Cybersécurité : ce que les dirigeants doivent savoir

Le besoin de cybersécurité a explosé ces dernières années, alors que l'adoption soudaine et généralisée de la culture du travail à domicile a amené les entreprises du monde entier à revoir leurs systèmes, normes et stratégies de cybersécurité pour l'avenir.

C'est pourquoi BrainStation a réuni quatre experts du secteur à la tête de la stratégie de cybersécurité du géant des services financiers Mastercard , de la société d'investissement Blackstone , du site de réseautage professionnel LinkedIn et du développeur de logiciels Citrix pour une discussion sur ce que les dirigeants doivent savoir sur la cybersécurité dans le cadre de la série d'événements sur le leadership numérique de BrainStation.

Vous pouvez regarder la table ronde complète ici:

Qu'est-ce que la cybersécurité ?

Avant d'explorer la manière dont le paysage de la cybersécurité évolue, nos panélistes ont été invités à donner leur avis sur ce que la cybersécurité implique.

Eugene Dvorochkin, membre senior de l'équipe de sécurité de l'information chez LinkedIn, résume la cybersécurité comme «l'utilisation de la technologie, des processus et des contrôles pour protéger les systèmes, le réseau et les données. En fin de compte, tout revient aux données… Tout ce que nous essayons de faire, c'est de protéger ces données, de protéger leur intégrité et de nous assurer qu'il n'y a pas d'utilisation non autorisée de celles-ci.

Comme l'explique Kurt Roemer, stratège en chef de la sécurité chez Citrix, l'accent traditionnel de la cybersécurité sur le maintien de la confidentialité, de l'intégrité et de la disponibilité des données devrait s'étendre pour inclure un quatrième facteur : la sécurité. "Alors que nous adoptons l'IoT et d'autres intelligences artificielles et [applications de réalité augmentée], il s'intègre à notre monde physique d'une manière où la sécurité devient d'une importance cruciale."

Puneet Bhatnagar, Senior Vice President / IAM Lead – Cybersecurity chez Blackstone, adopte une approche plus philosophique : « Je me pose la question fondamentale 'Comment puis-je aider à renforcer la confiance dans la conception des systèmes ? Est-ce que je me sens à l'aise de m'inscrire à une candidature lorsque j'offre mes données personnelles ? Est-ce que je fais confiance à la marque à qui je propose ces informations ? » Il est important que les entreprises considèrent la cybersécurité comme tout ce qu'elles doivent faire pour instaurer la confiance au sein de leurs applications et de leur écosystème. »

Sukhmani Dev, vice-président des solutions numériques et de sécurité chez Mastercard, est d'accord. "Nous voulons nous assurer que la confiance se reflète dans chaque transaction."

Atteindre cet objectif ultime est un processus aussi dynamique que la technologie elle-même. Vous trouverez ci-dessous quelques-unes des tendances générales identifiées par nos panélistes.

La cybersécurité est plus importante que jamais

Le COVID-19 et l'explosion de la culture du travail à domicile qui en a résulté ont comprimé une évolution qui devait prendre une décennie en quelques mois. Cette accélération signifie plus d'activité en ligne, plus de nouveaux utilisateurs et plus de complexité dans les systèmes individuels sur lesquels ces utilisateurs s'appuient, ce qui représente une opportunité pour les mauvais acteurs. Le résultat est un besoin soudain et aigu de plus de sécurité numérique.

Une grande partie de ce besoin se résume à un simple volume; pendant le verrouillage, davantage de personnes ont travaillé et fait leurs achats à partir d'appareils à leur domicile. Dvorochkin explique : "Lorsque vous utilisez votre réseau domestique, vous utilisez potentiellement des appareils personnels comme votre ordinateur personnel ou votre iPhone pour accéder aux environnements et aux données de l'entreprise, et vous dépendez également davantage de systèmes tiers tels que Zoom ou d'autres méthodes de communication. Vous arrivez dans des environnements plus difficiles à sécuriser.

Pour de nombreuses grandes entreprises internationales, l'adaptation au travail à distance était relativement simple. Mais pour de nombreuses petites entreprises physiques, cela signifiait une première incursion dans le monde numérique – et celles-ci sont particulièrement vulnérables aux pirates. "[C'est une idée fausse] que seules les grandes entreprises bien connues sont la cible d'attaques", poursuit Dvorochkin. « Les pirates sont devenus plus avancés, mais les outils et les techniques qu'ils utilisent sont également devenus publics. N'importe qui peut aller en ligne et commencer à pirater n'importe quelle entreprise. Ce ne sont pas seulement les grandes entreprises bien connues qui sont ciblées par les pirates informatiques sophistiqués - il peut s'agir littéralement de n'importe quel magasin familial.

Dev identifie la complexité croissante des systèmes comme un autre vecteur. "Tout est plus interconnecté que jamais", dit-elle. "Si vous pensez à une banque, elle peut avoir ses fournisseurs, mais ses fournisseurs ont des fournisseurs, et ce sont des chaînes d'approvisionnement massives. Les points de connexion ont connu une croissance exponentielle ces dernières années.

