.png)
Le secteur de la cybercriminalité : ce qu'un ancien directeur adjoint du FBI souhaite que chaque CISO sache
La cybercriminalité n'est pas seulement une menace technique, c'est une activité mondiale florissante. Et peu de gens comprennent mieux l'évolution de cette activité que Brian Boetig.
Avec plus de 35 ans d'expérience dans le domaine de la sécurité nationale et de la sécurité publique, il a été directeur adjoint du FBI, diplomate américain, agent de liaison de la CIA et associé dans un cabinet de conseil international. Il est aujourd'hui conseiller principal chez Global Trace, qui aide les organisations à renforcer leur cyberrésilience.
Dans cet épisode de Le segment, Brian s'est joint à moi pour expliquer comment son expérience dans les domaines de l'application de la loi et du renseignement façonne son approche de la cybersécurité aujourd'hui et pourquoi les acteurs de la menace gagnent là où les entreprises sont à la traîne.
Du braquage de magasin au ransomware en tant que service
Brian a enquêté sur tout, des enlèvements à l'étranger aux extorsion numérique à la maison.
Qu'est-ce qui les relie ? La recherche de l'effet de levier.
« Nous avons traité les enlèvements contre rançon de la même manière que nous abordons ransomware aujourd'hui », a déclaré Brian. « Vous savez qui l'a fait, vous savez comment ils fonctionnent et vous savez comment négocier. C'est un modèle commercial, et ils le gèrent mieux que certaines entreprises légitimes. »
Selon lui, l'économie de la cybercriminalité penche en faveur des attaquants.
« Si vous cambriolez un magasin en personne pour 50 dollars, toute une équipe d'intervention de la police se présente », a-t-il déclaré. « Mais voler 500 000$ en ligne ? Dans la plupart des juridictions, les forces de l'ordre ne sauront pas quoi en faire. »
La cybercriminalité est évolutive, sans frontières et souvent invisible. Selon Brian, tant que les défenseurs n'adopteront pas une approche similaire axée sur les affaires, ils resteront en avance.
Si vous cambriolez un magasin en personne pour 50$, toute une équipe d'intervention policière se présente. Mais voler 500 000$ en ligne ? Dans la plupart des juridictions, les forces de l'ordre ne sauront pas quoi en faire.
Pourquoi interdire les paiements de rançons n'est pas la solution
Peu de sujets suscitent plus de débats que la question de savoir si les organisations devraient être autorisées à payer des rançons. Brian a vu les deux côtés, qu'il ait travaillé au FBI ou qu'il ait consulté des PDG lors d'une brèche.
« Il n'y a pas de réponse générale », a-t-il dit. « Certaines entreprises cesseront d'exister si elles ne payent pas. »
Il s'est souvenu d'un cabinet d'avocats dont l'historique complet des clients avait été bloqué. Sans paiement, leur entreprise et leur réputation auraient été détruites.
Bannissement paiements de rançon Cela peut sembler un moyen de dissuasion, mais Brian pense que cela risque de victimiser deux fois les organisations : « Vous supprimez l'un des rares outils qui leur restent pour survivre ».
Il suggère plutôt une stratégie plus nuancée :
- Désinciter les paiements grâce à la préparation
- Établissez une hygiène générale en matière de cybersécurité, y compris les sauvegardes
- Mettre en œuvre des modèles d'assurance intelligents
- Réduire la législation qui simplifie à l'excès les réalités commerciales complexes
Plutôt que des interdictions générales, les organisations ont besoin d'une approche plus intelligente, qui équilibre la résilience, les risques et les réalités auxquelles les dirigeants sont confrontés à la suite d'une attaque.
La cyberassurance n'est pas un filet de sécurité
Alors que de plus en plus d'entreprises se tournent vers assurance cybernétique pour votre tranquillité d'esprit, Brian vous propose de vous confronter à la réalité.
« Ce n'est pas une solution. Cela ressemble souvent plus à une négociation », a-t-il dit. « Parfois, la première chose que fait l'assureur est de chercher une raison. pas pour payer. »
Il l'a comparée à une assurance automobile. Oui, vous êtes couvert... sauf si vous avez oublié un détail dans les petits caractères. Il en résulte de la confusion en période de crise, des conditions de couverture peu claires et un retard de reprise.
« La plupart des politiques ne font que vous aider à vous reconnecter », prévient Brian. « Ils ne couvriront pas le rétablissement de la confiance, l'atteinte à la réputation ou la résilience future. »
Il conseille aux RSSI de savoir exactement ce que couvre votre police et quelles sont vos lacunes en matière de couverture. Ne considérez jamais l'assurance comme un substitut à de solides défenses et ne faites pas confiance aux compagnies d'assurance pour qu'elles agissent dans votre meilleur intérêt après une attaque.
Le cyberrisque est un risque commercial
Trop souvent, le cyberrisque est encore traité comme un problème informatique. Brian voit cela comme une erreur dangereuse.
« Si la haute direction ne croit pas en la cybersécurité, elle ne sera pas financée, priorisée ou mise en pratique », a-t-il déclaré.
Il se souvient d'une époque où les PDG ne savaient pas qui étaient leurs responsables informatiques. « Aujourd'hui, les conseils d'administration commencent enfin à comprendre que la cybersécurité n'est pas une question de pare-feux, mais de maintenir l'entreprise en vie. »
Ce changement, selon lui, est dû en partie aux pressions réglementaires, mais il reflète également la prise de conscience croissante que la résilience constitue un avantage concurrentiel.
Brian n'a pas tardé à souligner que le fait d'être victime d'une violation ne signifie pas un échec. En fait, les meilleurs responsables de la sécurité pensent que cela se produira.
« J'avais l'habitude de dire aux PDG : « C'est normal d'être victime d'une cyberattaque. Ce n'est pas normal de ne pas s'y préparer », a-t-il dit.
Cet état d'esprit est au cœur de Confiance zéro qui suppose un compromis et met l'accent sur la réduction des conséquences d'une violation.
« La préparation ne se limite pas à des sauvegardes et à des politiques », a souligné Brian. « C'est culturel. Chaque membre de l'organisation doit connaître son rôle en cas de problème. »
J'avais l'habitude de dire aux PDG : « C'est normal d'être victime d'une cyberattaque. Ce n'est pas normal de ne pas s'y préparer. »
Combler le fossé entre le risque et la réalité
Les histoires de Brian mettent en lumière une vérité fondamentale. La cybersécurité ne consiste pas à éviter les risques, mais à les gérer.
Les organisations les plus résilientes considèrent la sécurité comme une fonction commerciale, adoptent une planification proactive et investissent dans le confinement, et pas seulement dans la prévention.
Ou, comme l'a dit Brian : « On n'attend pas qu'un incendie se déclare pour acheter un extincteur. Vous planifiez, vous vous entraînez et vous vous assurez que tout le monde sait où il se trouve. »
Vous voulez en savoir plus ? Écoutez l'épisode complet de cette semaine de Le segment : un podcast sur le leadership Zero Trust sur Podcasts Apple, Spotify, ou partout où vous pouvez accéder à vos podcasts. Vous pouvez également lire le transcription complète.
.webp)
.webp)
