Causerie au coin du feu sur la sécurité : Perspectives pour les cadres supérieurs qui s’attaquent à la cybersécurité en 2024
Article
14 min

Causerie au coin du feu sur la sécurité : Perspectives pour les cadres supérieurs qui s’attaquent à la cybersécurité en 2024

La stratégie de cybersécurité devient complexe pour les cadres supérieurs de toutes les organisations canadiennes. Les experts de CDW présentent des idées, des stratégies et des recommandations clés pour les hauts dirigeants en fonction des résultats de notre étude canadienne 2024 sur la cybersécurité.

Expert CDW Expert CDW
Contenu
Capture d’écran sur le clavardage

La stratégie de cybersécurité dans un contexte de cybermenaces en constante évolution et de priorités commerciales changeantes est devenue complexe pour les cadres supérieurs de toutes les organisations canadiennes. Ils ont besoin de conseils d’experts et de connaissances approfondies du paysage actuel pour atteindre leurs objectifs de sécurité.

Lors d’une discussion animée par des experts, nos panélistes sur la cybersécurité réfléchissent aux principales conclusions de notre étude canadienne 2024 sur la cybersécurité avec des stratégies utiles pour les hautes directions de partout au Canada.

Ils abordent les défis les plus urgents tels que la baisse des budgets des TI, la hausse des taux d’infection et des risques de l’IA; grâce à des conseils et des recommandations pour les directeurs des TI, les directeurs financiers, les chefs de la sécurité de l’information, etc.

Le panel comprend trois dirigeants de CDW en matière de cybersécurité :

  • Ivo Wiens, directeur des technologies sur le terrain pour l’architecture des solutions de sécurité
  • Ben Boi-Doku, chef de la stratégie des services de cybersécurité
  • Roshan Abraham, directeur, Services consultatifs du chef de la sécurité de l’information

Accédez à l’étude complète ici →

Constatation 1 : Les organisations canadiennes accordent la priorité à la sécurité dans un contexte de baisse des budgets des TI, accélérant ainsi le passage à une maturité accrue en matière de sécurité.

L’étude a démontré que les budgets des TI ont diminué de plus de 50 pour cent dans l’ensemble du Canada et ont également diminué en proportion des revenus (ou du budget des organismes gouvernementaux).

En dépit des contraintes de budget systématiques, les budgets alloués à la sécurité faisant partie intégrante des budgets des TI ont augmenté proportionnellement d’une année à l’autre, pour les organisations de toutes tailles et dans tous les secteurs.

Ivo Wiens: « Nous avions l’habitude de constater que la sécurité ne se trouvait jamais sur la première ligne des dépenses. Ou ne faisait jamais partie des dépenses croissantes dans les organisations. Maintenant, nous commençons à percevoir un changement à ce niveau. Je suppose que la sécurité est devenue une conversation autour de la table de cuisine plutôt qu’une simple conversation de salle de conférence. »

M. Wiens a fait remarquer que la nécessité de la cybersécurité en tant que pratique est maintenant plus importante, avec un budget supérieur alloué à l’amélioration de la posture de sécurité. De plus, M. Boi-Doku explique pourquoi cela pourrait être le cas.  

Ben Boi-Doku: « L’impact des menaces de sécurité est plus réel aujourd’hui. Qu’il s’agisse d’un rançongiciel ou d’un refus de service pour un organisme de soins de santé ou encore d’un vol dans les services financiers, elles ont un impact plus important sur les individus que par le passé. » 

Il commente également la façon dont les professionnels des TI peuvent présenter des risques devant la haute direction dans le but de mieux tenir compte des dépenses en cybersécurité.

Ben Boi-Doku: « Lorsque l’on regarde le discours de la haute direction, ce qu’il faut être capable de faire – c’est d’expliquer aux cadres le risque pour mon environnement en tant qu’organisation sous forme de question financière? Quelle est notre maturité en matière d’analyse quantitative des risques ou d’évaluation des risques? C’est ainsi que vous serez en mesure de mieux parler à la haute direction. »

Sur le choix des cadres de sécurité 

Un cadre de sécurité offre les meilleures pratiques et règles pour la mise en œuvre de la sécurité dans l’ensemble d’une organisation. Choisir le bon cadre est essentiel pour répondre aux exigences de conformité et contrôler les dépenses de sécurité.

