souvent parlé de la sécurité comme d'un sport d'équipe où tout le monde est impliqué. Et je pense que cela va de pair, de la même manière que vous pouvez dire aux gens tous les jours, ne cliquez pas sur le lien, ne cliquez pas sur le lien. Et il ne fait aucun doute que c'est toujours une éventualité. Je pense donc qu'il s'agit davantage de donner aux gens toutes les tactiques dont ils ont besoin pour mettre ces choses en pratique.
0:11:05 Beth Miller : Oh mon Dieu, Max, vous venez de me piéger. Vous ne le saviez même pas, mais je vous en suis reconnaissant. Dans mon livre, j'utilise l'acronyme TEAAM. Ainsi, lorsque je parlais des courants, beaucoup de sécurité, si nous sommes honnêtes, tous les êtres humains, s'installent dans leurs habitudes. Il ne s'agit pas d'une discussion sur la personnalité, mais simplement d'une préférence. Je préfère la glace au chocolat. Pourquoi ? Je ne sais pas. C'est une préférence. Donc, si vous pensez au risque et que vous avez peut-être cinq préférences dominantes, je les décompose en acronymes. L'acronyme est donc TEAAM. Par conséquent, chaque fois que vous vous sentez bloqué et que la décision est vraiment lourde, vous devez consulter votre équipe. L'équipe représente donc T transférer E, exploiter A, accepter A éviter deux, puis M atténuer. Ainsi, de nombreux professionnels de la sécurité s'imaginent que le risque équivaut à l'atténuation, alors qu'en réalité, quatre autres courants sont à leur disposition. Ainsi, le fait de savoir quelles sont vos préférences, celles de votre équipe et celles de votre organisation contribue grandement à la conversation entre les individus et entre les individus au sein de nos organisations, afin de pouvoir dire : "Hé, est-ce que nous maximisons réellement toutes les ressources à notre disposition ? Si nous passons de la notion d'atténuation à celle de transfert, qu'est-ce que cela nous apporte ?
0:12:31 Max Havey : 100% Et recadre en quelque sorte toute la notion d'appétit pour le risque. J'ai l'impression d'entendre ce mot souvent prononcé, mais en réalité, à quel point vous avez faim ?
0:12:37 Beth Miller : Avez-vous faim ? Je ne sais pas exactement,
0:12:39 Max Havey : Exactement
0:12:40 Beth Miller : Combien de glace pouvez-vous manger par rapport à moi, je ne sais pas. C'est vrai,
0:12:43 Max Havey : Exactement.
0:12:44 Beth Miller : Difficile à quantifier. C'est vrai.
0:12:46 Max Havey : Il est intéressant de voir que vous présentez ces différents canaux comme, par exemple, l'atténuation qui va immédiatement apparaître dans le cerveau est le premier, mais il y a toutes sortes d'autres endroits où vous pouvez l'utiliser. Et c'est extrêmement intéressant. Et j'aime y penser de cette manière. Et elle est beaucoup moins binaire. Il s'agit de s'éloigner de cette sorte de pensée binaire plus large autour du risque.
0:13:08 Beth Miller : Oui, merci pour cela. Je pense que l'un des problèmes, et c'est une question que vous avez posée à l'avance, donc je sais que vous allez y répondre, mais je vais juste l'évoquer ici, c'est que la langue est très importante, n'est-ce pas ? Vous savez que certaines organisations peuvent prétendre à juste titre qu'elles ont une grande culture de la sécurité, mais en vérité, chaque division au sein de l'organisation peut également avoir sa propre culture. Dans chaque culture, quelle est la langue dominante ? Quels sont les acronymes ? Quelles sont les priorités ? En tant que professionnel de la sécurité, vous devez donc presque être ce touriste enthousiaste qui, chaque fois qu'il sort et s'aventure au-delà des limites de la sécurité, se demande ce qu'il peut rapporter ou partager. Ce genre de choses. J'ai grandi en voyageant beaucoup, mon père était militaire, et le fait de savoir que l'on peut apprendre une autre langue ou utiliser un geste qui facilitera le transfert d'informations a toujours été important.
