Vous avez subi une attaque ?
|
Assistance
|
Contactez-nous
|
+1 855 426 3983
Blog
/
Cyber-résilience

Des mots qui marchent : Neil Robinson, RSSI de Virgin Money, parle de la sécurité au pouvoir

Raghu Nandakumara
Vice-président, stratégie industrielle
Illumio Editorial
Mai 6, 2026
23 min. lire

Il y a quelques semaines, une bombe est tombée dans le monde de la sécurité.  

Claude Mythos, le modèle d'IA frontière d'Anthropic, a montré qu'il pouvait enchaîner de manière autonome une séquence d'attaque en 32 étapes. Il s'agit du type de mouvement latéral sophistiqué à pivots multiples qui nécessitait auparavant des attaquants humains d'élite travaillant pendant des jours.  

En quelques heures, les groupes WhatsApp des RSSI se sont enflammés. En l'espace de quelques jours, des membres du conseil d'administration et des cadres supérieurs qui n'avaient jamais posé de questions sur la cybersécurité ont soudain appelé leur RSSI.  

Pour beaucoup de responsables de la sécurité que je connais, ce moment a été à la fois une validation et une pression.

J'ai eu l'occasion d'examiner cette dynamique avec Neil Robinson, RSSI chez Virgin Money, lors d'un récent épisode du podcast The Segment . Après trois ans d'un renforcement de la sécurité de 52 millions de livres sterling chez Virgin, il a profondément réfléchi à ce qu'il faut faire pour transformer les conversations sur la sécurité en actions organisationnelles.  

Maîtrise de la sécurité : parler le langage de votre public

Au début de notre conversation, Neil a décrit le rôle du RSSI comme étant, à bien des égards, celui d'un "conteur en chef". Puis - parce que Neil n'est rien si ce n'est pas honnête - il est immédiatement revenu sur son propre cadrage.

"C'est vrai et c'est également faux", a-t-il déclaré.

Ce qu'il voulait dire, c'est que l'étiquette "storytelling" peut donner l'impression d'une pirouette ou d'un emballage. Mais la véritable compétence consiste à traduire les risques hautement techniques qui évoluent rapidement en un langage qui résonne réellement avec votre interlocuteur, qu'il s'agisse d'un client, d'un directeur des opérations ou d'un ingénieur à qui l'on demande de donner la priorité aux correctifs plutôt qu'à l'expédition.

Par exemple :

  • Avec un client, il peut s'agir d'une conversation sur la mise à jour du logiciel de son téléphone.  
  • Dans le cas d'un directeur des opérations, ce sont les services commerciaux qui sont en danger.  
  • Lorsqu'une équipe d'ingénieurs est poussée à livrer plus rapidement, il s'agit de l'impératif moral de protéger les personnes dont les données sont sous leur responsabilité.  

Il s'agit de la même réalité en matière de sécurité, mais à travers le prisme de trois conversations complètement différentes.

Cette discipline de la priorité au public est un point sur lequel de nombreux programmes de sécurité se trompent. Les équipes de sécurité ont tendance à se contenter d'un cadrage technique, tel que les scores CVE, le MTTR ou les mesures de la surface d'attaque, alors que les personnes qui doivent agir sur les informations de sécurité pensent en termes d'impact sur les clients, de continuité opérationnelle ou de pression concurrentielle.  

C'est entre ces deux langues que les programmes de sécurité perdent leur élan.

Quand un cycle d'actualité devient l'ouverture parfaite d'une conversation sur la sécurité

La manchette sur l'IA qui a lancé notre conversation est en fait une étude de cas utile sur la façon dont les événements externes peuvent modifier la dynamique de la communication interne pour les RSSI.

Neil a fait une observation judicieuse : si l'annonce a suscité autant d'attention, c'est en partie à cause de la personne qui l'a faite.  

Anthropic, une entreprise d'IA très médiatisée, a créé un événement qui a touché les cadres et les membres du conseil d'administration qui ne suivent généralement pas de près la cybersécurité.  

Soudain, la conversation que les responsables de la sécurité tentent d'avoir depuis des années sur le fonctionnement à la vitesse des machines et le rythme du paysage des menaces a eu un public qui s'est penché sur la question plutôt que de l'ignorer.

"Beaucoup de membres de conseils d'administration et de dirigeants parlent de l'annonce de l'Anthropic", a déclaré M. Neil. "La capacité à réagir à la vitesse de la machine est un thème que nous suivons dans le domaine de la cybersécurité depuis au moins l'année dernière. Je pense que l'annonce contribue à cette conversation".

