Demandez à l'expert en conformité : 10 questions avec Chris Sesi, JD
Secureframe est conçu pour fournir tout ce dont les clients ont besoin pour atteindre et maintenir la conformité en matière de sécurité et de confidentialité. C'est pourquoi nous offrons à chaque client une automatisation de pointe et des conseils d'experts pour simplifier et rationaliser le processus de conformité.
Aujourd'hui, nous vous présentons le VP de la conformité Chris Sesi. Chris est chez Secureframe depuis sa fondation en 2020. Pendant ce temps, il a contribué à étendre la gamme de solutions de gouvernance, de risque et de conformité de Secureframe, y compris nos 14+ cadres de sécurité et de confidentialité. Il a aidé à construire la fondation de Secureframe et a soutenu des dizaines d'entreprises dans l'obtention et le maintien de la conformité aux normes mondiales les plus rigoureuses.
1. Pouvez-vous nous parler de votre parcours et de vos expériences professionnelles précédentes ? Depuis combien de temps êtes-vous dans l'industrie de la sécurité et de la conformité ?
Mon parcours est en informatique et en droit. J'ai commencé ma carrière juridique dans un grand cabinet d'avocats, principalement en effectuant des transactions technologiques et des affaires commerciales. Une grande partie de mon rôle consistait à examiner les addendums de sécurité pour les entreprises technologiques qui faisaient partie de nos contrats juridiques. Beaucoup de ces addendums contenaient des exigences similaires à SOC 2 ou ISO. Beaucoup des contrôles et exigences de ces cadres étaient intégrés dans le document juridique de sorte que les clients devaient contractuellement accepter de les suivre ou être en violation du contrat. C'est à ce moment-là que j'ai commencé à en apprendre beaucoup sur le domaine de la sécurité de l'information.
Ensuite, l'une des premières startups que j'ai rejoint s'est avérée être une startup de sécurité. Nous servions de très grands clients et ils demandaient souvent ce rapport appelé SOC 2 que j'ai finalement aidé notre entreprise à obtenir. De là, j'ai rejoint une autre startup de sécurité appelée Duo Security, où j'ai appris davantage sur l'InfoSec. Quand celle-ci a été vendue à Cisco pour 2,5 milliards de dollars, je voulais rester dans une startup car j'aimais aider à construire, alors je suis parti pour en rejoindre une autre. C'était la première qui n'était pas dans l'industrie de la sécurité, mais je suis venu pour aider à gérer leur programme de sécurité en tant que Responsable juridique, sécurité de l'information et projets spéciaux. Mes responsabilités incluaient la construction de nos programmes InfoSec et juridiques à partir de zéro, entre autres responsabilités opérationnelles. Nous avons vendu à de grandes entreprises insurtech, donc la sécurité était de la plus haute importance. Mettre en place un programme de sécurité robuste - ce qui comprenait l'obtention de SOC 2 à partir de zéro - et négocier ces accords faisaient partie de mes tâches et ce que je les ai aidés à faire.
À cette époque, j'ai commencé à faire quelques investissements d'ange et j'ai été présenté à Shrav, qui réfléchissait à l'idée de Secureframe. Parce que j'avais construit des programmes SOC 2 à partir de zéro plusieurs fois, aidé à organiser et à gérer ces programmes dans plusieurs entreprises, et passé beaucoup de temps dans le domaine de la sécurité, je savais que c'était une bonne idée et pourrait résoudre un problème majeur que j'avais vécu de première main. J'ai offert quelques conseils sur ce que je ferais et sur ce sur quoi je me concentrerais et j'ai fini par investir dans l'entreprise. Peu de temps après, j'ai commencé à conseiller Shrav et nous avons convenu qu'il serait logique que je rejoigne l'équipe. Donc, je les ai rejoint pratiquement dès le premier jour.
Au total, j'ai huit ans d'expérience dans l'industrie de la sécurité et de la conformité et environ trois ans de cette expérience ont été passés à aider à construire Secureframe, depuis le pré-produit jusqu'à des milliers de clients.
