Balados Perspectives, Épisode 31 : La pierre de Rosette de la cybersécurité

Jennifer Beaudry

Bienvenue au balado Perspectives de Zurich Canada, qui nous aide à rester en contact avec nos partenaires et notre personnel. Grâce à des conversations avec des invités spécialistes dans leur domaine, nous offrons des informations sur le marché et un leadership éclairé pertinents pour vous, nos auditeurs et auditrices. Je m’appelle Jenn Beaudry et je suis cheffe des communications chez Zurich Canada, et votre animatrice. Alors que le mois d’octobre marque le mois de la sensibilisation à la cybersécurité, nous sommes ravis que Dan Elliot, directeur du service de conseil en matière de risques liés à la cybersécurité de Zurich Resilience Solutions Canada, se joigne à nous aujourd’hui pour une discussion stimulante sur la façon de transformer les cyberrisques en risques commerciaux. Avec plus d’une décennie d’expérience dans le secteur, Dan partage des approches pratiques et des stratégies de communication pour vous aider à atténuer vos cyberrisques et à minimiser leur impact. Il s’agit d’une conversation à ne pas manquer. Dan, merci de vous être joint à nous aujourd’hui. Avant de nous lancer dans la discussion, parlez-nous de votre parcours et des trois thèmes que vous allez aborder aujourd’hui.

Dan Elliot

Bien sûr, merci beaucoup de m’accueillir. Pour vous donner une idée de mon parcours, je travaille chez Zurich depuis un an. Avant cela, j’ai passé 15 à 20 ans dans la communauté du renseignement de sécurité au Canada, dont les six dernières années au sein du Service canadien de renseignement de sécurité. À l’époque, je m’occupais des menaces à grande échelle que j’étudie et dont je me préoccupe dans le secteur privé. Les trois éléments dont je me préoccupe le plus dans cet espace et que je trouve les plus intéressants à aborder, en tant que défis, sont la nature évolutive des menaces, la rapidité avec laquelle ces menaces évoluent, et la rapidité avec laquelle le jargon et les acronymes évoluent aussi, ce qui ajoute une certaine complexité à la situation. Ainsi, je constate que les spécialistes de la cybersécurité ont du mal à communiquer les données de base et tous ces éléments en évolution aux cadres non techniques et aux membres du conseil d’administration. Et quand je dis non technique, je veux dire non technique dans une perspective de cybersécurité, parce que l’une des erreurs que beaucoup d’entre nous commettent est de supposer que tous ces autres professionnels n’ont pas de capacités techniques, qui sont vraiment complexes. Enfin, la troisième chose à laquelle je consacre beaucoup de temps et qui est bien meilleure, c’est l’aspect remédiation : comment pouvons-nous nous améliorer ? Comment pouvons-nous communiquer ces idées plus clairement et travailler de manière plus collaborative ?

Jennifer Beaudry

Quels sont les principaux termes et concepts de cybersécurité que nous devons connaître pour combler l’écart entre les cyberrisques et les risques commerciaux ?

Dan Elliot

C’est un point de départ très difficile. Laissez-moi vous donner un peu de contexte. L’année dernière, une enquête à grande échelle a été menée auprès de cadres dirigeants d’Amérique du Nord (environ 1 500 ou 1 2000 cadres). Cette enquête a révélé que plus du tiers des personnes interrogées trouvaient, entre guillemets, que les termes de cybersécurité comme maliciel (malware), hameçonnage (phishing) et rançongiciel (ransomware) prêtaient à confusion. Lorsque je m’adresse à des cadres dans le domaine de la cybersécurité, il ne s’agit pas de termes techniques. Lorsque je m’adresse à des cadres non techniques, les avis sont partagés. Je pense donc que cela dépend vraiment de votre niveau de référence quant à la complexité ou au caractère technique des termes. Mais je dirais que la chose la plus importante à comprendre, et il s’agit de communiquer au sein de votre équipe et de votre entreprise, est la façon dont vous définissez le cyberrisque, parce que si vous ne pouvez pas définir ce type de risque, il sera très difficile de l’atténuer ou de bâtir un programme approprié.

Jennifer Beaudry

Dan, il y a beaucoup de terminologie et il existe certains termes pas nécessairement bien connus. Pour ceux qui découvrent le monde de la cybersécurité et qui ne sont pas familiers avec certains de ces termes, pouvez-vous nous donner un aperçu des termes et concepts clés de la cybersécurité ?

