211service.com
Cybersécurité en 2020 : La montée en puissance du RSSI
Les violations de données ont enseigné aux entreprises de dures leçons en 2019. Un élément clé à retenir : elles ont besoin d'un responsable de la sécurité de l'information, déclare Stephanie Balaouras de Forrester.
24 février 2020
Réalisé en partenariat avec Sécurité Microsoft
Alors que la nouvelle année (et la nouvelle décennie) commence, une chose est certaine : la cybersécurité continuera d'avoir un impact croissant sur les entreprises, pour le meilleur ou pour le pire. Dans cet épisode, nous entendons Stephanie Balaouras, une experte en cybersécurité qui a parlé à des milliers de clients au cours de ses 15 années chez Forrester Research. Elle est vice-présidente et directrice de groupe de la recherche sur la sécurité et les risques, ainsi que de la recherche sur les infrastructures et les opérations.
Balaouras fait valoir que toutes les entreprises devraient avoir un responsable de la sécurité de l'information, ou CISO, car le monde des cybermenaces devient plus complexe et périlleux. 'Même les entreprises qui ont un CISO devraient examiner attentivement à quel niveau de l'organisation ils rapportent', déclare Balaouras. « Ont-ils le bon budget ? Ont-ils assez de personnel ? Leur avez-vous donné la bonne étendue de contrôle ?
Balaouras passe également en revue certaines des plus grandes tendances en matière de cybersécurité en 2019 et fait des prévisions pour 2020.
Business Lab est hébergé par Laurel Ruma, directrice d'Insights, la division de publication personnalisée de MIT Technology Review. L'émission est une production de MIT Technology Review, avec l'aide à la production de Collective Next. La musique est de Merlean, d'Epidemic Sound.
La cybersécurité ne consiste pas seulement à arrêter les menaces que vous voyez. Il s'agit d'arrêter ceux que vous ne pouvez pas voir. C'est pourquoi Microsoft Security emploie plus de 3 500 experts en cybercriminalité et utilise l'IA pour aider à anticiper, identifier et éliminer les menaces. Ainsi, vous pouvez vous concentrer sur la croissance de votre entreprise et Microsoft Security peut se concentrer sur sa protection. En savoir plus sur Microsoft.com/cybersecurity.
Afficher les notes et les liens
Forrester Research : Cybersécurité
Guide du RSSI pour la conduite du changement par Jinan Budge, Forrester Research
Le besoin d'une sécurité cloud complète, une interview de Stéphanie Balaouras, sur YouTube
Transcription complète
Laure Ruma : De MIT Technology Review, je m'appelle Laurel Ruma et voici Business Lab, l'émission qui aide les chefs d'entreprise à donner un sens aux nouvelles technologies qui sortent du laboratoire et qui arrivent sur le marché.
Les menaces de sécurité sont partout. C'est pourquoi Microsoft Security compte plus de 3 500 experts en cybercriminalité surveillant en permanence les menaces pour vous aider à protéger votre entreprise. Plus d'informations sur microsoft.com/cybersecurity.
Notre sujet aujourd'hui est la cybersécurité et plus particulièrement le rôle du directeur de la sécurité de l'information, le RSSI. Nous passerons également en revue les actualités sur la cybersécurité de 2019 et anticipons les tendances de la cybersécurité pour 2020. Un mot pour vous : Deepfakes. Mon invitée est Stephanie Balaouras qui est analyste en cybersécurité et a parlé avec des milliers de clients au cours de ses près de 15 ans chez Forrester Research. Stephanie est vice-présidente et directrice de groupe de la recherche sur la sécurité et les risques ainsi que de la recherche sur les infrastructures et les opérations. Stéphanie, merci beaucoup d'avoir parlé avec moi sur Business Lab.
Stéphanie Balaouras : Merci.
Laurier: Alors pour commencer, en 2017, Forester a publié un rapport de Jeff Pollard, un membre de votre équipe, sur les parcours professionnels des RSSI, les responsables de la sécurité de l'information. Et j'aime particulièrement parler de ce rôle car il est si nouveau pour les C-suites dans l'entreprise. Si Citibank vient de nommer le tout premier RSSI, en 1995, c'est vraiment de l'histoire récente. Mais si chaque entreprise est aussi une entreprise technologique, pourquoi toutes les entreprises n'ont-elles pas de RSSI ?
Stéphanie : Si vous regardez l'histoire d'autres rôles, comme je pense que le premier CMO, directeur du marketing était dans les années 1950, vous aviez encore des entreprises 20, 30 ans plus tard sans CMO. Ainsi, lorsque ces rôles émergents commencent, il faut un certain temps pour qu'ils deviennent la norme. Mais je dirai que chaque entreprise devrait vraiment avoir un CISO. Les sociétés cotées en bourse doivent obligatoirement avoir un CISO. Mais ce que nous constatons souvent, c'est que, selon la taille de l'entreprise, ils s'en sortent parfois en appelant le CIO également le CISO ou un autre responsable informatique le CISO également. C'est donc assez courant pour les petites entreprises - elles s'en tireront sans avoir un rôle autonome.
Mais ce que vous découvrirez également, c'est que s'ils ont une violation ou une sorte de problème majeur de cybersécurité ou même une violation majeure de la conformité liée à la sécurité des données, la première chose qu'ils feront est de nommer un CISO dédié. Et puis même les entreprises qui ont un CISO dédié, lorsqu'elles ont une violation, souvent ce qui se passe, c'est qu'elles se rendent compte que le CISO n'a pas signalé assez haut dans l'organisation ou n'a pas eu le bon éventail de responsabilités ou un budget suffisant ou suffisamment de personnes. Alors ils vont arranger ça. Le nom du CISO devrait être une exigence, mais je dirais que même les entreprises qui ont un CISO devraient examiner de près le niveau de l'organisation qu'elles rapportent. Ont-ils le bon budget ? Ont-ils assez de personnel ? Leur avez-vous donné la bonne étendue de contrôle?
Laurier: Parce que c'est une solution coûteuse, n'est-ce pas ?
Stéphanie : Oui, exactement.
Laurier: Ce n'est qu'après une attaque qu'il faut regarder les rôles et les responsabilités sous un jour nouveau, sous un jour plus responsable ?
Stéphanie : Exactement.
Laurier: Donc, si le CISO parfait est un peu à la fois un homme d'affaires qui peut parler directement au PDG, expliquer la nécessité de la sécurité et de l'atténuation des risques, mais aussi parler aux clients peut-être ainsi qu'à d'autres employés et parler de la sécurité et de la façon dont ce rôle est importante pour l'entreprise. D'où viennent ces gens ? Où obtiennent-ils toute cette éducation?
Stéphanie : Lorsque nous avons examiné les cheminements de carrière des RSSI, nous avons constaté que la plupart d'entre eux avaient gravi les échelons de la sécurité. Ils ont donc généralement commencé comme professionnels de la sécurité. Ils ont acquis des décennies d'expérience dans le rôle. Mais ce que nous avons souvent constaté, c'est que la majorité d'entre eux revenaient souvent pour des diplômes d'études supérieures, et ils recherchaient en fait un diplôme en commerce. Ils obtenaient souvent des MBA, et c'était parce qu'ils devaient satisfaire à ces deux exigences, c'est-à-dire que, oui, je suis un cadre technologique, mais en même temps, je suis un cadre technologique qui, dans une grande entreprise, rend compte au conseil d'administration sur une base trimestrielle ou relève directement du CIO ou directement du PDG. C'est donc certainement une combinaison d'éducation et d'expérience.
Je dirais que les universités réussissent mieux à offrir des diplômes de premier cycle et des cycles supérieurs en sécurité de l'information. Il y a des domaines où ils sont incroyablement faibles, comme la sécurité des applications n'est pas bien enseignée au premier cycle, voire pas du tout. C'est vraiment mal fait. L'autre chose dont je vais parler avec les universités, c'est qu'elles ne font pas du bon travail pour recruter des femmes dans les programmes de premier cycle et des cycles supérieurs. Il y a un énorme déficit de compétences ainsi qu'un problème de personnel dans le domaine de la sécurité, et chez Forrester, nous aimons dire que c'est en grande partie auto-infligé parce que nous ne recrutons pas parmi la moitié de la population, et nous ne recrutons pas de personnes d'horizons divers. Nous avons ce modèle d'individu à partir duquel nous recrutons, puis nous sommes choqués de ne pas trouver suffisamment de personnes avec cet ensemble de compétences très restreint, donc.
Laurier: Oui, le rapport indique que neuf RSSI sur 10 sont des hommes.