2. Quelle est votre spécialité ou votre cadre de spécialisation ?
SOC 2 est ce que j'ai appris en premier et que je connaissais le mieux, mais venant du domaine de la sécurité, j'avais beaucoup de bonnes pratiques générales et de connaissances. Cela m'a permis d'approfondir d'autres cadres chez Secureframe rapidement. En fait, au cours de mes trois premiers mois ici et en un mois après le lancement de Secureframe, j'ai aidé Secureframe à devenir conforme à la norme ISO 27001 et nous avons été le premier outil d'automatisation de conformité à obtenir la certification.
Une fois que vous avez une base solide en sécurité de l'information, beaucoup de cadres sont assez similaires, donc vous devez simplement maîtriser les différences nuancées entre les cadres comme ISO 27001 et SOC 2. Par exemple, pour chaque cadre, la structure de l'audit est généralement différente. Certaines exigences sont différentes. Certains cadres sont plus prescriptifs, ils nécessitent donc un langage spécial ou des ajustements à vos politiques. Avec ISO, il y a une exigence pour un audit interne, ce que SOC 2 ne nécessite pas. Une fois que vous comprenez les différences, ajouter ce nouveau cadre à votre ensemble de compétences devient beaucoup plus facile.
3. Qu'est-ce qui vous passionne le plus dans l'industrie de la sécurité et de la conformité ?
Il y a deux choses. Premièrement, je pense que l'industrie gagne plus de respect qu'auparavant — et cela va continuer. Maintenant, vous voyez la sécurité discutée dans la salle du conseil. Ce n'est pas une réflexion après coup. C'est génial de voir l'expansion de la conformité en matière de sécurité dans son champ d’application. SOC 2 ou ISO 27001 est l'une des premières choses que chaque entreprise B2B cherche à réaliser car elles sont devenues un standard pour faire des affaires. Avec cela, le marché s'étend donc il y a beaucoup plus d'opportunités d'innover dans le domaine de la sécurité et de la conformité.
L'autre point à noter est l'expansion réglementaire mondiale centrée sur la sécurité des données qui est en cours. De nombreux pays mettent en œuvre de nouvelles réglementations en matière de cybersécurité, et il est de plus en plus difficile pour les organisations multinationales de rester conformes ou de continuer à s'étendre à l'échelle mondiale sans enfreindre ces nouvelles réglementations. Cela crée une opportunité passionnante pour une entreprise comme Secureframe de continuer à se développer et à aider nos clients à croître dans le monde entier.
4. Quelle est une idée reçue courante que les gens ont sur la sécurité et la conformité ?
Une idée reçue, qui évolue mais reste encore répandue, est que vous n'avez pas besoin d'un fort positionnement en matière de sécurité et de conformité si vous êtes petit. La réalité est que la sécurité et la conformité sont essentielles pour protéger les données, mais aussi pour faciliter les ventes, que vous soyez une grande ou une petite entreprise. Oui, vous voulez être sécurisé, vous voulez vous assurer de ne pas être piraté, mais c'est aussi très critique pour faire des affaires. Je dis souvent que l'une des premières choses à faire lorsque vous créez une entreprise est de vous incorporer. Si vous voulez créer une entreprise B2B, la prochaine chose à faire est d'obtenir SOC 2. Bonne chance pour essayer de vendre des logiciels sans prouver à vos clients et partenaires que vous êtes sécurisé.
L'autre idée reçue est que la sécurité et la conformité doivent être traitées comme une activité de cocher des cases. Cocher les cases augmente la probabilité que vous rencontriez une faille de sécurité à mesure que votre entreprise se développe. Une faille vous met dans les actualités et dans une mauvaise position avec les clients. Donc traiter la sécurité et la conformité comme une activité de cocher des cases peut ruiner la réputation et la marque d'une organisation.
