La ceinture de sécurité en matière de cybersécurité : le point de vue d'un cyberpsychologue sur le passage de la sensibilisation à la préparation

Raghu Nandakumara 00:11

Bienvenue à tous dans un nouvel épisode de The Segment. C'est un immense honneur et un immense privilège d'être rejoint aujourd'hui par un enseignant primé, un entrepreneur, un conférencier et un chercheur en cybersécurité. Dr Erik Huffman, bienvenue dans The Segment !

Dr. Erik Huffman 00:28

Hé. Merci de m'avoir invitée. Je vous en suis reconnaissante.

Raghu Nandakumara 00h30

Je ne vais donc pas être en mesure de rendre justice à votre merveilleux parcours. Tout ce que je vais dire, c'est que c'est la première fois que j'ai une conversation avec un cyberpsychologue. Je suis intrigué de savoir de quoi il s'agit. J'ai une petite idée, après avoir visionné certaines de vos vidéos YouTube. Alors, Dr Huffman, pourquoi ne pas nous donner un aperçu de vos antécédents ?

Dr. Erik Huffman 00:52

Oui, donc commencer par le début, ou, tu sais, commencer par la cyberpsychologie, des choses intéressantes ?

Raghu Nandakumara 00:59

Tu sais quoi ? Je pense qu'il est important de commencer par le début, car c'est ainsi que nous découvrons comment vous êtes arrivé à la cyberpsychologie, n'est-ce pas ?

Dr. Erik Huffman 01h05

La version abrégée a été publiée après que j'ai obtenu mon baccalauréat en informatique et que j'ai commencé à travailler pour Walgreens, comme me déplacer d'un magasin à l'autre, réparer des imprimantes, réparer des réseaux, réparer des ordinateurs, etc. J'ai bien aimé ! Vous savez, si je me suis lancé dans l'informatique, c'est grâce à mon père, pour être honnête. Quand j'ai grandi, évidemment, comme beaucoup de gens, on n'en a pas beaucoup, et j'ai pu voir mon père aller à l'école, et il s'est vraiment intéressé à ces ordinateurs. Puis j'ai vu notre vie changer. Je nous ai vus passer, vous savez, d'un très petit appartement, d'une petite maison à une grande maison. Alors je me suis dit : « Hé, c'est plutôt cool », et j'ai donc décidé de suivre la même voie. J'ai donc obtenu mon baccalauréat en informatique, j'ai commencé à travailler pour Walgreens, et des choses comme ça. J'ai ensuite obtenu ma maîtrise en gestion avec une spécialisation en gestion informatique. C'est ainsi que j'ai commencé à m'occuper de la gestion de projet. J'étais dans cet état d'esprit, comme tout le monde. Par exemple, seuls les idiots se font pirater. Par exemple, si votre nom d'utilisateur est admin et que votre mot de passe est admin, vous le méritez. Tu sais, ce genre de choses, c'est juste super arrogant. Genre, hé, je vais tout verrouiller. Il n'y a rien de mal. Cela va se produire. Et puis il y a eu une violation de données sur ma tête. Puis, trois mois plus tard, il y a une autre violation de données sur ma tête. J'étais curieux : si seuls des idiots se font pirater, suis-je stupide ? Tu sais, une sorte d'autoréflexion, n'est-ce pas ? Est-ce que c'est ça ? Suis-je stupide ? J'ai donc vraiment commencé à examiner les données dans tout ce que nous faisions, car je sais en quoi la technologie que nous avons mise en œuvre nous a aidée. Je le sais. Comme le pare-feu, le système IDS, le système IPS, tout ce que nous avons jeté, toutes les technologies que nous avons éliminées pour résoudre ce problème. Je sais que cela a aidé, mais pourquoi n'obtenons-nous aucun résultat ? J'ai donc entamé des recherches, puis j'ai simplement examiné le rythme de la technologie, et j'ai examiné le taux de violations de données, et elles aiment se refléter les unes les autres. C'est comme si plus nous mettions en œuvre de technologies, plus le problème des violations de données s'aggravait. Mais malgré tout, dans mon cœur, je me disais : « Je sais, je sais que ça aide. J'ai donc commencé à me pencher sur le point commun, à savoir nous, les gens. Cela a déclenché une toute autre histoire parce que j'ai commencé à m'intéresser à la psychologie des personnes, à la psychologie de l'ingénierie sociale. Et puis, nous avons contribué à la création de ce domaine de la cyberpsychologie. Donc, pour ce qui est de la cyberpsychologie, il y a maintenant un tas de branches différentes. À partir de là, certaines personnes font des recherches fantastiques. Moi, en particulier, je m'intéresse à l'ingénierie sociale numérique dans le domaine de la cybersécurité. Donc, en cyberpsychologie, il y a aussi des personnes qui s'intéressent à la santé mentale des enfants, à la cyberintimidation et à d'autres sujets de ce genre. Mais moi, en particulier, je m'intéresse à l'ingénierie sociale numérique, aux cyberattaques et à d'autres sujets de ce genre. Alors, vous savez, je suis passé de magasin en magasin à Walgreens pour commencer à enseigner. J'ai commencé à enseigner et j'ai adoré étudier dans quelques universités et dans l'enseignement supérieur. Puis le fait de raconter les histoires m'a fait oublier la raison pour laquelle ces histoires existaient. Alors je me suis dit : « Hé, je dois quitter la classe. Laisse-moi retourner dans les tranchées avec mes cyberfrères et sœurs. » Cela m'amène donc à faire une tonne de recherches pour poursuivre la poussée de la cyberpsychologie tout en continuant à travailler dans l'industrie.

