Microsoft implique tous ses employés dans la cybersécurité avec des obligations et des incitations allant même jusqu'à rétribuer les efforts personnels

Secu

Microsoft veut juger ses employés sur leur effort cybersécurité

Par Laurent Delattre, publié le 06 août 2024

Microsoft demande officiellement à tous ses employés de mettre la cybersécurité en priorité dans une lettre interne dont nous vous proposons ici une traduction. Avec une question sous-jacente, y a-t-il ici matière à inspirer les DSI pour leur propre entreprise ?

Depuis plus d’un an et les incidents Microsoft Exchange de début 2023, Microsoft est dans le collimateur des autorités américaines qui lui reprochent « une culture de la cybersécurité inadéquate », « une cascade de défaillances qui auraient pu être évitées » et même une « attitude laxiste » face aux risques cyber. En réaction, le géant de Redmond a lancé fin 2023 son initiative « SFI : Secure Future Initiative » à la fois dans le but de redorer son image et regagner de la crédibilité mais également dans le but d’effectivement initier une nouvelle culture de la cybersécurité dans ses rangs.

Une initiative qui a réellement pris corps en avril dernier après la publication d’un courrier interne signé du CEO Satya Nadella enjoignant chacun au sein de l’entreprise « à donner la priorité à la sécurité avant tout le reste ».


À LIRE AUSSI :


Mais ça, c‘était bien évidemment avant le terrible incident Crowdstrike dont les répercussions sur l’image de Microsoft – qui n’est pas réellement responsable pour le coup – ont été pires encore que les estocades portées l’an dernier par le CSRB et autres autorités américaines.


À LIRE AUSSI :

Impliquer toute l’entreprise, vraiment toute l’entreprise

Désormais sous haute pression, Microsoft intensifie ses efforts pour redonner à l’entreprise cette attention à la cybersécurité qui a suivi la publication du fameux mémo de Bill Gates sur le « Trustworthy Computing » en 2002, il y a donc déjà 22 ans !

Cette semaine, Kathleen Hogan, Chief People Officer chez Microsoft a pris la plume pour expliquer que tous les collaborateurs devaient participer aux efforts « Cybersecurity First » de l’éditeur. Un mémo qui illustre que l’initiative SFI va bien au-delà des simples déclarations d’intention.

Par ce courrier, Microsoft met en place trois grandes décisions en interne :

1. Évaluations de performance : La sécurité sera désormais un critère clé dans l’évaluation des employés, influençant directement les promotions, les augmentations de salaire et les bonus.

2. Responsabilité individuelle : Chaque employé devra démontrer comment il a contribué à améliorer la sécurité dans son domaine d’activité.

3. Approche globale : Cette priorité s’applique à tous les niveaux de l’entreprise, des développeurs aux équipes marketing, en passant par les cadres dirigeants.

De façon amusante, il sera intéressant de voir comment l’équipe “communication” de Microsoft applique ses directives à son propre compte. En effet, le site “news.microsoft.com” fait un focus sur l’IA, sur l’innovation, sur la transformation numérique, sur la diversité et l’inclusion, sur la durabilité, sur la vie au quotidien et sur l’accessibilité… Mais il n’y a pas le moindre focus, la moindre rubrique “cybersécurité”. Un exemple parmi d’autres qui illustre le chemin à parcourir pour passer des bonnes intentions à la réalité de terrain.

À LIRE AUSSI :

Un mémo qui doit marquer un nouveau départ

Afin d’éclairer le débat et partir avec des éléments concrets, nous vous proposons ci-dessous de découvrir l’intégralité du mémo interne envoyé par Kathleen Hogan. D’autant qu’à plus d’un titre, il pourrait au final se retrouver aussi fondateur et impactant pour Microsoft que celui envoyé par Bill Gates il y a plus de 22 ans.

Voici la traduction de ce mémo interne :

Quels enseignements pour les DSI ?

L’initiative SFI (et son volet Priorité Fondamentale de Sécurité) de Microsoft va bien évidemment devoir faire ses preuves. Elle peut être perçue par les DSI comme un petit pas dans la bonne direction d’un partenaire clé pour leur IT mais elle peut aussi servir de source d’inspiration au travers de quelques enseignements précieux que l’on peut extrapoler des emails de Satya Nadella et de Kathleen Hogan.

Voici 4 enseignements que les DSI peuvent extraire de cette initiative et appliquer à leur propre entreprise :

1. Faire de la sécurité une valeur d’entreprise : En intégrant la sécurité aux évaluations de performance, Microsoft envoie un message clair sur l’importance de cet enjeu. Les DSI pourraient envisager des approches similaires pour ancrer un peu plus la cybersécurité dans la culture de leur organisation.

2. Responsabiliser chaque employé : Le mémo souligne que la sécurité n’est pas seulement l’affaire des équipes IT. C’est une évidence pour les DSI et les RSSI mais malheureusement pas pour les collaborateurs des autres divisions. Impliquer l’ensemble des collaborateurs dans la protection des actifs numériques de l’entreprise est un effort essentiel mais difficile qui doit être planifié mais qui nécessite surtout un véritable engagement humain et financier dans toutes les strates de l’entreprise.

3. Aligner les incitations : En liant la sécurité aux récompenses et à l’évolution de carrière, Microsoft veut créer une forte motivation. On ignore exactement comment Microsoft va mettre en pratique cette volonté. Et l’adapter à l’esprit européen ne sera pas aisé. Mais valoriser les contributions à la sécurité au sein de leur entreprise est forcément une bonne idée.

4. Adopter une approche proactive : Le mémo encourage les employés à engager les discussions cyber et chercher proactivement des opportunités pour améliorer la sécurité. C’est une façon d’imposer peu à peu une culture qui favorise l’anticipation des risques et des menaces mais qui impose de régulières campagnes de sensibilisation adaptées à chacun, à chaque poste, et un effort pertinent pour engager le dialogue cyber. Facile à dire, plus compliqué à concrétiser.

L’initiative de Microsoft, née sous la pression politique et médiatique, est bien évidemment une opération de communication, mais elle n’est pas nécessairement « qu’une opération de comm’ » ni même « d’abord une opération de comm’ ». Pour réussir à regagner une confiance très sérieusement écornée ces derniers mois, l’éditeur n’a pas d’autres alternatives que de mettre des actions et des résultats derrière ses initiatives, ses courriels, ses mots…

En faisant de la cybersécurité une responsabilité partagée et valorisée, Microsoft espère insufflée une nouvelle culture Cyber dans ses rangs. Pourquoi les DSI ne s’en inspireraient pas, eux aussi, afin d’établir leur propre culture organisationnelle plus résiliente face aux menaces numériques croissantes ?


À LIRE AUSSI :

À LIRE AUSSI :

À LIRE AUSSI :

Dans l'actualité

Verified by MonsterInsights