Cela signifie plus de liens faibles à exploiter pour les pirates - et les pirates l'ont remarqué.

Passer des systèmes aux utilisateurs

La croissance de l'échelle et de la complexité signifie également que les équipes de cybersécurité se battent sur plus de fronts que jamais. Cela conduit à son tour à un changement dans la façon dont les experts en cybersécurité conçoivent leur tâche. Si l'objectif est de sécuriser les données au sein d'une forteresse numérique, le travail de la cybersécurité consiste à protéger le périmètre - mais le périmètre et les modes d'attaque sont en constante évolution. Verrouiller les données n'est pas la solution – il ne sert à rien d'avoir un système si personne ne peut y accéder. Au lieu de cela, la priorité se déplace vers, premièrement, la confirmation de l'identité des personnes qui y accèdent, et deuxièmement, l'accès aux seules données dont elles ont besoin, plutôt qu'à l'ensemble du système.

"Avant, vous auriez peut-être eu certaines choses qui ne pouvaient être considérées comme sûres que lorsqu'elles se trouvaient dans les quatre murs", explique Roemer. "Et si vous retourniez cela et disiez:" Comment pouvons-nous les sécuriser quand c'est à l'extérieur des quatre murs, dans le cloud? Lorsque vous regardez le modèle de travail hybride, vous avez des personnes qui travaillent dans des situations différentes potentiellement chaque semaine - dans un bureau, à leur domicile, peut-être encore dans un café, peut-être en voyage. Comment vous assurez-vous que vous disposez du bon environnement de sécurité pour ces personnes ? »

Pour Bhatnagar, cela signifie que "le seul véritable périmètre que vous avez et que vous pouvez vraiment sécuriser est votre périmètre d'identité". Cela nécessite généralement une authentification multifactorielle, qui permet de vérifier que les gens sont bien ceux qu'ils prétendent être ("Il y a des statistiques folles là-bas", dit Bhatnagar, "comme, plus de 90% des violations proviennent d'une sorte de compromis de messagerie" ).

Par conséquent, « il ne suffit pas d'avoir un bon périmètre réseau ou d'avoir un bon ensemble de pare-feux. Vous devez faire passer votre réflexion d'une approche centrée sur les systèmes ou le réseau à une approche centrée sur l'identité ou l'utilisateur. C'est alors que nous avons commencé à réfléchir à ces nouveaux paradigmes de confiance zéro. Avec le type de volume d'informations auquel les gens accèdent en permanence, vous allez toujours rattraper votre retard si vous essayez simplement de patcher le système ou de sécuriser le réseau.

Le fait de se concentrer sur l'identité de l'utilisateur permet d'éliminer l'accès aux pirates extérieurs, mais cela aide également à contenir les risques internes en limitant même l'accès des utilisateurs légitimes aux données dont ils ont besoin. Ceci, bien sûr, dépend de la capacité à analyser les données à votre disposition. Dvorochkin explique : « À l'époque, les entreprises accordaient trop de privilèges aux gens et elles pouvaient accéder à tout carte blanche , ce qui entraînait évidemment beaucoup plus de risques. [Vous devez être] très précis sur toutes les données dont vous disposez. Vous ne savez pas ce que vous ne savez pas, donc un bon marquage d'identification est très important - pour savoir exactement où se trouvent vos données, combien il y en a et les transactions que vous avez avec elles, en particulier avec des fournisseurs tiers . Car, encore une fois, nous devenons de plus en plus dépendants des applications tierces, et celles-ci n'ont évidemment pas le même niveau de confiance que nos collaborateurs internes. Tout revient à l'identification, à en avoir un bon inventaire et à pouvoir le limiter.

La culture et l'éducation sont essentielles

Vous ne pouvez mettre en œuvre aucune stratégie de cybersécurité si vos coéquipiers ne sont pas à bord. Et les êtres humains sont toujours le maillon le plus faible de la chaîne de cybersécurité - la plupart des piratages ne se font pas en écrivant du code mais en se faisant passer pour une autorité et en incitant quelqu'un à donner un mot de passe. La solution ici est autant sociale que technologique.

"La cybersécurité n'est pas la responsabilité d'une personne ou d'une équipe", déclare Bhatnagar. « Tout le monde doit se retrousser les manches et s'en approprier. Nous accordons beaucoup d'importance à la formation de sensibilisation des utilisateurs finaux, en les aidant à identifier les e-mails de phishing, en faisant des simulations de phishing et en augmentant progressivement la complexité de ces simulations, afin que nous formions constamment nos employés. »

Cela peut réduire directement les cas individuels de violation de données, mais cela aide également à cultiver une culture à l'échelle de l'entreprise qui valorise la cybersécurité. «Une fois que vous avez mis cela là-bas, c'est un langage que tout le monde comprend - que ce ne sont pas seulement vos professionnels de la cybersécurité qui doivent être super techniques, mais qu'il existe un cadre général que d'autres chefs d'entreprise peuvent comprendre. Vous pouvez l'utiliser pour sensibiliser et obtenir le budget, le financement et les ressources dont vous avez besoin pour continuer à apporter des améliorations stratégiques.