Stéphanie : Exactement exactement. Nous n'avons pas encore regardé la fin de 2019, mais ces deux dernières années, c'est vrai. Et si vous regardez aussi le personnel, c'est pire que l'industrie de la sécurité générale. C'est à environ 11% du personnel de sécurité sont des femmes. C'est pire que l'informatique générale. L'informatique générale a également un problème, mais c'est plutôt entre 20% et 30%, donc la sécurité est encore pire.
Laurier: Ainsi, lorsque nous parlons de manque de diversité dans la sécurité en général, comment les entreprises essaient-elles de répondre à cela ? Voyez-vous des entreprises en particulier montrer les meilleures pratiques ?
Stéphanie : Il existe certainement des bonnes pratiques. En fait, j'ai vu beaucoup de fournisseurs, comme de grands fournisseurs de technologie, ils s'associent en fait avec des universités et ils s'associent même au niveau secondaire. Par exemple, avec les Girl Scouts of America, pour encourager des programmes qui suscitent l'enthousiasme et l'intérêt des filles pour la cybersécurité dès leur plus jeune âge et qui souhaitent ensuite continuer à la poursuivre au niveau du premier cycle et des cycles supérieurs. Dans un certain nombre d'universités, il existe des programmes de bourses assez agressifs.
Et puis il y a aussi beaucoup d'introspection qui se passe au niveau de l'entreprise où nous examinons en quelque sorte la culture des équipes de sécurité. Nous examinons de nombreuses voies traditionnelles à partir desquelles nous recrutons, c'est-à-dire des conférences à prédominance masculine ou encore, nous avons ces descriptions de poste qui mettent l'accent sur une grande partie de l'expérience militaire, par exemple. C'est donc un peu comme élargir l'ouverture des personnes qui recruteront dans l'industrie de la sécurité, une volonté de développer leurs compétences et de faire un bien meilleur travail pour remplir réellement l'entonnoir, remplir le pipeline réel sur le long terme.
Mais selon vous, les équipes diversifiées prennent de meilleures décisions et, à long terme, elles sont plus performantes. Et puis la deuxième chose que je dirais, c'est qu'il y a tellement d'emplois ouverts dans la sécurité, pas seulement aux États-Unis, mais aussi dans le monde. C'est aussi un problème de maths. Nous n'allons pas pourvoir ces postes vacants si nous ne recrutons pas parmi la moitié de la population.
Laurier: De plus, il semblait que peu de talents en sécurité étaient nécessairement promus de l'intérieur. Dans les rapports de Forrester, il semblait que vous aviez plus de chances d'obtenir une promotion si vous alliez dans une autre entreprise. Les entreprises réexaminent-elles désormais leurs propres talents ?
Stéphanie : C'est en fait vrai au niveau individuel ainsi qu'au niveau du RSSI. Nous avons donc constaté parmi les Fortune 500 que les RSSI débutants étaient rares et qu'ils n'étaient pas promus de l'intérieur. Ils aimeraient donc embaucher des RSSI à l'extérieur, et ils voulaient des RSSI qui avaient une expérience préalable en tant que RSSI. Et en fait, si vous êtes quelqu'un dans la sécurité, cela signifie que si vous voulez être promu RSSI, votre meilleure opportunité est en fait de regarder à l'extérieur, à l'extérieur de votre entreprise. Et nous avons également constaté que lorsque les entreprises embauchaient des RSSI à l'externe plutôt que de les promouvoir de l'intérieur, elles étaient plus susceptibles de les faire rapporter plus haut dans l'organisation. Alors oui, au niveau du RSSI, les entreprises pourraient faire un meilleur travail en regardant à l'intérieur et en donnant à ces personnes la bonne opportunité de rapporter plus haut dans l'organisation.
Mais nous avons également constaté des choses similaires au niveau des managers et des contributeurs individuels, c'est-à-dire qu'ils n'embauchaient pas au sein de l'entreprise ou lorsqu'ils embauchaient des individus, ils ne leur offraient pas de bons cheminements de carrière et un développement continu des compétences. Donc, encore une fois, si ces personnes voulaient vraiment poursuivre leur carrière, la plupart d'entre elles ont fini par partir. C'est pourquoi nous disons qu'une si grande partie des problèmes de compétences et de dotation sont entièrement auto-infligés.
Laurier: C'est donc un peu un angle mort sur lequel tout le monde pourrait probablement faire un peu mieux, n'est-ce pas ?
Stéphanie : Exactement. Ouais.
Laurier: Je lisais ce rapport du Ponemon Institute, et cette phrase particulière m'a sauté aux yeux et alors que nous parlions du CISO et du type de personne qui jouerait ce rôle en premier lieu et de l'expérience qu'ils avaient, plus qu'un simple CV, c'est aussi votre attitude et votre capacité à agir très rapidement et très intelligemment et aussi très bien communiquer. Mais la citation était, et je paraphrase un peu ici, que la technologie a transformé l'ère d'Internet en une période de cruels miracles pour les professionnels de la sécurité. Tous nos miracles cruels sont que nous avons des appareils dans chaque poche. Nous pouvons aller n'importe où, nous pouvons parler à n'importe qui à tout moment, et nous pouvons le faire à la vitesse de l'éclair, mais en même temps, si vous êtes un CISO, comment sécurisez-vous tout cela ?
Stéphanie : À droite. Ouais. Tous ces appareils qui étendent les quatre murs de l'entreprise étendent essentiellement la surface d'attaque de l'organisation. Donc, pour les RSSI, il s'agit en quelque sorte de s'éloigner d'une approche traditionnelle de la sécurité basée sur le périmètre et d'adopter en fait une approche plus centrée sur les données et sur les applications, et je dirais même une approche de la sécurité centrée sur l'identité.
Non pas que le réseau ne soit pas important, la sécurité du réseau est extrêmement importante, mais c'est plutôt l'approche de la sécurité basée sur le périmètre qui a radicalement changé. Encore une fois, là où il n'y a pas de vrais quatre murs de la société. Le périmètre est en fait beaucoup plus petit. On a donc tendance à penser à des enclaves sécurisées. Comment construire un micro périmètre autour de nos atouts les plus importants ?
Lorsque nous parlons d'un réseau étendu de toutes sortes d'appareils comme vous l'avez mentionné ou de l'environnement informatique lui-même, qui peut être une combinaison de cloud sur site, de cloud privé hébergé, et de toutes leurs variantes et de tout type de population d'utilisateurs qui interagit avec les systèmes et les données de l'entreprise. Cela pourrait être vos propres employés, cela pourrait être des consommateurs et des clients, cela pourrait être des partenaires tiers. Ainsi, lorsque vous pensez aux appareils, aux populations d'utilisateurs et aux différents modèles informatiques, il n'y a pas de périmètre. Ainsi, l'accent est mis sur la protection des données elles-mêmes, quel que soit l'endroit où elles se déplacent et quel que soit le modèle d'hébergement ou l'emplacement. Vraiment, vraiment un regard dur sur l'identité. Donc, limiter et faire respecter strictement l'accès, à la fois humain et non humain. Cela renverse donc en quelque sorte le paradigme de la sécurité traditionnelle. Vous passez d'une approche centrée sur le périmètre à une approche centrée sur les données et l'identité.
C'est ce que nous recommandons généralement aux RSSI. Et nous appelons cela le modèle de sécurité zéro confiance, qui consiste à supposer que vous avez déjà une brèche, et vous n'assumez jamais la confiance dans votre environnement. Vous supposez toujours que quelque chose ne va pas quelque part, mais cela fonctionne. Ce n'est peut-être pas la tournure la plus positive au monde, comme, oh, zéro confiance, mais ça marche. C'est très efficace.
L'autre chose que je dirais, c'est que j'encouragerais vraiment les fabricants de tous ces appareils, capteurs IoT, appareils IoT, tout ce à quoi vous pouvez penser à vraiment faire un meilleur travail pour intégrer la sécurité dans l'appareil lui-même dès le début. Cela faciliterait certainement le travail du CISO. C'est tellement frustrant. C'est aussi en grande partie hors de leur contrôle.
Laurier: À droite? Eh bien, surtout—
Stéphanie : Sauf pour les CISO qui travaillent réellement dans des entreprises de produits. Vous devez être impliqué dans le développement de produits. Vous devriez conseiller l'organisation.
Laurier: Et c'est intéressant parce que la sécurité ne passe pas toujours en premier, n'est-ce pas ?
Stéphanie : Non.
Laurier: Surtout quand vous faites de la conception de produits. Alors, voyez-vous cela se produire souvent? Des RSSI activement impliqués dans la conception des produits ?
