Producteur [00:00:00] Bienvenue sur Security Visionaries, un podcast alimenté par Netskope qui vous propose des conversations avec des cadres supérieurs du monde de la cybersécurité, de la technologie, de la confiance et de la mise en réseau. Cet épisode propose une conversation entre Shamla Naidoo, responsable de la stratégie et de l'innovation en matière de cloud chez Netskope, et Homaira Akbari, présidente-directrice générale d'AKnowledge Partners, animée par Steve Weber, professeur à l'UC Berkeley à l'école de l'information et partenaire de Breakwater Strategy. Coauteurs du récent ouvrage The Cyber Savvy Boardroom : Essentials Explained, Shamla et Homaira évoquent les raisons qui les ont poussées à rédiger cet ouvrage, la manière dont il aborde l'évolution des tendances en matière de cybersécurité et le type de réactions qu'elles ont reçues de leurs pairs. Voici notre conversation avec Shamla, Homaira et Steve.
Steve Weber [00:00:45] Bienvenue dans le podcast des Visionnaires de la sécurité. Je m'appelle Steve Weber. Je suis professeur à l'UC Berkeley, à l'école de l'information, et partenaire de Breakwater Strategy, une société de conseil basée à Washington, DC. C'est un honneur pour moi d'animer ce podcast. J'ai passé dix ans dans le monde de la cybersécurité, que ce soit du point de vue technique, commercial ou politique. L'une des dynamiques les plus intéressantes, les plus stimulantes et les plus importantes a été la conversation sur la cybersécurité dans la salle du conseil d'administration, en observant les administrateurs se débattre avec la surveillance et la gouvernance de cet ensemble de risques complexes et en évolution rapide. Homaira Akbari et Shamla Naidoo viennent de publier un nouveau livre très convaincant, The Cyber Savvy Boardroom. Je dirai qu'il est remarquable à plusieurs égards, mais surtout pour sa lisibilité, son utilisation pratique immédiate et, franchement, l'étendue de son champ d'application. Commençons donc par le début. Homaira, Sharma. Dites-nous qui vous êtes, comment en êtes-vous venue à écrire ce livre et pourquoi maintenant ?
Homaira Akbari [00:01:58] Je suis Homaira Akbari, présidente-directrice générale de AKnowledge Partners. J'ai commencé ma carrière en tant que scientifique dans le domaine de la physique expérimentale des particules et j'ai travaillé au Centre européen de recherche nucléaire (CERN). J'ai passé la moitié de ma carrière à diriger des entreprises technologiques dans des sociétés telles que Thales en France et Microsoft, Liberty Media, et j'ai été le PDG de Skybitz, une société spécialisée dans l'IdO. Je siège actuellement au conseil d'administration de Banco Santander et de Landstar System. Dans mon rôle actuel chez AKnowledge Partners. Je travaille avec de grandes entreprises sur le capital investissement dans les domaines de la sécurité, de la cybersécurité, de l'IoT, de la transition énergétique et de l'intelligence artificielle.
Steve Weber [00:02:43] Shamla ?
Shamla Naidoo [00:02:44] Je suis Shamla Naidoo. Je suis un technologue de longue date. J'ai passé quatre décennies dans la technologie et environ la moitié de cette période a été consacrée à la cybersécurité dans de grandes organisations. Je siège au conseil d'administration de trois sociétés publiques et j'enseigne le droit des technologies émergentes et le droit mondial de la vie privée à l'université de l'Illinois. J'apporte donc trois perspectives différentes à la même conversation, à savoir celle d'un praticien, celle d'un destinataire des mises à jour du conseil d'administration, et celle d'une personne qui apprend et comprend les engagements et les obligations réglementaires du conseil d'administration.
Steve Weber [00:03:16] Pourquoi maintenant ? Parlez-nous du moment et de l'importance de l'urgence du livre en 2023 et en 2024, si vous le voulez bien.
