Nouvelle étude : étude sur le coût mondial des rançongiciels. Découvrez ce que les breaches vous coûtent.
Télécharger le rapport

Vous avez été victime d'une Breach ?

|
Nous contacter
|
+1 855 426 3983
A logo with accompanying text "Listen on Spotify"A logo with accompanying text "Listen on Apple Podcasts"
Dans les coulisses du FBI
Season Three
· Episode
5

Dans les coulisses du FBI

Dans un monde où la cybercriminalité est une activité commerciale et où les secrets de sécurité nationale sont souvent cachés à la vue de tous, cet épisode dévoile l'intersection saisissante entre l'espionnage et la cybersécurité.

Transcription

Raghu Nandakumara 0:12

Bonjour à tous. Bienvenue donc dans un nouvel épisode de The Segment. Cette fois-ci, je suis très heureuse de parler à Brian Boetig. Brian a aujourd'hui une carrière bien remplie : 35 ans d'expérience en matière de sécurité nationale, de sécurité publique et de conseil, notamment en tant que directeur adjoint du FBI, diplomate américain, officier de liaison de la CIA, officier de police d'État, municipal et universitaire, et partenaire d'un cabinet de conseil commercial international. Il est actuellement conseiller principal chez Global Trace, une société de conseil sur mesure. Cela fait donc beaucoup d'acronymes à trois lettres auxquels il a participé, et je suis vraiment impatiente de voir quelles histoires il est en mesure de partager avec nous aujourd'hui. Brian, bienvenue sur The Segment.

Brian Boetig 1:01

Eh bien, merci beaucoup de m'avoir invité. L'invitation était très agréable, et j'ai hâte de partager certaines des histoires qui ont été racontées à de nombreuses reprises, et d'autres qui n'ont peut-être pas été racontées ou qui n'étaient pas aussi pertinentes qu'il y a des années, et qui pourraient se trouver dans l'environnement actuel.

Raghu Nandakumara 1:16

Fantastique. Nous ne pouvons pas attendre. C'est intéressant, juste au moment où nous sommes en train d'enregistrer ceci, Brian, je suis en quelque sorte accro à un podcast en particulier que j'ai découvert récemment, « The Rest is Classified », qui est animé par, je crois, un ancien agent des services secrets britanniques et, je crois, un ancien agent de la CIA américaine, non ? C'est fantastique. Et juste, un peu comme ils discutent de divers aspects de l'espionnage et d'une mission bien réelle. Donc, j'ai trouvé ça très intéressant. Donc, en fait, disons, partagez avec nous, que vous aimez probablement une histoire que vous pouvez partager à partir de votre expérience. Pourquoi ne pas commencer par là pour voir comment cela vous a façonné ?

Brian Boetig 1:52

Eh bien, je vais vous raconter l'une des histoires les plus étranges que j'ai racontées une fois quand j'étais à Washington. C'était en fait avant le 11 septembre avec Robert Hanssen. Et Robert Hanssen était l'espion du FBI qui vient de mourir en prison, mais qui a été reconnu coupable et envoyé en prison à vie, mais il transmettait des informations aux Russes. Et l'histoire n'ira probablement pas là où vous le pensez, mais ma femme et moi étions à Washington pour promener notre teckel. C'était avant que nous n'ayons des enfants, et un monsieur est venu me voir, et il avait aussi un teckel. Il voulait élever ce teckel. Ma femme a donc eu une conversation avec lui alors que j'ai en quelque sorte ignoré toute la conversation. Et puis elle m'a parlé de cette conversation : j'étais assise dans le parc pendant qu'elle marchait, et je n'y ai rien pensé avant de rentrer chez moi. Et encore une fois, c'est tôt, nous sommes en 2000, juste après l'arrestation de Robert Hans. Mais avant le 11 septembre, je suis rentré chez moi et j'ai reçu trois appels sur ma boîte d'identification de l'appelant depuis la Fédération de Russie, qui était essentiellement l'ambassade de Russie. Il s'avère que le type au teckel était un Russe qui travaillait à l'ambassade. Tout ce que je pouvais penser, c'est qu'à l'époque de Robert Hans, les gens étaient surveillés de plus en plus, et maintenant je suis mêlée à cet événement avec les Russes, qu'ils considèrent maintenant comme ma maison. Je suis en train de trouver de quel type. J'ai donc dû y retourner et le signaler au FBI. Et c'était vraiment drôle, parce que j'ai suivi leurs conseils et ils m'ont demandé, vous savez, ce que j'étais censé faire. Et ils ont dit : « Continuons comme ça ». Le week-end suivant, je me suis retrouvée à promener mon chien devant l'ambassade de Russie, vous savez, dans les deux sens. Et je n'arrêtais pas de me dire que tout le monde regarde ça, que ce soit les Russes, les agences d'espionnage américaines, quelqu'un, quelqu'un doit me protéger. Et c'est juste que cela s'est avéré être l'une des situations les plus délicates. Il est ensuite arrivé et nous sommes retournés au parc, et les chiens ne se sont pas vraiment engagés comme nous le voulions. Il y a peut-être eu une barrière linguistique, je ne sais pas ce que c'était, mais c'était juste le moment de tout. Et vous savez, bon nombre de vos auditeurs se souviennent probablement de la boîte d'identification de l'appelant et du simple fait d'être revenus et de les voir à une époque où l'on surveillait de plus en plus la situation des Russes, ce qui ne s'est pas arrêté, vous savez, quand j'étais en poste à Londres, nous avons eu une attaque aux agents neurotoxiques avec Novichok. C'était en 2018 et, vous savez, si vous considérez aujourd'hui la guerre entre la Russie et l'Ukraine, où elle se situe, et en quelque sorte l'engagement des États-Unis à ce sujet récemment. C'est juste que c'est drôle comme le jeu d'espionnage ne s'arrête jamais. Et cela peut vous frapper à tout moment où vous vous y attendez le moins.

Raghu Nandakumara 16 h 30

Absolument ! Oh, ça. C'est génial. Qu'est-ce que tout ce type d'engagement russo-américain ? Oh, rien. Nos chiens veulent juste se reproduire. C'est tout. Ce n'est qu'un élevage de chiens.

Brian Boetig 4:38

Le plus dur, c'est que je ne pouvais pas vraiment, je ne pouvais pas dire à ma femme ce que nous faisions non plus, alors elle l'avait fait, elle avait des projets pour le week-end prochain, mais nous avions déjà pris des dispositions pour y retourner. Mais je me sentais vraiment mal à l'aise de faire des allers-retours devant l'ambassade de Russie à Washington, de promener ce chien, en me disant qu'à un moment donné, j'allais le chercher et le jeter par-dessus le portail, vous savez, et j'allais courir dedans et faire quelque chose. Mais juste un jeu d'espionnage, c'est qu'il vous emmène dans des rebondissements très étranges auxquels vous ne vous attendriez jamais. Et vous savez, beaucoup de ces émissions de télévision que vous regardez et que vous trouvez assez irréalistes, je les regarde parfois, et peut-être que certains de leurs éléments dramatiques ne sont pas réalistes, mais rien n'est trop petit pour finir par devenir une sorte d'engagement ou d'activité de contre-espionnage.

