La sécurité est l'affaire de tous sur le lieu de travail

image d

image d'art principal scimone





En association avec Dell Technologies

Les pirates du monde entier sont intelligents : ils savent que ce n'est pas seulement un bon code qui les aide à pénétrer dans les systèmes ; il s'agit également de comprendre et de s'attaquer au comportement humain. La menace pour les entreprises sous la forme de cyberattaques ne fait que croître, d'autant plus que les entreprises adoptent le travail hybride.



Mais John Scimone, vice-président senior et directeur de la sécurité chez Dell Technologies, affirme que la sécurité est l'affaire de chacun. Et construire une culture qui reflète cela est une priorité car les cyberattaques ne vont pas diminuer. Il explique : Alors que nous considérons la vulnérabilité à laquelle l'industrie et les organisations sont confrontées, la technologie et les données explosent rapidement et augmentent en volume, en variété et en vitesse. L'augmentation des attaques signifie une augmentation des dommages pour les entreprises, poursuit-il : Je dois dire que les ransomwares sont probablement le plus grand risque auquel sont confrontées la plupart des organisations aujourd'hui.

Et bien que les rançongiciels ne soient pas un nouveau défi, il est aggravé par le passage au travail hybride et la pénurie de talents dont les experts ont mis en garde depuis des années. Scimone explique, L'un des principaux défis que nous avons vu dans l'espace informatique, et en particulier dans l'espace de sécurité, est un défi autour des pénuries de main-d'œuvre. Il poursuit : Du côté de la sécurité, nous considérons le manque de professionnels de la cybersécurité comme l'une des principales vulnérabilités du secteur. C'est vraiment une crise contre laquelle les secteurs public et privé nous alertent depuis des années.

Cependant, investir dans les employés et créer une culture solide peut être bénéfique pour les efforts de cybersécurité. Scimone détaille le succès de Dell. Au cours de l'année dernière, nous avons vu des milliers d'attaques de phishing réelles qui ont été repérées et arrêtées parce que nos employés les ont vues en premier et nous les ont signalées.



Et bien que les organisations essaient d'aborder la cybersécurité d'un point de vue systémique et technique, Scimone conseille de se concentrer également sur l'employé : la formation est donc essentielle, mais encore une fois, c'est dans le contexte d'une culture organisationnelle, où chaque membre de l'équipe sait qu'il a un rôle à jouer.

Afficher les notes

Transcription complète

Laurier Ruma : De MIT Technology Review, je m'appelle Laurel Ruma, et voici Business Lab, l'émission qui aide les chefs d'entreprise à donner un sens aux nouvelles technologies qui sortent du laboratoire et arrivent sur le marché.

Notre sujet aujourd'hui est la cybersécurité et la pression exercée par la tendance au travail à partir de n'importe où sur les entreprises. Avec une augmentation des attaques de cybersécurité, il est urgent de sécuriser un réseau plus large d'employés et d'appareils. Cependant, garder la sécurité au cœur des préoccupations des employés nécessite également un investissement dans la culture. Deux mots pour vous. Main-d'œuvre sécurisée.



Mon invité est John Scimone, vice-président senior et directeur de la sécurité chez Dell Technologies. Avant Dell, il a occupé le poste de directeur mondial de la sécurité de l'information pour le groupe Sony.

Cet épisode de Business Lab est produit en association avec Dell Technologies.

Bienvenue, Jean.



Jean Scimone : Merci de m'avoir invité, Laurel. C'est bon d'être ici.

Laurier  : Pour commencer, comment décririez-vous le paysage actuel de la sécurité des données et quelle est, selon vous, la menace la plus importante pour la sécurité des données ?

Jean : Pour quiconque peut se connecter à un média aujourd'hui, nous voyons que ces attaques frappent plus près de chez nous, affectent les événements publics cette année, menacent de perturber notre chaîne d'approvisionnement alimentaire et nos services publics, et nous voyons des cyberattaques frapper des organisations de toutes tailles et à travers toutes les industries. Quand je pense au paysage du cyber-risque, je le décompose en trois domaines. Tout d'abord, à quel point suis-je vulnérable ? Ensuite, quelle est la probabilité que je sois touché par l'une de ces attaques ? Et enfin, et si je le fais ? Quelles sont les conséquences?

