Le point de vue d'un CISO et d'un vétéran de l'Air Force

sur la défense des données

Mike Wagner, CISO de Kenvue, partage ses réflexions sur le leadership en matière de sécurité

Dans cette interview de la série Conversations avec les responsables de la sécurité, nous nous entretenons avec Mike Wagner, responsable de la sécurité des systèmes d'information chez Kenvue, une société de santé grand public. En tant que vétéran de l'Air Force, Mike connaît bien l'art de la défense. Découvrez comment son expérience dans les forces armées a contribué à sa préparation pour une carrière dans la cybersécurité.

Rejoignez Clarke Rodgers, Director of AWS Enterprise Strategy et lui-même vétéran, alors qu'il discute avec Mike de l'évolution du rôle du CISO dans l'entreprise moderne. Regardez la vidéo ci-dessus ou lisez leur conversation en détail ci-dessous pour obtenir les conseils de Mike en matière de leadership pour créer une culture de la sécurité, changer les perceptions négatives sur la sécurité, intégrer les vétérans dans votre programme d'embauche et anticiper l'avenir de la sécurité.

Le trajet de Mike Wagner, CISO chez Kenvu

Des expériences numériques qui renforcent la confiance des clients

Clarke Rodgers (00:08) :
Mike, merci beaucoup de m'avoir rejoint aujourd'hui.

Mike Wagner (00:10) :
Merci, Clarke. Je suis content d'être ici.

Clarke Rodgers (00:12) :
Si vous le voulez bien, parlez-moi de votre rôle et de vos responsabilités.

Mike Wagner (00:16) :
Clark, je suis le CISO d'une société appelée Kenvue. Kenvue faisait partie du groupe de sociétés Johnson & Johnson. Vous l'avez probablement reconnue en découvrant certains des produits que nous fabriquons, tels que Tylenol, Motrin, Aveeno, Neutrogena et Johnson's Baby.

Et mon rôle dans l'entreprise est de m'assurer que les données, les systèmes et les personnes sont protégés de manière adéquate contre les menaces existantes. Tout en veillant à être protégés, nous permettons également à l'entreprise de garantir un accès plus rapide, plus rationalisé et plus rentable pour nos consommateurs, nos clients, nos fournisseurs et évidemment pour notre personnel.

Clarke Rodgers (01:01) :
Pour aller un peu plus loin, avant d'occuper ce poste, pouvez-vous me parler un peu de votre expérience dans le domaine de la sécurité ? Je crois comprendre que vous n'avez pas forcément commencé comme CISO.

Mike Wagner (01:11) :
C'est vrai, oui. Je suis allé à l'US Air Force Academy et j'ai fait partie du département des cyberopérations de l'Air Force, où j'ai eu différents rôles. L'un de ces rôles était au sein du Bureau des enquêtes spéciales, j'étais dans la région de Washington au moment du 11 septembre. Je me suis retiré au début des années 2000, mais je suis resté réserviste. C'était donc agréable d'avoir un petit parcours parallèle avec les entreprises américaines et l'Air Force.

Dans une carrière comme la cybersécurité, ils se complètent très bien parce que vous obtenez des informations et pouvez vous entraîner du côté des réservistes ou de la Garde nationale, et appliquer ces techniques, ces leçons, ces informations dans l'espace de l'entreprise. Dans l'espace de l'entreprise, j'ai travaillé dans plusieurs secteurs verticaux différents. J'ai débuté dans les télécommunications. J'ai rapidement travaillé dans les services financiers, principalement dans le domaine de la santé au cours des 15 dernières années.

Ces cinq ou six dernières années, je me suis concentré sur notre entreprise et notre chaîne d'approvisionnement mondiale. Je me suis beaucoup concentré sur la partie OT de la sécurité alors que l'entreprise mettait en place sa stratégie de chaîne d'approvisionnement numérique. Je m'assurais que les différentes fenêtres ouvertes dans le réseau de l'entreprise étaient protégées et que seul l'accès approprié était autorisé. En plus de gérer nos fournisseurs, notre logistique, notre réseau, nos prestataires logistiques tiers, etc. S'assurer qu'ils étaient bien placés et/ou travailler avec eux en cas d'incident.

Clarke Rodgers (03:01) :
Intéressant. Pouvez-vous nous parler un peu de votre transition de la vie militaire à la vie en entreprise ? Cela a-t-il été une transition importante pour vous, ou, parce que le cyberespace s'immisce un peu partout, cela n'a peut-être pas été si difficile ?

