Emily Wearmouth : Bonjour et bienvenue au podcast Security Visionaries, un endroit où nous invitons les leaders de la cybersécurité à venir nous parler de choses intéressantes. Et c’est exactement ce que nous faisons aujourd’hui, en discutant du rôle d’un directeur exécutif ou non exécutif. Je suis votre hôte Emily Wearmouth, alors laissez-moi vous présenter mes invités. Richard Starnes est le RSSI de Six Degrees et il est également directeur non exécutif du Cyber Resilience Centre for London, ainsi que gouverneur d’école à la Lenham School dans le Kent dans le cadre du Cyber Governors Scheme. Il a travaillé aux États-Unis et au Royaume-Uni et il rejoint notre club d’élite d’invités qui a également occupé des postes dans les forces de l’ordre, ce que j’aime toujours impliquer dans le podcast. Il est récipiendaire du prix ISC2 CEO et il a été nommé parmi les 50 meilleurs professionnels de la sécurité de l’information, alors bienvenue dans le podcast Richard.
Richard Starnes : Merci beaucoup.
Emily Wearmouth : Ma deuxième invitée est Homaira Akbari, présidente et chef de la direction d’AKnowledge Partners, une société de conseil mondiale, et elle a occupé des postes de direction dans un certain nombre de grandes organisations, dont Microsoft et Thales. Mais nous l’avons invitée à se joindre à nous aujourd’hui parce qu’elle possède une vaste expérience de la direction de conseils d’administration, ayant siégé à six conseils d’administration de sociétés publiques et de 15 conseils d’administration de sociétés privées. Actuellement, elle est directrice non exécutive du conseil d’administration de Banco Santander et elle occupe également le même rôle pour Landstar System. Si cela ne suffit pas, elle est également l’auteur de plus de 50 articles scientifiques dans des revues internationales. Elle a deux brevets et un doctorat en physique des particules, ce qui est tout simplement cool, alors je suis vraiment heureux que vous ayez pu vous joindre à nous aujourd’hui. Merci d’être ici, Homaira.
Homaira Akbari : Eh bien, merci, Emily.
Emily Wearmouth : Je vais donc plonger directement dans la question évidente et je vais commencer par vous poser celle-ci, Richard. Qu’est-ce qu’un administrateur non exécutif ?
Richard Starnes : Je vais passer à une phrase anglaise qui est un peu comme la longueur d’un morceau de ficelle, qui varie assez largement en fonction de l’industrie dans laquelle vous avez un poste de la NED, de la taille et d’une myriade de choses différentes. Donc ça dépend un peu.
Emily Wearmouth : [rires] Homaira, pouvez-vous nous aider ? Pouvez-vous affiner un peu ? Quelles sont les caractéristiques générales d’un rôle d’administrateur non exécutif ?
Homaira Akbari : Oui, chaque entreprise, qu’elle soit privée ou publique, devrait avoir une gouvernance. Que signifie la gouvernance ? Il s’agit d’un groupe de personnes appelées conseil d’administration, qui assument la responsabilité et le devoir fiduciaire, en particulier la responsabilité fiduciaire et le devoir de diligence de gouverner tous les principes de cette entreprise, des statuts et du rythme de l’entreprise, des objectifs de la stratégie, et qui ont également des freins et contrepoids aux réglementations et à la conformité.
Homaira Akbari : C’est donc le conseil d’administration. Et au sein du conseil d’administration, vous avez un groupe de personnes qui, par exemple, le directeur général de l’entreprise deviendrait généralement administrateur de l’entreprise, mais ils sont évidemment des cadres. Au Royaume-Uni, il arrive que le directeur financier soit également administrateur, mais aux États-Unis ou dans de nombreux autres pays, cette tendance ou cette pratique a été abandonnée. Habituellement, seul le PDG est le dirigeant et vous pouvez avoir d’anciens cadres qui siègent au conseil d’administration. Mais lorsque vous avez quelqu’un qui est indépendant de l’entreprise, qui n’a pas travaillé pour l’entreprise dans le passé, ou qui n’a pas conseillé l’entreprise dans le passé, ou qui y a été très étroitement associé, du moins dans un passé récent, parfois c’est cinq ans, par exemple un auditeur, un associé de grandes sociétés d’audit, alors vous l’appelleriez des administrateurs non exécutifs.
Emily Wearmouth : Richard, est-ce que la distance, plus l’indépendance par rapport à l’équipe de direction implique qu’ils ne sont pas payés ? S’agit-il toujours d’une relation commerciale ? Est-ce encore une sorte d’emploi ?