Alors que nous considérons la vulnérabilité à laquelle l'industrie et les organisations sont confrontées, la technologie et les données explosent rapidement et augmentent en volume, en variété et en vitesse. Il n'y a vraiment aucun signe d'arrêt, et dans l'économie à la demande d'aujourd'hui, rien ne se passe sans données. Notre récente étude Data Paradox (que nous avons réalisée avec Forrester) a confirmé que les entreprises sont submergées par les données. Et que la pandémie a mis à rude épreuve les équipes et les ressources - pas seulement dans les données qu'elles génèrent, où 44 % des personnes interrogées ont déclaré que la pandémie avait considérablement augmenté la quantité de données dont elles avaient besoin pour collecter, stocker et analyser - mais également dans les implications pour la sécurité d'avoir plus de personnes travaillant à domicile. Plus de la moitié des répondants ont dû mettre en place des mesures d'urgence pour assurer la sécurité des données en dehors du réseau de l'entreprise pendant que les gens travaillaient à distance.

Nous avons poursuivi avec une autre étude portant spécifiquement sur la protection des données dans ces contextes. Dans l'indice mondial de protection des données de cette année, nous avons constaté que les organisations gèrent plus de 10 fois la quantité de données qu'elles géraient il y a cinq ans. Fait alarmant, 82 % des personnes interrogées craignent que les solutions de protection des données existantes de leur organisation ne soient pas en mesure de relever tous leurs défis commerciaux futurs. Et 74 % pensent que leur organisation est davantage exposée à la perte de données due aux cybermenaces, avec l'augmentation du nombre d'employés travaillant à domicile.

Dans l'ensemble, nous constatons que la vulnérabilité augmente de manière significative. Mais qu'en est-il de la vraisemblance ? Quelle est la probabilité que nous soyons touchés par ces choses ? Lorsque nous pensons à la probabilité, c'est vraiment une question de motivation et de capacité des menaces. Et du point de vue de la motivation, le risque pour ces criminels est faible et la récompense reste extrêmement élevée. On estime que les cyberattaques coûteront des billions de dollars dans le monde cette année, et la réalité est que très peu de criminels seront arrêtés ou subiront des répercussions. Et ils deviennent de plus en plus capables, et les outils et le savoir-faire pour perpétrer ces attaques sont de plus en plus banalisés et largement disponibles. Les menaces gagnent en sophistication et en prévalence.

Enfin, du point de vue des conséquences, les coûts continuent d'augmenter lorsque les organisations sont touchées, qu'il s'agisse de l'impact sur la réputation de la marque, des pannes opérationnelles ou des impacts des frais de justice et des amendes. Notre récent indice mondial de protection des données montre qu'un million de dollars était le coût moyen de la perte de données au cours des 12 derniers mois. Et un peu plus d'un demi-million de dollars était le coût moyen des temps d'arrêt imprévus des systèmes au cours de l'année dernière. Et il y a eu cette année de nombreux cas qui ont été rapportés publiquement où des entreprises faisaient face à des demandes de rançon de plus de 50 millions de dollars.

Je crains que ces conséquences ne fassent qu'augmenter. À la lumière de cela, je dois dire que les ransomwares sont probablement le plus grand risque auquel sont confrontées la plupart des organisations aujourd'hui. En réalité, la plupart des entreprises y restent vulnérables. Cela se produit avec une prévalence croissante - certaines études montrent que toutes les 11 secondes une attaque de ransomware se produit - et les conséquences augmentent, frappant certaines organisations à hauteur de dizaines de millions de dollars de demandes de rançon.

Laurier  : Avec la transition mondiale vers le travail n'importe où et l'augmentation des attaques de cybersécurité à l'esprit, à quels types de risques de sécurité les entreprises doivent-elles penser ? Et en quoi les attaques sont-elles différentes ou inhabituelles d'il y a deux ou trois ans ?

