Inscrire la responsabilité au sein d'Internet
En tant que dirigeants, nous nous devons d'être responsables.
Dans le monde actuel, un leader se distingue des autres par sa décision d'agir en personne responsable. Rendre des comptes est un acte courageux qui favorise l'innovation. C'est parfois l'élément catalyseur du changement nécessaire à la résolution de problèmes en apparence inextricables.
En tant que leader du secteur, nous sommes responsables de la protection des informations sensibles et propriétaires de nos organisations, du bien-être physique et numérique de nos collaborateurs et de la réputation de nos partenaires en affaires. Nous sommes responsables d'instaurer la confiance auprès de nos clients et de nos parties prenantes. Nous sommes responsables de l'obtention de résultats. Nous sommes responsables du respect des contraintes financières dans nos activités. Nous sommes tenus pour responsables en cas d'incidents.
En ces temps marqués par d'incroyables avancées technologiques, prendre la responsabilité de la cybersécurité implique un engagement à contenir les dommages découlant des incidents. Cela signifie également mettre l'accent sur la communication et l'empathie et s'efforcer de modifier l'économie de la cybercriminalité qui reste une activité rentable puisque les chances de se faire prendre sont faibles.
Malheureusement, les récits catastrophistes en matière de cybersécurité ont été embellis de manière spectaculaire dans nos esprits, avec pour conséquence un recul de l'envie d'agir pour de nombreux dirigeants. En dépit des milliards de dollars dépensés dans le monde pour des solutions de sécurité, la situation reste précaire. Nous avons largement dépassé le stade des pirates informatiques qui jouent au morpion, défigurent les sites web et volent les mots de passe et les numéros de cartes de crédit. Les cyberattaques se classent désormais au même rang que les événements climatiques extrêmes, la perspective d'une guerre nucléaire et le dépassement de l'humanité par l'intelligence artificielle parmi les gageures de notre époque.
Avec le bon état d'esprit et les solutions appropriées, toutefois, nous pouvons encore réussir à contrer les menaces en cybersécurité.
Voici quelques recommandations basées sur mon expérience personnelle pour changer notre état d'esprit et devenir plus responsables en matière d'atténuation des dommages.
Ne vous fiez pas aux idées reçues : si nous souhaitons prévenir les dégâts, nous devons ignorer certaines des croyances les plus répandues concernant les attaques. Nous devons en particulier réfuter la théorie selon laquelle les conséquences catastrophiques ne sont qu'une affaire de temps. Nous devons également cesser de croire que les attaquants ont un avantage suprême à long terme. Et nous devons nous défaire de l'idée que le coût des dégâts détermine la gravité d'une attaque ; les conséquences d'une attaque à 100 000 USD auprès d'une municipalité peuvent être bien plus graves que celles d'une attaque à 100 millions de dollars ciblant une grande entreprise. Nous devons agir avec méthode et selon un esprit scientifique, et éviter l'éternel culte du cargo de la science, qui donne lieu à des affirmations et des conclusions erronées en raison de mauvaises interprétations de la causalité des résultats.
Investissez dans ce qui fonctionne : parallèlement, nous devons tirer profit de la puissance économique sur le marché des solutions de sécurité. Il ne vous viendrait pas à l'idée de payer pour une voiture que vous ne pourriez pas sortir du parking ou pour un repas qui ne vous aurait pas été servi ; vous n'avez donc pas à payer pour une cybersécurité qui ne fonctionne pas. L'équilibre du marché de la cybersécurité doit être rétabli pour que les entreprises qui créent les meilleurs produits prospèrent.
Exigez les indicateurs de performances des fournisseurs : comment savoir si une solution de cybersécurité fonctionne ? Il vous faut une preuve concrète. Avant d'investir, insistez auprès des fournisseurs pour voir les indicateurs de performances. Une fois que vous avez investi, contrôlez régulièrement les indicateurs pour vérifier que la solution continue d'honorer les promesses du fournisseur.
Concentrez-vous sur la cause première, pas sur les symptômes : quelle est la toute première grosse difficulté rencontrée par les équipes de sécurité aujourd'hui ? De nombreuses équipes ne parviennent pas à se mettre d'accord sur ce qui est le plus important. Faute d'accord en interne, il est difficile de déjouer ou prévenir les cybermenaces de manière significative, quelle que soit la solution de sécurité que vous achetez. De trop nombreuses équipes de sécurité agissent de manière fragmentée, là où il faudrait adopter des stratégies globales et coordonnées qui se concentrent sur la cause première des attaques, et pas sur les symptômes. Par exemple, dans le cas des logiciels malveillants reçus en pièce jointe, le mieux est d'éliminer le mécanisme de livraison, à savoir le phishing par e-mail.
Parvenir à la responsabilité
Aujourd'hui, la cybersécurité a besoin d'un changement de paradigme. Les équipes doivent appréhender la sécurité de manière globale et en ayant la valeur ajoutée à l'esprit. Elles doivent en appeler à la responsabilité des partenaires et des fournisseurs. Un discours de plus en plus pessimiste à propos de l'efficacité des solutions de sécurité n'est pas une solution en soi.
Consultez le Centre de confiance de Cloudflare pour en savoir plus concernant les politiques, les technologies, et les certifications grâce auxquelles nous rendons des comptes à nos clients et qui en fin de compte permettent à ces organisations d'affermir leur responsabilité également.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Auteur
Oren Falkowitz — @orenfalkowitz
Security Officer, Cloudflare
Points clés
Cet article vous permettra de comprendre les points suivants :
Comment faire évoluer votre état d'esprit face aux menaces pour la sécurité et devenir plus responsable en matière d'atténuation des dommages
Pourquoi il est dans votre intérêt d'adopter une démarche qui apporte de la valeur ajoutée aux solutions de sécurité