Comment votre expérience dans l'armée de l'air vous a-t-elle préparé à une carrière dans le domaine de la cybersécurité ?

Des expériences numériques qui renforcent la confiance des clients

Mike Wagner (03h16) :
Lorsque vous êtes officier dans l'armée, vous sortez et boum, vous avez 22 ans et environ 25 personnes sous vos ordres. Dans le monde de l'entreprise, vous devez faire vos preuves un peu plus. Ils ne vous donnent tout simplement pas ce type de crédibilité tout de suite. Du point de vue du leadership, il s'agissait donc de reprendre les bases, de renforcer la confiance, de renforcer la crédibilité, de comprendre ce que les gens faisaient.

Mais d'un point de vue professionnel, en termes de capacités techniques, dans la cybersécurité et l'armée, et de protection d'un réseau, les mêmes techniques et tactiques s'appliquent à la protection d'un réseau d'entreprise. De plus, vous pouvez également y parvenir en suivant votre propre objectif intérieur. L'objectif intérieur est si important pour nous tous : la défense des réseaux, la défense des données, la défense des personnes...

Clarke Rodgers (04:11) :
Suivre cette mission.

Mike Wagner (04:13) :
Oui, cela fait partie de mon objectif. C'est au cœur de mon ADN.

Clarke Rodgers (04:17) :
C'est génial. Dans le monde de l'entreprise et dans votre rôle actuel, nous constatons généralement que les CISO ont évolué au fil du temps. Auparavant, il s'agissait d'un rôle très, très technique et pas tellement axé sur les affaires, mais aujourd'hui, nous voyons les CISO et les CSO faire réellement partie de la haute direction des organisations – rendre régulièrement compte au conseil d'administration et parler vraiment le langage des affaires plutôt que celui des bits, des octets et des pare-feux. Comment avez-vous effectué cette transition ? Nous avons parlé de confiance il y a une minute. Comment gagner la confiance des autres cadres supérieurs de votre organisation ?

Mike Wagner (04:58) :
L'une des compétences les plus importantes, je pense, pour tout professionnel de la sécurité, et évidemment pour un CISO, est la capacité à établir des relations avec les gens, vous savez ? Avoir un lien, un point commun qui va les amener à écouter ce que vous dites. Ainsi, une fois que vous êtes en mesure d'établir cette connexion et de vous fixer comme objectif d'éduquer les gens sur ce qu'est la cybersécurité et pourquoi elle est importante pour eux, cela devient beaucoup plus facile.

Ce ne sont là que les principes fondamentaux, mais en gros, il faut s'adresser à ces cadres et s'assurer qu'ils comprennent le cyberespace, qu'ils comprennent que c'est une responsabilité commerciale. Et franchement, ils devraient utiliser nos services pour les aider à développer leurs activités.

Nous sommes une grande entreprise de santé grand public. Nous comptons plus d'un milliard de consommateurs et nous voulons continuer à croître. Les consommateurs vont acheter de plus en plus directement auprès de nous. Comment pouvons-nous les aider à accéder à nos produits, qui, selon nous, les rendent meilleurs et en meilleure santé, qu'il s'agisse d'écran solaire, de Tylenol ou encore de produits pour que leurs bébés se sentent mieux ?

Nous voulons donc en faciliter l'accès. Nous voulons également nous assurer qu'ils savent que nous pouvons protéger leurs données. Et évidemment, au-delà du consommateur, nous travaillons avec nos excellents clients, fournisseurs et employés. Nous rendons cette expérience utilisateur, cette expérience des personnes qui interagissent avec nos systèmes beaucoup plus simple, fluide et sûre.

Clarke Rodgers (06:33) :
Ce que vous venez de décrire constitue donc un défi courant pour les CISO, n'est-ce pas ? Il s'agit de développer cette culture de sécurité en dehors de l'organisation de sécurité. Pour que les gens comprennent que c'est une bonne chose d'intégrer la sécurité tôt et souvent, n'est-ce pas ? Comment vous y prenez-vous ou quels types de programmes avez-vous mis en place pour aider à développer cette culture de sécurité au sein de votre organisation ?

Avez-vous des conseils sur la manière dont les CISO peuvent promouvoir une culture de sécurité en dehors de l'organisation de sécurité ?

