La sécurité est souvent critiquée pour ralentir la productivité et nuire à l'expérience utilisateur (UX). Chez Okta, nous savons que cela ne pourrait être plus éloigné de la vérité. Les responsables de la sécurité des systèmes d'information (CISOs) d'aujourd'hui sont profondément engagés à créer des expériences sans friction pour les employés et les clients, et nous avons récemment spoke avec deux d'entre eux pour obtenir leur avis sur la manière de concilier ces objectifs commerciaux cruciaux.
La demande d'authentification réside dans la recherche de solutions innovantes qui renforcent la sécurité sans compromettre l'efficacité ni la satisfaction. Munis de stratégies pratiques, d'une approche holistique et des retours des utilisateurs, les RSSI peuvent renforcer la posture de sécurité tout en augmentant la productivité et en offrant une expérience utilisateur fluide. Voici comment.
1. Priorisez l'expérience utilisateur dans la conception de la sécurité.
Une approche axée sur l'utilisateur pour la sécurité est primordiale pour favoriser l'adoption et minimiser la résistance. Que ce soit pour les employés ou les clients, les RSSI doivent privilégier la conception de mesures de sécurité en tenant compte des utilisateurs finaux afin de créer une expérience fluide et intuitive. Par exemple, les fonctionnalités de connexion sécurisée telles que l'authentification multifacteur peuvent frustrer les utilisateurs, mais avec des options comme l'authentification biométrique ou l'authentification sans mot de passe, vous pouvez maintenir la sécurité sans causer d'inconvénients.
Jane Domboski, RSSI chez OneMain Financial, déclare qu'il est également important de communiquer les risques et les exigences de sécurité dans un langage clair et concis. Offrir des explications et des conseils utiles, tout en évitant le jargon technique, permettra en fin de compte aux utilisateurs de prendre des décisions éclairées concernant la conception de la sécurité.
« L'une des premières actions que j'ai entreprises en tant que RSSI a été de m'aligner avec notre Directeur technique pour garantir que les applications que nous développons sont sécurisées dès leur conception », déclare Domboski « Amener son équipe à utiliser cette terminologie aide à garder la sécurité à l'esprit lors de la création de nouveaux produits. »
2. Tirer parti de l'automatisation et de l'IA
L'automatisation peut considérablement améliorer la sécurité tout en libérant des ressources humaines pour des tâches stratégiques. En automatisant les workflows de sécurité de routine — tels que les réinitialisations de mot de passe, l'analyse des vulnérabilités et la résolution des incidents — Organizations peuvent améliorer leur efficacité et réduire le risque d'erreur humaine.
Les RSSI peuvent également utiliser l'IA pour analyser de vastes quantités de données et identifier les menaces potentielles en temps réel, permettant ainsi une chasse proactive aux menaces et une résolution des incidents plus rapide. Et lorsqu'un incident est détecté, l'automatisation des étapes de résolution des incidents de routine, telles que le confinement et l'éradication, peut contribuer à minimiser les temps d'arrêt et les dommages. Comme le dit Cory Musselman, RSSI chez Kyndryl, il s'agit d'utiliser la sécurité comme un levier commercial plutôt que comme un frein.
« Lorsque nous avons consolidé nos processus de gestion des identités et des accès avec Okta, cela a représenté une grande victoire pour nos employés et l'entreprise », explique-t-il « Cela a mis en évidence que les équipes sécurité ne se contentent pas de mettre en œuvre des mesures qui compliquent la vie. » Nous travaillons activement pour leur faciliter la vie et rendre l'entreprise plus agile.
3. Adoptez une architecture Zero Trust
Un modèle Zero Trust modifie le paradigme de sécurité, passant de la confiance implicite à la vérification continue. L'adoption de cette approche peut aider les Organizations à renforcer considérablement leur posture de sécurité tout en maintenant leur productivité.
« Nous voulons que les ralentisseurs soient au bon endroit pour les bonnes raisons afin d'équilibrer l'expérience des employés avec la sécurité », déclare Musselman « La gestion des risques est une partie importante de cette évaluation. » « Vous devez comprendre la tolérance au risque et le profil de menace de votre organisation afin de pouvoir prendre des décisions éclairées et ne pas mettre plus de ralentisseurs que nécessaire. »
Commencez par mettre en œuvre des mécanismes d'authentification forte et d'autorisation pour vous assurer que seules les personnes et les terminaux autorisés peuvent accéder aux ressources. Isolez les données et applications sensibles en segmentant vos réseaux pour réduire votre surface d'attaque et limiter l'impact potentiel d'une brèche. Et réduisez le risque d'accès non autorisé et d'exfiltration de données en adoptant le principe du moindre privilege, en n'accordant aux utilisateurs que les autorisations nécessaires pour exercer leurs fonctions.
4. Créez une culture de la sécurité
Un personnel bien informé et engagé est la première ligne de défense contre les cybermenaces. Les RSSI peuvent bâtir une culture axée sur la sécurité en investissant dans des sessions de Formation interactives qui couvrent des sujets tels que le phishing, le social engineering et les bonnes pratiques de sécurité des mots de passe. Tester régulièrement la capacité des employés à identifier et à signaler le phishing renforcera davantage les bonnes pratiques de sécurité.
« L'éducation est incroyablement importante, et nous investissons dans une formation continue pour apprendre à nos Developers à coder en toute sécurité », déclare Domboski Nous diffusons même des conseils en matière de cybersécurité lorsque les clients appellent et sont mis en attente. « Nous croyons fermement que l'éducation à la cybersécurité ne devrait pas être réservée uniquement aux employés, mais également à nos clients. »
Pour vraiment faire comprendre la valeur des initiatives de sécurité, Musselman affirme qu'il est important de reconnaître et de récompenser les employés pour leurs efforts. « Nous mettons en évidence les succès lorsque nous collaborons avec des secteurs de l'entreprise afin d'accroître la sécurité d'une manière qui ne crée pas de frictions », explique-t-il Cela contribue à promouvoir une culture de responsabilité partagée pour la sécurité.
5. Évaluez et améliorez continuellement
Le paysage de la sécurité est en constante évolution, il est donc essentiel de maintenir une approche proactive de la gestion de la sécurité. L'évaluation régulière de votre posture de sécurité et le fait de rester informé des menaces émergentes vous aideront à identifier les faiblesses potentielles et à prendre des décisions proactives.
Recueillir les commentaires des employés est un moyen puissant de comprendre l'impact des mesures de sécurité sur la productivité et l'expérience utilisateur. En impliquant tout le monde dans le processus, vous pouvez effectuer les ajustements nécessaires et faire évoluer votre stratégie de sécurité pour l'avenir.
Comme le dit Musselman, « Il est important de s'associer aux chefs d'entreprise dans différentes parties de vos Organizations pour comprendre comment leurs équipes fonctionnent. » Cela nous aide à façonner la manière dont nous mettons en œuvre les contrôles de sécurité et guide nos décisions en matière de risques afin de créer l'équilibre approprié pour nos utilisateurs. »
En mettant en œuvre ces stratégies, les RSSI peuvent considérablement améliorer la posture de sécurité de leurs Organizations, tout en créant une expérience utilisateur positive et en augmentant la productivité.
Regardez notre webinar à la demande avec Jane Domboski, RSSI chez OneMain Financial, et Cory Musselman, RSSI chez Kyndryl, pour En savoir plus sur la manière dont ils intègrent l'Identité comme élément central de leur organisation de sécurité.
