Comment Salesforce fait naître des défenseurs de la sécurité

Bien que les équipes de sécurité de l’information au sein de chaque organisation fassent de leur mieux pour protéger l’entreprise, rien n’est infaillible. Voici comment Salesforce fait en sorte de donner l’occasion à chacun, des clients aux employés, de devenir défenseur de la sécurité.
Comment Salesforce fait naître des défenseurs de la sécurité

Pour défendre efficacement la cybersécurité dans le climat actuel, où règnent les attaques de la chaîne d’approvisionnement, les rançongiciels et l’instabilité politique, porter des accusations ne nous mènera pas très loin. Je crois plutôt qu’il est impératif pour chacun d’être un défenseur de la sécurité. J’ai d’ailleurs appris qu’il s’agissait plus d’un état d’esprit que d’un rôle ou une responsabilité spécifique.

Prenez, par exemple, les panneaux « Si vous remarquez quelque chose, signalez-le » que l’on voit souvent placardés dans les transports en commun de New York. Nous habituons le public à être à l’affût des risques potentiels, et il en va de même pour le secteur des technologies, lorsqu’il s’agit de protéger nos actifs les plus précieux. Mais comment procédons-nous exactement chez Salesforce ? Avec l’aide de nos clients !

Création d’une boucle de rétroaction

Chez Salesforce, nos clients accordent une immense confiance (notre première valeur !) à notre capacité à assurer le fonctionnement de leurs systèmes et la sécurité de leurs données. Dans le secteur médical, il peut s’agir d’informations sur les patients. Dans le secteur des services financiers, il peut s’agir de comptes d’investisseurs. Et d’innombrables gouvernements et localités utilisent Salesforce pour suivre les vaccinations contre la COVID-19. Compte tenu du caractère sensible de ces données, la réussite d’une attaque par des pirates pourrait être catastrophique. Nos clients méritent de savoir quelles précautions de sécurité nous prenons et pourquoi ils peuvent nous faire confiance pour conserver leurs données.

En tant que directeur de la sécurité de l’information de Salesforce, je passe la majeure partie de mon temps à sensibiliser aux sujets de sécurité au sein de l’équipe Sécurité et conformité de la réussite client (SCCS), qui fait partie de l’organisation de sécurité de l’information de Salesforce. En plus de former les clients sur les innovations de sécurité de Salesforce, mon équipe défend également les intérêts de nos clients auprès des équipes internes de produits et d’ingénierie, ce qui engendre ainsi une boucle de rétroaction essentielle. 

La sécurité de l’information est un véritable parcours, et Salesforce reconnaît l’importance d’apprendre des exigences et des innovations de nos clients en matière de sécurité afin de pouvoir nous améliorer en permanence. Mon équipe est un intermédiaire qui transmet ces notions aux équipes d’ingénierie appropriées de Salesforce, et qui assure leur visibilité auprès des dirigeants et cadres de Salesforce. Nous sensibilisons la direction et les équipes produit de Salesforce au nom de nos clients pour favoriser une amélioration continue de la sécurité. Nous avons également développé des outils pour suivre et gérer les problèmes de sécurité soulevés par nos clients afin que même les plus hauts niveaux de notre direction bénéficient d’une visibilité optimale. Le rôle de porte-parole est essentiel pour transmettre les besoins de nos clients et fait partie intégrante de notre approche de défense en profondeur de la sécurité, une approche qui englobe la technologie, les processus et les personnes pour essayer d’empêcher tout point de défaillance unique.

Si vous remarquez quelque chose, signalez-le

Pour ce qui est du niveau « personnes » de notre approche de la sécurité, chaque employé Salesforce joue un rôle essentiel. Cependant, nous ne voulons pas rendre notre personnel paranoïaque, c’est pourquoi nous nous efforçons de former chaque membre à identifier les activités suspectes qui pourraient marquer le début d’un phénomène plus grave. Les e-mails d’hameçonnage en sont un excellent exemple : d’après les spécialistes, entre 75 % et 91 % des attaques commencent par un e-mail malveillant. Aujourd’hui, ces tentatives d’ingénierie sociale pour inciter les gens à cliquer sur des liens frauduleux ou à donner des informations sécurisées s’étendent également aux SMS, aux codes QR, aux réseaux sociaux et aux redoutables appels automatisés.

