Jen Waugh a rejoint Okta en mai 2024 en tant que Senior directeur, Security Culture. L'une des principales responsabilités de Jen est d'appliquer sa riche expérience — couvrant la cybersécurité, la gouvernance, la conformité et le leadership — pour créer et favoriser une culture de sécurité en tant que moteur de la maturation continue d'Okta en tant qu'entreprise de sécurité.
Reconnaissant que d'autres Organizations aspirent à prendre des mesures similaires et que leurs dirigeants pourraient bénéficier des idées de Jen, nous lui avons demandé de partager quelques réflexions sur ce qu'il faut pour faire évoluer la culture d'une entreprise tout en restant fidèle à son identité.
Bien que la sécurité ait toujours fait partie de l'identité d'Okta, l'évolution des cybermenaces — à la fois contre des entreprises comme la nôtre et contre nos clients — nous a amenés à nous regarder sous un angle légèrement différent. Avec l'identité et la sécurité connectées comme les deux faces d'une même pièce, nous en sommes venus à nous percevoir de la même manière que les autres nous voient : comme une entreprise de sécurité mondiale de premier plan. En fait, la sécurité est l'une de nos valeurs d'entreprise, et chaque employé est responsable d'aider à maintenir la sécurité d'Okta et de nos clients.
Nous prenons nos responsabilités au sérieux, et en février 2024, nous avons annoncé l’ Okta Secure Identity Commitment, notre plan à long terme pour jouer un rôle de premier plan dans la lutte contre les attaques d’identité.
En fin de compte, notre succès dans la réalisation de ce plan et d'autres initiatives de sécurité clés sera fortement influencé par nos progrès dans un domaine connexe : instaurer une culture de la sécurité au sein d'Okta elle-même.
Changer notre ADN
Une culture de sécurité forte est fondamentale pour garantir que les données sensibles d'Okta et celles que d'autres confient à Okta soient protégées.
Mais créer une culture de sécurité — de sorte que la sécurité devienne implicite dans l'ADN d'une Organizations et une seconde nature pour son équipe — n'est pas une mince affaire, et cela ne se fait pas tout seul. Un changement est requis, et souvent ce changement apporte un élément de perturbation organisée.
D'après mon expérience passée et mes conversations avec les responsables de la sécurité de l'ensemble du secteur, j'ai gardé à l'esprit plusieurs éléments en me lançant dans la direction de cette initiative :
- Une culture de sécurité forte est liée aux outils et technologies que nous employons, mais elle s'en distingue. Nous avons une équipe de technologies de classe mondiale et des opérations cybernétiques robustes, mais la culture concerne les croyances et les comportements.
- La sécurité doit être intégrée à vos valeurs d'entreprise. Nous avons actualisé nos valeurs plus tôt cette année et introduit une nouvelle valeur (Toujours sécurisé). Toujours activé.) pour refléter notre engagement continu à faire de chaque employé un propriétaire de la sécurité.
- Une culture de sécurité forte doit être plus qu'un simple ensemble de politiques et procédures définies. Il est exigé que chaque employé d'Okta prenne un rôle actif dans l'acceptation, la pratique et la promotion d'une sécurité efficace, contribuant ainsi à une ligne de défense humaine collective au-delà de toute politique ou standard documenté.
- Il n'y a pas de balle Silver, et la résolution tactique n'est pas durable. L'exploitation d'une approche à deux vitesses est bénéfique, mais veillez à ne pas vous laisser piéger dans un cycle tactique — et assurez-vous d'intégrer l'agilité dans la conception de l'approche, en tenant compte des interactions entre les éléments essentiels de votre entreprise.
- La nécessité du progrès doit être équilibrée par la patience. Le travail n'est jamais terminé, c'est une évolution constante façonnée par les pressions de sélection de la stratégie commerciale, des priorités et du paysage des menaces. Gardez un œil sur ces choses et adaptez continuellement votre approche.
Avec ces idées façonnant ma réflexion, j'ai collaboré avec d'autres dirigeants d'Okta pour développer, affiner et promouvoir les trois piliers de la culture de sécurité sur lesquels repose notre culture de sécurité.
Pilier 1 : Sécurité pourquoi
Il y a une citation assez célèbre de Friedrich Nietzsche : «Celui qui a un pourquoi pour vivre peut supporter presque n'importe quel comment.»
Reformulée, l'idée est que lorsque les gens comprennent la raison de quelque chose, ils seront disposés à tolérer — ou, idéalement, à apporter leur support avec enthousiasme — tout ce qui est nécessaire pour le réaliser.
Pour nous, le Security Why va au-delà de la simple explication de l'importance de la sécurité et se concentre sur la contextualisation de la sécurité pour chaque membre de l'équipe, en fonction de son rôle et de ses responsabilités individuels.
