Un environnement informatique sécurisé nécessite plus que quelques logiciels et un pare-feu. “La cybersécurité doit reposer sur une stratégie”, affirme Jaya Baloo, CISO du spécialiste de la sécurité Avast Software.
Jaya Baloo, CISO Avast Software
on ne va nulle part”
“Sans plan,
Interview EXCLUSIVE
Nombre d’entreprises abordent mal la question de la cybersécurité. Elles pensent qu’il suffit de se procurer quelques produits. Que leur dites-vous ?
Jaya Baloo : “La cybersécurité est impossible sans une stratégie bien réfléchie. Il faut comprendre ce que l’on défend et contre qui l’on se défend. C’est uniquement possible avec une approche stratégique. Il faut avoir un plan. 'If you fail to plan, you plan to fail.' Concrètement, je pars toujours d’une vision sur trois ans, avec un objectif clair : examiner comment la sécurité aide l’entreprise à faire ce qu’elle veut. La sécurité n’est pas là pour l’entraver mais pour l’aider à avancer.”
Ce point de départ vaut-il pour toutes les entreprises, qu’il s’agisse d’une PME ou d’une grande multinationale ?
“En principe oui, mais il faut bien sûr remettre les choses dans leur contexte. Dans une petite boulangerie artisanale, l’informatique joue un plus petit rôle et la sécurité exigera moins d’efforts. Pour une PME qui propose des services en ligne, la sécurité est bien plus importante. Quoi qu'il en soit, aujourd'hui, tout le monde est actif en ligne, donc personne ne peut faire l’impasse sur la sécurité. Ce que nous constatons, c’est que les petites organisations sont souvent des cibles faciles, parce qu’elles ne savent pas trop ce qu’elles doivent faire ou hésitent à investir.”
Les PME n’ont pas une bonne vision de la sécurité ?
“Les petites entreprises ne comprennent souvent pas la threat base. Elles pensent ne pas intéresser les cybercriminels et donc ne pas être à risque. Ou que leur fournisseur de service les protégera. Mais elles ont tort. Quand on achète un service cloud, on est responsable de sa sécurité. Ceux qui ne le savent pas utilisent ces services en croyant qu’ils sont sûrs. Ce faux sentiment de sécurité peut aussi être partagé par les collaborateurs d’une entreprise. Ils partent du principe que la sécurité est la responsabilité de l’entreprise, pas la leur. Ce manque de sensibilisation peut avoir de graves conséquences.”
est CISO chez Avast Software, fournisseur de logiciels de sécurité. Avant, elle était CISO chez KPN Telecom. Elle fait partie de la liste des ‘100 Women Founders In Europe To Follow’ de Forbes.
Jaya Baloo
“Make it financial.
Calculez ce qu’un incident peut coûter à l’entreprise.”
Connaissance des risques… et de soi-même
Le mot est lâché : sensibilisation.
Comment une entreprise peut-elle faire en sorte d’impliquer tout le monde ?
“C’est uniquement possible quand l’organisation développe une stratégie de sécurité. Trois éléments sont ici indispensables : sensibilisation, visibilité et compétence. En premier lieu, il faut développer une 'security awareness' axée sur l’entreprise et ses collaborateurs. Pour un résultat optimal, la sensibilisation doit correspondre aux différents rôles des collaborateurs. Le CIO doit tenir compte d’autres paramètres que les ouvriers de production. La visibilité et la compréhension du risque constituent le deuxième élément. Elle implique de la surveillance. Il faut collecter les fichiers journaux et – plus généralement – suivre l’actualité dans votre secteur. Vous devez établir des priorités, afin de savoir ce qui est important et ce qui est urgent. En réalité, tout dépend de la rapidité et de la précision avec lesquelles vous réagissez à un incident. Le développement de la bonne compétence en matière de sécurité est donc un processus essentiel et itératif.”
La grande difficulté est que les circonstances dans lesquelles cet exercice se déroule changent tout le temps. On observe une course permanente entre les cybercriminels et leurs nouveaux malwares, d’une part, les spécialistes de la sécurité et leurs nouvelles solutions, d’autre part. Mais les activités d’une entreprise évoluent aussi au fil du temps, n’est-ce pas ?
“En effet, mais une entreprise devrait très bien connaître son environnement. Quand il change, elle doit effectivement réagir. Après un incendie, quand les flammes sont éteintes, il faut encore du temps pour soigner les brûlures. Idem lors d’un incident de sécurité. Une contamination par un malware ou un piratage passe inaperçue pendant en moyenne sept mois. Il s’ensuit un long processus – souvent de trois à six mois – pour remédier à tous les impacts de l’incident. Autrement dit : quels que soient les plans de l’entreprise, ils devront changer. Une bonne stratégie doit donc prévoir suffisamment de marge.”
