0:00:00 Emily Wearmouth : Bonjour et bienvenue dans cette nouvelle édition du podcast des Visionnaires de la sécurité. Je suis votre animatrice, Emily Wearmouth, et aujourd'hui je suis rejointe par notre tout premier invité brésilien. Bienvenue dans l'émission, Nycholas Szucko. Ai-je bien dit cela ?
0:00:14 Nycholas Szucko : C'est exact. Vous venez de faire mouche. Je vous remercie de votre attention. Nous sommes si loin, mais nous sommes capables de nous connecter et de communiquer. Je suis très heureux d'être ici aujourd'hui.
0:00:23 Emily Wearmouth : Permettez-moi de vous présenter aux auditeurs pour qu'ils sachent pourquoi nous vous avons invité. Nycholas est actuellement assis sur six planches. Son CV contient bien d'autres choses, mais il est actuellement six et est également très impliqué dans la diversité au sein des conseils d'administration, la plus grande organisation au monde pour les professionnels de niveau C, qui est active dans 15 pays. Les auditeurs réguliers le savent. J'aime toujours découvrir l'histoire de nos invités, d'où ils viennent et pourquoi nous devrions écouter leurs conseils. Pourquoi sont-ils des visionnaires de la sécurité ? Et Nicholas, bien que votre carrière se soit déroulée du côté des professionnels de l'entreprise, vos débuts ont été ceux d'un analyste de systèmes. C'est bien cela ?
0:00:59 Nycholas Szucko : Je dois vous dire quelque chose. Avant d'être analyste, j'étais musicien. Je pensais que j'allais devenir violoncelliste. J'ai joué du violoncelle pendant 10 ans. J'avais l'habitude de payer pour le philharmonique mineur ici à Sao Paulo. Malheureusement, nous savons à quel point il est difficile d'être musicien, en particulier pour la musique classique, et de réussir dans ma carrière et de gagner de l'argent pour ma famille. J'étais programmeur informatique, mais la musique m'a beaucoup aidé à réussir dans ma carrière, comme le travail d'équipe, la communication avec les autres instruments de l'orchestre, votre groupe, la façon dont tout le monde étudie et joue en même temps. En fin de compte, vous ne ferez qu'une seule musique. Toutes ces expériences m'ont beaucoup aidé et la lecture de ce que j'avais besoin de lire pour jouer m'a aidé à faire de la programmation informatique logique. C'était incroyable de voir comment les choses de notre vie ont été connectées à travers le temps.
0:02:01 Emily Wearmouth : Oui. Vous savez, j'ai déjà entendu dire, et nous nous sommes déjà complètement éloignés du sujet, mais j'ai déjà entendu dire que les personnes qui sont très douées en musique sont souvent très douées en mathématiques. Ce lien entre la lecture de la musique et l'écriture de codes me semble donc logique. Je ne sais pas pourquoi, mais c'est logique.
0:02:16 Nycholas Szucko : C'est tout à fait logique, oui. Ensuite, je suis allé à l'université, j'ai commencé à faire de l'informatique, mais c'était trop technique à l'époque et j'ai décidé de devenir entrepreneur à un jeune âge, un collègue de l'université. Nous avons uni nos forces pour créer notre première entreprise. Il ne s'agissait pas de cybersécurité à l'époque, car il y a plus de 20 ans, la cybersécurité n'était pas un sujet d'actualité. Lorsque j'ai commencé mon discours, j'ai dit que je venais de l'époque où le plus grand défi que nous ayons en matière de cybersécurité était une boîte de réception pleine de spam ou un ordinateur avec un virus qui rendait les ordinateurs faibles, rien de plus. Il est certain qu'après cela, la cybersécurité évolue beaucoup. Le défi aussi. J'ai commencé à prendre ce genre d'initiatives pour relier non seulement l'aspect technique, mais aussi l'aspect commercial. Et quand je regarde en arrière, je pense que c'est la raison principale. C'est parce que j'ai commencé à être, je l'interprète tôt dans ma carrière.