Raghu Nandakumara 5:26

C'est génial ! OK, Brian, je vais dire pour l'instant que c'est de loin la meilleure introduction que l'un de nos invités nous ait donnée, pas seulement pour ce qui sera la troisième saison du podcast, mais aussi probablement la meilleure histoire. Alors, à tous nos anciens invités, quel que soit le défi que je vous lance, de venir partager une expérience plus amusante et plus folle que cela.

Brian Boetig 5:53

Il suffit d'acheter un teckel et vous vous retrouverez dans de telles situations ridicules.

Raghu Nandakumara 5:59

C'est joli, je veux dire, pour en revenir au podcast dont je parlais, et en fait, il est basé sur l'épisode en cours que j'écoute est basé sur le livre. Je suis sûr que vous avez lu The Billion Dollar Spy. Et juste la description des différents appareils d'espionnage qu'ils essaient d'utiliser pour d'abord interagir avec l'actif, puis échanger des informations. La créativité est incroyable, non ? On dirait des jeux auxquels jouent les enfants, non ? Afin d'échanger des informations dans l'un des théâtres les plus tendus, je suppose, ou à cette époque, dans les années 80 du monde.

Brian Boetig 6:33

Oui, le processus de recrutement de l'équipe est très, très créatif, et vous passerez des semaines et des mois, parfois à jouer des rôles, à engager et à discuter d'une interaction dont vous êtes simplement heureuse, vous espérez juste une rencontre fortuite dans un endroit qui durera moins de cinq secondes, mais parfois vous consacrez, vous savez, cinq ou six mois de travail juste pour vous assurer que cette rencontre fortuite dans une épicerie ou dans la circulation soit un succès. La quantité de créativité, mais aussi le travail logistique que cela implique, sont incroyables.

Raghu Nandakumara 7:13

Absolument Donc, je veux dire, parce que, particulièrement, quand on le voit dans les films et encore une fois, ce que nous avons consommé et ce que nous avons consommé dans les médias et dans les livres, une grande partie de l'espionnage ressemble en fait à toutes ces sortes de contacts psychologiques et physiques, etc. Comment ça se passe alors alors que le monde est de plus en plus cybernétique, non ? Et les appareils d'espionnage entrent dans le cyberespace, comment cela va-t-il changer ? Quelle est l'évolution de l'espionnage pour suivre le rythme du cybermonde ?

Brian Boetig 7:44

Ce qui est intéressant, c'est qu'il y a toujours un élément très comportemental. Même dans le domaine de la cybersécurité et au FBI, il existe un groupe que tout le monde connaît après avoir regardé Criminal Minds pendant des décennies, le Behavioral Analysis Unit, et il existe un groupe spécialisé dans le cyberespace. Parce que même lorsque des personnes produisent des malwares et d'autres types de code, il y a une signature dedans. C'est, vous savez, la façon dont les gens aiment une main, tout comme lorsqu'ils posent une question, analysent l'écriture d'un document, il y a une signature dans le code. Et différents rédacteurs de code insèrent leur nom là-dedans, quelque part ou quelque chose qui les identifie, ou ils ne le font pas, mais ils ne le font pas par publicité, mais ils le mettent là inconsciemment, leur façon de l'écrire, la façon dont vous écrivez la lettre A sur un document écrit, vous savez, de la même manière que quelqu'un l'écrirait dans du code pour identifier qui ils sont. La lecture de code et de scripts écrits comporte donc un élément d'analyse comportementale, c'est-à-dire qu'il s'agit d'un domaine en pleine croissance qui est tout simplement incroyable.

Raghu Nandakumara 8:55

Je suppose que cela existe également, comme d'autres comportements, et qu'il y a, comme vous le dites, ce genre de signatures, ces signes révélateurs que les attaquants laissent ou aident à les identifier. Mais aussi, comment avez-vous remarqué l'évolution des tactiques ou des comportements des cyberattaquants au fil des ans ?

Brian Boetig 9:13

Un modèle commercial a vraiment été créé à partir de la cybercriminalité. Quand je repense à l'origine, une grande partie du travail que nous faisions lors des premières cyberattaques n'était que des dégradations de sites Web, ce qui semble aujourd'hui si insignifiant et facile à assimiler en tant qu'entreprise, mais c'est vraiment devenu un modèle commercial. Je travaille, vous savez, sur les rançongiciels depuis 10 ans, à la fois, vous savez, au FBI puis en tant que consultant, et vous devez vous rendre compte que ce sont toujours des êtres humains qui dirigent une entreprise. Et c'est pareil. Ma première mission, quand je suis entrée au FBI, j'ai fait partie de l'escouade extraterritoriale, qui était chargée de la juridiction extraterritoriale des membres du FBI. Parfois, pensez-y. C'est extraterrestre, mais c'est extraterritorial. Donc, en dehors des États-Unis, où nous sommes compétents, donc dans les pays où des personnes sont assassinées ou enlevées, et le FBI a compétence pour enquêter là-dessus maintenant, nous avons fait de nombreux enlèvements, vous savez, contre rançon, beaucoup d'entre eux, vous savez, en Afrique, où vous saviez quel groupe enlèverait quelqu'un, et vous saviez exactement ce qu'il voulait. Vous savez, ils demanderaient 10 millions et vous saviez que vous pouviez vous contenter de cinq et que vous pourriez récupérer des gens, vous savez, sains et saufs, et ce n'est pas parce que vous aviez des renseignements au sein de ce groupe que vous le feriez à plusieurs reprises aux touristes américains. De la même manière que ce qui se passe avec les rançongiciels de nos jours, un ransomware se produit. Vous entrez, vous vous rendez compte, d'accord, c'est n'importe quel groupe. Et vous savez, d'accord, j'ai parlé à tous mes homologues du FBI ou des autres cabinets de conseil pour comprendre celui-ci. C'est exactement comme ça qu'ils vont fonctionner. Dans les 24 heures, ils enverront l'e-mail de suivi. Ils vont le menacer. Ils vont demander 10 millions. Voici ce que les autres payent lorsqu'ils payent. C'est ce qui se passe. Vous savez, soit elles sont terminées et claires, aussi claires que possible dans le cas d'un ransomware, soit vous allez passer au secondaire, vous savez, remarquez que maintenant, vous savez, nous avons déverrouillé vos ordinateurs. Mais maintenant, si vous voulez détruire vos données, vous comprenez le cycle. C'est donc vraiment une entreprise, et la cybercriminalité est devenue un modèle commercial. Vous regardez, vous regardez ce que la Corée du Nord, je veux dire, la Corée du Nord collecte des fonds grâce à une cybercriminalité mineure de faible intensité, et c'est ainsi qu'elle finance son pays à ce stade. Donc, je pense vraiment à la cybercriminalité, en tant qu'entreprise, même dans certains cas de harcèlement ou, vous savez, lorsque des ex publient, vous savez, des photos sales de leurs photos privées de leurs ex, vous savez, et des trucs comme ça. C'est, c'est de la vengeance, c'est de la vengeance. Mais il y a aussi un certain niveau d'activité là-dedans. Ils essaient de tirer quelque chose de cette personne, que ce soit pour la frustrer davantage ou, vous savez, pour lui faire payer de l'argent. Vous devez donc vraiment le considérer comme un modèle commercial, et c'est la meilleure façon de le contrer.