Raghu Nandakumara 04h45

C'est incroyable, et tu as tout à fait raison. L'hypothèse est la suivante : est-ce que des personnes imprudentes, des personnes stupides se font pirater, sont compromises, non ? Mais la vérité est que certaines des organisations les mieux financées et dotées des programmes de cybersécurité les plus matures sont toujours victimes d'une attaque, n'est-ce pas ? Et vous avez dit que vous étiez en quelque sorte au cœur de deux cyberattaques. Comment vous êtes-vous senti au milieu de ces incidents ? Quels que soient ces incidents, vous les avez découverts. Tu es au milieu d'eux. Comment te sens-tu ?

Dr. Erik Huffman 05:22

Honnêtement, j'ai peur, et je me demande comment, qu'avons-nous fait de mal ? Tu dois te calmer. Tu dois calmer tout le monde. Parce que c'est comme si, tout de suite, on se demandait qui a fait quoi ? Et il se peut que tu n'aies rien fait de mal. Par exemple, si vous êtes une petite ou une moyenne entreprise, si un État-nation veut vous avoir, il est fort probable qu'il vous obtienne comme ça, que vous fassiez tout correctement et que vous vous trompiez. Alors, lors de ces incidents, je me suis dit : « Qu'avons-nous fait de mal ? Qui a raté quoi ? Qui a fait quoi ? » C'était ça, c'était ce sentiment, et j'ai dû m'en sortir. Vous savez, en tant qu'être, en tant que personne senior de niveau junior, parce que, vous savez, j'étais nouveau, j'ai obtenu ma maîtrise, j'ai travaillé dans l'industrie pendant un certain temps, mais j'étais nouveau dans mon poste. Donc, vous êtes une personne de niveau junior ou senior, vous devez comprendre que, par exemple, vous devez comprendre comment diriger, et que ce n'est peut-être la faute de personne, et cette réaction instinctive de ce qui s'est passé, et puis c'est par qui a fait quoi... c'était toxique. Et l'une des leçons que j'ai apprises, c'est de me concentrer sur la chose, sur ce qui s'est passé, sur la manière dont vous pourriez empêcher que cela ne se reproduise. J'en ai donc été victime et je me suis dit : qui a fait quoi ? Cela ne devrait pas se produire. Nous étions en sécurité à 100 %. En fait, la sécurité à 100 % n'existe pas. Alors ne vous demandez pas qui a fait quoi. Pensez simplement à ce qui s'est passé, puis, après l'action, ou certains appellent cela une autopsie, déterminez qui a fait quoi. Que s'est-il passé, vous savez, par exemple, avons-nous fait quelque chose de mal ou avons-nous simplement été confrontés à une vulnérabilité dont nous ignorions l'existence ?