0:03:15 Emily Wearmouth : Vous avez mis le doigt sur un point que j'adore : le moment où nous sommes revenus à l'âge d'or où il y avait très peu de menaces, alors que la cybersécurité est aujourd'hui absolument plus importante. Il existe des risques bien plus importants. Cela signifie que les responsables de la sécurité au sein des organisations se retrouvent, même si c'est un changement intervenu au cours de la dernière décennie, beaucoup plus exposés aux conversations commerciales, les cadres supérieurs, le conseil d'administration veulent savoir ce qu'ils font. Les risques qu'ils gèrent sont dans le collimateur du conseil d'administration. Je pense qu'il est intéressant, et c'est ce dont nous allons parler aujourd'hui, de voir comment des personnes qui sont peut-être issues d'un milieu technique ou même simplement d'un département qui, dans une certaine mesure, était autorisé à faire son travail relativement tranquillement, se retrouvent aujourd'hui sous les projecteurs du conseil d'administration. De quelles compétences supplémentaires les gens ont-ils besoin pour naviguer dans ces relations et pour obtenir les succès qu'ils savent vouloir obtenir ? Et je vais axer une grande partie de la conversation d'aujourd'hui sur une étude publiée à la fin de l'année dernière, que les auditeurs peuvent consulter. Il s'agit de Conversations cruciales. Les chercheurs ont réalisé un travail très approfondi. Ils se sont entretenus avec des PDG du monde entier et les ont interrogés sur la manière dont ils travaillent avec leurs leaders technologiques au sein de leur organisation. Qu'attendent-ils d'eux, qu'est-ce qui ne fonctionne pas ? Ensuite, ils sont allés parler au DSI et ils lui ont en quelque sorte renvoyé la balle, ce qui leur a permis d'obtenir le point de vue du DSI. Ensuite, ils ont fait une autre vague en se rendant dans l'équipe du DSI et en discutant avec des vice-présidents, les personnes qui sont très impliquées dans l'infrastructure, pour essayer de comprendre à quel point ces conversations sont visibles et dans quelle mesure elles sont capables de comprendre ce que veulent les chefs d'entreprise et de l'appliquer aux décisions qu'ils prennent au jour le jour. Je vais vous en présenter quelques-unes, Nycholas, aujourd'hui, et vous demander votre avis, vos opinions et vos conseils sur la manière dont nous devrions avancer. La première question que je souhaite vous poser est donc liée à un point de données qui m'a choqué. 39% des dirigeants du secteur technologique déclarent ne pas être du tout en phase avec leur PDG en ce qui concerne la prise de décisions importantes, ne pas être du tout en phase, 39% et 31%. Ainsi, près d'un tiers d'entre eux ne sont même pas sûrs de pouvoir vous dire ce que veut leur PDG. Comment un responsable de la sécurité, comment un RSSI peut-il commencer à combler ce fossé d'alignement et à comprendre ce que veut le PDG pour ensuite commencer à l'appliquer à ce qu'il fait ?
0:05:40 Nycholas Szucko : De mon point de vue, c'est une question de communication. Même si nous voulons que les membres du conseil d'administration et les cadres supérieurs comprennent le langage de la cybersécurité, et même si le DSI et le directeur de la technologie utilisent le langage de la technologie, nous devons comprendre que les membres du conseil d'administration et les cadres supérieurs ont de nombreuses responsabilités et un agenda bien rempli pour différents sujets complets. Ils ont la fiscalité, ils ont la macroéconomie, ils ont tout dans leur assiette, ils doivent trouver un moyen d'établir des priorités. Et oui, la cybersécurité peut avoir un impact énorme, mais un contrat mal aligné, ce genre d'événements majeurs qui se produisent dans le monde entier, peut vraiment briser une entreprise. Et lorsque nous comprenons que c'est notre travail, d'en apprendre plus sur l'entreprise, d'apprendre le langage qu'elle parle, cela est complètement aligné sur le risque, l'exposition, l'impact sur l'entreprise. Et nous devons leur dire que nous sommes un élément clé de la stratégie visant à garantir la continuité de l'activité. Non réduire l'impact, augmenter le niveau de maturité de notre opération et protéger la branche. Nous sommes les gardiens de la protection de la marque, mais en tant que RSSI technique, DSI, CTO, nous devons aller de l'avant, apprendre des entreprises et leur faire la traduction car, comme je vous l'ai dit, l'assiette est pleine de sujets différents et il est difficile de la comprendre. Et lorsque nous commençons à parler de choses techniques, nous créons une déconnexion, un désalignement et une distance entre le conseil d'administration, le niveau C, RSSI et le DSI.
0:07:17 Emily Wearmouth : Il y a quelque chose d'intéressant là-dedans lorsque nous parlons de communication ou de ces compétences New que les dirigeants doivent acquérir. L'accent est souvent mis sur la partie parlante de la communication, mais la communication comporte une très grande part d'écoute. Sinon, ce n'est pas de la communication, c'est juste de la discussion. Pour moi, ce point de données va vraiment au cœur de la question : il ne s'agit pas seulement de savoir si le PDG comprend la technologie. Nous y reviendrons dans un instant, mais il s'agit de savoir si le responsable de la sécurité comprend le PDG et s'il est à l'écoute des besoins de l'entreprise. Et je me demande s'il existe des forums ou des environnements dans lesquels les responsables de la sécurité peuvent se placer pour mieux écouter et absorber ce que l'entreprise veut faire pour les aider lorsqu'ils restituent les choses ?