Raghu Nandakumara 12:04

C'est vraiment intéressant, non ? Parce que je pense que vous êtes alors en mesure de presque reproduire, ou du moins du côté de la défense, de reproduire ce modèle commercial, et d'identifier où il est le mieux placé, pour essentiellement ruiner l'entreprise, n'est-ce pas, ou entraver qui entrave cette activité, par exemple, où placez-vous dans cette chaîne, en quelque sorte, mettez-vous votre attention afin de les empêcher d'être productifs ? Est-ce ainsi que vous l'abordez ?

Brian Boetig 12:29

Oui, et si vous y réfléchissez d'un point de vue commercial selon lequel être un criminel est un criminel, c'est tellement plus sûr. Si vous deviez entrer par effraction, je prends cet exemple assez souvent, si vous deviez entrer par effraction dans un magasin de proximité, vous savez, au Royaume-Uni, dans une épicerie lors d'un test, si vous avez volé de l'argent à Tesco au Royaume-Uni, ou à 711 chez nous. Vous êtes entré par effraction et soit vous avez cambriolé le greffier, soit quand il n'était pas là, vous êtes entré dans le coffre-fort et vous avez volé 50 dollars, vous avez fait venir une armée de policiers, parce que c'est très confortable pour la police, et ils prennent les empreintes digitales, ils interrogent, ils sortent des vidéos. Mais si ce même Tesco, ce même 711 faisaient voler un demi-million de dollars, vous savez, en matière de cybercriminalité, vous savez, d'un point de vue cybernétique, par effraction et vol, vous pourriez appeler la police, et dans la plupart des juridictions, la police lèvera la main en disant : « Je ne sais pas quoi faire ». C'est, c'est ce que nous faisons. Donc, si c'est le cas, bien sûr, nous n'essayons pas de donner des conseils aux criminels, mais vous êtes beaucoup plus susceptible de vous faire prendre dans le monde physique que dans le cybermonde. C'est un travail à domicile. Vous pouvez le faire depuis votre ordinateur. Le défi est donc que vous victimisez des personnes dans le cybermonde, qui est une zone géographique. Dans le monde physique, vous devez aller quelque part et faire quelque chose, pour que votre groupe de victimes devienne le monde entier, et pas simplement la ville dans laquelle vous vivez, sinon vous n'avez pas à vous déplacer pour vous rendre quelque part. C'est pourquoi vous voyez des organisations intelligentes qui faisaient traditionnellement partie de gangs de motards illégaux, puis vous les avez vues se lancer dans la cybercriminalité. Vous savez, ils continuent à se livrer à beaucoup de drogue et à commettre de la violence, mais ils font aussi de la cybercriminalité parce que c'est sûr et que cela rapporte de l'argent. C'est donc un monde intéressant à découvrir. Mais je considère toujours la cybercriminalité d'abord comme une activité commerciale, car elle est plus facile à comprendre, puis j'essaie de distinguer les différents aspects de cette activité de cette façon.

Raghu Nandakumara 14:21

Oui, je suis d'accord, et j'aime bien la façon dont vous faites l'analogie ou la façon dont vous dites que la cybercriminalité est le travail à domicile par excellence, n'est-ce pas ? Vous pouvez être très, très loin de ce qui va générer vos profits, je suppose, très à l'abri de cela, mais en quelque sorte continuer, continuer à les ramener à la maison tous les jours, n'est-ce pas ?

Brian Boetig 14:40

J'étais une université, une ville et un État, vous savez, officier de police, avant de rejoindre le FBI, et vous vous concentrez vraiment sur votre juridiction. Donc, quand vous avez quelqu'un qui est pareil, vous savez, au Royaume-Uni, le Royaume-Uni est un peu meilleur avec seulement 43 agences et un peu plus de coordination, mais vous avez 17 000 agences chargées de l'application de la loi aux États-Unis. Et. Et ils s'inquiètent des objets qui saignent et, vous savez, des objets volés physiquement dans les maisons des gens. Et une fois qu'il passe d'une ville à un autre État, cela épuiserait simplement les ressources d'un service de police pour pouvoir le faire. Il y a donc juste ce côté sombre de la cybercriminalité qui n'est pas appliqué. Et même pour les crimes les plus graves, ils n'atteignent parfois pas le seuil de poursuites au niveau fédéral. Donc, si vous avez volé les analogies pour donner, si vous trouviez, vous savez, 100 livres de marijuana à la frontière américaine, peut-être dans le Montana ou l'Idaho, c'est une grosse affaire. Vous savez, si vous êtes la patrouille frontalière et que vous trouvez 100 livres de marijuana sur quelqu'un à la frontière sud, c'est comme un avertissement, du genre : « Hé, les gars, versez ça. Débarrasse-toi de ça. » Vous savez, il n'y a que chaque district fédéral où le crime est commis, et la valeur monétaire qui y est associée motive en quelque sorte les poursuites. Donc, vous savez, vous n'allez pas à New York, dans le district sud de New York, vous n'allez probablement pas poursuivre les criminels en col blanc pour 50 000 à 100 000 dollars. Ils ont probablement un seuil d'un million de dollars avant même d'ouvrir une affaire, qui alors, si vous savez où cela se situe, c'est là que vous pouvez opérer et vraiment obtenir du travail en toute impunité pour la plupart.

Raghu Nandakumara 16:18

Oui, j'ai beaucoup aimé la façon dont tu l'exprimes, non ? Lorsque vous opérez d'une manière ou d'une autre, lorsque vous ciblez quelque chose qui ne provient pas de cette juridiction, vous n'échappez presque pas aux forces de l'ordre, mais le coût des forces de l'ordre pour y remédier augmente tellement, ce qui signifie que vous pouvez presque faire les choses à plusieurs reprises jusqu'à ce que le point de basculement soit atteint.

Brian Boetig 16:43

Vous le voyez physiquement en Californie, en Californie, où l'on a élevé la barre en ce qui concerne les raisons pour lesquelles vous avez été arrêté, pour vol à l'étalage, vous savez, cela coûtait environ 950 dollars ou tout le reste en dessous n'était qu'une contravention, vous savez. Le vol à l'étalage a donc explosé parce que tout le monde disait : « Eh bien, nous pouvons le faire. Ils ne vont rien faire à ce sujet. » Nous sommes donc dans le domaine de la cybercriminalité. Il n'y a pas assez de personnes qui font des choses à ce sujet.

Raghu Nandakumara 17:03

Alors, pensez-vous que c'est si juste à ce sujet, n'est-ce pas ? On nous pose souvent des questions sur ce sujet, j'ai l'impression que c'est presque tous les mois, qu'il y a un autre article ou qu'un journaliste dit : Oh, c'est vrai. Comme, d'accord, les rançongiciels, les organisations devraient-elles payer ou refuser de payer, n'est-ce pas, et devraient-elles se voir infliger une amende si elles paient ? Mais devrions-nous mettre en place une loi interdisant de payer un rançongiciel ? Une rançon doit être payée, non ? Où vous asseyez-vous là-dessus ?

