Ricardo Lafosse a débuté en tant que RSSI chez Kraft Heinz avec une mission de modernisation en février 2020, une période quelque peu perturbée. Prévoyant, il envisageait de transformer le programme de sécurité de l'entreprise par le biais d'une initiative à quatre piliers : la visibilité, la structure de l'équipe, l'innovation et le cycle de vie. Dans son ensemble, cette initiative visait à réinventer la façon dont l'entreprise gère, exploite et perçoit la fonction de sécurité. « Je suis connu pour remettre en question le statu quo », assure-t-il.  

« Ainsi, en arrivant, et après des conversations [avec l'équipe de direction], j'avais une idée de l'organisation, de la direction que prenait l'entreprise dans son ensemble et des changements qu'elle recherchait. Ensuite, après avoir évalué le programme, j'avais une meilleure idée de la direction à prendre, et la façon de retourner l'ensemble du programme et être un catalyseur du changement. » Après s'être entretenu avec les dirigeants de l'entreprise agroalimentaire et avoir effectué une analyse du programme de sécurité, M. Lafosse a conçu un plan détaillé et a établi des feuilles de route spécifiques pour chacun des quatre piliers de son initiative de modernisation. Pour offrir une meilleure visibilité, il a demandé la mise en œuvre d'un système de gestion des informations et des événements de sécurité (SIEM) basé sur le cloud.   

S’approprier la sécurité 

L'idée était d'obtenir des analyses en temps réel basées sur les données provenant des outils et systèmes de sécurité de l'entreprise et de générer cette « vitrine unique » sur ce qui se passe, permettant ainsi à l'entreprise de prendre des décisions basées sur des données aussi rapidement que nécessaire. Il voulait également identifier tous les actifs et les contrôles de l'entreprise dans le cloud public. En outre, il a cherché à effectuer des tests de pénétration continus et modulaires sur les systèmes d'information publics de l'entreprise afin de permettre une certaine agilité, flexibilité et rapidité dans l'évaluation des actifs qui pourraient être des cibles. 

« L'un des principes fondamentaux de tout programme de sécurité est qu'il est impossible de protéger ou de contrôler ce dont on ignore l'existence ; la visibilité était donc absolument essentielle », ajoute Ricardo Lafosse. Dans le même temps, ses projets de structure d'équipe visaient à permettre aux employés de faire ce qu'il fallait. Ce RSSI a cherché à favoriser la diversité et l'inclusion au sein de la fonction de sécurité. « Je voulais que les membres de notre équipe s'approprient la sécurité », explique-t-il. « Nous avons donc insisté sur la nécessité d'avoir des gens formidables dans l'équipe, qu’ils soient responsables, qu’ils collaborent entre eux et qu’ils s'approprient les résultats du programme. » 

Savoir se renouveler 

Le pilier suivant consistait à se concentrer sur l'innovation par rapport à l'activité habituelle, ou comme Ricardo Lafosse l'expliquait, comment l’innovation se transforme en « business as usual » (BAU), intégré dans le fonctionnement quotidien de l’entreprise. Il a adopté d’autres technologies, telles que l'automatisation, et d’autres processus, tout en se débarrassant des éléments hérités du passé et d'un sentiment de complaisance (deux facteurs de risque supplémentaires). Il a également cultivé au sein de son équipe de sécurité un état d'esprit axé sur la mise en œuvre des stratégies de mise sur le marché des équipes commerciales, « afin que nous soyons un partenaire pour elles, au lieu de leur fermer la porte ». Il a ajouté vouloir que « [ses] employés travaillent sur la valeur ajoutée et la créativité plutôt que sur l'ouverture et la fermeture de tickets ». Le dernier pilier concernait le cycle de vie de la stabilité. Il s'agissait de nettoyer les technologies et les données héritées, ainsi que de refondre les processus tels que les correctifs. 

