Homme d'affaires protégeant des informations personnelles sur une interface virtuelle

Les cadres dirigeants doivent arrêter de prendre des risques inutiles

sept. 2020

By Bill Mew

#KingstonCognate présente Bill Mew

Bill Mew est un principal leader d'opinion et un entrepreneur. Il mène également des campagnes pour l'éthique numérique.

Dans son rôle de leader d'opinion, Bill cherche à trouver l'équilibre adéquat entre une « protection sensée », ce qui lui a valu le titre de principal influenceur international pour la confidentialité des donnée, et la « maximisation de la valeur économique et sociale », domaine où il exerce également une grande influence sur les aspects les plus divers, allant de la cybersécurité et la transformation numérique jusqu'au GovTech et aux villes connectées. Il intervient également chaque semaine à la télévision ou à la radio (BBC, RT, etc.) en tant qu'expert dans ces différents domaines. Il est l'expert en technologies qui compte le plus de temps d'antenne au Royaume-Uni.

En tant qu'entrepreneur, Bill est le fondateur et le P.D.G. de CrisisTeam.co.uk. Il a constitué au sein de cette société une équipe élite d'experts en réaction aux incidents, en droit informatique, en gestion de la réputation et en influence sur les réseaux sociaux pour aider ses clients à minimiser l'impact des cyberattaques.

La culture d'entreprise du risque peut provoquer des perturbations dans le monde réel

Cadres travaillant autour d'une grande tablette vidéo

Certaines prises de risques sont insensées. La majorité des crédits subprimes, qui allaient déboucher sur l'effondrement du crédit et la crise financière mondiale, a été octroyée à des personnes qui ne remplissaient pas les conditions pour assumer de tels emprunts. Et pourtant, presque toutes les banques ont adopté ces pratiques.

Et plus récemment, personne n'aurait jamais imaginé le confinement et la menace que pouvaient représenter des activités comme aller à l'école, travailler, rencontrer des amis ou aller à la plage pour notre santé et celles des êtres qui nous entourent. Mais maintenant que nous avons compris le contexte, c'est une évidence.

Aussi bien la crise financière de 2008 que la pandémie actuelle ont généré de très grosses perturbations. Les conséquences de ces événements auraient pu être évitées ou pour le moins atténuées si nous avions pu mieux apprécier le risque ou écouté plus tôt les gestionnaires de risque et les experts en santé publique.

Un jeune homme d'affaires montre le mot : Gestion du risque

La culture d'entreprise a-t-elle un manque d'appréciation du risque ?

La manière dont nous prenons le risque en considération est souvent illogique et imprévisible. Nous avons pu observer une migration importante vers le télétravail. Ce changement présente un nouveau vecteur d'attaque pour les cybercriminels opportunistes. Il serait logique de penser que les organisations se concentrent sur la sécurité de leur applications dans le cloud, mais trop souvent elles partagent l'idée reçue que la sécurité est l'affaire du prestataire de service dans le cloud alors que dans la réalité, les instances mal configurées dans le cloud sont la principale source de divulgation de données.

Il ne vous viendrait jamais à l'idée d'utiliser le cloud ou votre ordinateur portable sans mot de passe ou une autre forme de protection. Pourtant, les organisations confient souvent l'achat des périphériques de l'Internet des objets et des clés USB au service des achats de l'entreprise. Celui-ci, à chaque fois, cherchera à obtenir les dispositifs les moins chers au lieu de payer un peu plus pour bénéficier de fonctions telles que le chiffrement. Vous pouvez vous poser la question suivante : la clé USB que vous avez utilisée dernièrement était-elle chiffrée et protégée par un mot de passe ? Si la réponse est « Non », il est grand temps de réaliser un audit sur votre exposition en termes de sécurité cybernétique.

La culture n'est pas la seule explication du manque d'attention porté au risque. Il nous arrive tous, depuis l'adepte des selfies jusqu'au directeur des achats, de ne pas évaluer les risques. Ce comportement est également le fruit du fonctionnement des organisations.

Qui est responsable du Cyber Risk?

Protection des données et cybersécurité sur une interface virtuelle.