Dev appuie l'importance de la culture d'entreprise. « Et en plus de la culture », dit-elle, « je dirais aussi la formation… C'est une façon très différente de penser et de fonctionner, par rapport aux systèmes existants. Le reste de la technologie, du design, etc. se mettra en place si vous avez la bonne attitude envers la culture.

Pour Roemer, cela commence au sommet. « La sécurité est une responsabilité partagée, et nous devons tous être des praticiens de la sécurité. La direction doit s'adresser aux RH et leur faire savoir que des capacités de sécurité sont nécessaires dans toute l'organisation et discuter de la manière dont elles peuvent offrir des opportunités de reconversion et d'avancement à ceux qui trouvent que la sécurité est une carrière attrayante et être en mesure d'attirer ces personnes - pas seulement de l'organisation informatique, mais de toute l'organisation, car cela a du sens - et ainsi tendre la main au reste de l'organisation [et communiquer que] nous avons désespérément besoin de professionnels de la sécurité supplémentaires et que nous devons tous être considérés comme des praticiens.

Passer des tactiques aux plateformes

Assez paradoxalement, étant donné le déplacement de l'attention de la sécurité totale du système vers le périmètre de l'identité de l'utilisateur, nous assistons également à un déplacement des tactiques vers les plates-formes - c'est-à-dire, à l'organisation des efforts de cybersécurité dans une stratégie holistique, plutôt qu'un éventail d'individus patchs.

Roemer explique : « La raison en est qu'il est devenu très difficile de gérer [une collection de] produits ponctuels. Ils ne s'intègrent pas bien, et nous n'avons pas les ressources pour les utiliser à leur efficacité. Ainsi, plus nous pouvons construire et consolider dans une plate-forme, plus nous pouvons amplifier les capacités de sécurité. »

Dvorochkin ajoute que cela signifie coordonner non seulement les tactiques mais aussi des équipes entières. « Souvent, les domaines ou fonctions technologiques sont cloisonnés. Nous essayons évidemment tous d'atteindre le même objectif, qui est de faire de l'entreprise un succès.

Pour Bhatnagar, une approche plus stratégique consiste à disposer d'un centre d'opérations de sécurité bien doté en personnel et financé. Bien qu'il soit toujours bon d'être proactif, cela ne signifie pas qu'une violation ne se produira pas, et lorsque cela se produit, il est impératif qu'une organisation soit prête à passer à l'action. "Il y a toujours des choses qui sortent du champ gauche, car les pirates informatiques continuent d'être plus avancés et leurs techniques de plus en plus persistantes."

La cybersécurité est toujours dynamique

Dvorochkin fait écho au sentiment de Bhatnagar – la réactivité est cruciale. La stratégie de cybersécurité doit être dynamique afin de contrer les attaques de manière proactive et réactive. Du côté réactif, il dit : « Ce n'est pas une question de savoir si , c'est une question de quand vous serez piraté ; il est presque impossible d'être entièrement protégé sur une base continue. Quelque chose finira par passer. Protéger le périmètre est important, avoir de bons contrôles de détection est important – mais vous devez également avoir une bonne réponse, une bonne évaluation et être capable de vous tester.

Du côté proactif, cela signifie évaluer constamment votre stratégie ; vous ne pouvez pas simplement le régler et l'oublier. "[Il y a] une idée fausse selon laquelle" D'accord, eh bien, nous avons investi dans la technologie, nous avons fait cette configuration unique, nous avons un programme de cybersécurité, nous sommes prêts à partir ", poursuit Dvorochkin. "Une configuration unique de mise en œuvre de certains outils - cela ne vous protégera pas. La technologie change presque quotidiennement en raison de la relation synergique entre la technologie et le cyber, et la cybersécurité évolue tout aussi rapidement. Vous devez donc être dynamique, vous devez toujours être à jour et vous devez avoir un bon investissement de votre entreprise - car la cybersécurité n'est pas bon marché.

« Considérez votre portefeuille de technologies de l'information comme un ensemble d'investissements », ajoute Roemer. "Comme pour vos investissements personnels, passez en revue de temps en temps et réévaluez ce qui fonctionne bien, ce qui ne fonctionne pas, et où vous devez jeter les chiens et passer à quelque chose qui vous donnera un meilleur rendement. La sécurité est très bien comme ça. Nous avons besoin d'agilité, et si vous considérez votre portefeuille de technologies de l'information non pas comme un ensemble de décisions irrécupérables mais comme un ensemble d'investissements constamment évalués, vous pouvez contribuer à aller de l'avant et à répondre aux besoins de sécurité d'aujourd'hui et de demain.

( Cet article a été mis à jour pour la dernière fois en janvier 2022. )