Vous avez donc utilisé un terme très puissant à ce sujet, comme toxique. En cela, il s'agissait davantage de blâmer et d'attribuer le blâme à un individu ou à une équipe plutôt que de comprendre comment le problème s'est manifesté au départ. Est-ce que tu vois ça ? Je ne sais pas combien d'années ces incidents se sont produits, mais pensez-vous que cette approche a changé dans les organisations aujourd'hui et que l'accent est davantage mis sur ce qui a conduit à cela que sur qui ?

Non Malheureusement, la réponse est non. Souvent, même lorsque je fais des consultations pour le compte d'organisations, il s'agissait de savoir qui a fait quoi, et je me concentrais sur qui a fait quelque chose ou sur les cas de négligence par rapport à ce qui s'est réellement passé. Et en tant que public, en tant que société, nous le faisons aussi beaucoup à ces organisations. Il y a donc une violation de données dans une grande entreprise et immédiatement, c'est comme si elle faisait manifestement quelque chose de mal parce qu'il y a une violation de données. Même les cyberprofessionnels jouent le rôle d'ingénieurs en cybersécurité en fauteuil, en leur disant : « Hé, cela ne serait pas arrivé si vous l'aviez fait », sachant que nous savons que la sécurité à 100 % n'existe pas tant que les objets sont connectés au cloaque d'Internet. Tant que cette connexion existe, vous n'êtes pas sécurisé à 100 %. Je ne pense donc pas que cela ait encore changé, surtout du point de vue commercial. Bien souvent, si les entreprises pensent qu'elles sont la perception du public, ce sera une mauvaise chose pour les affaires ou si elles vont subir des pertes boursières ou quelque chose comme ça. Il est immédiatement transmis à qui a fait quoi, puis il revient, comme le CISO ou quelque chose comme ça. Et puis le CISO se dit : « Eh bien, de toute évidence, vous ne faites pas votre travail correctement, et qui sait quelle était cette vulnérabilité ? Cela aurait pu être un jour zéro. C'est comme si personne ne le savait et que nous étions le patient zéro ici. Oui, nous avons tout fait correctement et nous nous sommes toujours trompés. Et c'est une triste réalité en ce qui concerne cette industrie. Et je suis humble. Je suis un homme très humble. C'est ma mère, ma grand-mère, mon père, ils m'ont élevé pour être. Et tu sais, j'en ai été victime. Et je vais être honnête envers tout le monde et dire : Oui, j'en ai été victime. En tant que responsable de la sécurité, lorsque j'ai été confrontée à des failles de données consécutives, je me suis demandé qui avait fait quoi ? Par exemple, ça ne devrait pas arriver. Eh bien, cela ne devrait pas arriver, mais c'est arrivé. Et c'est un peu comme quelle vulnérabilité existait. Nous pouvons tous apprendre quelque chose, comme je peux le faire connaître au monde entier, et tout le monde apprend quelque chose. Et c'est juste à ce moment-là, genre : À qui êtes-vous responsable ? Par exemple, désolé, vous ne savez pas tout sur la technologie et sur toutes les technologies susceptibles d'être exploitées. Ce n'est pas une attente réaliste pour un dirigeant envers ses employés, et cela ne devrait pas être une attente réaliste pour tout le monde, le CISO ou les ingénieurs en cybersécurité. Cela ne veut pas dire que chaque violation de données doit être excusée. Non, mais tu ne peux pas y aller tout de suite. En cas de négligence, déterminez le problème après avoir résolu le problème. Ne signalez pas d'abord la négligence, puis réglons le problème. Ne réglez pas le problème, recherchez la négligence, si elle existe.

Raghu Nandakumara 10 h 30

Absolument. Je pense que c'est un point très important à souligner, car cela ne devrait pas devenir un exercice CYA, la première réaction ne devrait pas être un exercice CYA. Hein ? Couvrez d'abord votre dos. Ça ne devrait pas être le cas, non ? Vous avez également mentionné le stress des RSSI, n'est-ce pas, et le genre de peur constante dans laquelle ils vivent de se demander « que va-t-il se passer s'il y a une faille sous ma surveillance », n'est-ce pas ? Surtout parce que c'est comme si on allait me le demander, non ? Eh bien, vous avez tout ce financement pour votre programme de sécurité, et pourtant c'est arrivé. Cela doit donc être un élément clé, car nous entendons si souvent parler de l'épuisement professionnel des CISO. Cela doit en être l'une des principales raisons.

