.png)
Qu'attendez-vous ? Retarder la modernisation de la cybernétique vous met en danger
La carrière de Tony Scott s'étend sur certains des environnements technologiques les plus importants au monde - il a occupé des postes de DSI chez Disney, Microsoft, VMware et, en dernier lieu, au sein du gouvernement fédéral des États-Unis sous la présidence de M. Obama.
Peu de dirigeants ont vu autant de systèmes hérités se heurter aux réalités cybernétiques modernes.
Lors de notre conversation sur The Segment : A Zero Trust Leadership Podcast, l'actuel PDG d'Intrusion, Tony, a partagé un message que tous les DSI et RSSI doivent entendre : la transformation n'est pas optionnelle, et attendre une brèche ou une défaillance de l'infrastructure pour forcer le changement est une stratégie perdue d'avance.
"C'est comme remettre à plus tard le remplacement d'un toit", a-t-il déclaré. "Plus vous attendez, plus cela coûte cher.
Tony est convaincu que les cyberdirigeants doivent voir venir, reconnaître ce qui est cassé et agir maintenant avant qu'une crise ne prenne la décision à leur place.
Voici ce que les dirigeants d'aujourd'hui peuvent apprendre de l'approche de Tony en matière de modernisation, de résilience et de leadership en cybersécurité axé sur les personnes.
La transformation commence par une honnêteté radicale
Chaque système, chaque pièce de matériel et chaque décision architecturale a une durée de vie limitée. Tony est convaincu que trop d'organisations s'appuient encore sur des structures et des infrastructures obsolètes.
"Rien ne doit rester à jamais sans être examiné ou géré", a-t-il déclaré.
D'après l'expérience de Tony, les DSI doivent être impitoyables en matière d'inventaire.
- Qu'est-ce qui est encore utile ?
- Qu'est-ce qui est dépassé ?
- Qu'est-ce qu'un passif ?
L'habitude de reporter les mises à niveau - "nous nous en occuperons au prochain trimestre, à la prochaine année, à la prochaine administration" - est le garant de la crise. La violation de l'Office of Personnel Management (OPM) des États-Unis en 2015 a été l'un de ces moments.
Tony a hérité d'un environnement informatique où l'hygiène cybernétique de base avait été négligée pendant plus d'une décennie. L'adoption du MFA se situe à 50%, les correctifs sont incohérents et les contrôles d'accès privilégiés sont dispersés.
Il a agi rapidement.
En un peu plus de deux mois, l'équipe de Tony a mené un "sprint de cybersécurité" fédéral qui a permis de porter l'adoption de l'AMF à plus de 90%, de réduire les privilèges élevés de deux tiers et de ramener les vulnérabilités non corrigées de centaines de milliers à quelques centaines seulement.
Le changement n'a pas porté sur de nouveaux outils. La transformation a été possible grâce à l'engagement décisif des dirigeants de l'équipe et à l'urgence de la situation.
La cyber-réalité d'aujourd'hui ne laisse aucune place à l'autosatisfaction
Tony a vu la cybersécurité des deux côtés - en tant que DSI dans les secteurs privé et public, et maintenant en tant que PDG d'une entreprise de cybersécurité.
Son verdict ? Les anciennes méthodes de cybersécurité ne fonctionnent plus.
Pendant des décennies, le pare-feu a défini le périmètre du réseau. Cette époque est révolue. L'informatique en nuage, le travail à distance, les risques liés aux tiers et la connectivité permanente ont fait exploser le modèle périmétrique.
"Les attaquants peuvent désormais facilement franchir les pare-feu et autres cybertechnologies mis en place par les entreprises", a-t-il déclaré.
La cybersécurité exige désormais une connaissance permanente et une visibilité totale de la manière dont les systèmes, les utilisateurs et les données interagissent dans l'ensemble de l'entreprise.
Tony compare cela à un diagnostic médical : "Si vous voulez vraiment savoir ce qui se passe dans votre corps, vérifiez votre sang. Il en va de même pour votre réseau. Vous devez comprendre comment tout communique pour voir les risques réels.
L'IA pourrait être la perturbation qui force le changement si les dirigeants la laissent faire
Tony considère l'IA comme une solution potentielle, mais c'est une arme à double tranchant. L'IA est un puissant moteur d'efficacité, mais aussi un signal d'alarme pour les systèmes obsolètes et les équipes cloisonnées.
Trop souvent, c'est la structure organisationnelle qui dicte la technologie, et non l'inverse. Les unités opérationnelles exploitent leurs propres piles technologiques, ce qui multiplie les écarts de visibilité et les frictions.
Mais l'IA pourrait enfin changer la donne. Tony pense que cela nous donne une réelle opportunité d'unifier les processus et de briser les silos, à condition que les dirigeants soient prêts à réimaginer la façon dont leurs organisations travaillent.
"Nous pourrions, pour la première fois, avoir la capacité d'utiliser la technologie pour effacer ou annuler certaines des frictions qui se produisent souvent dans toute structure d'entreprise", a-t-il déclaré.
Pour ce faire, les dirigeants doivent savoir clairement où ils se trouvent, où ils vont et comment y parvenir.
"Tout commence par la sensibilité au contexte", a déclaré Tony. "Il est difficile d'aller quelque part si l'on ne sait pas où l'on est ni où l'on veut aller.
La résilience, c'est plus que la guérison
La cyber-résilience est une priorité du conseil d'administration. Mais Tony affirme que de nombreuses organisations ne comprennent pas ce que signifie réellement la résilience.
Il ne s'agit pas seulement de plans de reprise après sinistre ou de sauvegarde. Il s'agit de concevoir des systèmes qui restent opérationnels même en cas de problème.
Il rappelle que les récentes pannes majeures, notamment les interruptions des services d'informatique dématérialisée, les fermetures d'usines et les attaques d'infrastructures critiques, montrent à quel point notre infrastructure numérique est encore fragile.
Pour Tony, la résilience consiste à supposer qu'un échec se produira et à s'assurer qu'il n'entraînera pas toute l'entreprise dans sa chute.
Les personnes font toujours la différence
Malgré toutes les évolutions technologiques qu'il a connues au cours de sa carrière, la principale leçon que Tony en a tirée n'a pas changé : la cybersécurité reste une affaire de personnes.
"Les problèmes difficiles attirent les gens qui veulent les résoudre", a-t-il déclaré. "Et la cybersécurité est pleine de problèmes difficiles à résoudre.
Selon lui, les meilleurs dirigeants savent comment attirer et responsabiliser les bonnes équipes. D'autant plus qu'avec l'évolution du paysage des menaces, cette clarté et cette confiance dans les personnes deviennent votre plus grande force.
Modernisez maintenant avant qu'il ne soit trop tard
Tony a vu de ses propres yeux ce qui se passe lorsque les organisations retardent la modernisation et la rapidité avec laquelle les choses peuvent changer lorsqu'elles cessent d'attendre la permission d'agir.
Les enjeux sont plus importants que jamais. Les RSSI disposent d'un délai de plus en plus court pour remédier à ce qui est obsolète, renforcer la résilience au cœur de leur organisation et diriger avec clarté avant que les circonstances ne fassent le choix à leur place.
N'attendez pas qu'une brèche se produise pour valider vos priorités. Ne laissez pas une crise définir votre leadership.
Agissez maintenant pendant que vous avez encore la possibilité de diriger selon vos propres conditions.
Écoutez l'épisode complet de The Segment : Un podcast sur le leadership sans confiance sur Apple Podcasts, Spotifyou notre site web.