5. Pourquoi avez-vous choisi de travailler pour Secureframe ?
Je croyais au problème que nous essayions de résoudre avec Secureframe. Tellement que j'ai investi dans le tour de table en mars 2020, j'ai commencé à conseiller et j'ai rejoint peu de temps après. Parce que j'avais déjà traversé le processus de conformité SOC 2 et construit moi-même des programmes InfoSec, je savais que l'opportunité d'aider ceux qui ne savaient pas ce qu'ils faisaient était énorme. Je ne savais certainement pas ce que je faisais la première fois que j'ai aidé une entreprise à se conformer à SOC 2 il y a de nombreuses années. Je savais donc qu'il y avait une opportunité de construire essentiellement un manuel reproductible pour obtenir la conformité avec SOC 2 et d'autres cadres, et je voulais avoir la chance de construire cela à partir de zéro.
Je voulais aussi cette chance de construire quelque chose à partir de rien parce que j'ai grandi dans une famille entrepreneuriale et j'avais possédé et aidé à démarrer d'autres entreprises.
6. Quel est votre rôle dans le processus de conformité pour les clients ?
Au début, je faisais tout. J'étais service client. J'étais commercial. J'étais ingénieur. J'étais notre directeur de la conformité. Aujourd'hui, j'ai pris du recul parce que j'ai aidé à recruter et à développer certaines de ces équipes. Maintenant, je gère beaucoup de nos responsables de la conformité au jour le jour et le travail qu'ils font d'un point de vue interne et orienté vers le client.
Mais la partie la plus excitante de mon rôle et ce qui rend Secureframe unique, c'est que nous avons plus de 25 membres de l'équipe qui sont d'anciens professionnels de l'audit et de la conformité, et vous le voyez dans tout ce que nous faisons, de la façon dont nous traitons et travaillons avec les clients, aux retours d'information et aux conseils stratégiques que nous donnons, jusqu'au produit que nous développons. Il est crucial de rassembler toutes ces années d'expérience au sein de ces personnes et de les fusionner dans tout ce que nous faisons et dans notre culture. Cela se voit dans le produit que nous avons construit et dans les équipes que nous avons constituées.
Étant ici depuis le premier jour essentiellement, j'ai pu aider à m'assurer que nous avons recruté ces personnes avec la bonne expérience pour bâtir une entreprise qui peut aider ceux qui n'ont pas cette expérience et ce savoir-faire spécialisé à atteindre la conformité de la bonne manière.
L'objectif ultime de Secureframe est d'aider les clients à instaurer la confiance avec leurs propres clients et vous ne pouvez pas faire cela si vous ne l'avez jamais vécu. Avoir toutes ces personnes dans notre équipe pour non seulement nous aider à développer des produits mais aussi à conseiller les clients est devenu vraiment crucial.
7. Quels points de douleur êtes-vous passionné de résoudre pour les clients ?
J'ai grandi en travaillant dans un restaurant que ma famille possédait. Ma mère m'a appris que le client a toujours raison et qu'il faut trouver un moyen de le rendre heureux, puis prendre la responsabilité de ce que vous faites. Peu importe si vous en êtes propriétaire ou non, ce qui importe, c'est que vous agissiez comme si vous l'étiez. Ce sont les deux valeurs que j'incarne et que j'essaie d'aider tout le monde chez Secureframe à incarner. Prenez des responsabilités même si ce n'est pas dans votre description de poste. Si vous voyez un client déçu, en colère, triste, trouvez un moyen de le rendre heureux.
J'aime vraiment résoudre les points de douleur des clients. C'est pourquoi nous construisons Secureframe : pour alléger les douleurs liées à la conformité et réduire le temps nécessaire pour la maintenir année après année. Si nous pouvons atteindre cet objectif, nous devrions pouvoir redonner beaucoup de temps et de liberté à nos clients pour qu'ils fassent ce qu'ils veulent faire, c'est-à-dire développer leur entreprise.
