Entretien complet sur la cybersécurité avec Davison Paull et Mike Maletsky

Nous nous sommes entretenus avec les experts Davison Paull de Dashlane et Mike Maletsky d’Embroker pour tout savoir de leur parcours professionnel dans le domaine de la cybersécurité. Lisez la suite pour en savoir plus sur la façon dont ils sont entrés dans l’industrie, ce qui a constitué le déclic pour leurs carrières et les changements qu’ils observent en matière de sécurité et de cybermenaces pour les particuliers et les organisations.

Q : Comment vous êtes-vous lancé dans la cybersécurité/la technologie ?

MM : J’ai toujours travaillé dans le domaine de la souscription d’assurances, avec un accent sur la gestion et la responsabilité civile professionnelle. Au cours des six dernières années, j’ai travaillé à l’intersection de la technologie et de la souscription de ces lignes d’assurance via des produits et des plates-formes numériques. Rejoindre une société d’assurance technologique comme Embroker début 2022 fut une décision naturelle, pour me concentrer davantage sur l’aspect technologique du métier.

DP : Toute ma carrière juridique s’est construite autour de la technologie au sens large, mais je ne me suis vraiment impliqué dans la cybersécurité qu’après avoir rejoint Dashlane, en 2018. On ne peut pas proposer de conseil juridique efficace si l’on ne connait pas les activités de son ou ses clients. C’est pourquoi mon apprentissage a commencé à ce moment-là, et je trouve parfois que la technologie ressemble à de la magie.  

Q : Quel est le moment le plus important que vous ayez vécu dans le domaine de la cybersécurité, que ce soit sur le plan personnel ou professionnel ?

MM : Pour moi, le déclic s’est produit lorsque j’ai réalisé que la sensibilisation est l’outil le plus puissant dont dispose une entreprise. Certaines failles de cybersécurité ressemblent à des films où le méchant « pirate le serveur », mais la plupart sont dues aux employés qui baissent leur garde, ne serait-ce qu’une seconde. Un rapport récent publié par mon entreprise, Embroker, a révélé qu’en 2022, 50 % des entrepreneurs interrogés ont déclaré penser que leur police d’assurance ne les couvrirait que partiellement en cas de faille. 27 % ont dit la même chose l’année précédente. 

L’inquiétude grandit et la capacité des employés à percevoir leurs e-mails ou d’autres vecteurs de risque sous l’angle de la cybersécurité ou du point de vue de l’assureur est la meilleure défense possible pour une entreprise.

DP : Pour moi, le déclic a été le fait de réaliser qu’il n’y a pas de sécurité sans risque de perte. Je veux dire par là que si l’utilisateur est la seule personne à pouvoir accéder à ses données dans un système tel qu’un gestionnaire de mots de passe, que ce soit par le biais de la biométrie, d’un mot de passe Maître ou d’autres moyens, ce système est beaucoup plus sûr qu’un système doté d’une « porte dérobée » ou d’un autre moyen permettant à quelqu’un d’autre de restaurer ces données si les identifiants de l’utilisateur sont perdus. D’un autre côté, il existe de nombreuses situations où le risque opérationnel associé à la perte des données l’emporte sur la nécessité d’une sécurité technique maximale. Il est essentiel d’équilibrer ces exigences dans le cadre d’une offre de cybersécurité efficace. 

Q : Quelle question en matière de cybersécurité vous est fréquemment posée dans votre rôle ?

MM : Est-ce couvert ? C’est la question numéro un qu’on me pose en matière d’assurance en général. La réponse, la plupart du temps, est : « ça dépend ». Il faut se poser cinq questions (quoi, quand, où, qui et pourquoi), puis aligner la situation exacte sur les conditions générales, ce qui peut être très déroutant. Y a-t-il eu une faille dans votre système ou le système d’un fournisseur avec lequel vous travaillez ? L’erreur venait-elle de vous ou d’eux ? C’est là qu’interviennent les professionnels de l’assurance, comme moi, et les sociétés d’assurance technologiques, comme Embroker. Nous aidons à évaluer les vulnérabilités de votre entreprise et à élaborer une politique qui répondra à vos besoins aujourd’hui et à l’avenir.

DP : Comment fonctionne l’architecture « zero-knowledge » ? Comment est-ce possible qu’une entreprise qui stocke mes mots de passe ne puisse pas les voir ? Pour être honnête, en tant que juriste, on ne me pose pas très souvent cette question directement. Cela dit, elle est souvent à l’origine des questions que nos clients et nos utilisateurs se posent, et je passe beaucoup de temps à expliquer en quoi cette caractéristique de l’architecture sous-tend de nombreuses positions que nous adoptons dans nos accords. 

Q : Quelle est la statistique la plus alarmante que vous ayez vue et qui devrait inciter les gens à se préoccuper davantage de l’avenir de la cybersécurité ?

MM : Dans le 2022 Cyber Risk Survey (Enquête sur les risques cybernétiques en 2022) d’Embroker, nous avons découvert que 68 % des fondateurs interrogés avaient subi une cyberattaque dans l’une de leurs entreprises. D’un autre côté, et de façon intéressante, 50 % des personnes interrogées ont le sentiment que leur police d’assurance actuelle ne les couvrirait que partiellement en cas d’attaque ou de faille. Ces résultats m’ont montré à quelle vitesse la technologie évolue, ainsi que la nécessité d’une protection de bout en bout en matière de cybersécurité. Une assurance à elle seule ne suffira pas pour résoudre tous les problèmes, pas plus que des outils et des technologies de cybersécurité. Les deux doivent fonctionner de concert afin de couvrir tous les vecteurs de risque, pour les entreprises de toutes tailles.