Stéphanie : Pas à ce jour, malheureusement, mais c'est quelque chose que nous recommandons. Et je dirais que certains RSSI ne voient pas nécessairement cela comme leur rôle traditionnel, comme leur rôle traditionnel a été de sécuriser les systèmes back-end d'enregistrement et d'infrastructure et les données de l'entreprise et de ne pas nécessairement s'impliquer dans le développement, mais nous sommes en fait activement encouragez les RSSI à s'impliquer dans la conception et le développement des produits pour vraiment aider l'organisation à sécuriser ce que vous vendez. Donc, quoi que vous vendiez, quel que soit le service que vous offrez à un consommateur, un patient, un citoyen, une autre entreprise, si vous êtes une organisation B2B, vous êtes activement impliqué dans la sécurisation de ce que vous vendez.
Laurier: Et c'est certainement un différenciateur concurrentiel, n'est-ce pas ?
Stéphanie : Ouais, absolument. Absolument. Nous avons constaté que la sécurité, ainsi que la confidentialité - et ce ne sont pas des synonymes, mais parfois ils vont de pair - créent une différenciation concurrentielle pour les entreprises.
Laurier: Ouais. Et c'est un différenciateur important, et tout le bruit que vous avez en sortant. Donc, s'il y a quelque chose de très spécifique que vous pouvez commercialiser, ce serait une bonne chose. Mais nous parlons aussi en quelque sorte du fait que le RSSI joue un rôle actif dans tout. Vous devez donc être cette personne aux multiples talents qui peut parler et comprendre le produit ainsi que se déplacer dans la communauté, n'est-ce pas ? Tout en partageant, mais pas en partageant, les secrets d'entreprise et la façon dont vous défendez les données, car il y a cette idée, en particulier dans la communauté technologique, où vous partagez vos meilleures pratiques et ce que vous avez appris. Et je me demandais un peu à ce sujet, comment les RSSI partagent-ils mais ne partagent-ils pas tout ?
Stéphanie : Oui, il y a ce défi. De nombreux RSSI répugnent à parler des détails de leurs déploiements, et je ne vois pas nécessairement cela changer de sitôt. Parfois, dans des groupes plus petits, de nombreuses communautés soutiennent les RSSI. En fait, chez Forester, nous avons un groupe de réseautage entre pairs d'environ 100 RSSI. Il existe toutes sortes d'ISAC et de communautés de partage de renseignements parmi les RSSI qui sont spécifiques à l'industrie. Très souvent, dans les communautés soudées où l'on comprend que tout est sous NDA, où il y a de la franchise, où il y a des relations personnelles, les RSSI partageront beaucoup plus. Mais j'ai trouvé des RSSI disposés à parler de stratégie globale. Lorsque j'ai mentionné le passage d'approches basées sur le périmètre à des approches centrées sur les données et l'identité. Parler de culture. La culture est en fait extrêmement importante, non seulement pour le RSSI, mais également pour le reste de l'organisation de la sécurité.
Parce que vous avez besoin d'une organisation qui a le bon type de personnel qui peut réellement parler aux développeurs et faire partie du développement d'applications sécurisées, qui peut travailler avec les équipes d'infrastructure et d'exploitation pour sécuriser les déploiements cloud. Cela pourrait en fait fonctionner avec les équipes marketing pour les aider à comprendre les implications en matière de confidentialité de la manière dont ils pourraient personnaliser les services, les données et les publicités pour les consommateurs. Vous avez donc besoin que l'équipe de sécurité elle-même, pas seulement le CISO, l'équipe de sécurité elle-même soit vocale et franche, collaborative et disposée à s'insérer dans les processus métier et informatiques de base de toute l'organisation. Ils parleront donc de culture, ils parleront de dotation en personnel, ils parleront également du type de compétences requises. Nous voyons certainement des changements là-bas.
Laurier: Et aussi l'entreprise doit être prête à permettre à la sécurité de boucler la boucle sur cette idée, mais pas seulement sur le produit, mais aussi sur tous les autres. Donc, le marketing, en pensant, encore une fois, à la sécurité d'abord ou à la sécurité à un moment donné. Comment avez-vous alors cette conversation, pour que tout le monde soit un peu éduqué? Vous n'avez pas besoin d'être un expert en sécurité si vous êtes dans le marketing, mais vous devez être prêt à écouter.
Stéphanie : Souvent, les RSSI racontaient les histoires et tout était sombre et sombre. Je pense qu'en adoptant une approche beaucoup plus basée sur les risques, vous aidez l'entreprise à comprendre les risques futurs et les aidez à comprendre à la fois la probabilité et l'impact et les conseillez sur la prise de bonnes décisions, comme passer de ce département de non à plus de cette consultation Je pense que le rôle aide. Plus vous devenez cet expert consultatif en la matière, plus je pense que vous pouvez amener le reste de l'organisation avec vous. Je pense que c'est une grande aide et cela varie en quelque sorte selon les compétences du RSSI quant à sa capacité à le faire. Je pense que chaque fois que vous pouvez mettre les choses en termes commerciaux positifs, cela aide.
Il y avait un analyste de mon équipe qui a écrit ce rapport, il s'appelait la sécurité pour le profit, et il y décrivait comment la sécurité pourrait potentiellement générer des revenus pour l'entreprise. Encore une fois, il peut s'agir de fonctionnalités à valeur ajoutée que les gens étaient prêts à payer plus, ou cela devient un différenciateur concurrentiel dans un produit ou un service que vous proposez. Cela pourrait donc réellement contribuer à la ligne du haut. Et puis il a également décrit tous les moyens qui peuvent réellement faire économiser de l'argent à l'entreprise au-delà de l'évitement des violations et de l'évitement des amendes de conformité.
Il y a toutes sortes de façons où, si vous faites bien la sécurité, cela peut en fait améliorer considérablement l'expérience des employés et réduire les coûts opérationnels au sein de l'entreprise. L'identité est l'un des plus grands exemples, lorsque vous pensez à l'intégration d'un employé et à la possibilité d'automatiser toutes les façons dont vous lui donnez accès aux systèmes dont il a besoin. Réinitialisation des mots de passe. Je veux dire, il y a tellement de fruits à portée de main où vous pouvez faciliter la vie des employés, mais en fait, vous réduisez vraiment les coûts essentiels.
Laurier: Ouais. Et c'est certainement quelque chose auquel vous ne pensez pas, mais vous êtes certainement frustré lorsque vous devez refaire votre mot de passe et que cela prend une éternité et/ou que vous devez passer sur un système différent et bla, bla, bla. Mais ce type de rationalisation n'est pas seulement du point de vue de la sécurité, mais comme vous l'avez dit, c'est du point de vue de chacun pour simplement se faciliter la vie, ce que veut finalement chaque employé.
Stéphanie : Ouais.
Laurier: Alors, comment les RSSI restent-ils au fait des dernières tendances ? Je veux dire, des conférences, ces petits groupes auxquels ils parlent ?
Stéphanie : Oui, je pense qu'ils font leurs propres recherches, qu'il s'agisse de publications comme la vôtre, d'entreprises comme Forrester, d'autres grands cabinets de conseil en stratégie également. Ils font leurs propres recherches cependant. Ils enverront souvent leur personnel à de nombreuses conférences. Et puis je pense que ces groupes de réseautage entre pairs aident énormément aussi. Mais il est difficile de rester au fait de toutes les tendances possibles. Je pense donc qu'il est toujours utile d'avoir une sorte de conseil externe également, pour vous donner une idée des menaces émergentes, des risques émergents, de la conformité émergente et des réglementations qui se produisent partout dans le monde.
Laurier: Ouais, et puis comme vous l'avez dit, avoir ce groupe de pairs pour établir la confiance et une sorte de transparence avec le partage des meilleures pratiques et juste entendre diverses histoires, même si c'est d'un ami que j'ai entendu, pour faire passer ces avertissements à diverses organisations et personnes. En parlant de cela, à part ces groupes de pairs, y a-t-il beaucoup de coopération entre le gouvernement et les entreprises ? En voyez-vous davantage ou les gens restent-ils à peu près dans leur voie parce qu'il y a d'autres conflits à craindre avec les entreprises et les gouvernements ?