Des expériences numériques qui renforcent la confiance des clients

Mike Wagner (06:58) :
L'un des programmes que nous avons mis en place et qui a connu un réel succès est le concept suivant : j'ai parlé un peu de technologie opérationnelle ou OT. Nous sommes un fabricant mondial. Nous avons des dizaines d'usines et des centaines de prestataires logistiques tiers. Nous avons mis en place ce que nous appelons un programme OT champion, dans le cadre duquel nous connaissons et avons un point de contact qui est un champion de la sécurité dans le secteur de la chaîne d'approvisionnement.

Clarke Rodgers (07:28) :
Oh, intéressant.

Mike Wagner (07:29) :
Oui. Ces personnes, nous les formons, un peu comme dans un programme de « formation des formateurs ». Mais plus que cela, nous sommes une ressource pour eux. Nous les défendons et ils défendent notre programme. Ce programme a été un succès parce qu'il nous a permis de pénétrer des espaces que nous ne serions pas en mesure de pénétrer autrement.

Nous avons parlé plus tôt de ce que nous avons en commun, le fait d'être dans l'armée. C'est comme lorsque les troupes américaines partent à l'étranger, elles comptent sur les habitants pour se déplacer. Ils connaissent la géographie, ils connaissent le terrain. Ils savent où faire attention et où vous serez le mieux placé. C'est dans le même esprit qu'en amenant ou en suppléant des personnes dans l'activité, en l'occurrence dans la chaîne d'approvisionnement, elles peuvent nous aider à mieux réussir et, en retour, nous les aidons à sécuriser l'entreprise, à ce qu'elle ne fasse pas la une des journaux et à fournir nos produits aux consommateurs qui en ont besoin.

Clarke Rodgers (08:33) :
Et ce programme, tel que vous l'avez publié, ces chefs d'entreprise ont-ils compris les avantages qu'il apporte ?

Mike Wagner (08:40) :
Absolument. La sécurité étant devenue de plus en plus courante, les chefs d'entreprise de ces unités savent que leurs employés ont des liens avec notre programme. Et dans de nombreux cas, nous avons déjà parlé à leurs dirigeants. La connexion étant déjà établie, nous pouvons avancer plus facilement. Ils sont préparés et prêts à recevoir les informations que nous leur donnons, l'éducation que nous leur donnons.

Clarke Rodgers (09:15) :
Pouvez-vous expliquer en quelques mots comment vous leur signalez les risques et comment vous faites pour que la sécurité soit une réalité pour eux ? Dans le temps, pour ce que l'on pourrait appeler les CISO de la vieille école, le rapport reposait sur une affiche présentant des matrices de vulnérabilités et des programmes de correction, etc., qui restent souvent incompris des conseils d'administration. Comment communiquez-vous les risques aux conseils d'administration ?

Mike Wagner (09:38) :
Nous l'exprimons en termes de risque commercial, d'impact sur l'entreprise. Nous nous efforçons évidemment de minimiser cet impact grâce aux contrôles que nous avons mis en place. Nous parlons également de notre programme, de son évolution et de la manière dont ses fonctionnalités permettent à l'entreprise de se développer. Beaucoup de gens considèrent la sécurité comme un jeu défensif, tel qu'un jeu d'assurance.

Clarke Rodgers (10:04) :
Bien sûr.

Mike Wagner (10:05) :
Nous examinons la sécurité non seulement du point de vue défensif, mais également de l'accès. Et l'accès est un facilitateur. J'ai déjà mentionné l'accès pour les consommateurs, pour nos clients, pour nos fournisseurs et évidemment pour notre main-d'œuvre. Si nous pouvons rendre l'accès plus facile et plus fluide, nous pouvons permettre à l'entreprise d'aller plus vite. Dans le cadre de nos processus de développement, nous veillons à ce que la sécurité soit intégrée dès le début des processus et fasse partie du pipeline lors du déploiement de nouvelles versions technologiques. Ce sont des leçons que nous avons apprises très tôt, ce qui nous a permis d'être un véritable partenaire de l'entreprise et un partenaire jouissant d'une grande crédibilité.

Clarke Rodgers (10:49) :
C'est formidable. Changeons un peu de sujet et abordons la dotation en personnel de votre programme de sécurité. Vous avez déjà parlé de votre programme de champions et de l'OT. En dehors de l'OT, disposez-vous d'un moyen efficace de multiplier les forces de votre équipe de sécurité au sein de votre organisation ?

Quelles compétences ou caractéristiques recherchez-vous lorsque vous recrutez des talents en sécurité ?

