Les silos organisationnels sont de plus en plus pointés du doigt dans les entreprises. Ces derniers créent des obstacles qui entravent la communication et la collaboration entre les équipes, ce qui nuit à leur efficacité et freine la circulation de l’information et des données. Dans ce mode de fonctionnement, les différents services se croisent peu et ne communiquent pas. Se comportant comme des entités indépendantes, ils n’ont plus la même vision, les mêmes objectifs, les mêmes priorités, ni les mêmes outils informatiques.
Avec ces silos organisationnels, la cybersécurité vient se positionner très souvent en bout de chaîne, ce qui la rend contraignante et inefficace face aux risques et aux menaces comme les cyberattaques.
Alors quelles sont les barrières qui existent entre la cybersécurité et son adoption au sein des entreprises et comment les lever ?
C’est ce que nous allons découvrir dans cet article grâce à nos experts en cybersécurité !
1. Fonctionnement en silos : des risques importants pour l’entreprise
Qu’est-ce qu’un silo en entreprises ?
Lorsque l’on parle de silos organisationnels dans le monde du travail, cela fait référence aux silos utilisés dans le monde agricole. Dans une ferme, un silo est une structure haute et sans fenêtre, conçue pour stocker du grain. Il est difficile d’y accéder et les points d’entrée y sont très limités.
En entreprise, il ne s’agit pas de stocker du grain, mais des informations et des savoirs, les rendant ainsi inaccessibles au reste de l’entreprise.
Dans ce mode de fonctionnement en silos, des entités, comme des services, vont travailler de manière quasi indépendante par rapport aux autres entités. Chaque service va ainsi travailler sur ses propres spécialités sans s’occuper des autres services.
Ces différents silos deviennent de plus en plus imperméables et ont, petit à petit, beaucoup de mal à se synchroniser les uns aux autres et à travailler ensemble.
Quels sont les risques d’une organisation en silo ?
Ce fonctionnement en silos, a fortiori à l’ère du numérique, ne répond plus aux attentes ni des clients ni des employés ni aux besoins en termes de sécurité.
Lorsque les employés d’un service ne parviennent pas à interagir efficacement avec ceux des autres services, c’est l’organisation tout entière qui va commencer à en pâtir, ce qui entraîne une perte de revenus, voire des guerres de territoire entre les services.
Ces silos organisationnels peuvent devenir d’énormes barrières au sein d’une entreprise et il peut être très difficile de les faire tomber une fois en place.
Ils entraînent, entre autres, une forte résistance aux changements, des lenteurs administratives, une perte de productivité, une forte démotivation des employés et bien souvent une très mauvaise expérience client.
2. Quels sont les risques d’une organisation en silo pour la cybersécurité ?
Le fonctionnement en silos, s’il est remis en question, reste encore très répandu pour les équipes de cybersécurité. Et, alors que les silos ont tendance à se briser, la cybersécurité reste bien souvent très cloisonnée, comme à part, dans les entreprises. Plus de la moitié des DSI affirment que les équipes IT et métiers de leur entreprise fonctionnent actuellement en silos.
Voici quelques exemples des conséquences de ce mode de fonctionnement en silos sur les équipes de cybersécurité :
Le lancement d’un produit ou service
Dans le cadre du développement d’un produit, si les équipes de cybersécurité n’arrivent qu’en fin de chaîne pour effectuer des audits et des contrôles, cela pose problème.
Elles ne suivent pas la totalité de la chaîne de développement et si une faille est détectée, que le produit est déclaré non conforme, ce sera juste avant sa sortie sur le marché, ce qui va retarder la sortie. Cela aura un impact financier important et représente une vraie perte de temps pour les équipes.
De ce fait, les équipes de cybersécurité vont être perçues de manière négative. Ce qui va pousser les autres services à contourner ces contrôles.
Sans contrôles, l’impact d’une faille de sécurité sur le produit sera d’autant plus important et viendra endommager la notoriété de la marque et la confiance des clients (en cas de fuite de données, par exemple).
La formation
Très souvent, et pour obtenir des accréditations de conformité, l’ensemble des collaborateurs de l’entreprise vont être formé à la cybersécurité. Mais cette formation est réalisée de façon très froide. Les salariés reçoivent tout un ensemble de documents dont ils doivent prendre connaissance puis effectuent un test de connaissances dans la foulée. Cette manière de former les équipes n’est que très peu efficace.
Le partage des informations
Les équipes de cybersécurité ne viennent pas adapter leur message aux différentes équipes. De nombreux documents, très techniques et très génériques, sont imposés à l’ensemble des collaborateurs. Là encore, la cybersécurité ne s’adapte pas aux réalités du métier des autres services.