0:08:02 Nycholas Szucko : Oui, nous apprenons beaucoup à parler mais très peu à écouter. Et pour une communication réussie, nous devons nous assurer que les autres parties comprennent, car nous devons nous souvenir du niveau C et du conseil d'administration. Ils ont beaucoup d'expérience. Ils ont une carrière pleine de scénarios différents. Ils peuvent prendre des décisions, mais nous devons informer les indicateurs, le risque où nous nous trouvons dans ce scénario et partager avec eux autant d'informations que possible pour une meilleure décision. Car il ne faut pas oublier qu'en fin de compte, il s'agit d'une décision commerciale, qui consiste à investir ou à ne pas investir. La réduction du risque dépend de l'appétit pour le risque. Parfois, parce que l'entreprise a besoin d'acquérir plus de marché dans ce laps de temps, elle va prendre plus de risques. Il est naturel que ce type de période soit pris en charge par l'entreprise. Mais maintenant que je possède le marché, je dois protéger mon entreprise, je vais investir davantage dans la cybersécurité et lorsque je fais mon discours pour les RSSI ou les DSI, j'essaie d'apporter quelques techniques qu'ils doivent apprendre pour devenir plus efficaces dans ce genre de conversation. Le podcast que j'ai avec le nom est Board and Board Members avec le CSO de la banque Bradesco. C'est un professionnel extraordinaire, Glauco Sampaio. C'est une autre personne qui se concentre sur le membre du conseil d'administration et nous sommes en train d'en parler. Quelles sont ces compétences New que les CSO et les CIO doivent posséder ? C'est une question de communication, c'est certain. Raconter une histoire. Nous devons trouver un moyen de raconter l'histoire de manière à ce qu'elle ait un lien et un sens. En fin de compte, nous devons avoir des compétences en matière de vente. Oui, nous devons nous vendre en tant que professionnels. Nous devons vendre le projet au conseil d'administration pour qu'il l'approuve. C'est très important. L'aspect financier est également très important, car il est très difficile de dire que la cybersécurité va générer un retour sur investissement. Mais oui, nous pouvons protéger le prix des options d'achat d'actions. Oui, nous pouvons contribuer à réduire le risque parce que l'impact, qui est actuellement de 20 millions, peut être ramené à 10 millions. Ce type de conversation, ou la manière dont nous présentons le budget pour l'année, est important pour augmenter les chances d'approuver le budget et de réaliser votre projet. Compétences en matière de communication, de narration et de vente. Et oui, apprenez quelques notions de finance qui vous aideront dans votre carrière et la rendront fructueuse.
0:10:37 Emily Wearmouth : Une autre chose qui est ressortie de la recherche, et je vais donner la prononciation britannique et américaine ici. Les PDG voulaient un lieutenant de confiance pour l'auditeur américain, ils veulent un lieutenant de confiance. Ils parlaient de quelqu'un qui pouvait parler le langage des affaires, quelqu'un avec qui ils pouvaient travailler. Mais ce mot de confiance était vraiment important pour moi. Et je me demande comment on passe du statut de lieutenant à celui de lieutenant de confiance. Comment pouvez-vous vous imposer aux yeux du PDG et instaurer cette confiance ?
0:11:04 Nycholas Szucko : D'après mon expérience, vous devez vous mettre en position de servir. Oui, nous allons nous occuper des tuyaux, oui, nous allons nous occuper des sales boulots de la cybersécurité, pas seulement de la technologie, mais nous allons essayer d'éduquer tout le monde. Positionnez-vous en tant que communicateur, en établissant un lien entre les autres domaines. Et dès que vous êtes disponible pour une personne d'un niveau C, vous établissez à coup sûr ce lien de confiance avec le conseiller. Il dira du bien de vous pour la prochaine fois. Et le temps et l'énergie que nous investissons pour ce premier projet seront réduits pour le suivant, peut-être au bout d'un an ou de deux ans. La prise de temps ne se fait pas d'un jour à l'autre. Offrez-leur des services, communiquez dans leur langue et soyez proactifs. Parfois, lorsque quelque chose se passe dans l'actualité, il faut traduire leur langue, la langue de votre entreprise et la partager comme un élément de formation, un élément d'éducation pour ces niveaux C. Au bout d'un ou deux ans, vous aurez la possibilité de faire une présentation de 10 minutes au conseil d'administration. Cela va être extraordinaire. Vous devez vous entraîner beaucoup parce que pour présenter au conseil d'administration, vous devez être concentré, vous devez obtenir des chiffres, des points de repère, et vous devez le faire en seulement 10 minutes. C'est un véritable défi. Vous commencez par la surveillance, le service, l'aide, le soutien à l'opération et, à coup sûr, ils trouveront votre place dans le scénario et auront une chance de se présenter au conseil d'administration.