Nous commençons par comprendre les menaces externes de manière claire et fondée sur des données. Cela signifie qu'il faut éviter les déclarations générales et plutôt évaluer le paysage des menaces. Quelles sont les attaques auxquelles Okta est confrontée ? Quelles attaques les autres acteurs de notre secteur rencontrent-ils ? Quelles sont les grandes tendances qui façonnent les attaques futures ?
Mais le Marketing 101 nous enseigne l'importance de connaître nos profils cible afin de parvenir à une communication efficace. À cette fin, j'ai personnellement interviewé plus de 70 personnes de l'ensemble des Organisations Okta, chaque entretien fournissant des perspectives distinctes qui ont façonné notre approche de la culture de sécurité.
En collaborant avec différentes équipes fonctionnelles, nous pouvons exploiter cette « intelligence de marché » pour adapter nos messages à l'ensemble de l'organisation. Ainsi, bien que les objectifs généraux de nos initiatives de sécurité soient clairs et cohérents, les différentes équipes peuvent comprendre – dans leur propre langage – ce qui est attendu d'elles au quotidien et, tout aussi important, pourquoi.
Leadership et communication
En observant le monde des affaires dans son ensemble, de nombreuses initiatives à grande échelle échouent souvent parce que ceux qui les dirigent pensent qu'un leadership descendant est suffisant pour provoquer des changements.
Et ne vous y trompez pas, un leadership fort (en particulier un leadership par l'exemple) est nécessaire — et nous avons la chance que notre PDG défende ce message. Cependant, le leadership descendant à lui seul est insuffisant, et une initiative a beaucoup plus de chances de réussir lorsqu'il y a des champions dans toute l'Organizations et lorsque le flux de communication circule dans toutes les directions.
Ce à quoi nous aspirons, c'est d'établir des liens clairs entre les initiatives de sécurité et les objectifs et buts de notre entreprise. Pour ceux qui connaissent SABSA, nous nous synchronisons avec le composant Architecture de sécurité de l'entreprise du framework, notre principal moteur commercial étant la sécurité.
Je vais vous donner un exemple : Okta a mis en place plusieurs canaux de communication pour permettre un retour d'information actif et un support. Nos équipes disposent d'options conçues pour leur façon de travailler et nous continuons à affiner notre approche. Dès le premier jour, il était très évident que notre approche devait être multiforme et ne devait pas faire ou s'appuyer sur des hypothèses. Heureusement, Okta est une Organizations axée sur des retours courageux et constructifs.
Lorsque les gens se sentent impliqués, lorsqu'ils sentent que l'organisation est à l'écoute, lorsqu'ils voient des ajustements effectués en fonction de leurs commentaires, et lorsqu'ils voient les dirigeants incarner les messages qu'ils communiquent — vous avez là les ingrédients d'un véritable changement culturel.
Pilier 2 : Sécurité des personnes.
Security People concerne (vous l'avez deviné !) les personnes chez Okta.
Notre pilier Security People a été conçu pour être mesurable et, de mon point de vue personnel, il est — et continuera d'être — central à notre succès.
Cycle de vie des employés
D'un point de vue de la sécurité, le cycle de vie des collaborateurs commence dès qu'un poste est disponible. Heureusement, nous partons d'une base solide lorsque nous examinons le cycle de vie des employés chez Okta.
Notre approche s’articule en deux temps :
- Tout d'abord, nous examinons la question sous l'angle du renforcement de la responsabilité et de la responsabilisation en matière de sécurité pour chaque personne travaillant chez Okta.
- Deuxièmement, nous examinons la question sous l'angle des menaces Associate.
Ces menaces sont affrontées quotidiennement par notre secteur, et la complaisance peut mener à une exposition.
Nous avons adopté une approche basée sur les menaces, et bien que ces processus soient assez simples sur le plan conceptuel, dans une organisation aussi grande qu'Okta, il est plus facile à dire qu'à faire de bien faire les choses — ce qui me rend reconnaissant du partenariat que mon équipe entretient avec notre groupe People and Places. Ce partenariat nous permet de prioriser et de résoudre les demandes d'authentification découlant d'une main-d'œuvre nombreuse et mondiale.
Réseau mondial de personnes
J'ai mentionné plus tôt la nécessité d'une communication multidirectionnelle, et une autre façon dont nous y contribuons est par le biais de ce que nous appelons notre Global People Network.
Essentiellement, il s'agit de groupes ayant une représentation transversale de nombreuses fonctions au sein d'Okta. Nous parlons avec les groupes, nous apprenons d'eux et nous recueillons leur avis sur différentes choses que nous essayons ou envisageons d'essayer. Ces conversations nous aident à reconnaître les problèmes — qu'ils soient systémiques ou plus localisés — et à prioriser nos efforts.
Nous établissons maintenant des groupes régionaux à travers le monde après un projet pilote réussi. Le groupe pilote a fait un showcase du désir des employés de participer et de s'engager dans notre culture de sécurité. J'ai constaté de visu la passion qui anime notre valeur Développer et maîtriser .
