CISO Voices : l'évolution du rôle des RSSI — Partie 4
Jenny Radcliffe s'est récemment entretenue avec Daniela Almeida pour le podcast Human Factor Security. Daniela Almeida possède une solide expérience dans le domaine des communications et des études culturelles. Les personnes n'ont donc plus aucun secret pour elle. Elle met à profit ces compétences en tant que responsable de la sécurité des systèmes d'information (RSSI) de Tinka, une entreprise néerlandaise de technologie financière. Après tout, le facteur humain est indispensable à une sécurité efficace.
Vous trouverez ci-dessous un résumé du point de vue de Daniela Almeida sur la cybersécurité centrée sur les personnes, les séquelles laissées par la pandémie et le langage du RSSI.
Traduire les risques de cybersécurité en risques métier
Il peut être difficile de traduire les risques de cybersécurité en un langage que la communauté des entreprises au sens large peut comprendre. Si une entreprise souhaite se développer, changer de trajectoire ou prendre une décision importante, c'est à nous qu'il incombe de lui montrer les risques inhérents et toutes les conséquences possibles. Le conseil d'administration pourra ainsi prendre une décision informée.
Mais pour collaborer efficacement avec le conseil d'administration, nous devons parler la même langue. Jouer sur la peur ne mène à rien. Si chaque présentation adopte un ton alarmiste, les gens arrêteront d'écouter. Nous devons plutôt associer les risques à des conséquences concrètes.
Si une entreprise vend ses produits sur Internet, évoquez les menaces qui pourraient mettre en péril sa présence en ligne. Concentrez-vous sur les types de risques auxquels l'entreprise est déjà confrontée ou auxquels elle est susceptible de faire face, et établissez un profil de menace. Essayez de vous mettre à sa place. Convenez des priorités pour éviter que l'une des parties ne s'en tienne à une vision étroite.
Les conséquences à long terme de la pandémie
La pandémie a sans doute rendu les collaborateurs plus attentifs à la cybersécurité, car elle a permis aux menaces pesant sur l'environnement de travail de s'infiltrer dans leur domicile. Les fraudes et les escroqueries, comme celles liées à la COVID-19, seront davantage ressenties comme une intrusion si elles se produisent dans votre foyer. Vous éprouverez encore plus le besoin de vous protéger.
Cependant, le retour au bureau du personnel engendre un climat d'incertitude. Les collaborateurs peuvent se demander s'ils ont toujours besoin de prendre les mêmes précautions. Ajoutez à cela la créativité et la sophistication croissantes dont font preuve les cybercriminels depuis la pandémie, et vous comprenez le problème. (Consultez le rapport Le facteur humain 2022 de Proofpoint pour plus de statistiques sur ce genre de comportement.)
Ces dernières années, nous avons constaté une hausse des attaques de spear phishing (harponnage). Les cybercriminels utilisent les réseaux sociaux et d'autres sources pour augmenter leurs taux de conversion. Je suis curieuse de découvrir ce que l'avenir nous réserve, étant donné que les cybercriminels continuent à trouver des moyens inédits et innovants pour cibler les personnes.
La cybersécurité repose avant tout sur les personnes
Les entreprises sont constituées de collaborateurs. Quels que soient les configurations ou les mécanismes de sécurité mis en place, derrière eux se cache une personne.
Ce facteur humain est souvent considéré comme le maillon le plus faible de la chaîne, mais je pense qu'il peut être le plus fort. Si vous savez quelles erreurs présentent un risque, vous pouvez les éviter. Et si vous parvenez à faire comprendre à vos collaborateurs comment les cybercriminels passent à l'attaque, vous les transformerez en ligne de défense en leur inculquant de bonnes pratiques de cybersécurité.
Pour y parvenir, nous devons investir dans la sensibilisation. Pas seulement une sensibilisation générale, mais un programme de formation et de sensibilisation à la sécurité informatique spécifique à certains postes, menaces, vecteurs d'attaque et plus encore.
N'oubliez pas que l'illusion de la connaissance est plus dangereuse que l'ignorance. Au moment d'ériger des défenses efficaces, les équipes informatiques et de cybersécurité doivent veiller à ne pas se montrer trop confiantes dans notre capacité à comprendre les dernières menaces et les risques associés.
Vous souhaitez en savoir plus ?
Écoutez le podcast CISO Voices pour retrouver l'intégralité de la conversation entre Jenny Radcliffe et Daniela Almeida, ainsi que pour accéder à d'autres épisodes. Les podcasts Human Factor Security de Jenny Radcliffe mettent en avant l'expérience d'autres experts en cybersécurité. Dans le prochain épisode de cette série de podcasts, Bridget Kenyon de Thales donnera son point de vue sur la cybersécurité, entre incidents critiques et opérations quotidiennes.
Portail dédié aux RSSI de Proofpoint
Visitez notre Portail dédié aux RSSI pour accéder à des recherches, des informations et des ressources de cybersécurité régulièrement mises à jour et destinées à la communauté mondiale des RSSI.