Pour les responsables de la sécurité, la leçon à tirer n'est pas de suivre les cycles de l'actualité, mais de reconnaître que les événements extérieurs créent périodiquement des fenêtres où l'appétit pour une conversation sérieuse sur la sécurité au niveau de la direction s'accroît. Les RSSI qui sont préparés avec un discours clair et simple sur leur posture de sécurité, leur profil de risque et leurs priorités d'investissement sont ceux qui font de réels progrès lorsque ces fenêtres s'ouvrent.

Neil a pris soin de formuler cela sans triomphalisme. Oui, c'est un moment d'attention accrue. Mais elle fait également intervenir des parties prenantes qui abordent le sujet à partir de points de départ très différents et à des rythmes différents.  

"Nous devons nous engager sérieusement auprès des personnes qui sont peut-être restées en dehors de la bulle et qui n'ont pas suivi et observé les changements en cours", a-t-il déclaré. "Nous devons respecter le fait que les gens viennent de différents endroits et à différents moments.

Cette patience qui consiste à rencontrer les gens là où ils sont plutôt que là où vous souhaiteriez qu'ils soient est une compétence pratique dont les RSSI ont besoin dans leur panoplie d'outils.  

Relier les travaux d'infrastructure aux résultats pour les clients

L'un des défis les plus persistants des grands programmes de sécurité est la distance qui sépare le travail technique effectué au niveau de l'infrastructure et les résultats pour les clients auxquels l'organisation s'intéresse réellement.  

L'application d'un correctif sur un périphérique réseau, la segmentation d'un VLAN, la mise à jour d'un agent de point d'extrémité - rien de tout cela n'est lié au fait qu'un client puisse effectuer un paiement en toute sécurité ou qu'il ait confiance dans la protection de ses données.

Neil a bien réfléchi à la manière de combler ce fossé au sein de Virgin Money, et son approche est simple. Tout est lié au client.

"Notre travail consiste à assurer la sécurité des clients de la banque, de leurs données et de leurs paiements", m'a-t-il dit. "Tout ce que nous faisons est au service de cet objectif.

Cela semble évident lorsque vous le dites à haute voix. Mais maintenir cette orientation de manière cohérente au sein d'une équipe de sécurité de 150 personnes qui s'occupent de tout, de la gestion des vulnérabilités à la sécurité des applications en passant par les contrôles de réseau, exige un effort délibéré.  

Plus important encore, il faut des dirigeants capables d'expliquer pourquoi les choses ennuyeuses ont de l'importance. Pourquoi l'application de correctifs à un système d'exploitation ancien permet de protéger les économies d'un client. Pourquoi un projet de segmentation du réseau limite le rayon d'action d'une attaque par ransomware. Pourquoi les heures consacrées aux contrôles de conformité permettent d'éviter un événement réglementaire qui ébranlerait la confiance des clients.

Ceci est particulièrement important pour les programmes de confiance zéro, où une grande partie du travail est invisible pour les utilisateurs finaux et éloignée de tout résultat en rapport avec le client.  

Les équipes qui élaborent des politiques de microsegmentation ou qui appliquent l'accès au moindre privilège ne font pas la une des journaux. Le fait de rendre explicite, à plusieurs reprises, le lien entre ce travail d'infrastructure et la mission principale de l'organisation fait partie de la manière dont les responsables de la sécurité maintiennent le financement et la priorité des programmes.

Le problème des correctifs : pourquoi le jugement humain reste important

Nous avons consacré une bonne partie de notre conversation à un sujet qui peut sembler banal, mais qui est en fait l'un des tests de résistance les plus révélateurs de tout programme de sécurité : la gestion des correctifs.

La raison pour laquelle les correctifs sont si difficiles à appliquer dans les grandes entreprises est que la décision de déployer ou non un correctif n'est presque jamais simple. Le processus se déroule souvent de la manière suivante :

  • Vous devez savoir ce qui fonctionne sur l'actif.  
  • Vous devez savoir qui en est le propriétaire.  
  • Vous devez savoir quelles applications en dépendent et si elles ont été testées avec la mise à jour.  
  • Vous avez besoin d'une fenêtre de changement.  
  • Vous avez besoin d'un approbateur.  
  • Vous devez avoir la preuve que le correctif fonctionne réellement dans votre environnement avant de l'appliquer à la production.

Chacune de ces étapes implique des décisions qui concernent plusieurs équipes, et les conséquences d'une erreur dans l'une d'entre elles peuvent être graves.

Neil a décrit un avenir d'IA agentique dans lequel une grande partie de ce travail procédural est automatisé. Les agents d'IA seront capables de parcourir les bases de données de gestion de la configuration, de corréler les propriétaires d'actifs, de faire remonter le contexte pertinent à un approbateur humain et de réduire considérablement le temps qui s'écoule entre la divulgation d'un CVE et l'application d'une mesure corrective.  

Il a vu des startups prototyper exactement ce type de flux de travail, en particulier pour les environnements en nuage.