Jaya Baloo, CISO d'Avast Software
“CIO ou CISO ? Une personne doit assumer la responsabilité finale. Mais n’oubliez pas que la sécurité ne peut exister sans un excellent IT, alors que l’informatique peut exister sans une bonne sécurité.”
Jaya Baloo
CISO d'Avast Software
Quand les risques évoluent constamment et qu’une organisation doit adapter sa sécurité en permanence, il y a un risque de 'security fatigue'. Comment l’éviter ?
“La situation est en effet fatigante : un autre zero day, un autre patch, une nouvelle campagne sur les ransomwares. La cybersécurité devient une véritable course à l’armement et on ne sait plus comment désamorcer la situation. Quoi de plus pénible ? En fait, il faut garder son calme dans l’adversité. On sait qu’un nouveau problème fera bientôt surface et qu’il faut continuer, en tant qu’entreprise, à prévoir du temps, du personnel et du budget. Mais, dans le même temps, on ne peut pas crier au loup tout le temps, car à la fin plus personne n’écoute.”
En dehors du combat sur le terrain, c’est peut-être le plus grand défi pour les spécialistes de la sécurité : comment convaincre le CEO qu’un effort continu est nécessaire ?
“Du point de vue de la sécurité, on ne peut pas faire autrement que de prévoir suffisamment de marge, car on sait qu’un problème surviendra tôt ou tard. Il est possible de convaincre le management en traduisant la menace en termes financiers. Évaluez l’impact potentiel sur les activités et calculez-en le coût.”
De plus en plus souvent, dans les entreprises, ce n’est plus le département IT qui est responsable de la sécurité. Un CISO est désigné, qui est certes en contact rapproché avec le CIO. Quel regard portez-vous sur cette évolution ?
“En matière de sécurité, tout le monde a une part de responsabilité. Mais la responsabilité finale se situe bien entendu au niveau C. Il est intéressant de constater que la sécurité ne peut exister sans l’informatique, mais que l’informatique peut exister sans sécurité. Par-dessus tout, il est important qu’une seule personne assume la responsabilité du security life cycle : de la sensibilisation et la prévention à la réponse à un incident et la restauration qui s’ensuit. À cet égard, c’est déjà très bien si vous suivez les bonnes pratiques courantes et veillez à une bonne hygiène de base.”
Calculer les coûts
Pas de sécurité sans informatique
Avantage concurrentiel
Beaucoup d’entreprises placent la barre un peu plus haut. Peuvent-elles considérer leurs efforts en matière de sécurité comme un avantage concurrentiel ?
“Bien entendu. C’est le cas lorsque l’activité de l’organisation dépend de la confiance. On attend d’une banque que sa sécurité soit optimale et d’un hôpital, qu’il gère correctement les données des patients. Dans ce contexte, la sécurité peut devenir un avantage concurrentiel. Apple, par exemple, a fait de la confidentialité et de la sécurité ses deux principaux arguments de vente.”
Les entreprises investissent aussi souvent dans l’obtention de certificats, pour montrer qu’elles prennent la sécurité au sérieux.
“Un certificat prouve que vous vous conformez à une norme. C’est un bon point de départ. Mais je considère la conformité comme la base, pas comme l’objectif. Ne vous laissez pas aveugler par ces certificats. Les hackers ciblent très souvent les entreprises certifiées.”
Indépendamment de tous les efforts fournis – qu’ils soient ou non assortis de certificats –, nous retenons surtout que la cybersécurité reste un exercice très fluide. Le travail n’est jamais terminé et – surtout – n’est pas toujours clairement délimité. D’où la nécessité d’une stratégie saine. Celle-ci détermine les objectifs ultimes, tandis que les moyens pour y parvenir évoluent en permanence.
La conformité est la base
Répondez à l’enquête
OÙ EN EST VOTRE STRATÉGIE DE SÉCURITÉ ?
Avez-vous eu des questions ou des problèmes l’année passée ? Quels domaines relatifs à la sécurité aimeriez-vous renforcer ? Partagez votre expérience en répondant à notre enquête annuelle.
Nous rassemblerons ensuite les résultats et les informations reçues afin d’améliorer encore notre prestation de services.
Jaya Baloo
CISO d'Avast Software
“une telle stratégie repose sur trois piliers : stimuler la prise de conscience, créer une visibilité et développer ses propres capacités.”
Lire l'article
complémentaire
Mais bien sûr, les journaux ne suffisent pas.
“En effet. Il faut aborder ces journaux et alertes intelligemment et se concentrer sur les éléments pertinents pour ne pas être noyé sous la masse. En cas d’incident, il faut aussi pouvoir être capable de prendre les mesures appropriées. S’agit-il d’un incident ou d’un problème systémique ? Résolvez-le, mais intelligemment, de manière à en tirer des leçons pour que cela ne se reproduise plus.”