Brian Boetig 17:33

Quand j'étais au FBI, je ne pouvais pas y siéger, et je n'étais pas autorisé à le dire pendant que nous travaillions sur les affaires. Je n'étais pas autorisée à donner ces conseils à une entreprise ou à une organisation, elle devait prendre cette décision elle-même. Ensuite, je suis passée à des activités de conseil en cybersécurité, et je me suis retrouvée dans cette position pendant un certain temps, et j'ai pu m'asseoir à écouter les PDG et les directeurs financiers prendre ces décisions. Cela dépend vraiment d'une personne à l'autre. Je ne pense pas qu'on puisse donner une couverture parce que nous étions en train de traiter une affaire dans laquelle un cabinet d'avocats avait été victime d'un rançongiciel et, s'il n'avait pas payé, il n'existerait plus. Hein ? Exactement, leurs informations exclusives, les informations sur leurs clients avocats ont été volées, ce qui a porté atteinte à leur réputation. En plus de ne pas avoir accès à leurs informations, ils ne pouvaient tout simplement pas, d'un point de vue commercial, exister sans cette aide, et la seule façon pour eux de les récupérer était de payer la rançon. Il y en a d'autres qui ont fait un meilleur travail en matière de sauvegardes et non. L'une des pires choses qu'une entreprise puisse faire est de simplement stocker des données dont elle sait qu'elle n'a plus besoin et de les conserver. Parce qu'à l'époque, lorsque vous êtes victime d'une intrusion ou d'un ransomware, vous disposez de décennies de données que vous êtes chargé d'informer des millions de clients que vous ne connaissez pas. Vos anciens clients ne sont même pas vos clients, nulle part. Vous n'avez plus rien à voir avec eux, mais maintenant ils sont victimes d'un crime parce que vous ne vous en êtes pas débarrassé, mais vous avez des entreprises qui y sont très bien préparées. Ils s'en sortent bien en matière de gouvernance des données, en les nettoyant, puis s'ils sont victimes d'un rançongiciel, ils ont la capacité de se rétablir et de se reconstruire eux-mêmes et de perdre peut-être l'équivalent d'une journée de travail, au lieu de plusieurs mois. Je me suis donc assis et j'ai vu les deux côtés. Je ne dirais jamais que tu ne paieras jamais la rançon. Et même pour en revenir à cet exemple d'Américains kidnappés, vous savez, pour lesquels je travaillais, parfois contre rançon. Vous savez, des rançons ont été payées parce que vous pouviez les ramener à 5 000 dollars, disons, encore une fois, 5 000 dollars, nous ne pouvions toujours pas donner de conseils à ce sujet. En tant que fonctionnaire du gouvernement, les gens devaient prendre leurs décisions individuelles à ce sujet, mais c'était parfois la meilleure façon de résoudre un incident.

Raghu Nandakumara 19:47

Donc, je suppose que la dernière chose à ce sujet en particulier, c'est que, après cette discussion sur une sorte d'interdiction de paiement des rançongiciels entrant en vigueur, je pense que ce n'est probablement pas productif comme les gens le pensent, parce qu'ils pensent que cela va décourager les criminels. Mais en fait, je pense qu'il sera plus difficile pour les organisations d'adopter une position nuancée et de faire ce qui est dans leur meilleur intérêt.

Brian Boetig 20:13

Cela va supprimer un outil majeur de la table, et si c'est surprenant. En consultant, j'ai découvert que beaucoup de personnes ne veulent pas engager les forces de l'ordre lorsqu'elles sont victimes d'un rançongiciel. Donc, même ceux que je voyais au FBI, je les connaissais. Mais il y en a tellement que je travaillais là où les forces de l'ordre n'étaient pas impliquées, que l'entreprise a pris la décision stratégique de se débrouiller seule. Donc, en retirant ce paiement, vous pourriez potentiellement infliger une double victimisation à une personne qui a été victime d'une victime, qui a pris une décision commerciale, et maintenant, tout à coup, c'est elle qui sera à nouveau pénalisée. Cela permet donc de vraiment retirer un outil commercial de la table. Vous pourriez le décourager. Et il existe des moyens de le faire en vous assurant, vous savez, que la cyberassurance est en quelque sorte un Far West sauvage en termes de paiements, de qui paie, de comment ils paient, de ce que vous avez fait avant qu'ils ne payent. Donc, vous savez, vous pourriez décourager les paiements de certaines manières. Mais je ne sais pas si c'est fait, tu sais. Et encore une fois, si votre enfant a été kidnappé et qu'il était détenu par, vous savez, l'EIIS, alors que vous n'êtes pas censés le faire en tant qu'Américains, nous ne sommes pas censés donner d'argent à l'EIIS, vous savez, si le moyen de récupérer mon enfant était un paiement, et même si je fournirais alors un soutien matériel à une organisation terroriste, je récupérerai mon enfant, vous savez. Je ne pense donc pas que le fait de supprimer les options améliorera les choses pour les entreprises.

Raghu Nandakumara 21:43

Oui, non, je suis d'accord, non ? Et je pense qu'il doit y avoir cette flexibilité pour permettre aux organisations de prendre la décision la plus prudente possible. Sinon, je suppose qu'ils n'ont pas l'arsenal ou les options disponibles pour bien réfléchir, n'est-ce pas ? Et c'est le cas, et ils adoptent peut-être une approche sous-optimale. Vous avez abordé, évoqué la cyberassurance. Et vous avez beaucoup parlé d'assurance et vous avez en quelque sorte fait que c'est une zone grise, n'est-ce pas, en tant que fournisseur de cybersécurité, non ? C'est toujours intéressant d'avoir ces conversations autour de la question de savoir si un contrôle est en place ? Est-ce que cela fait baisser la cyberassurance ? De combien ? Quelle est l'obligation de l'assureur dans divers scénarios, paiements, etc. ? Alors, quel est votre point de vue sur la cyberassurance en général, sur le marché actuel, si elle présente un avantage pour les organisations, si elle fournit le bon type de couverture ? C'est un sujet tellement vaste. Qu'en penses-tu ?

Brian Boetig 22:45

C'est très fastidieux, et je crois avoir remarqué tout ce que je te donne. Je l'emmène dans le monde réel pendant une seconde. Donc, j'ai deux conducteurs adolescents et un conducteur avec leurs jeunes jumeaux, qui sont assurés. Donc, mon assurance auto, s'ils conduisent et qu'ils ont un accident. Il y en a même s'ils ne portent pas leur ceinture de sécurité, ce qu'ils devraient faire, et j'espère qu'ils le sont. L'assurance le couvre toujours en quelque sorte. Même si nous sommes responsables d'un accident, il est toujours couvert. Dans le domaine de la cyberassurance, j'ai découvert qu'il y avait une période initiale au cours de laquelle de nombreux fournisseurs et courtiers cherchaient à savoir si quelque chose n'avait pas été fait comme nous l'avions demandé. Maintenant, il faudrait que je relise mon billet électronique, mais je ressemble à une police d'assurance automobile, qui dit probablement que vous devez porter votre ceinture de sécurité. Vous devriez et devriez porter votre ceinture de sécurité. Mais la cyberassurance arrive, et j'ai découvert que pour plusieurs d'entre elles, la première chose à faire est d'essayer de comprendre comment allons-nous nous en sortir ? N'aviez-vous pas quelque chose qui s'explique par le fait que le coût d'un paiement sur un cyberespace est devenu très élevé, et puis ce qu'ils peuvent faire est également très limité. Ils feront donc appel à quelqu'un, mais ils vous aideront soit à trouver ce qui ne va pas et à atténuer ce problème en particulier, même s'ils ont découvert 10 autres problèmes, soit ils vont vous remettre sur pied, mais alors ils ne sont pas, vous savez, la sauvegarde et le fonctionnement sont différents de ceux qui se rétablissent, vous savez, et la résilience, il y a généralement, vous savez, des mois et des mois de réparation. Il couvre donc une partie limitée, ce qui peut être utile. Mais souvent, quatre ou cinq jours après le début d'un incident, nous essayons toujours de savoir si la cyberassurance va payer quelque chose ou comment elle va le faire. C'est donc un domaine en évolution, vous savez, qui est devenu tellement cher parce que vous payez une rançon de 3 millions de dollars, vous savez, c'est notre rançon, sauf si elle est couverte par notre police d'assurance ? Eh bien, ils le sont, si tu l'as fait. Je trouve donc que les politiques sont compliquées, qu'elles deviennent de plus en plus compliquées et limitées et qu'elles obligent les entreprises, vous savez, si moi, si mes enfants conduisent dans la rue, se plient les ailes, s'ils ne portent pas votre ceinture de sécurité, ce serait comme si, désolée, vous deviez porter votre ceinture de sécurité. Maintenant, vous évoquez les frais médicaux et tout le reste, donc nous ne payons pas celui-ci en particulier. Ou, oui, tu n'as pas suivi ce code de la route en particulier. Eh bien, c'est pourquoi nous avons eu un accident. Donc, oui, c'est un monde très compliqué et je pense que si vous avez une cyberassurance maintenant, et que vous pouvez conserver cette police, je la garderais parce que je ne peux que garantir qu'elle va devenir plus chère.