En bref, les équipes de cybersécurité, quand elles sont cloisonnées, évoluent en parallèle de l’ensemble des autres services et les messages clés ne circulent pas, dans un sens comme dans l’autre. C’est très souvent un manque de temps et de moyens, mais aussi toute la culture et la vision de l’entreprise qui est en cause. Si les facteurs à l’origine du cloisonnement des opérations de sécurité peuvent varier, chaque organisation en subit les effets secondaires et les conséquences négatives.
À lire aussi : La cybersécurité : pilier d’une transformation digitale réussie !
3. Quelles sont les solutions pour casser les silos afin d’assurer la dynamique globale des entreprises ?
Briser les silos en incluant tous les collaborateurs par la culture
L’un des premiers leviers pour sortir la cybersécurité de son silo est de réellement sensibiliser l’ensemble des collaborateurs.
Pour former tout le monde à la cybersécurité, il faut sortir des formations très froides et des informations très génériques.
Il faut que chaque collaborateur puisse se sentir concerné par les problématiques liées aux cybermenaces. La formation doit, pour cela, être conçue sur mesure et prendre en compte l’historique de chaque service, s’adapter aux chiffres clés de chaque service et être propre à l’entreprise concernée.
L’organisation tout entière doit adopter une culture de collaboration et de confiance et comprendre que chaque action doit inclure la cybersécurité dès le début.
Il s’agit de faire comprendre à tous que la cybersécurité est la condition de l’innovation et de la transformation et non un frein.
En effet, si l’utilisateur est parfois vu comme une partie du problème, il est, en réalité, surtout une grande partie de la solution. La première ligne de défense est, et sera toujours, l’humain.
Travailler ensemble
Un second levier pour sortir la cybersécurité de son silo est de favoriser le travail collectif.
Les équipes de cybersécurité ne doivent pas arriver auprès des autres services avec des procédures clés ou de règles d’or à appliquer. Elles doivent, au contraire, venir discuter avec l’ensemble des équipes d’une problématique qui les concerne toutes : la sécurité.
Pour cela, une bonne pratique consiste à mettre en place des « security champions ».
Il s’agit de collaborateurs, membres de différents services, qui vont venir sensibiliser toute l’entreprise sur des sujets liés à la cybersécurité. Ils travaillent ensemble, quelle que soit leur fonction, sur les bonnes pratiques à mettre en place, sur leur conception de la cybersécurité, sur les exigences de sécurité, sur l’analyse des risques ou encore sur le choix des outils informatiques.
Ces instances transversales au sein desquelles se regroupent tous les métiers concernés par la sécurité globale vont, grâce à l’Intelligence collective, déterminer et mettre en place des solutions réellement adaptées et les apporter à tous.
Mais il ne s’agit pas seulement de créer cette communauté d’experts, il faut aussi l’animer afin d’en retenir ses nouveaux talents.
Le DevSecOps : intégrer la cybersécurité dès la conception.
Pour comprendre la DevSecOps, il faut définir la gestion DevOps.
Le DevOps est une méthode qui consiste à rapprocher les développeurs des équipes de production et d’exploitation avec pour objectif d’obtenir des produits de meilleure qualité, délivrés par une équipe plus efficace, qui collabore vraiment et s’améliore en continu. Dans ce mode de fonctionnement, l’entreprise est plus innovante, car elle développe des nouveautés plus fréquemment et plus rapidement.
Mais il manque un aspect primordial à cette méthode de gestion : la sécurité !
Car si un produit est développé rapidement, mais qu’une faille est mise en avant lors de contrôles qui n’arrivent qu’en fin de cycle, c’est tout ce fonctionnement DevOps qui tombe à l’eau.
Il faut intégrer la sécurité au plus tôt sur la chaîne de développement pour repérer rapidement d’éventuelles failles de sécurité et les corriger plus facilement.
Le DevSecOps introduit le fait que les entreprises doivent prendre en compte les sujets de sécurité dès le départ. De plus, la sécurité devient ainsi une responsabilité commune et non une responsabilité de l’équipe sécurité seulement.
Décloisonner la cybersécurité : adresser toutes ses composantes !
En termes de cybersécurité, il est essentiel d’être sur tous les fronts. C’est pourquoi chez Wemanity nous adressons l’ensemble des composantes de la cybersécurité dans notre solution :
- La compliance
- L’expertise outil, matériel et logiciel
- Les bonnes pratiques (autrement dit, l’humain)
Spécialiste de la transformation digitale, c’est avec l’ensemble des autres offres Wemanity, que Wemanity Secure intègre la cybersécurité à chaque étape de votre transformation digitale !
