Jason Hicks du Groupe Kudelski explique ce à quoi les DSI doivent penser pour assurer une transformation numérique sécurisée et pourquoi l’automatisation n’est pas à craindre.
Le directeur de la sécurité de l’information (CISO) du Groupe Kudelski, Jason Hicks, est un cadre chevronné de la sécurité de l’information et de la gestion des risques avec plus de 17 ans d’expérience mondiale en matière de risque de l’information, y compris une expertise technique et de gestion des risques approfondie.
Avant Kudelski Security, Hicks était CISO mondial chez Ares Management, un gestionnaire d’actifs alternatifs multinational avec plus de 140 milliards de dollars d’actifs sous gestion.
« Alors que les violations et les menaces deviennent plus courantes, les individus peuvent devenir insensibles aux risques »
– JASON HICK
Décrivez votre rôle et vos responsabilités dans la conduite de la stratégie technologique.
En tant que RSSI mondial du Groupe Kudelski, je suis responsable de notre programme de sécurité mondiale pour toutes les sociétés du groupe. Je fais également office de RSSI virtuel conseillant bon nombre de nos clients, qui sont des organisations multimilliardaires, sur la manière de faire progresser leur posture de cybersécurité.
Êtes-vous le fer de lance d’un produit ou d’une initiative majeure dont vous pouvez nous parler ?
L’année dernière, je me suis concentré sur l’aide aux RSSI à naviguer dans l’environnement sans précédent dans lequel nous opérons tous actuellement et à trouver de nouvelles façons d’offrir le niveau de sécurité optimal à leurs organisations.
Un domaine d’intérêt particulier pour moi est l’automatisation. Il existe toutes sortes d’activités répétitives qui peuvent être automatisées pour aider les professionnels de la sécurité à faire leur travail plus efficacement. J’ai entendu certaines inquiétudes concernant le remplacement des employés par l’automatisation, mais je ne le vois pas de cette façon. En fait, cela peut être extrêmement utile pour aider à faire progresser les programmes de sécurité, car cela évite aux équipes de se concentrer sur des tâches banales et répétitives pour se concentrer plutôt sur le travail qui nécessite une réflexion d’ordre supérieur, offrant une meilleure sécurité et une valeur plus élevée à une organisation.
Quelle est la taille de votre équipe ?
J’ai une équipe de sécurité de base au sein du Groupe Kudelski, notre société mère. Cependant, j’ai également des équipes supplémentaires dans chaque unité commerciale – télévision numérique, cybersécurité, Internet des objets et accès public.
L’équipe principale se concentre sur les services de sécurité partagés dont toutes nos sociétés membres ont besoin, tandis que les équipes des unités commerciales se concentrent sur les services propres à leurs propres activités, généralement les produits ou services qu’elles fournissent aux clients.
Avec Kudelski Security, qui fait partie de ces business units, nous sommes dans une situation unique en matière d’externalisation. Je suis en mesure de tirer parti des services managés de Kudelski Security pour couvrir les besoins liés aux activités liées aux centres d’opérations de sécurité pour le reste du groupe.
Je suis également en mesure de tirer parti des ressources de consultation pour des projets spécifiques où j’ai besoin d’une expertise spécialisée. Cela s’étend également aux évaluations de sécurité que nous effectuons sur les produits pour plusieurs unités commerciales.
D’une certaine manière, nous externalisons selon nos propres capacités car je peux faire appel à des talents très spécialisés en cas de besoin, par exemple des testeurs d’intrusion de systèmes embarqués. Cela me permet de mieux optimiser nos dépenses de sécurité de l’information à l’échelle du groupe en n’ayant pas besoin de doter certains de ces rôles à temps plein dans une partie de l’organisation non génératrice de revenus.
Que pensez-vous de la transformation numérique ?
Alors que je travaille avec des RSSI et des responsables de la sécurité de tous les secteurs, il y a une chose que j’aime toujours aborder lorsque nous parlons de transformation numérique et de son impact sur leur posture de cybersécurité : concentrez-vous sur ce que vous faites avec de nouveaux outils, pas seulement sur leur adoption.
La transformation numérique a considérablement progressé au cours de la dernière année, principalement en raison du passage au travail à distance, et les organisations devaient adopter rapidement de nouvelles technologies.