Homaira Akbari [00:03:27] En réalité, ce livre aurait dû être écrit il y a un an ou plusieurs années. Mais l'urgence aujourd'hui est que, comme vous l'avez vu, Steve, et comme tout le monde le voit chaque jour, nous avons des nouvelles de ce type de cyber-attaques et ces cyber-attaques deviennent de plus en plus grandes et de plus en plus importantes et elles s'étendent. Auparavant, il s'agissait uniquement de services financiers ou de soins de santé, mais il s'étend désormais à tous les secteurs, à tous les clients, à toutes les tailles d'entités, qu'il s'agisse d'entreprises à but non lucratif, de family offices, de grandes entreprises publiques ou privées, et également de petites entreprises. Et cela est dû en particulier au ransomware, qui est essentiellement le type d'attaque par lequel les données ou d'autres actifs d'une entité sont compromis et ensuite détournés, si vous voulez, cryptés et détournés. Les pirates demandent de l'argent pour le divulguer. Il s'agit donc désormais d'une affaire criminelle. Et chaque secteur, chaque entreprise y est soumis. Deuxièmement, la raison pour laquelle il y a urgence est que de nombreux régulateurs, et en particulier aux États-Unis, la FCC vient d'adopter des règles de divulgation, qui s'adressent principalement aux entreprises publiques. Mais comme vous le savez, les entreprises privées suivent généralement cette procédure, qui consiste à signaler toute violation importante dans les quatre jours ouvrables en déposant un document 8-K. Tout d'un coup, la cybersécurité a été mise sur le même plan que les autres risques auxquels sont exposées les organisations. En outre, la S.E.C. exige désormais des entreprises qu'elles développent ou précisent leur stratégie, leur gouvernance et leur organisation en matière de lutte contre les cyberrisques et qu'elles intègrent toutes ces informations dans leur rapport annuel (10-K). Ainsi. Le conseil d'administration est plus que jamais impliqué dans la cybernétique, dans la supervision des risques de cybersécurité et dans le respect des exigences de la SEC et, en général, des autres exigences réglementaires.
Steve Weber [00:05:58] Shamla, avez-vous quelque chose à dire à ce sujet ? C'est la première fois que vous vous asseyez et prenez le temps qu'il faut pour écrire un livre. Pourquoi maintenant ? Qu'est-ce que c'est ? Où était l'urgence pour vous ?
Shamla Naidoo [00:06:10] J'ajouterais qu'à l'heure actuelle, les entreprises se développent à une vitesse fulgurante, n'est-ce pas ? Et toutes les entreprises, je dirais même que la plupart d'entre elles sont déjà des entreprises numériques d'une manière ou d'une autre. Mais ils augmentent tous l'empreinte numérique. Nous vivons dans une économie de données, et nous créons et produisons donc plus de données que jamais. Notre technologie fonctionne de plus en plus vite. Et franchement, ce sont là de bonnes choses, car elles offrent d'énormes possibilités de croissance aux entreprises. Dans le même temps, cependant, nous devons déployer les mêmes efforts et accorder le même niveau d'attention aux risques de cybersécurité, car l'augmentation de l'empreinte numérique accroît les points d'exposition. Ils augmentent les possibilités de compromis. Ils augmentent les possibilités de vol et d'autres types d'activités frauduleuses. Je pense donc que le moment est venu pour les administrateurs de superviser la stratégie, non seulement de se concentrer sur les bonnes choses, mais aussi d'accorder le même niveau d'attention aux choses qui pourraient mal tourner, ce qui est la mission des conseils d'administration. Mais ce que nous essayons de faire avec ce livre, et pourquoi maintenant, c'est d'attirer l'attention, de faire prendre conscience à cette communauté que nous devons nous pencher sur la question, qu'ils ne peuvent pas contourner cette période.
Steve Weber [00:07:34] Intéressant, donc c'est presque comme si chaque fois que nous voyons le mot transformation numérique utilisé, nous devrions nous assurer que le mot cybersécurité est dans la même phrase ou dans la phrase suivante. Permettez-moi de revenir à vous, Homaira. Même pour les administrateurs les moins avertis ou les plus avertis d'un point de vue technique, il existe de nombreuses publications et des cours consacrés à la formation des membres des conseils d'administration en matière de cybersécurité. Il est évident que vous apportez ce livre dans cet environnement. Comment avez-vous structuré ce livre en tenant compte de toutes ces alternatives ? Selon vous, qu'est-ce qui l'a différencié en termes de valeur ajoutée réelle dans un secteur de l'éducation très fréquenté, mais encore difficile à servir ?