0:12:38 Emily Wearmouth : Avant de poser la question suivante, je voudrais juste reconnaître l'évidence. Le soleil a fait son apparition au Royaume-Uni. Cela n'a pas été le cas depuis que nous avons commencé à capturer des vidéos pour nos épisodes, à l'automne. Nous n'avions donc pas prévu ce qui allait se passer lorsque l'été commencerait à arriver au Royaume-Uni. Je vous prie donc de m'excuser si je deviens vraiment très lumineuse alors que le soleil sort de derrière les nuages en cette belle journée de printemps. L'autre point que je voulais souligner dans cette étude est le large éventail de réponses fournies par les chefs d'entreprise en ce qui concerne leur degré de tolérance au risque. Vous avez fait allusion au fait que le monde a beaucoup changé. Alors qu'il y a encore cinq ans, nous pensions que le risque était mauvais, nous voulons l'éviter. Mais en réalité, dans le monde des affaires d'aujourd'hui, vous ne pouvez pas éviter le risque et c'est à travers le risque que se trouvent les récompenses. Certains PDG sont donc beaucoup plus à l'aise que d'autres lorsqu'il s'agit de prendre des risques. Et je me demande si vous avez des conseils à donner aux responsables de la sécurité pour les aider à déterminer le niveau de tolérance au risque de leur PDG. Parce que ce n'est pas quelque chose d'uniforme. Chaque directeur général sera différent. Comment psychanalysez-vous votre PDG pour savoir s'il est à l'aise avec le risque ?
0:13:48 Nycholas Szucko : Nous devons étudier beaucoup de choses avant même d'avoir la première réunion. Nous étudions l'expérience passée de ce PDG ou des membres du conseil d'administration. Depuis peu, lorsque les membres du conseil d'administration ont besoin d'être présents lors d'une présentation, j'organise des jeux de rôle avec l'IA. Je crée des personas pour chaque membre du conseil d'administration et j'effectue une sorte d'interaction pour comprendre la réaction et être bien préparé pour la prochaine réunion. C'est un très bon morceau de périphérique que vous pouvez faire, tout le monde a eu l'occasion de le faire et vous vous êtes bien préparés.
0:14:29 Emily Wearmouth : Comment faites-vous, Nicola ? Sur ce point ? Construisez-vous de petites versions IA des cadres avec lesquels vous travaillez ou cherchez-vous à obtenir des systèmes IA une compréhension générique d'un PDG ou d'un directeur financier ?
0:14:42 Nycholas Szucko : Exactement. Ils peuvent me guider vers la meilleure façon de communiquer ou vers un mot spécifique qui attirera l'attention ou vers l'approche que je dois adopter dès le début pour être sûr de réussir. Lorsque je fais ce genre de préparation, je me sens plus à l'aise devant les membres du conseil, car je dois vous dire que même si j'ai beaucoup d'expérience, j'ai des papillons dans l'estomac lorsque je participe à une réunion importante, car je dois me préparer à mieux faire ma présentation, ma réunion. Et je vais me sentir plus à l'aise à ce sujet. Et je nous aide à comprendre d'abord le profil de ce capital et le secteur vertical dans lequel cette entreprise travaille. Par exemple, lorsque nous parlons avec des startups, celles-ci sont agiles et peuvent prendre plus de risques. Non, et ils sont, comment dire, disposés à le faire en raison du profil de l'entreprise ou peut-être de l'âge des dirigeants. Mais lorsque vous allez dans l'industrie, c'est un scénario complètement différent. Mais oui, pour l'instant, non. Les cyberattaques peuvent atteindre les usines et avoir un impact considérable sur le processus de production de l'usine. Non, mais nous comprenons qu'ils sont plus enclins à prendre des risques. Non. Comment positionner votre offre par rapport à quelqu'un qui a une plus grande aversion pour le risque ? Ma suggestion serait d'abord de comprendre que le professionnel jette un regard rétrospectif sur sa carrière. Nous pouvons constater que les personnes qui s'expriment dans le cadre d'un entretien par podcast obtiennent des informations qui leur permettent d'améliorer leur communication. Deuxièmement, il faut comprendre la verticale, c'est-à-dire le degré de risque que la verticale est prête à prendre. Vous aurez beaucoup de succès dans la communication et dans les réunions.
