Inscrire la responsabilité au sein d'Internet
En tant que dirigeants, nous nous devons d'être responsables.
Dans le monde actuel, un leader se distingue des autres par sa décision d'agir en personne responsable. Rendre des comptes est un acte courageux qui favorise l'innovation. C'est parfois l'élément catalyseur du changement nécessaire à la résolution de problèmes en apparence inextricables.
En tant que leader du secteur, nous sommes responsables de la protection des informations sensibles et propriétaires de nos organisations, du bien-être physique et numérique de nos collaborateurs et de la réputation de nos partenaires en affaires. Nous sommes responsables d'instaurer la confiance auprès de nos clients et de nos parties prenantes. Nous sommes responsables de l'obtention de résultats. Nous sommes responsables du respect des contraintes financières dans nos activités. Nous sommes tenus pour responsables en cas d'incidents.
À une époque marquée par d'incroyables avancées technologiques, le fait d'assumer la responsabilité de la cybersécurité implique un engagement envers la réduction des dégâts découlant des incidents. Cette approche implique également de mettre l'accent sur la communication et l'empathie, mais aussi de s'efforcer de modifier l'économie de la cybercriminalité, qui reste une activité rentable du fait des faibles chances de se faire prendre.
Malheureusement, le narratif catastrophiste à l'égard de la cybersécurité a été fortement embelli dans nos esprits. On constate en conséquence un recul de l'envie d'agir chez de nombreux dirigeants. Malgré les milliards de dollars dépensés en solutions de sécurité à travers le monde, la situation demeure précaire. Nous avons largement dépassé le stade des pirates informatiques qui jouent au morpion, défigurent les sites web ou subtilisent les mots de passe et les numéros de cartes de paiement. Au rang des problématiques majeures de notre époque, les cyberattaques se classent désormais à la même place que les événements climatiques extrêmes, la perspective d'une guerre nucléaire et le surclassement de l'humanité par l'intelligence artificielle.
Toutefois, avec le bon état d'esprit et les solutions appropriées, nous pouvons encore parvenir à contrer les menaces de cybersécurité.
Voici quelques recommandations basées sur mon expérience personnelle pour changer notre état d'esprit et devenir plus responsables en matière d'atténuation des dommages.
Ne vous fiez pas aux idées reçues : si nous souhaitons prévenir les dégâts, nous devons ignorer certaines des croyances les plus répandues concernant les attaques. Nous devons en particulier réfuter la théorie selon laquelle les conséquences catastrophiques ne sont qu'une affaire de temps. Nous devons également cesser de croire que les attaquants ont un avantage suprême à long terme. Et nous devons nous défaire de l'idée selon laquelle le coût des dégâts détermine la gravité d'une attaque ; les conséquences d'une attaque à 100 000 USD auprès d'une municipalité peuvent être bien plus graves que celles d'une attaque à 100 millions de dollars ciblant une grande entreprise. Nous devons agir avec méthode et selon un esprit scientifique, et éviter l'éternel culte du cargo de la science, qui donne lieu à des affirmations et des conclusions erronées en raison de mauvaises interprétations de la causalité des résultats.
Investissez dans les solutions qui fonctionnent : nous devons également tirer profit de la puissance économique sur le marché des solutions de sécurité. Il ne vous viendrait pas à l'idée de payer une voiture que vous ne pourriez pas sortir du parking ou un repas qui ne vous aurait pas été servi. Vous n'avez donc aucun intérêt à dépenser de l'argent sur une cybersécurité qui ne fonctionne pas. L'équilibre du marché de la cybersécurité doit être rétabli pour que les entreprises qui développent les meilleurs produits puissent prospérer.
Insistez pour que vos fournisseurs vous communiquent leurs indicateurs de performances : comment savoir si une solution de cybersécurité fonctionne ? Vous avez besoin de preuves concrètes. Avant d'investir, insistez auprès des fournisseurs pour que ces derniers vous présentent leurs indicateurs de performances. Une fois l'investissement réalisé, contrôlez régulièrement ces indicateurs afin de vous assurer que la solution continue d'honorer les promesses faites par le fournisseur.
Concentrez-vous sur la cause première, pas sur les symptômes : quelle est la toute première grosse difficulté rencontrée par les équipes de sécurité aujourd'hui ? De nombreuses équipes ne parviennent pas à se mettre d'accord sur ce qui est le plus important. Faute d'accord en interne, il est difficile de déjouer ou prévenir les cybermenaces de manière significative, quelle que soit la solution de sécurité que vous achetez. De trop nombreuses équipes de sécurité agissent de manière fragmentée, là où il faudrait adopter des stratégies globales et coordonnées qui se concentrent sur la cause première des attaques, et pas sur les symptômes. Par exemple, dans le cas des logiciels malveillants reçus en pièce jointe, le mieux est d'éliminer le mécanisme de livraison, à savoir le phishing par e-mail.
Parvenir à la responsabilité
La cybersécurité actuelle doit changer de paradigme. Les équipes doivent appréhender la sécurité de manière globale, tout en gardant la valeur ajoutée à l'esprit. De même, elles doivent demander à leurs partenaires et à leurs fournisseurs d'assumer leurs responsabilités, car le fait de tenir un discours toujours plus pessimiste à propos de l'efficacité des solutions de sécurité ne constitue pas une solution en soi.
Consultez le Centre de confiance de Cloudflare pour en savoir plus concernant les politiques, les technologies, et les certifications grâce auxquelles nous rendons des comptes à nos clients et qui en fin de compte permettent à ces organisations d'affermir leur responsabilité également.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Approfondir le sujet
Vous trouverez davantage d'informations sur la manière dont le cloud de connectivité Cloudflare peut vous aider à reprendre le contrôle de l'environnement IT dont vous êtes responsable dans notre document intitulé Guide exécutif : une explication du cloud de connectivité.
Auteur
Oren Falkowitz — @orenfalkowitz
Security Officer, Cloudflare
Points clés
Cet article vous permettra de comprendre les points suivants :
Comment faire évoluer votre état d'esprit face aux menaces pour la sécurité et devenir plus responsable en matière d'atténuation des dommages
Pourquoi il est dans votre intérêt d'adopter une démarche qui apporte de la valeur ajoutée aux solutions de sécurité