Yash Jain explique que la cybersécurité doit être un « élément fondamental » institutionnel, et non une « case à cocher de conformité ».
Pour Yash Jain, responsable de la cybersécurité, de la criminalistique et de la confidentialité chez PwC, le paysage irlandais de la cybersécurité « évolue rapidement à mesure que la prise de conscience grandit à la suite de cyberattaques ciblées contre des infrastructures nationales critiques, telles que le Health Service Executive (HSE) et les sociétés pharmaceutiques ».
Il a déclaré à SiliconRepublic.com : « Ces incidents soulignent l’importance de la cybersécurité dans les infrastructures numériques modernes, incitant les secteurs public et privé à donner la priorité à la sécurité en tant qu’élément fondamental, plutôt qu’en tant que simple case à cocher de conformité. »
Pouvez-vous développer certains des défis ?
La sensibilisation à la cybersécurité est répandue, mais nombreux sont ceux qui ont du mal à prendre les mesures pratiques nécessaires pour protéger les organisations et les individus contre les cybermenaces. Le principal défi réside dans l’élaboration d’une stratégie de sécurité qui s’aligne sur les objectifs commerciaux et les exigences de conformité. La cybersécurité ne consiste pas seulement à adopter des outils automatisés ou à mener des campagnes de sensibilisation. Il s'agit de sélectionner une stratégie qui met en œuvre efficacement des mesures de protection à la fois pour les personnes, les processus et la technologie. De plus, la pénurie de compétences est un autre défi auquel ce secteur est confronté à ce stade. Trouver les bons talents pour s'occuper de la sécurité, ce qui constitue un défi majeur.
De quelles compétences les professionnels d’aujourd’hui ont-ils besoin dans leur arsenal pour gérer ou anticiper les menaces ?
Dans l’environnement actuel de cybersécurité, atténuer les pénuries de compétences nécessite une solide maîtrise des concepts de mise en réseau et une familiarité avec les outils de développement fondamentaux, notamment les API et les technologies de script et Web couramment utilisées. Ces compétences de base permettent aux professionnels de comprendre comment les systèmes communiquent, d'identifier les vulnérabilités et d'analyser et de répondre efficacement aux cybermenaces.
Ces connaissances jettent les bases de la compréhension de concepts techniques complexes. La poursuite de certifications mondialement reconnues telles que Certified Information Systems Professional (CISSP) et Certified Information System Auditor (CISA) peut encore améliorer leur expertise en matière de sécurité. Cette approche permet aux professionnels de faire face aux défis changeants de la cybersécurité. De plus, tirer parti de l’IA pour développer ces compétences offre une alternative moderne aux méthodes d’apprentissage traditionnelles, telles que passer au crible de nombreux livres.
Comment une organisation peut-elle garantir que son personnel est suffisamment qualifié en matière de bonnes pratiques en matière de cybersécurité ?
Pour construire une solide culture de cybersécurité, les organisations doivent s’assurer que leurs équipes comprennent l’impact de la cybersécurité sur elles et sur l’organisation. La formation doit être simple et claire, en particulier pour ceux qui occupent des postes non informatiques comme les ressources humaines, les finances et les opérations. Engagez votre personnel avec des sessions interactives, telles que des formations en personne et des exercices de simulation de phishing à grande échelle. Ces simulations, gérées par votre équipe de sécurité ou un tiers de confiance, consistent à envoyer de faux emails de phishing aux collaborateurs pour tester leur capacité à détecter et gérer les tentatives de phishing – sans réelle menace pour l'organisation.
Et revenons à l'essentiel, il est crucial de maintenir des pratiques de sécurité de base, d'éviter de partager des mots de passe, de ne pas les écrire sur des bureaux ou des housses d'ordinateurs portables et de ne pas utiliser les adresses e-mail d'entreprise pour des activités personnelles comme l'abonnement à une salle de sport. En favorisant ces habitudes, vous pouvez améliorer la résilience de votre organisation en matière de cybersécurité.
Dans quelle mesure la collaboration croisée est-elle essentielle pour garantir une cyber-hygiène solide et une réactivité rapide aux menaces ?
