Questions-réponses sur la cybersécurité avec Rob Black, fondateur et PDG de Fractional CISO
Rob Black, CISSP, fondateur et PDG de Fractional CISO, LLC, estime que chaque entreprise, quelle que soit sa taille, doit prêter attention à la cybersécurité. Nous nous sommes récemment entretenus avec lui au sujet de sa carrière dans le domaine de la cybersécurité, des tendances qu'il observe et de son avis sur la façon dont les organisations peuvent améliorer leur cybersécurité.
Découvrez les grandes lignes de notre entretien ci-dessous et participez au webinaire « How AI Can Help or Hinder Your Organization's Cybersecurity Plan » (Comment l'IA peut aider ou entraver le plan cybersécurité de votre organisation), pour connaître le point de vue de Rob sur la cybersécurité et l’essor de l'intelligence artificielle générative (GenAI).
Q : Comment vous êtes-vous lancé dans la cybersécurité ?
RB : J'ai commencé à travailler dans le domaine de la technologie en 1984, à l'âge de 10 ans ! C'est à cette époque que ma famille a reçu son premier ordinateur, un Apple IIc, et je suis rapidement devenu le spécialiste de l'informatique au sein de la famille Black. J'ai obtenu mon diplôme universitaire en 1996, avec une spécialisation en informatique et en sciences et ingénierie des systèmes.
Je suis arrivé à la croisée des chemins en 2007, lorsque j'ai eu deux bonnes opportunités d'emploi : être responsable produit pour un produit de synthèse vocale ou responsable de produit SecurID chez RSA Security. De toute évidence, j'ai choisi la sécurité. Je n'ai jamais regretté cette décision. J'ai toujours aimé la sécurité, et je savais qu'un poste dans ce domaine offrirait de nombreuses opportunités pour l'avenir. Et j'avais raison !
Q : Quel a été pour vous le moment décisif dans le domaine de la cybersécurité, que ce soit sur le plan personnel ou professionnel ?
RB : Au milieu des années 2010, j'ai constaté que le leadership en matière de cybersécurité que je fournissais était utile à de nombreuses organisations de taille moyenne. Je travaillais dans le secteur des grandes entreprises, où il est facile d'embaucher un responsable de la cybersécurité à temps plein. Il est beaucoup plus difficile pour les organisations de taille moyenne de faire de même. J'ai réalisé que tout le monde avait besoin de ce rôle et j'ai décidé d'utiliser le modèle « temps partiel»(fractional, en anglais) pour fournir ce service à de nombreuses entreprises. C'est à ce moment décisif que j'ai créé Fractional CISO.
Q : Quelle question en matière de cybersécurité vous est fréquemment posée dans votre rôle ?
RB : « Sommes-nous suffisamment en sécurité ? » Si vous posez cette question, la réponse est probablement : « Non ! »
Il existe de nombreuses actions que chaque organisation devrait mener pour se faire une idée globale de sa posture de sécurité et de son profil de risque. Les fournisseurs de services cloud tels qu'AWS et Azure disposent respectivement d'un Security Hub et d'un Security Center, qui fournissent une bonne vue d'ensemble de votre configuration de sécurité dans le cloud. Vous devez procéder à une analyse des vulnérabilités externes de votre produit et de votre infrastructure réseau. Votre application doit faire l'objet d'un véritable test d'intrusion. Vous devez procéder à une évaluation quantitative des risques afin de chiffrer (en euros + probabilités) les risques de cybersécurité auxquels votre organisation est confrontée.
Votre objectif est d'atténuer (par des cybercontrôles), de transférer (par une cyberassurance) ou d'éviter (en mettant hors service les actifs à risque) les risques de cybersécurité jusqu'à ce que votre organisation puisse accepter sereinement ce qui reste. C'est à ce moment-là que vous pouvez estimer que vous êtes suffisamment protégés.
