Change management in cybersecurity | Gestion du changement en cybersécurité

(English version will follow)

PROFIL DE COMMUNAUTÉ

Le réseau SERENE-RISC désire partager avec ses membres des profils de personnes oeuvrant dans le domaine de la cybersécurité.

Le Réseau se veut être un lieu d’échange d’information sur la cybersécurité à la fois ouvert, impartial et inclusif. À travers ces profils, SERENE-RISC offre cette opportunité d’échange afin de déployer et de valoriser vos connaissances sur la cybersécurité parmi nos membres.

Vous désirez partager votre expérience en cybersécurité avec notre communauté? N’hésitez pas à contacter notre coordonnatrice en communication-marketing, Marie-Claude Allard à marie-claude.allard.1@umontreal.ca

Nous voulons entendre parler de vous!


Cette semaine, nous avons eu le plaisir de nous entretenir avec Stéphanie Amram, consultante en gestion du changement afin de discuter de son parcours ainsi que de son implication en cybersécurité.

Bonjour! Mon nom est Stéphanie Amram, Présidente de S.A.M. Conseil. Je suis consultante en gestion du changement depuis plus de 10 ans et passionnée par les gens, la technologie et par l’association (parfois complexe) entre les deux!

Parlez-nous de votre parcours.

Je suis diplômée en psychologie (BA) et en gestion (MSc). L’humain et ses comportements sont au cœur de ma démarche professionnelle. Comment l’humain réagit face aux évolutions de son environnement? Quels sont les impacts humains de l’addition de plusieurs changements vécus simultanément par un même individu? Comment l’accompagner à travers ces changements afin de garantir que son expérience sera la plus positive possible? La réponse est venue naturellement sous la forme de la gestion du changement. Cette discipline se base sur une analyse de la situation actuelle par rapport à la situation visée. Une transformation organisationnelle, une transformation TI, l’ajout d’un nouvel outil de cybersécurité… En étudiant l’écart entre ces deux situations, nous pouvons établir un diagnostic du changement et proposer des stratégies pour y répondre. Le cœur de la démarche étant l’humain : la préparation des individus lors d’un changement, la gestion de leur transition de l’état A à l’état B et la mise en place de mesures pour assurer l’adoption du changement.

Quelles sont les personnes qui vous ont le plus influencé dans votre parcours?

Mes plus grandes influences sont les personnes avec qui j’ai eu le plaisir de collaborer et les divers projets auxquels j’ai contribué. La gestion du changement regroupe des gens avec de multiples expériences et c’est ceci qui crée une richesse dans notre domaine. C’est aussi ce qui nous permet d’élaborer des stratégies créatives et innovatrices, centrées sur l’humain et sa transition.

Pourquoi vous intéressez-vous à la cybersécurité en particulier?

La cybersécurité est un sujet clé dans notre société digitale. Nous sommes tous concernés, ne serait-ce qu’en tant que propriétaires et/ou utilisateurs d’outils numériques par lesquels circulent nos informations. Dr Benoît Dupont, Professeur à l’École de criminologie de l’Université de Montréal et spécialiste en cybersécurité, nous rappelle « qu’un crime sur deux au Canada est commis sur Internet ». La cybersécurité est donc un incontournable de toute entreprise et institution ayant des projets impliquant des outils TI. Il est donc primordial pour les experts en gestion du changement de rappeler que l’humain reste au centre de ces transformations : pour insuffler de bonnes pratiques en matière de cybersécurité, sans humains, il n’y a pas de succès.

Comment votre travail est-il en lien avec la cybersécurité ?

Mes nombreuses années d’expérience dans le domaine de la gestion du changement m’ont permis de travailler sur différents projets TI, incluant l’accompagnement de la mise en place d’outils technologiques pour supporter les bonnes pratiques de sécurité de l’information en entreprise. J’ai pu constater le manque de sensibilisation, d’éducation et de formation à ce sujet. La mise en place de solution TI, en soit, n’est pas suffisante. Les technologies comme l’intelligence artificielle et le “Blockchain” apportent de nouvelles possibilités technologiques, mais les meilleurs outils TI n’ont malheureusement pas la capacité d’améliorer les pratiques de cybersécurité par eux-mêmes. Les individus qui travaillent quotidiennement avec ces outils doivent être sensibilisés, formés et éduqués aux risques et conséquences en lien avec la cybersécurité. C’est ici que la gestion du changement apporte toute sa valeur ajoutée. En effet, c’est la gestion du changement qui se charge de la composante humaine en s’assurant que la mise en place de nouveaux outils soit accompagnée d’une stratégie qui permet aux individus de comprendre le quoi et le pourquoi de la solution en cybersécurité; incluant les bénéfices, les risques et le rôle important qu’ils jouent dans son succès. Lorsque ces étapes sont correctement réalisées, l’adoption et la saine utilisation des nouvelles façons de faire en cybersécurité sont effectives.

Beaucoup de gens en cybersécurité s’intéressent à la technologie plutôt qu’à l’humain derrière celle-ci. Lorsque nous nous sommes rencontrées, vous avez mentionné que, souvent nous oublions l’aspect humain de la technologie. D’après vous, quel impact cela pourrait avoir?