Raghu Nandakumara 25:14

Je veux dire exactement ce que vous avez exprimé à propos de la complexité de la cyberassurance en termes de couverture réelle, et simplement parce que, comme nous le savons tous, le nombre de cyberincidents augmente littéralement de jour en jour. Cela signifie que nous souscrivons de plus en plus de cyberassurance, mais je pense que vos commentaires laissent entendre qu'une grande partie de cet investissement dans la cyberassurance ne nous donne probablement pas la couverture que nous pensons. Ce qui est inquiétant, car je pense que l'on s'attend à ce que je sois probablement couvert à ce niveau, alors qu'en réalité, vous êtes couvert ici, ce qui signifie qu'il s'agit d'un écart énorme qu'une seule personne paie, et ce n'est pas l'assureur.

Brian Boetig 25:59

Il existe de nombreux malentendus au sujet de la police d'assurance cybernétique. En tant que consultant, nous avons donc examiné un cyberincident et la police d'assurance cybernétique. Et il est intéressant de noter que l'une des choses les plus difficiles pour l'entreprise était parfois de trouver une politique. Et c'est à ce moment-là que les systèmes n'étaient même pas tous verrouillés par un rançongiciel. Vous savez, je me suis dit : « D'accord, où est la police d'assurance contre les cyberattaques ? Je ne sais pas qui l'a, c'est Washington qui l'a. Non, personne ne peut le trouver. Donc, du point de vue d'un consultant, c'était formidable, car vous pouvez lui facturer quatre heures pendant qu'il essaie juste de trouver une police. Mais ensuite, le sortir et essayer de le parcourir et de comprendre ce qui était couvert et ce qui ne l'était pas était très, très compliqué. Et puis il y a eu de nombreux appels de suivi que vous deviez prendre, et même le courtier a parfois dû répondre, vous savez, « eh bien, si vous avez fait ceci ou cela ». C'est très compliqué, et la plupart du temps, lorsque j'ai eu recours à la cyberassurance pour des missions que j'ai effectuées en tant que consultante, ils devaient engager quelqu'un d'autre ou payer de leur poche pour du travail supplémentaire qui n'était pas couvert par la police afin de pouvoir, vous savez, leur donner une réponse aux incidents, mais cela ne couvre pas nécessairement l'ensemble de la reprise et de la résilience qui prennent des mois plus tard. Le cabinet d'avocats dont j'ai parlé tout à l'heure n'avait pas de cyberassurance, mais nous avons dû créer un tout nouveau réseau pour eux pendant que nous travaillions sur le ransomware, nous créons un tout nouveau réseau pour qu'ils puissent communiquer avec leurs clients, et il était plus facile de simplement supprimer l'ancien système et d'en créer un nouveau, mais cela n'aurait jamais été couvert par une police d'assurance.

Raghu Nandakumara 27:32

C'est dingue. Je veux dire que c'est littéralement le pire des scénarios pour une organisation où, littéralement, l'ensemble de votre infrastructure ne vaut rien parce que vous ne pouvez tout simplement pas faire confiance à ce que vous avez sur place, et vous devez la construire à partir de zéro. Je veux dire, c'est quelque chose que vous ne voudriez jamais avoir à faire. Mais je me pose la question parce qu'il y a évidemment tout le concept de la cyberassurance, et la question est de savoir si, en tant qu'organisation, l'avez-vous ? Est-ce que cela ne devrait pas simplement faire partie de votre police d'assurance générale ? Vous devez disposer d'une assurance cybernétique spécialisée dédiée qui vous garantit la couverture adéquate. Mais pensez-vous qu'à cause de cela, nous sommes probablement en train de baisser ou que nous adoptons réellement de mauvaises habitudes ? Ce que je veux dire par là, c'est que nous cherchons à atténuer les risques que nous courons pour notre environnement, n'est-ce pas, et à investir dans ce domaine. Au lieu de cela, nous nous concentrons beaucoup plus sur la recherche d'une police d'assurance cybernétique qui acceptera ou transférera simplement le risque lié à ces vulnérabilités que nous ne possédons pas et que nous n'avons pas corrigées. Pensez-vous que nous essayons de résoudre le mauvais problème ?

Brian Boetig 28h45

Oui, parce que l'assurance ne sera jamais la solution. Oui, exactement au moment où nous parlons de risque, vous pouvez soit l'accepter, soit l'éliminer, soit le transférer, et le transférer ne convient pas à la plupart des entreprises avec lesquelles j'ai traité, vous savez, à aucune entreprise du Fortune 500, vous ne pouvez pas y faire face. Et la plupart des entreprises de taille moyenne ne veulent pas simplement transférer ce risque, parce que vous dites essentiellement que je suis prête à abandonner mon entreprise. J'espère que tu vas juste me payer pour ça à la fin de la journée. Cela devrait être un signal d'alarme quant à l'investissement qui doit être réalisé dans la routine. Il s'agit de l'infrastructure, de la sécurité et de la confidentialité des données sur une base régulière au sein d'une organisation. Le problème, c'est que plus vous êtes doué, moins vous risquez d'avoir un incident. Et puis, sans incident, vous n'avez pas grand-chose à montrer : « Oh, regarde de quoi je t'ai sauvé. » C'est donc, euh, une sorte d'arme à double tranchant, mais ce n'est tout simplement pas possible dans un monde si interconnecté où chaque entreprise a une certaine responsabilité vis-à-vis de la mission et de la vision de cette organisation, vous devez investir dans celle-ci. Vous devez y investir autant que vous investiriez dans votre main-d'œuvre et dans le développement de votre main-d'œuvre et. Envoyer les gens à différentes formations pour des domaines relevant des compétences générales. Est-ce que vous envoyez des personnes suivre une formation en leadership ou que vous les envoyez sur d'autres sujets qui ne sont pas des compétences techniques, pas comment rédiger une politique ou comment réparer un moteur ? Mais investir dans certaines de ces compétences générales est en quelque sorte l'équivalent fonctionnel de l'investissement dans ces compétences dans une perspective plus large, de la part d'une organisation.