DP : La majorité des failles de sécurité dans les organisations se produisent parce que le mot de passe faible d’une seule personne a été exploité. Compte tenu de la nature décentralisée du travail et de l’infrastructure opérationnelle (pensez au nombre d’outils SaaS utilisés par votre organisation), il n’existe plus vraiment, dans la plupart des organisations, de périmètre au sens traditionnel de la sécurité du matériel informatique. L’interface de chaque utilisateur avec chaque outil est un point de risque, et le moyen le plus rentable de limiter ce risque est de sécuriser cette interface en s’assurant que les identifiants sont uniques, robustes et sécurisés.

Q : Comment participez-vous à la « démystification » de la cybersécurité ?

MM : Le risque cybernétique est très mal compris. Comme beaucoup de choses inquiétantes dans le monde d’aujourd’hui, il peut facilement être oublié, car il est majoritairement invisible. Il peut être difficile de justifier le temps nécessaire pour se renseigner sur l’ampleur des risques inhérents au monde numérique. Du moins, jusqu’à ce qu’il vous arrive quelque chose, à vous ou à votre entreprise. Mon équipe chez Embroker travaille avec nos clients et la communauté professionnelle pour comprendre leurs sentiments (ou leur absence) autour de la cybersécurité et leur fournir des ressources pour les aider. Nous créons des rapports, développons des enquêtes, travaillons en partenariat avec d’excellentes organisations comme Dashlane et rendons nos données aussi transparentes que possible afin d’éduquer la communauté professionnelle sur les risques et les opportunités de notre monde numérique.

DP : Je crois beaucoup en des explications claires et simples. Pour moi, c’est très important, car j’ai besoin que les gens puissent m’expliquer des choses très techniques de manière à pouvoir ensuite les traduire avec précision en contrats. C’est pourquoi je suis très doué pour écouter les explications techniques, puis les traduire dans un langage clair et compréhensible. J’essaie ensuite de m’assurer que les aspects importants sont présents dans mes contrats, sans les retraduire en termes juridiques. Je déteste le jargon. Je ne suis pas là pour changer le monde, mais il est beaucoup plus facile d’expliquer pourquoi nous adoptons les positions contractuelles qui sont les nôtres lorsque le langage n’est pas intimidant.

Q : Y a-t-il de grands changements que vous avez observés cette année qui montrent que les gens prennent la cybersécurité beaucoup plus au sérieux ?

MM : Il y a deux choses qui ont récemment attiré mon attention.

Le gouvernement américain a pris quelques mesures cette année qui ont mis en perspective l’importance de cette question. Le 1er mars 2023, le gouvernement de Biden a publié une Stratégie nationale de cybersécurité, soulignant ainsi son engagement à soutenir la nation dans le monde numérique. Pour les sociétés et les entreprises technologiques, cette stratégie implique toutefois un niveau de responsabilité accru. La responsabilité est passée des actions involontaires d’un individu, aux systèmes et aux technologies développés par les entreprises sur lesquelles nous nous appuyons pour accéder au cyberespace. Il s’agit d’un changement majeur, et nous verrons sûrement les implications de cette décision dans le domaine de la cybersécurité et de la cyberassurance pendant des années.

Deuxièmement, un évènement encore plus récent a été la décision de la SEC selon laquelle les entreprises doivent fournir annuellement des informations sur les incidents, les expositions, la gestion des risques, les stratégies et la gouvernance autour de la cybersécurité. Ces règles de divulgation, qui visent à mettre en lumière des incidents souvent cachés qui affectent les clients, le personnel et les investisseurs, donneront au public un aperçu des lacunes en matière de protection et pourront aider à mieux prévenir de futures attaques et à responsabiliser les organisations. L’aspect responsabilité est lié à la Stratégie nationale de cybersécurité et peut exposer les cadres supérieurs et hauts dirigeants d’entreprise à un risque accru de responsabilité.

DP : Exactement ce qu’a dit Mike. 

Q : Qu’est-ce qui vous inspire le plus dans votre travail aujourd’hui ?

MM : Aider les entreprises à se développer. Démarrer une entreprise, et même en gérer une d’ailleurs, est une activité effrayante. À travers des enquêtes et des rapports, nous avons découvert que la majorité des entrepreneurs se perçoivent comme prudents. Il faut un sacré courage pour démarrer une entreprise. Cela implique beaucoup de travail et beaucoup de risques que ces propriétaires d’entreprise sont forcés d’ignorer pour aller de l’avant. Notre travail chez Embroker est d’aider à supprimer l’incertitude face à ce que les entreprises ne peuvent tout simplement pas éviter. La peur est une force puissante, et nous donnons aux entrepreneurs l’assurance nécessaire pour bâtir de grandes choses.

DP : Ce domaine est intéressant, important et évolue rapidement. Travailler sur quelque chose qui compte tout en étant entouré de collaborateurs engagés et sources d’inspiration est stimulant. Et je ne m’ennuie jamais.