Les dernières actualités et conseils d'Optimiz en cybersécurité et conformité règlementaire
Fondateur d’Optimiz, un cabinet de conseil en cybersécurité dont la mission est d'accélérer et optimiser le parcours de conformité, je constate chaque jour un paradoxe : les cyberattaques se multiplient, non pas parce que les technologies échouent, mais parce que trop d’organisations pensent, agissent et innovent de la même manière.
La solution ? La diversité. Pas comme un slogan, mais comme un différenciateur stratégique.
En intégrant des profils variés — cultures, parcours, modes de raisonnement — on brise la "pensée unique" ou ce que les anglais appellent le “groupthink” qui rend les entreprises prévisibles… et vulnérables.
Asseyez vous confortablement. Je décrypte en 3 parties.
Nous avons naturellement tendance à embaucher des profils qui nous ressemblent. En cybersécurité, c’est une erreur fatale.
Prenons par exemple la fuite de données d’Equifax en 2017 : une vulnérabilité connue, non corrigée pendant des mois. Pourquoi ? Une culture hiérarchique où la peur de remonter les problèmes a primé sur l’action.
Comme l’explique Sidney Dekker dans "The Safety Anarchist", l’un de mes livres préférés, "l'infantilisation des employés" et les processus rigides tuent l’innovation.
Sidney Dekker parle d’un paradoxe palpable : les organisations qui cherchent à contrôler tous les risques finissent par créer davantage de vulnérabilités. Au cœur de ce paradoxe ? L’infantilisation des employés.
Qu’est-ce que l’infantilisation?
Dekker utilise ce terme pour décrire des environnements où les employés sont traités comme des exécutants incapables de jugement.
Imaginez une équipe cybersécurité contrainte de suivre des procédures écrites l'année dernière, sans pouvoir adapter ses réponses à des attaques modernes comme les ransomwares zero-day et la peur au ventre de pouvoir faire toute proposition qui engagerait leur responsabilité. Résultat ? Des équipes démotivées et des failles qui persistent.
Cela me rappelle une mission où j’ai rejoint une équipe en cours de projet en tant que lead. Les consultants, déjà en place, étaient paralysés par la peur de proposer des idées innovantes, craignant les réactions explosives d’un client réputé pour son intolérance à la pensée hors des sentiers battus.
Pour moi, cette situation était inacceptable. J’ai encouragé l’équipe à prendre les rênes lors des réunions, à être factuelles et à oser partager leurs idées sans crainte. Je me souviens encore de la cheffe de projet (PMO) me disant : “Ne laisse pas S. seul.”
Au contraire, je l’ai poussé à prendre la parole, à exprimer ses observations et ses idées librement, avec ma bénédiction totale lors des appels de suivi. En fin de mission, cette même cheffe de projet a reconnu que le S. du début et celui de la fin n’était plus la même personne. S., si tu lis cet article, tu te reconnaîtras… ;-)
Au final, cela se traduit par :
Construisez des équipes où un pentester formé à Lagos, Nigéria, échange avec une analyste risques issue de la tech parisienne et un juriste spécialisé en RGPD. La diversité n’est pas une option éthique — c’est un avantage tactique.
Comme le résume si bien Dekker : "La sécurité ne se décrète pas, elle se cultive." En cybersécurité, cela implique de :
La suite semaine prochaine où nous parlerons de Bureaucratie vs Résilience … ;-)
🛡️ Votre entreprise fait-elle partie
des entités critiques ou essentielles concernées par NIS2 ?
Notre planificateur gratuit vous révèle les mesures prioritaires
pour sécuriser votre organisation et éviter les sanctions personnelles.
En soumettant vos informations, vous acceptez notre politique de confidentialité. Nous promettons de ne pas spammer et de traiter vos données personnelles avec respect.
© Optimiz. Tous droits réservés.