Richard Starnes : Je pense que l’emploi pourrait être une distinction intéressante, mais certains d’entre eux sont rémunérés et d’autres non. Cela dépend de la planche elle-même. Pour les petits organismes à but non lucratif ou pour les petits conseils professionnels, ceux-ci ne seront généralement pas rémunérés, certainement au niveau d’Homaira. Et je dois être honnête, après avoir écouté votre introduction, Homaira, je ressens un peu le syndrome de l’imposteur ici.
Emily Wearmouth : Elle est impressionnante, n’est-ce pas ?
Richard Starnes : Très impressionnant. Qu’est-ce que je fais ici ? Mais ce genre de postes est évidemment rémunéré.
Homaira Akbari : Si je peux ajouter, tout d’abord, Richard, merci beaucoup. Et je suis très heureux d’être avec vous lors de cet appel. Et je pense que les différents antécédents le rendent si intéressant. Mais vous avez mentionné, Emily, la publicité. Il n’y a pas vraiment de relation commerciale entre une NED ou il ne devrait pas y en avoir parce qu’ils ont, en fait, une responsabilité fiduciaire pour tous les actionnaires, même pour les organisations à but non lucratif. Je suis aussi, comme Richard l’a dit, dans un organisme à but non lucratif, non seulement vous n’êtes pas payé, mais vous payez réellement. Vous devez payer parce que c’est à but non lucratif et qu’ils ont besoin de fonds. Mais quoi qu’il en soit, qu’il s’agisse d’un organisme à but non lucratif ou à but lucratif, vous avez effectivement une responsabilité fiduciaire envers les autres actionnaires de l’entreprise ou d’autres participants, si vous préférez, ou les membres.
Homaira Akbari : Et donc, lorsque vous mentionnez le mot commercial, je dirais qu’il y a une relation commerciale. Mais oui, les conseils d’administration des entreprises à but lucratif sont généralement rémunérés. Et la raison en est qu’il y a beaucoup de travail à faire pour le faire. Et encore une fois, vous avez un devoir de diligence et une responsabilité fiduciaire. Et si vous n’assumez pas cette responsabilité fiduciaire, vous êtes soumis à des poursuites judiciaires de la part des actionnaires. Par conséquent, vous êtes payé en général. La plupart des conseils d’administration vous paient correctement, mais ce n’est pas rentable si vous le souhaitez.
Emily Wearmouth : En fait, je suis allé à un événement récemment et j’ai entendu quelques NED discuter et tous deux ont convenu que personne ne s’y mettait pour l’argent. Vous vous lancez dans le jeu pour de nombreuses raisons. Et il y a une compensation, mais personne n’est là pour l’argent. Mais j’étais assez intéressé, ils parlaient, et vous occupez tous les deux plusieurs rôles en même temps. Alors, quel est le type d’engagement moyen en temps ? Y a-t-il une moyenne ou varie-t-elle ?
Homaira Akbari : Oui. Cela varie selon le conseil. Mais en moyenne, si nous parlons d’un conseil d’administration public et, disons, d’un conseil d’administration composé de moyennes capitalisations, d’une capitalisation boursière de 10 milliards de dollars, et peut-être que j’utilise l’européenne, la société européenne, qui est une société à moyenne capitalisation, se réunit généralement cinq fois par an, dont quatre fois par an sont en fait des réunions du conseil d’administration. Et une fois par an, c’est une stratégie, si vous voulez. Ils ne font donc pas de planche, mais ils font une stratégie. Ils visitent les filiales, ils visitent les opérations. Et pour cela cinq fois, si vous voulez, vous voyagerez probablement, selon l’endroit d’où vous venez, deux à trois jours, y compris les réunions. On pourrait donc dire que vous êtes engagé avec un conseil d’administration environ 15 à 17 jours en personne, puis probablement 10 à 15 jours répartis virtuellement tout au long de l’année pour des appels virtuels et la préparation des réunions. Donc, pour une seule planche, vous pouvez envisager entre 25 et 30 jours par an, ce qui est beaucoup, mais pas beaucoup.
Emily Wearmouth : Droite. C’est beaucoup. oui. oui. Ce n’est certainement pas un travail à temps plein, mais je pense que c’est plus que ce que je pensais peut-être pour le nombre de conseils d’administration auxquels certaines personnes siègent, cela semble prendre beaucoup de temps. Richard, quelle est votre expérience ? Et je suis très intéressé par ce programme de cyber-gouverneurs, alors nous en parlerons un peu plus en détail dans un instant, mais lorsque vous envisagez d’être impliqué dans ces rôles dans une petite organisation, peut-être un organisme à but non lucratif, peut-être une école, quel est le genre d’engagement de temps là-bas ?