Dan Elliot

Merci de m’avoir rappelé de ne pas utiliser trop de jargon technique. Vous avez tout à fait raison. CISO pour « chief information security officer » ou responsable de la sécurité des systèmes d’information n’est pas encore un titre très connu dans le monde des affaires. J’espère qu’il le sera un jour. Idéalement, dans l’entreprise, il s’agit du membre de la haute direction responsable de la sécurité de l’information. Il n’a pas le même rôle que le CIO pour « chief information officer » ou responsable de l’information, qui est en responsable de toutes les mesures liées à l’information pour l’organisation, généralement pour la technologie de l’information et pour la sécurité, ce qui est légèrement différent. Les quelques autres termes que j’ai utilisés sont des exemples que je suis heureux de donner. Le phishing ou hameçonnage est un terme utilisé dans les médias aujourd’hui, mais il s’agit essentiellement du concept de quelqu’un qui envoie des messages, des courriels, en prétendant être quelqu’un de confiance pour vous ou votre entreprise, soit en vous demandant de divulguer des informations sécurisées, soit en vous demandant de cliquer sur quelque chose ou d’ouvrir quelque chose qui lui permettrait d’entrer dans le système de votre entreprise. Le ransomware ou logiciel rançonneur, qui est en train de devenir un terme bien connu pour de mauvaises raisons, est la notion de rétention de vos données ou d’accès à vos systèmes contre une rançon, en échange d’argent, de bitcoins, ou de toute autre chose qui se négocie de nos jours. L’idée sous-jacente est qu’ils utilisent souvent des logiciels malveillants, une application basée sur un code, qui peut être un virus ou un autre code malveillant intégré ou lancé dans votre réseau, dans votre système, qui leur permet soit de voler, d’exfiltrer des données et des informations, soit de chiffrer ou de corrompre des données dans votre système.

Jennifer Beaudry

C’est très intéressant. Nous commençons à comprendre la complexité des termes liés à la cybersécurité, car il existe historiquement une frontière linguistique entre la technologie de l’information et les dirigeants d’entreprise, pouvez-vous nous en dire plus sur cet obstacle à la communication ?

Dan Elliot

Bien sûr, je pense qu’il y a plusieurs choses qui conduisent à ce problème et à cette frontière perçue dans la communication. Je dirai tout d’abord que je pense qu’il existe une barrière, mais qu’elle est plus psychologique que réelle. Je n’ai pas de formation en psychologie, mais je commencerai par ces trois éléments majeurs qui, selon moi, sont à l’origine d’une grande partie du problème. Le premier est la dissonance cognitive, soit la notion selon laquelle les gens pensent que je ne le sais pas maintenant et que je ne pourrai donc jamais l’apprendre, que je ne le saurai jamais. Je commence très souvent des appels avec des responsables techniques et non techniques, et je constate qu’un responsable non technique dit : « Je vais laisser mon responsable de la sécurité des systèmes d’information », mon directeur informatique, ou quelqu’un d’autre, diriger cet appel, parce que je ne comprends rien à ce charabia, à ce jargon technique, quel que soit le langage qu’ils veulent utiliser pour le décrire. » Ils se donnent une raison de passer en arrière-plan, ce qui leur facilite la vie sur le moment, mais les empêche de s’améliorer et de mieux communiquer ces risques. La deuxième chose que je constate, ce sont les stéréotypes. On pense qu’il s’agit d’un problème informatique. La personne de l’informatique a tout compris, avec la personne de la cybersécurité, elles ont toutes les réponses. Et nous le stéréotypons comme un problème informatique très complexe dans lequel je n’ai aucun intérêt, je n’ai pas besoin d’aider à le résoudre, ce qui, encore une fois, fournit une solution rapide aujourd’hui, mais enlève la possibilité d’aider à résoudre le problème demain et à long terme. Et le dernier, je vais l’inverser, parce que tout n’est pas du côté des employés non techniques, est-ce qui est largement couvert par ce que l’on appelle le biais d’autorité. Il s’agit des spécialistes de la cybersécurité qui entrent dans cette boucle, où ils savent que s’ils sont les seuls à comprendre ces choses, s’ils sont les seuls à savoir comment les mettre en place, ils ne pourront jamais être remplacés. Je serai là aussi longtemps que la technologie restera en place.

Jennifer Beaudry

Pour faire suite à ce que nous avons appris jusqu’à présent, comment les personnes qui ne sont pas des spécialistes en informatique peuvent-elles apprendre à parler le langage de la cybersécurité ? Quelles sont les techniques qui permettent de combler le fossé de communication entre les spécialistes de l’informatique et les cadres supérieurs ou les conseils d’administration ?

