Un « salut » tardif de la part de la France !
En 2025, l'équipe de l'ACDS se rendra davantage dans la communauté pour rencontrer des clients et des prospects, parler à des pairs du secteur et participer à diverses conférences et discussions lors d'événements de premier plan. En avril, par exemple, nous exposerons au Salon national de la cybersécurité à Birmingham. La communauté, comme je l'ai déjà écrit, est très importante dans la cyberindustrie. Je pense que la création d'une communauté solide est vitale pour la cyberrésilience globale et constitue un bon moyen de créer un front uni contre les cybermenaces. Cette communauté doit dépasser les frontières et inclure nos alliés.
Fin janvier, l'équipe de l'ACDS s'est tournée vers l'international, alors que nous nous dirigeons vers la France pour le Cyber Show Paris (29 au 30 janvier 2025). Pendant mon séjour, j'ai donné une conférence sur la manière de comprendre, de cartographier, de surveiller et d'atténuer les risques, la surface d'attaque de votre organisation. J'ai également parlé avec L'informatique au service des entreprises à propos de l'ACDS et de notre plateforme d'observatoire. Vous pouvez regarder l'interview ici.
J'ai réfléchi à mon expérience de la série au cours des semaines qui ont suivi. C'était agréable de discuter avec nos homologues de l'autre côté de la Manche et de vraiment comprendre les difficultés des personnes qui siègent aux conseils d'administration, font partie de la haute direction et dirigent les équipes de sécurité. J'ai découvert que les problèmes auxquels sont confrontés les chefs d'entreprise et de sécurité français ne sont pas très différents de ceux auxquels nous sommes confrontés au Royaume-Uni. À savoir le sous-investissement, l'augmentation des risques de litiges et les défis liés à la conformité à des réglementations en constante évolution. Le plus gros problème ? La haute direction hésite toujours à investir dans la cybersécurité (et des investissements sont désespérément nécessaires).
Lorsqu'il s'agit de garantir la cybersécurité d'une organisation, des risques systématiques sont associés, qui pèsent sur les épaules de ceux qui sont au sommet, à la fois sur le plan personnel et professionnel. Il s'agit d'une responsabilité qui, dans de nombreux cas, fait désormais partie du travail. On craint vraiment qu'en cas de problème, ces personnes ne deviennent des boucs émissaires. Un paradoxe se présente : de nombreux responsables de la sécurité n'ont pas accès aux bonnes ressources (budgets, personnes, outils, etc.) pour sécuriser au maximum leur organisation, mais ils peuvent être tenus légalement responsables, en tant qu'individus, lorsque les choses tournent mal. Il n'est pas étonnant que les CISO s'épuisent à un rythme record et aient le mandat le plus court en moyenne de n'importe quel poste de direction.
Cela soulève la question suivante : les entreprises font-elles suffisamment pour soutenir leur personnel de sécurité ? Il est assez clair qu'il existe encore des malentendus quant à la complexité de la cybersécurité lorsqu'il s'agit de présenter au conseil d'administration. Les gens ont tendance à être attentifs à la cybersécurité lorsque quelque chose ne va pas, au lieu de bien comprendre et d'investir dans le cas (ce qui ressemble plus à un quand) quelque chose ne va pas. Après tout, les mesures de cybersécurité doivent être préventives.
Les organisations ont besoin d'investissements et de soutien de la part des conseils d'administration. Dans de nombreux cas, il s'agit d'une situation ou d'une autre. L'investissement et le soutien sont essentiels à la mise en place d'un programme de cybersécurité solide. Sans investissements adéquats, les organisations ne disposent pas des outils et des technologies nécessaires pour se protéger. Sans soutien continu, ces investissements peuvent devenir inefficaces ou obsolètes au fil du temps. Il est essentiel de trouver le juste équilibre entre l'investissement et le soutien. Les organisations doivent investir judicieusement dans les bonnes solutions de cybersécurité, puis fournir le soutien nécessaire pour garantir que ces solutions restent efficaces et adaptées à l'évolution des menaces. Un soutien, y compris un soutien émotionnel, doit également être proposé aux équipes de sécurité de manière plus générale.
Dans certains cas, les gouvernements établiront des directives et des réglementations pour orienter les organisations vers des changements significatifs et des meilleures pratiques obligatoires. Cela peut exercer une pression sur le conseil d'administration pour qu'il veille à la conformité et, par conséquent, qu'il investisse davantage dans la cybersécurité. Le sous-investissement est l'un des principaux problèmes auxquels sont confrontées les équipes de sécurité. D'autre part, la pression réglementaire peut également accroître le stress des équipes de sécurité, ce qui peut entraîner un épuisement professionnel. Les responsables de la sécurité devraient considérer la cybersécurité comme un risque commercial et non comme un problème technique. L'impact des amendes pourrait entraîner une perte de revenus, une atteinte à la réputation et même des amendes réglementaires.
Alors que les gouvernements du monde entier débattent des différentes mesures qui pourraient être prises pour renforcer la cyberrésilience, comme le gouvernement britannique envisage d'interdire les paiements par rançongiciels pour les organisations du secteur public (plus d'informations à ce sujet dans le prochain Hacker Headspace), il est important que les organisations suivent de manière proactive leur compréhension des risques croissants présentés par les cybermenaces, et qu'elles fournissent une assistance aux équipes quand et si elles en ont besoin.
S'il y a une chose que j'ai retenu du Cyber Show Paris, c'est que l'investissement, qu'il soit monétaire ou d'intérêt général, dans la cybersécurité est essentiel, surtout avant qu'il ne soit trop tard.