Homaira Akbari [00:08:22] Shamla et moi avons étudié, si vous voulez, ce qu'il y avait sur le marché, et si nous avons écrit notre livre, c'est parce que nous avons constaté une lacune. Ce que nous avons vu avec ce qui existe aujourd'hui, ce sont principalement des écrits, des livres, des brochures, qui parlent des termes de base, si vous voulez, de la cybersécurité et de ce que sont ces concepts de base. Ensuite, il y a des centaines de questions que les membres du conseil d'administration peuvent poser. En tant que RSSI, nous avons remarqué et observé en temps réel que certains de mes collègues directeurs posaient ces questions dans une salle de conférence, et le RSSI y répond. Le membre du conseil d'administration dit alors : "Oh, d'accord, merci. Mais il n'y a pas de discussion et d'engagement vraiment significatifs avec le CSO et la direction dans son ensemble pour vraiment comprendre ce qui se cache derrière ces réponses et si vous savez ce que vous faites, par exemple, lorsque vous posez une question comptable ou financière, il y a souvent un débat et généralement, lorsque vous voyez dans la cybersécurité, il n'y a pas de débat parce que vraiment le membre du conseil n'a tout simplement pas cette connaissance de base et fondamentale de la cybersécurité. C'est pourquoi nous avons décidé de créer, dans un volume relativement court de 80 pages, les connaissances fondamentales dont chaque membre de conseil d'administration a besoin. Nous prévoyons ensuite qu'ils continueront à s'appuyer sur ces connaissances et sur cette plateforme. Et, vous le savez, il s'agit d'un apprentissage continu, comme nous le savons, en particulier pour la cybersécurité. Mais ce que nous avons fait de très particulier, c'est que nous avons créé une série de modèles mentaux qui peuvent vraiment être assimilés sous forme de graphiques et qui peuvent être assimilés assez rapidement par des membres intelligents du conseil d'administration, dont tous les directeurs sont des personnes très accomplies. C'est ainsi que nous avons défini une série de cartes. Nous avons quatre cartes dans le livre, la première définissant les groupes d'actifs de l'entreprise, et nous avons créé dix catégories. Certains d'entre eux sont, par exemple, les données, un groupe d'actifs commerciaux, les actifs financiers. Les personnes sont les autres. Mais nous avons environ dix, en fait, dix groupes d'actifs commerciaux, et nous les définissons. Une fois que nous les avons définis, nous sommes allés montrer ce qu'est notre chapeau blanc. Notre atout est l'atout de l'entreprise. Quel type de gain obtiennent-ils en y accédant et quelles sont leurs motivations, pourquoi et comment ils le font. Cela nous amène à ce que nous appelons les vecteurs d'attaque. Nous avons donc cartographié pour chaque groupe d'actifs les vecteurs d'attaque qui existent aujourd'hui pour attaquer ces groupes d'actifs, soit pour les atteindre directement, soit pour les utiliser comme conduit pour atteindre les joyaux de la couronne de l'organisation, les données étant par exemple définies comme des joyaux de la couronne, pas seulement, mais seulement l'un d'entre eux. Nous passons ensuite à la troisième carte, qui reprend les dix mêmes groupes d'actifs commerciaux que nous avons montrés. Comment les protégez-vous ? Nous avons donc montré comment la stratégie de défense d'une bonne entreprise, d'une bonne organisation qui a une très bonne ou une meilleure posture de sécurité, a défendu ces groupes d'actifs particuliers. Nous arrivons ensuite à la quatrième carte, où nous fournissons à nouveau des mesures pour chaque groupe d'actifs commerciaux afin de montrer l'efficacité de la protection. Nous incluons également, parce qu'il s'agit d'un système de défense, non seulement la protection, mais aussi la détection, la réponse et la récupération dans la cybersécurité. Nous avons également inclus des paramètres concernant la mesure de l'efficacité de la posture de sécurité par le biais de tests ainsi que des paramètres de détection et de réponse. Je pense donc qu'il s'agit d'un document unique qui n'a jamais été réalisé et qui est très complet, mais qui est également très facile à assimiler et à apprendre.
Steve Weber [00:12:40] Oui, je dirais que du point de vue des lecteurs, je pense que les autres lecteurs trouveront la même chose. Ces cartes mentales aident vraiment à définir les priorités et la hiérarchie des questions à poser. Pour moi, c'était donc tout à fait nouveau, important et utile. Sharma Permettez-moi de revenir vers vous et de vous poser des questions spécifiques sur le cloud. Pour de nombreuses organisations de tailles très diverses, la transformation numérique est devenue une conversation sur le passage au cloud dans toutes sortes de configurations différentes. Parlons donc de l'informatique en nuage. Et lorsque vous pensez à la transformation et à la migration vers le nuage, quels types de possibilités, quels types de questions cela soulève-t-il pour le conseil d'administration, en particulier en ce qui concerne la sécurité ?
