Comme la moitié des autres Américains, j’ai pratiqué des sports de compétition au lycée et à l'université. Basketball, softball, football, golf, tout ce que vous voulez, je l’ai essayé. Je n'ai jamais essayé de devenir professionnel, mais mon amour du jeu m'a finalement conduit à l'entreprise de sport numérique, Fanatics.
Fanatics est dans une période de développement et de croissance intense. Si nous sommes surtout connus pour la vente de maillots pour fans de sport sous licence, notre mission va bien au-delà : nous voulons devenir la première plateforme sportive numérique mondiale. Nous proposons, par exemple, une place de marché pour les cartes à échanger et les pièces de collection, et nous développons le plus vaste réseau d'événements sur site pour les fans. Nous élargissons également nos offres de paris sportifs en ligne et nos paris en argent réel (pour lesquels je supervise les programmes d'infosécurité).
L'innovation constante implique d'être prêt à réagir face aux nouvelles menaces. Les fans de sport sont de plus en plus visés par les cybercriminels et 70 % des organisations sportives sont touchées par au moins une attaque par an.
Cependant, la technologie ne suffit pas à protéger l'entreprise. Tous les acteurs du secteur, de la fabrication au développement d'applications, doivent adopter une bonne cyberhygiène et contribuer à la sécurité de l'entreprise.
En d'autres termes, la cybersécurité solide est un sport d'équipe. Voici trois des principaux biais par lesquels je parviens à susciter l'adhésion dans l'ensemble de l'organisation.
Le manager de baseball, cité au Temple de la renommée, Tom Lacorda, a un jour déclaré : « Dans le baseball et les entreprises, il y a trois types de personnes. Ceux qui rendent les choses possibles, ceux qui les regardent évoluer et ceux qui se demandent ce qui s'est passé. » En tant que dirigeant, je suis là pour garantir la réussite et la sécurité de mon entreprise.
Je ne vais pas rester à l’écart, à me contenter de réagir aux menaces pendant que Fanatics élargit son activité en faisait preuve d'anticipation.
Contribuer de manière anticipée au succès de l'entreprise commence par l'adoption d'un état d'esprit enclin au oui. Les professionnels de la sécurité sont souvent considérés comme des points d'achoppement mystérieux. Nous sommes ceux qui disent « non » sans trop d'explications. Lorsque vous jonglez avec plusieurs projets, il est plus facile de dire aux autres : « Non, faites avec ce dont vous disposez déjà. Nous n'avons pas suffisamment de ressources pour faire ce que vous demandez. » Malheureusement, ces réponses en « non » sont l'une des principales raisons pour lesquelles l'informatique fantôme (et de plus en plus d'API fantômes et l'IA fantôme) est omniprésente dans de nombreuses entreprises. L'expérience du « non » est également une raison pour laquelle d'autres équipes peuvent se montrer moins enclines à collaborer de manière anticipée avec les équipes de sécurité.
Le fait d'envisager la cybersécurité sous l'angle du « oui » permet toutefois de faire en sorte que la cybersécurité ne soit plus considérée comme un centre de coût mais comme un catalyseur de croissance.
Voici en quelques lignes comment mon équipe met cela en pratique :
1) Nous partons du principe que l'intention est positive. Lorsqu'une personne souhaite tester quelque chose de différent, il est important de l'associer à de bonnes intentions en exemple et de faire un pas vers elle. Par exemple, imaginez un scénario dans lequel une équipe de développement d'applications retarde à plusieurs reprises la correction de failles de sécurité, en invoquant des délais serrés et des contraintes en matière de ressources :
Sans imaginer d'intention positive, une équipe de sécurité informatique estime que les développeurs se soucient peu de la sécurité. Elle choisit de prendre immédiatement la direction des opérations, sans tenter au préalable de résoudre le problème de manière collaborative.
Si au contraire elle a une raison de penser à une intention positive, l'équipe de sécurité des systèmes d'information estime que les développeurs priorisent réellement les besoins opérationnels et veulent équilibrer la sécurité avec les produits livrables. Nous abordons l'équipe de développement autour d'une conversation du type : « Nous comprenons qu'il est essentiel que vous respectiez les délais. Collaborons en bonne intelligence pour répondre aux vulnérabilités de la sécurité de mani ère à ne pas compromettre votre calendrier. »
La seconde option favorise la collaboration et la confiance, tout en conduisant à une solution qui répond aux objectifs à la fois commerciaux et de sécurité.