Ivo Wiens: « Parfois, nous avons des clients qui disent qu’ils n’ont aucune exigence de conformité ou qu’ils n’ont pas besoin d’être conformes. Pourquoi choisir un cadre de sécurité si je n’ai aucune exigence de conformité spécifique au sein de mon entreprise? En outre, comment le choix de cette exigence pourrait-il m’aider à prioriser les dépenses? » 

Roshan Abraham: « Ce ne sont pas tous les clients qui ont un besoin d’une conformité définie. Ils voudront peut-être se conformer parce que les clients avec qui ils traitent veulent qu’ils le fassent. Du point de vue de la haute direction, mettre sur la table tout ce dont vous avez besoin n’adapte pas vraiment votre réponse aux besoins de conformité. »

« Disposer d’une norme de sécurité qui correspond aux exigences de l’industrie et à votre secteur d’activité, en plus de vous donner l’occasion d’avoir une conversation avec la direction à propos des limites où vous pouvez vous rendre et où vous devrez faire marche arrière afin de répondre à la problématique de la maturité. » 

Abraham a mentionné que les exigences de conformité (comme PCI ou ISO 27001) étaient le principal facteur pour choisir un cadre. M. Boi-Doku ajoute des réflexions sur la façon dont les organisations devraient considérer les cadres de sécurité.  

Ben Boi-Doku: « Au contraire, vous n’avez pas nécessairement besoin de commencer par un cadre. Le parcours de sécurité présente plusieurs horizons et choisir un cadre dès le départ pourrait ne pas être logique pour toutes les entreprises. »

« Si vous êtes une organisation qui vient tout juste de démarrer, vous allez mettre en place des technologies de sécurité adaptées à l’objectif avant même de savoir qu’elles constituent des contrôles de sécurité s’alignant sur un cadre. Par conséquent, j’aimerais mentionner la cyberhygiène de base couverte par les contrôles de sécurité de CIS et je vais demander à Roshan de développer ce sujet. »

Roshan Abraham: « En ce qui a trait aux normes de sécurité, chaque norme est différente et répond aux besoins d’un objectif différent et d’un public différent. Par exemple, la norme ISO 27001 est rédigée pour donner à la direction la capacité de corriger le tir. Un élément comme le CMMC est bon lorsque vous devez travailler sur un contrat très sensible, par conséquent, il sera directif et difficile. »

 « Il y a aussi le CIS, qui n’est pas tant un cadre qu’un ensemble de contrôles définis avec des mesures de protection. Mais ces mesures de protection s’harmonisent avec pratiquement toutes les autres normes. » 

« La plupart des membres du personnel cadre des TI à qui j’ai parlé et qui ne désirent pas s’occuper de la conformité semblent bien s’accommoder du cadre CIS parce qu’après tout, ce sont des choses qu’ils ont l’habitude de faire de toute façon. Cela leur donne une orientation un peu plus pratique sur ce qu’il faut faire en premier. » 

Constatation 2 : Les organisations canadiennes mettent l’accent sur la prévention des menaces grâce aux stratégies à vérification systématique, mais une emphase égale sur la détection et la réponse est requise.

À l’ère du nuage, la sécurité fondée sur le modèle à vérification systématique a rapidement gagné en popularité. Cependant, bien que l’accès avec vérification systématique (zero-trust access, ZTA) constitue un élément essentiel du modèle de sécurité à vérification systématique, il ne devrait pas être le seul point de mire. La détection et la réponse aux menaces sont des mesures tout aussi importantes pour assurer une sécurité complète et atteindre les objectifs à long terme de la stratégie de défense à vérification systématique.

Par rapport à l’étude 2023, il y a peu de changements aux politiques de sécurité soutenant le modèle à vérification systématique. Il est à noter que moins d’un tiers des organisations dispose d’une politique de surveillance qui rend obligatoire un contrôle de la sécurité axé sur la détection des menaces.

