Support technique
Documentation
Connexion
Nous contacter
Le coût réel du licenciement de toute une équipe de cybersécurité
Joao Correia
2 novembre 2022 - Évangéliste technique
Le géant du contenu Patreon a récemment licencié l'ensemble de son équipe interne de cybersécurité. Bien qu'il soit publiquement connu que cinq employés de l'équipe ont été licenciés, l'organisation n'a pas confirmé que toute l'équipe avait été renvoyée - mais un message sur les médias sociaux de l'une des personnes qui viennent d'être licenciées laisse entendre exactement cela.
Quoi qu'il en soit, la nouvelle de la libération de toute l'équipe de cybersécurité de l'entreprise s'est répandue comme une traînée de poudre. Cette décision importante a amené de nombreux experts en cybersécurité à se demander ce que pense exactement cette entreprise. Y a-t-il un sens à se débarrasser d'une équipe interne qualifiée en échange d'un fournisseur externe, juste comme ça ?
Personne ne saura jamais ce qui a motivé Patreon à prendre cette voie. Cependant, d'un point de vue externe, les implications de la décision de Patreon en matière de cybersécurité sont claires.
Se débarrasser de l'expertise interne établie est un énorme handicap.
Aucune organisation ne peut se permettre de prendre des risques avec la posture de cybersécurité - mais la cybersécurité est plus pertinente pour certaines organisations que pour d'autres. Si vous fournissez des services d'hébergement à d'innombrables créateurs de contenu dont le chiffre d'affaires dépasse le milliard de dollars, vous devez certainement prendre la cybersécurité très au sérieux.
En d'autres termes, ne prenez pas de gros risques.
Le licenciement d'un cadre moyen ou d'un ou deux membres du personnel constitue un risque en soi, mais un risque gérable. Renvoyer toute votre équipe de sécurité d'un seul coup, c'est prendre un risque colossal.
Nous ne savons pas pourquoi Patreon a licencié toute son équipe de sécurité interne, mais il semble que c'est exactement ce qui s'est passé. Il n'est pas difficile de prévoir des conséquences négatives, car perdre toute une équipe interne signifie perdre une quantité incalculable de connaissances organisationnelles.
Les équipes internes disposent de connaissances "douces" sur les interdépendances profondes des systèmes, accumulées au fil du temps. Licenciez l'équipe interne et vous perdez toutes ces connaissances non techniques. Et, dans la plupart des cas, il n'y a aucun moyen de récupérer ces connaissances perdues, car elles sont rarement consignées quelque part.
Avec le temps, les connaissances peuvent être reconstituées, mais ce n'est pas facile - et il y a de fortes chances qu'une organisation doive se passer d'un important savoir-faire en matière de cybersécurité pendant une longue période.
Alors, à quoi ressemble (probablement) le remplacement ?
Patreon n'a pas viré son équipe de sécurité juste pour ne rien laisser en place. La société a probablement décidé d'externaliser à la place.
Il s'agit vraisemblablement d'un fournisseur de services externalisés très compétent qui, s'il ne possède pas les connaissances de l'équipe sortante, apporterait néanmoins de sérieuses compétences en matière de cybersécurité.
Mais il y a une autre question dans le débat interne vs. externe : quel sera le degré exact de dévouement de l'équipe de sécurité externalisée ?
Nous pensons que même les entrepreneurs les plus compétents n'auront jamais le même niveau d'adhésion que les employés internes. Patreon aurait bénéficié de beaucoup plus de dévouement et de réactivité de la part de l'équipe interne.
Les sous-traitants gardent un œil sur la sécurité parce qu'ils ont été engagés pour le faire, mais ils ne s'en occuperont jamais avec le même niveau d'adhésion qu'une équipe interne. Ils sont tout simplement moins investis dans la sécurité des systèmes d'une organisation, ce qui affecte la vitesse et le dévouement avec lesquels les problèmes de sécurité sont résolus.
Certes, les prestataires de services de sécurité sont liés par des accords de niveau de service (SLA) qui guident les normes de performance, mais il n'en reste pas moins que les exigences d'un client sont en concurrence avec celles d'un autre. En cas de crise, on peut se demander si un prestataire prendra la situation aussi au sérieux qu'une équipe interne.