Richard Starnes : Je dirais que l’engagement en temps est de 15 à 20 jours par conseil. Ce n’est pas aussi lourd qu’un engagement, mais l’une des choses dont Homaira parlait de ce que je dirais être une situation normale. Il y a une mise en garde avec différents types de réalisateurs dont je voudrais parler. Vous avez des réalisateurs qui perdent parfois la direction de ce qu’ils sont censés faire et commencent à s’éloigner d’être un réalisateur et commencent à s’égarer vers le fait d’être un... Je dirais un cadre ou être un peu plus actif dans les aspects opérationnels de l’entreprise ou du conseil d’administration qu’il ne devrait l’être. C’est une sorte de mise en garde, je dirais que vous devez vous rappeler ce que vous faites et pourquoi vous le faites.
Emily Wearmouth : À ce stade, il s’agit d’un podcast écouté par des leaders de la cybersécurité. Et la raison pour laquelle nous avons cette conversation, c’est que j’ai remarqué que beaucoup de gens, au fur et à mesure qu’ils avancent dans leur carrière, commencent à voir des rôles de directeur non exécutif ajoutés aux CV et aux profils LinkedIn à mesure que les gens gravissent les échelons de leur carrière. Et je voulais savoir quel est votre point de vue sur la raison de cela ? Quel est l’intérêt d’assumer ces rôles en tant que personne de haut niveau dans le domaine de la cybersécurité ? Richard, qu’est-ce qui vous a attiré ?
Richard Starnes : Pour moi, c’était... Je commence à prendre de la fin de ma carrière et je suis de plus en plus conscient de donner en retour. J’ai redonné tout au long de ma carrière, mais je pense qu’il m’incombe à ce stade de ma carrière et de ma vie de commencer à redonner davantage à la profession et à la communauté. Et c’est pourquoi j’ai siégé à ces deux conseils pour le faire.
Emily Wearmouth : Cela semble donc délicieusement altruiste, mais il y a sûrement aussi une sorte d’avantage professionnel à avoir ces noms sur votre CV. Homaira, qu’en pensez-vous ? Qu’est-ce qui vous a amené à ce genre de rôles ?
Homaira Akbari : Eh bien, je pense que ce que Richard a décrit est absolument vrai. Il y a généralement, et historiquement cela a été fait... Siéger à des conseils d’administration où vous entrez principalement dans la deuxième moitié de votre carrière ou la troisième moitié de votre carrière, si vous êtes comme la troisième partie de votre carrière, mais aussi parce que vous avez besoin d’expérience et c’est très important, d’une expérience de gouvernance ou d’une expérience de direction, ou d’être PDG et de diriger une entreprise et de posséder un compte de résultat, Parce que vous devez avoir une expérience bien équilibrée lorsque vous êtes à bord. Cela dit, il y a environ 15 ans, ou même il y a 15 ou 20 ans, une tendance s’est amorcée, d’abord en Europe et en particulier en Norvège, où l’on s’est rendu compte que beaucoup de conseils d’administration, sinon tous, étaient très composés d’hommes et qu’ils voulaient diversifier les sexes.
Homaira Akbari : Et par conséquent, ils ont mis en place des lois selon lesquelles chaque conseil d’administration devrait avoir entre 30 % et 40 % de femmes dans son conseil. Par conséquent, de nombreux conseils d’administration ont commencé à se diversifier avant l’entrée en vigueur de la règle et ils avaient des femmes qui étaient peut-être membres d’un conseil d’administration pour la première fois et souvent plus jeunes et pas nécessairement vers la deuxième moitié ou la troisième partie de leur carrière. Aujourd’hui, si vous regardez les conseils d’administration, les conseils d’administration sont beaucoup plus diversifiés, non seulement par sexe, mais aussi par race, mais aussi par âge. Vous avez donc... Et c’est devenu même si vous avez parlé de cybersécurité plus tôt, mais cela est devenu encore plus prononcé lorsque la numérisation est devenue une réalité et que tout le monde a réalisé, chaque entreprise a réalisé qu’elle devait faire de la transformation numérique. Devine quoi? La majorité des personnes qui savaient comment faire de la transformation numérique étaient plus jeunes. Les conseils sont donc devenus plus flexibles pour, par exemple, avoir des membres qui avaient même 35 ans ou même moins par rapport à il y a trois décennies, l’âge moyen aurait été beaucoup, beaucoup plus élevé que cela, probablement à la fin des années 50 ou 60. Aujourd’hui, l’âge moyen diminue un peu chaque année.