Ivo Wiens: “Seven or eight years ago when we were doing this study, zero trust was something people didn’t even know about. Maintenant, dans cette étude, nous arrivons au point où nous sommes à deux doigts de briser la philosophie du modèle à vérification systématique dans ses éléments fondamentaux. »

Ben Boi-Doku: “If you just look at the security journey conversation, of course, prevention would be the very first piece. Vous allez donc empiler vos contrôles afin d’éviter une violation. Mais le fait est que nous savons tous que nous devrions agir comme si nous étions déjà victimes d’une violation. »

“Another thing is that there’s no overall zero-trust architecture that one could pick up and follow. Donc, les organisations traversent le parcours du modèle à vérification systématique avec ce qu’elles estiment être ce qui se fait de mieux. »

I’d also like to add that betting it all on just the prevention piece is a significant risk. C’est une partie de la stratégie globale, mais ce n’est pas tout. »

L’architecture à vérification systématique est une conversation nuancée

M. Wiens a parlé de l’augmentation de l’adoption du modèle à vérification systématique par rapport à il y a quelques années, tandis que M. Boi-Doku a décrit comment le modèle à vérification systématique pourrait être mal interprété et considéré comme un ensemble limité de mesures de prévention. Zero-trust security must include supporting components and an overarching strategy.

Ivo Wiens: “It starts with you defining the way you’re going to approach this. L’histoire complète couvrant la façon de protéger votre entreprise et ce que cela signifie pour votre entreprise. »

« Il n’existe pas de conformité universelle au modèle à vérification systématique. Lorsque les clients demandent comment ils peuvent être conformes au modèle à vérification systématique, je leur réponds généralement que cela n’existe pas. Ce qui existe, ce sont les nombreux autres cadres qui la soutiennent et beaucoup de technologie qui peut vous aider sur cette voie. »

M. Wiens a ajouté que la navigation dans le parcours du modèle à vérification systématique exige des décisions nuancées sur la technologie et sur la stratégie. Il ne devrait pas être considéré comme une solution unique pour les besoins de sécurité. Jusqu’à ce que les éléments manquants comme la détection et la réponse aux menaces soient intégrés au modèle à vérification systématique, il est difficile de réaliser ses avantages.

Roshan Abraham: “I think detection and response requires you to be able to filter out things that are truly important to you. Donc, une fois que vous avez des capacités de détection et de réponse en jeu, vous devez être en mesure de les aider à concentrer leur attention sur ce qui est vraiment important grâce à une bonne connaissance de vos actifs essentiels, de vos utilisateurs essentiels et de ce à quoi ils devraient avoir accès. »

Constatation 3 : Les préoccupations concernant la cybersécurité entravent l’adoption du nuage et émergent comme un obstacle clé pour réaliser pleinement les avantages du nuage.

Le passage au nuage public, qui s’est accéléré pendant la pandémie, n’est pas passé inaperçu par les adversaires. Les cyberattaqueurs ont adapté leurs tactiques, techniques et procédures (TTP) pour cibler les environnements infonuagiques publics, reconnaissant la dépendance croissante à ces plateformes pour le stockage et le traitement des données.

Ils exploitent le modèle de responsabilité partagée de la sécurité informatique en nuage publique, où le fournisseur de services infonuagiques est responsable de la sécurité de l’infrastructure, tandis que le client est responsable de la sécurité de ses données et de ses applications.

Par rapport à l’étude 2023, moins d’organisations ont conservé leurs données confidentielles et secrètes dans le nuage public. La principale préoccupation citée par 74 % des répondants à l’étude 2024 se rapporte à la sécurité.

M. Abraham répond à cela que les préoccupations concernant la sécurité informatique en nuage découlent de la maturité opérationnelle d’une organisation qui tire parti du nuage. Une bonne compréhension des risques impliqués est essentielle en plus des façons dont les risques peuvent être contrebalancés.

