Rencontrez l’homme qui a protégé Microsoft pendant 16 ans
- Mike Howard a été directeur de la sécurité (CSO) de Microsoft pendant 16 ans.
- Il était responsable de la sécurité d’une équipe mondiale de près de 200 000 personnes, comprenant l’équipe de direction de l’entreprise, ses 90 000 employés et environ 90 000 sous-traitants dans les 700 installations de l’entreprise réparties dans 100 pays.
- Il a établi des normes industrielles telles que l’intégration de la sécurité dans tous les programmes de formation des employés et l’intégration de la sécurité dans la culture d’entreprise.
- Cet article est destiné aux propriétaires d’entreprise et aux professionnels de la sécurité qui souhaitent apprendre d’un CSO de haut niveau qui a géré les protocoles de sécurité de Microsoft pendant plus d’une décennie.
Mike Howard est un ancien officier des opérations de la CIA avec 22 ans d’expérience qui a dirigé les opérations de sécurité mondiale de Microsoft en tant que directeur de la sécurité (CSO) de 2002 à sa retraite le 31 août 2018. Pendant son séjour chez Microsoft, Mike s’est assuré que l’entreprise a mis en place protocoles adaptés à tout type de menace physique ou de cybersécurité . Ces protocoles sont destinés à soutenir l’entreprise non seulement avant et pendant une attaque, mais également après qu’elle a touché les employés.
Des protocoles ancrés dans la tradition
Bien que Microsoft soit considéré comme l’un des pionniers de l’industrie technologique, Howard a dit un jour que la plupart, sinon tous les protocoles de sécurité imposés par Microsoft, sont toujours enracinés dans les moyens traditionnels d’assurer la sécurité dans de nombreuses entreprises.
« La cybersécurité est un gros problème dans l’esprit de tout le monde car nous sommes devenus plus globalisés en tant que société, et les entreprises ont élargi leur empreinte et tout est numérique », nous a dit Howard dans une précédente interview. « Mais, les problèmes de sécurité traditionnels du vol, de la violence contre les employés, du terrorisme et des catastrophes naturelles sont toujours primordiaux en tant que grands défis de sécurité pour les entreprises. »
Howard estime que même si la technologie progresse chaque jour plus rapidement, les grandes entreprises comme Microsoft devraient toujours baser leurs protocoles de sécurité sur des plans créés il y a des décennies. Les fondamentaux de la sécurité sont la clé de la gestion d’une entreprise aussi grande que Microsoft, mais ils s’appliquent également aux petites organisations.
Que vous ayez plus de 700 bureaux dispersés dans une centaine de pays à travers le monde, comme Microsoft, ou que vous soyez une petite entreprise cherchant à améliorer votre cybersécurité, vous devez vous concentrer sur les problèmes de sécurité courants rencontrés à tous les niveaux de gestion.
Comment Microsoft gère la sécurité
Il convient de noter que Microsoft investit un total de 1 milliard de dollars par an pour s’assurer que ses propres données, ainsi que celles de ses clients, sont bien protégées. Cependant, ce n’est pas le seul aspect de la sécurité dans lequel l’entreprise investit. Elle s’assure également qu’une sécurité maximale est maintenue dans tous les coins de l’espace de travail. La gestion des incidents de sécurité de Microsoft s’appuie sur les processus fondamentaux d’atténuation des risques de sécurité : préparation, détection et analyse, confinement, éradication et récupération, et activité post-incident.
Même si Microsoft dépense d’énormes sommes d’argent pour la sécurité, les économies qu’il réalise en prévenant et en atténuant les effets des attaques grâce à la mise en place de protocoles de sécurité exceptionnels sont supérieures à ce qu’ils ont dépensé.
Par exemple, sans protocoles de sécurité appropriés, « la propriété intellectuelle pourrait être compromise et affecter la réputation de la marque de l’entreprise ou entraîner des poursuites », a déclaré Howard. Les deux peuvent entraîner de lourdes pertes pour l’entreprise. La sécurité n’est pas tant une dépense supplémentaire pour l’entreprise qu’un investissement.