Des expériences numériques qui renforcent la confiance des clients

Mike Wagner (11:10) :
Nous comptons évidemment sur le recrutement de personnes ayant des compétences en génie logiciel. Nous avons engagé un certain nombre de militaires. Des compétences telles que la compréhension du déploiement de logiciels et du code sont beaucoup plus importantes et ont fait l'objet d'une plus grande attention récemment. Et ce, parce que nous cherchons à savoir comment l'IA peut contribuer à notre programme de sécurité et comment nous pouvons assurer une présence industrielle mondiale avec un nombre limité d'employés. Nous sommes donc impatients d'explorer d'autres options que l'IA peut offrir.

Mais pour ce qui est des aspects humains, je surveille les gens qui font partie de l'armée de l'air et de différents forums militaires. Nous avons mis en place des programmes dans le cadre desquels nous avons fait venir des anciens combattants après la fin de leur période de service. Certains de ces programmes leur permettent d'obtenir leur diplôme universitaire tout en travaillant. Cela a donc été un grand succès.

Nous offrons aux anciens combattants qui font partie de l'entreprise un excellent programme d'avantages sociaux. Nous soutenons au mieux les militaires. Par exemple, lorsqu'ils doivent partir pour leurs deux semaines d'entraînement annuel ou qu'ils sont appelés sous les drapeaux, nous veillons évidemment à ce que d'excellents avantages leur soient accordés.

J'entends souvent que les gens ont du mal à recruter et que recruter de bons talents est l'un des défis auxquels les CISO seront confrontés au cours des prochaines années, et qu'ils ont dû relever par le passé. Je dis souvent que j'ai l'impression de ressembler à un entraîneur de football américain universitaire. Je recrute avant même que les postes ne soient disponibles. Je cible les talents, j'établis des relations, je participe à différents forums où je sais qu'il y aura de bons talents.

En fin de compte, c'est une activité axée sur les relations. Vous serrez des mains, vous gardez des contacts, vous établissez un lien avec cette personne spéciale que, en fin de compte, vous espérez voir intégrer votre entreprise lorsque vous en aurez besoin. Pour ce qui est de la constitution de l'équipe de cybersécurité de Kenvue, nous avons eu la chance de pouvoir faire appel à des personnes très talentueuses issues de grandes entreprises, et disposons ainsi d'un personnel très, très efficace et très, très productif.

Clarke Rodgers (13:50) :
C'est une histoire fantastique. Pour en rester à la culture, encore une fois, le rôle du CISO ayant évolué au fil du temps, le CISO et le département de la sécurité en général ont souvent été considérés comme des partisans du « Non ». N'est-ce pas ? Et nos clients CISO les plus performants d'aujourd'hui considèrent réellement le service de sécurité comme un facilitateur et un département du « Oui, mais ». N'est-ce pas ? Donc moins de flicage, plus de coaching. Comment se passent les choses dans votre organisation et comment cette transition s'est-elle déroulée au fil des ans ?

Les organisations de sécurité sont souvent considérées comme des organisations qui disent « non ».

Que faites-vous pour changer cette perception ?

Des expériences numériques qui renforcent la confiance des clients

Mike Wagner (14:29) :
Nous voulons être reconnus comme des facilitateurs. Nous voulons nous assurer que le département de cybersécurité n'est pas considéré uniquement comme un organisme de défense, mais qu'il permet également l'accès. Comment y sommes-nous parvenus ? Grâce à l'éducation. Et lorsque nous éduquons et sensibilisons dans l'entreprise, les personnes comprennent. Par exemple, quand vous leur parlez d'un concurrent, d'une entreprise que vous connaissez ou d'un fournisseur de services logistiques tiers qui a été victime d'une tentative de rançonnage, elles reconnaissent qu'elles ne veulent pas se retrouver elles-mêmes dans cette situation.

Ainsi, grâce à cette éducation, les entreprises se sont montrées très coopératives avec nous et nous ont permis de leur indiquer la meilleure voie à suivre. Je suis fermement convaincu que nos relations avec les fournisseurs de cloud nous permettent non seulement de sécuriser nos activités, mais également de déployer cette technologie plus rapidement, mieux et à moindre coût. Et les entreprises aiment ça. Si une entreprise constate que nous sommes là pour fournir le produit à ses clients à un prix abordable, plus rapidement, mieux et moins cher, alors elle achètera.

Clarke Rodgers (15:52) :
C'est génial. Je sais bien que vous ne pouvez pas prédire l'avenir, mais si nous devions avoir cette conversation à nouveau dans cinq ans, de quels grands défis et opportunités pour les CISO parlerions-nous ?