Jean  : Alors que nous assistions à un mouvement de mobilité de masse avec de nombreuses entreprises, les employés passant au travail à distance, nous avons constaté une augmentation du risque, car les organisations avaient des employés utilisant leurs ordinateurs portables et leurs systèmes d'entreprise en dehors de leurs limites de sécurité traditionnelles. Il est malheureusement vrai qu'on verrait des employés utiliser leur système personnel à des fins professionnelles, et leur système de travail à des fins personnelles. En réalité, de nombreuses organisations n'ont jamais pensé dès le départ à une main-d'œuvre distante à mobilité de masse. En conséquence, la vulnérabilité de ces environnements a considérablement augmenté.

De plus, alors que nous réfléchissons à la façon dont les criminels opèrent, les criminels se nourrissent de l'incertitude et de la peur, qu'il s'agisse de cybercriminalité ou de crime dans le monde physique, l'incertitude et la peur créent un environnement propice à la criminalité de toutes sortes. Malheureusement, l'incertitude et la peur ont été nombreuses au cours des 18 derniers mois. Et nous avons vu que les cybercriminels en ont profité, profitant du manque de préparation des entreprises, compte tenu de la rapidité des perturbations et de la prolifération des données qui se produisait. C'était un environnement propice à la cybercriminalité pour sévir. Dans nos propres recherches, nous avons constaté que 44 % des entreprises interrogées ont subi davantage de cyberattaques et de pertes de données au cours de l'année écoulée.

Laurier : Eh bien, c'est certainement important. Alors, qu'en est-il maintenant en interne du point de vue des supports informatiques ? Ils doivent prendre en charge tous ces nœuds supplémentaires des personnes travaillant à distance tout en s'attaquant aux risques supplémentaires de l'ingénierie sociale et des rançongiciels. Comment cette combinaison a-t-elle augmenté les menaces à la sécurité des données ?

Jean : Un sous-produit intéressant de la pandémie et de ce passage massif au travail à distance est qu'il a servi d'accélérateur significatif pour les initiatives informatiques traditionnelles. Nous avons constaté une accélération de la transformation numérique dans les initiatives informatiques qui avaient peut-être déjà été planifiées ou en cours. Mais comme vous l'avez mentionné, les ressources sont limitées. L'un des principaux défis que nous avons vus dans l'espace informatique et en particulier dans l'espace de sécurité est un défi lié aux pénuries de main-d'œuvre. Du côté de la sécurité, nous considérons le manque de professionnels de la cybersécurité comme l'une des principales vulnérabilités du secteur. C'est vraiment une crise contre laquelle les secteurs public et privé nous alertent depuis des années. En fait, une étude sur la main-d'œuvre en cybersécurité réalisée l'année dernière par ISC2 estime qu'il nous manque 3,1 millions de professionnels de la cybersécurité formés par rapport à ce dont l'industrie a réellement besoin pour se protéger contre la cybercriminalité.

À l'avenir, nous estimons que nous devrons augmenter les talents d'environ 41 % aux États-Unis et de 89 % dans le monde uniquement pour répondre aux besoins de la société en pleine transformation numérique, à mesure que ces demandes augmentent. Le travail est certainement un élément clé de l'équation et une préoccupation du point de vue de la vulnérabilité. Nous cherchons à démarrer les organisations dans une meilleure position à cet égard. Nous pensons que l'intégration de la sécurité, de la confidentialité et de la résilience dans l'offre doit être centrale, de la conception à la fabrication, tout au long d'un processus de développement sécurisé via la chaîne d'approvisionnement, et en suivant les données et les applications partout où elles vont. Nous appelons cette stratégie la sécurité intrinsèque et, dans son essence, elle intègre la sécurité dans l'infrastructure et les plates-formes que les clients utiliseront, nécessitant donc moins d'expertise pour obtenir une sécurité correcte.

Comme vous le soulignez, les attaques ne ralentissent pas. L'ingénierie sociale, en particulier, continue d'être une préoccupation majeure. Pour ceux qui ne sont pas familiers avec l'ingénierie sociale, c'est essentiellement lorsque les criminels tentent d'inciter les employés à transmettre des informations ou à ouvrir la porte pour permettre aux criminels d'entrer dans leur système, par exemple par le biais d'e-mails de phishing, que nous continuons de considérer comme l'une des méthodes les plus utilisées. par les pirates pour mettre le premier pied dans la porte des réseaux d'entreprise.

