Le CISO rencontre le CMO. Le CMO rencontre le CISO.

Ces collègues improbables qui travaillent en étroite collaboration et comprennent leurs rôles respectifs sont essentiels à la sécurité de votre organisation. J'ai lu de nombreux articles de recherche et de réflexion sur le "partenariat numérique" entre le CMO et le CIO, en particulier avec l'essor des technologies et des outils de marketing. En fait, Gartner a même prédit que les CMO dépenseront bientôt plus en technologie que les CIO. Si ce partenariat est important, je peux affirmer que la relation entre le CMO et le CISO est tout aussi importante, sinon plus.

Les spécialistes du marketing sont les générateurs de prospects et les protecteurs de la marque de votre entreprise. Ils sont généralement au courant des nouvelles de l'entreprise avant tout le monde et ils contribuent à créer l'image interne et externe de l'entreprise. Ils sont également l'une des plus grandes vulnérabilités de votre entreprise. Le marketing a accès à des données - beaucoup, beaucoup de données provenant de systèmes externes et internes. Il dispose d'un accès administratif à toutes les plateformes de médias sociaux de votre organisation, telles que Linked In, Facebook, Vimeo (pour n'en citer que quelques-unes), et il est probablement le seul service à accéder à ces systèmes, à les mettre à jour et à les gérer. Le service marketing a également accès aux sites Web de votre entreprise, aux logiciels d'automatisation du marketing, aux portails clients et à votre outil de gestion de la relation client (CRM) qui contient vos données clients, vos données commerciales et, dans certains cas, vos contrats clients. En fait, la plupart des services marketing ont tellement de connexions et de mots de passe différents pour les systèmes qu'ils ont du mal à gérer correctement ces informations d'identification d'une manière qui rendrait fier n'importe quel RSSI (et qui ne serait pas notée dans un carnet ou sur un post-it jaune sur leur bureau).

Un domaine souvent négligé dans les départements marketing est l'utilisation de multiples relations avec des tiers. Les équipes de marketing, qu'il s'agisse de petites ou de grandes organisations, font appel à de plus en plus de fournisseurs pour les aider à faire leur travail. Les équipes de relations publiques, les graphistes, les agences de marketing numérique, les experts en référencement, les développeurs de sites Web et les vidéastes ne sont que quelques-unes des relations avec des tiers sur lesquelles les équipes de marketing s'appuient. Souvent, ces fournisseurs ont besoin d'un accès administratif aux systèmes externes et internes pour pouvoir faire leur travail correctement. Cette situation préoccupe beaucoup les RSSI. L'année dernière, Deep Root Analytics, une agence de marketing qui participe à la publicité télévisée ciblée et qui est fournisseur du Republican National Committee (RNC), a été identifiée comme la source de la brèche qui a compromis 200 millions de dossiers personnels d'électeurs. Le fournisseur avait plus d'un téraoctet de données stockées sur un serveur cloud AWS sans la protection d'un mot de passe. Toute personne disposant de l'URL pouvait trouver et accéder à ces données personnelles d'électeurs.

Les équipes de marketing travaillent chaque jour avec de grands ensembles de données. Bien souvent, plusieurs fournisseurs ont accès à ces fichiers et les données sont transmises dans de nombreux types de formats différents et à partir de nombreuses applications différentes, ce qui constitue un véritable cauchemar pour un RSSI. Cependant, cela devrait également être un cauchemar pour un CMO. Les CMO ne peuvent pas se permettre de laisser une violation de données se produire au sein de leur département et doivent travailler avec leur CISO pour s'assurer que des politiques de sécurité sont mises en place et suivies par tous les membres de l'équipe marketing concernant les mots de passe, l'accès aux systèmes et l'accès aux fournisseurs.

Quelques recommandations ? RSSI, apprenez à connaître votre service marketing dès aujourd'hui. Sachez quelles technologies ils utilisent et quels tiers ont accès à ces technologies. CMOs, assurez-vous que vous comprenez les politiques de sécurité de votre entreprise et que votre département les respecte. Travaillez avec votre RSSI pour maintenir une liste à jour des fournisseurs de services marketing et assurez-vous que chaque fournisseur est correctement évalué et surveillé en permanence afin de réduire les risques pour votre organisation.

Sur un plan personnel, je traite la sécurité très sérieusement dans mon service. J'ai également une excellente relation avec mon CISO. J'encourage tous les spécialistes du marketing à faire de même.