Dan Elliot

C’est une excellente question. Et cela commence à se traduire par des options axées sur les solutions. La première chose qui me semble importante est de construire un lexique commun. Je veux dire par là qu’il faut commencer à examiner notre propre langage, en dehors des domaines professionnels de cybersécurité, et notre langage au sein des domaines professionnels de cybersécurité pour trouver des points communs et des domaines qui se chevauchent. Par exemple, quelque chose comme les SIEM — les systèmes de gestion des événements et des informations de sécurité, soit un tableau de bord utilisé par les spécialistes de la cybersécurité pour être en mesure de suivre toutes les informations qui arrivent. Les spécialistes du risque utilisent leur propre tableau de bord dans les systèmes RIMS. Ces éléments ont des objectifs communs, des utilisations communes, et nous pouvons établir des points

communs dans ce que nous faisons, afin de mieux comprendre le monde des autres. L’autre chose que je suggérerais, et je ne sais pas qui va commencer, mais quelqu’un doit le faire, offrir un café à l’autre partie, il n’est pas nécessaire que ce soit des réunions formelles au départ, organisez une réunion informelle entre vous, le gestionnaire de risques et vous, le responsable de la sécurité des systèmes d’information. Asseyez-vous et discutez, sur quoi travaillons nous en ce moment ? Quels sont les risques ou les préoccupations qui nous viennent à l’esprit ? Quels sont les défis que nous devons relever pour atténuer ou réduire ces risques ? Vous arriverez à un point où cela fera partie des réunions formelles où vous pourrez discuter des cyberrisques de manière formelle. Je pense que lorsque vous aurez atteint de stade, vous pourrez commencer à l’étendre. Mais cela doit commencer par une compréhension et du temps passé dans la même pièce. La dernière chose qui, selon moi, peut vraiment commencer aujourd’hui, pour améliorer cette situation, c’est une concordance des mesures. Lorsque je parle à de nombreux professionnels de la cybersécurité, ils sont confrontés au défi de viser zéro, ils vont se présenter devant un conseil d’administration et on attend presque d’eux qu’ils disent que nous n’avons eu aucune attaque réussie ce mois-ci, est-ce que je peux avoir plus d’argent pour que nous ayons zéro attaque le mois prochain ? Le conseil d’administration, le directeur ou la personne à qui ils rendent compte leur répondra que vous avez réussi ce mois-ci et que nous avons dépensé cette somme d’argent, pourquoi avez-vous besoin de plus d’argent, et il est très difficile de continuer à courir vers zéro tout en demandant plus. En outre, il est très difficile de définir un indicateur de réussite autour de zéro, alors que tous les autres domaines de l’entreprise sont axés sur la croissance, l’avancement, l’expansion. Par conséquent, tant que nous ne nous concentrerons pas sur l’alignement des mesures du programme cyber sur le reste de l’organisation, ou du moins sur les domaines pertinents de l’organisation dans les unités commerciales, il sera très difficile de les faire coïncider.

Jennifer Beaudry

Dan, vous avez mentionné tout à l’heure ce mythe ou ce défi selon lequel les gestionnaires de risques ou les spécialistes non techniques ne peuvent pas pleinement comprendre la cybersécurité. Pourquoi pensez-vous que ce mythe existe ?

Dan Elliot

Je pense qu’il s’agit d’une prophétie qui se réalise d’elle-même. Lorsque j’entre dans une salle où se trouvent des spécialistes du risque, je les interroge sur leur propre langage technique. Je l’ai fait plusieurs fois cette année pendant des conférences que j’ai données, où j’ai demandé si les professionnels du risque pensaient avoir un jargon technique et un langage technique, et plus de la moitié de la salle pensait que ce n’était pas le cas. Je les ai interrogés sur des termes comme la tolérance au risque, l’appétit pour le risque, la capacité de risque, et je leur ai demandé s’ils pensaient qu’il s’agissait de concepts techniques. Là encore, ils n’ont pas répondu par l’affirmative, mais j’ai été dans des salles avec des responsables de la sécurité des systèmes d’information qui ne comprenaient pas ce que ces concepts signifiaient et qui ne pouvaient pas les différencier. Nous nous retrouvons donc dans une situation où nous pensons que notre langage est simple et normalisé et que le langage de l’autre groupe est technique et compliqué. Nous avons créé un genre de structure où je ne sais pas aujourd’hui, je connais vraiment mon propre langage, mon propre rôle, ma propre description de poste… quelqu’un d’autre connaît ces choses, il est donc très facile pour moi de m’exclure de ces conversations. Je dirais que nous devons arriver à un point, et nous pouvons très rapidement essayer de comprendre ce dont l’autre partie parle et, encore une fois, cela passe par la construction d’un langage commun. Et ce que je préfère, c’est l’utilisation d’analogies. Si vous trouvez un moyen de

décrire un concept technique dans une analogie que tout le monde peut comprendre, ce sera très facile et le public et la personne à qui vous vous adressez pourront l’assimiler.