Laurier : La sécurité intrinsèque ressemble-t-elle beaucoup à la sécurité dès la conception, où les produits sont intentionnellement construits en mettant l'accent sur la sécurité d'abord, et non sur la sécurité en dernier ?

Jean : C'est vrai. Sécurité dès la conception, confidentialité dès la conception - et pas seulement par la conception, mais par défaut, bien faire les choses, ce qui permet de faire ce qu'il faut du point de vue de la sécurité lorsque l'on envisage d'utiliser ces technologies. Cela signifie une augmentation, bien sûr, du nombre de professionnels de la sécurité dans toute l'entreprise, mais également la garantie que les professionnels de la sécurité touchent toutes les offres à chaque étape de la conception et s'assurent que les meilleures pratiques sont instituées dès les étapes de conception, de développement et de fabrication. tout au long, même après avoir vendu les services et le support qui les suivent. Nous considérons cela comme une stratégie gagnante à la lumière des défis que nous voyons à grande échelle, les défis auxquels nos clients sont confrontés pour trouver les bons talents en cybersécurité pour les aider à protéger leurs organisations.

Laurier  : Je suppose que Dell a commencé à y penser il y a un certain temps, car les défis liés à l'embauche et à la redimensionnement de la sécurité existent depuis un certain temps. Et, comme évidemment les mauvais acteurs sont devenus plus compétents, il faut de plus en plus de bonnes personnes pour les arrêter. Dans cet esprit, comment pensez-vous que la pandémie a accéléré cette concentration ? Ou est-ce quelque chose que Dell a vu venir ?

Jean : Chez Dell, nous investissons dans ce domaine depuis plusieurs années. Cela a clairement été un défi, mais comme nous l'avons vu, cela a certainement accéléré et amplifié le défi et les impacts auxquels nos clients sont confrontés. Par conséquent, c'est seulement plus important. Nous avons augmenté notre investissement dans l'ingénierie des talents et la perspicacité en matière de sécurité au fil des années. Et nous continuerons à investir, reconnaissant que, comme c'est une priorité pour nos clients, c'est une priorité pour nous.

Laurier : Cela a du sens. De l'autre côté de la médaille, comment Dell s'assure-t-il que les employés

prennent eux-mêmes la protection des données au sérieux et ne tombent pas dans le piège des tentatives de phishing, par exemple ? Quel type de culture et d'état d'esprit faut-il déployer pour faire de la sécurité une priorité à l'échelle de l'entreprise ?

Jean : C'est vraiment une culture chez Dell, où la sécurité est l'affaire de tous. Il ne s'agit pas seulement de ma propre équipe de sécurité d'entreprise ou des équipes de sécurité au sein de nos groupes de produits et d'offres. Cela touche chaque employé et chaque employé qui s'acquitte de sa responsabilité d'aider à protéger notre entreprise et à protéger nos clients. Nous construisons depuis de nombreuses années une culture de la sécurité où nous dotons nos employés des connaissances et de la formation adéquates afin qu'ils puissent prendre les bonnes décisions, nous aidant à contrecarrer certaines de ces activités criminelles que nous voyons, comme toutes les entreprises. Un programme de formation particulier qui a connu un grand succès est notre programme de formation sur l'hameçonnage. Dans ce cadre, nous testons et formons en permanence nos employés en leur envoyant des e-mails de phishing simulés, en les familiarisant avec ce qu'il faut rechercher et comment repérer les e-mails de phishing. Même au cours de ce dernier trimestre, nous avons vu plus d'employés repérer et signaler le test de simulation de phishing que jamais auparavant.