Le plan de modernisation de Ricardo Lafosse était d’identifier des options pour des gains à court terme et des endroits nécessitant des changements programmatiques plus importants pour des améliorations durables à long terme. Le responsable raconte avoir cherché à agir rapidement sur ces deux possibilités, notamment en présentant le programme sous forme de modules et en annonçant sa feuille de route pour des gains rapides , puis en superposant les informations au fur et à mesure qu’il approfondissait le sujet.  

Un plan de grande ampleur 

M. Lafosse a créé des plans d’action pour chacun de ses quatre piliers. Il a dressé la liste des tâches à accomplir chaque semaine ou chaque mois, en précisant les objectifs à atteindre et les étapes à franchir, tout en prévoyant une certaine souplesse afin que le travail ne soit pas effectué dans un ordre séquentiel parfait, mais plutôt dans l'ordre le plus logique, du moment que les étapes tendent toutes vers les objectifs finaux. « Nous avions une idée du moment où les principaux résultats seraient atteints dans les quatre piliers », explique-t-il, en précisant que certains travaux (comme les objectifs du pilier « équipe ») avaient des dates cibles moins précises que d'autres (par exemple, l'identification des actifs). 

Pour accomplir tout cela, M. Lafosse a introduit les principes de la méthode agile dans son service de sécurité. « Je suis un grand partisan de l'échec rapide », dit-il. Il voit des avantages à poursuivre des réalisations plus petites et itératives plutôt qu'un grand projet monolithique, « de sorte que si cela ne fonctionne pas, vous pouvez revenir en arrière et en tirer des leçons ». Cette méthode apporte, selon lui, la responsabilité, la clarté et la transparence nécessaires au domaine de la sécurité. « Ce type de méthode nous permet de savoir ce que font les autres, en décomposant le travail en petits morceaux et en victoires rapides, et le fait d'avoir ces victoires dynamise les employés », assure-t-il. « L'agilité est sous-estimée dans le domaine de la sécurité.» 

Humaniser les métiers de la sécurité

M. Lafosse reconnaît qu'il a dû opérer un changement culturel nécessaire pour que son service de sécurité soit totalement impliqué. Mais une fois cette étape franchie, « les gens ont compris que la méthode agile n'était qu'une liste de choses à faire qui offre plus de visibilité », tout en donnant à la fonction de sécurité l'agilité et la souplesse nécessaires pour s'adapter et répondre aux changements de l'entreprise et à l'apparition de nouveaux risques. 

Autre composante essentielle de ses efforts de modernisation : la légèreté et le rire. « Cela fait partie de ma personnalité », dit M. Lafosse. Il explique que cela n'a pas pour but de diminuer l'importance de la cybersécurité et du dur labeur des équipes de sécurité. Au contraire, ils contribuent à humaniser ces points. « Cela fait maintenant dix-huit, dix-neuf ans que je suis dans la sécurité. J'ai vu le pessimisme. En prenant du recul, je me rends compte que le rire et la légèreté me permettent de faire passer un discours très sérieux et technique auprès d’un public varié, et de mettre tout le monde à l'aise avec notre programme .» 

La sécurité, un atout pour l'entreprise 

L'initiative de modernisation a progressé depuis le début de la prise de poste de Ricardo Lafosse, et les travaux se poursuivent actuellement. Comme il aime à le rappeler, « la sécurité est un processus continu », avec des opportunités sans fin d'amélioration, de maturation et d'adaptation à mesure que le paysage des menaces évolue. Toutefois, selon lui, certaines transformations atteignent des états stables, permettant aux domaines nouvellement transformés d'être opérationnalisés et optimisés pour accueillir les efforts et les stratégies de l'entreprise. 

« Je pense que nous avons vraiment mis la sécurité sur la voie du succès en devenant un partenaire stratégique des entreprises, un catalyseur », précise-t-il. « Nous ouvrons de nouvelles opportunités pour les entreprises en leur permettant de fonctionner en toute sécurité. Ils savent que la sécurité les aide à faire avancer leur programme et à favoriser la croissance de l’organisation. »