0:14:10 Max Havey : Ce qui est intéressant dans cette conversation, c'est qu'elle ressemble presque à une discussion sociologique sur la cybersécurité, la sécurité et le risque. Je me suis retrouvé à me dire, oh oui, je sais qu'il y a des sous-cultures de cybersécurité en fonction de l'étudiant en commerce avec lequel vous travaillez. Je pense que c'est très intéressant et que cela nous rappelle que vous parlez de l'idée de voyager et que tout le monde a une approche différente. C'est en quelque sorte l'aspect interdisciplinaire de la cybersécurité. J'ai l'impression qu'un grand nombre de responsables de la sécurité avec lesquels j'ai discuté pensent qu'il est possible de former à peu près n'importe qui à la cybersécurité, mais c'est le fait d'aborder ces autres aspects et de comprendre comment vous pouvez appliquer certaines de ces compétences différentes qui fait vraiment d'un bon analyste ou d'une personne faisant partie d'une équipe de cybersécurité un bon analyste ou une bonne personne.
0:14:57 Beth Miller : Oui, je parlais justement à un de mes collègues dans le domaine de la sécurité et il est brillant. Matt Huber est son nom, et il parle de l'ancienne façon de penser la sécurité comme étant le département du non. Il a d'ailleurs insisté sur le fait qu'il s'agit en fait du département de la manière. Il veut donc aller de l'avant et expliquer, dites-moi ce que vous voulez faire et ensuite nous pourrons trouver comment le faire. Je pense qu'il s'agit là encore d'une mentalité d'intendant. Il a cet aspect de navigateur et crée vraiment un sentiment de voyage. Faisons-le ensemble. Et je pense que c'est plus ou moins le mantra de la gestion des risques humains : réfléchir aux possibilités de ce que nous pouvons amplifier ensemble.
0:15:38 Max Havey : Et faites un petit zoom arrière, oui, faites un petit zoom arrière. En tant que RSSI, comment avez-vous pu appliquer ce type de stratégies dans votre propre travail de RSSI ? Avez-vous constaté des succès dans ce domaine ? Pouvez-vous nous en parler ?
0:15:53 Beth Miller : Tout d'abord, mon rôle est celui d'un RSSI de terrain, je suis donc beaucoup plus tournée vers le client que vers l'interne, mais je tiens à le préciser car je respecte Leslie Nielsen et son équipe ainsi que le travail qu'ils accomplissent en interne. Mon rôle est donc de prendre ce qu'ils font, de le synthétiser pour nos clients, puis ce que nos clients font et de le ramener dans le produit afin de s'assurer que nous sommes alignés d'un point de vue organisationnel, d'un point de vue produit, et encore une fois, de s'assurer que nous fournissons les services et les produits que nous disons que nous faisons. Mais je dirais comment j'ai appliqué cela spécifiquement avec mes équipes ? Parce que j'ai eu un tas de rôles différents avant d'être chez Mimecast. Je pense que le grand changement consiste à cesser de mesurer la conformité. Alors oui, bien sûr, le NIST est très important. Oui, vous devez disposer d'une capacité d'audit, mais je pense que cette conversation porte sur la langue. Il est donc très important d'avoir cette conversation d'audit avec la langue et pas nécessairement avec la conformité. Alors oui, nous comptons le nombre de fois où il y a des menaces, des échecs et des erreurs. Il est évident qu'ils se présentent avec des slips qui montent jusqu'à la planche. Mais en réalité, ce que vous recherchez, c'est une transition vers le nombre de fois où vous aidez à naviguer, où vous équipez ou changez le courant. Quel est donc le rapport qui se produit dans votre culture et que voulez-vous qu'il soit ? En remplacement, qui est responsable de cette situation ? Encore une fois, cette fonctionnalité pluridisciplinaire permet de savoir dans quelle situation nous nous trouvions lorsqu'un événement s'est produit, ce qui a été négatif pour l'organisation et quels sont les outils de navigation qui nous manquent spécifiquement. Quelles sont donc les ressources dont nous avons besoin en dehors d'un plus grand nombre de systèmes, de contrôles d'identité, de contrôles d'accès et d'une diminution du nombre de données à protéger ? Mais en changeant vos mesures de ce taux de clics en taux de rapports. Il suffit donc de voir quelque chose, de dire quelque chose, mais ce que vous mesurez indique à l'organisation ce que vous appréciez. Si je devais commencer par une question d'audit, je mettrais mon équipe au défi, comme je l'ai fait par le passé, de s'assurer que nous saisissons bien ce qui se passe lorsque quelqu'un dans mon organisation commet une erreur de sécurité, que se passe-t-il ensuite ? Cette réponse vous dira tout ce que vous devez savoir sur votre culture.