Shamla Naidoo [00:13:29] Vous savez, je pense que lorsque nous avons ajouté le concept de cloud au livre, c'était un sujet important parce que dans la salle du conseil, la plupart des administrateurs comprennent le concept de rapidité. Ils comprennent que nous devons renforcer nos capacités très rapidement. Et lorsque vous leur dites que vous pouvez soit placer quelque chose dans le nuage, soit consommer un service du nuage, la connexion immédiate est que cela va se produire beaucoup plus rapidement parce que je n'ai pas besoin que notre équipe consacre le temps et les efforts nécessaires pour construire la capacité de base. Quelqu'un d'autre l'a déjà fait. Nous allons simplement l'acheter, l'emprunter, le louer, etc. et nous allons l'utiliser pour développer nos propres capacités et il sera prêt à être commercialisé très rapidement. Si vous voulez voir les avantages de l'informatique dématérialisée et si vous voulez que la vitesse devienne une monnaie d'échange dans les conversations des conseils d'administration, vous devez vous rendre compte qu'il n'y a pas d'autre solution. La question que nous nous sommes posée était la suivante : que devraient-ils savoir pour éviter que les choses ne tournent mal ? Par exemple, est-il évident que l'infrastructure qui soutient l'environnement en nuage échappe à leur contrôle physique ? Quelles sont les choses qu'ils devraient faire et qu'ils n'auraient pas faites s'il s'agissait du centre de données ? C'est la raison pour laquelle nous nous sommes concentrés sur ce sujet : nous devons comprendre les risques liés à l'utilisation de l'informatique dématérialisée. Et il ne s'agit pas toujours de ce que vous pouvez toucher et sentir. Parfois, il s'agit de savoir qui vous devez surveiller, qui vous devez superviser, quels types d'attentes vous devez avoir vis-à-vis de vos partenaires et des tiers, etc. Mais encore une fois, tous ces grands avantages s'accompagnent de risques et ils doivent déterminer comment ils vont superviser ces risques de la manière la plus efficace possible pour obtenir les résultats qu'ils souhaitent.
Steve Weber [00:15:20] Super. Shamla, je vais m'appuyer sur votre remarque concernant le risque, car elle est très importante. De nombreux directeurs avec lesquels je m'entretiens se considèrent essentiellement comme des gestionnaires de risques dans un contexte de surveillance. Je voudrais revenir à vous, Homaira, et vous interroger sur votre point de vue et sur la manière dont le livre aborde la question de l'appétit pour le cyber-risque. Vous ne pouvez pas réduire votre risque à zéro. Vous dépensez pour des services, des produits, des processus au sein de l'organisation afin d'améliorer la cybersécurité. La question qui se pose naturellement est la suivante : comment savoir si j'obtiens un retour sur investissement et une valeur ajoutée en termes de modulation du risque pour atteindre le niveau souhaité ? Expliquez donc comment le livre aide les décideurs ou les directeurs, dans ce cas précis, à envisager le risque de manière constructive dans ce contexte.
Homaira Akbari [00:16:12] Nous donnons un certain nombre d'exemples et de lignes directrices. Ensuite, comme je l'ai mentionné précédemment, nous parlons également d'une série de mesures qui seraient utiles pour déterminer si ces investissements sont rentables. Tout d'abord, le conseil d'administration doit être convaincu que l'organisation réalise les investissements financiers et non financiers nécessaires, et j'insiste sur les investissements non financiers, pour prévenir les attaques qui peuvent être évitées et se défendre contre les attaques qui ne peuvent pas être évitées. L'une des mesures est donc, bien sûr, de regarder si les institutions financières sont les meilleures de leur catégorie, et l'une des meilleures défenseurs de la cybersécurité, qui ont le meilleur écosystème de défense, sont les institutions financières ou les banques de premier rang. Ainsi, une banque de premier rang typique dépense entre 500 et 1 milliard de dollars par an, Steve, chaque année pour la cybersécurité, ce qui correspond généralement à 5 à 10 % de son budget informatique. Vous savez, évidemment, les petites entreprises, et c'est le premier niveau. Ce sont des banques et elles sont vraiment les meilleures de leur catégorie. Mais les petites entreprises n'auront probablement pas la capacité de dépenser ce genre d'argent en utilisant 5 à 10 % de leur budget informatique, ce qui est une bonne mesure, sauf si vous êtes une petite entreprise et que votre budget informatique est assez faible, vous devrez probablement dépenser plus de 15 à 20 % de ce budget. Le point essentiel est ce que vous avez dit précédemment. Quand on pense à la défense, quand on dit que je dois me défendre contre les risques de cybersécurité, il y a quatre aspects à prendre en compte. Il y a la protection de vos actifs, la détection des menaces, la réponse à l'attaque et le rétablissement après l'attaque, parce qu'invariablement vous allez avoir une violation cybernétique. Il faut donc s'assurer que cette posture de sécurité est définie et que la sécurité aime la créer. C'est pourquoi vous disposez des meilleurs outils de la catégorie et de divers outils en place. Mais je manquerais à mon devoir si je ne terminais pas cette explication en soulignant que l'investissement non financier. Et qu'est-ce que c'est ? Il est primordial pour une organisation d'avoir la bonne culture cybernétique. Que voulez-vous dire par là ? Qu'entendons-nous par là ? Il s'agit vraiment d'une prise de conscience générale, en commençant par le PDG et l'équipe de direction, la prise de conscience, leur engagement en matière de cybersécurité, jusqu'à chaque employé de l'entreprise. Ce que nous savons aujourd'hui, c'est que les deux tiers, voire près de 80 %, de toutes les violations sont dues à une erreur, intentionnelle ou non, commise par des personnes au sein des organisations de nos sous-traitants. Par conséquent, cette prise de conscience, cette culture de la cybersécurité créée par le PDG qui dit : " J'y crois, je m'y engage et je m'y consacre ", se diffusera ensuite dans toute l'organisation et fera en sorte que tous les cadres soient responsables - il n'y a pas que les RSSI et Shamla peut vous en dire plus puisqu'elle a été RSSI et qu'elle est responsable de la cybersécurité.