Ceci est particulièrement important avec la montée des lois sur la confidentialité des données, une tendance qui a commencé juste avant qu’Howard ne quitte Microsoft, lorsque l’Union européenne (UE) a adopté le Règlement général sur la protection des données (RGPD). Le RGPD expose les entreprises à la responsabilité financière si une violation de données compromettait les informations personnelles identifiables de tout utilisateur dans l’UE. Des lois similaires, comme le California Consumer Privacy Act (CCPA), ont également vu le jour dans le sillage du GDPR et obligent les entreprises à planifier méticuleusement leurs protocoles de sécurité.
Exemples de pratiques de sécurité de Microsoft
Dans le cadre du protocole de sécurité de l’entreprise, Microsoft a publié le rapport Microsoft Security Intelligence tous les six mois depuis 2006. Ce rapport résume toutes les menaces qui ont pénétré le système de Microsoft, et chacune de ces menaces est évaluée pour aider à atténuer le risque de violation de données et autres problèmes possibles.
Une autre fonctionnalité de sécurité utilisée par Microsoft est sa plate-forme Microsoft Defender Threat Intelligence, qu’un analyste de la sécurité peut utiliser pour analyser et hiérarchiser les signaux ou les menaces qui nécessitent le plus haut niveau d’attention.
Il fonctionne un peu comme une IA conçue pour la cybersécurité, permettant à Microsoft d’envoyer des e-mails personnalisés aux utilisateurs chaque fois qu’une menace survient. Ces communications informent les utilisateurs de certains liens sur lesquels il ne faut pas cliquer, des courriels qui semblent suspects et d’autres actions dans le cyberespace qui pourraient être signalées comme menaçantes.
Le rôle de Mike Howard en tant qu’évangéliste de la sécurité
Au-delà des développements qu’il a mis en place chez Microsoft pour protéger les données de ses utilisateurs et de ses clients, une grande partie de la distinction d’Howard en tant qu’homme derrière les mesures de sécurité stellaires de l’entreprise est attribuée à son rôle d’évangéliste pour les autres. Howard s’est assuré que tous les membres de l’entreprise, de ceux qui résident au niveau le plus bas de la direction jusqu’aux cadres et actionnaires, comprenaient l’importance de la sécurité à la fois dans le monde physique et dans le cyberespace.
« Une grande partie de [l’engagement de Microsoft en matière de sécurité] est liée à l’évangélisation de la sécurité sur plusieurs fronts au cours de la dernière décennie », a déclaré Howard. « Mon homologue de la sécurité informatique et moi avons travaillé avec diligence pour vraiment amener les acteurs, les décideurs ici à comprendre la sécurité et à soutenir ces efforts de sécurité et la diffusion de ce message dans toute l’entreprise. »
Inculquer l’importance de ces protocoles dans l’esprit de chaque employé de Microsoft est un processus continu. Ces travailleurs sont ceux qui effectuent les activités quotidiennes de l’entreprise. En tant que tels, ils doivent garder à l’esprit la sécurité de l’entreprise dans l’exercice de leurs fonctions.
Même lors de l’élaboration de plans concernant les efforts de marketing de Microsoft, Howard s’est assuré de fournir des informations qui aideraient les employés à assumer leurs responsabilités sans compromettre leur intégrité ou celle des informations précieuses de l’entreprise. Cette culture d’évangélisation de la sécurité est l’héritage d’Howard maintenant qu’il a quitté l’entreprise.
L’assistance aux employés comme moyen d’assurer la sécurité
Howard pense qu’outre le rôle de la technologie dans l’optimisation de la sécurité chez Microsoft, les employés sont essentiels pour s’assurer que le travail est effectué avec la plus grande vigilance et dans le respect des directives de sécurité adéquates.