Jennifer Beaudry

Ainsi, en mettant ces renseignements en pratique, comment pouvons-nous renforcer la confiance par le biais d’un dialogue et d’un engagement compréhensifs ?

Dan Elliot

Il faudra de la pratique et il n’y a pas de raccourci pour y parvenir. Je pense qu’à très court terme, cela peut se faire par le biais d’exercices, en réunissant dans une salle une vingtaine de personnes de l’équipe du responsable de la sécurité des systèmes d’information et du reste de la direction du service de cybersécurité et d’informatique, des membres de la direction de la gestion du risque, des finances, des ressources humaines, des communications, tout le monde s’assoit et discute de ce que nous ferions dans le pire des cas. Cet exercice montre très rapidement aux personnes qui pensent qu’elles ne sont pas techniques et qu’elles n’ont peut-être pas de rôle à jouer dans un problème ou une violation de cybersécurité, à quel point elles sont essentielles et à quel point leur rôle est important dans ce type d’incidents. Et je pense que cela commencera à renforcer la compréhension de la gestion et de la mise en œuvre de ces incidents. La prochaine chose qui me semble vraiment utile, c’est envisager des comités multidisciplinaires. Tout le monde aide les comités. Donc, si vous prenez votre responsable de la sécurité des systèmes d’information, des responsables d’unités commerciales d’autres secteurs de l’entreprise, et que vous vous organisez ensemble, une fois que vous avez eu ces conversations ad hoc et que vous avez commencé à vous rencontrer de manière informelle, puis formelle, vous arrivez dans une situation où vous parlez des risques, et vous parlez de la cybersécurité ensemble de façon régulière. Une fois que vous vous sentez à l’aise, encore et encore, cela devient normal et vous renforcez l’engagement. Lorsque j’ai commencé à le faire, nous avons d’abord organisé ces comités en très petits groupes, de six à huit personnes, parce que nous pensions qu’il était utile d’avoir ces personnes dans la salle pour ces discussions. Les personnes que nous excluions étaient celles qui se trouvent à l’échelon inférieur de ces décideurs. Lorsque nous avons commencé à les inclure dans ces conversations, nous avons créé deux choses : premièrement, nous avons créé une réserve, parce que ce qui arrive inévitablement pendant un incident réel, c’est que quelqu’un est malade, que quelqu’un est en vacances ou que c’est un dimanche ou un jour férié et personne ne répond au téléphone. Il faut donc des personnes supplémentaires pour savoir ce qui se passe. La deuxième chose que cela crée est un groupe de champions de la cybersécurité engagés, parce que dans chaque unité commerciale, puis dans chaque secteur de l’organisation, il y a quelqu’un qui a dû assister à un comité, ou à une version fictive d’une très mauvaise journée. Cette personne commence à comprendre comment son rôle s’inscrit dans ce contexte et comment il peut affecter l’avenir de l’entreprise : sa viabilité, sa résilience, sa capacité à se relever. Je pense que c’est en développant cet aspect, en le faisant encore et encore et en commençant à augmenter le nombre de personnes impliquées dans ces conversations, que l’on peut réellement renforcer l’engagement et la compréhension dans des domaines de l’entreprise que l’on n’aurait peut-être pas pensé être très engagés.

Jennifer Beaudry

En conclusion de la discussion d’aujourd’hui, quel est votre principal appel à l’action ?