0:18:18 Max Havey : Tout à fait. J'ai l'impression que l'on s'intéresse souvent à ce qui se passe en ce moment et pas nécessairement à ce qui se passera ensuite, une fois que nous aurons atténué tous ces problèmes, que nous aurons remédié à tout cela. Qu'allons-nous faire pour changer cette situation ? Qu'avons-nous appris ici et comment allons-nous l'appliquer ?
0:18:33 Beth Miller : 100% Je veux que le premier réflexe de mon équipe soit de résoudre le problème ensemble, et non de chercher à savoir qui est à blâmer, n'est-ce pas ? Ainsi, lorsque vous nommez le courant dans lequel vous vous trouvez, vous cessez en quelque sorte d'être emporté par lui. Cela vous permet de faire une pause et vous donne la permission d'explorer les autres options possibles, ce qui vous permet de faire mieux la prochaine fois.
0:18:55 Max Havey : Pourquoi pensez-vous que cette approche centrée sur l'humain est bénéfique pour l'ensemble de la communauté de la cybersécurité ? Il s'agit d'un changement d'état d'esprit important. Pourquoi un tel programme est-il bénéfique pour une industrie comme la nôtre ?
0:19:08 Beth Miller : Je vais faire des déclarations audacieuses, mais l'épuisement professionnel a atteint un niveau critique. Ainsi, les cultures fondées sur la peur mangent leur propre peuple. Nos adversaires ont déjà des doctorats en psychologie humaine, alors nous luttons contre la manipulation avec des campagnes de sensibilisation et c'est juste une inadéquation sécurité qui fonctionne avec la nature humaine échelle formation qui combat il faut constamment rafraîchir la transformation de la sécurité du département de no, que j'ai dit à l'architecture de la façon dont c'est aussi une stratégie de rétention. Ainsi, les professionnels de la sécurité qui ont l'impression de construire des navigateurs resteront plus longtemps et s'épuiseront moins.
0:19:50 Max Havey : Cela crée une bonne culture de la sécurité. Nous parlons d'une bonne hygiène de sécurité, mais il s'agit d'une bonne culture de la sécurité qui ne donne pas la priorité à la peur, qui ne brûle pas les gens, mais qui leur donne les compétences nécessaires pour être de bons gestionnaires de la sécurité au sein de leur propre unité d'affaires. Qu'il s'agisse d'un membre d'une équipe de sécurité ou d'une personne qui ne fait pas nécessairement partie de l'équipe de sécurité mais qui est axée sur la sécurité au sein d'une équipe de marketing ou d'une équipe créative, par exemple. Je crois que l'un de nos anciens invités a parlé de la notion de programme d'ambassadeurs, qui permet de faire germer des idées et des innovations sur le site New au sein d'une organisation de ce type. Il est dirigé par des personnes qui savent ce qu'elles font et qui peuvent répondre aux questions que vous avez posées.