0:16:31 Emily Wearmouth : J'aimerais entrer un peu plus dans les détails avec vous, car nous savons que les PDG ne veulent pas connaître tous les détails de ce qui se passe dans leur pile technologique et qu'ils veulent que leurs dirigeants soient capables de résumer les choses et d'apporter les mesures clés qui sont pertinentes pour eux. Mais ce qui ressort de l'étude, c'est que les PDG expriment leur frustration face à cette boîte noire de la technologie, alors que dans le passé, ils pouvaient peut-être voir des baies physiques dans un centre de données et que cela avait plus de sens pour eux. Aujourd'hui, tout est dans le nuage, tout est un peu plus virtuel et ils sont vraiment en difficulté et ils cherchent leurs responsables de la sécurité pour les aider à expliquer un peu plus ce qui se passe. L'étude menée au niveau des vice-présidents a également révélé que 61% des vice-présidents techniques ont déclaré que leur PDG était frustré par le manque de transparence de l'infrastructure. Je me demande ce que vous en pensez. Et jusqu'où les responsables de la sécurité et de la technologie doivent-ils aller pour expliquer ce qui se passe à l'intérieur de la boîte noire ?
0:17:27 Nycholas Szucko : Je pense que nous devons adopter une approche différente, même avec la technologie dont nous disposons actuellement. J'utilise souvent le tableau blanc pour donner une explication générique, les bases de l'architecture, juste les éléments principaux. Et j'utilise toujours la base quotidienne. Exemple, juste un exemple, double facteur d'authentification, double facteur d'authentification. C'est un casier, deux casiers. Lorsque nous parlons de protection des couches, vous avez votre mur et le mur de la rue à l'intérieur de votre porte et le coffre-fort à l'intérieur de la maison. Essayez d'apporter ce genre d'exemples. Il ne s'agit pas d'en faire trop, mais faites le tableau blanc, faites ces exemples corrélés parce qu'ils vont rendre clair pour eux ce type d'architecture et même les scénarios à traduire du côté de l'entreprise. Par exemple, lorsque je travaillais pour l'industrie, celle-ci disposait de tous les équipements nécessaires pour entrer dans l'usine, du casque et de tout le reste. C'est ce que nous devons faire pour que nos données soient les mêmes, mais le langage de l'industrie est complètement différent de celui du secteur financier. Essayez maintenant d'établir une corrélation entre ces scénarios, car il sera plus facile pour l'auditoire de vous comprendre. Et lorsque vous vous rendez compte qu'ils augmentent, le numéro de la question ou la question est plus en rapport. Ce que vous essayez d'expliquer, c'est le moment où vous vous rendez compte que vous réussissez dans cette communication. Lorsque vous arrivez à une réunion, que vous vous contentez de parler et que vous repartez sans poser de questions ni interagir, la réunion ne sera pas bonne et vous ne serez peut-être plus invité à y participer.
0:19:14 Emily Wearmouth : Oui, vous pourriez sortir de la pièce en pensant ouf. J'ai pu m'en tirer avec celle-là. Personne n'a posé de questions. Mais en fait, c'est un indice qu'ils n'ont peut-être pas compris ce que vous disiez et les questions sont souvent une bonne chose.
0:19:25 Nycholas Szucko : Exactement.
0:19:26 Emily Wearmouth : Je voudrais parler de l'IA agentique. Je crois que Gartner a publié une statistique, je l'ai ici d'ici 2028, selon laquelle 15% des décisions commerciales quotidiennes seront prises de manière autonome à l'aide de l'IA agentique. 2028, c'est dans deux ans, 15%, c'est beaucoup de décisions commerciales prises par des machines plutôt que par des humains. Et je me demandais si cette montée en puissance de la main-d'œuvre agentique, si vous la voyez changer la façon dont les conseils d'administration considèrent les responsables informatiques, s'ils les considèrent davantage comme des responsables des ressources humaines ? Leur rôle change-t-il d'une manière ou d'une autre parce qu'ils sont désormais considérés comme les maîtres de cette main-d'œuvre New?
