5 défis pour assurer l’avenir

La sécurité de l’information a été une partie intrigante de notre passé, est une partie essentielle de notre présent et sera un facteur déterminant dans notre avenir. Il y a des actions qui doivent être abordées au niveau micro/individuel et des défis que nous devons relever en collaboration en tant qu’industrie qui va de l’avant.

L’économie de la sécurité est claire : « Il n’y a pas de stabilité financière sans cybersécurité », écrit Loretta J. Mester, président et chef de la direction de la Federal Reserve Bank de Cleveland. En effet, il a été démontré que la perception d’une mauvaise cybersécurité réduire le cours de l’action et les multiples du cours de l’action, nuire à la réputation de la marque, réduire la part de marché, réduire les ventes, précipiter les amendes, ajouter des frais juridiques et rendre plus difficile l’embauche d’employés de qualité. Pour avoir un avenir, il faut maîtriser la sécurité de l’information.

La voie vers la future maîtrise de la sécurité de l’information comprend :

• Reconnaître les responsabilités/responsabilités individuelles,
• Rendre explicites les croyances individuelles en matière de sécurité informatique,
• Pratiquer une bonne cyber-hygiène,
• Prêter attention à la chaîne d’approvisionnement des logiciels, et
• Durcissement des composants technologiques opérationnels.

Plus de spectateurs

Pour la grande majorité de l’ère numérique à ce jour, la sécurité de l’information était un sport de spectateur moins que bien fréquenté. Les travailleurs, les clients, les cadres et les membres du conseil d’administration étaient essentiellement assis dans les gradins tandis que les assistants d’information [security professionals] combattu de mauvais acteurs dans l’ombre.

La relation indépendante de l’humanité avec la sécurité de l’information est terminée ! Avancer, tout le monde qui utilise un appareil est impliqué dans la cybersécurité ; tout le monde qui utilise un appareil améliore ou dégrade la cybersécurité ; et tout le monde a un rôle et un ensemble de responsabilités correspondant en matière de sécurité de l’information.

Je prédis que d’ici la fin de cette décennie, les responsabilités en matière de sécurité de l’information seront explicitement spécifiées pour chaque individu de plus de cinq ans. À la fin de chaque journée, trimestre, année et carrière, les cadres seront jugés et récompensés/punis selon qu’ils ont amélioré ou dégradé la cybersécurité de leur communauté et de leur lieu de travail.

Ce n’est pas mon intention, ni une pratique efficace de « blâmer l’utilisateur » pour tous nos cybermalheurs. Cependant, nous devons nous assurer que chaque individu dans l’entreprise sait qu’il a un rôle à jouer dans la sécurité de l’information.

Penser, dire, faire

Vous n’avez pas besoin d’être un futurologue, un psychologue ou un anthropologue pour savoir qu’il existe souvent un écart important entre ce que les gens pensent, ce qu’ils disent et ce qu’ils font. À l’avenir, la cybersécurité relèvera moins de l’informatique que de la science du comportement.

La sécurité de l’information nécessite un changement de comportement. Pour changer les comportements, nous devons gérer ce que les gens savent et ce qu’ils pensent de la sécurité de l’information. Pour ce faire, nous devons comprendre ce que les gens pensent de la sécurité de l’information.

Les croyances, les connaissances et le changement de comportement sont inextricablement liés. La première étape consiste à évaluer avec précision ce que chaque employé de l’entreprise pense de la sécurité de l’information. Cela ne peut être accompli que par le biais d’entretiens pratiques et « en cuir » menés par les gestionnaires. Le sondeur Nate Silver qualifie le résultat de ces interactions de « vibrations sur le terrain ».

Je prévois que les résultats de ces évaluations individuelles feront émerger deux croyances fortement ancrées et totalement dysfonctionnelles sur la sécurité de l’information :

• « Je ne suis pas important et personne ne me vise. »
• « Je ne peux pas les arrêter même si je le voulais. »

Pratiquer une cyber-hygiène de base

Chacun d’entre nous doit promouvoir et pratiquer une bonne cyber-hygiène. La cyberhygiène comprend, mais sans s’y limiter, de bonnes pratiques en matière de mots de passe, des processus robustes de correction des vulnérabilités, une détection, une prévention et une correction rapides., mettre en place des protections pour prévenir et bloquer les logiciels malveillants et garantir des protocoles d’accès robustes.

Suivre ces meilleures pratiques contribuera grandement à améliorer la sécurité globale. Selon Microsoft 2021 Rapport de défense numériqueprès de 70 % des violations de données ont été causées par le phishing, et 98 % des attaques pourraient être évitées avec une hygiène de sécurité de base.

Défis de l’industrie

Alors que nous acceptons les responsabilités individuelles pour les bons comportements en matière de sécurité de l’information, supprimant ainsi les «fruits à portée de main» pour les mauvais acteurs, nous pouvons nous attendre à ce que l’orientation des cyberattaques change. Deux domaines à surveiller sont la technologie opérationnelle et la chaîne d’approvisionnement des logiciels.

Les professionnels de la sécurité mettent en garde depuis des années contre des attaques potentiellement dévastatrices contre la technologie opérationnelle [e.g., plant production lines, manufacturing technology, utilities, elevators, thermostats, lights, and vehicles]. La attaque sur le pipeline colonial a été un signal d’alarme pour beaucoup.

Une autre attaque, celle-ci à la fin de 2020, a mis la sécurité de la chaîne d’approvisionnement logicielle sous les projecteurs. L’attaque contre le fournisseur de logiciels de surveillance de réseau Vents solaires mettent en danger les utilisateurs de leur logiciel Orion, notamment les institutions et agences gouvernementales américaines.

Le développement de logiciels modernes a été comparé à la fabrication d’un gâteau. À l’insu de nombreux dirigeants, les composants du gâteau logiciel ne sont pas tous générés en interne. Des hackers astucieux ont compris qu’il est beaucoup plus rentable de pirater un composant logiciel installé dans des milliers d’entreprises que de pirater les milliers d’entreprises elles-mêmes.

La grande préoccupation de l’avenir immédiat de la sécurité de l’information est que des composants logiciels largement déployés peuvent avoir été compromis. Les organisations revoient attentivement leur logiciel « Bill of Materials ».