Les banquiers n'ont pas vu le risque de crédit, car l'évaluation de leur performance reposait seulement sur les revenus et les bénéfices. Tous les services de presque toutes les organisations utilisent les revenus et les bénéfices comme paramètres d'évaluation de la performance en vue de déterminer les récompenses. Il s'agit de mesurer le retour sur investissement. Tant que les individus seront motivés de cette manière et tant que les organisations seront gérées selon ce paramètre, l'appréciation du risque sera minime ou nulle.

Le seul cadre supérieur qui ne se concentre pas sur le retour sur investissement, mais bien sur la rentabilité du risque, c'est le Directeur de l'organisation et des systèmes d'information (CISO){{Footnote.A58881}}. En fonction du goût du risque de l'organisation et du budget, le Directeur de l'organisation et des systèmes d'information entreprend tout ce qui est en son pouvoir pour atténuer le risque cybernétique et contrer les cyberattaques. Malheureusement, comme ce point de vue n'est pas aligné sur celui du reste de la direction, il arrive que le Directeur de l'organisation et des systèmes d'information soit non seulement isolé (ce que j'appelle la DOSIsolation), mais également qu'il serve de bouc émissaire, même si l'usage inadéquat des données est le résultat d'actions prises par le Directeur Marketing (CMO){{Footnote.A58879}} ou si l'attaque est la conséquence d'une décision prise par le Directeur des systèmes d'information (CIO){{Footnote.A58880}}, alors qu'il avait émis les avertissements de rigueur.

C'est un peu comme si les membres de l'équipe dirigeantes regardaient tous un téléviseur avec seulement 2 couleurs opérationnelles (revenu et bénéfices) sur 3. Ils peuvent voir en gros ce qui se passe dans l'activité, mais ils n'ont pas la vue complète. Lorsque des gros risques surgissent, souvent de nulle part, seul le Directeur de l'organisation et des systèmes d'information les voit, mais pas les autres cadres. Si les avertissements sont ignorés, la catastrophe peut attendre au tournant.

Il y a trois points qui doivent toujours être pris en compte

Nous pouvons espérer que notre histoire récente nous aura appris à prêter plus d'attention au risque. Les cadres supérieurs doivent changer la manière dont ils motivent et gèrent leurs équipes. Ils doivent inclure les trois points clés dans leur perspective : revenu, bénéfices ET risque. Les directeurs des achats doivent évaluer le risque et doivent comprendre que la cybersécurité doit intervenir dans les décisions d'achat, depuis les dispositifs bon marché ( les SSD chiffrés ne coûtent pas tellement plus cher ) jusqu'aux systèmes plus complexes.

Dans une culture attentive au risque, le paiement d'une modeste prime de cybersécurité pour tout, depuis les dispositifs sécurisés et chiffrés jusqu'aux systèmes complexes dans le cloud serait un investissement sensé et les Directeurs de l'organisation et des systèmes d'information sauraient qu'ils pourraient tirer l'alarme sans être ignorés.

Réunion entre collègues pour parler des plans financiers

Changements de culture requis pour faire la différence

Notre société n'a jamais été aussi interconnectée que maintenant. Elle n'a jamais non plus reposé autant sur les technologies, ce qui contribue à sa vulnérabilité, surtout quand on sait que les menaces ne cessent d'évoluer et de grandir.

Les leaders doivent changer la manière dont les équipes dirigeantes et les employés se comportent. Ce type de changement culturel en vue d'une plus grande appréciation du risque doit venir du sommet de la pyramide. La culture de l'éthique numérique (y compris la confidentialité et la sécurité des données) doit se répandre à tous les niveaux, de haut en bas. Les organisations qui adoptent cette culture de l'éthique numérique et qui sont attentives au risque sont non seulement moins susceptibles d'être victime d'une divulgation de données, mais elles seront également mieux positionnées pour réagir si un incident de ce type devait survenir.

Les avantages pour réussir cette transformation existent partout

Gros plan sur une liste de vérification dont toutes les cases sont cochées

Si les amendes prévues par le RGPD, les sanctions débouchant sur le retrait du droit de traiter les données, les procès et les atteintes à l'image en cas d'erreur ne suffisaient pas, il existe une authentique récompense pour agir comme il se doit. Alors que les consommateurs et les investisseurs abandonnent les marques dont la réputation a été souillée par des cyberattaques et des problèmes de confidentialité des données, ils sont également prêts à payer un peu plus pour les marques de confiance associées à l'éthique numérique.