8. Pouvez-vous partager un exemple de défi que vous avez aidé un client à surmonter dans son parcours de conformité ?
Au début de Secureframe, j'avais un client dirigeant une entreprise de moins de 10 personnes. Le client s'est inscrit et m'a dit qu'il allait demander à sa mère de gérer l'InfoSec car personne d'autre n'avait le temps. Je me souviens avoir eu beaucoup d'appels avec quelqu'un qui n'était pas technophile et ne comprenait pas des sujets comme l'infrastructure cloud, ce que vous espérez que quelqu'un faisant cela pourrait connaître. J'ai donc passé beaucoup de temps à lui enseigner ces sujets, comment fonctionne la conformité et pourquoi c'est important. J'ai pu la former assez rapidement à l'utilisation de Secureframe pour obtenir SOC 2 et mettre en place un programme de sécurité dans cette entreprise en phase de démarrage. C'était une grande réussite pour moi et très amusant.
Il y a trois ou quatre ans, il aurait été très difficile de faire faire manuellement tout ce qui était nécessaire pour SOC 2.
9. Quel est votre conseil numéro un pour les personnes qui subissent leur premier audit de conformité ?
Mon conseil numéro un lorsque vous vous préparez pour votre premier audit est d'être préparé à l'avance. Plus vous serez mal préparé pour un audit, plus il sera difficile et stressant.
Utiliser une plateforme d'automatisation comme Secureframe peut faire une énorme différence. Sans la plateforme, vous devez vérifier par vous-même si vous êtes prêt ou non.
10. Quel est selon vous le principal avantage organisationnel d'une posture de sécurité et de conformité solide ?
Je vois deux avantages majeurs. Premièrement, lorsqu'on construit une organisation en tenant compte de la sécurité et de la conformité, on les intègre dans la culture afin que les gens en tiennent compte. Qu'il s'agisse d'un commercial réfléchissant au partage de données sensibles avec un client ou d'un ingénieur développant une fonctionnalité, les employés pensent aux aspects de sécurité, de confidentialité et de conformité de ce sur quoi ils travaillent au quotidien. Lorsque vous ne les intégrez pas dans la culture, les données des clients sont divulguées ou vous avez un problème de confidentialité et, à mesure que votre organisation grandit, beaucoup de ces choses vous retombent dessus. Mais si vous pouvez faire en sorte que la sécurité et la conformité coulent dans les veines de tous les membres de votre équipe, vous serez bien mieux loti à long terme en vous développant.
L'autre avantage est qu'aujourd'hui, la sécurité et la conformité sont indispensables pour deux raisons. L'une est liée aux exigences réglementaires. Si vous souhaitez faire des affaires en Europe, vous devez vous conformer au RGPD. Si vous souhaitez faire des affaires aux États-Unis, vous devez vous conformer à la CCPA, même si elle est spécifique à la Californie. Divers cadres sont requis par des tiers comme le PCI. Si vous manipulez des données de santé, vous devez être conforme à la HIPAA par loi. Ensuite, il y a des cadres comme le SOC 2 et l'ISO qui sont commercialement requis. Ils ne sont requis par aucune loi ou réglementation, mais si vous voulez faire des affaires, croyez bien que les clients vont exiger que vous les ayez. Si vous souhaitez faire des affaires avec le gouvernement des États-Unis, des cadres comme le NIST 800-53, le NIST 800-171, FedRAMP ou le CMMC sont requis.
L'autre raison est que dans ce paysage en constante évolution de ce que j'appelle une prolifération commerciale et réglementaire de cadres, il est très important d'avoir un système pour les organiser tous. Ils ne feront que croître. Il y aura de plus en plus d'exigences à suivre. Chaque pays lancera ses propres exigences en matière de confidentialité des données, par exemple. L'Australie, le Canada, les États-Unis et le Royaume-Uni en proposeront bientôt. Ainsi, dans ce paysage où les cadres et les exigences en matière de contrôle des données continuent de vous parvenir sous différents angles, vous avez besoin d'un système pour vous organiser. Il deviendra de plus en plus urgent de quitter des éléments comme les feuilles de calcul pour rester en conformité.
Obtenez une conformité avec l'aide d'experts
Vous voulez travailler avec Chris ou un autre membre de notre équipe de conformité ? Planifiez une démo de Secureframe pour en savoir plus sur la façon dont notre plateforme et nos experts internes rendent la sécurité, la confidentialité et la conformité rapides et faciles.