- Accueil
- Cybersécurité
- Les défis du CISO de demain
Les défis du CISO de demain
Difficile de parler de la cybersécurité de demain sans plonger dans la question de l’IA. Pourtant, aux yeux des experts interrogés, les risques et les opportunités qu’elle amène sont largement exagérés.
Pour Sue McCauley, cheffe de la cybersécurité pour High Speed Rail Solutions au Canada, l’IA peut complémenter d’autres types de défenses, notamment en termes d’analyse et de filtrage de données, pour aider à discerner les menaces. Elle n’a toutefois pas, pour l’heure, le pouvoir d’identifier les attaques sophistiquées, comme celles de type zero day, en pleine augmentation. Et compte tenu des budgets serrés, mieux vaut connaître les bénéfices qui découleront de chaque couche de défense avant d’ouvrir le portefeuille, prévient-elle. Un point de vue partagé par Dan Lorhmann, ancien CISO de l’État du Michigan, qui met en garde contre l’enthousiasme actuel entourant l’IA en rappelant que celle-ci est « une composante de presque toutes les solutions de cybersécurité vendues aujourd’hui sur le marché ».
Au contraire, l’engouement pour l’IA, et l’adoption de plus en plus généralisée des LLM par les organisations, suscite une certaine inquiétude chez les trois experts. Pour Sue McCauley, l’apport de ces outils d’IA demeure somme toute superficiel, car ils « ne font que faire re-circuler de l’information déjà existante ». Pire encore, leurs données risquent d’être entachées par le data poisoning, l’injection délibérée d’informations trompeuses visant à fausser les résultats.
« Tout doit être vérifié », insiste l’experte. Une opinion à laquelle fait écho Nancy Rainosek, ancienne CISO du Texas : selon elle, il faut absolument continuer de « garder l’humain dans la boucle » quand vient le temps d’utiliser les données générées par les IA… au risque de perdre son temps à lire des rapports remplis « d’absurdités parfaitement rédigées » !
L’exfiltration de données sensibles via les LLM est également un risque important à considérer, rendant l’éducation des employés « primordiale », selon Nancy Rainosek, qui relate un incident durant lequel un fonctionnaire texan avait révélé des informations privées d’employés à ChatGPT. Au-delà de la fuite accidentelle de données sensibles par des employés mal sensibilisés, des attaques de type prompt injection peuvent elles aussi permettre à des acteurs malveillants d’accéder à des données commerciales sensibles, comme les dossiers de clients ou des secrets commerciaux.
Les menaces traditionnelles, toujours d’actualité
Malgré l’arrivée des nouvelles menaces liées à l’IA, les experts interrogés nous invitent à ne pas perdre de vue les menaces « classiques », comme les rançongiciels, qui demeurent prédominantes, notamment à l’échelle locale. Nancy Rainosek a d’ailleurs une expérience inégalée dans ce domaine : c’est elle qui a dû composer avec la massive série de rançongiciels qui a ciblé 23 organisations gouvernementales au Texas en 2019. Face à cette « catastrophe étatique » sans précédent, l’ancienne CISO a orchestré la mise en place de trois Centres régionaux des opérations de sécurité, qui continuent aujourd’hui d’améliorer la réponse aux cyberincidents au niveau local, « sur le terrain », tout en formant des étudiants d’université aux enjeux cruciaux de la cybersécurité.
Les attaques contre la chaîne d’approvisionnement demeurent également sur le radar des experts. Le ciblage d’un fournisseur tiers, comme un service d’infonuagique, peut entraîner des conséquences dévastatrices pour les organisations. Nancy Rainosek met en garde contre le manque de rigueur de certains fournisseurs, souvent dépourvus de CISO et peu enclins à intégrer ce rôle crucial à leur structure. Pour maintenir le contrôle, l’experte recommande de s’assurer que les prestataires respectent les exigences de conformité. C’est d’ailleurs le rôle du Texas Risk and Authorization Management Program (TX-RAMP), qui oblige les compagnies d’infonuagique désireuses de collaborer avec les universités ou les agences gouvernementales texanes à se conformer aux standards de sécurité en vigueur.
La communication et la confiance, les facteurs humains à ne pas négliger
Dan Lohrmann insiste sur l’importance de la communication en temps de crise, qui doit être réfléchie en amont, et en détail. Il préconise l’élaboration d’un plan de communication détaillé, précisant le rôle de chaque intervenant. « Ce plan devrait contenir des informations sur la manière de communiquer avec les médias, l’équipe tactique, le secteur privé, et tous les autres acteurs pertinents », explique-t-il.
En évoquant la panne de courant nord-américaine de 2003 qui a affecté 55 millions de personnes, Dan Lohrmann rappelle l’importance de s’assurer de la disponibilité des personnes-ressources en cas de crise : « Où sont vos plans de secours ? Sur qui compterez-vous quand vous n’aurez pas l’ensemble de l’équipe à disposition ? ». Car malgré le rôle de tous et chacun en temps de crise, c’est le CISO qui demeure le cœur de la réponse aux incidents. « Tout le monde aura les yeux rivés sur vous et attendra votre réponse », rappelle Sue McCauley, pour qui le rôle du CISO est de garder son sang-froid. Mais pour en être capable, prévient-elle, il faut avoir fait ses devoirs : connaître son plan de crise, ainsi que les fins détails de la marche à suivre en cas d’incident.
Finalement, si le CISO de demain doit se doter d’une grande confiance en soi, il doit également gagner celle de son équipe, prévient Dan Lohrmann : « Si vous avez la réputation de négliger vos obligations, ou d’être inattentif, on ne vous fera pas confiance. Quand un cyberincident frappera, c’est ce niveau de confiance qui déterminera si vous serez celui ou celle qui sera en mesure d’aider votre compagnie, ou votre gouvernement ».
la newsletter
la newsletter