En fin de compte, il s'agit de comprendre les utilisateurs : qu'est-ce qu'ils peuvent et ne peuvent pas faire avec les technologies dont ils disposent actuellement ? La cybersécurité peut-elle accélérer leur travail ? Allons-nous envisager toutes les possibilités pour que la nouveauté tourne mal ou allons-nous intervenir avec enthousiasme pour sécuriser un festival immersif pour fans de sport d'un genre complètement nouveau ?
2) Vos commentaires et vos critiques sont les bienvenues. Si Simone Biles pense que ses entraîneurs sont essentiels pour lui permettre d'exprimer tout son potentiel, nous aussi, nous pouvons nous enrichir de quelques retours ! Il s'agit notamment d'écouter avec ouverture d'esprit les plaintes des autres. Si vous souhaitez que les initiatives en matière de cybersécurité soient reconnues par un plus grand nombre de personnes, remerciez-les pour leurs retours. Vous en apprendrez davantage sur les domaines d'expertise des autres, et peut-être même sur vous-même.
3) Nous nous efforçons de comprendre en profondeur la stratégie de l'entreprise. Si vous souhaitez que l'entreprise dans son ensemble prenne la sécurité au sérieux, montrez à quel point vous faites la même chose avec les priorités financières de l'entreprise. Je garde un œil sur ce qui se présente à l’horizon de la division des produits, des ventes, de l’ingénierie, du développement et des autres divisions. Lorsque Fanatics a commencé à planifier le lancement de services de paris sportifs après avoir fait l'acquisition de l'entreprise PointsBet’s US, je me suis rapidement familiarisée avec l'entreprise et ce que cela impliquait en matière de conformité, et j'ai orienté les priorités de mon équipe en conséquence.
Afin d'insuffler l'importance des pratiques de cybersécurité, il est important de faire preuve de transparence concernant les vulnérabilités et les forces. Le concept de « sécurité par l'obscurité », c'est-à-dire la dissimulation des vulnérabilités et des détails des mécanismes de sécurité, n'est pas nouveau. Cependant, je pense que de nombreux responsables de la sécurité ont tendance à aller trop loin, en particulier lorsqu'il s'agit de communications internes.
Prenons le cas de la menace des attaques DDoS, toujours présentes, mais qui peuvent atteindre leur point culminant lors de promotions ou événements sportifs majeurs. Je ne m'attends pas à ce que d'autres équipes sachent la différence entre une attaque HTTP POST flood et une attaque HTTP GET flood, mais je trouve important de les informer sur les principales tendances : les attaques ont-elles tendance à se produire à certains moments de l'année ? D'où proviennent-elles ? Proviennent-elles de vos concurrents ou de criminels ? Quels sont les services visés ? Combien d'attaques avons-nous bloquées ?
Les données et la transparence contribuent à promouvoir la prise en charge transversale de nos investissements en matière de cybersécurité (ce qui comprend la protection contre les attaques DDoS de Cloudflare, la gestion des bots, l'équilibrage de charge et d'autres services pour applications). Une communication régulière, étayée par des indicateurs, renforce également la manière dont la sécurité contribue à la croissance de l'entreprise.
Il est naturel dans les environnements professionnels que les personnes ne se préoccupent que des éléments directement liés à leur mission. L'équipe responsable des promotions du Cyber Monday peut ne pas se soucier de nos fournisseurs de sécurité, mais elle se soucie fortement des performances et des ventes sur le site web. Si elle comprend le lien entre mon rôle (défendre notre empreinte numérique) et le sien (obtenir des clients en ligne), il y a des chances pour qu'elle adopte des pratiques sécurisées.
La pénurie mondiale d'experts de la cybersécurité est si grave que Gartner prévoit que d'ici 2025, « le manque de talents ou les défaillances humaines seront responsables de plus de la moitié des cyberincidents majeurs ».