La sécurité informatique en nuage est une action réciproque

Roshan Abraham: “It’s a story of maturity in terms of how you operate in your security controls. Si vous migrez vers le nuage, l’idée que vous pouvez simplement transférer le risque sur votre fournisseur de nuage est une idée fausse. »

 “Do I think cloud is a significant part of most organization strategies, especially as they move to AI and truly global workforces? Oui. Mais nous sommes en pleine métamorphose en termes de structures des coûts et de modèles d’abonnement. »

M. Boi-Doku a ajouté que pour assurer une sécurité adéquate dans le nuage, les organisations doivent examiner les capacités natives du nuage et les contrôles de sécurité. Ceux-ci pourraient être très différents des mises en œuvre sur place.

Ben Boi-Doku: “When a client says their security expectations were not met in the cloud, I would look into things like how did they implement in the cloud? Le client a-t-il simplement transféré sa charge de travail de son établissement au nuage? Ou a-t-il vraiment profité de l’efficacité du nuage? Donc, il existe beaucoup de contrôles et de technologies de sécurité qui sont natifs du nuage et qui ont été adoptés dans le cadre global de gouvernance ou de sécurité? »

Roshan Abraham: “The organizations that are actually seeing a good return on investment have gone to a DevOps model. Par exemple, elles utilisent des conteneurs. La conteneurisation des actifs dans le nuage est un bon moyen de gérer les risques. Mais si vous essayez simplement de faire fonctionner des machines virtuelles dans le nuage, cela ne vaut probablement pas le retour du point de vue d’un directeur financier. »

Ivo Wiens: “Part of managing cloud vendors is also understanding what risks are you taking internally. Il ne s’agit pas simplement pas de s’assurer que la facturation est effectuée correctement. Il s’agit de comprendre les écarts entre vous et le fournisseur du point de vue de la sécurité. »

Constatation 4 : Les organisations canadiennes qui priorisent les fonctions améliorées par l’IA peuvent améliorer les défenses en matière de cybersécurité, rationaliser les opérations et répondre aux pénuries de personnel qualifié.

Grâce à leur capacité à analyser rapidement de grandes quantités de données, à identifier les tendances et à prédire les menaces futures, l’intelligence artificielle (IA) et l’apprentissage automatique (AA) sont essentiels dans les mises en œuvre de cybersécurité. Elles peuvent également s’adapter à l’évolution des paysages et des menaces informatiques, et, malgré un investissement initial important, peuvent fonctionner avec des ressources limitées, ce qui les rend inestimables face aux menaces croissantes, aux pénuries budgétaires et aux paysages informatiques en évolution rapide.

Selon l’étude, les grandes entreprises sont les plus avancées, et l’industrie des services financiers ouvre la voie avec 37,5 pour cent rapportant des mises en œuvre de cybersécurité par IA/AA matures et avancées.

L’IA présente un grand potentiel dans tous les cas d’utilisation de la cybersécurité

Les experts partagent leur point de vue sur la façon dont l’IA pourrait potentiellement aider à améliorer la cybersécurité pour les organisations. Selon eux, l’IA a un rôle important à jouer dans l’amélioration de la détection des menaces, l’automatisation des fonctions de sécurité et la réduction de la charge de travail du côté des politiques.

Roshan Abraham: “I think the thing where AI is going to really show some progress or really early returns is identifying if a threat is AI-driven or not. Il ne suffit plus de suivre une formation pour les utilisateurs finaux et de supposer qu’ils vont récupérer des courriels mal conçus. C’est un défi dans lequel les outils d’IA améliorés pourraient nous aider. »

Ben Boi-Doku: “So if you even look at the accelerated incident response times [with the help of AI], you’re really looking at AI leveraging user behavioural analysis, being able to comb through volumes of data lakes to identify what’s normal and what’s not. Il s’agit également de protéger, détecter et réagir de façon automatisée. C’est donc là que nous réalisons que l’IA profite vraiment à l’industrie de la sécurité. »

Roshan Abraham: “From a risk and policy perspective, AI is relevant to many organizations. Vous avez trois clients différents avec trois ensembles d’exigences différentes dans les contrats. Il existe des produits qui peuvent ingérer ces contrats et vous donner un cadre de conformité consolidé. Tout cela vous aurait demandé des jours, des semaines, des mois. »

M. Wiens lance cette mise en garde, que même si les systèmes d’IA ont évolué, il faut tout de même exercer une surveillance appropriée de leurs résultats. Les organisations doivent envisager d’utiliser l’IA avec prudence.

