Indy Dharmi, associée de KPMG, explique par où commencer en matière de cyberrésilience
Le passage de l'InfoSec traditionnel à la cyberrésilience n'est pas simplement une évolution, c'est une révolution.
L'objectif actuel de la cybersécurité est passé de la simple protection des actifs à la garantie de la continuité des activités face à des menaces constantes et sophistiquées. Cet état d'esprit de résilience aide les entreprises non seulement à se défendre contre les cybermenaces, mais aussi à rebondir rapidement et à s'adapter aux nouveaux défis.
Dans notre dernier épisode du podcast The Segment : A Zero Trust Leadership, j'ai rencontré Indy Dharmi, associée chez KPMG UK. Nous avons décrit l'évolution du secteur au cours des vingt dernières années, expliqué pourquoi la cyberrésilience est plus importante que jamais et comment obtenir l'adhésion des entreprises à vos initiatives de sécurité Zero Trust.
À propos d'Indy Dharmi, associée chez KPMG UK
Avec plus de deux décennies d'expérience dans le secteur de la cybersécurité, Indy apporte une vaste expérience à son rôle d'associé chez KPMG UK. Il a commencé à gérer l'informatique pour un cabinet d'architectes au début des années 2000, où il a développé un intérêt pour la cybersécurité.
La carrière d'Indy a pris un tournant lorsqu'il a contribué à la création d'un système mondial certifié de gestion de la sécurité de l'information. Il a approfondi son expertise et a dirigé des projets de transformation de la sécurité à grande échelle en Europe et au-delà. Avant de rejoindre KPMG, Indy a travaillé pour une société financée par le gouvernement singapourien qui investissait dans des cyberentreprises.
Chez KPMG, Indy est une leader de la transformation numérique qui met en œuvre des stratégies innovantes pour protéger divers secteurs contre les menaces émergentes. Passionné par le mentorat et le coaching de carrière, il inspire un changement culturel positif grâce à un leadership authentique.
Résoudre le problème de sensibilisation à la cybersécurité grâce à la résilience
Quand Indy a débuté dans le domaine de la cybersécurité, il se souvient de l'absence d'urgence face aux cyberattaques et de leur potentiel de se transformer en brèches catastrophiques.
À un moment donné, il a organisé un exercice de simulation de crise avec la direction de son entreprise, qui ne pensait pas qu'une attaque pouvait se produire contre leur organisation. « Ce genre de choses n'était souvent jamais envisagé », explique Indy.
Malgré tout, il pense que la prévalence croissante des cyberattaques dans les médias donne souvent l'impression qu'elles sont routinières, ce qui éclipse leur véritable impact.
« Les choses ne sont pas suffisamment signalées », a déclaré Indy. « Le grand public n'a donc toujours pas compris pourquoi la cybersécurité est si importante. »
Ce manque de sensibilisation du public rend la nécessité de la cyberrésilience plus importante que jamais. La perception que le public a aujourd'hui des violations et des outils traditionnels que nous avons utilisés pour les prévenir ou les détecter ne suffit pas. S'il est impossible de stopper toutes les violations, les entreprises doivent être prêtes de manière proactive à arrêter les violations lorsqu'elles se produisent.
Par où commencer en matière de cyberrésilience : appétit pour le risque et tolérance au risque
C'est pourquoi la cyberrésilience est si importante. « À l'heure actuelle, vous pouvez être témoin de cyberattaques une, deux ou trois fois dans les journaux », a-t-il déclaré. « Elle est de plus en plus répandue et les gens posent des questions de plus en plus difficiles à ce sujet aux responsables de la sécurité. »
Le passage de la sécurité de l'information traditionnelle à la cyberrésilience est en train de changer la donne. Il ne s'agit plus seulement de résoudre des problèmes, mais de maintenir les opérations en cas de crise.
« La résilience, pas seulement la cyber-résilience, mais aussi la résilience opérationnelle, dépend de la façon dont je peux continuer à fonctionner même lorsque toutes ces choses inattendues se produisent », a déclaré Indy.
Cela souligne le besoin urgent d'infrastructures capables de résister aux perturbations causées par les cyberattaques. Les cyberincidents devenant de plus en plus fréquents, les responsables de la sécurité sont incités à développer des stratégies de résilience robustes.