Mais la raison pour laquelle nous n'en sommes pas encore là, a-t-il été clair, est la gouvernance. Le déploiement d'agents d'IA autonomes dans des flux de travail opérationnels critiques nécessite un niveau de contrôle de l'identité, d'observabilité et d'infrastructure de responsabilité que la plupart des organisations n'ont pas encore mis en place.  

"Nous sommes naturellement très prudents lorsqu'il s'agit d'autoriser des modèles d'IA à fonctionner de manière autonome", a-t-il déclaré. "Vous devez disposer de garde-fous, et beaucoup de ces éléments d'infrastructure sont également bien réglementés et observés.

Le défi de la communication pour les responsables de la sécurité est en fait le même que le défi plus général. Comment expliquer à un conseil d'administration ou à un comité budgétaire pourquoi l'investissement dans une infrastructure de gouvernance pour les agents d'intelligence artificielle est une priorité en matière de sécurité, alors que le gain est abstrait et le coût réel ?  

Vous racontez ce qui se passe si vous ne le faites pas. Cela signifie que vous obtenez un agent autonome avec un accès surprivilégié opérant sans piste d'audit dans une architecture de sécurité qui n'a jamais été conçue pour prendre en compte les identités non humaines.

Une bonne et honnête narration : ce que les meilleurs responsables de la sécurité ont toujours su

Il y a un fil conducteur dans tout ce qu'a dit Neil qui, je pense, est au cœur de ce qui fait que les programmes de sécurité réussissent ou échouent à grande échelle.  

La technologie n'est presque jamais le facteur limitant. Il s'agit de savoir si les personnes responsables de la sécurité peuvent communiquer de manière suffisamment claire, cohérente et dans le bon langage pour le bon public, afin de modifier les comportements au sein d'une organisation complexe.

Il s'agit d'expliquer à un directeur de l'exploitation ce que signifie réellement l'expression "services commerciaux importants" en termes de risque opérationnel. Mais cela signifie aussi qu'il faut être honnête au sujet de l'incertitude.  

Neil a été franc sur ce que nous ne savons pas encore sur les dernières capacités de l'IA, comme l'économie du déploiement de ces modèles à l'échelle criminelle, la quantité de bruit qu'ils génèrent, ou la rapidité avec laquelle les équivalents en code source ouvert atteindront la parité.  

Une bonne narration sur la sécurité communique l'éventail des risques, reconnaît l'inconnu et concentre l'action sur les éléments que vous pouvez contrôler.

"Je pense qu'en fin de compte, nous arriverons à un monde meilleur où les modèles d'IA déploieront eux-mêmes un code sécurisé", a déclaré M. Neil. "Espérons que j'ai raison."

Cette combinaison d'incertitude honnête quant à l'avenir, d'optimisme quant à la trajectoire et de concentration claire sur ce qu'il faut faire maintenant est exactement le type de récit qui fait bouger les organisations.  

C'est ce que les meilleurs responsables de la sécurité ont toujours fait, et c'est plus précieux aujourd'hui que jamais.

Écoutez l'épisode complet de The Segment : Un podcast sur le leadership sans confiance sur Apple Podcasts, Spotifyou notre site web.

Raghu Nandakumara
Vice-président, stratégie industrielle
Illumio Editorial
Mai 6, 2026
23 min. lire
Cyber-résilience
Contactez-nous
Partager

Articles connexes

Aucun élément n'a été trouvé.
Opérationnaliser la confiance zéro - Étape 6 : Valider, mettre en œuvre et contrôler
Cyber-résilience

Opérationnaliser la confiance zéro - Étape 6 : Valider, mettre en œuvre et contrôler

Découvrez une étape importante du parcours de votre organisation vers la confiance zéro : Valider, mettre en œuvre et contrôler.

En savoir plus
Aucun élément n'a été trouvé.
Quelle est la base de la cyber-résilience ?
Cyber-résilience

Quelle est la base de la cyber-résilience ?

Découvrez comment une stratégie de confiance zéro, fondée sur la microsegmentation, peut renforcer la résilience des organisations pendant et après un cyberincident.

En savoir plus
Cyber-résilience
Le manuel du RSSI : Pourquoi la défense contre l'IA commence par le contexte, pas par le battage médiatique
Cyber-résilience

Le manuel du RSSI : Pourquoi la défense contre l'IA commence par le contexte, pas par le battage médiatique

Découvrez comment les responsables de la sécurité peuvent construire des défenses renforcées par l'IA en sécurisant les données, les modèles et les flux de travail - et pourquoi le contexte est essentiel pour garder une longueur d'avance.

En savoir plus
Cyber-résilience

Découvrez Illumio Insights dès aujourd'hui

Découvrez comment l'observabilité alimentée par l'IA vous aide à détecter, comprendre et contenir les menaces plus rapidement.