Q : Quelle est la statistique la plus alarmante que vous ayez vue et qui devrait inciter les gens à se préoccuper davantage de l'avenir de la cybersécurité ?
RB : Nous avons demandé à notre équipe de passer en revue 116 des services technologiques de pointe et d'examiner les incidents de cybersécurité entre début 2021 et début 2023. Les données recueillies révèlent que plus de 56 % des incidents de cybersécurité signalés au cours de cette période impliquaient l’usine logicielle (attaque de type “supply chain attack”), que l'entreprise concernée ait été attaquée par la compromission d'un fournisseur ou que l'entreprise ait été attaquée pour atteindre l'un de ses clients.
Ces données illustrent l'importance de la gestion des fournisseurs dans le cadre d'un programme de cybersécurité. Même si votre organisation a adopté des pratiques internes rigoureuses en matière de cybersécurité, elle peut être mise à mal par un fournisseur négligeant.
Q : Comment aidez-vous à « démystifier » les outils technologiques dans votre domaine ?
RB : Chaque mois, je publie sur LinkedIn deux vidéos humoristiques d'une minute sur les choses loufoques qui se passent dans le domaine de la cybersécurité et de la technologie. J'adore tourner en dérision les problèmes stupides liés à certaines normes de conformité en matière de sécurité, aux pratiques anciennes ou obsolètes en matière de cybersécurité et aux revendications excessives de certains fournisseurs de produits de sécurité. Cela semble bien fonctionner, puisque de plus en plus de personnes me suivent sur la plate-forme. Je m'assure de toujours inclure une leçon ou un conseil dans les vidéos afin que les gens puissent apprendre quelque chose de nouveau, qu'ils peuvent appliquer à leur propre entreprise.
Q : Avez-vous observé de grands changements cette année qui montrent que le monde prend la cybersécurité beaucoup plus au sérieux ?
RB : Malheureusement, non. D'après moi, la plupart des organisations ne semblent pas comprendre le risque réel auquel elles sont confrontées. Les cybermenaces sont généralement un ensemble d'événements à faible probabilité et à fort impact. Par conséquent, la plupart des entreprises estiment qu'elles vont bien - jusqu'à ce qu'une catastrophe se produise.
Lorsque les organisations décident de faire quelque chose pour leur sécurité, c'est souvent à des fins de développement commercial - leur équipe commerciale est submergée de questionnaires sur la cybersécurité, les clients leur demandent d'obtenir une certification SOC 2, et ainsi de suite. En d'autres termes, il s'agit d'une exigence ou d'une obligation de conformité.
La décision d'une entreprise d'améliorer sa posture de cybersécurité découle rarement d'une compréhension du risque cyber et du désir d'améliorer la sécurité. Lorsque davantage d'entreprises commenceront à mettre en place des programmes de cybersécurité parce qu'elles comprennent la menace existentielle que représentent les cyberattaques, nous saurons qu'elles prennent la cybersécurité plus au sérieux.
Q : Qu'est-ce qui vous inspire le plus dans votre travail aujourd'hui ?
RB : Nos clients et nos employés. J'aime les rencontrer. Nous faisons partie d'une équipe formidable, qui aide à résoudre des problèmes réels permettant la réussite des entreprises et la protection de l'infrastructure. Notre mission est la suivante : « Aider les entreprises à se protéger pour un monde plus sûr ». Une entreprise sécurisée ne se protège pas seulement de la perte de données, elle protège aussi les personnes (clients, employés et autres parties prenantes).
Je crois que les entreprises sécurisées participent à la sécurité globale de notre société, et je suis fier d'en faire partie.
Vous voulez en savoir plus sur les idées de Rob ? Inscrivez-vous dès aujourd'hui à son webinaire du 30 avril, intitulé « How AI Can Help or Hinder Your Organization's Cybersecurity Plan ».
Inscrivez-vous pour connaître toute l'actualité de Dashlane
