Nous avons rencontré cinq ans plus tard Javier Tobal, actuel RSSI d’Astara. À ce moment-là, la technologie et la cybersécurité ont évolué de manière très rapide. C’est pourquoi nous avons demandé à nous interroger nouvellement et à nous baser sur les réponses que ce moment nous a données pour faire des achats si nous sommes en ce moment.
Entretien avec Javier Tobal, RSSI d’Astara
Depuis cinq ans que vous nous avez rencontrés, qu’est-ce qui a changé dans le monde de la cybersécurité à ce moment-là ?
Ma perception personnelle est conditionnée par l’événement et par le fait que mon mouvement et ma situation sont réels. Depuis cinq ans, j’ai créé une Fintech avec un haut composant technologique, une équipe très compacte (150 employés) et un moment d’expansion en forme de nouveaux projets, services, outils, etc. Maintenant, je suis dans une organisation beaucoup plus grande (3.000 employés dans 20 pays) mais, à vous maintenant, avec une structure et une activité plus conventionnelle.
À mon avis, le principal changement dans les dernières années est le nombre d’entreprises qui disposent désormais d’équipes de responsables de la cybersécurité dirigées par un responsable de la cybersécurité (CISO, directeur de la sécurité de l’information ou équivalent). Depuis cinq ans, seules les grandes entreprises, les organisations ayant un profil technologique ou des entreprises très réglementées (finances, infrastructures critiques) sont mises à disposition par un RSSI en usine. Aujourd’hui, ce nombre est multiplié par la constitution d’entreprises de petite taille et de tous les secteurs.
D’un autre côté, les cybercriminels sont spécialisés, les attaques sont industrialisées et elles sont désormais plus dirigées et peuvent avoir un impact sur plus d’organisations, plus grandes et plus préparées. La plupart des attaques que nous détectons sont élaborées avec une préparation importante pour identifier et connaître les victimes potentielles à proximité.
Au cours de ces cinq années, qu’est-ce qui vous a le plus surpris de survenir et qu’est-ce que vous avez créé pour le produire et qui n’a pas réussi?
Comme je l’ai déjà dit, je suis surpris d’avoir réussi des attaques contre de grandes organisations, avec de nombreux contrôles de sécurité, des outils de protection de première ligne et des auditions régulières de cybersécurité. De quelque manière, on confirme que Nadie est invulnérable.
Dans le plus concret de la cybersécurité, et depuis la perspective de ces cinq années, je suis impressionné par le fait qu’elle a adopté des mécanismes d’automatisation des fonctions de cybersécurité. Par exemple, les solutions SOAR (Orchestration, automatisation et réponse de la sécurité) il n’est pas possible de se généraliser en pensant depuis 5 ans, ni dans le nombre d’organisations qui pourraient l’adopter, ni dans le nombre de cas d’utilisation là où elles sont appliquées. Un autre exemple, depuis mon point de vue, est l’inclusion de la sécurité dans les équipes qui appliquent la méthodologie DevOps. L’implantation de DevOps, favorisée par l’universalisation des infrastructures basées sur le Cloud, a été relativement rapide mais l’évolution vers DevSecOps n’est pas encore généralisée comme cela fait cinq ans.
A changé de compagnie, mais pas de travail. Pourquoi difier beaucoup la sécurité informatique d’une entreprise comme Astara de l’ancienne entreprise ?
Absolument. La culture d’entreprise, à un niveau plus élevé, détermine la majorité des décisions, sur tous les aspects tels que l’appétit de risque, l’inversion en cybersécurité, la capacité d’influence dans le commerce à partir, en général, des domaines liés au risque (cibersécurité, cumul, ESG, etc.). Même s’il est possible d’élaborer un ensemble de bonnes pratiques de cybersécurité appliquées à toutes les organisations, il n’existe pas d’organisations identiques ni de facteurs qui peuvent varier d’un à l’autre de ses innombrables : la priorité des contrôles, la forme de mise en œuvre, les personnes impliquées, les fournisseurs de service avec ceux qui collaborent, la préparation du personnel, … tout est différent.
En fait, quels sont les principaux retours sur ceux qui vous intéressent ?
Il s’agit d’une réponse qui a été partagée avec de nombreux responsables de la sécurité informatique et qui peut être résumée comme « faire plus avec moins » ou « atténuer les risques non tolérables avec des ressources limitées ». De forme récursive, la réponse à ce retour est juste plantaire sur d’autres nouveaux retours. Par exemple, vous pouvez déléguer certaines tâches de cybersécurité dans les domaines utilisateurs pour que ces personnes soient responsables de la cybersécurité en tant que partie de votre propre opérateur. Cela peut également réduire les risques liés à l’anticipation des contrôles, en appliquant les critères de cybersécurité à la conception de nouveaux processus, à la sélection des fournisseurs ou aux décisions stratégiques sur les nouvelles entreprises, fusions ou acquisitions.
En général, qu’est-ce qui marque le monde technologique actuel ? Êtes-vous dans le monde de la cybersécurité?
Certains aspects doivent être parallèles, car la cybersécurité doit répondre à l’évolution des systèmes d’information. Les trois éléments qui soulignent actuellement les technologies de l’information, à mon avis, sont :
- L’omniprésence de l’intelligence artificielle.