0:20:04 Nycholas Szucko : Oui. Un exemple que je donnais à une entreprise de vente au détail : pouvez-vous imaginer votre service d'approvisionnement composé uniquement d'agents d'IA et chaque agent d'IA aura sa propre identité, sa propre carte de crédit pour pouvoir prendre la décision et finaliser les transactions. Et lorsque nous en parlons au premier, ils nous répondent que non, c'est impossible. Non, c'est possible dès maintenant. Et vous allez réduire le coût d'un trop grand nombre d'achats. Oui, au début, nous devons nous rappeler que nous devons augmenter l'investissement pour la première année est plus d'investissements que de retour parce que nous devons investir dans la cybersécurité protection des données et le projet de mise en œuvre de ce type de département d'IA pour vous. Mais après cela, vous serez étonné de la productivité et des connaissances que ce service vous apportera. Et lorsque nous parlons de ce type d'approche, le RSSI, le CIO, peuvent jouer un rôle très important pour aider à comprendre comment la technologie se traduit en profondeur pour l'entreprise, mais ce sont eux qui vont diriger le projet en tenant la main au responsable des achats. Parce que le responsable des achats sait tout sur le département, le processus et tout le reste. Et le DSI peut enseigner comment la technologie peut contribuer à ces processus dans les tâches quotidiennes et pourrait être un très bon, comment dire, travail d'équipe aligné sur l'entreprise.
0:21:35 Emily Wearmouth : Oui, le travail d'équipe comme l'orchestre dont vous parliez au début.
0:21:38 Nycholas Szucko : Oh, bien vu.
0:21:43 Emily Wearmouth : D'accord. De quoi d'autre voulais-je vous parler aujourd'hui ? En voici une. L'une des frustrations exprimées par les équipes techniques dans le cadre de la recherche est qu'elles sont intégrées dans le cycle de planification stratégique bien trop tard, alors que les décisions ont déjà été prises, même au sein des unités commerciales, concernant les grandes initiatives en matière d'IA ou les fournisseurs de cloud New qui sont introduits dans l'organisation, et qu'elles sont toujours en train de rattraper le temps perdu. Et je pense que 63% des responsables informatiques ont déclaré qu'ils se sentaient complètement éloignés des conversations stratégiques qui façonnent activement les décisions en matière d'informatique. Comment les gens peuvent-ils s'impliquer beaucoup plus tôt dans ces conversations ? Comment passer d'une attitude réactive à une attitude presque consultative au sein de l'entreprise ?
0:22:28 Nycholas Szucko : Vous vous souvenez de nos conversations précédentes sur le fait de servir les services à l'autre personne, à l'autre département ? Non, nous devons être proactifs, car la situation ne changera pas du jour au lendemain. Ce ne sera pas quelque chose de forcé. Aujourd'hui, vous devez impliquer la cybersécurité pour demain. Et c'est difficile. Essayez d'être proactif, organisez une réunion, une première réunion juste pour comprendre le département. Deuxièmement, il s'agit de comprendre les besoins. Troisièmement, il s'agit d'avoir une conversation plus approfondie sur les possibilités. Et cette personne comprendra que vous n'êtes pas là pour bloquer les projets, car rappelez-vous que beaucoup de DSI et de RSSI du passé ont adopté ce type d'approche. Vous n'allez pas lancer le produit, vous ne pouvez pas le faire. Vous devez vous aligner en tant que partenaire qui va permettre à l'entreprise, au produit New, de fonctionner, mais toujours en partageant le risque et l'impact possible. Et la décision finale, vous devez vous en souvenir, n'est pas la vôtre, c'est celle de l'entreprise. Qui est propriétaire du produit ? Le PDG qui dirige l'entreprise. Vous serez un très bon aligneur si vous pouvez fournir autant d'informations que possible. Participez à ce processus d'éducation pour pouvoir être impliqué dès le début. Cela prendra du temps, mais vous devez commencer à le faire dès maintenant. Je me souviens d'un cas avec une grande société financière ici au Brésil où il a pu, comment dire, infiltrer une personne de l'équipe de cybersécurité dans chaque équipe de la société. Mais oui, les compétences de la personne chargée de la cybersécurité qui a été infiltrée n'étaient pas les plus techniques, mais celles qui avaient les meilleures aptitudes à la communication et à la négociation. La négociation est une autre compétence très importante pour tout le monde.
0:24:24 Emily Wearmouth : C'est intéressant parce que lorsque vous réfléchissez à la manière dont les grandes organisations sont organisées, très souvent l'équipe des RH a au sein du département un partenaire commercial aligné sur d'autres unités commerciales et l'équipe financière aura des partenaires commerciaux alignés sur le marketing par exemple. Mais l'équipe technique n'a pas tendance à faire du partenariat commercial, peut-être dans les très grandes organisations, mais elle n'a pas tendance à faire du partenariat commercial de la même manière en infiltrant toutes les autres équipes et en ayant quelqu'un qui travaille directement avec elles afin qu'elles puissent anticiper ces projets à l'avance ou lorsqu'ils commencent à se mettre en place et commencer à les influencer immédiatement.