Homaira Akbari : Mais je crois fermement que vous avez besoin de tout sur une planche. Vous avez besoin de cette diversification à la fois en termes d’âge, en termes de technologie, en termes d’expérience, d’origine, de sexe, de race... Et je pense que les conseils qui l’ont fait, ce que la majorité des conseils publics ont fait, en ont vraiment bénéficié.
Emily Wearmouth : J’ai vu une recherche de McKinsey qui disait... Cela a spécifiquement examiné 100 conseils d’administration et a déclaré que ceux dont l’équipe était la plus diversifiée avaient de meilleures performances financières. Il semble donc que ce soit la bonne direction pour un conseil d’administration.
Richard Starnes : Absolument, je ne pourrais pas être plus d’accord avec vous. Nous avons convoqué un conseil consultatif pour le London Cyber Resiliency Centre et je l’ai présidé et j’ai été très, très précis en examinant la démographie de Londres et en veillant à ce que la démographie de Londres corresponde à la démographie du conseil. Et je pense que nous en avons grandement bénéficié. 40 % de notre conseil consultatif sont des femmes.
Emily Wearmouth : C’est vraiment bon à entendre.
Homaira Akbari : Fantastique. Félicitations.
Emily Wearmouth : Puis-je affirmer que si la transformation numérique était un moteur d’une plus grande diversité et peut-être d’une composition plus jeune au sein d’un conseil d’administration, pourrions-nous examiner certains des défis auxquels les organisations sont actuellement confrontées et l’un d’entre eux, le plus important pour moi est un paysage de menaces en évolution très rapide. Cela pourrait-il signifier qu’une personne ayant une expérience en cybersécurité apporte aujourd’hui un ensemble de compétences beaucoup plus attrayantes à un conseil d’administration qu’elle ne l’aurait peut-être fait il y a 10 ans et que nous pourrions donc voir une augmentation du nombre de professionnels de la cybersécurité trouver ces postes au sein d’un conseil d’administration ?
Homaira Akbari : La réponse est oui et non. [rires] Dans un sens où, évidemment, si vous avez des connaissances en cybersécurité et que si vous le souhaitez, vous pourriez être considéré comme un expert en cybersécurité. C’est un point positif, mais en soi, ce n’est pas suffisant.
Emily Wearmouth : Droite.
Homaira Akbari : Bien que cela ajouterait énormément à votre candidature, ce n’est pas suffisant. Parce qu’à bord, vous vous souvenez que les planches varient, leur taille varie de sept à 15 environ, et tout le monde compte sur les planches. Et comme nous l’avons vu plus tôt, par exemple, si votre conseil d’administration est composé de 12 membres, trois ou quatre sont peut-être des cadres ou d’anciens cadres. Donc, maintenant, vous n’avez que sept ou huit membres parmi lesquels vous pouvez choisir, et tous ces sept et huit, si vous êtes, par exemple, une entreprise internationale où vous êtes présent au Brésil ou en Chine, vous voulez une représentation de ces régions parce que c’est très important. Vous ne pouvez donc pas choisir quelqu’un simplement parce qu’il est brésilien et d’accord, il était un homme d’affaires au Brésil, donc j’ai besoin de quelqu’un du Brésil. Ce que vous devez faire, c’est que tout le monde doit avoir plusieurs choses qu’il apportera à la table.
Emily Wearmouth : Droite.
Homaira Akbari : Pas seulement une aptitude, donc la cybersécurité seule ne suffit pas. Ce que j’ai vu, et je conseille à beaucoup de RSSI dont beaucoup sont en fait intéressés à siéger à des conseils d’administration, c’est vraiment d’élargir leur base de connaissances, leur carrière, pas seulement d’être directeur de la sécurité de l’information toute leur vie, mais aussi de faire d’autres choses. Et nous avons en fait vu des RSSI qui ont réussi à le faire. Et nous avons un exemple très puissant avec Banco Santander où notre RSSI, qui était là depuis sept ans maintenant, est devenu propriétaire du P&L et responsable de la transformation pour la vente au détail et le commerce, ce qui est vraiment un poste très important dans l’entreprise.
Homaira Akbari : Et ces exemples sont très positifs. Ils sont rares et beaucoup trop peu nombreux, mais ils commencent à se produire. C’est la même chose qui s’applique d’ailleurs au DSI ou à tout autre, par exemple si vous êtes directeur de l’IA ou directeur des données et que vous avez l’ambition de devenir membre du conseil d’administration, vous devez réaliser que vous devez vous diversifier, diversifier votre carrière et être une personne équilibrée. Parce que c’est ce dont le conseil a besoin. Dans chaque tableau, nous faisons maintenant une matrice d’échelle, et dans la matrice d’échelle, nous disons, d’accord, quelles sont les choses dont nous avons besoin pour le tableau et lesquelles vous apportez à la table ? Et si vous cochez simplement la case 2 sur 15, ce n’est pas suffisant.