Steve Weber [00:19:51] Shamla Permettez-moi de revenir à vous et de vous poser la question du jour, qui est certainement dans l'esprit de tout le monde en ce moment. Vous avez commencé à écrire ce livre lorsque les grands modèles de langage n'étaient encore qu'un jouet de recherche avec lequel les gens dans les laboratoires et les universités s'amusaient. Je pense que cela remonte à huit ou neuf mois maintenant. ChatGPT a fait irruption sur la scène et est soudain devenu l'un des développements les plus intéressants, les plus intrigants et les plus importants, et le mot I.A. est omniprésent. Parlez-nous de la manière dont l'essor de technologies telles que l'IA générative ChatGPT modifie ou accélère la nécessité d'un livre comme celui-ci et des types de changements dont Homaira vient de parler, y compris les changements culturels.
Shamla Naidoo [00:20:39] Ce qui est intéressant, Steve, c'est qu'il y a dix ans, nous avions la même réaction face à la technologie du cloud. C'est vrai. Dans un passé récent, il s'agissait donc d'un nuage. Aujourd'hui, c'est l'intelligence artificielle et en particulier les grands modèles linguistiques qui sont à l'honneur. Vous savez, dans un an ou deux, ce sera l'ordinateur quantique. Le fait est que l'innovation ne s'arrête pas. Il y aura donc une innovation constante. Nous serons constamment confrontés à de nouvelles technologies, de nouvelles approches, de nouvelles architectures et de nouveaux outils. C'est la nature même de la technologie. L'idée est donc, je pense, que nous devons être prêts à tout. Les administrateurs, en particulier, doivent comprendre le rythme du changement et la nécessité d'acquérir rapidement les connaissances de base, car c'est là que réside la plus grande lacune. Si vous n'avez pas de fondations, toutes les excellentes informations disponibles vont atterrir, mais elles ne reposent pas sur des fondations solides, ce qui signifie que vous ne pouvez pas vraiment construire à partir de ces informations. Ce livre, je pense, va leur donner les bases à partir desquelles ils pourront se préparer à ces nouvelles technologies, à ces nouvelles constructions qui vont se présenter à eux. L'idée est donc que c'est le début de l'apprentissage. Il ne s'agit pas de "l'apprentissage". C'est la base sur laquelle les autres connaissances seront construites. Je dirais donc qu'il faut se préparer à l'innovation du futur. Ce livre va vous donner les concepts de base, les approches et les modèles qui vous permettront de réfléchir à l'avenir de l'innovation. Mais vous savez, les grands modèles de langage sont un sujet d'actualité. C'est un sujet d'actualité car nous vivons dans une économie de données. Il y a des données partout. La plupart des données étaient invisibles jusqu'à ce que cette technologie soit mise à notre disposition. Nous pouvons ainsi exploiter les informations commerciales contenues dans toutes ces données. Je pense donc que nous avons maintenant l'occasion de nous concentrer sur les données, la protection des données, le risque lié aux données, le risque d'erreur, le risque d'omission, et toutes ces activités qui sont intégrées dans le grand modèle linguistique que nous allons utiliser pour les entreprises. Mais encore une fois, il s'agit de la base.
Homaira Akbari [00:22:53] Si je peux demander à Steve de répondre à cette question. Ce qui est très intéressant, c'est que dans le livre, nous parlons des technologies émergentes, comme Shamla l'a mentionné, et nous parlons spécifiquement de l'air et du chat, mais nous parlons aussi de l'IdO, mais par exemple, quand il s'agit de l'IdO, nous parlons du fait que 80 % des cyber-risques sont très similaires à tout ce que nous avons déjà connu. Mais il y a aussi des spécificités. Dans le cas du ChatGPT ou de l'IA, l'un des principaux risques, comme nous le savons tous, est d'alimenter le modèle avec des données erronées et, par conséquent, d'obtenir des résultats incorrects parce que vous créez en fait de fausses données. Ce qui nous amène à ce que l'on appelle le deep fake, où les données deviennent si fausses, si incroyables d'une certaine manière, mais où certaines personnes y croient, que cela crée ce que l'on appelle des deepfakes. Je pense que c'est exactement ce que Shamla a dit, c'est-à-dire que nous parlons des technologies émergentes, de la manière dont il faut les envisager, mais nous donnons ensuite des précisions pour ces cas. Je pense donc que nous aidons les membres du conseil d'administration à réfléchir au sujet du jour et à la manière de l'aborder.