Au milieu d'un incident de sécurité majeur, la dernière chose que vous souhaitez est qu'un employé contractuel reste assis à regarder l'horloge tout en faisant face à la crise à laquelle votre organisation est confrontée.
Patreon peut-il inverser la tendance ?
Licencier une équipe interne et engager un contractant est une chose - et cela peut arriver rapidement. Reconstruire une équipe interne à partir de zéro est une toute autre histoire. Il s'agit d'un point important à prendre en considération lorsque l'on prend ce type de décision : est-il facile de revenir sur cette décision si nécessaire ?
L'acquisition de talents est, en tout cas pour le moment, un défi majeur dans le monde de la technologie. Il est assez difficile de s'accrocher aux talents dont on dispose. Embaucher un nouveau membre de l'équipe est encore plus difficile, et reconstruire une équipe entière est un défi encore plus grand.
Ce n'est pas seulement une question de coût - et cela va coûter cher, compte tenu des exigences de formation et de tout ce qu'implique la création d'une équipe entière à partir de zéro.
La grande question est la suivante : est-ce réalisable ? Et combien de mois cela prendra-t-il ?
Prendre l'acquisition de talents pour acquis est une mauvaise idée et Patreon pourrait bien avoir pris une décision essentiellement irréversible, en s'attachant à des contractants et aux inconvénients associés pour un certain temps.
Penser au résultat
Il n'y a aucune raison de penser que Patreon n'est pas une entreprise bien gérée avec des cadres qualifiés, on peut donc supposer qu'il y avait un raisonnement valable derrière la décision et que l'équipe exécutive avait un résultat en tête.
S'agissait-il d'un exercice de réduction des coûts ? C'est possible. Mais voici le point important à retenir concernant la valeur d'une équipe interne hautement qualifiée : les équipes internes sont constituées avec soin au fil du temps et sont destinées à faire des économies lorsque cela compte vraiment.
Qu'entendons-nous par là ? Eh bien, vous pouvez économiser de l'argent en externalisant la cybersécurité et en licenciant des employés internes coûteux. Mais lorsque vous êtes confronté à une véritable crise de cybersécurité, votre équipe interne est très probablement celle qui réagit le plus rapidement et le plus efficacement, vous évitant ainsi des dommages bien plus importants.
En d'autres termes, votre équipe interne vous fait économiser de l'argent lorsque cela est vraiment important, en réduisant à la fois le préjudice global et les coûts de nettoyage qui en découlent.
C'est l'ironie, bien sûr, d'une équipe de sécurité interne bien financée : l'équipe n'a souvent rien à montrer pour ses efforts, car ceux-ci visent à éviter les incidents de sécurité bruyants.
Une bonne cybersécurité interne vous permet de ne pas connaître d'incidents et d'éviter les coûts massifs et catastrophiques associés à ces incidents.
Oui, vous pouvez économiser un peu d'argent avec une équipe externalisée, mais - en même temps - vous pourriez finir par payer une somme énorme pour ramasser les morceaux après un incident de cybersécurité.
Au bout du compte, qu'a gagné Patreon ?
C'est la grande question que nous nous posons, comme tout le monde.
Encore une fois, nous ne pouvons que spéculer sur le raisonnement qui sous-tend la décision de Patreon, et un candidat probable est la réduction des coûts. Pourtant, Patreon pourrait finir par payer beaucoup plus si sa décision tourne mal et qu'une violation réussie se produit (et quelle meilleure cible qu'une entreprise qui vient de licencier son équipe de sécurité...).
Il pourrait bien sûr y avoir une autre raison valable - de l'incompétence de l'équipe interne à des problèmes interpersonnels ou autre. Quoi qu'il en soit, cela n'envoie pas un bon signal et a généré beaucoup de mauvaise presse pour Patreon.
Et que sont censés penser les créateurs qui utilisent Patreon ?
De notre point de vue, il est difficile de prévoir une issue favorable pour toutes les parties concernées, et nous recommandons la plus grande prudence à toute organisation qui envisage une telle démarche.