Les membres des forums comprennent et, je pense, apprécient qu'ils jouent un rôle majeur dans la solution — en définissant et en contribuant à la culture de sécurité — et que leurs idées influencent ce que nous faisons dans toute l'entreprise.
Chez Okta, nous avons également un réseau bien établi de champions de la sécurité dirigé par notre équipe d'éducation à la sécurité. Alors que le Global People Network est conçu pour inclure tout le monde chez Okta, le Security Champion Network se concentre sur la sécurité des technologies et des produits.
Équipes sécurité embarquées
Sous la direction de ma collègue Charlotte Wylie (SVP Deputy RSI, Okta), nous avons une équipe d'éducation à la sécurité. Ils se concentrent principalement sur la formation continue de nos Developers et ingénieurs sur des sujets tels que le codage sécurisé et les pratiques de développement dans le cadre d'un cycle de vie de développement logiciel sécurisé.
Les membres de l'équipe de formation à la sécurité sont embarqués dans toute l'Organizations d'ingénierie pour travailler au quotidien aux côtés de nos développeurs et codeurs.
C'est important pour quelques raisons.
Tout d'abord, cela promeut les normes attendues concernant les bonnes pratiques de sécurité. D'un point de vue culturel, c'est une grande victoire.
Deuxièmement, elle garde la sécurité à l'esprit, en promouvant non seulement les bonnes pratiques actuelles, mais aussi les comportements attendus.
Troisièmement, la sécurité est un sujet très détaillé et presque toujours en évolution — il est donc franchement irréaliste de s'attendre à ce que chaque developer ou ingénieur puisse se tenir au courant de ces changements. Le fait d'avoir un accès quotidien à un membre de l'équipe de formation à la sécurité aide l'ensemble des Developers à être plus efficace tout en améliorant progressivement les connaissances de chacun.
Pilier 3 : Impulsion de sécurité
Security Pulse est la manière dont nous allons atteindre nos objectifs de sécurité, en nous basant sur les données.
Chiffres, pourcentages, tendances — les faits bruts et froids qui vous aident à mesurer les progrès, à identifier les domaines dans lesquels vous prenez du retard ou réussissez, et à rendre les choses durables et reproductibles.
Rappelez-vous que j'ai mentionné la nécessité d'équilibrer le progrès avec la patience. Personnellement, la patience est un domaine dans lequel j'ai parfois du mal — je regarde les objectifs, je suis très conscient des domaines qui nécessitent plus de travail, et j'ai l'impression que nous ne pouvons pas y arriver assez tôt. Nous plaçons la barre très haut.
Ainsi, autant il est formidable pour l'organisation de pouvoir mesurer les progrès, autant les métriques sont des rappels constants de ce que nous avons accompli et que nous avançons réellement ensemble.
NIST CSF 2.0
Nous avons investi du temps au départ pour élaborer un framework simplifié qui associe le National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 2.0 afin de mieux comprendre l'état actuel de la posture de sécurité d'Okta et de monitorer les progrès. Je suis personnellement un fan du framework NIST mis à jour, en particulier de l'inclusion d'un sixième pilier — Gouverner — dans le CSF 2.0. En tirant parti de cette approche, nous alignons notre culture de sécurité sur les autres initiatives de sécurité d'Okta et sur l'industrie dans son ensemble.
Mots d'adieu
La vision d'Okta est de libérer chacun pour qu'il puisse utiliser n'importe quelle technologie en toute sécurité.
En tant qu'entreprise, nous reconnaissons que concrétiser cette vision nécessite de créer des produits sécurisés qui assurent un accès fluide et sécurisé aux personnes et aux Organizations partout dans le monde.
Nous reconnaissons également que les données que nous détenons — les nôtres et celles de nos clients et partenaires — et l'importance de nos produits font de nous une cible pour les cyberattaquants.
Construire une culture de sécurité est un moyen de faire progresser l'ensemble de nos Organizations, dont les impacts seront considérables — du développement plus efficace de code plus sûr dans des produits plus sécurisés, à une plus grande résilience face aux attaques auxquelles nous faisons face chaque jour.
Avançons ensemble
Mais instaurer une culture de la sécurité n'est pas un projet du jour au lendemain, et ce n'est pas une tâche à configurer et à oublier ; il s'agit plutôt d'un processus à long terme et continu qui nécessite un changement collectif et un effort concerté.
En partageant l’approche d’Okta et nos expériences aussi ouvertement que possible, j’espère vous aider à progresser dans votre propre parcours de sécurité.
Les risques auxquels les Organizations d'aujourd'hui font face sont tout simplement trop grands pour être ignorés et ne peuvent être résolus par les technologies seules.
Et je crois qu’en parcourant ce chemin ensemble — en échangeant des idées et des points de vue, des succès et des défailllances, des demandes d'authentification et des solutions — nous pouvons progresser collectivement.
Après tout, en matière de lutte contre la cybercriminalité, nous sommes tous du même côté.
En savoir plus sur la manière dont Okta combat les attaques ciblant l'identité.