Renforcez votre approche en matière de cybersécurité.
Interview EXCLUSIVE
“Sans plan,
on ne va nulle part”
Un environnement informatique sécurisé nécessite plus que quelques logiciels et un pare-feu. “La cybersécurité doit reposer sur une stratégie”, affirme Jaya Baloo, CISO du spécialiste de la sécurité Avast Software.
Jaya Baloo, CISO bij Avast Software
est CISO chez Avast Software, fournisseur de logiciels de sécurité. Avant, elle était CISO chez KPN Telecom. Elle fait partie de la liste des ‘100 Women Founders In Europe To Follow’ de Forbes.
Jaya Baloo
“CIO ou CISO ? Une personne doit assumer la responsabilité finale. Mais n’oubliez pas que la sécurité ne peut exister sans un excellent IT, alors que l’informatique peut exister sans une bonne sécurité.”
Jaya Baloo
CISO d'Avast Software
Pas mal d’entreprises abordent mal la question de la cybersécurité. Elles pensent qu’il suffit de se procurer quelques produits.
Que leur dites-vous ?
Jaya Baloo: “La cybersécurité est impossible sans une stratégie bien réfléchie. Il faut comprendre ce que l’on défend et contre qui l’on se défend. C’est uniquement possible avec une approche stratégique. Il faut avoir un plan. If you fail to plan, you plan to fail. Concrètement, je pars toujours d’une vision sur trois ans, avec un objectif clair : examiner comment la sécurité aide l’entreprise à faire ce qu’elle veut. La sécurité n’est pas là pour l’entraver mais pour l’aider à avancer.”
Ce point de départ vaut-il pour toutes les entreprises, qu’il s’agisse d’une PME ou d’une grande multinationale ?
“En principe oui, mais il faut bien sûr remettre les choses dans leur contexte. Dans une petite boulangerie artisanale, l’informatique joue un plus petit rôle et la sécurité exigera moins d’efforts. Pour une PME qui propose des services en ligne, la sécurité est bien plus importante. Quoi qu’il en soit : aujourd’hui, tout le monde est actif en ligne, donc personne ne peut faire l’impasse sur la sécurité. Ce que nous constatons, c’est que les petites organisations sont souvent des cibles faciles, parce qu’elles ne savent pas trop ce qu’elles doivent faire ou hésitent à investir.”
Les PME n’ont pas une bonne vision de la sécurité ?
“Les petites entreprises ne comprennent souvent pas la threat base. Elles pensent ne pas intéresser les cybercriminels et donc ne pas être à risque. Ou que leur fournisseur de service les protégera. Mais elles ont tort. Quand on achète un service cloud, on est responsable de sa sécurité. Ceux qui ne le savent pas utilisent ces services en croyant qu’ils sont sûrs. Ce faux sentiment de sécurité peut aussi être partagé par les collaborateurs d’une entreprise. Ils partent du principe que la sécurité est la responsabilité de l’entreprise, pas la leur. Ce manque de sensibilisation peut avoir de graves conséquences.”
Connaissance des risques…
et de soi-même
Le mot est lâché : sensibilisation.
Comment une entreprise peut-elle faire en sorte d’impliquer tout le monde ?
“C’est uniquement possible quand l’organisation développe une stratégie de sécurité. Trois éléments sont ici indispensables : sensibilisation, visibilité et compétence. En premier lieu, il faut développer une 'security awareness' axée sur l’entreprise et ses collaborateurs. Pour un résultat optimal, la sensibilisation doit correspondre aux différents rôles des collaborateurs. Le CIO doit tenir compte d’autres paramètres que les ouvriers de production. La visibilité et la compréhension du risque constituent le deuxième élément. Elle implique de la surveillance. Il faut collecter les fichiers journaux et – plus généralement – suivre l’actualité dans votre secteur. Vous devez établir des priorités, afin de savoir ce qui est important et ce qui est urgent. En réalité, tout dépend de la rapidité et de la précision avec lesquelles vous réagissez à un incident. Le développement de la bonne compétence en matière de sécurité est donc un processus essentiel et itératif.”
“Make it financial.
Calculez ce qu’un incident peut coûter à l’entreprise.”
Jaya Baloo, CISO d'Avast Software
Mais bien sûr, les journaux ne suffisent pas.
“En effet. Il faut aborder ces journaux et alertes intelligemment et se concentrer sur les éléments pertinents pour ne pas être noyé sous la masse. En cas d’incident, il faut aussi pouvoir être capable de prendre les mesures appropriées. S’agit-il d’un incident ou d’un problème systémique ? Résolvez-le, mais intelligemment, de manière à en tirer des leçons pour que cela ne se reproduise plus.”