Les clients dans tous les secteurs, pas seulement dans le secteur des technologies, sont de plus en plus exigeants et informés. Les recherches sur ce qu'ils attendent des entreprises, au lieu des gouvernements, montrent que la sécurité et la confidentialité des données dépassent désormais la diversité et la durabilité. En effet, la sécurité et la confidentialité sont les deux domaines selon lesquels les clients évaluent les entreprises et ils seront sans pitié si l'entreprise commet une erreur. Adopter les bonnes mesures est vraiment payant !

#KingstonIsWithYou

Ask an Expert

Kingston peut vous offrir une opinion indépendante sur la question à savoir si la configuration que vous utilisez actuellement ou que prévoyiez d’utiliser est adaptée à votre entreprise.

SSD à chiffrement automatique

Nous offrons des conseils pour identifier les avantages que les SSD apporteront à votre environnement de stockage spécifique ainsi que pour identifier les modèles les mieux adaptés à votre personnel mobile afin de vous aider à garantir la sécurité, même en déplacement.

Demander à un expert SSD

Clés USB chiffrées

Nous offrons des conseils pour identifier les avantages que l'utilisation des clés USB chiffrées apportera à votre organisation et les modèles de clé les mieux adaptés à vos besoins professionnels.

Demander à un expert USB

SSD Externe Kingston IronKey Vault Privacy 80
Chiffrement XTS-AES 256 bits

USB 3.2 Gen 1

960 Go, 1 920 Go, 3 840 Go, 7 680 Go

Jusqu’à 250 Mo/s en lecture, 250 Mo/s en écriture
En savoir plus Acheter
SSD mSATA et KC600 2,5"
Supporte une suite de sécurité complète

Formats : 2,5" et mSATA

256Go, 512Go, 1To, 2To

Jusqu'à 550Mo/s en lecture, 520Mo/s en écriture
En savoir plus Acheter
Clé USB à chiffrement matériel Kingston IronKey D500S
Sécurité de classe militaire FIPS 140-3 niveau 3 (en attente)

Chiffrement matériel XTS-AES 256 bits

Disponible dans un modèle Managed

USB 3.2 Gen 1

8 Go, 16 Go, 32 Go, 64 Go, 128 Go, 256 Go, 512 Go

Jusqu’à 310 Mo/s en lecture, 250 Mo/s en écriture
En savoir plus Acheter
Gamme Clé USB Kingston IronKey Keypad 200
Sécurité de classe militaire FIPS 140-3 niveau 3 (en attente)

Chiffrement matériel XTS-AES 256 bits

Disponible en USB Type-A et Type-C

Indépendante du système d’exploitation/de l’appareil

8 Go, 16 Go, 32 Go, 64 Go, 128 Go, 256 Go, 512 Go

Jusqu’à 280 Mo/s en lecture, 200 Mo/s en écriture
En savoir plus Acheter
Clé USB Kingston IronKey Locker+ 50
Sécurité de niveau grand public

Chiffrement matériel XTS-AES

Sauvegarde automatique sur espace cloud personnel

USB 3.2 Gen 1

16 Go, 32 Go, 64 Go, 128 Go, 256 Go

Jusqu’à 145 Mo/s en lecture, 115 Mo/s en écriture
En savoir plus Acheter
Gamme Kingston IronKey Vault Privacy 50
Sécurité de classe entreprise

Chiffrement XTS-AES 256 bits

Disponible en USB Type-A et Type-C

USB 3,2 Gen 1

8 Go, 16 Go, 32 Go, 64 Go, 128 Go, 256 Go, 512 Go

Jusqu’à 310 Mo/s en lecture, 250 Mo/s en écriture
En savoir plus Acheter
Clé USB Kingston IronKey S1000 Chiffrée
Puce de chiffrement embarquée

USB 3.1 Gen 1 (USB 3.0)

4Go, 8Go, 16Go, 32Go, 64Go, 128Go

Jusqu'à 230Mo/s en lecture, 240Mo/s en écriture

Sécurité via mot de passe complexe ou phrase
En savoir plus Acheter
DT4000G2DM