0:25:01 Nycholas Szucko : Exactement. Je pense que c'est une très, très bonne approche. Deuxièmement, le processus d'éducation est étendu à l'entreprise. Ce n'est pas seulement à l'occasion du mois de la cybersécurité, en novembre, que vous organiserez des séminaires, que vous inviterez des conférenciers, mais vous devez trouver un moyen de parler de ce sujet tous les mois. Non, juste un exemple. Lorsque nous travaillons dans une industrie, nous disposons d'une minute pour la sécurité. Lorsque le directeur général de l'usine commence la réunion, il dit quelque chose. Malheureusement, lorsqu'un incident se produit, un incident se produit C'est pourquoi le processus ou la procédure New est le processus ou la procédure New. Il y aura une formation les semaines suivantes. Tout le monde doit être présent pour assurer la sécurité de tous ici. Pourquoi vous ne pouvez pas avoir une minute pour la cybersécurité. Il n'est pas nécessaire d'avoir pour la sécurité, il faut aussi avoir pour la sûreté. mais vous devez comprendre cette dynamique et essayer d'y participer ou de l'atténuer. Reproduire la même approche parce qu'elle fonctionne déjà. Vous n'avez pas besoin de tout réinventer.
0:26:07 Emily Wearmouth : Je voudrais parler de ce qu'on appelle ici les sparadraps, les pansements. Je ne sais pas ce qu'est le portugais pour le pansement ou le plâtre, mais c'est ce dont nous allons parler ensuite.
0:26:16 Nycholas Szucko : Band-aid résonne pour nous.
0:26:18 Emily Wearmouth : Le pansement fonctionne. D'accord, nous allons parler de pansements. L'étude a montré que les achats de technologies sont souvent des solutions de fortune, en particulier parce que les cadres supérieurs ne sont pas suffisamment impliqués dans les changements stratégiques dont tout le monde sait qu'ils doivent être opérés. Tout le monde sait que ces pansements sont des solutions à court terme qui tentent de résoudre un problème, mais qui risquent d'en créer un autre par la suite. L'étude CIO a révélé que 36% d'entre eux, soit un tiers, pensaient que leur entreprise investissait dans l'infrastructure informatique, mais que cela se traduisait toujours par des solutions de fortune plutôt que par des solutions plus architecturales. Je me demandais si vous aviez des conseils sur la manière dont un dirigeant peut aider à faire passer cet investissement de "voici un problème ponctuel et nous allons le résoudre" à "tenez-moi la main, je vais vous accompagner dans ce qui peut sembler effrayant, mais nous allons procéder à une modernisation adulte afin de pouvoir utiliser moins de pansements à l'avenir". Comment changer cette conversation ?
0:27:18 Nycholas Szucko : Un exemple de ma carrière : je travaillais pour un grand fournisseur de services en nuage. Je commence à travailler un an avant la pandémie et lorsque celle-ci se produit, tout le monde doit passer à l'informatique dématérialisée dès le lendemain. Et lorsqu'ils décident de passer à l'informatique dématérialisée, ils le font en l'état. De la même manière qu'il y a un avion à l'intérieur de mon centre de données, je me déplace dans le nuage. Ce n'est pas seulement un désastre du point de vue de la cybersécurité, car la surface d'attaque est beaucoup plus grande. Un petit problème est devenu un énorme problème. Mais la consommation, parce que si vous opérez de la même manière que dans notre centre de données, la facturation à la fin du mois sera énorme. C'était la première fois que j'essayais de faire face à ce genre de situation. Lorsque vous êtes une entreprise native dans le nuage, je pense que c'est facile parce que vous pouvez bénéficier de tous les avantages. Nous commençons à coder le nuage, les conteneurs et tout le reste. Mais il ne faut pas oublier que beaucoup d'entreprises sont issues du secteur traditionnel. Certes, une partie de leurs activités se fait dans le nuage, mais ils ont beaucoup d'héritage. Cette suggestion, nous devons la découper en morceaux parce qu'ils ne vont pas tout résoudre d'un jour à l'autre. Non, la première chose que je vous suggère de faire est d'établir un plan des couches de cybersécurité que vous avez autour de l'entreprise. Le nombre que j'ai vu dans le passé, c'était pour les grandes entreprises, ils ont au moins 70 produits pour protéger l'entreprise et environ 30 fournisseurs pour soutenir ce processus maintenant que nous avons la technologie, c'est exactement pourquoi nous ne pouvons pas avoir une approche de plate-forme de soixante-dix acteurs sur la cybersécurité. Vous en aurez peut-être 30 de bonnes, peut-être 20.