Ces activités de formation fonctionnent et font une différence. Au cours de l'année dernière, nous avons vu des milliers d'attaques de phishing réelles qui ont été repérées et arrêtées parce que nos employés les ont vues en premier et nous les ont signalées. Donc, la formation est essentielle, mais encore une fois, c'est dans le contexte d'une culture organisationnelle, où chaque membre de l'équipe sait qu'il a un rôle à jouer. Même ce mois-ci, alors que nous regardons le Mois de la sensibilisation à la cybersécurité d'octobre, nous amplifions nos efforts et promouvons la sensibilisation à la sécurité et les responsabilités des membres de l'équipe, qu'il s'agisse de savoir comment utiliser le VPN en toute sécurité, sécuriser leur réseau domestique ou même comment voyager en toute sécurité. Tout cela est important, mais cela commence par le fait que les employés savent quoi faire, puis qu'ils comprennent qu'il est de leur responsabilité de le faire.

Laurier : Et cela ne devrait pas être trop surprenant. Évidemment, Dell est une grande entreprise mondiale, mais en même temps, est-ce une initiative dont les employés commencent à être un peu fiers ? Y a-t-il, peut-être, moins de plaintes pour 'Oh, je dois encore changer mon mot de passe' ou 'Oh, maintenant je dois me connecter au VPN'.

Jean : L'un des sous-produits intéressants de l'augmentation des attaques vues chaque jour aux informations est qu'elles affectent désormais couramment la personne ordinaire à la maison. Cela affecte si les gens peuvent mettre de la nourriture sur la table et quel type de nourriture ils peuvent commander et ce qui est disponible. La sensibilisation a augmenté de façon incroyable au cours des deux dernières années. Avec cette compréhension de pourquoi c'est important, nous avons vu une augmentation à la fois de l'attention et de la fierté avec laquelle les employés prennent cette responsabilité très au sérieux. Nous avons même des tableaux de bord internes. Nous en faisons une compétition amicale où, sur le plan organisationnel, chaque équipe peut voir qui trouve le plus de tests de phishing de sécurité. Ils aiment pouvoir aider l'entreprise et, plus important encore, aider nos clients d'une manière supplémentaire qui va au-delà du travail important qu'ils accomplissent quotidiennement dans leur rôle principal.

Laurier : C'est génial. C'est donc la question que j'aime poser aux experts en sécurité parce que vous en voyez tellement. De quel type de failles de sécurité entendez-vous parler de la part de clients ou d'entreprises du secteur, et qu'est-ce qui vous a surpris dans ces expériences de première main particulières ?

Jean : C'est une triste réalité que nous recevons des appels presque tous les jours de nos clients qui sont malheureusement confrontés à certains des pires jours de leur expérience en entreprise, qu'ils soient en proie à un rançongiciel, à un autre type de cyber d'intrusion, de vol de données ou d'extorsion numérique, et c'est assez horrible à voir. Alors que je parle à nos clients et même à des collègues de l'industrie, l'un des messages communs qui sonne vrai à travers tous ces engagements est qu'ils auraient aimé se préparer un peu plus. Ils auraient aimé avoir pris le temps et eu la prévoyance de mettre en place certaines protections, qu'il s'agisse de capacités de surveillance et de détection des cybermenaces, ou de plus en plus avec des ransomwares, plus axés sur la mise en place du stockage, des sauvegardes et de la protection des données appropriés, à la fois dans leur environnement principal sur site, ainsi que dans le cloud.

Mais j'ai été surpris de voir combien d'organisations n'ont pas de stratégies de protection des données vraiment résilientes, étant donné à quel point les ransomwares sont dévastateurs. Beaucoup pensent encore aux sauvegardes de données à l'ère des tornades et des inondations, où si vous avez votre sauvegarde à 300 miles de l'endroit où vous avez stocké vos données, alors tout va bien, vos sauvegardes sont en sécurité. Mais les gens ne pensent pas aujourd'hui aux sauvegardes qui sont ciblées par des humains qui trouvent littéralement vos sauvegardes où qu'elles se trouvent, et ils cherchent à les détruire afin de rendre leurs stratagèmes d'extorsion plus percutants. Donc, en pensant aux sauvegardes de données modernes et à la cyber-résilience à la lumière des ransomwares, je suis surpris de voir combien peu sont éduqués à réfléchir à cela.