En anglais, le terme « con », qui signifie « escroquer », utilisé par exemple pour former les expressions « con-artist » (escroc) ou « con game » (escroquerie) tire son origine du mot « confidence » (confiance). Les escroqueries reposent inévitablement sur le fait de gagner la confiance de la victime en ayant recours à la psychologie. L’escroc peut jouer sur le désir d’aider de la victime ou sur son ego. Si vous vous retrouviez à l’heure du déjeuner face à une personne les bras encombrés d’une dizaine de boîtes à pizza, est-ce que vous aussi vous lui tiendrez la porte ouverte, même si celle-ci doit normalement rester verrouillée ? 

De même, les assaillants peuvent se faire passer pour des néophytes dans le secteur d’activité de la victime et tenter de tisser des liens avec elle via les réseaux sociaux (les demandes de connexion génèrent de la dopamine dans notre cerveau, ce qui nous fait nous sentir bien). L’assaillant peut alors poser des questions « innocentes », visant à mieux comprendre les outils et les procédures en place dans l’entreprise de la victime. 

L’interaction récente ci-dessous montre qu’une fois que l’assaillant a préparé sa victime pour l’habituer à répondre aux questions, il approfondit souvent la conversation pour essayer d’obtenir des informations auxquelles il ne devrait pas avoir accès. Dans ce cas, les informations pourraient être utilisées pour se faire passer pour la victime ou des membres de son entourage.

Chaque année, la très respectable convention sur le piratage DefCon organise un concours pendant lequel des professionnels appellent une entreprise cible et tentent d’obtenir « innocemment » des informations internes en utilisant divers prétextes et ruses. Les résultats obtenus par ces professionnels sont à la fois instructifs et effrayants. 

Le monde entier se trouve entre vos mains

Bien que les équipes de sécurité de l’information puissent prendre des mesures pour réduire le nombre d’e-mails malveillants et vérifier les pièces jointes, rien n’est infaillible et nous avons besoin de l’aide de tous. Les types d’attaques décrites ici (ainsi que les innombrables autres cyber-menaces) exigent que chaque employé adopte une approche de défenseur de la sécurité au nom de son employeur et de ses clients. 

Comment, en tant que dirigeants, impliquons-nous nos membres du personnel pour qu’ils deviennent des défenseurs de la sécurité au nom de notre entreprise ? Nous avons constaté qu’en insufflant une part ludique et en veillant à ce que les employés se sentent à la fois autonomisés et valorisés, cela fait toute la différence. Dans l’e-mail ci-dessous que j’ai récemment reçu du service Sécurité de Salesforce après avoir signalé une tentative d’hameçonnage, je suis félicité, remercié et l’impact de mon action toute simple m’est clairement expliqué.

Bien sûr, il serait irréaliste de vouloir réussir à 100 % à empêcher les employés d’interagir avec un e-mail à risque. Statistiquement, 12 % des personnes qui reçoivent des pièces jointes malveillantes cliqueront dessus. Si votre entreprise compte plus d’une poignée d’employés, les statistiques jouent contre vous, mais ce phénomène ne fait que souligner l’importance de la formation de tous à la sécurité. 

Nous pensons qu’il est très important de ne pas donner une impression d’échec aux employés qui ont cliqué sur un lien alors qu’ils n’auraient pas dû. Il faut plutôt les rassurer, leur dire qu’ils pourront faire mieux la prochaine fois et leur proposer des liens vers des formations plus poussées. Nous avons constaté que des encouragements conduisent à des résultats nettement meilleurs que le fait de montrer du doigt.

Lancez-vous sans attendre

Chez Salesforce, nous ne nous contentons pas d’intégrer la sécurité dans tout ce que nous faisons. Nous partageons nos outils et les leçons que nous avons apprises avec notre écosystème de clients et partenaires. Nous savons en effet que si nous pouvons tous améliorer la confidentialité et la sécurité des données, nous pouvons nous concentrer sur l’innovation et devenir plus forts ensemble.

Pour en savoir plus sur la formation de vos utilisateurs, la protection de votre organisation Salesforce et la promotion d’une culture de la sécurité dans votre entreprise, consultez le module Concepts de base sur la sécurité sur Trailhead, notre plate-forme d’apprentissage en ligne gratuite. Vous pourrez y acquérir des compétences recherchées, obtenir des certifications à ajouter à votre CV et échanger avec une communauté de Trailblazers concernant des opportunités de mentorat et d’emploi. 

J’espère que cet article de blog vous a donné matière à réflexion et vous a encouragé à devenir un défenseur de la sécurité et à inciter d’autres personnes à faire de même. 



Témoignages à découvrir