Steve Weber [00:24:10] Je suis certain qu'il y en aura un nouveau en 2024 et qu'il sera testé au fur et à mesure. Homaira, parlons un peu de la manière dont les conseils d'administration s'évaluent et devraient s'évaluer. Il est évident que vous avez un grand nombre de conseils d'administration et d'entreprises publiques, etc. Et les gens se demandent comment nous nous débrouillons. Comment savons-nous que nous agissons ? Nous nous en sortons bien. La question que nous entendons tous souvent est de savoir à quoi ressemble le bien. Par conséquent, si un conseil d'administration souhaite évaluer son entreprise, réfléchir à la maturité ou à l'excellence en matière de cybersécurité, comment doit-il s'y prendre ? Et comment le livre parle-t-il des mesures et des comparaisons et de la réponse à cette question : "À quoi ressemble le bien par rapport à ce que font les autres ?
Homaira Akbari [00:24:55] Stevie Nous avons un chapitre entier, et c'est le chapitre sept, où nous parlons des mesures pour mesurer parce que, vous savez, c'est une question qui a été posée des millions de fois par les membres du conseil d'administration et les RSSI et d'autres personnes dans l'écosystème. Dans le chapitre sept, l'approche que nous avons adoptée consiste à définir deux séries de mesures. L'une concerne les mesures au niveau opérationnel, l'autre les mesures au niveau du conseil d'administration. Les mesures au niveau opérationnel correspondent à cette carte pour le domaine dont elle parle, qui montre essentiellement pour chaque groupe d'actifs commerciaux comment mesurer l'efficacité de votre protection et de vos méthodologies de détection et de réponse que vous utilisez. Il mentionne également le fait que vous devez mesurer ou tester la posture de sécurité de l'organisation, ce qui vous donne une mesure, pas la seule, mais une mesure de cette maturité. Nous en venons ensuite aux mesures au niveau du conseil d'administration et, à notre connaissance, personne n'a vraiment créé ce concept que Shamla et moi-même avons créé, à savoir que ces mesures au niveau du conseil d'administration ont en fait cinq composantes, dont deux sont opérationnelles. L'une d'entre elles est donc de savoir quel est votre programme de cybersécurité, votre efficacité et votre conformité réglementaire, et quel est votre profil de risque en matière de cybersécurité, qui découle des mesures opérationnelles que j'ai mentionnées. Mais il ajoute également trois évaluations supplémentaires. La première est la suivante : quelle est votre culture en matière de cybersécurité ? Deuxièmement, quels sont vos niveaux d'investissement et votre couverture d'assurance ? Et enfin, quel est le degré de préparation de votre organisation, si vous voulez, pour gérer l'impact d'une cyber-attaque ? Nous pensons qu'aucune organisation ne l'utilise de la manière dont nous l'avons formulé, mais nous pensons qu'une fois qu'elles l'auront fait, elles seront en mesure de déterminer la maturité de leur organisation. Et pour nous, c'est la clé.
Steve Weber [00:27:04] Merveilleux. Permettez-moi de revenir à vous, Shamla. Avec Homaira, vous vivez et respirez chaque jour l'univers de la cybersécurité. Vous avez été confronté à tant de facettes différentes de ce puzzle, et j'ai trouvé qu'il était très important, à la fin du livre, d'avoir une idée de ce que sont, selon vous, les réflexions, les pensées et les enseignements les plus importants que les gens doivent vraiment rapporter chez eux à la fin de la journée. Parce que l'établissement de priorités est un élément très important de cette conversation. Parlez-nous donc un peu des pensées finales, des réflexions à la fin du livre, de ce qui compte le plus pour vous et que les lecteurs retiendront de ce livre.
