Les responsabilités d'un RSSI n'ont jamais été aussi exigeantes. Le rythme rapide de l'adoption des technologies, la propagation de nouvelles surfaces d'attaque et le poids croissant de la pression réglementaire ont obligé les responsables de la sécurité à trouver un équilibre entre la gestion des risques et les priorités opérationnelles. Ce rôle exige à la fois une maîtrise technique et de la diplomatie organisationnelle.
Dans cet entretien, Erik Montcalm, vice-président des services de sécurité chez SecureOps, donne son point de vue sur la façon dont les RSSI devraient envisager le risque, sur les domaines dans lesquels les organisations peinent à aligner la sécurité sur les objectifs opérationnels et sur la façon dont les technologies émergentes telles que l'IA générative s'ajoutent au paysage des menaces. Ses réponses mettent en évidence les réalités du leadership en matière de sécurité dans un environnement où les brèches sont certaines, mais où la résilience et la réponse restent sous le contrôle d'une organisation.
Comment les RSSI devraient-ils envisager le risque aujourd'hui ?
Erik Montcalm : J'aimerais inverser la question. Les RSSI ont toujours envisagé le risque d'une manière que je considère comme correcte. Bien sûr, je suis un professionnel de la sécurité. Nous sommes donc probablement sur la même longueur d'onde. Je pense que les organisations devraient écouter plus activement leurs RSSI et déterminer comment l'organisation peut s'aligner sur cette vision du monde. Et il n'est pas nécessaire de procéder à un changement massif. Les partenariats internes et le fait de donner à chacun un siège à la table font une énorme différence. C'est vraiment l'avenir, car les cyberattaques ne disparaîtront pas. Des brèches se produiront. La seule question qui se pose est celle de la fréquence et de la gravité.
Ce que vous pouvez contrôler, en tant que RSSI, c'est votre réponse et le montant que vous investissez dans l'atténuation des risques.
La sécurité est parfois privilégiée par rapport à l'efficacité opérationnelle, ce qui entraîne des réactions négatives de la part d'autres parties prenantes internes. Comment, en tant que MSSP, naviguer dans ce conflit et plaider en faveur d'une sécurité robuste ?
Erik Montcalm : Notre rôle est de partager des recommandations basées sur notre expertise en matière de sécurité. Ensuite, nous aidons nos clients à les mettre en balance avec l'impact commercial. Si un client estime que le contrôle le plus strict est trop lourd, nous lui proposons des options secondaires et nous nous efforçons d'atteindre le niveau de protection qu'il peut accepter.
Ces dernières années, ces choix ont cessé d'être imposés de haut en bas par les RSSI pour être pris en charge par les unités opérationnelles elles-mêmes. Une fois que les dirigeants comprennent l'impact qu'ils subissent, leur point de vue change. Nous nous alignons sur leur tolérance au risque tout en nous assurant qu'ils comprennent parfaitement les risques et les conséquences possibles.
Ce modèle permet de répartir les responsabilités et d'éviter la dynamique d'opposition qui peut apparaître lorsque la sécurité est perçue comme restrictive. Les RSSI doivent faire savoir que des violations peuvent toujours se produire, mais que les contrôles réduisent la fréquence et la probabilité de tels incidents. Il s'agit de réduire les risques et non de les éliminer. Les entreprises qui adoptent ce message établissent des partenariats plus solides.
Certaines organisations tolèrent un risque plus élevé, d'autres investissent massivement pour le réduire autant que possible. Je ne préfère pas une approche à l'autre. Ce qui compte, c'est que les entreprises ne s'attendent plus à une protection totale et ne demandent plus : "Pouvez-vous me garantir qu'il n'y aura pas de violation ?" Tout le monde reconnaît aujourd'hui que personne ne peut faire cette promesse, car cela dépend de trop d'éléments. Et les attaquants sont très bons dans ce qu'ils font.
Pour les entreprises qui ont une plus grande tolérance au risque, comment doivent-elles aborder la cybersécurité ?