Il est important pour les RSSI et les DSI non seulement d’adopter les bons outils, mais de s’assurer que leurs politiques, processus et effectifs sont également conformes à la nouvelle norme, sachant qu’il y aura un certain degré de travail à distance même une fois la pandémie terminée.
Pour réaliser une transformation numérique sécurisée, les RSSI doivent développer une stratégie d’accès à distance dans le cadre de leur programme de sécurité et la revoir à la lumière de cette nouvelle norme.
Plus précisément, je recommande aux organisations de mettre en œuvre des outils et des services tels que la recherche et la surveillance des menaces, la détection et la réponse des points de terminaison, l’analyse des vulnérabilités et la déception des attaquants gérés pour s’assurer qu’elles disposent d’un programme de cybersécurité mature.
Selon vous, quelles grandes tendances technologiques changent le monde et votre industrie en particulier ?
L’automatisation est l’une des plus grandes tendances qui change la plupart des industries à travers le monde. S’appuyant sur la dynamique de transformation numérique de l’année dernière, de nombreuses organisations accélèrent le déploiement de plates-formes de développement d’applications low-code ou no-code. Ces plates-formes démocratisent le développement de logiciels en mettant l’automatisation des processus métier entre les mains des utilisateurs finaux.
Cependant, cela crée un certain nombre de problèmes de sécurité. Sans protections appropriées, les utilisateurs finaux peuvent divulguer par inadvertance des données sensibles via des intégrations cloud tierces mal configurées et sur-autorisées.
En matière de cybersécurité, de nombreuses organisations ne sont pas tout à fait à l’aise avec l’idée d’automatiser totalement, voire partiellement, les activités. Ils craignent que quelque chose ne se passe mal sans qu’un humain soit dans la boucle pour vérifier la validité des actions automatisées, ce qui pourrait potentiellement perturber les opérations commerciales.
Cependant, l’intégration de technologies de sécurité dans l’environnement à des fins de partage de données est un bon moyen de commencer à explorer l’automatisation et l’orchestration.
Nous avons constaté que les tests de vulnérabilité et d’intrusion sont également de bons candidats pour l’automatisation. Cela permet aux organisations de tester en permanence l’infrastructure critique pour identifier les faiblesses qui pourraient être exploitées par un attaquant et les traiter de manière proactive avant qu’une attaque n’ait l’opportunité de se produire.
En termes de sécurité, que pensez-vous de la façon dont nous pouvons mieux protéger les données ?
À mesure que les violations et les menaces deviennent plus courantes, les individus peuvent devenir insensibles aux risques et baisser leur garde. Pour y remédier, les responsables de la sécurité et de l’informatique doivent accorder une plus grande attention à la fatigue des utilisateurs finaux en cas de violation et adapter les programmes pour rester concentrés sur les bonnes pratiques en matière de cybersécurité. Pour renforcer la sécurité des données, je recommande de suivre cinq étapes clés :
- Activez les fonctionnalités intégrées de prévention des pertes de données pour lesquelles vous payez déjà, en particulier si vous êtes un client Microsoft Office 365 ou Google Suite. Cela aidera à réduire le risque de violations accidentelles en garantissant que les informations sensibles ou confidentielles ne se trouvent pas à l’extérieur de l’organisation.
- Comprenez où se trouvent vos données et qui y a accès. En cartographiant cela avec soin, vous serez en mesure de vous assurer de mettre en place les bons protocoles et paramètres pour protéger vos systèmes de données.
- Assurez-vous que vous disposez d’un bon logiciel anti-programme malveillant et de détection et de réponse aux points de terminaison (EDR).
- Révisez votre politique BYOD pour refléter avec précision la façon dont les employés travaillent actuellement, en particulier si votre entreprise fonctionne entièrement ou partiellement à distance.
- Ne négligez pas le facteur humain dans la sécurité. Ceci est d’autant plus important qu’une grande majorité des violations sont dues à une erreur humaine. Assurez-vous que tous les employés comprennent clairement votre politique de sécurité et disposent des outils, du soutien et des conseils appropriés pour la mettre en œuvre.
Vous voulez des histoires comme celle-ci et plus directement dans votre boîte de réception ? S’inscrire pour Tendances technologiques, le condensé hebdomadaire de l’actualité technologique incontournable de Silicon Republic.
Auteur/autrice