Mais je dirai qu'avec une prévalence croissante, nous avons ces conversations avec les clients, et les clients font les investissements de manière plus proactive avant que ce jour n'arrive et se mettent sur de meilleures bases pour le moment.

Laurier : Avez-vous l'impression que les entreprises envisagent les stratégies de protection des données différemment maintenant avec le cloud ? Et quels types d'outils et de stratégies cloud aideront les entreprises à sécuriser leurs données ?

Jean : C'est intéressant parce qu'il est généralement admis que les charges de travail et les données des clients sont partout, que ce soit sur site, à la périphérie ou dans des clouds publics. Nous pensons qu'une approche de cloud multi-hybride qui inclut le centre de données est une approche qui offre une cohérence entre tous les différents environnements en tant que meilleure pratique et comment vous envisagez de traiter vos stratégies de protection des données. Nous voyons de plus en plus de personnes adopter une approche multi-cloud en raison des avantages de sécurité qui en découlent, mais aussi des avantages en termes de coûts, de performances, de conformité, de confidentialité, etc. Ce qui est intéressant, c'est que lorsque nous avons examiné les résultats de notre indice mondial de protection des données, nous avons appris que les applications sont mises à jour et déployées dans un large éventail d'environnements cloud, et pourtant la confiance fait souvent défaut lorsqu'il s'agit de savoir dans quelle mesure les données peuvent être protégées. Ainsi, de nombreuses organisations exploitent une infrastructure multi-cloud, déploient des charges de travail d'application, mais seulement 36 % ont déclaré avoir confiance en leurs capacités de protection des données dans le cloud.

En revanche, un cinquième des répondants ont indiqué qu'ils avaient des doutes ou qu'ils n'étaient pas très ou pas du tout confiants dans leur capacité à protéger les données dans le cloud public. Je trouve cela assez alarmant, en particulier lorsque de nombreuses organisations utilisent le cloud public pour sauvegarder leurs données dans le cadre de leurs plans de reprise après sinistre. Ils copient essentiellement toutes leurs données commerciales dans un environnement informatique dans lequel ils ont peu confiance en la sécurité. Les entreprises doivent s'assurer qu'elles ont mis en place des solutions pour protéger les données dans le multicloud et sur l'ensemble de leurs charges de travail virtuelles. De notre point de vue, nous nous concentrons sur la sécurité intrinsèque, en intégrant la résilience de la sécurité et la confidentialité dans les solutions avant qu'elles ne soient remises à nos clients. Moins les clients doivent penser à la sécurité et trouver des moyens de recruter leurs propres experts en sécurité, mieux c'est.

Quelques autres stratégies à considérer sont, premièrement, la sélection du bon partenaire. En moyenne, nous avons constaté que le coût de la perte de données au cours de l'année écoulée est presque quatre fois plus élevé pour les organisations qui utilisent plusieurs fournisseurs de protection que pour celles qui utilisent une approche à fournisseur unique. Enfin, et surtout, tout le monde a besoin d'un coffre-fort de données. Un coffre-fort de données isolé du réseau, conçu avec les ransomwares à l'esprit pour faire face aux menaces que nous voyons. C'est là que les clients peuvent mettre leurs données les plus critiques et avoir la certitude qu'ils seront en mesure de récupérer leurs bonnes données connues le jour où les données seront vraiment la bouée de sauvetage qui permettra à leur entreprise de fonctionner.

Laurier : Le coffre-fort de données est-il une solution matérielle, une solution cloud ou un peu des deux ? Cela dépend peut-être de votre entreprise.

Jean : Il y a certainement un certain nombre de façons différentes de l'architecturer. En général, il y a trois considérations clés lors de la création d'un coffre-fort de données cyber-résilient. La première est qu'il doit être isolé. Tout ce qui se trouve sur le réseau est potentiellement exposé à des risques.

Deuxièmement, il doit être immuable, ce qui signifie essentiellement qu'une fois que vous avez sauvegardé les données, cette sauvegarde ne peut jamais être modifiée. Une fois qu'il est écrit sur le disque, vous ne pouvez plus jamais le modifier. Et troisièmement, et enfin, il doit être intelligent. Ces systèmes doivent être conçus pour être aussi intelligents, sinon plus intelligents, que les menaces qui les suivront sans aucun doute. Il est essentiel de concevoir ces systèmes de sauvegarde de données en tenant compte de l'environnement des menaces par des experts qui comprennent profondément la sécurité et les ransomwares.