Raghu Nandakumara 30:23

Et je pense que c'est dans ce sens, non ? Je veux dire, vous avez parlé de sujets tels que la stratégie nationale de cybersécurité aux États-Unis, entre autres choses. Et je sais que cette partie couvre en quelque sorte les aspects internes, la façon dont les États-Unis sont la propriété, et ce sont les secteurs public et privé. Les contrôles et les défenses se renforcent, non ? Alors, comment fonctionnent de telles stratégies ? Comment se frayent-ils ensuite un chemin vers une véritable exécution, n'est-ce pas ? Nous assisterons donc en quelque sorte à un changement radical dans la réduction des cyberrisques.

Brian Boetig 30:57

C'est vraiment au niveau de la suite C. Il faut que ce soit du haut vers le bas. Ce qui est drôle quand j'étais au FBI, et en 2012-2013, je dirigeais la National Cyber Investigation Joint Task Force, composée de 40 agences américaines. Ensuite, nous avons fait appel à quelques agences étrangères et nous avons collaboré sur diverses menaces, en nous concentrant principalement sur la Chine, la Russie et la Corée du Nord, ainsi que sur quelques autres, vous savez, quelques autres endroits. Mais avant, nous faisions appel à des PDG tout le temps, et c'est en quelque sorte à cette époque que nous avons commencé à faire appel au secteur privé dans le domaine de la cybersécurité. Et avant cela, nous avions l'habitude d'aller voir une entreprise et de lui dire : « Hé, je voulais juste vous faire savoir que la Russie fait partie de votre réseau ». Et ils diraient : « Eh bien, que voulez-vous dire ? Et dites : « Eh bien, je ne peux pas vous en dire plus. Tout est confidentiel, mais juste pour que vous le sachiez. » Et ça déclenche en quelque sorte des alarmes là-bas. Puis nous avons commencé à donner, nous sommes entrés dans le processus qui nous a permis de donner des autorisations d'un jour. Nous faisons venir des gens et leur donnons des séances d'information classifiées et leur disons plus précisément : « C'est ce qui va se passer », puis nous avons commencé à informer la suite C pour leur dire, hé, nous avons réalisé que nous avions besoin de l'occasion de mieux comprendre ce qui se passe dans le monde. Le secteur privé, victime d'un grand nombre de ces intrusions et de ces problèmes, serait en mesure de nous répondre. Devons-nous apporter la suite C ? Et encore une fois, il y a un peu plus de dix ans, certains de ces PDG n'avaient absolument aucune idée de ce qui se passait dans leur département informatique. À cette époque, c'était juste « Ah oui. J'ai trouvé Yeah. Mon informatique indique que je l'ai. » C'était, c'était de la confiance, mais pas de la confiance et de la vérification. C'était juste « Ah oui, l'informatique », c'était la réponse à tout, c'était « l'informaticien, oh, le responsable informatique ». Mais ils n'ont pas pu vous dire qui était l'informaticien. Même s'il était encore un membre senior de l'organisation, il n'a pas été intégré au club. J'ai donc assisté à cette transition au cours des douze dernières années, et la suite C s'intéresse de plus en plus à la cybersécurité. Eh bien, premièrement, parce qu'ils le doivent, parce que c'est réglementé par la SEC et d'autres personnes maintenant, le Donc voilà, je suppose que ce serait un exemple d'une bonne intervention gouvernementale ou d'une solution réglementaire à un problème, parce que je me souviens avoir fait venir, encore une fois, beaucoup d'entre elles étaient des entreprises du Fortune 500, et les OSC n'en avaient tout simplement aucune idée. Et donc je pense que nous avons, je pense que nous avons une sorte de cyberdéfense, vous savez, c'est comme s'ils n'en avaient aucune idée. Mais maintenant, vous voyez, il existe tout un marché de consultants qui se contentent de brèves suites C et qui mettent les gens au courant, vous savez, de leur maîtrise de la cybersécurité, je suppose, au niveau de la haute direction. Mais si la haute direction n'y croit pas, elle ne sera jamais prise en charge. Une organisation ne s'en occupera jamais. Vous ne pouvez pas l'augmenter parce que ce n'est pas, ce n'est pas un générateur de revenus, oui, mais c'est un générateur de revenus indirect caché.

Raghu Nandakumara 33h45

Oui, oui, absolument, oui. Et je suis d'accord, non ? Et je pense que cette évolution de la cybercriminalité, pour utiliser un terme surutilisé, une préoccupation au niveau du conseil d'administration, plutôt que simplement une question de fonction informatique, a eu un impact significatif, mais je pense que nous le sommes aussi, mais aussi, si j'y pense différemment, le responsable de la sécurité, le CSO, quel que soit leur titre, l'une des choses qui les préoccupent est que, comme la sécurité souvent une fonction qui ne souffre pas forcément d'un manque de budget, non ? Mais cela en souffre, comment puis-je savoir si le budget que vous utilisez, grâce à votre investissement, se traduit par une réelle réduction de la menace ou du risque d'attaque, n'est-ce pas ? Parce que nous voyons toutes sortes de graphiques de ce type, non ? Vous consultez la dernière enquête sur le cyberpaysage et vous voyez deux lignes droites, n'est-ce pas ? L'un d'eux est d'investir dans la cybersécurité, n'est-ce pas ? Bien ou comme une belle courbe de croissance exponentielle, puis le coût des cyberattaques, non ? C'est aussi une belle courbe de croissance, non ? Alors, c'est quand. Ce changement. À quel moment les investissements informatiques commencent-ils à entraîner une stagnation des coûts liés à la cybernétique ?

Brian Boetig 35:07

Je pense qu'il est nécessaire de prendre réellement un risque d'entreprise. Vous savez, la gestion de votre stratégie doit tenir compte de la cybersécurité ainsi que de tous les autres risques d'une organisation. De cette façon, chaque chef d'entreprise, même ceux qui font partie du marketing, de la livraison ou de la chaîne d'approvisionnement ou quoi que ce soit d'autre, quelle que soit l'activité de l'entreprise, doit vraiment examiner les choses dans l'ensemble de l'entreprise. Ainsi, lorsque vous classerez les risques, vous saurez que l'informatique touche à tout. Vous savez, si vous êtes le responsable des ressources humaines et que vous êtes responsable de tout, du recrutement à la retraite, alors Cradle to Cradle to Grave. Les RH, il y a tellement de fonctions RH qui comportent des risques informatiques, mais les informaticiens ne le peuvent pas, le CISO ne peut pas assumer tous ces risques. Les RH doivent assumer ce risque. Ils doivent dire : « Oh, nous recrutons de faux télétravailleurs nord-coréens ici, et nous pensions qu'ils étaient tous basés, vous savez, en Inde. » Vous savez, c'est un problème de ressources humaines. Mais cela comporte un risque informatique. Ou le directeur financier, qui est, vous savez, sous-traitant et peut-être responsable des contrats, et qui se rend compte que, vous savez, nous avons été dupés. Donc, le regarder du point de vue d'une entreprise et laisser le CISO dire : « Hé, je ne suis pas le propriétaire de ce risque. Je suis là pour être votre conseiller et vous aider à faire face à tous ces risques », au lieu de faire de vous une fonction unique selon laquelle vous êtes responsable de tout ce qui touche à l'informatique, à tout ce qui se passe dans une organisation. Est-ce que l'informatique, qu'il s'agisse des ressources humaines ou des finances, mais du point de vue de la stratégie des risques de l'entreprise, je pense que c'est la seule façon de prendre un grand nombre de ces risques que nous appelons simplement risques, parce que ce n'est pas vraiment un risque informatique, c'est un risque lié aux ressources humaines, ou c'est un risque financier, ou c'est un risque lié à la chaîne d'approvisionnement, ce qui n'est pas le mien en tant que CISO, simplement parce qu'il comporte des zéros et des uns et des fils qui y sont attachés, c'est votre risque. Je suis là pour vous aider à gérer ce risque, sans pour autant faire porter tout le fardeau sur le CISO.