Stéphanie : Ouais. Aux États-Unis et en fait dans d'autres pays comme le Royaume-Uni, si vous êtes considéré comme une industrie d'infrastructures essentielles, vous devrez entretenir des relations étroites avec les représentants du gouvernement fédéral. Si vous êtes dans les infrastructures critiques, je veux dire, il y aura des réglementations de cybersécurité spécifiques à l'industrie que vous devrez suivre, vous savez, si vous êtes dans l'énergie. Je veux dire, même les services financiers sont considérés comme des infrastructures essentielles. Alors, vous devrez suivre les directives du NIST, par exemple. Toute personne faisant affaire avec le gouvernement fédéral devra suivre le NIST.
Vous ne voulez pas attendre pour nouer des relations avec le gouvernement fédéral ou des agences spécifiques, comme le FBI. Vous ne voulez pas attendre de soupçonner quelque chose ou d'avoir une infraction. Ou dans de nombreux cas, c'est l'inverse, c'est-à-dire qu'ils ont détecté quelque chose, ils vous en avertissent. Parfois, ils ne peuvent pas vous donner de détails parce qu'ils ont les mains liées dans le cadre d'une enquête plus vaste. Vous pouvez donc développer à l'avance des relations avec de nombreuses agences du gouvernement fédéral américain, afin de pouvoir partager des renseignements sur les menaces. Ou encore, si quelque chose se produisait réellement, vous avez déjà ces relations préexistantes en place.
Laurier: Oui, et en parlant de quelque chose qui se passe déjà et de plans de préparation, voyez-vous plus d'entreprises développer ces plans de préparation, encore une fois, pas si, mais quand elles sont piratées ou qu'une cyberattaque se produit et qu'elles doivent le rendre public ?
Stéphanie : Donc, avec la réponse aux incidents, il y a une sorte de réponse interne aux incidents, qui est en quelque sorte tous les processus que vous devez détecter, puis corriger, puis répondre. Et une grande partie de la réponse est plus de ce que nous appelons une sorte de réponse de niveau médico-légal : déterminer exactement ce qui s'est passé, y remédier, éventuellement collecter des preuves médico-légales si vous avez décidé que vous alliez réellement intenter une action en justice, selon qui c'était par la suite . Ensuite, il y a la réponse externe, et vous avez vraiment besoin des deux. Vous avez vraiment besoin d'une réponse aux incidents, d'un processus et d'une initiative sophistiqués au sein de l'entreprise avec des experts dédiés, en particulier si vous êtes une grande entreprise.
Mais je pense que là où les entreprises échouent souvent, c'est dans la réponse aux violations externes. Et encore une fois, la réglementation exige que si c'est lié aux consommateurs, s'il s'agit de personnes concernées, vous devez les aviser dans des jours précis. Dans de nombreux cas, c'est 30 jours. Sous GDPR en Europe, c'est 72 heures ou moins. Et nous avons vu des entreprises bâcler royalement la réponse externe à la violation, ce qui signifie qu'elles étaient réticentes à fournir des informations aux consommateurs.
Je ne veux pas m'en prendre aux entreprises parce que blâmer les victimes n'est souvent pas très utile, mais j'ai vu des entreprises blâmer le consommateur, d'une certaine manière, en disant : 'Oh, si vous aviez une meilleure hygiène des mots de passe, si vous surveillaient vos propres comptes de beaucoup plus près, cela n'aurait pas un impact aussi important. Non. Vous devez faire preuve d'empathie envers vos clients. Mettez-les en premier. Faites tout votre possible pour les protéger. Ne soyez pas réticent à partager des informations à cause des préoccupations de l'ACY. Et dans certains cas, si vous le faites correctement, c'est une opportunité de ne pas perdre leur confiance, mais potentiellement même de la renforcer et de la développer, si vous les avez mis en premier. Mais vous pouvez vraiment le rater et rendre la brèche bien pire qu'elle ne devrait l'être.
Laurier: Et cela a juste coûté encore plus d'argent à l'entreprise.
Stéphanie : Exactement.
Laurier: Lorsque vous regardez en arrière en 2019 et qu'il y a beaucoup à dire sur la cybersécurité, si nous examinons en quelque sorte trois domaines spécifiques, tout d'abord, ce ne sont que les cyberattaques, mais très spécifiquement sur les villes et les municipalités. La Nouvelle-Orléans était donc la plus récente, à la fin de l'année, que nous connaissions, mais elle suivait également l'attaque de cybersécurité de l'État de Louisiane. Nous savons que cela se produit partout au pays. Donc, pour poser une question très chargée, pourquoi les villes et les municipalités sont-elles ciblées par des cyberattaques alors qu'elles ne sont pas nécessairement les mieux financées ?
Stéphanie : Ouais. C'est pourquoi, parce que ce sont des cibles faciles. Donc, s'ils sous-financent leurs efforts de sécurité depuis des années, ils sont beaucoup plus faciles à pénétrer et à demander ensuite une rançon, même si la rançon est faible.
Laurier: C'est mieux que rien.
Stéphanie : C'est mieux que rien. C'est en fait le consensus d'une grande partie de l'équipe, c'est qu'un si grand nombre de ces gouvernements et municipalités locaux, municipaux et étatiques sont des cibles si faciles parce qu'ils ont été sous-financés et en sous-effectif pendant des années. Et la plupart du temps, il y a la motivation financière, mais il y a d'autres types de motivation. Cela peut être politique, social. Si vous arrivez à un plus grand type d'États ou d'agences fédérales, vous pourriez même entrer dans la géopolitique et même militaire dans une partie de la nature.
En fait, la ville de la Nouvelle-Orléans, ce qui était intéressant là-dedans, c'est que les attaquants n'ont pas demandé de rançon. Ils ont donc utilisé un rançongiciel pour les désactiver. Tout était crypté et les forçait. Je pense qu'ils remplaçaient des tonnes d'infrastructures informatiques. Il peut être très difficile de récupérer à partir de sauvegardes. Nous disons cela avec tant de désinvolture, comme 'Oh, récupérez simplement à partir de vos sauvegardes'. La plupart des sauvegardes comportent des erreurs et la possibilité de récupérer à partir d'une sauvegarde à grande échelle est en fait très, très difficile. Et qui sait quand le rançongiciel a été réellement introduit ? Alors vous réinstallez simplement le ransomware.
Laurier: Intéressant.
Stéphanie : Mais ouais. D'après ce que j'ai compris, ils n'ont pas demandé de rançon. Leur motivation n'était donc pas financière. Donc ça aurait pu être...
Laurier: Juste une perturbation.
Stéphanie : ... juste une perturbation pour le plaisir de le faire.
Laurier: Pour voir s'ils pouvaient le faire, ouais.
Stéphanie : Ou assez intéressant, j'ai lu cet article où il a obligé la ville à remplacer une tonne d'infrastructures informatiques, d'ordinateurs portables, d'ordinateurs de bureau, d'infrastructures de serveurs. Il y a donc une partie de moi qui se demande : 'Oh, ça pourrait être des employés de la ville'. Je sais comment faire évoluer la ville.
Laurier: D'accord, d'accord. Forcez-les.
Stéphanie : Forcez-les.
Laurier: En gâchant tout.
Stéphanie : Ouais. Ce sont donc des cibles faciles et les motivations de l'attaque sont très variées, je pense, en ce qui concerne les infrastructures critiques, puis la ville, l'État et le gouvernement local.
Laurier: Et ce n'est pas nécessairement lorsqu'une rançon est demandée qu'on découvre d'où ils viennent, qui ils sont ou s'il s'agit d'acteurs étatiques étrangers.
Stéphanie : Oui, tu ne sais pas forcément.
Laurier: Tu ne sauras jamais. C'est juste une supposition.
Stéphanie : Ouais. En fait, nous avons publié cette année un rapport controversé qui disait que, dans certains cas, les organisations pourraient envisager de payer la rançon. Je vais être honnête, je pense que pour les gouvernements municipaux, étatiques et locaux, il pourrait leur être interdit de payer la rançon. Je ne sais pas. Il faudrait que je me penche là-dessus, mais les entreprises du secteur privé, même si je suis sûr que le FBI et d'autres organismes d'application de la loi préféreraient qu'ils ne le fassent pas, dans certains cas, cela pourrait en fait avoir du sens. Et les cyber-assureurs diraient même que cela pourrait avoir du sens dans certains cas. Et il existe en fait des entreprises spécialisées dans l'aide aux entreprises pour payer la rançon. Parfois, vous pouvez en fait négocier une rançon moins élevée. C'est comme du troc. Ils joueront le rôle d'intermédiaire entre les différents personnages de l'entreprise. De toute évidence, vous les payez dans une crypto-monnaie. Vous ne faites pas que transférer de l'argent.
Laurier: Bien sûr.