0:29:06 Nycholas Szucko : Et avec cette approche de plateforme, vous pouvez commencer à intégrer cette architecture New, tous les processus, les produits. Et comprenez que vous aurez peut-être 5% de la technologie qui sera dans votre centre de données dans un petit ordinateur que vous ne pourrez pas mettre à jour. Mais ce sera dans une pièce sombre, sous haute surveillance pour éviter que quiconque n'y pénètre, et sans accès à l'internet. Mais il s'agit d'un projet pour lequel vous devez dire que nous sommes là. Dans trois ans, le projet consistera à réduire les risques, à accroître l'efficacité et à essayer de consolider le système. Car rappelez-vous, si vous avez 70 produits pour la cybersécurité, vous allez avoir beaucoup de silos est impossible de tout connecter de la même manière et de trouver un incident de trop d'événements.
0:29:58 Emily Wearmouth : Oui. Et je suppose que c'est à ce moment-là que vous rencontrez une crise de compétences, car vous avez besoin de spécialistes pour chaque élément de votre pile. Vous allez rencontrer des problèmes d'équipe. Oui, exactement. Je suppose donc que ce que vous dites, c'est qu'il faut élaborer une stratégie de plateforme, mais que vous pouvez ensuite adopter une approche progressive pour y intégrer les différentes parties de l'entreprise. Mais si vous disposez de la bonne plateforme, vous pouvez, au fil du temps, y ajouter des éléments qui vous permettront d'avancer dans la bonne direction sans que cela ne soit un choc pour le système.
0:30:26 Nycholas Szucko : C'est exact. Le dernier conseil à ce sujet est de se concentrer sur les fruits les plus faciles à cueillir. Parce que vous imaginez qu'au bout de trois mois, non. Lors de la prochaine réunion du conseil d'administration, vous montrez déjà beaucoup de consolidation, peut-être en réduisant le coût du contrat principal ou en établissant un meilleur contrat parce que nous sommes capables de consolider plus de technologies pour le même prix. Lorsque vous donnez ce gain pour la prochaine réunion, vous gagnez des points. Il s'agit d'un jeu qui consiste à gagner des points pour obtenir plus d'espace lors de la réunion et obtenir plus, comment dire, de responsabilité dans ce processus également.
0:31:00 Emily Wearmouth : Au Royaume-Uni, nous appellerions cela des "brownie points", c'est-à-dire que vous gagnez des "brownie points" auprès d'une équipe dirigeante idéale.
0:31:05 Nycholas Szucko : Bien mieux.
0:31:08 Emily Wearmouth : Nycholas, cette conversation a été extrêmement intéressante et j'apprécie vraiment le fait que je vous ai jeté des points de données et que vous avez donné un sens aux choses. Vous nous avez donné des approches très constructives et très pratiques que nos auditeurs peuvent adopter en utilisant la motivation d'un mauvais comportement que les points de données nous montrent et ensuite comment ils peuvent améliorer les choses au sein de leur propre organisation. J'apprécie donc vraiment toute la perspicacité et les connaissances que vous nous avez apportées aujourd'hui.
0:31:35 Nycholas Szucko : Non, c'est un plaisir pour moi d'être ici. J'espère que le public comprendra mon anglais. Peut-être pourriez-vous mettre des sous-titres pour vous assurer que tout le monde comprenne, mais c'était extraordinaire.
0:31:46 Emily Wearmouth : Génial.
0:31:47 Nycholas Szucko : Merci. Et je suis ici essentiellement au Brésil. Toute mon expérience provient de l'Amérique latine, où je dirigeais une entreprise. Nous devons nous rappeler que nous sommes une région émergente. Peut-être que les choses que je partage ici pour une région plus mûre ne trouveront pas d'écho. Mais nous pouvons toujours tirer de bonnes conclusions de cette étonnante conversation. Et merci pour cette opportunité, Emily.
0:32:12 Emily Wearmouth : Je pense qu'une grande partie de ce que vous avez dit résonnera et sera très utile aux entreprises du monde entier. Vous avez écouté le podcast Security Visionaries et j'ai été votre hôte, Emily Wearmouth. Consultez notre catalogue sur Spotify, Apple Podcasts ou YouTube pour découvrir d'autres épisodes brillants avec d'excellents experts donnant d'autres informations très utiles. Ils sont tous animés soit par moi, soit par mes co-animateurs, Max Havey et Bailey Popp. Et je vous rejoindrai la prochaine fois.
){kind=icon}