Emily Wearmouth : Richard, y a-t-il quelque chose sur lequel vous avez consciemment travaillé et que vous avez développé à partir de votre expérience et de vos références afin d’offrir plus de valeur aux conseils d’administration que vous servez ?
Richard Starnes : Je n’ai jamais siégé à un conseil d’administration en tant que RSSI. Je vais prendre du recul et répondre à votre question initiale. La question parmi les RSSI a parfois été mal formulée et un RSSI devrait-il siéger au conseil d’administration ? Et ma réponse générale est non. Et la raison en est que vous ne pouvez pas siéger à un conseil d’administration en raison d’une fonction particulière que vous exercez. Vous devez être beaucoup plus diversifié dans ce que vous faites et vos expériences sont une chose. L’autre chose est de savoir si les RSSI doivent rendre compte au conseil d’administration ? Je pense que cela devrait être le cas. Et quand je dis rapport, ils devraient pouvoir avoir des rapports sur ce qu’ils font. Si ce n’est pas le cas, le conseil d’administration aura une sorte de structure où il aura des comités de risque ou de sécurité qui auront un membre du conseil d’administration qui y siège. Et ils devraient certainement en faire partie. Mais vous ne siégez pas en tant que RSSI simplement parce que vous êtes un RSSI à mon avis.
Emily Wearmouth : oui. Et je suppose que vous entrez là dans le territoire de noter vos propres devoirs dans une certaine mesure, n’est-ce pas ? Si vous êtes à la fois le RSSI et le conseil d’administration qui vérifie le travail du RSSI, il y a un léger conflit potentiel de toute façon.
Richard Starnes : Je recommande généralement aux conseils d’administration d’avoir une expertise en cybersécurité et/ou en risque de cybersécurité autre que le RSSI, car quelqu’un doit vérifier ses devoirs.
Emily Wearmouth : oui. Cela semble logique. Homaira, y a-t-il... Qu’il s’agisse de votre expérience personnelle ou de personnes que vous avez vues entrer dans certains des conseils d’administration auxquels vous siégez, y a-t-il des personnes qui viennent d’un milieu spécifique en cybersécurité ? Peut-être dans une organisation très différente du conseil d’administration auquel ils cherchent à siéger. Et avez-vous des idées sur les compétences qu’ils ont ajoutées à leurs références en cybersécurité afin de justifier leur siège au conseil d’administration de cette entreprise ? Devraient-ils s’épuiser et trouver des compétences financières, par exemple ?
Homaira Akbari : Oui. Il y a eu des cas, je dois dire, où la plus grande partie importante de la carrière de cette personne a été de faire partie de l’écosystème de la cybersécurité. Mais encore une fois, je l’ai déjà dit, ils sont beaucoup plus larges que cela. Et souvent, en passant, même pour quiconque veut devenir membre d’un conseil d’administration, si vous voulez établir des compétences pour être membre d’un conseil d’administration, vous pouvez commencer par des conseils plus petits et en particulier des conseils privés, des conseils non publics, des conseils financés par du capital-risque. Et dans ces conseils, par exemple, si l’entreprise est financée par du capital-risque et qu’il s’agit d’une cyberentreprise, vous aurez la possibilité, même en tant que RSSI, de siéger au conseil.
Homaira Akbari : Et cela vous donne, ce début vous donne le goût et les fonctions, les fonctions élevées et vous passez par l’apprentissage. Je le suggérerais donc sans hésiter. Mais encore une fois, pour les sociétés ouvertes, cela devient très compétitif et vous devez avoir la matrice de compétences et les antécédents de 15, les antécédents et l’expérience requis. Vous devez probablement cocher la case 10 à 12 pour faire partie de cette société ouverte. Et qu’en dehors de la race, du sexe et de la diversité de l’expérience et des antécédents, c’est : avez-vous été PDG ? Avez-vous été responsable du P&L ? Et soit vous l’avez, soit vous ne l’avez pas. Si vous ne l’avez pas, vous ne pouvez pas les cocher. Il y a donc des questions difficiles auxquelles il faut répondre et il faut du temps pour y arriver, c’est pourquoi à l’origine ou il y a des années, la majorité des membres du conseil d’administration étaient des personnes beaucoup plus âgées parce qu’ils venaient de faire beaucoup de choses différentes au cours de leur carrière et qu’ils auraient pu cocher ces responsabilités ou cette matrice de compétences.