Une approche en cybersécurité totalement axée sur la technologie nous mènerait inévitablement vers des solutions essentiellement techniques. Cela augmenterait considérablement le risque d’un manque d’adoption et d’utilisation de la part des utilisateurs de ces solutions. La cybersécurité dépend largement des comportements des individus. Les outils les plus performants, s’ils sont mal utilisés, ou mis en place sans structure de sensibilisation, de formation et d’éducation, ne répondront pas aux objectifs des entreprises et institutions de manière efficace. Le meilleur outil ne peut pas prévenir que quelqu’un garde son mot de passe écrit sur un “Post-it” collé à son écran, parce qu’il trouve ça trop compliqué de s’en souvenir! C’est en mettant l’humain au centre de nos solutions élaborées que nous allons réussir à changer ces comportements à risques et mettre en place de bonnes pratiques durables.

La gestion du changement encadre le volet humain des projets : car sans humains, il n’y a pas de succès!


COMMUNITY PROFILE

The SERENE-RISC network wants to share with its members profiles of people working in the field of cybersecurity.

The Network aims to be a place for cybersecurity information exchange, recognized as an open, inclusive and unbiased. Through those profiles, SERENE-RISC provide you this opportunity to deploy and enhance your cybersecurity knowledge among our members.

Would you like to share your cybersecurity experience with our community? Do not hesitate to contact our marketing communications coordinator Marie-Claude Allard at marie-claude.allard.1@umontreal.ca

We want to hear from you!


This week we had the pleasure to interview Stéphanie Amram, a change management consultant to discuss her journey as well as her involvement in cybersecurity.

Hello! My name is Stéphanie Amram, President of S.A.M. Consulting. I am a Change Management Consultant with over 10 years experience who is passionate about people, technology and the (sometimes complex) association between the two!

Tell us about your experiences.

I have a BA in Psychology and a MSc in Management. Humans and their behaviour are at the heart of my career path. How do people react when faced with the constant evolution of their environment? What are the impacts on individuals when they are exposed to multiple changes simultaneously? How can we support them through all these changes, while ensuring that their experience will be as positive as possible? The answer came naturally in the form of a career in Change Management. This discipline bases itself on the analysis of an ‘as is’ situation, versus a ‘to be’ situation. An organizational transformation, an IT transformation, the deployment of a new cybersecurity tool… Understanding the gaps between these two situations allows us to establish a diagnosis of the changes at hand and to propose strategies needed to meet them. At the heart of the strategy is the individual: preparing people for the change, managing their transition from State A to State B and the implementation of measures to ensure their adoption of the change.

Who has influenced you the most in your career?

My greatest influences have been the people I’ve had the pleasure of working with and the various projects I’ve contributed to. Change Management brings together people with  diverse backgrounds and experiences and this creates a richness in our field. It’s also what allows us to develop creative and innovative human-centered strategies for change.

Why are you interested in cybersecurity in particular?

Cybersecurity is a key issue in our digital society. We are all concerned by it as owners and/or users of digital tools within which our information circulates. Dr Benoît Dupont, professor at the School of Criminology at the University of Montréal and a cybersecurity specialist, reminds us “that one in two crimes in Canada is committed on the Internet”. Cybersecurity is an unavoidable topic for all organizations and institutions working on projects using IT tools. It is therefore vital for Change Management experts to keep humans front and center within these transformations to ensure the integration of cybersecurity best practices – because without humans, there will be no success.

How is your work related to cybersecurity?

My several years of experience in the field of Change Management allowed me to work on a large number of IT projects, including the deployment of IT tools to support information security within organizations. Over the years, I’ve came to the conclusion that there is a lack of awareness, of education and of training with regard to information security. The deployment of IT tools in itself is not enough. Technology such as Artificial Intelligence and Blockchain bring interesting new possibilities for information security, but unfortunately, even the best IT tools do not have the ability to improve cybersecurity practices on their own. Individuals working on a daily basis with these tools must be made aware, trained and educated with respect to the risks and consequences of poor Cybersecurity practices. This is where Change Management brings its added value. It is Change Management which takes charge of the human component. It does so by ensuring that the deployment of new tools is supported by a strategy that allows people to understand the what and the why of the cybersecurity solution. As well as the benefits and the risks and, most importantly, the key role individuals play in its successful implementation. It is when these key steps are taken that we can ensure the adoption, effectiveness and proper utilization of new cybersecurity practices.

Many people in cybersecurity are interested in technology rather than the human aspect of it. When we met, you mentioned that we often forget about the human side of technology. What impact do you think this could have?

A purely technologically-focused approach to Cybersecurity would inevitably lead us towards entirely technological solutions. This type of approach greatly puts at risk the adoption and use of these solutions. Cybersecurity depends largely on the behaviours of individuals. First-rate tools, when badly used or when deployed without the necessary structure in place to ensure awareness, provide training and education, will not meet the desired objectives set by the organizations and the institutions. The best tools will not prevent someone from keeping their password on a “Post-it” stuck to their screen because they find it too difficult to remember it! It is only by developing human-centered cybersecurity solutions that we will be successful in changing individuals’ at-risk behaviours and ensuring the adoption of best-practices in the long-term.

Change Management oversees the human component in projects – because without humans, there will be no success!