Comment pensez-vous que le rôle de CISO évoluera au cours des cinq prochaines années ?

Des expériences numériques qui renforcent la confiance des clients

Mike Wagner (16:08) :
Eh bien, je pense que dans cinq ans nous aurons gagné en maturité et comprendrons bien mieux comment utiliser ces robots d'IA pour nous renforcer. Je pense que nous continuerons à éduquer pour que l'entreprise soit encore mieux équipée pour comprendre notre travail. Nous avons déjà notre mot à dire. Je pense que nous allons continuer sur cette lancée en tant que voix non seulement technologique, mais aussi commerciale.

Je ne suis pas sûr que le CISO travaillera dans le département informatique ou relèvera toujours du CIO. Je pense qu'il pourrait appartenir à différents services, et qu'il jouera un rôle important dans les décisions commerciales qui sont prises et auprès les différents fournisseurs et clients avec lesquels nous traitons.

Clarke Rodgers (17:15) :
C'est génial. Mike, merci beaucoup de m'avoir rejoint aujourd'hui.

Mike Wagner (17:19) :
Parfait. Merci beaucoup, Clarke.

Des expériences numériques qui renforcent la confiance des clients

À propos des dirigeants

Mike Wagner, CISO de Kenvue

Mike Wagner
Responsable de la sécurité des systèmes d'information (CISO), Kenvue

En tant que responsable de la sécurité des systèmes d'information de Kenvue, Mike dirige une équipe mondiale chargée de développer les priorités stratégiques de l'entreprise en matière de cybersécurité, d'exécuter des plans opérationnels et de diriger l'organisation. C'est un leader passionné qui gère avec intégrité et fait preuve d'une volonté constante de protéger non seulement l'entreprise, mais également l'ensemble du secteur. Il a occupé divers postes de direction, notamment en siégeant au conseil d'administration du Health Information Sharing and Analysis Center (H-ISAC), en dirigeant le comité directeur de la chaîne d'approvisionnement pharmaceutique du H-ISAC et en tant que sponsor exécutif du Johnson & Johnson Veterans Employee Resource Group au cours des 10 dernières années. Avant d'occuper son poste chez Kenvue, Mike a passé plus de 10 ans chez Johnson & Johnson dans le domaine de la cybersécurité, où il a occupé divers postes allant de la gestion des risques à la défense de la chaîne d'approvisionnement de l'entreprise. Il a pris sa retraite de la Réserve de l'US Air Force en 2018 en tant que lieutenant-colonel, où il était pour la dernière fois responsable des cyberopérations de l'USAF soutenant les théâtres d'opérations européens et asiatiques. Mike est un professionnel certifié de la sécurité des systèmes d'information, titulaire d'une licence en biologie de l'US Air Force Academy et d'une maîtrise en gestion des télécommunications de l'University of Maryland University College.

Clarke Rodgers
AWS Enterprise Strategist

En tant que stratégiste de sécurité d'entreprise AWS, Clarke se passionne pour aider les cadres à explorer comment le cloud peut transformer la sécurité et travailler avec eux pour trouver les bonnes solutions d'entreprise. Clarke a rejoint AWS en 2016, mais son expérience avec les avantages de la sécurité AWS a commencé bien avant qu'il ne fasse partie de l'équipe. En tant que responsable de la sécurité des systèmes d'information pour un fournisseur multinational de réassurance vie, il a supervisé la migration globale d'une division stratégique vers AWS.

  • Date de publication
  • Ordre alphabétique (A-Z)
  • Ordre alphabétique (Z-A)
 Impossible de trouver des résultats correspondant à votre recherche. Veuillez effectuer une autre recherche.

Passer à l'étape suivante

PODCAST

Écouter et apprendre

Écoutez des dirigeants et des stratèges d'entreprise AWS, tous anciens cadres, parler de leur parcours de transformation numérique.

LinkedIn

Rester connecté

AWS Executive Connection est une destination numérique pour les chefs d'entreprise et les leaders technologiques où nous partageons des informations.

ÉVÉNEMENTS POUR LES CADRES

Visionner à la demande

Bénéficiez des points de vue de vos pairs et découvrez de nouvelles façons d'alimenter votre parcours de transformation numérique grâce à ce réseau international exclusif.

Conversations avec des cadres

Trouver de l'inspiration

Écoutez les leaders d'AWS et de ses clients discuter des meilleures pratiques, des leçons et de la pensée transformatrice.