Stéphanie : Ils peuvent donc également faciliter cela. Je veux dire, si vous regardez la ville de Baltimore, ce qu'ils ont fini par dépenser pour se remettre de l'attaque du rançongiciel était probablement cent fois plus que la rançon réelle. J'oublie les chiffres, mais la différence était ridicule.
Laurier: Donc, un conseil aux villes et aux municipalités serait d'examiner réellement vos systèmes et d'essayer de les mettre à jour et de les protéger, d'une manière ou d'une autre.
Stéphanie : Ouais. Certes, avec les ransomwares, assurez-vous que tous vos systèmes sont à jour et corrigés. Si vous regardez les attaques les plus réussies, les attaques externes, elles profitent des vulnérabilités et d'autres types d'exploits logiciels. Ce n'est rien d'extraordinaire. Tout le monde aime toujours utiliser des attaques avancées ou des attaques parrainées par l'État. La réalité est que la plupart de ces attaques sont à petit budget, mais toujours efficaces.
L'autre chose est de regarder de près vos sauvegardes. Je ne saurais trop le souligner. Les gens négligent toujours leurs sauvegardes. Cela devient ce processus informatique par cœur que personne ne regarde jamais à deux fois ou que les gens le rabaissent et le qualifient de non important. Cela pourrait être plus important aujourd'hui si vous ne voulez pas payer la rançon.
****
Laurier: La cybersécurité ne consiste pas seulement à arrêter les menaces que vous voyez. Il s'agit d'arrêter ceux que vous ne pouvez pas voir. C'est pourquoi Microsoft Security emploie plus de 3 500 experts en cybercriminalité et utilise l'IA pour aider à anticiper, identifier et éliminer les menaces afin que vous puissiez vous concentrer sur la croissance de votre entreprise et que Microsoft Security puisse se concentrer sur sa protection. En savoir plus sur microsoft.com/cybersecurity.
****
Laurier: Donc, un autre sujet intéressant sorti en 2019 n'était que les violations de données générales. Donc, en 2019, il semblait vraiment que, tous les deux jours, une entreprise ou quelqu'un annonçait une violation de données. Et puis, selon Risk Based Security, 2019 a vu plus de sept milliards d'enregistrements exposés. Donc, quand nous revenons aux RSSI, comment les RSSI et les dirigeants d'entreprise réagissent-ils vraiment à cela si 2019 était en quelque sorte cette année où nous [avons vu tant] d'infractions, en un an ?
Stéphanie : Ouais. Je pense que 2019 a finalement été l'année de la fatigue des ruptures. Je veux dire, c'était même difficile pour nous de suivre chaque brèche qui faisait la une des journaux. Je pense que cela aide à mettre les choses en perspective. Toutes ces violations n'étaient pas une attaque. Beaucoup d'entre eux étaient en fait le résultat d'expositions accidentelles. Donc, si, par exemple, vous avez mal configuré le stockage en nuage, cela est en fait considéré comme une violation, même s'il n'y a pas nécessairement de preuve qu'un tiers ou un attaquant externe ou une organisation a réellement abusé ou abusé des données. Juste le fait que quelqu'un en interne ou, souvent, c'est le chercheur en sécurité qui découvre que toutes les informations étaient moins exposées. C'est considéré comme une infraction.
Mais ouais. Si vous regardez les violations elles-mêmes, 51 % des entreprises ont eu au moins une violation au cours de l'année écoulée. Et ce nombre est probablement plus élevé car de nombreuses organisations ne le savent pas immédiatement. Mais ensuite, il y en a un grand pourcentage, en fait la majorité, qui sont internes, à la suite d'incidents internes, d'incidents de tiers ou simplement d'appareils perdus ou volés. Et si vous regardez les véritables violations externes, où c'est une partie externe qui vous a attaqué et a eu accès à vos données sensibles, revenant à une grande partie de son petit budget, les trois principaux vecteurs d'attaque étaient une attaque directe sur votre application, tirer parti d'une vulnérabilité logicielle ou d'informations d'identification d'utilisateur compromises.
Et les trois d'entre eux, si vous le regardez... Je déteste être désinvolte et dire que c'est facile à résoudre, mais cela ne nécessite pas nécessairement la technologie logicielle la plus avancée, mais c'est le développement d'applications sécurisées. Pour en revenir à l'ensemble du développement et de la conception de nos produits, il s'agit simplement de s'assurer que les applications que vous développez et qui sont destinées aux clients sont sécurisées dès la conception, c'est-à-dire que vous y intégrez la sécurité dès le départ. Cela réduira un grand nombre d'attaques directes contre les applications. Et puis une fois que les applications sont déployées en production, encore une fois, protégez-les avec tout, des pare-feu d'applications Web à d'autres types de mesures de sécurité qui enveloppent en quelque sorte l'application et les protections.
L'autre chose, ce sont les exploits logiciels. Tant d'attaquants profitent simplement de vulnérabilités qui n'ont pas été corrigées. Donc, avoir un programme de gestion des vulnérabilités vraiment solide - ce n'est pas le sujet le plus sexy au monde, la gestion des vulnérabilités, mais les entreprises n'ont pas vraiment un bon moyen de hiérarchiser les vulnérabilités et de les résoudre ensuite.
Laurier: Et ce sont des fruits à portée de main.
Stéphanie : Ces fruits à portée de main. Et puis la compromission des informations d'identification de l'utilisateur, l'authentification multifacteur.
Laurier: Oui. Allez sur votre téléphone. Tapez le mot de passe. On s'y est quand même pas mal habitué.
Stéphanie : À droite. Et tant de fois avec ces violations majeures... et nous avions l'habitude d'écrire ce rapport annuel sur les leçons apprises et cela devenait presque fastidieux parce que je n'arrêtais pas de donner les mêmes conseils encore et encore, comme le développement d'applications sécurisées, la gestion des vulnérabilités, le cryptage le plus les données sensibles dont vous disposez, puis une authentification à deux facteurs, puis la mise en place d'un programme robuste de détection et de réponse aux incidents. Il y a donc encore des fruits à portée de main. Je veux dire, nous parlons tellement d'attaques avancées et de l'augmentation de la surface d'attaque et c'est vrai, mais encore une fois, nous n'avons toujours pas abordé autant de bases.
Laurier: Et ces bases, comme vous l'avez dit, vous en parlez depuis des années. Pensez-vous que certaines de ces attaques les plus notables ajoutent de la couleur et attirent peut-être l'attention des gens d'une manière telle qu'ils sont prêts à consacrer une partie de leur budget informatique à la vulnérabilité ?
Stéphanie : Ils font. En ce qui concerne votre point sur l'authentification multifactorielle, je pense que c'est maintenant devenu une conclusion abandonnée et une pratique exemplaire acceptée - vous devez l'avoir en place. Ça a pris du temps. Il fallait que ce soit brèche après brèche. Il fallait que ce soit l'industrie qui dise deux facteurs, deux facteurs, deux facteurs. Même les entreprises de technologie grand public disent à leurs clients : 'Activez le double facteur, activez le double facteur'. Je pense donc que plus nous répétons certaines de ces meilleures pratiques, plus elles finissent par s'ancrer. J'espère que la même chose se produira avec le développement d'applications sécurisées.
Et puis la gestion des vulnérabilités, encore une fois, avoir un moyen de hiérarchiser les vulnérabilités que vous devez traiter est vraiment important. Et des milliers de vulnérabilités sont ajoutées à la base de données nationale des vulnérabilités chaque année et 30 % d'entre elles sont jugées critiques. Donc ça n'aide pas. Vous avez besoin d'un processus, en interne, pour hiérarchiser davantage les vulnérabilités en fonction de votre propre contexte commercial, du contexte informatique, de votre propre environnement de menace pour vous aider à corriger le système.
Laurier: Parce que sinon, c'est juste...
Stéphanie : Ce serait écrasant.
Laurier: Tellement écrasant.
Stéphanie : Ouais.
Laurier: Je pense que les banques et le secteur bancaire sont l'un des secteurs qui imposent en quelque sorte l'authentification à deux facteurs, sur toute la ligne. Voyez-vous des industries particulières faire cela avec la sécurisation des applications ou la création d'applications sécurisées ?
Stéphanie : Construire des applications sécurisées, qui je pense pourrait être en tête ? Voilà une bonne question. Je ne sais pas si une autre industrie se démarque vraiment. Nous avons récemment rédigé ce rapport sur l'état de la sécurité des applications et il a été assez révélateur, ainsi que lamentable. Ce n'était pas un rapport de bien-être. Et puis nous en avons fait une version spécifique à l'industrie où nous avons filtré les données que nous avions par gouvernement. Et le gouvernement fédéral était encore pire que le secteur privé, donc c'est assez inquiétant. Je pense que les industries qui me préoccupent peut-être le plus sont les soins de santé et le gouvernement.