0:20:35 Beth Miller : Tout à fait. Je conclurai par deux réflexions différentes. Vous avez parlé de la qualité et je suis d'accord avec la qualité, mais le mot que je remplacerais est celui de résilience. Ainsi, lorsque nous parlons de notre situation actuelle et de celle que nous voulons atteindre, nous pensons que si vous mesurez toujours la conformité, alors la conformité est le plancher. Et la résilience est vraiment un plafond, n'est-ce pas ? Ou n'a même pas de plafond, mais c'est ce vers quoi vous tendez. Nous avons donc célébré le plancher alors que nous devrions nous efforcer d'atteindre le plafond, et une culture de la sécurité, comme vous l'avez dit, a pour effet d'épuiser les gens. Cela ne rend personne plus sûr. Et nous avons vraiment besoin aujourd'hui d'être plus en sécurité que jamais.
0:21:13 Max Havey : Il n'y a rien de plus efficace qu'une bonne stratégie de sécurité qui permet aux gens de s'épanouir plutôt que de les freiner et d'augmenter les frictions. C'est censé être, je crois que je l'ai déjà dit, une marée montante qui soulève tout le monde.
0:21:29 Beth Miller : Je suis d'accord.
0:21:31 Max Havey : Eh bien, Beth, j'en arrive à la fin de mes questions. Quel est, selon vous, le conseil que tout responsable de la sécurité devrait garder à l'esprit lorsqu'il s'agit d'une approche centrée sur l'humain comme celle-ci ?
0:21:41 Beth Miller : Oui, je crois que je l'ai déjà dit, mais je vais double-cliquer dessus parce que je pense que ça vaut la peine de le dire, en particulier au moment où nous terminons et juste pour laisser les gens sur cette idée, je pense que l'audit de l'expérience émotionnelle de votre programme de sécurité est vraiment quelque chose qui doit se produire presque avant l'audit des contrôles. En demandant à un membre de mon organisation, lorsqu'une erreur est commise, que se passe-t-il ensuite ? Cette réponse vous dit tout sur ce qui doit être priorisé dans l'organisation afin de créer cette mentalité de navigateur, d'ambassadeur, n'est-ce pas ? Ou cette approche d'équipe. Le changement le plus rapide que vous puissiez faire ne coûte rien. Il est donc plus sûr de signaler une erreur que de la dissimuler. La création d'un environnement dans lequel les gens se sentent en sécurité pour faire des rapports est probablement la seule chose sur laquelle j'insisterais. Mais en fin de compte, pour revenir au début, je pense que le risque est humain. Nous naissons innés, capables de prendre des risques, mais naviguer dans le risque s'apprend en réalité. Les organisations doivent donc commencer à réfléchir à la manière d'enseigner cette navigation, non seulement parce qu'elle profite à tous les employés, mais aussi parce qu'il s'agit d'une bonne décision commerciale en fin de compte.
0:22:56 Max Havey : Tout à fait. C'est un bon appel à l'action pour finir, c'est oser naviguer sur les mers du risque avec votre équipe à vos côtés. Je pense que c'est une belle façon pour nous d'atterrir ici.
0:23:07 Beth Miller : Max, j'apprécie vraiment le temps que vous m'avez consacré aujourd'hui. Ce fut un réel plaisir. Oui,
0:23:11 Max Havey : Absolument. Merci beaucoup d'être venue, Beth. Ce fut une grande joie et j'espère que nos auditeurs apprécieront cette conversation autant que moi.
0:23:19 Beth Miller : Je vous remercie. Moi aussi.
0:23:21 Max Havey : Sur ce, vous avez écouté le podcast Security Visionaries et j'ai été votre hôte Max Havey. Si vous avez aimé l'épisode d'aujourd'hui, n'oubliez pas de le partager avec un ami et de suivre les visionnaires de la sécurité sur la plateforme de podcast que vous aimez, qu'il s'agisse d'Apple, de Spotify ou de YouTube. Vous y trouverez notre catalogue d'épisodes. Et pendant que vous y êtes, n'hésitez pas à nous suivre ou à nous faire part de vos commentaires. Gardez l'œil ouvert pour les épisodes qui paraîtront toutes les deux semaines, animés soit par moi, soit par ma coanimatrice, Emily, wear Mouth ou Bailey Pop. Sur ce, nous vous donnons rendez-vous au prochain épisode.
){kind=icon}