Richard Starnes : Au Royaume-Uni, nous avons des gouverneurs. Ils sont similaires aux conseils scolaires aux États-Unis à certains égards, mais pas tous. On peut l’appeler un programme du gouverneur ou un conseil du gouverneur, mais il s’agit d’un poste de type conseil non exécutif. Et c’est un bon endroit pour apprendre comment fonctionnent les conseils d’administration et identifier les membres du conseil qui sont là depuis un certain temps et obtenir un certain niveau de contribution et de tutorat de leur part pour apprendre comment fonctionnent tous ces processus, comment fonctionne la gouvernance si vous ne le savez pas déjà et faites ce genre de contributions. Le programme Cyber Governors est confronté à des défis en matière de cybersécurité au Royaume-Uni. Et ils essaient d’amener des personnes ayant une expérience de la cybersécurité et de l’informatique dans ces conseils pour aider les écoles à faire face à ces choses. Mais c’est une bonne façon d’obtenir quelque chose du point de vue de l’expérience du conseil d’administration et des conseils d’administration du point de vue de l’informatique et d’obtenir quelque chose et de donner quelque chose en retour.
Emily Wearmouth : Cela semble être une excellente façon de commencer à cocher certaines des cases dont Homaira a parlé et de démontrer que vous avez de l’expérience dans certains types de rôles plus larges. Mais je voulais aussi voir comment on s’y prend pour trouver ce genre de rôles ? Mon attention a été attirée il y a quelques semaines sur un site Web qui ressemble un peu à un site d’emploi, mais pour les rôles de directeur non exécutif. Et j’ai parcouru là-bas et il y a des choses fascinantes énumérées. Est-ce le principal moyen pour les conseils d’administration de trouver de nouveaux administrateurs non exécutifs ou s’agit-il plutôt d’une tape sur l’épaule discrète de quelqu’un qui connaît quelqu’un ? Comment ces rôles identifient-ils les candidats et les candidats trouvent-ils des rôles ?
Homaira Akbari : Sûr. Il existe un certain nombre de possibilités. Par exemple, il y a quelque chose qui s’appelle BoardProspects. Je pense que c’est boardprospects.com que vous puissiez continuer... Il y a... Je connais quelques réseaux qui sont tous des réseaux féminins. Parfois, il faut déjà faire partie d’un conseil d’administration pour pouvoir faire partie de ces réseaux. Je pense que dans chaque pays, il y a des instituts directeurs. Par exemple, aux États-Unis, c’est la National Association for Corporate Directors. Et vous pouvez devenir membre même si vous n’êtes pas administrateur de sociétés et aller à leurs événements et commencer à rencontrer des gens. Il y a donc un certain nombre de ces situations.
Homaira Akbari : En cybersécurité également, il existe un certain nombre de réseaux dont vous pouvez faire partie. Comme je l’ai dit plus tôt, l’une des façons d’apprendre est aussi de devenir membre du conseil d’administration d’entreprises privées, de petites entreprises privées. Cela signifie que si vous avez des relations avec des sociétés de capital-risque ou des sociétés de capital-investissement, vous pouvez en tirer parti. Mais il ne fait aucun doute que vous devez faire du réseautage. Si vous pensez que vous pouvez simplement vous asseoir là, aller sur un site et postuler, c’est un peu plus difficile que, je dirais, que de trouver un emploi.
Richard Starnes : L’autre chose que vous devez considérer, à certains égards, ce n’est pas différent de la recherche d’emploi. Dans le fait que juste parce qu’un conseil d’administration vous aura, vous devez vous assurer que vous voulez faire partie de ce conseil. En particulier, si vous abordez cela pour la première fois, vous ne pouvez pas simplement dire, on me l’a demandé, alors oui. Vous devez vous assurer qu’il y a un bon ajustement, comme vous le feriez dans un emploi. Et c’est du point de vue de ce que fait l’entreprise, quel est le niveau de maturité de l’entreprise en matière de gouvernance en particulier. Et ce sont donc les choses que vous devez absolument prendre en compte également.
Emily Wearmouth : Maintenant, je veux un peu renverser un peu la conversation. Nous avons parlé de ce que les leaders de la cybersécurité peuvent apporter à un rôle de conseil d’administration. Maintenant, je veux jeter un coup d’œil, parce que je vous ai vus tous les deux parler dans le passé d’opinions sur les connaissances en cybersécurité qui existent ou n’existent pas déjà parmi les membres du conseil d’administration, des personnes qui ne viennent pas d’un milieu en cybersécurité. Pour poser une question très binaire pour commencer, les connaissances en cybersécurité sur les conseils d’administration en général sont-elles suffisantes ?
