Normes de comportement : à quoi ressemble le « bien » mardi
Vous ne pouvez pas demander aux gens de « se soucier du risque » et s'attendre à ce qu'il persiste. Les gens se basent sur ce qui est récompensé et sur ce qui leur cause des ennuis.
C'est pourquoi des équipes solides établissent des normes de comportement. Pas comme une conférence. En tant qu'accord d'exploitation.
Le travail de la sécurité consiste à réduire les dégâts tout en gardant le travail en mouvement, et non à agir comme un gardien. Cela signifie des règles que les gens peuvent suivre et des barrières de sécurité qui rendent le bon chemin plus facile que le mauvais.
Le travail de l'ingénierie consiste à être propriétaire de ce qu'il expédie, et non à « aider à la sécurité ». Si vous le construisez, vous possédez le rayon d’explosion.
Le travail du produit consiste à intégrer l'exposition à la conception, et non à traiter la sécurité comme une liste de contrôle de dernière étape. Si vous ne pouvez pas expliquer pourquoi une fonctionnalité vaut le risque, vous ne la comprenez pas.
Les propriétaires de vendeurs ont aussi du travail. Ils ne peuvent pas externaliser le risque fournisseur vers un questionnaire. Ils sont responsables du suivi lorsqu'un fournisseur dit : « Nous réglerons le problème au prochain trimestre ».
Une petite pratique que j'adore. Demandez à chaque équipe trois règles « sans surprise ».
Pas d'accès privilégié sans expiration.
Il n’y a pas de changement de production sans inversion.
Il n’y a pas de nouveaux fournisseurs sans propriétaire et sans plan de sortie.
Liste restreinte. Verbes clairs. Une vraie application. C'est ça la culture.
Rythme opérationnel : La semaine est le moment où le risque devient réel
Si vous ne parlez de risque que lors des audits et des incidents, vous n’avez pas de culture du risque. Vous pratiquez un sport saisonnier.
La prospective vit en cadence. Dans les réunions auxquelles vous assistez réellement.
Chaque semaine, effectuez un bref examen avec trois questions.
Qu’est-ce qui a changé qui affecte l’exposition ?
Qu'est-ce qui a failli mal tourner ?
Qu’est-ce qui nécessite une décision ?
Tenez-le bien. S'il devient un théâtre de statut, tuez-le et recommencez.
Chaque mois, pratiquez un scénario. Simple, sans terrasses sophistiquées. Si un ransomware atteint ce service, que se passe-t-il dans la première heure ? Qui décide ? Qu'est-ce qui se ferme et qu'est-ce qui doit rester vivant ?
Chaque trimestre, prouvez ce que vous prétendez. Sauvegardes. Contrôles d'accès. Escalade fournisseur. Si vous ne pouvez pas le prouver, vous ne le savez pas.
Ce rythme enseigne aux gens que le risque n’est pas un visiteur surprise. Le risque est résident. Vous ne paniquez pas quand vous le voyez. Vous en prenez soin.
Imaginez que vous ayez déjà participé à la revue hebdomadaire d'une équipe en tant qu'invité. Dix minutes plus tard, un responsable des opérations a déclaré : « Nous avons modifié les paramètres du fournisseur d'identité hier. C'était étrange. » Pas de panique. Sans culpabilité. Juste une main levée. La sécurité a posé deux questions, les ingénieurs ont examiné les journaux et ont annulé une modification risquée avant le déjeuner. Rien n’était une nouvelle. Personne n'a eu de médaille. Tout le monde est rentré chez lui à l’heure. C'est ce qui te donne un bon rythme. La plupart des semaines, en silence.
Mesures de pointage vers l'avant : comptez ce qui bouge avant les dommages
De nombreux panneaux vous racontent ce qui s'est déjà passé. Incidents. Manque de temps. Perte.
Utile, mais tard.
Si vous souhaitez faire des prévisions, gardez une trace des mesures qui évoluent avant le désordre. Devenons un peu plus proactifs et concentrés sur la résilience, au lieu de tester nos réactions et notre résilience comme réponses incontournables.
Combien de temps les correctifs critiques restent-ils sur les systèmes importants ?
À quelle fréquence les exceptions d’accès privilégié expirent-elles à temps ?
Combien de changements urgents échappent aux contrôles et où ?
Combien de quasi-accidents sont signalés et à quelle vitesse apprenez-vous ?
Regardez une équipe célébrer moins d'incidents alors que les rapports de quasi-accidents sont tombés à zéro. Ils pensaient s’être améliorés. En fait, les gens ont arrêté de parler. Six semaines plus tard, ils ont été attaqués. Le silence était le signal.
Vous ne voulez pas de chiffres parfaits. Vous voulez des tendances honnêtes qui créent des options, pas des diapositives.
Leadership : la culture que vous récompensez est la culture que vous obtenez
Les dirigeants disent vouloir de la transparence. Ensuite, ils punissent la première personne qui apporte de mauvaises nouvelles. Ce moment enseigne à l’organisation plus qu’à n’importe quelle politique.
Si vous voulez de la prévoyance et de la Présilence, protégez le messager. Louez l’escalade précoce. Traitez le risque comme une opération et non comme un échec personnel.
Arrêtez également de romantiser les actes héroïques. La sauvegarde de minuit fait du bien. C'est une belle histoire. Cela cache également la racine du problème : une mauvaise planification, des contrôles faibles, une propriété floue et l’habitude de remettre à plus tard des travaux ennuyeux.
Un travail ennuyeux engendre le calme, la discipline engendre la fiabilité, mais l’intelligence des risques permet de manifester le juste équilibre entre conformité, résilience et présilence.
Pensez aux conversations du conseil d'administration au cours desquelles quelqu'un a demandé : « Pourquoi dépenser en matière de résilience alors que rien ne s'est produit ce trimestre ? » Et vous avez répondu par une question. « Préféreriez-vous payer les freins ou les ambulances ? Il a atterri parce que c'était vrai.
Un simple changement de 90 jours : de petits mouvements, de vrais changements
Si votre équipe se sent bloquée, ne commencez pas avec un programme massif. Commencez par quelques mouvements qui changent rapidement le comportement.
- 30 premiers jours. Cartographiez vos principaux échecs répétés. Choisissez cinq signaux à surveiller chaque semaine. Propriétaires du nom.
- Jours 31 à 60. Résolvez un obstacle à la décision. Écrivez la règle. Utilisez-le.
- Jours 61 à 90. Faites une pratique d’étape par mois. Apprenez une chose. Changez un playbook. Fermez un espace.
Vous ne recherchez pas la perfection. Vous créez une habitude. Les habitudes se combinent.
Si vous faites cela correctement, quelque chose change. Vous arrêtez d'être surpris par les mêmes problèmes. Les gens soulèvent des problèmes plus tôt. Les ingénieurs arrêtent de cacher les mauvaises nouvelles. La sécurité arrête de crier dans le vide. L'organisation se sent plus calme. Pas accommodant. Calme.
Ce calme n'est pas de la chance. C'est la culture. Le juste équilibre entre prévention, réaction et proactivité garantit des performances élevées et durables.
Et voici la chute silencieuse du microphone. Lorsque le risque devient une conversation quotidienne, il n’est plus nécessaire de deviner l’avenir. Vous arrêtez d'être surpris par le présent.
Cet article est publié dans le cadre du réseau de contributeurs experts Foundry.
Voulez-vous nous rejoindre ?