La collaboration croisée est essentielle pour bâtir une posture de cybersécurité résiliente. La cybersécurité n'est plus uniquement la responsabilité de l'équipe informatique ou de sécurité, c'est une préoccupation organisationnelle qui touche chaque service et chaque individu. Lorsque les équipes des services RH, juridiques, financiers, opérationnels et technologiques travaillent sans collaboration, cela crée des angles morts que les acteurs malveillants peuvent facilement exploiter. Une collaboration efficace garantit que les renseignements sur les menaces sont partagés rapidement entre les équipes appropriées, permettant ainsi une détection et une réponse plus rapides aux incidents. Par exemple, lors d’une attaque de ransomware, une réponse coordonnée entre l’équipe de sécurité, la haute direction, le conseiller juridique et les communications est essentielle pour minimiser les dommages et respecter les obligations de conformité.
Il est essentiel que les organisations prennent des mesures concrètes pour maintenir et renforcer leur état actuel de collaboration efficace et, par conséquent, envisagent de s'éloigner des exercices traditionnels de cyberévaluation, tels que les tests d'intrusion conventionnels. Au lieu de cela, ils devraient se concentrer sur les exercices de l’équipe violette. Un exercice d'équipe violette est une évaluation avancée de tests de cyber-intrusion dans laquelle des testeurs d'intrusion simulent des cyberattaques sophistiquées pour évaluer la maturité de sécurité d'une organisation au niveau des personnes, des processus et de la technologie, dans le but de détecter et de bloquer les cybermenaces potentielles.
Y a-t-il des mythes autour de votre rôle dans la cybersécurité que vous aimeriez démystifier ?
Absolument. Il y a quelques idées fausses que je rencontre fréquemment et qui, à mon avis, méritent d'être abordées. La première est que la cybersécurité est un rôle purement technique. Même si les connaissances techniques sont certainement précieuses, une grande partie de ce que je fais implique une réflexion stratégique, une évaluation des risques et une communication des menaces de manière à ce que les parties prenantes non techniques puissent comprendre et agir. Vous n'avez pas besoin d'être programmeur pour avoir une carrière significative et percutante dans ce domaine.
Le deuxième mythe est que la cybersécurité ne concerne que les grandes organisations. D’après mon expérience, les petites et moyennes entreprises sont souvent plus vulnérables précisément parce qu’elles sont considérées comme présentant un faible risque et qu’elles investissent donc moins dans leur défense. Les attaquants en sont très conscients.
Le troisième mythe, et peut-être le plus dangereux, est que disposer des bons outils signifie que vous êtes protégé. La technologie n’est qu’un niveau de défense. Certaines des violations les plus dommageables que j'ai vues n'étaient pas le résultat d'une défaillance technique, elles se sont produites parce qu'une personne a cliqué sur un lien qu'elle n'aurait pas dû ou a partagé des informations d'identification sans se rendre compte des conséquences.
Quel conseil donneriez-vous aux professionnels recherchant une carrière similaire dans ce domaine ?
Mon conseil est simple : commencez par la curiosité et n’arrêtez jamais d’apprendre. Commencez par construire une base solide dans les principes fondamentaux des réseaux et de l'informatique, et envisagez de poursuivre des certifications reconnues telles que CompTIA Security+, CISSP ou CISA en fonction de votre domaine d'intérêt. Ne vous découragez pas si votre formation n'est pas dans l'informatique traditionnelle, car certains des professionnels les plus efficaces dans ce domaine viennent d'horizons divers tels que le droit, les affaires et la psychologie, car les compétences générales comme la communication, la pensée critique et la résolution de problèmes sont tout aussi précieuses que l'expertise technique.
Nous avons été témoins de tels scénarios dans lesquels des personnes issues de formations diverses telles que des études de commerce, de droit et d'autres cours non technologiques ont suivi l'approche ci-dessus et leur ont permis de devenir des cyberprofessionnels compétents. PwC propose des programmes de formation sur mesure aux employés venant d'horizons différents qui rejoignent le cabinet pour atteindre cet objectif. Le parcours d'apprentissage vise à faire des individus des professionnels de la cybersécurité capables de gérer des tâches de routine en matière de gouvernance, de risque et de conformité afin de maintenir la posture de cybersécurité d'une organisation. Cependant, pour approfondir cette carrière, notamment pour devenir ingénieur en sécurité offensive, des compétences supplémentaires sont nécessaires.
Tirez parti des outils d'apprentissage basés sur l'IA et des plateformes en ligne pour accélérer votre développement plutôt que de vous fier uniquement aux méthodes traditionnelles. Plus important encore, engagez-vous avec la communauté de la cybersécurité au sens large à travers des événements, des forums et des opportunités de réseautage, car ce domaine se nourrit de la collaboration et du partage des connaissances et ceux qui s'y engagent garderont toujours une longueur d'avance.