Homaira Akbari : Deux ou trois choses. Vous devez réaliser que de nombreux membres du conseil d’administration, non seulement ils ne connaissent pas la cybersécurité, mais ils n’ont pas besoin... Aujourd’hui, surtout aujourd’hui, les membres du conseil d’administration n’ont pas une bonne formation technologique parce qu’ils sont venus et ils n’ont même pas... Comme lorsqu’ils sont allés à l’école de commerce, la cybersécurité n’était pas enseignée. Ce n’était pas un cours. Aujourd’hui, la cybersécurité est enseignée, la transformation numérique est enseignée dans les écoles de commerce. Cela reste donc un sujet assez abstrait pour eux. Et je pense que l’une des choses que nous avons vues fréquemment, c’est qu’ils ne comprennent pas le concept du fait que vous n’êtes jamais, jamais en sécurité à 100 %, peu importe combien d’argent vous dépensez. Vous devez donc leur expliquer cela. Et parce que vous devez expliquer, vous allez être violé. Par conséquent, votre organisation doit être préparée lorsque vous violez une violation, comment identifier que vous êtes violé, comment le contenir, comment y répondre, comment s’en remettre.
Homaira Akbari : Et c’est quelque chose qu’ils ne comprennent pas, et ils ne comprennent pas non plus quel investissement vous devez faire pour le faire. La protection, ils comprennent mieux. D’accord. Je construis des murs et je me protège. Pareil dans le cyber. L’année dernière, j’ai co-publié un livre intitulé « Cyber Savvy Boardroom », qui essaie vraiment de fournir des modèles mentaux aux membres du conseil d’administration et de leur donner les bases de la cybersécurité afin qu’ils puissent intérioriser les connaissances. C’est le mot clé. Vous devez être capable d’intérioriser ce que cela signifie, la cybersécurité et la cybersécurité, et comment vous défendez. Vous n’avez pas besoin d’être un spécialiste, mais vous devez juste comprendre les concepts. Et les raisons pour lesquelles les pirates et les méchants s’en prennent à toutes les entreprises et le fait qu’aujourd’hui, à cause des ransomwares, chaque entreprise est une cible.
Homaira Akbari : Il y a dix ans, ce n’était pas le cas. Ce n’est que si vous étiez dans un certain secteur que vous seriez ciblé, que vous soyez dans le secteur financier ou dans les soins de santé. Mais le transport était moins important. Ils n’ont pas beaucoup de données intéressantes. Mais aujourd’hui, lorsque vous pouvez réellement utiliser des rançongiciels, obtenir de l’argent même des municipalités, même des organisations à but non lucratif parce que vous perturbez leur fonctionnement, personne n’est plus en sécurité. C’est donc la clé. Je pense donc que c’est de la formation continue. Je pense qu’il continue à mettre l’accent là-dessus. Il n’y a pas de fin à cela, c’est sûr. Mais je suis sûr que Richard a beaucoup de... Cela pourrait ajouter beaucoup à ce sujet.
Richard Starnes : En réponse à la question, non, ils ne le font pas. Mais ma réponse est : pourquoi devraient-ils le faire ? Ce sont des cadres à part entière et très bons dans leurs domaines spécialisés. Ma réponse à cela est généralement que les RSSI doivent apprendre à parler au conseil d’administration dans un langage qu’ils comprennent, à savoir le risque commercial, que les conseils d’administration comprennent assez bien. Et c’est la traduction qui doit se produire de la part des RSSI. Vous ne savez pas ce qu’est un pare-feu, et je ne vais pas perdre 15 minutes de votre temps à vous en expliquer un parce que vous vous en fichez et que vous ne devriez pas. Mais voici ce que fait un pare-feu. Cela atténue ces risques pour l’entreprise, et c’est pourquoi nous les avons. C’est donc le genre de changement de langage que je pense que nous devons faire au sein de la communauté des RSSI, c’est parler dans le langage des affaires.
Homaira Akbari : Je suis tout à fait d’accord avec Richard. Je pense que le langage... Je me souviens que j’étais à cet événement avec un certain nombre de membres du conseil d’administration et où j’ai fait un petit discours, puis c’était un débat. Et puis l’un des membres du conseil d’administration, elle m’a dit, eh bien, et elle était vraiment très sérieuse. Elle a déclaré : « Je pense que certaines de ces personnes ne parlent pas anglais. Nous devrions les envoyer à des cours de langue.