Laurier: Et ce sont deux que la plupart des gens utilisent probablement plus régulièrement que presque n'importe quoi d'autre.
Stéphanie : À droite.
Laurier: Ouais. Celui des soins de santé n'est pas du tout une mince affaire. L'idée des données hospitalières, des données personnelles, mais aussi des PII [informations personnelles identifiables] et du simple fait d'entrer dans les systèmes et les machines. Tout est-il préoccupant ? Quand tout est préoccupant, comment priorisez-vous cela si vous êtes un établissement de soins de santé ?
Stéphanie : Ouais. Je pense qu'avec les soins de santé, pendant longtemps, l'accent a été mis sur la conformité à la HIPAA. Parlons des États-Unis spécifiques. Aux États-Unis, l'accent était tellement mis sur la conformité à la loi HIPAA que même les RSSI se concentraient sur la loi HIPAA plutôt que sur la véritable cybersécurité. Donc, historiquement, nous avons souvent constaté que, malheureusement, les soins de santé dépensaient moins que les autres industries pour la sécurité. Et encore une fois, s'ils avaient un CISO, nous avons souvent constaté qu'il ou elle ne relevait pas assez haut dans l'organisation ou n'avait pas la bonne étendue de contrôle. Cela change. Je pense que là où les soins de santé se débattent également, même s'ils s'attaquent à certains des problèmes budgétaires historiques qu'ils ont eus, c'est une industrie qui se débat avec les coûts. Si vous avez un dollar à dépenser pour un système clinique par rapport à la cybersécurité, c'est un choix vraiment difficile, en particulier aux États-Unis où nous dépensons tant en soins de santé, mais où nous avons toujours les pires résultats en matière de soins de santé de tous les pays développés. C'est le vrai problème, c'est que la sécurité nécessite un budget décent pour bien fonctionner.
Ouais. Donc les soins de santé, c'est ce qui m'inquiète, c'est qu'ils sont en retard sur les autres industries en termes de maturité globale, mais je pense que cela est en train de changer. Je pense que le prochain domaine qui me préoccupe probablement dans le domaine des soins de santé serait la sécurité des dispositifs médicaux et la sécurité des applications.
Laurier: Ouais, c'est un tout autre sujet effrayant, non ? Eh bien, enfin, ce à quoi je pensais à partir de 2019, c'est que ce sujet est vaste et vaste, mais aussi très important pour la plupart des entreprises qui produisent réellement un article physique ou expédient des choses d'un endroit à un autre, ce qui est des attaques de sécurité de la chaîne d'approvisionnement. Si la chaîne d'approvisionnement d'une entreprise est si longue et compliquée, nous ne parlons pas seulement de sécuriser, oui, vos locaux physiques ou votre cloud. C'est aussi le produit. D'où il est expédié, où il va, et puis aussi les vendeurs.
Stéphanie : Les composants.
Laurier: Les composants et les fournisseurs avec lesquels vous travaillez.
Stéphanie : Ouais. Je pense que cela commencera en grande partie par le risque global de tiers. Risque de tiers et risque de la chaîne d'approvisionnement, je veux dire, la chaîne d'approvisionnement est en quelque sorte un sous-ensemble du risque global de tiers. En général, je dirais que le risque lié aux tiers est l'un des cinq principaux défis dont beaucoup de nos clients RSSI nous parlent depuis plusieurs années. Encore une fois, si vous regardez les données sur les violations, près de 25 à 30 %, quelque part dans cette gamme de violations, sont le résultat de tiers. Et une grande entreprise typique peut avoir jusqu'à 300 relations avec des tiers lorsque vous additionnez non seulement les fournisseurs, mais aussi les fournisseurs de services informatiques, les fournisseurs de cloud. Une fois, j'ai fait une analyse d'impact sur l'entreprise où j'étais en train d'inventorier toutes les relations avec des tiers pour une organisation de taille vraiment moyenne, un millier d'employés. Et j'ai trouvé environ 30 relations avec des tiers dont l'organisation informatique ne savait rien.
Laurier: Oh wow.
Stéphanie : Et maintenant, vous apportez cela à une grande entreprise. Je pense donc qu'une grande partie de cela reviendra si vous pouvez commencer par le programme de base des risques liés aux tiers. Un, en avez-vous un ? La sécurité est-elle intégrée au risque tiers ? Ont-ils des capacités de veto sur les relations avec des tiers ? Et il ne s'agit pas seulement d'une évaluation ponctuelle de la posture de sécurité par des tiers. C'est aussi une relation continue où vous les réévaluez périodiquement. Il y a beaucoup d'exigences à définir comme des accords de niveau de service autour de la sécurité avec des tiers. Tout commence donc par une gestion de base des risques liés aux tiers. Et puis je pense que cela s'étendra également au risque de la chaîne d'approvisionnement.
Laurier: Et vous verrez probablement cela comme avec les personnes ou les entreprises qui affichent vraiment les meilleures pratiques. Ils poussent cela en aval à tous leurs fournisseurs. Donc, si vous comptez travailler avec nous, vous devrez suivre ces procédures.
Stéphanie : Exactement.
Laurier: D'ACCORD.
Stéphanie : Exactement. Ouais. Je voulais écrire ce rapport depuis un certain temps, qui est, pour le succès commercial à long terme, d'agir comme une entreprise d'infraction. Les entreprises qui ont en fait eu des méga-brèches et qui ont en quelque sorte survécu aux conséquences initiales, après environ cinq ans, obtiennent en fait des résultats commerciaux qui surpasseront souvent le S&P 500. Et si vous revenez en arrière et que vous regardez beaucoup de ce qu'ils ont fait, cela les oblige à prendre des décisions commerciales très difficiles ainsi qu'en matière d'informatique et de sécurité. Donc, d'un point de vue commercial, cela les obligera à revoir la priorité de bon nombre de leurs initiatives stratégiques, car la violation leur a coûté 300 millions de dollars, 500 millions de dollars, voire 1 milliard de dollars. Cela les oblige donc à prendre beaucoup plus de temps pour examiner leur stratégie commerciale globale et leurs opérations commerciales, car ils n'ont tout simplement pas l'argent à dépenser pour tout. Ou dans certains cas, ils doivent se détacher des mauvaises décisions dans lesquelles ils n'arrêtaient pas de verser de l'argent.
D'un point de vue informatique, nous les verrons mettre en œuvre des choses qu'ils auraient dû faire depuis le début. Risque tiers. J'ai eu une entreprise qui avait une brèche a dit qu'après la brèche, vous savez, vous ne pouviez pas acheter un crayon sans...
Laurier: Approbation.
Stéphanie : Approbation. Et vous ne voulez pas nécessairement aller à cet extrême, mais il était clair qu'ils n'avaient aucun risque de tiers au préalable. Ou ils embaucheront le CSO ou ils changeront l'endroit où le CSO rend compte, commenceront à financer des programmes d'intervention en cas d'incident et d'intervention en cas de violation. Ainsi, la brèche les oblige en fait à être une entreprise beaucoup plus mature et meilleure. C'est juste dommage qu'ils aient dû passer par la brèche pour y arriver.
Laurier: Pour y arriver. Je suppose que c'est probablement ce que chaque entreprise devrait à un moment donné considérer, faisons-nous réellement tout ce que nous devrions faire de la bonne manière ? Quel est l'état des choses, l'état de l'entreprise ? et jetant un regard dur. Mais je suis sûr que cela ne vous rendrait pas non plus très populaire si ce n'était qu'un exercice.
Stéphanie : Ouais.
Laurier: Si vous subissez une terrible faille de sécurité, vous avez en quelque sorte une excuse. Donc, nous revenons en quelque sorte à tout cela où quand quelque chose de terrible se produit, vous avez maintenant une excuse pour…
Stéphanie : Je pense que les évaluations de maturité aident là-bas. Je veux dire qu'il y a beaucoup d'évaluations de maturité spécifiques à l'industrie pour la cybersécurité. Chez Forrester, nous avons nos propres évaluations de maturité. Ainsi, nous constatons souvent que les clients l'utilisent comme base de référence, puis ils peuvent s'adresser au conseil d'administration et s'adresser à leurs responsables commerciaux et informatiques et dire : 'Regardez, par rapport aux meilleures pratiques de l'industrie, voici où nous sommes matures'. , et c'est vraiment là où nous sommes faibles. Et puis cela les aide également à commencer à créer des feuilles de route, puis à justifier le financement d'initiatives spécifiques, car vous pouvez dire que cela va améliorer notre maturité de 1,5 à 3. Et c'est vraiment, pour notre industrie, nous devons être au moins un 3 dans ce domaine.