Laurier : Je vois. Cela ressemble à la façon dont certaines agences gouvernementales à trois lettres fonctionnent, hors ligne avec peu d'accès.

Jean : Malheureusement, c'est ce à quoi le monde est arrivé. Encore une fois, il n'y a vraiment aucun signe de ce changement. Si nous regardons les incitations auxquelles les cybercriminels sont confrontés, les récompenses sont incroyables. Les répercussions sont faibles. C'est vraiment l'entreprise criminelle la plus importante et la plus bénéfique de l'histoire de l'humanité en termes de ce qu'ils sont susceptibles de retirer d'une attaque par rapport à la probabilité qu'ils se fassent prendre et aller en prison. Je ne vois pas cela changer de si tôt. Par conséquent, les entreprises doivent être préparées.

Laurier : C'est certainement vrai. Nous n'entendons pas non plus parler de toutes les attaques, mais lorsque nous le faisons, il y a aussi un coût de réputation. Je pense à l'attaque survenue plus tôt dans l'année à la station d'épuration de Floride. Vous attendez-vous à des attaques plus ciblées sur l'infrastructure parce qu'elle est considérée comme un moyen facile d'accès ?

Jean : Malheureusement, ce n'est pas le problème d'une seule industrie. Indépendamment de la nature de l'entreprise que vous dirigez et de l'industrie dans laquelle vous travaillez, lorsque vous regardez votre organisation à travers le prisme d'un criminel, il y a souvent quelque chose à avoir, qu'il s'agisse d'incitations géopolitiques, de la monétisation de la fraude criminelle, ou s'il s'agit de voler les données que vous détenez et de les revendre sur le marché noir. Il y a très peu d'entreprises qui peuvent vraiment se regarder et dire : « Je n'ai pas quelque chose qu'un cybercriminel voudrait. Et c'est quelque chose auquel chaque organisation de toute taille doit faire face.

Laurier : D'autant plus que les entreprises intègrent l'apprentissage automatique, l'intelligence artificielle et, comme vous l'avez mentionné plus tôt, les appareils périphériques et IoT, il y a des données partout. Dans cet esprit, ainsi que les multiples points de contact que vous essayez de sécuriser, y compris votre main-d'œuvre en déplacement, comment les entreprises peuvent-elles sécuriser au mieux les données ?

Jean : C'est une épée à double tranchant. La transformation numérique, dont Dell a pu être témoin de première main, a été incroyable. Ce que nous avons vu en termes d'amélioration de la qualité de vie et de la façon dont la société se transforme grâce aux technologies émergentes telles que l'IA et le ML, et l'explosion des appareils à la périphérie et de l'IoT, la transformation numérique et les avantages sont énormes. Dans le même temps, tout cela représente un risque potentiellement nouveau s'il est investi et déployé d'une manière qui n'est pas sécurisée et mal préparée. En fait, nous avons constaté avec notre indice complet de protection des données que 63 % pensent que ces technologies présentent un risque pour la protection des données, que ces risques contribuent probablement à la crainte que les organisations ne soient pas prêtes pour l'avenir et qu'elles risquent de perturbation au cours de l'année prochaine.

Le manque de solutions de protection des données pour les nouvelles technologies était en fait l'un des trois principaux défis de protection des données que nous avons trouvés cités par les organisations lors de l'enquête. Investir dans ces technologies émergentes est essentiel pour les organisations qui se transforment numériquement, et les organisations qui ne se transforment pas numériquement ne survivront probablement pas bien à l'ère que nous envisageons de manière compétitive. Mais en même temps, il est essentiel que les organisations s'assurent que leur infrastructure de protection des données est capable de suivre le rythme de leur transformation numérique plus large et de leurs investissements dans ces nouvelles technologies.

Laurier  : Lorsque nous pensons à tout cela dans l'ensemble, avez-vous des conseils pour que les entreprises puissent pérenniser leur stratégie de données ?