Shamla Naidoo [00:27:48] Donc, vous savez, je pense que je commencerais par, nous savons tous comment mesurer les avantages de la technologie, n'est-ce pas ? Et c'est la partie la plus facile. Ce qui nous pose problème, c'est de mesurer, de calculer et d'affronter réellement les problèmes lorsqu'ils vont mal, et c'est le conseil d'administration qui est chargé de cette tâche. Pour les aider, je pense qu'il faut réfléchir à l'aspect positif de la technologie. Comment cela peut-il mal se passer ? Il est important de noter qu'à moins que vous ne soyez une entreprise de cybersécurité et que vous vendiez des produits ou des services de cybersécurité, la génération de revenus ne provient pas de votre pratique de la cybersécurité. Les revenus sont générés par vos pratiques commerciales, mais les pratiques de sécurité, la technologie, les outils, les contrôles, etc. permettent à ces entreprises de fonctionner. Ainsi, lorsque nous calculons l'impact positif de notre activité et les revenus que nous en tirons, nous devons compenser cela par le coût de la sécurité, car il ne s'agit pas seulement d'un outil commercial, mais aussi d'un investissement dans les revenus que vous générez. Une fois que vous avez retiré l'investissement, vous vous dites : "Voilà combien d'argent j'ai gagné, mon bénéfice net". Il s'agit donc bien d'un coût pour faire des affaires, mais c'est le coût des recettes. Il s'agit donc d'un élément important. Je pense que l'autre chose à retenir est que le leadership pour ce sujet n'est pas interchangeable avec la technologie et les outils pour le sujet. Nous avons donc besoin de dirigeants compétents et forts, capables d'aider le conseil d'administration à sélectionner les risques. Comment identifier les risques les plus importants auxquels l'entreprise est confrontée et les réduire à néant ? Et ensuite, comment passer à l'étape suivante qui est la bonne et qui nous permet de continuer à réduire notre risque ? En effet, si nous nous concentrons uniquement sur les outils et la technologie, comment savoir si nous nous concentrons sur les bonnes choses avec le bon niveau de priorité ? Nous avons, vous le savez, tant de questions à traiter qu'il n'est pas possible de les traiter toutes en même temps avec le même niveau de rigueur, le même niveau d'investissement. Je pense donc que le CSO et les responsables de la sécurité doivent aider le conseil d'administration à sélectionner soigneusement ces risques. Je dirais également qu'il est très important d'avoir un dialogue de qualité, riche, ouvert et transparent. Le conseil d'administration doit donc dialoguer avec le RSSI. Il ne s'agit pas seulement d'un statut, d'une mise à jour de statut. Il devrait s'agir d'une discussion sur les risques, sur ce que nous ne faisons pas, sur ce sur quoi nous ne nous concentrons pas, sur ce à quoi nous n'avons pas consacré assez de temps. Car nous savons tous que nous n'avons pas assez de temps pour tout faire. Il faut donc que cette discussion soit transparente. Le RSSI ne doit pas être le seul responsable à s'occuper de ce sujet. Chaque décision commerciale, chaque domaine d'activité, lorsqu'ils gagnent de l'argent, savent comment en rendre compte. Ils devraient également être chargés de connaître et de comprendre l'impact de la cybernétique sur eux, comment elle leur permet, comment elle peut les contraindre et comment elle peut leur nuire ou leur porter préjudice. Les dirigeants d'entreprise doivent donc commencer à assumer la responsabilité des résultats au même titre que le CSO, car la cybersécurité n'est pas l'activité de l'entreprise. Cela fait partie de tout ce que vous faites. Je pense donc que le QI cybernétique, la cyberculture sont des éléments très importants à prendre en compte. Enfin, comme je l'ai dit, le CSO n'est pas le seul dirigeant à être responsable des échecs et des réussites.
Steve Weber [00:31:35] Intéressant. Homaira, avez-vous d'autres idées sur le point le plus important, le plus puissant à retenir, à savoir la qualité de la conversation stratégique au niveau du conseil d'administration sur le profil de risque de la cybersécurité, sa relation avec l'entreprise. Quel est l'enseignement le plus important que les gens devraient tirer de ce livre et qu'ils devraient garder à l'esprit lorsqu'ils l'auront terminé ?