La grande difficulté est que les circonstances dans lesquelles cet exercice se déroule changent tout le temps. On observe une course permanente entre les cybercriminels et leurs nouveaux malwares, d’une part, les spécialistes de la sécurité et leurs nouvelles solutions, d’autre part. Mais les activités d’une entreprise évoluent aussi au fil du temps, n’est-ce pas ?
“En effet, mais une entreprise devrait très bien connaître son environnement. Quand il change, elle doit effectivement réagir. Après un incendie, quand les flammes sont éteintes, il faut encore du temps pour soigner les brûlures. Idem lors d’un incident de sécurité. Une contamination par un malware ou un piratage passe inaperçue pendant en moyenne sept mois. Il s’ensuit un long processus – souvent de trois à six mois – pour remédier à tous les impacts de l’incident. Autrement dit : quels que soient les plans de l’entreprise, ils devront changer. Une bonne stratégie doit donc prévoir suffisamment de marge.”
Calculer les coûts
Quand les risques évoluent constamment et qu’une organisation doit adapter sa sécurité en permanence, il y a un risque de 'security fatigue'. Comment l’éviter ?
“La situation est en effet fatigante : un autre zero day, un autre patch, une nouvelle campagne sur les ransomwares. La cybersécurité devient une véritable course à l’armement et on ne sait plus comment désamorcer la situation. Quoi de plus pénible ? En fait, il faut garder son calme dans l’adversité. On sait qu’un nouveau problème fera bientôt surface et qu’il faut continuer, en tant qu’entreprise, à prévoir du temps, du personnel et du budget. Mais, dans le même temps, on ne peut pas crier au loup tout le temps, car à la fin plus personne n’écoute.”
En dehors du combat sur le terrain, c’est peut-être le plus grand défi pour les spécialistes de la sécurité : comment convaincre le CEO qu’un effort continu est nécessaire ?
“Du point de vue de la sécurité, on ne peut pas faire autrement que de prévoir suffisamment de marge, car on sait qu’un problème surviendra tôt ou tard. Il est possible de convaincre le management en traduisant la menace en termes financiers. Évaluez l’impact potentiel sur les activités et calculez-en le coût.”
Pas de sécurité sans informatique
De plus en plus souvent, dans les entreprises, ce n’est plus le département IT qui est responsable de la sécurité. Un CISO est désigné, qui est certes en contact rapproché avec le CIO. Quel regard portez-vous sur cette évolution ?
“En matière de sécurité, tout le monde a une part de responsabilité. Mais la responsabilité finale se situe bien entendu au niveau C. Il est intéressant de constater que la sécurité ne peut exister sans l’informatique, mais que l’informatique peut exister sans sécurité. Par-dessus tout, il est important qu’une seule personne assume la responsabilité du security life cycle : de la sensibilisation et la prévention à la réponse à un incident et la restauration qui s’ensuit. À cet égard, c’est déjà très bien si vous suivez les bonnes pratiques courantes et veillez à une bonne hygiène de base.”
OÙ EN EST VOTRE STRATÉGIE DE SÉCURITÉ ?
Avez-vous eu des questions ou des problèmes l’année passée ? Quels domaines relatifs à la sécurité aimeriez-vous renforcer ? Partagez votre expérience en répondant à notre enquête annuelle.
Nous rassemblerons ensuite les résultats et les informations reçues afin d’améliorer encore notre prestation de services.
Avantage concurrentiel
Beaucoup d’entreprises placent la barre un peu plus haut. Peuvent-elles considérer leurs efforts en matière de sécurité comme un avantage concurrentiel ?
“Bien entendu. C’est le cas lorsque l’activité de l’organisation dépend de la confiance. On attend d’une banque que sa sécurité soit optimale et d’un hôpital, qu’il gère correctement les données des patients. Dans ce contexte, la sécurité peut devenir un avantage concurrentiel. Apple, par exemple, a fait de la confidentialité et de la sécurité ses deux principaux arguments de vente.”
La conformité est la base
Les entreprises investissent aussi souvent dans l’obtention de certificats, pour montrer qu’elles prennent la sécurité au sérieux.
“Un certificat prouve que vous vous conformez à une norme. C’est un bon point de départ. Mais je considère la conformité comme la base, pas comme l’objectif. Ne vous laissez pas aveugler par ces certificats. Les hackers ciblent très souvent les entreprises certifiées.”
Indépendamment de tous les efforts fournis – qu’ils soient ou non assortis de certificats –, nous retenons surtout que la cybersécurité reste un exercice très fluide. Le travail n’est jamais terminé et – surtout – n’est pas toujours clairement délimité. D’où la nécessité d’une stratégie saine. Celle-ci détermine les objectifs ultimes, tandis que les moyens pour y parvenir évoluent en permanence.
“une telle stratégie repose sur trois piliers : stimuler la prise de conscience, créer une visibilité et développer ses propres capacités.”
Jaya Baloo
CISO d'Avast Software
Renforcez votre approche en matière de cybersécurité.