Erik Montcalm : Une tolérance élevée au risque revient à admettre que l'on est d'accord avec la probabilité d'une violation, et il faut donc se concentrer sur la réponse. Pour commencer, il faut s'entraîner pour le cas où cela se produirait. Exécutez vos livres de jeu, consultez-les souvent et faites des jeux de guerre. Vous devez faire l'investissement proportionnel nécessaire pour étayer vos décisions.
L'autre point sur lequel je mettrais l'accent aux niveaux supérieurs est l'éducation. Ainsi, lorsque la situation explose, tout le monde est conscient de la manière dont ces politiques ont été décidées. Souvent, ce que j'ai vu, c'est que les entreprises ne révisent pas ces politiques assez souvent et que les parties prenantes prétendent alors qu'elles n'étaient pas au courant. Ils ne savaient pas ou personne ne leur a parlé de cette décision.
Nous voulons vraiment éviter le jeu des reproches, car il ralentit l'atténuation, crée du ressentiment et rend la sécurisation de l'organisation d'autant plus difficile.
Passons maintenant à des risques plus spécifiques. Quels risques émergents ou quelles exigences en matière de sécurité la technologie de l'IA générative apporte-t-elle que nous n'avons pas pris en compte auparavant ?
Erik Montcalm : Je ne pense pas que l'IA soit en dehors du domaine des contrôles traditionnels. Vous pouvez avoir besoin d'un peu de nouvelle technologie, mais les éléments de base restent les mêmes.
Vous avez toujours besoin d'une politique et de décider de votre position sur l'utilisation de l'IA. Il faut ensuite rédiger un processus ou une documentation pour former les utilisateurs. Vous devez toujours mettre en place un certain type de contrôle. Je tiens à préciser que les contrôles sont rarement assez granulaires pour faire exactement ce que vous voulez, mais il est essentiel de mettre en place une surveillance de base. Cela permet de s'assurer que si quelque chose se passe vraiment mal, vous le détectez en mettant en place un système de blocage et d'automatisation lorsque c'est possible. Pour moi, il s'agit de faire la même chose et de l'appliquer à quelque chose de nouveau.
Toutefois, cela ne signifie pas qu'il n'y a pas de risques. Je suis de plus en plus préoccupé par la perte de contrôle sur les données de masse grâce à l'IA agentique et enchaînée. Bien que les contrôles individuels d'une application d'IA ne soient pas très différents des autres, les entreprises adoptent ces technologies plus rapidement qu'elles n'en envisagent les ramifications. Les données transiteront par des fournisseurs dont l'entreprise ne soupçonnait même pas l'existence. Je m'attends à ce que nous assistions bientôt à un cas majeur dans lequel une entreprise se rendra compte que ses données ont été traitées par une IA tierce à son insu
L'IA est au cœur des préoccupations, mais quelles sont les menaces que les RSSI ne prennent pas en compte ?
Erik Montcalm : Tout enregistrer semble être une bonne idée à première vue. Cela permet d'obtenir plus de données pour la surveillance. Mais si une entreprise ne comprend pas parfaitement où se trouvent ses données sensibles, le fait de tout enregistrer crée en réalité un risque. Des informations personnelles ou des données critiques sur les clients peuvent se retrouver dans des journaux exposés à un trop grand nombre de personnes.
Nous travaillons avec nos clients pour évaluer la valeur de chaque journal en termes de sécurité opérationnelle. Parfois, l'équation risque-récompense n'est pas en votre faveur. Par exemple, la journalisation et la corrélation continues peuvent ne pas justifier le risque de capturer inutilement des informations sensibles. Il s'agit d'être stratégique, et pas seulement exhaustif.
