Comment les cyberchefs réduisent le bruit du marketing

Filtres de messagerie

“En tant que CISO, le déluge de marketing et de sollicitation des startups de cybersécurité a été intense”, a déclaré Jerry Perullo, consultant en gestion de la cybersécurité qui était CISO du propriétaire de la Bourse de New York, Intercontinental Exchange. Inc.

pendant 20 ans jusqu’à quitter le poste en 2021. À un moment donné, il a compté tous les e-mails qui avaient été bloqués par des filtres qu’il avait mis en place pour constater qu’il recevait plus de 120 sollicitations par jour.

Il avait une catégorie définie dans ses outils de filtrage pour ces types de messages, que sa société a surnommé « UCE » ou « e-mail commercial non sollicité ». Étant donné que ces e-mails n’étaient pas malveillants et traitaient souvent de sujets pertinents, il était important d’affiner le système de filtrage, a déclaré M. Perullo. Une astuce consistait à bloquer tout e-mail qu’il recevait avec le mot “livre blanc” dans le sujet, a-t-il déclaré.

Présentations chaleureuses

Anne Marie Zettlemoyer, responsable de la sécurité de CyCognito Ltd., basée à Palo Alto, en Californie, qui fournit des outils d’évaluation des cyber-risques, a déclaré qu’elle était plus encline à lire les e-mails avec une introduction chaleureuse, ou ceux des représentants des fournisseurs qui effectuent un suivi basé sur sur l’intérêt qu’elle a manifesté. Certains e-mails qu’elle supprime presque immédiatement.

En tant que vice-président de l’ingénierie de la sécurité chez Mastercard Inc.

jusqu’au début de l’été, elle recevait de nombreux e-mails génériques destinés largement aux cadres des services financiers, certains s’adressant à elle en tant que “Cher acheteur”. D’autres désactivations automatiques étaient les agents des fournisseurs qui envoyaient des invitations de calendrier sans lui avoir parlé et ceux qui l’appelaient sur un numéro non professionnel.

Poursuivre versus être poursuivi

Les RSSI préfèrent souvent être aux commandes lorsqu’il s’agit de trouver des fournisseurs. Pour Ryan Heckman, directeur adjoint de la gouvernance de la gestion des identités et des accès chez Principal Financial Group Inc.,

La sélection des fournisseurs est un processus continu pour s’assurer que les capacités de son équipe s’alignent sur le paysage des menaces en constante évolution. M. Heckman était jusqu’à fin juillet responsable de la cybersécurité dans la chaîne de dépanneurs Casey’s General Stores basée dans l’Iowa. Inc.

Il a rappelé que lors d’une récente évaluation des capacités et des besoins de Casey’s, il souhaitait se familiariser avec les produits de l’industrie qui pourraient être des compléments utiles pour l’entreprise. Il a donc fait du lèche-vitrines lors de la conférence Black Hat USA de l’été dernier. En discutant avec les fournisseurs des exigences de l’entreprise, il a pu les réduire à une demi-douzaine d’options qu’il pourrait ensuite rechercher par lui-même et gérer par des pairs.

Au cours des mois suivants, l’équipe de cyberspécialistes de M. Heckman a testé diverses plateformes et évalué chacune par rapport aux vecteurs d’attaque connus à l’époque. Certains produits se sont avérés affecter l’expérience de l’utilisateur final et ont été rapidement éliminés. D’autres ont obtenu de bons résultats, nécessitant une comparaison supplémentaire de l’intégration et des frais généraux administratifs pour réduire le champ, a-t-il déclaré. Cette approche pratique, associée à une discussion ouverte entre pairs avec d’autres acteurs du commerce de détail, a conduit à la sélection finale du produit, a déclaré M. Heckman.

Ellen Benaim, CISO chez Templafy ApS, une plate-forme de gestion de contenu basée sur le cloud basée au Danemark, a été bombardée d’e-mails après l’apparition du bogue Log4j à la fin de l’année dernière. Elle a attendu pour répondre jusqu’à environ deux semaines plus tard, lorsqu’elle a obtenu le budget et les ressources nécessaires pour enquêter sur les fournisseurs. Entre-temps, a déclaré Mme Benaim, la société a résolu elle-même ses vulnérabilités Log4j et a commencé à chercher un outil supplémentaire.

Ses recherches sur les fournisseurs comprenaient l’utilisation des forums CISO. Un collègue RSSI qui a utilisé un outil open source d’analyse des vulnérabilités lui en a fait la démonstration et a évoqué les problèmes rencontrés par l’entreprise avec une solution différente avec laquelle elle travaillait auparavant. “Ce type d’expérience est inestimable”, a-t-elle déclaré. Templafy a depuis mis en place l’outil démontré par les autres RSSI.

Des partenaires, pas des transactions

Une fois qu’ils ont réduit le groupe à un ou deux candidats, les chefs de la sécurité ont déclaré que le processus de vérification final prend en compte des facteurs tels que le prix et la capacité de personnaliser les services et les outils, ainsi que les pratiques de sécurité et la solidité financière du fournisseur. Les fournisseurs qui réussissent sont souvent prêts à s’adapter pour répondre aux besoins d’un client, a déclaré Chris Castaldo, CISO de la société technologique Crossbeam Inc., basée à Philadelphie, qui aide les entreprises à trouver de nouveaux partenaires commerciaux et clients.

“Vous pouvez dire quand quelqu’un est vraiment passionné pour faire de votre problème son problème à résoudre”, a-t-il déclaré.

Rechercher le professionnalisme

Une façon d’éliminer les vendeurs est d’écarter ceux qui semblent prudents, ne fournissent pas les informations demandées ou sont tout simplement bâclés, a déclaré Mme Zettlemoyer. Il est important que les vendeurs comprennent ce que veut un client et évitent les erreurs d’inattention, a-t-elle déclaré. Une vendeuse n’a pas personnalisé son argumentaire, montrant ses documents préparés pour une autre entreprise. “Cela semble basique, mais [some] les vendeurs ratent la cible », a-t-elle déclaré. “Avec la sécurité, il y a 3 000 vendeurs et personne n’est vraiment irremplaçable.”