Je pense donc à votre point de vue, en prenant cette base de référence par rapport aux meilleures pratiques de l'industrie et en choisissant une évaluation de la maturité, vous savez - Forrester, une autre société de conseil. Mais basez-vous sur votre posture de sécurité, communiquez les résultats, travaillez avec les entreprises pour définir des objectifs réalistes sur l'endroit où vous devriez être en tant qu'entreprise et industrie. Et puis cela détermine vraiment votre feuille de route et une grande partie de votre financement. Donc, cela vous donne comme un vrai nord vers lequel pointer.
Laurier: Et cela vous met sur la voie d'avoir la sécurité comme différenciateur.
Stéphanie : Exactement.
Laurier: Ouais. Donc, en 2020, nous en verrons probablement plus. Mais quelques ajouts plus inquiétants. Nous n'avons abordé que brièvement la géopolitique. La fin de l'année nous a montré une route un peu cahoteuse avec l'Iran en particulier. Alors, à votre avis, dans quelle mesure les entreprises moyennes sont-elles préoccupées par la géopolitique, ou s'agit-il simplement de n'importe quel mauvais acteur qui se présente à eux dont ils ont besoin pour renforcer la sécurité ?
Stéphanie : Nous avions en fait rédigé ce rapport, je veux dire initialement en 2016, et c'était pour les RSSI. Et le titre était Ignorer le risque géopolitique à vos risques et périls. Et c'est cette idée que les RSSI avaient vraiment besoin de prendre conscience des implications du risque géopolitique en matière de cybersécurité. Donc, oui, c'est l'Iran aujourd'hui. Ce pourrait être un autre pays à l'avenir. Même si vous pensez que, oh, je ne suis pas au gouvernement, je ne suis pas dans les infrastructures essentielles, les organisations du secteur privé sont tout le temps ciblées. Encore une fois, dans certains cas, parce qu'ils sont des cibles faciles, parce que vous faites affaire avec le gouvernement fédéral.
Il faut donc se préoccuper du risque géopolitique. Et encore une fois, pour beaucoup de grandes entreprises où vous êtes une multinationale, vous devez penser à l'impact que cela a sur vos employés, vos bureaux, les tiers avec lesquels vous faites affaire. Alors comme si les OSC n'avaient pas assez à faire, elles doivent tenir compte du risque géopolitique. Comment augmente-t-il le risque? Cela en fait-il davantage une cible? En fait, ce qui est assez intéressant, si vous regardez certaines des violations, vous connaissez Marriott par exemple. Hymne, j'ai oublié si c'était il y a environ trois ans. Ils ne se seraient pas crus les cibles d'un État-nation, mais ce sont leurs données qu'ils voulaient.
Laurier: Bien sûr. Et ce genre de noms de marque sont-ils plus à risque ou c'est vraiment juste, ouais, vous avez de bonnes données ?
Stéphanie : Je pense que c'était moins le nom et plus, dans ces cas particuliers, les données dont ils disposaient. Vous savez, dans le cas de Marriott, ils disposaient d'informations incroyablement détaillées sur les habitudes de voyage des employés du gouvernement et des hauts fonctionnaires. Je pense que dans certains cas, ils avaient même des copies de leurs numéros de passeport dans le cadre des données sensibles qui ont été compromises.
Dans le cas d'Anthem, vous disposez d'informations médicales sensibles sur des individus. Vous devez penser au risque géopolitique et à la manière dont un État-nation pourrait utiliser vos données.
Laurier: Il y en a certainement beaucoup là-bas. Mais qu'en est-il de la politique intérieure et du risque ? 2020 est une année électorale. Mais à part la sécurité des urnes, quels autres types de groupes d'intérêts et de campagnes peuvent collecter des données susceptibles d'être ciblées ?
Stéphanie : Ouais, je veux dire que c'est intéressant. Eh bien, encore une fois, la capacité de cibler les électeurs est très puissante. Encore une fois, si vous êtes une organisation de consommateurs qui dispose d'informations très détaillées sur les individus comme les préférences, les goûts, les habitudes. Ne peut pas nécessairement être utilisé à des fins néfastes comme le vol d'identité. Mais encore une fois, cela pourrait être utilisé par quelqu'un qui veut cibler et influencer ces personnes. Donc, je peux certainement voir, encore une fois, si vous êtes une entreprise de consommation qui dispose de données incroyablement détaillées sur les préférences, les comportements d'achat, les attitudes, tout cela serait vraiment mûr pour le ciblage.
Laurier: Ainsi que des attaques comme les deepfakes, non ?
Stéphanie : Oui.
Laurier: Diriez-vous que les deepfakes sont comme le nouveau phishing ou est-ce juste une saveur de phishing ?
Stéphanie : Saveur. C'est en quelque sorte la prochaine évolution de l'ingénierie sociale. Comme si l'ingénierie sociale n'était pas assez difficile à gérer, nous devons maintenant également faire face aux deepfakes. Et j'ai l'impression qu'avec les deepfakes, ils ont mûri beaucoup plus rapidement que ce à quoi l'industrie s'attendait. Je veux dire, je me souviens d'avoir lu et écouté des podcasts et des experts disant : 'Oh, vous savez, nous sommes encore à des années des deepfakes qui peuvent vraiment tromper les experts'. Et j'ai l'impression que cette chronologie était loin.
Laurier: Voie accélérée.
Stéphanie : Voie accélérée.
Laurier: Forrester a donc cet excellent rapport intitulé Predictions 2020, et la prédiction est que les deepfakes coûteront aux entreprises plus d'un quart de 1 milliard de dollars l'année prochaine. Ainsi, la technologie s'accélère, mais aussi l'impact et les dommages.
Stéphanie : Oui, exact. Et je pense que, comme pour une violation typique, il y a les coûts immédiats. Donc, si vous pensez à vos attaques typiques d'ingénierie sociale. Tout récemment, c'est dans une entreprise allemande que quelqu'un a réussi à simuler la voix du PDG de manière convaincante et ils ont convaincu un autre cadre de l'entreprise de leur transférer quelque chose comme un quart de million de dollars. Voici donc un exemple de votre prochaine évolution en matière de compromission commerciale et d'attaques d'ingénierie sociale. Vous pouvez donc imaginer que c'est encore plus sophistiqué, à plus grande échelle, mais cela fait aussi face aux retombées. Prouver qu'il s'agissait d'un deepfake, gérer la réponse à la violation, comment vous la gérez. Nous pensons que le coût total pourrait être important.
Laurier: Est-ce quelque chose que les compagnies d'assurance sont prêtes à gérer ou peuvent gérer ?
Stéphanie : Chose intéressante, cet exemple que je viens de donner, c'est donc un deepfake, tout s'est passé sur l'infrastructure informatique. Ce serait considéré comme une fraude par opposition à une attaque externe. Je ne suis donc pas sûr que votre cyber-assurance le couvrirait même.
Laurier: Wow.
Stéphanie : Et je sais que beaucoup d'entreprises le font dans le cadre de leur réponse. On suppose qu'une bonne partie sera couverte. Pour une grande entreprise, il n'est pas rare d'avoir une police d'assurance cyber de 100 millions de dollars. Donc, si vous comptez sur la possibilité d'utiliser ces 100 millions de dollars, selon la nature exacte de ce qui s'est passé. Si c'est classé comme fraude, ils pourraient ne pas le couvrir.
Laurier: Que pourraient faire les dirigeants ? Revenez aux mots de passe secrets et aux poignées de main ou...
Stéphanie : Ouais, blague à part. Si dans ces instances de virement bancaire ou toute autre chose impliquant des données sensibles, avoir ce deuxième facteur, l'authentification, je pense qu'il est vraiment important.
Laurier: Intéressant. De toute évidence, des deepfakes, beaucoup de technologies en évolution rapide, tout bouge et devient de plus en plus sophistiqué. Donc, nous ne parlons pas seulement des gentils qui ont accès à toute la technologie. Les méchants aussi. Alors, que regardons-nous dans une autre prédiction de Forrester ici sur l'intelligence artificielle armée et l'apprentissage automatique ? C'est un vaste sujet, mais avec une technologie qui progresse si rapidement et tout le monde a accès aux mêmes outils, y a-t-il une course aux armements en cours, ou est-ce que nous devons tous faire attention les uns aux autres et simplement le faire ?