Homaira Akbari [00:31:53] Steve, il y a des dizaines d'enseignements à tirer et nous les avons mentionnés. Mais oui, j'ai une idée à retenir et elle est basée sur le fait que cette question m'a été posée à de nombreuses reprises et qu'elle a également été posée à Shamla, je crois. Comment pouvons-nous être efficaces et sûrs ? Que pouvons-nous faire pour être sûrs à 100 % ? Je veux dépenser suffisamment pour être sûr à 100 %. Un cadre supérieur d'une entreprise du classement Fortune 50 m'a déjà posé cette question : comment se fait-il que le gouvernement ne nous sécurise pas à 100 % ? Ils l'ont fait, ont-ils dit. Et la réalité est que non, vous ne pouvez pas être sûr à 100 %. Pourquoi ? Les trois raisons. La première raison est que toutes les entreprises, tous les gouvernements et toutes les entités du monde, y compris les consommateurs, s'appuient sur des technologies obsolètes et des systèmes informatiques qui n'ont pas été conçus dans un souci de sécurité. Et ils créent des vulnérabilités. Et le problème est que nombre de ces vulnérabilités ne sont pas évidentes aujourd'hui, aujourd'hui. La deuxième raison est que nous adoptons chaque jour de nouvelles technologies, de nouvelles innovations, dont certaines sont même conçues pour la sécurité. Mais dès qu'elles s'intègrent à ces anciennes technologies, elles deviennent également vulnérables ou créent des vulnérabilités même dans les anciennes technologies. Ainsi, vous savez, cette augmentation de la surface d'attaque et l'impact sur cette surface que nous avons déjà créent des tonnes de vulnérabilités, dont certaines nous sont connues. Et certaines d'entre elles ne sont pas connues, comme les vulnérabilités dites "zero day". Enfin, il s'agit d'un secteur où vous avez des adversaires. Vous avez des armées de personnes extrêmement bien payées ou dont certaines sont extrêmement riches et des organisations, des organisations criminelles, qui recherchent les vulnérabilités et les exploitent. Et vous savez, pourquoi on nous a demandé pourquoi ils donnaient ça à une personne avant nous ? Pour les deux premières raisons que j'ai mentionnées, parce que nous ne sommes tout simplement pas au courant et que ces personnes travaillent en permanence et sont intelligentes pour rechercher ces vulnérabilités. C'est pourquoi il est très important de disposer de renseignements sur les menaces, de travailler, de coordonner et de coopérer avec le gouvernement sur d'autres entreprises et d'autres entités afin de pouvoir détecter, répondre et se remettre d'un dispositif quelconque.
Steve Weber [00:34:34] C'est très important. La leçon que je retiens renvoie à ce dont nous avons parlé plus tôt : à quoi ressemble le bien ? Personne ne devrait se poser la question de savoir à quoi ressemble la perfection, car il n'y a pas de perfection, et peut-être même que la question de savoir à quoi ressemble le bien n'est pas la bonne. Je retiens de ce que vous venez de dire que la bonne question est peut-être : comment savons-nous que nous nous améliorons et que nous nous améliorons plus vite que nos adversaires ?
Shamla Naidoo [00:34:54] Vous savez, Steve, j'ajouterais que c'est un excellent point, parce que tous les risques ne sont pas les mêmes dans toutes les entreprises. C'est vrai. Il s'agit donc de savoir ce qui est approprié et ce qui est dans les limites de votre appétit. Une chose que je dirais aux directeurs de conseil d'administration est de dire ce qu'ils veulent. Soyez clair sur ce que vous considérez comme matériel, car en l'absence de cela. Les RSSI s'efforceront de vous donner ce qu'ils pensent que vous voulez et ce dont ils pensent que vous avez besoin. Soyez donc clairs sur ce qui est important pour cette entreprise à ce moment précis, pour ce conseil. Qu'est-ce qui est important ? Que voulez-vous savoir ? Et je peux vous dire, en tant que praticien, que les RSSI vous donneront ce dont vous avez besoin. Mais s'ils devinent, attendez-vous à ce qu'ils se trompent.
Steve Weber [00:35:43] Fantastique. J'ai eu l'avantage de pouvoir lire le livre, mais ce n'est probablement pas le cas de la plupart de nos auditeurs. Pouvons-nous terminer en expliquant où ils peuvent se procurer ce livre ? Où le public peut-il trouver le livre ? Quand sera-t-il disponible ?
Homaira Akbari [00:35:58] Il sera disponible à partir du 5 septembre sur l'URL de Netskope.
Steve Weber [00:36:05] Shamla, avez-vous une dernière idée à partager avec notre public aujourd'hui ?
Shamla Naidoo [00:36:08] Je dirais qu'il faut lire ce que lisent vos conseils d'administration. Lisez donc le livre pour savoir à quel type de questions vous devez vous attendre lorsque vous vous retrouverez face à eux dans la salle de réunion.
Steve Weber [00:36:16] Merci beaucoup à vous deux d'avoir participé à ce podcast aujourd'hui. Mais je vous remercie encore plus d'avoir écrit ce livre. Je pense qu'il s'agira d'une ressource formidable pour de nombreux réalisateurs. J'espère qu'il sera largement lu et distribué et apprécié par ceux qui le liront et l'utiliseront surtout.
Producteur [00:36:32] Merci d'avoir écouté Security Visionaries. Veuillez prendre un moment pour évaluer et commenter l'émission et la partager avec quelqu'un qui pourrait l'apprécier. Restez à l'écoute des épisodes qui sortent toutes les deux semaines et nous vous donnons rendez-vous pour le prochain.
Pourquoi Netskope 
){kind=icon}