Raghu Nandakumara 37:17

Je pense que c'est une bonne remarque, car je pense, encore une fois, que ce que vous décrivez ici n'est qu'une évolution, un peu comme le point de vue de l'organisation, n'est-ce pas ? De la même manière que cette évolution qui consiste à considérer la sécurité au-delà d'un simple problème informatique, nous devons envisager le cyberrisque de manière beaucoup plus globale en tant qu'élément central du risque d'entreprise et comment le cyberrisque entraîne ces autres aspects, à savoir que rien n'est isolé dans les faits.

Brian Boetig 37:46

Oui, quand je dirigeais le bureau du FBI à Buffalo, dans l'État de New York, tous les lundis matins, j'y avais tous mes dirigeants. Il y avait donc une quarantaine de personnes dans la salle, et nous faisions le tour et discutions de divers sujets. Et c'était comme si vous participiez à un épisode de Saturday Night Live, parce que vous vous promeniez avec le gars qui parlait de lutte contre le terrorisme, puis la personne parlait de criminalité, puis de contre-espionnage, et vous aviez le responsable des affaires publiques, puis vous arriviez, vous savez, au Saturday Night Live, le responsable informatique. Et on pourrait presque voir tout le monde baisser la tête et commencer à prendre des notes, comme ça, savez-vous quand il va parler de quelque chose d'aussi technique, et je m'en fous. Si notre informatique ne fonctionnait pas, les gens n'étaient pas payés parce qu'ils ne pouvaient pas y consacrer leur temps. Oui, vous ne pouviez pas réparer les voitures, parce que vous deviez planifier votre voiture via une application, et l'informaticien était la personne la plus importante de la pièce, et les gens ne se rendaient tout simplement pas compte que tout leur travail, toutes leurs fonctions reposaient sur leur capacité à taper des doigts sur un clavier et à faire quelque chose. Qu'il s'agisse de rechercher, vous savez, des renseignements sur le Dark Web pour notre analyste, mais vous pourriez presque, vous savez, les voir. Tout le monde prendrait alors ce temps pour, vous savez, réorganiser ses sièges et tout le reste, mais le fait de réaliser que sa fonction est de soutenir tout le reste de l'organisation augmente vraiment le niveau d'importance de ce que fait cette personne. Et le risque que quelque chose se passe, est-ce vraiment le sien ? Je veux dire, si les ordinateurs tombent en panne, oui, c'est lui. Il va se faire engueuler, mais les voitures ne seront pas réparées, les affaires ne seront pas réglées et les gens ne seront pas payés.

Raghu Nandakumara 39:17

Oui, oui, absolument. Et en fait, c'est vrai, en parlant d'une sorte de risque et de gestion des risques. En fait, il y a quelque chose d'intéressant. Vous l'avez publié il y a quelques jours sur votre LinkedIn alors que vous étiez à Londres. Et c'était en quelque sorte juste après la tragédie de la tour Grenfell, qui est l'une des plus grandes tragédies humaines de l'histoire. Et pour vous citer, ou citer votre compte LinkedIn, vous avez déclaré : « En passant devant la tour Grenfell à Londres alors que je me rendais à un événement à l'extérieur, j'ai été témoin d'un horrible enfer qui a fait de nombreuses victimes, et cet événement dévastateur est le résultat de multiples échecs fondés sur l'hypothèse que les pires scénarios ne sont que de simples improbabilités, en tant que professionnels de la gestion des risques dans le secteur de la sûreté et de la sécurité, notre responsabilité est pour reconnaître cela dans une certaine mesure. Les efforts d'atténuation sont cruciaux, même lorsque la probabilité d'une catastrophe semble infime. » Et je pense, et si je cite cela, c'est parce que je pense que c'est très important lorsque nous l'appliquons aux cyberrisques et aux cyberattaques, car je pense que la probabilité d'une attaque réussie est faible, mais pas nulle. Et le défi qui se présente à nous, c'est que nous nous sommes efforcés de prévenir, prévenir, prévenir, que nous ne sommes pas suffisamment préparés en cas d'échec de cette prévention. Et lorsqu'elle échoue, elle échoue de manière importante. C'est pourquoi nous devons en quelque sorte investir beaucoup plus dans l'atténuation, dans la manière de limiter l'impact ? Hein ? Est-ce là votre point de vue ?

Brian Boetig 40:53

Ça l'est. Je vais vous ramener aux deux incidents les plus choquants de ma carrière dans l'application de la loi qui ont vraiment choqué ma conscience, qui étaient incroyables. C'était en 1995, lors de l'attentat d'Oklahoma City. J'étais officier de police en Alabama à l'époque, mais je me rappelle avoir regardé le journal télévisé et avoir regardé le bâtiment sans penser que c'était possible. Et puis par la suite, vous savez, le 11 septembre, vous savez, j'étais à Washington à ce moment-là, j'ai vu le premier avion percuter la tour, c'était une terrible tragédie. C'est un grave accident. Puis l'autre a frappé. Je savais, OK, c'est nul. Ensuite, j'ai été premier répondant au Pentagone. Mais cela a vraiment choqué ma conscience. C'est une chose à laquelle je ne pensais pas, la possibilité que cela se produise un jour. Je veux dire, c'est ce dont vous parlez, de minuscules possibilités. Maintenant, je suis en quelque sorte prête à affronter tout ce qui se présente dans le secteur de l'assurance et de la santé. Nous venons d'avoir le meurtre d'un PDG, son exécution, vous savez, à laquelle on n'avait probablement pas pensé. C'était l'une de ces minuscules possibilités que cela se produise, et cela s'est produit, et maintenant cela change les comportements. Nous avions l'habitude de le dire à nouveau aux gens, à mon époque, en informant les PDG. J'ai essayé de le faire de façon humoristique, presque comme lors d'une réunion des AA, où je leur faisais dire : « C'est normal d'être victime d'une cyberattaque. C'est normal d'être victime d'une cyberattaque. » Parce que c'était en quelque sorte la norme, oh, nous ne l'avons jamais été, vous savez, encore une fois, l'évolution de ce qui se passait dans le domaine de la cybercriminalité et la reconnaissance a été que nous ne pouvons jamais être les victimes, parce que nous ne pouvons être victimes d'aucun type d'attaque. Ils diraient donc que nous ne pouvons pas être les victimes. Et il y avait tellement d'entreprises, puis je les accompagnais dans l'arrière-boutique et je leur disais : « Hé, eh bien, nous vous montrons où nous voyons cela ». Vous savez, la Chine met en place des points contextuels sur votre réseau. Oh, mon Dieu. Il est donc normal d'être victime d'une cyberattaque, il n'est pas normal de ne pas être prêt à l'atténuer et à y répondre. Donc, chaque entreprise a été, je veux dire vous, victime d'une cyberattaque, qu'elle le sache ou non, et donc ce n'est pas le cas, cela entache en quelque sorte votre réputation. Maintenant, c'est normal, ils ont été victimes d'une cyberattaque, mais ils conservaient 10 ans de données, ou ils n'ont pas perdu les données de leurs clients, ou ils ont été correctement cryptés. Donc si tu peux y arriver, je suis là, j'ai 30 ans, 32 ans, 32 ans et je porte une arme. Je peux toujours être victime d'un crime en marchant dans la rue. Maintenant, la façon dont je réagirais à cela, vous savez, dicterait, vous savez, si je tombe par terre et que je commence simplement, vous savez, à retrouver la position du fœtus, à pleurer, vous savez, c'est en quelque sorte la seule extrémité. Mais vous savez, quelqu'un a pointé une arme sur ma tempe, et je n'ai pas d'arme pour répondre au moment où je donne mon portefeuille. Je leur donne ce qu'ils veulent. Je m'en vais. Je suis vivant. Je gagne. Je peux ensuite récupérer mes cartes de crédit, mon permis de conduire et tout le reste. Alors, comment réagissez-vous à cette attaque ? Mais le fait d'être victime entachait votre réputation, du moins les gens le pensaient. Donc, le simple fait de reconnaître que vous pouvez l'être, mais la façon dont vous réagissez à cet événement dictera la façon dont les gens vous regarderont.