Dr. Erik Huffman 11 h 13

Oui, c'est absolument la dernière position que j'ai occupée. J'étais le responsable de la sécurité le plus haut gradé de l'organisation, et ça l'est, c'est une voie vers l'épuisement professionnel. Vous êtes constamment préoccupé par toutes sortes de menaces de sécurité et par la rapidité que l'entreprise souhaite accélérer parce que, vous savez, la vitesse des affaires ne peut pas ralentir, ce qui est tout à fait compréhensible. Mais alors que le rythme des affaires ne cesse de s'accélérer, plus le risque est élevé. Oui, vous essayez donc d'équilibrer les risques sans ralentir l'activité, mais à un moment donné, vous devez dire à l'entreprise : « Hé, tu dois ralentir ». Et tu ne gagneras jamais, tu ne gagneras jamais cette dispute. Et c'est très, très difficile parce que vous craignez toujours une violation qui pourrait se produire, parce que vous pourriez en être responsable, à moins d'avoir une organisation mature qui vous dira : « Hé, en fait, à cause de cela, ce n'est probablement pas de votre faute, mais nous devons continuer à investir dans la sécurité ». Mais c'est un niveau de maturité que nous n'observons pas chez de nombreuses organisations. C'est un niveau de maturité qui n'existe pas encore dans de nombreuses salles de conférence pour permettre au CISO de dire qu'en cas de violation de données, ce n'est peut-être pas dû à une négligence. Ce n'est peut-être pas la faute du CISO. Ce n'est peut-être pas la faute de l'ingénieur en cybersécurité ou celle du directeur de la sécurité ou du directeur de la sécurité. Cela peut être quelque chose que l'ensemble du secteur apprend en même temps, ou il peut s'agir d'un jour zéro que nous n'avons tout simplement pas corrigé assez rapidement parce que Zero day est sorti le premier ou le troisième jour. Il arrive que cela arrive, qu'il arrive à vous, en particulier dans le cadre d'une entreprise, des choses comme ça existent. Je ne suis pas du genre à faire l'apologie d'un CISO, mais il est évident que le niveau de surveillance accordé à certaines de ces violations de données n'est évidemment pas juste. Si vous êtes une organisation de taille moyenne et qu'un État-nation s'en prend à vous, c'est que vous n'investissez pas assez d'argent. Je dois vous dire que vous n'investissez pas assez d'argent pour protéger ce CISO. Ce CISO va probablement être exploité. Et si vous les blâmez, vous pouvez engager quelqu'un d'autre, et il leur arrivera la même chose. Par exemple, si les ressources sont limitées, embauchez qui vous voulez, et cela ne sauvera pas cette organisation de ce qui va se passer. Vous devez donc continuer à investir dans la sécurité, mais comprendre que la sécurité à 100 % n'existe pas, et comprendre que, comme tout le monde, certaines de ces failles ne sont qu'une solution de niveau supérieur. Et si vous y êtes préparé ou non, si vous voulez vous préparer à tout et vraiment minimiser les risques, il vaut mieux que cet investissement soit assez élevé. Il doit être assez élevé pour donner une chance à vos ingénieurs en sécurité. N'en avez pas 1,2,3, dont une valeur de 50, 60 ou 100 millions de dollars dans votre entreprise et dites que s'il arrive quelque chose de grave, c'est de votre faute à tous. Je ne connais pas beaucoup de gens assez bons pour ça, et ce n'est pas le cas. Ils ne sont probablement pas assez payés pour que ça soit vrai, comme un SOC 24 heures sur 24 avec trois personnes, je ne sais pas, mec.

Raghu Nandakumara 14 h 27

Il y a quelque chose que tu as dit là-dedans. Il ne s'agit pas simplement que le conseil d'administration comprenne parfaitement l'importance d'un programme de sécurité, n'est-ce pas ? Avec cette maturité, je pense, nous en sommes absolument arrivés au point où le conseil d'administration, les personnes chargées de prendre les décisions, comprennent clairement les avantages d'un programme de sécurité bien développé et bien exécuté. Mais ce que vous voulez dire, c'est que c'est en soi, c'est une bonne chose, mais en réalité, le conseil d'administration doit avoir la maturité nécessaire pour comprendre que même s'il investit dans la sécurité, il y a toujours de fortes chances qu'un attaquant compromette son environnement. Et il ne devrait pas réagir en disant « Hé, c'est quoi ce bordel », comme ça ne devrait pas être la réaction. Ça devrait être comme : « Oui, on comprend. Nous comprenons que les probabilités jouent toujours en leur faveur. »