Ivo Wiens: “But obviously, every output needs to be highly verified and edited, right? As there are opportunities for errors and it’s not a straight up copy paste in a policy document.”   

Constatation 5 : Les organisations canadiennes reconnaissent les menaces antagonistes potentielles dans un contexte d’utilisation croissante de l’IA/AA au sein de la cybersécurité.

L’IA et l’AA peuvent habiliter les cyberattaquants en améliorant leur capacité à exploiter les vulnérabilités et à échapper à la détection. Les cybercriminels peuvent utiliser l’IA pour automatiser le processus de détection des vulnérabilités en augmentant leur efficacité et leur portée. De plus, l’IA peut être utilisée à mauvais escient pour créer des tactiques sophistiquées d’hameçonnage et d’ingénierie sociale, ce qui rend plus difficile pour les victimes de reconnaître les activités frauduleuses.

L’étude 2024 a montré que les organisations canadiennes entretiennent de graves préoccupations concernant le risque que l’IA rende leurs adversaires plus puissants. Les trois principaux risques cités comprennent la possibilité pour les cyberattaquants d’effectuer les actions suivantes :

  1. Automatiser le processus de découverte et d’exploitation des vulnérabilités (58,4 pour cent)
  2. Identifier de nouveaux vecteurs d’attaque (50,3 pour cent)
  3. Accélérer le développement de nouvelles souches de logiciels malveillants (42,6 pour cent)

M. Boi-Doku a mis en garde contre les cyberattaques de nature sophistiquée, qui peuvent se produire en grand volume. Il a suggéré de prioriser les maillons faibles de l’organisation contre de telles attaques comme première étape vers la prévention.

L’IA antagoniste peut donner lieu à des cyberattaques effrénées

Ben Boi-Doku: “The growth of adversarial AI would increase the sophistication and volume of attacks. C’est quelque chose qui est très préoccupant. De quelle façon les prévenez-vous? Nous devons nous assurer que les fruits à portée de main, les plus vulnérables d’une organisation, sont protégés. De plus, nous devons nous assurer de réduire considérablement l’exposition de la surface d’attaque. »

Dans le même ordre d’idées, M. Abraham a suggéré d’utiliser l’IA pour l’analyse de la vulnérabilité et la correction des failles avec une plus grande prévisibilité.

Roshan Abraham: “I am interested to see how AI can help organizations analyze their own environments to understand where vulnerability may be. J’ai également hâte de voir les possibilités de l’IA en matière de gestion des actifs. »

M. Wiens a abordé l’utilisation de l’IA au sein de l’organisation comme une menace en soi. Messieurs Boi-Doku et Abaraham ont suggéré la mise en œuvre d’un modèle à vérification systématique pour limiter l’accès de l’IA aux données organisationnelles.

Ivo Wiens: “Another area of it is insider threats. Où commencez-vous à établir des politiques au sein de l’organisation concernant l’utilisation de l’IA? »

Ben Boi-Doku: “Zero trust! Traitez l’IA comme un autre acteur dans votre parcours de la vérification systématique. Make sure that it only has access to as much information as it needs and the individuals who can leverage it can only pull data that’s fit for their roles.

Roshan Abraham: “You have to be careful with the parameters you set on what AI is going to have access to and you have to control it. Et chaque fois que quelque chose y est exposé, vous devez traiter la situation comme une violation. »

Conclusion

La conversation s’est poursuivie à propos de plusieurs aspects du paysage moderne de la cybersécurité, en livrant des conseils utiles pour les décideurs.

Pour accéder aux points de données et aux renseignements mentionnés dans ce blogue, téléchargez l’Étude canadienne 2024 sur la cybersécurité ci-dessous.