Cette pénurie tient à de nombreuses raisons, mais pour attirer plus de recrues, nous devons redoubler d'efforts dans l'accueil de talents variés et non traditionnels. Comme le fait remarquer l'ISC2 dans son étude sur les effectifs de la cybersécurité en 2024, « Face à la pénurie croissante de talents, les équipes de cybersécurité doivent chercher dans tous les types de profils pour combler les lacunes. »
Je suis très enthousiaste à l'idée d'entretenir un riche vivier de candidats variés. Chacun d'entre nous mérite des chances équitables en fonction de ses compétences, pas de son diplôme. Par exemple, je plaide fortement pour le recrutement dans les campus et universités.
Chaque fois que je le peux, je me rends également disponible pour des événements de recrutement externe, j'accompagne les nouveaux diplômés et j'encourage les autres femmes à envisager une carrière dans la technologie des sports. À titre d'exemple, j'ai trouvé très inspirant de participer à la Grace Hopper Celebration, notamment pour la diversité des talents représentés. C'était très intéressant d'entendre l'histoire de tant de participants qui se sont lancés dans le domaine de la technologie après des parcours non techniques. Le dénominateur commun de leurs parcours était la présence d'un bienfaiteur, c'est-à-dire une personne qui a compris leur potentiel, qui les a encouragés à explorer la technologie et leur a offert une assistance. Ces bienfaiteurs ont joué un rôle déterminant en aidant des personnes à se reconvertir dans la technologie, souvent à différents stades de leur carrière, apportant la preuve que la passion et la détermination peuvent conduire à la réussite à n'importe quel âge.
Au-delà de la diversification du pool de candidats, vous devez également retenir les talents dès leur recrutement. Plusieurs études ont démontré une corrélation entre un leadership chargé d'authenticité et une plus grande satisfaction professionnelle ainsi que la fidélisation des collaborateurs. Malheureusement, plus d'un tiers (36 %) des femmes dans le secteur de la cybersécurité ont toujours l'impression qu'elles ne peuvent pas être authentiques dans leur travail.
J'essaie d'encourager les autres à montrer qui ils sont vraiment et je m'efforce de :
Afficher véritablement l'ensemble de ma personnalité
Laisser libre cours à ma curiosité et poser de très nombreuses questions
S'autoriser à révéler nos hauts et nos bas
Inviter à des commentaires totalement libres
Mettre constamment en valeur les réalisations des autres
Personne ne devrait avoir peur d'être soi-même au travail. C'est pourquoi il est si important que je sois transparente et totalement sincère chaque jour au travail.
Le fait de rester authentique, de garder un état d'esprit enclin au « oui » et de préserver la transparence a contribué à renforcer les relations solides que j'entretiens avec notre directeur financier, notre directeur technique et les autres dirigeants de Fanatics. Notre entreprise a la chance de pouvoir compter sur des dirigeants qui sont conscients de la valeur de la sécurité.
Cette culture descendante de la cybersécurité est plus essentielle que jamais. Par exemple, alors que tous les secteurs entrent dans une nouvelle ère, marquée à la fois par une expérience client améliorée par l'IA, et par des menaces générées par IA, la clé d'un « bon » fonctionnement se trouvera dans l'alignement étroit des politiques et de la technologie.
En fin de compte, lorsqu'une entreprise fonctionne de manière sécurisée avec moins de frictions internes, tout le monde est plus libre de se concentrer sur l'activité principale. Qui ne serait pas ravi ?
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Découvrez comment gérer les principaux risques liés à la cybersécurité du secteur dans Meilleures pratiques en matière de cybersécurité pour les sociétés de jeux vidéo et jeux de hasard en ligne.
Ami Dave
RSSI, Fanatics
Cet article vous permettra de mieux comprendre les aspects suivants :
Tendances en matière de cyberattaques dans le secteur des applications sportives numériques et des paris en ligne
3 recommandations pour entretenir une culture de l'anticipation dans la cybersécurité
Envisager la fonction de sécurité comme un soutien à l'activité
Cinq façons de constituer une équipe de cybersécurité performante
S'orienter face à la régionalisation des données et la conformité