Alors, par où peuvent commencer les organisations ? UNE Stratégie Zero Trust est l'un des meilleurs moyens de travailler à la cyberrésilience. Zero Trust est une stratégie validée à l'échelle mondiale, basée sur le mantra « ne jamais faire confiance, toujours vérifier ». Il aide les organisations à se préparer de manière proactive aux violations, grâce à la segmentation du réseau, également appelée Segmentation Zero Trust (ZTS), à la base.
Lorsque vous développez Zero Trust, Indy vous recommande de vous poser les deux questions suivantes :
- Quelle est votre propension au risque en matière de cybersécurité ?
- Quels sont les points de données qui vous permettent de déterminer si vous vous situez à l'intérieur ou à l'extérieur de ce niveau de tolérance ?
D'après l'expérience d'Indy, cela aide les chefs d'entreprise à mieux comprendre ce qui compte le plus pour leur entreprise, ce qu'ils doivent protéger en premier lieu et les types d'informations et d'outils dont ils auront besoin pour y parvenir.
Traiter la cybersécurité comme un sport d'équipe
Indy a également souligné la manière dont les mandats et directives gouvernementaux en matière de cybersécurité peuvent également aider les organisations des secteurs public et privé à atteindre leurs objectifs de résilience.
Les directives fédérales américaines telles que Modèle de maturité Zero Trust (ZTMM) de la CISA ou de l'UE Mandats DORA et NIS2 proposent des conseils étape par étape et les meilleures pratiques aux organisations de toutes tailles et de tous secteurs.
L'une des principales exigences qu'Indy voit dans ces documents est la visibilité en temps réel et de bout en bout des flux de trafic du réseau et des charges de travail.
« Vous devez commencer par bien comprendre comment les éléments de votre environnement interagissent », a-t-il expliqué. « Mais également, comment tous vos fournisseurs et vos dépendances en amont et en aval interagissent-ils au niveau des systèmes ? » Grâce à ces informations, les équipes seront en mesure de comprendre l'exposition de leur réseau, puis de mettre en place les contrôles de sécurité appropriés.
Cette analyse approfondie de l'infrastructure de votre réseau implique la participation des équipes de l'ensemble de l'organisation. Pour Indy, une navigation réussie passe par la transformation de la sécurité en un « sport d'équipe ». L'adoption d'une approche collaborative favorise la résilience et aligne les initiatives de cybersécurité sur les objectifs de l'entreprise.
Comment associer Zero Trust aux objectifs de l'entreprise
Du point de vue d'Indy, une stratégie Zero Trust peut aider les responsables de la sécurité à mieux expliquer comment la cybersécurité s'aligne sur les objectifs commerciaux.
« Il s'agit de planter le décor, de le cadrer correctement et de le faire résonner auprès des dirigeants du conseil d'administration », explique Indy.
Zero Trust est un cadre utile pour obtenir l'adhésion des internautes, car il permet de sortir la sécurité du domaine des contrôles techniques.
Indy recommande aux responsables de la sécurité d'adopter cette approche lorsqu'ils défendent les initiatives et les besoins de leur équipe :
- Commencez toujours par les objectifs de votre entreprise : « Choisissez votre stratégie commerciale, consultez le rapport annuel, comprenez ce que l'entreprise essaie de faire, puis superposez-la à vos plans de sécurité. »
- Utilisez les principes Zero Trust comme outil stratégique : « Expliquez comment Zero Trust peut soutenir [l'entreprise] en utilisant ses piliers stratégiques. »
- Conservez la technologie pour la fin : « Ensuite, vous pouvez commencer à examiner les contrôles technologiques nécessaires pour répondre à chacun de ces points. »
« Il s'agit de le décomposer de manière consommable », explique Indy.
Écoutez, abonnez-vous et révisez le podcast The Segment : A Zero Trust
Vous voulez en savoir plus ? Écoutez l'épisode complet avec Indy sur notre site, Podcasts Apple, Spotify, ou partout où vous pouvez accéder à vos podcasts. Vous pouvez également lire la transcription complète de l'épisode.
Nous reviendrons bientôt avec plus d'informations sur Zero Trust !