Raghu Nandakumara 43:51

Oui, je pense que c'est parfaitement réglé, et je pense que c'est en quelque sorte une question de... nous parlons d'adopter une approche Zero Trust pour déterminer comment vous construisez vos défenses de cybersécurité. Et encore une fois, je pense que cela est également enraciné là-dedans, non ? Cela tient au fait que l'attaquant trouvera un moyen d'accéder à l'environnement de votre organisation, n'est-ce pas ? Donc, un Zero Trust, l'adoption de Zero Trust consiste à savoir comment faire en sorte qu'ils ne puissent pas se déplacer et accéder librement aux choses, n'est-ce pas ? Sommes-nous préparés à ce que quelqu'un soit un intrus, qu'il se trouve dans notre environnement et qu'il soit capable de restreindre ses activités ? Et je pense aussi à l'ensemble, comme la pression croissante en faveur de la cyberrésilience qui, selon nous, est en quelque sorte motivée, par exemple, par le Forum économique mondial, vers le bas, n'est-ce pas ? Encore une fois, cela correspond tout à fait à cela, c'est tout à fait normal. En fait, vous serez probablement victime d'une cyberattaque, mais vous ne pouvez absolument pas dire que vous n'êtes pas prêt à y faire face. Je pense que c'est comme si cette déclaration, Brian, que vous avez faite, était très forte. Alors, je vous en remercie beaucoup. Et en fait, ce point avant nous. Pour terminer, il y a une chose que je voudrais vous demander, vous avez parlé d'extra-territorial, mais vous avez fait un lapsus et vous avez parlé d'extraterrestre. Alors, qu'est-ce que c'est réellement, dans la zone 51 ?

Brian Boetig 45:13

Eh bien, j'ai connu le shérif qui a travaillé là-bas. Oui, c'était en fait l'un des étudiants, l'un des cours. C'est drôle parce qu'il y avait cette émission dont vous vous souvenez peut-être, intitulée The X Files, et elle le sera probablement, elle sera probablement régénérée d'avant en arrière. Le FBI n'avait pas et n'a pas X Files. Il n'y a pas de fichiers X. Ils ne contiennent aucun fichier, c'est là que vous envoyez. On l'appelle aussi parfois fichier circulaire ou corbeille. Mais tout ce qui entre est enregistré et enregistré. Et il y a eu, une fois, un incident au cours duquel quelqu'un signalait avoir vu quelque chose d'extraterritorial. Donc, parce qu'ils l'ont fait, nous l'avons noté, nous l'avons mis dans un fichier zéro, puis la personne faisait demi-tour et déposait une demande en vertu de la Freedom of Information Act pour voir si nous avions des informations à ce sujet. Et comme nous l'avons mis dans le fichier zéro, il y en a eu et cela a confirmé sa propre inquiétude. Il a dit : « Oh, ils ont des informations là-dessus », mais ce n'était que ses informations. Ensuite, lui, nous me le rendions en disant : « Oh, tu dois en avoir plus. Mais comme il avait déposé des informations auprès de l'orateur, il y en avait maintenant plus à cause de la demande qui avait été présentée. Il s'agissait donc simplement de cette circulaire de reporting. Et le gars dirait : non, ils ont, oui, ils ont des informations à ce sujet. Eh bien, c'est exactement oui, donc c'est drôle comme ça se passe. Mais dans le monde des avions sans pilote d'aujourd'hui, et ce que vous avez vu se produire ou avoir été rapporté au-dessus du New Jersey, il y a, vous savez, la création de la Force spatiale aux États-Unis, vous savez, l'opportunité d'apprendre et de voir beaucoup plus de choses qui vont se passer. Vous savez, nous avons parlé du, j'ai beaucoup parlé du monde physique dans le cyberespace, mais il y a un monde au-dessus du sol et au-dessus des bâtiments qui va devenir, comme Uber et d'autres entreprises, vous savez, commencer à regarder, vous savez, faire voler, vous savez, des personnes d'un endroit à l'autre. C'est donc un tout nouveau monde qui, une fois de plus, entre dans le fil de ce que j'ai dit à propos d'Oklahoma City et du 11 septembre, d'une manière qui, vous savez, choque pour la conscience quand vous voyez quelqu'un pour la première fois, vous connaissez quelqu'un, vous savez, ma fille est arrivée à l'aéroport, vous savez, et à bord d'un drone volant qui passe sur le pas de la porte d'ici. Je veux dire, nous ne sommes pas, nous ne sommes pas trop loin de choses comme ça.

Raghu Nandakumara 47:16

Absolument, Brian, cela a été un plaisir de vous parler de vos expériences, de nous avoir raconté l'histoire la plus amusante que nous ayons racontée sur le podcast. Mais au-delà de cela, il y a tant de points de vue vraiment intéressants sur les types de cyberassurance, l'atténuation des cyberrisques, le renforcement de la résilience et la façon dont nous pensons aux attaquants. Merci beaucoup pour le temps que vous m'avez accordé.

Brian Boetig 47:43

Eh bien, merci pour cette opportunité, et merci pour ce que vous faites pour vous assurer que les autres disposent des meilleures informations possibles pour prendre les meilleures décisions possibles pour eux-mêmes et pour leur organisation. Alors merci.

Raghu Nandakumara 47:53

Merci beaucoup, Brian. Merci d'avoir écouté l'épisode de cette semaine de The Segment pour obtenir encore plus d'informations et des ressources Zero Trust. Consultez notre site Web à l'adresse illumio.com. Vous pouvez également communiquer avec nous sur LinkedIn et Twitter à Illumio, et si vous aimez la conversation d'aujourd'hui, vous pouvez retrouver nos autres épisodes partout où vous trouvez vos podcasts. Je suis votre hôte, Raghu Nandakumara, et nous reviendrons bientôt.

Retour en haut de page
En savoir plus