La deuxième catégorie concerne les vulnérabilités de la "deuxième vague". C'est un phénomène qui se produit étonnamment souvent. Une vulnérabilité est découverte, tout le monde s'affole, la corrige et tout semble aller pour le mieux. Mais des mois plus tard, les systèmes sont redéployés à l'aide de scripts obsolètes ou d'images dorées qui n'ont pas été mises à jour. Soudain, la même vulnérabilité est réintroduite. Cette situation est de moindre ampleur, mais elle prouve que la vigilance initiale n'est pas suffisante.
La leçon à retenir est que la gestion des correctifs n'est pas un exercice d'incendie ponctuel. Il s'agit d'un processus continu. Même si vous pensez que la première série de correctifs a tout couvert, le redéploiement et l'automatisation peuvent faire réapparaître d'anciennes vulnérabilités.
Ce sont là d'excellentes recommandations en matière de procédures. Y a-t-il quelque chose de spécifique aux RSSI ou à la protection des VIP d'une organisation contre les attaques ?
Erik Montcalm : C'est l'une des choses les plus "James Bond" que nous ayons vues. Dans une organisation, nous avons remarqué une forte corrélation entre les personnes importantes et les ordinateurs portables volés. Par exemple, les cadres qui voyageaient se faisaient souvent voler leur ordinateur portable plusieurs fois par an, alors que les autres ordinateurs portables de l'entreprise étaient volés à des taux beaucoup plus faibles. Ce n'était pas un hasard.
L'organisation a décidé de réagir de manière proactive. Elle a commencé à envoyer des ordinateurs portables temporaires, moins risqués, aux cadres se rendant dans certains pays et a limité les données auxquelles ils pouvaient accéder pendant leurs déplacements. Dans certains cas, il a même été recommandé de se débarrasser des ordinateurs portables et des téléphones mobiles après le retour des pays à haut risque. L'objectif était de limiter la quantité de données sensibles au repos et de réduire le risque d'exfiltration, en particulier de la part de pays dont on dit qu'ils se livrent à un espionnage ciblé.
Pour conclure cette conversation sur les risques, qu'est-ce qui vous empêche de dormir la nuit et que faites-vous, vous et SecureOps, pour répondre à cette préoccupation ?
Erik Montcalm : Ce qui m'empêche vraiment de dormir, c'est la possibilité que Secure Ops devienne lui-même le vecteur d'une attaque. C'est une préoccupation pour tout MSSP. Imaginez qu'un client soit victime d'une intrusion et que nous ne le remarquions pas, et que nous transmettions l'information à un autre client.
C'est pourquoi nous employons plusieurs niveaux de contrôle : segmentation, cryptage, mise en coffre des mots de passe, authentification multifactorielle et séparation stricte entre les environnements des clients. Nous conseillons également à nos clients d'utiliser leurs propres couches de sécurité, en particulier lorsque nos équipes accèdent à leurs systèmes à distance. Cette approche à deux niveaux réduit les risques et rassure les clients sur le fait qu'ils gardent le contrôle. C'est un risque que notre organisation prend très au sérieux, et nous avons veillé au cours des 25 dernières années à ce qu'il reste un risque et non une réalité.
Les réflexions de M. Montcalm soulignent une vérité simple mais souvent négligée. La sécurité n'est pas un obstacle à l'activité, elle en fait partie intégrante. Qu'il s'agisse de répartir les responsabilités entre les unités opérationnelles ou de se préparer à d'inévitables brèches, le RSSI moderne ne peut pas s'appuyer uniquement sur des contrôles techniques. Une gestion efficace des risques exige une communication claire, des processus disciplinés et l'adhésion de l'organisation à tous les niveaux.
La conversation révèle également les limites de la recherche d'une protection absolue. Au contraire, les responsables de la sécurité doivent mesurer la tolérance au risque, investir proportionnellement dans l'atténuation et rester vigilants face aux vulnérabilités réintroduites ou aux expositions de données négligées. Pour les RSSI et les directeurs, le défi n'est pas d'éliminer les risques, mais de les gérer avec prévoyance et équilibre.
Contactez SecureOps dès aujourd'hui pour savoir comment nous pouvons vous aider à gérer vos risques et à protéger votre environnement.