Stéphanie : Je pense que c'est les deux. Je veux dire que la sécurité est une course aux armements permanente. Je dirai que je pense que les équipes de sécurité doivent adopter très rapidement l'apprentissage automatique et d'autres types d'intelligence artificielle. Aussi vite que sont les méchants. Je veux dire qu'il existe d'énormes opportunités d'automatiser un grand nombre de nos processus de base au sein de la sécurité. Tout, de la détection à la correction en passant par la réponse réelle.
Utilisation de l'apprentissage automatique pour de meilleures capacités de détection. Alors imaginez si nous pouvions détecter plus rapidement quelque chose et qu'une plus grande partie de notre réponse était automatisée. À l'heure actuelle, une grande partie de ce que nous faisons est très manuelle. Le manuel de détection, comme les équipes de sécurité le sont souvent, comme si vous regardez un SOC typique, je veux dire qu'ils sont inondés de milliers d'alertes. Essayer de comprendre quelles alertes sont plus importantes que d'autres est difficile. Donc, encore une fois, c'est une sorte de priorisation. Comme comprendre immédiatement lesquels sont vraiment néfastes et dangereux est essentiel. Et vous pouvez embaucher autant de personnes que vous le souhaitez. Vous ne pourriez jamais le suivre.
Laurier: À droite.
Stéphanie : Donc, vous avez vraiment besoin de la technologie pour le faire pour vous. Mais une fois que vous savez que quelque chose est vraiment malveillant, encore une fois, en ce moment, c'est un processus manuel qui est lancé, c'est-à-dire que vous devez réinitialiser manuellement les mots de passe de l'utilisateur. Vous devrez manuellement isoler les appareils du réseau. Tout est fait manuellement, et dans certains cas, nous avons encore beaucoup d'étapes où nous demandons l'approbation. À l'avenir, tout cela se ferait automatiquement. Vous auriez besoin que les entreprises travaillent avec vous pour dire : 'OK, à partir de maintenant, si cela atteint un certain seuil, si nous sommes sûrs à 90 % que c'est malveillant, alors l'équipe de sécurité, tous les processus sont automatisés'. Tout ce que je viens de décrire comme la réinitialisation des mots de passe, l'isolement des appareils, tout cela peut se produire automatiquement. Vous n'avez pas besoin d'attendre l'approbation de qui que ce soit.
Laurier: Et le temps presse ?
Stéphanie : Oui, nous devons donc parler des entreprises qui doivent subir une transformation numérique pour répondre aux nouvelles attentes des clients et aux demandes changeantes des entreprises. Je pense que les équipes de sécurité doivent entreprendre leur propre transformation numérique, car tout ce que nous faisons aujourd'hui est tellement manuel et prend tellement de temps. Et si nous voulons suivre le rythme des cybercriminels qui profitent de ces technologies, nous devons le faire le plus tôt possible.
Il y avait cette entreprise qui a utilisé des algorithmes d'apprentissage automatique pour cibler les individus avec des messages d'ingénierie sociale plus sophistiqués et a pu augmenter non seulement le nombre total de personnes qu'ils ont pu ingénierie sociale, mais le succès des clics de manière exponentielle avec l'apprentissage automatique et techniques d'automatisation. Alors oui, il faut suivre.
Laurier: Diriez-vous qu'il y a d'autres tendances particulières que vous envisagez pour 2020 ou des choses que les gens devraient surveiller ?
Stéphanie : En fait, je pense que le risque lié aux tiers et la chaîne d'approvisionnement continueront d'être un problème majeur. Et c'est en fait un autre domaine en raison de l'ampleur du problème. Quand je parle d'une entreprise ayant 300 relations avec des tiers—c'est juste une moyenne. Il y a de grandes entreprises avec un nombre encore plus grand que cela, et il faut beaucoup de temps pour évaluer la position, négocier les SLA, continuer à les évaluer, les surveiller, obtenir des journaux d'eux pour comprendre où se trouvent vos données. Ainsi, le défi du risque tiers à lui seul nécessite son propre ensemble d'outils d'automatisation et de règles de chaîne d'approvisionnement. Je pense que la transformation du SOC continuera d'être un problème en 2019.
Laurier: Le centre des opérations de sécurité ?
Stéphanie : Le centre des opérations de sécurité. Comme si nous n'avions pas une pénurie de compétences et de personnel. Même si vous pouviez embaucher toutes les personnes que vous voulez, vous ne pouvez pas faire face à l'ampleur et au défi des problèmes. Vous devez donc adopter l'automatisation là aussi.
Laurier: Voyez-vous des entreprises adopter l'automatisation en premier, peut-être dans le domaine de la sécurité, alors qu'elles ont peut-être été plus hésitantes dans d'autres parties de l'entreprise ?
Stéphanie : Oui. Et pendant longtemps, il y a eu une hésitation à adopter l'automatisation, car il y avait cette peur que je puisse bloquer une transaction commerciale légitime. Et vous savez, historiquement, l'équipe de sécurité a eu du mal à être considérée comme un partenaire commercial. Ils étaient le département de non. Et donc il y avait cette peur redoutée de bloquer potentiellement tout type de transaction commerciale légitime. Je pense que cette peur a disparu maintenant compte tenu de toutes les brèches que nous avons. L'entreprise est comme, 'Non, vous savez que quelque chose est malveillant, vous le bloquez.'
Laurier: À droite.
Stéphanie : 'Ou dans une certaine confiance, vous pensez que c'est malveillant, vous le bloquez.' Donc, il y a certainement une ouverture à l'automatisation. Je dirai, il y a cette phrase comme ne pas automatiser stupide. Vous ne pouvez pas simplement investir dans une technologie d'automatisation si vous manquez de processus fondamentaux dans votre SOC. Donc, vous devez faire mûrir vos opérations SOC et avoir des processus matures, puis vous pouvez les automatiser. Sinon, vous automatisez juste stupide. Et dans certains cas aussi, c'est pourquoi de nombreuses entreprises se tournent vers les services gérés.
La grande majorité du budget de la sécurité est désormais consacrée aux services. Qu'il s'agisse de services consultatifs, de services gérés professionnels ou d'une sécurité réellement fournie en tant que service à partir du cloud. Il s'est éloigné des produits sur site vers les services. Et je pense qu'une partie de cela reflète le besoin des équipes de sécurité, elles ont besoin d'une aide externe. Ils ont un problème d'ampleur, ils ont un problème d'expertise, alors ils se tournent de plus en plus vers les services. Et puis, à mesure que l'entreprise devient de plus en plus basée sur le cloud, vos technologies de sécurité doivent également devenir basées sur le cloud.
Laurier: Et rapidement.
Stéphanie : Exactement.
Laurier: Ouais. Et cela revient certainement en quelque sorte à boucler la boucle, ne faites pas cavalier seul. Vous ne pouvez pas faire cela tout seul dans le désert.
Stéphanie : Définitivement pas.
Laurier: Merci beaucoup, Stéphanie. C'était super de vous avoir aujourd'hui sur le Business Lab.
Stéphanie : Merci de m'avoir. C'était super d'être ici.
Laurier: C'était Stephanie Balaouras, vice-présidente et directrice de groupe de la recherche sur la sécurité et les risques ainsi que de la recherche sur les infrastructures et les opérations chez Forrester Research, avec qui j'ai parlé de Cambridge, Massachusetts, siège du MIT et du MIT Technology Review, surplombant la rivière Charles. Merci également à notre partenaire, Microsoft Security.
C'est tout pour cet épisode du Business Lab. Je suis votre hôte, Laurel Ruma. Je suis le directeur d'Insights, la division de publication personnalisée de MIT Technology Review. Nous avons été fondés en 1899 au Massachusetts Institute of Technology, et vous pouvez également nous trouver en version imprimée, sur le Web, lors de dizaines d'événements en direct chaque année. Pour plus d'informations sur nous et sur le salon, veuillez consulter notre site Web, TechnologyReview.com. Cette émission est disponible partout où vous obtenez vos podcasts. Si vous avez apprécié cet épisode, nous espérons que vous prendrez un moment pour nous évaluer et nous donner votre avis. Business Lab est une production de MIT Technology Review. Cet épisode a été produit par Collective Next. Merci pour l'écoute.
Les menaces de sécurité sont partout. C'est pourquoi Microsoft Security compte plus de 3 500 experts en cybercriminalité surveillant en permanence les menaces pour vous aider à protéger votre entreprise. Plus sur Microsoft.com/cybersecurity.