« Avoir un programme de formation en place est essentiel à tout programme de sécurité », a déclaré Howard. « Sans cela, vous n’avez pas de programme de sécurité complet. Nous avons un certain nombre d’employés et de fournisseurs à temps plein pour couvrir Microsoft à l’échelle mondiale ; nous ne pourrions jamais couvrir le monde de manière adéquate sans éduquer et créer des programmes de sensibilisation qui enseignent aux gens ce qu’il faut rechercher.
La formation des employés aux risques de sécurité présente certains avantages en matière de sécurité :
- Les employés deviennent leur propre personnel de sécurité ; ils se sentent responsables du bien-être de leurs équipes et surveillent toute menace éventuelle.
- Ils apporteront leurs propres expériences pour prendre en compte des facteurs qui ne sont généralement pas pris en compte lors de l’optimisation de la sécurité, rendant les protocoles de sécurité plus inclusifs et efficaces.
- Les employés sont formés pour être vigilants à la fois devant leurs ordinateurs et dans leur environnement immédiat, garantissant une sécurité globale.
Pourquoi le service RH est primordial pour la sécurité
Bien qu’elles fassent partie intégrante d’une entreprise, les RH sont souvent négligées lorsqu’il s’agit d’optimiser la sécurité. Le plus souvent, les failles du système de sécurité d’une entreprise se trouvent dans des domaines qui étaient autrement traités comme non pertinents, ce qui en fait un terrain fertile pour différents types de menaces.
« Une mauvaise économie, des problèmes à la maison, même le fait de traiter avec un parent malade peuvent être des facteurs qui peuvent déclencher [des raisons d’augmenter] la sécurité au travail, et avoir une équipe en place pour aider à résoudre ces problèmes peut les empêcher d’un incident de violence ou vol », a déclaré Mike.
Cela montre que la technologie ne suffit pas à gérer seule les problèmes de sécurité. Les personnes qui effectuent même les tâches les plus simples chez Microsoft doivent être prises en compte lors de la préparation des solutions d’atténuation en cas de menace. Une équipe de professionnels capables d’évaluer ces types de risques à partir du service des ressources humaines est ce qui distingue Microsoft des autres. C’est une leçon dont les autres entreprises devraient tenir compte.
Comment les PME peuvent apprendre de la pratique de Microsoft
La plus grande idée fausse que les PME ont des pratiques de cybersécurité de Microsoft est qu’il s’agit de combien d’argent vous êtes prêt à dépenser pour protéger les informations de votre entreprise . Cependant, la vérité derrière le succès de Microsoft n’est pas seulement la délégation des ressources financières.
La réalité derrière les pratiques de sécurité réussies de Microsoft est la bonne orientation des personnes qui construisent l’entreprise à partir de zéro. Il s’agit de s’assurer qu’ils comprennent l’importance des protocoles de sécurité, quel que soit le service pour lequel ils travaillent, et de les former pour atténuer les risques éventuels qu’ils pourraient rencontrer dans le cadre de leur travail. Prêter attention aux employés et mettre à jour de manière proactive les informations nécessaires pour atténuer les risques de sécurité est un moyen efficace de présider à la cybersécurité d’une entreprise.
Ne laissez pas la sécurité au hasard
L’histoire de Mike Howard en tant qu’ancien agent de sécurité de la CIA a été un tremplin vers son rôle de chef de la sécurité de Microsoft, et sa philosophie en matière de sécurité est ancrée dans le fait que toutes les menaces peuvent être atténuées tant que les protocoles appropriés sont en place.
Le temps passé par Howard chez Microsoft met l’accent sur l’importance des protections technologiques et protocolaires pour la sécurité, qu’il s’agisse de mettre en œuvre un système de cybersécurité et un plan de réponse, de former des membres individuels de l’équipe ou de leur offrir les ressources dont ils ont besoin pour rester vigilants. La sécurité de l’entreprise est le travail de chacun, et il faut un dévouement 24/7/365 pour faire ce travail.
Laisser un commentaire