Dan Elliot

La collaboration est essentielle. Et si vous n’en retirez rien d’autre, partez en ayant compris que si nous continuons à travailler en silos, nous continuerons à rencontre des problèmes lorsque des événements réels se produiront et qu’il faudra mettre la main à la pâte. Les incidents de cybersécurité, les atteintes à la sécurité, les incidents criminels, quel que soit le nom qu’on leur donne, requièrent la participation de tous parce qu’ils sont complexes et qu’ils impliquent tous les secteurs de l’entreprise. Inévitablement, dans les pires jours, quelqu’un va envoyer un gazouillis : « Je n’ai pas besoin d’aller au bureau aujourd’hui, parce que nos ordinateurs sont en pas ». C’est possible de l’éviter. Quelqu’un devra rédiger une note pour le chef de la direction ou la personne qui s’adresse aux médias, quelqu’un devra s’en occuper s’il s’agit d’une violation interne, et les RH sont la personne qui tient la barre à cet égard. Ce sont toutes ces personnes, en dehors des équipes de la technologie de l’information et de la cybersécurité, qui ont un rôle très important à jouer pendant les mauvais jours. Et plus nous sommes tous engagés dans des discussions précoces, mieux nous pouvons collaborer, lorsqu’il y a le feu et que tous les ordinateurs ont cessé de fonctionner. Je pense donc qu’il est important de se réunir tout de suite, de commencer de manière informelle, puis de mettre en place des processus formels afin de garantir que la collaboration fonctionne bien les mauvais jours. Et je dirais qu’une chose que beaucoup de gens ne font pas, malheureusement, c’est de mesurer formellement, car si vous ne le mesurez pas, vous ne pouvez pas le gérer. Si vous ne savez pas où en est votre programme de cybersécurité aujourd’hui, comment allez-vous pouvoir le gérer, l’améliorer et le faire évoluer au fil du temps ? Si le responsable de la cybersécurité, quel que soit son titre, sait ce qui se passe, mais que le reste de l’entreprise ne put pas comprendre cette évaluation de la maturité, alors vous aller rencontrer des problèmes lorsque vous allez essayer de travailler en semble pour l’améliorer, la financer ou la faire croître. La collaboration et l’évaluation sont donc les deux principaux moyens de construire un meilleur programme et de le faire croître sans avoir à courir à la dernière minute pour résoudre les problèmes.

Jennifer Beaudry

Dan, merci beaucoup de vous être joint à nous aujourd’hui. Ce fut une conversation très intéressante et instructive à l’occasion du Mois de la sensibilisation à la cybersécurité. Un dernier mot ?

Dan Elliot

Merci beaucoup de m’avoir invité. Cette conversation a été très intéressante. Je sais que j’aime vraiment faire cela, tout comme l’ensemble de mon équipe au niveau mondial. Zurich Resilience Solutions (ZRS) compte 15 à 20 personnes dans le monde entier, qui sont des experts dans ce domaine très vaste et qui viennent d’horizons très différents. Et nous serions heureux d’avoir des conversations avec quiconque cherche de l’aide ou des idées sur la façon de croître et d’améliorer ses propres programmes.

Jennifer Beaudry

Dan, merci encore de vous être joint à nous aujourd’hui.

Dan Elliot

Merci de m’avoir invité. J’ai beaucoup aimé cette conversation.

Jennifer Beaudry

En conclusion de la discussion d’aujourd’hui, Dan. Je vous remercie d’avoir partagé ces idées précieuses sur les menaces de cybersécurité et leur impact sur les risques d’entreprise sans utiliser tout ce jargon technique. Nous espérons que ceux qui nous ont écoutés aujourd’hui seront encouragés à favoriser les relations de collaboration avec leur organisation et à établir un langage commun pour réduire les cyberrisques. Nous serions ravis d’entendre vos idées, vos commentaires ou vos réactions. N’hésitez donc pas à nous envoyer un courriel à tout moment à l’adresse urich.communications.canada@zurich.com. Votre contribution est très appréciée et nous sommes impatients de créer un contenu plus pertinent pour vous à l’avenir. Merci et à bientôt.

Avis de non-responsabilité

Les informations contenues dans cet enregistrement audio ont été compilées à partir de sources jugées fiables à des fins d’information générale et sont destinées aux clients et partenaires commerciaux de Zurich. Les informations contenues dans cet enregistrement peuvent vous être utiles, à vous ou à votre entreprise, lors de l’élaboration de vos propres politiques et procédures. Les politiques et procédures applicables à votre entreprise doivent tenir compte des circonstances spécifiques de votre entreprise et de votre environnement commercial, ce qui dépasse la capacité de ce balado. Toutes les informations fournies ne sont pas destinées à constituer des conseils de quelque nature que ce soit, et en particulier des conseils juridiques, et vous devez donc consulter votre propre conseiller juridique. Nous ne garantissons pas l’exactitude des informations présentées ni les résultats obtenus et n’assumons aucune responsabilité en rapport avec cet enregistrement et les informations qui y sont fournies. En outre, Zurich vous rappelle que les informations fournies ne peuvent pas être considérées comme contenant toutes les procédures de sécurité et de conformité acceptables ou que des procédures supplémentaires pourraient ne pas être appropriées dans les circonstances. Le sujet de cet enregistrement n’est lié à aucun produit d’assurance spécifique et l’adoption de ces politiques et procédures ne garantit pas la couverture d’une police d’assurance. Nous encourageons les auditeurs et auditrices à rechercher des informations complémentaires auprès de sources crédibles. Merci.