Jean : Il y a certainement quelques choses qui me viennent à l'esprit. Premièrement, il est important de réfléchir en permanence aux priorités du point de vue des risques. La réalité est que nous ne pouvons pas tout sécuriser parfaitement, donc la priorisation est essentielle. Vous devez vous assurer que vous protégez ce qui compte le plus pour votre entreprise. Réaliser des évaluations régulières des risques stratégiques et faire en sorte que celles-ci informent les investissements et les priorités que les organisations poursuivent est une toile de fond essentielle dans laquelle vous lancez réellement certaines de ces initiatives et activités de sécurité.

La deuxième chose qui me vient à l'esprit est que la pratique rend parfait. Exercice, exercice, exercice. Pouvez-vous vous demander si vous pourriez vraiment récupérer si vous étiez touché par un ransomware ? Êtes-vous sûr de cette réponse ? Nous constatons que les organisations qui prennent le temps de pratiquer, de faire des exercices internes, de faire des simulations fictives, de se poser ces questions, est-ce que je paie la rançon ? N'est-ce pas? Puis-je restaurer mes sauvegardes ? A quel point suis-je sûr de pouvoir ? Ceux qui pratiquent sont beaucoup plus susceptibles de bien performer le jour où ils sont réellement touchés par l'une de ces attaques dévastatrices. Malheureusement, il est de plus en plus probable que la plupart des organisations seront confrontées à ce jour.

Enfin, il est essentiel que les stratégies de sécurité soient liées aux stratégies commerciales. La plupart des stratégies actuelles d'un point de vue commercial échoueront bien sûr si les données sur lesquelles elles s'appuient ne sont pas fiables et disponibles. Mais les efforts de cyber-résilience et les efforts de sécurité ne peuvent pas être mis en œuvre sur une île à part. Ils doivent être informés et soutenir la stratégie et les priorités de l'entreprise. Je n'ai pas encore rencontré de client dont la stratégie commerciale reste viable s'il est touché par un ransomware ou une autre menace stratégique pour la protection des données, et qu'il n'est pas en mesure de restaurer ses données rapidement et en toute confiance. Une question fondamentale à vous poser est la suivante : dans quelle mesure êtes-vous confiant dans votre préparation aujourd'hui à la lumière de tout ce dont nous avons parlé ? Et comment faites-vous évoluer votre stratégie de cyber-résilience pour mieux vous préparer ?

Laurier : C'est certainement un élément clé à retenir, n'est-ce pas ? Ce n'est pas seulement un problème technique ou un problème technologique. C'est aussi un problème commercial. Chacun doit participer à la réflexion sur cette stratégie data.

Jean : Absolument.

Laurier : Eh bien, merci beaucoup, John. C'était fantastique de vous avoir aujourd'hui sur le Business Lab.

Jean : Mon plaisir. Merci de me recevoir.

Laurier : C'était John Scimone, le directeur de la sécurité chez Dell Technologies, avec qui j'ai parlé depuis Cambridge, Massachusetts, siège du MIT et du MIT Technology Review, surplombant la rivière Charles. C'est tout pour cet épisode de Business Lab. Je suis votre hôte, Laurel Ruma. Je suis directeur d'Insights, la division de publication personnalisée de MIT Technology Review. Nous avons été fondés en 1899 au Massachusetts Institute of Technology. Vous pouvez nous trouver dans la presse écrite, sur le Web et lors d'événements chaque année dans le monde. Pour plus d'informations sur nous et sur le salon, veuillez consulter notre site Web à l'adresse technologyreview.com.

Cette émission est disponible partout où vous obtenez vos podcasts. Si vous avez apprécié cet épisode, nous espérons que vous prendrez un moment pour nous évaluer et nous donner votre avis. Cet épisode a été produit par Collective Next. Business Lab est une production de MIT Technology Review. Merci pour l'écoute.

Cet épisode de podcast a été produit par Insights, la branche de contenu personnalisé de MIT Technology Review. Il n'a pas été écrit par la rédaction de MIT Technology Review.

cacher