[rires] Homaira Akbari : Et j’étais comme, d’accord. C’est exactement ce que Richard vient de dire. Elle a dit qu’ils ne parlaient pas anglais en fait.
[rires] Emily Wearmouth : C’est un très bon point. Je me demande si, lorsque ces incidents se produisent et que la cybersécurité figure soudainement en tête de l’ordre du jour d’un conseil d’administration parce qu’ils sont au milieu d’un incident, et nous l’avons même vu, certaines écoles au Royaume-Uni, Richard, vous le savez, être soumises à des attaques de ransomware et faire l’objet de demandes de rançon. Ce sont des écoles publiques comme de l’argent du gouvernement. Ils n’ont pas l’argent, mais tout le monde en est victime. Lorsque ces incidents se produisent ou que les industries prennent connaissance d’incidents survenus dans des organisations similaires, cela se retourne-t-il et la cybernétique devient soudainement disproportionnellement ciblée par le conseil d’administration ou n’est-ce pas le cas ? J’essaie d’imaginer comment ces conversations vont et viennent au sein du conseil d’administration. Se déplace-t-il avec les incidents ?
Homaira Akbari : La réponse est oui. S’ils n’avaient pas un bon programme de cybersécurité et qu’ils ont été pris par surprise et qu’ils sont un certain nombre d’exemples, je ne veux pas le souligner, surtout parce que je suis dans le secteur. Mais peut-être que je le ferai, Target, Equifax, SolarWinds. Et l’impact, ces violations, l’impact a été énorme. Et c’est le moment où ces organisations n’étaient pas complètement préparées et n’ont pas eu un programme complet, alors cela devient assez chaotique. Et cela a certaines conséquences majeures, ce que cela a fait pour les trois entreprises que j’ai citées, et cela continue d’avoir.
Richard Starnes : J’ai écrit un article assez récemment sur ce sujet, et la raison pour laquelle je souris est que j’avais besoin d’un graphique pour cela, et j’ai demandé à Dolly de m’écrire un graphique pour ce à quoi cela ressemble lorsqu’un conseil d’administration traite d’un cyberincident. Et cela m’a attiré un conseil d’administration assis à une table. Il y avait des papiers qui volaient partout. Il y avait des gens qui criaient et hurlaient, et il y avait des écrans rouges qui clignotaient partout, et ma réponse immédiate a été : si c’est à cela que ressemble votre conseil d’administration lors d’un incident, la première chose à faire est de licencier votre RSSI. Vous vous êtes entraîné pour cela, et vous saurez ensuite comment y réagir. Le conseil d’administration devrait être engagé. Ils devraient passer par au moins un scénario par an pour bien comprendre comment ces choses fonctionnent.
Richard Starnes : Le ransomware est un bon ransomware, et c’est très facile pour certaines personnes... Je suis un ancien membre des forces de l’ordre, donc avec ma casquette de policier, non, je ne veux pas payer la rançon, je veux mettre ces gens en prison. Mais malheureusement, ce n’est pas si simple. Lorsque vous êtes une entreprise et qu’on vous a enlevé votre capacité à gagner de l’argent ou à maintenir votre entreprise, et que vous accumulez des dettes et perdez des clients à chaque minute, vous devez parfois faire l’impensable, c’est-à-dire payer. C’est très situationnable, mais vous devez être capable d’avoir déjà été là mentalement et d’avoir fait certains de ces calculs pour vous faire gagner du temps. Et cela passe par des choses comme des scénarios.
Emily Wearmouth : oui. Cela semble très sensé. Ils avaient l’habitude de dire de la bouche des bébés, la vérité jaillit. Et je pense que c’est maintenant de la bouche d’une demande d’IA que vous avez tendance à comprendre quels sont les stéréotypes dont elle se nourrit. Fascinant. Je peux donc voir que nous manquons de temps. Et Homaira a une réunion à laquelle aller. Je suppose une réunion du conseil d’administration. Je vais donc conclure là-dessus. Mais merci beaucoup à vous deux pour votre temps. Vous avez écouté le podcast Security Visionaries. J’ai été votre hôte, Emily Wearmouth. Veuillez vous abonner au podcast si vous ne l’avez pas déjà fait. Mon co-animateur, le merveilleux Max Havey, et moi enregistrons de nouveaux épisodes toutes les deux semaines. Nous couvrons donc toutes sortes de sujets intéressants et il y en a pour tous les goûts. Merci beaucoup, Homaira. Merci, Richard, de vous joindre à nous. C’est un plaisir de vous avoir ici.
Pourquoi Netskope 
){kind=icon}