Dr. Erik Huffman 15 h 19

Oui, exactement parce que chaque conversation au sein du conseil d'administration concernant le progrès ou la probabilité d'une activité évoluera ou suscitera un nouveau risque, je ne dirais pas qu'elle évolue tout le temps. Et selon le risque, en tant que membre du conseil d'administration ou en tant que PDG, directeur de l'exploitation, quelque chose comme ça, vous devez comprendre que lorsque vous avez ces conversations, ces risques apparaissent, et allez-vous les atténuer ou allez-vous les accepter ? Certaines de ces conversations sur la sécurité qui ont lieu et qui vous frustrent auprès des RSSI sont simplement dues à un risque accepté. Et le conseil d'administration, le PDG, le PDG et le directeur financier doivent comprendre que, si cela se produit, cela se produit parce que nous avons accepté le risque que cela se produise. Et si vous avez accepté le risque que cela se produise, et que cela se produise, alors il s'agit simplement d'une sorte de contrôle des dégâts. Vous savez, si le risque existait et que nous pensions que l'impact, les conséquences de la survenance de ce risque, ne seraient pas aussi graves. Et cela arrive, assurons-nous que ce n'est pas si grave, puis réexaminons le risque. Continuons-nous à accepter ce risque ? Très probablement, la réponse est : « Non, nous devons changer de cap. Nous devons faire quelque chose de différent. » Parce que nous ne pensions pas que la probabilité que ce risque se produise était si probable, ou assez probable, et puis cela s'est produit si rapidement. Par exemple, pensons-nous que cela va se reproduire ? Oui, est-ce que ça va être annuel ? Est-ce que c'est trimestriel ? J'espère que ce n'est pas une activité hebdomadaire, mais peut-être une fois tous les cinq ans, une fois que vous aurez effectué votre autopsie et vos recherches à ce sujet, puis que vous aurez accepté ce risque et que vous en tiendrez le CISO responsable. Ce risque a été accepté comme suit : « D'accord, si cela se produit, protégez-nous pour éviter que la situation ne s'aggrave ». Pas « S'il vous plaît, protégez-nous de ce risque, nous avons accepté qu'il ne se produise jamais », alors vous devez juste atténuer ce foutu problème. Toutes mes excuses, vous avez juste besoin d'atténuer les choses.

Raghu Nandakumara 17 h 26

Absolument et c'est exactement ce dernier point que vous avez soulevé, car en vous entendant parler de cette question avec tant de passion, vous avez compris que si vous acceptez un risque, vous avez essentiellement fait preuve de diligence raisonnable et vous avez dit : « Je pense que mes chances sont en ma faveur. Je vais donc le prendre ici. Je ne vais pas investir plus d'argent », mais il faut se rendre compte que le risque existe toujours. En l'acceptant, non, vous ne l'avez pas fait disparaître, non ? Donc, si c'est exactement ce risque qui est exploité, alors vous ne pouvez pas dire : « Eh bien, je pensais que nous nous étions défendus contre cela ». Tu l'as accepté, non ? Et en fait, à ce moment-là, notre évangéliste en chef John Kindervag, il lui dit que le risque est le danger, n'est-ce pas ? Plutôt que d'accepter le risque, vous devez faire de votre mieux pour l'atténuer autant que possible.

