L'équipe ACDS a récemment exposé au National Cyber Security Show de Birmingham. Je ne suis pas étranger aux salons professionnels, car j'y ai participé à la fois en tant qu'acheteur (pendant mon temps de travail à la Maison Blanche) et en tant qu'exposant. J'ai vu les deux côtés et avec eux le bon, le mauvais et le laid. Quels ont donc été mes principaux points à retenir de l'événement ?
L'ouverture : des règles du jeu équitables
En ce qui concerne les salons, il peut parfois y avoir une réticence à dialoguer avec des fournisseurs au risque de se faire piéger par un vendeur enthousiaste ou autoritaire. Du point de vue du fournisseur, vous craignez de vous adresser aux mauvaises personnes. Le NCSS a apaisé ces craintes.
J'ai été particulièrement frappé par l'ouverture et l'engagement des participants à l'événement. Les participants qui parcouraient le salon venaient sur notre stand pour discuter avec nous et poser des questions sur la gestion des surfaces d'attaque. Non seulement cela, mais des participants de tous niveaux interagiraient avec nous, qu'il s'agisse de RSSI ou de débutants.
L'émission nous a vraiment permis de nous engager et de partager en tant que praticiens dans notre domaine, et non pas simplement en tant que vendeurs/participants. Des praticiens qui apportent leur propre expérience et leur propre parcours, peu importe qui ils représentent aujourd'hui. Les conversations étaient très humaines.
La question : comment amener les cadres intermédiaires à prendre la cybersécurité au sérieux ?
Au cours de nos conversations avec les participants, la question la plus fréquemment posée était la suivante : comment convaincre les cadres intermédiaires et supérieurs de donner la priorité à la cybersécurité ? Les gens ont besoin de moyens simples et professionnels pour présenter ce sujet souvent intangible au conseil d'administration.
Plus précisément, les rapports de gestion doivent quantifier le risque d'une manière facile à comprendre et à traiter, qu'il s'agisse d'un score reconnu par le secteur ou d'un montant monétaire. À l'heure actuelle, il n'existe pas de norme reconnue à l'échelle de l'industrie pour les risques liés à l'ASM.
L'avenir de la cybersécurité : quantifier les risques
Les chefs d'entreprise ont besoin d'un moyen vérifiable, transparent et cohérent de quantifier les risques liés à l'ASM. Mais à quoi cela pourrait-il ressembler ? Seul le temps nous le dira (regardez cet espace). En fin de compte, nous avons besoin d'un moyen de résumer les cyberrisques de manière significative, peut-être en utilisant la gamification (pour que les cadres intermédiaires y adhèrent), en s'appuyant sur des données en temps réel et en comprenant pourquoi le cyber (et le risque) sont importants.
Nous devons éviter de donner un faux sentiment de sécurité en déformant les données. Seule la technologie la plus récente peut éclairer une telle entreprise.
Dans l'ensemble, le spectacle était excellent. La profondeur de la conversation a été impressionnante et l'ouverture des participants a rendu l'événement particulièrement captivant.
Pour voir ce que nous avons fait lors de l'événement, regardez cette vidéo.
À CYBER UK cette semaine ? J'y serai aussi ! N'oubliez pas de passer nous voir et de nous parler de tout ce qui concerne l'ASM.