- La substitution de systèmes traditionnels basée sur des logiciels et du matériel propres à des solutions de type SaaS (Logiciel en tant que service) qui facilite son utilisation et son utilisation par des équipes sans formation technique avancée ou, également, par des domaines de commerce et de fonctionnement non technologiques.
- L’hyperconectivité s’étend à tous les emplacements, à tous les personnages, à tous les appareils et à tous les référentiels d’informations. Finalement, nous pouvons mettre en place des systèmes «100% en ligne».
Dans le domaine de la cybersécurité, nous devons mentionner d’autres personnes vers l’intelligence artificielle (tanto comme amenaza en manos de la cibercriminales como ayuda para los equipos de seguridad defensiva); les architectes SASE (Bord du service d’accès sécurisé) et le desarrollo obligé de la cryptographie post-cuántica.
Si tuvieras todo el presupuesto que quisieras, ¿qué implémentarías?
Permettez-moi de «implémenter» un équipement de cybersécurité qui combine des personnes avec l’expérience, la capacité technique, la motivation, beaucoup de collaboration, la résistance à l’être et le bon humour.
Je comprends que ce n’est pas la réponse attendue, et je ne vais donc pas énumérer ma liste personnelle de mes désirs :
- Architecture Zero Trust extrême à extrême que : 1, vérifier la forme continue de l’identité de l’utilisateur, de la légitimité des services à ceux qui accèdent, du contexte d’utilisation (emplacement géographique, date et heure, dispositif, rouge d’accès) ; 2, ajustez dynamiquement les autorisations et le comportement souhaité par rapport aux utilisateurs enregistrés au pasado ; et 3, surveiller en temps réel le comportement de tous les utilisateurs et les identités du système.
- Une gestion d’identités qui inclut tous les éléments des systèmes : utilisateurs humains, robots, agents d’IA, applications, microservices, référentiels de données, fournisseurs externes, etc. Par exemple, chaque agent d’un système IA doit avoir son profil comme tout autre utilisateur de le système et doit assumer un rôle défini.
- Un centre de formation spécifique à la cybersécurité, qui génère des talents de cybersécurité au sein des organisations, tant pour recycler des personnes antérieures dans d’autres domaines, que pour former le revenu personnel incorporé, ou pour actualiser l’équipe existante. Este centro debería tener entornos de prueba (Gamme Cyber) et participer aux initiatives de l’organisation : exercices CTF (Capturez le drapeau), desarrollos de código ouvert (Source ouverte) sur les forums où partager des informations intelligentes.
Il y a cinq ans, l’utilisateur était en train de se défaire, est-ce que tu es siéndolo ? Comment faire pour que ce soit un des points débiles ?
L’utilisateur considère qu’un des travaux les plus débiles est parce qu’il est imprévisible, mais il est toujours plus formé à l’utilisation de la technologie et cela aide à réduire les risques associés. Si nous avons des pratiques, nous devons gérer l’utilisateur comme un élément du système : « inventer », évaluer sa critique, valoriser son exposition au risque, ajouter des contrôles en fonction de ces paramètres, etc.
De plus, nous ne devons pas concevoir des systèmes où l’utilisateur dispose de la seule ligne de défense, car il s’agit d’un élément de protection supplémentaire supplémentaire pour d’autres contrôles existants. Et, bien sûr, en cas d’incident qui n’est pas coupable pour l’utilisateur, il est susceptible d’alerter le problème en confirmant qu’il ne sera ni critiqué ni signalé par lui.
Il y a cinq ans, la culture de la cybersécurité ne s’est pas investie dans l’entreprise, qu’est-ce qui est important ? Comment s’établir ?
Il est très difficile de transformer la culture d’une organisation intervienne à partir d’un seul composant. Comme nous l’avons mentionné précédemment, les activités globales liées à la sécurité informatique sont réparties et étendues à tous les domaines de l’organisation. Dans le cas de la culture, il faut chercher des alias dans tous les équipements, les personnes les plus conscientes ou expérimentées, pour étendre leur préoccupation et leur intérêt pour le reste des membres de l’équipement. À une occasion, il a eu de bons résultats avec le nom de hackers internes (Des pirates au chapeau blanc) dans les équipes les plus critiques pour promouvoir dedans les bonnes pratiques liées à la cybersécurité et aider nos compagnons à comprendre et à appliquer la politique de sécurité.
Finalement, depuis 5 ans, nous allons nous entretenir avec nous, quelles sont les technologies qui transforment le monde des TIC et qui sont indispensables aux entreprises ?
En tout cas, vous êtes en mesure de : l’IA Génératrice basée sur des agents autonomes qui interagissent avec d’autres agents et avec des collaborateurs humains pour réaliser des tâches chaque fois plus complètes. L’extension du calcul informatique appliqué à chaque fois plus d’organisations et dans de nouveaux cas d’utilisation (plus de la cryptographie et des simulations de phénomènes biologiques). Et, finalement, la prolifération de contenus synthétiques falsifiés ou «DeepFakes» (images, vidéos, voix, personnages publics, etc.) stimulera le développement de nouvelles technologies de certification d’authenticité et de fiabilité numérique, certainement au milieu de l’utilisation de la Blockchain et de l’identité numérique décentralisée.