Dr. Erik Huffman 18 h 20

Exactement Les conseils d'administration expérimentés en matière de sécurité ne se contentent donc pas de comprendre la sécurité. Eh bien, ils le savent, mais ils comprennent que la sécurité est une question de gestion des risques. Tous les professionnels de la sécurité ont un travail risqué. Qu'il s'agisse d'utiliser la technologie ou de mettre en œuvre quelque chose, notre conformité est juste une question de gestion des risques. Le conseil d'administration doit donc comprendre, ou vos équipes de développement commercial comprennent, que tout dépend de la gestion des risques. Et donc : « Hé, nous allons le faire. Comprenez-vous ce risque ? Oui. » Ensuite, ils auront, espérons-le, un registre des risques rempli, et ils sauront ce qu'ils acceptent et ce qu'ils essaient d'atténuer. Et puis l'équipe de sécurité, oui, devrait être tenue responsable. Vous êtes tenu responsable des risques que vous choisissez d'atténuer. Comme : « Hé, nous avons dit que nous avions atténué le problème, et nous avons découvert que vous utilisiez toujours Windows XP pour une fichue raison. » Oui, par tous les moyens, par tous les moyens. Mais si ce risque est accepté et qu'il se présente comme ça, cela signifie simplement contrôler les dégâts. Contrôlez les dégâts et assurez-vous que cela ne se reproduise plus. Applaudissez tous les hommes et femmes qui dirigent des organisations entretenant ce type de relation, car l'équipe de sécurité, les RSSI, ne sont pas confrontés à un tel épuisement parce qu'ils comprennent que le conseil d'administration comprend, par exemple, si quelque chose de grave se produit. Je ne suis pas dans la rue sur ce marché du travail difficile.

Vous savez, ils comprennent que, hé, certaines choses peuvent se produire, et nous nous contentons tous de limiter les dégâts, mais certaines choses ne peuvent absolument pas se produire, comme si, si la violation se produisait, et c'est une négligence absolue, oui, vous en êtes tenu responsable, et c'est juste. C'est un argument juste. La voie à suivre. Le nom d'utilisateur était admin, le mot de passe était admin, oui, mauvais. Mauvaise équipe de sécurité. Une équipe de sécurité absolument mauvaise. Ou vous aviez un logiciel non corrigé qui aurait dû être corrigé il y a un an ou trois ou deux trimestres. L'équipe de sécurité devrait probablement en être responsable si vos processus ne fonctionnent pas. Mais si cela se transforme en logiciel ou si cela est dû à un besoin commercial, nous l'avons implémenté ou nous n'avons pas appliqué les correctifs aussi rapidement que nous le voulions parce que nous ne disposons pas de l'équipe dont nous avons besoin. Nous vous avons expliqué quel était le risque, et vous avez dit : « Hé, nous sommes peut-être un peu en retard sur les patchs parce que nous devons investir plus d'argent dans ce domaine », et quelque chose de grave se produit. Alors c'est comme si nous devions y revenir. Ce risque est trop élevé ; les conséquences sont trop élevées et la probabilité est trop élevée. Et cette conversation, à laquelle devraient ressembler toutes les entreprises, c'est le rêve des entreprises.

Raghu Nandakumara 23 h 43

C'est un excellent résumé de quelques points et de la meilleure façon dont l'entreprise d'un côté et l'organisation de sécurité pour soutenir quelque chose de son côté devraient vraiment travailler ensemble pour obtenir les meilleurs résultats pour les deux parties. Alors, merci pour cela, Dr Huffman. J'ai envie de passer à autre chose. Votre domaine, et nous l'avons en quelque sorte contourné, mais vous êtes ici grâce à votre travail de cyberpsychologue. Donnez-nous une définition très simple de ce qu'est la cyberpsychologie.

Dr. Erik Huffman 24 h 14

La cyberpsychologie est un mélange de sécurité, de cybersécurité, de psychologie du comportement humain et de sociologie du comportement humain en neurosciences. C'est clair et simple, vous mettez ces trois éléments ensemble et vous vous retrouvez avec la cyberpsychologie. D'accord,

Raghu Nandakumara 24 h 30

Je comprends, je comprends, non ? Alors, pourquoi est-ce si important aujourd'hui ?

Dr. Erik Huffman 24:36

Parce que plus de 90 %, je pense, c'est entre 94 et 97 % des violations de données concernent le comportement humain, l'élément humain. Je savais donc qu'avant même cette conversation, nous parlions probablement de 2 à 3 % du problème. Cela ne veut pas dire que la technologie importe peu, la technologie compte beaucoup. Nous parlons de 2 à 3 % des violations de données. Les 95 à 97 % restants des violations de données concernent un comportement humain, une erreur humaine similaire ou une ingénierie sociale d'un point de vue ou d'une autre. Lorsque j'ai commencé mes recherches, j'ai extrait un groupe de plus de 300 pirates informatiques, qui se sont identifiés. Ils ne m'ont pas dit s'ils avaient un chapeau blanc, un chapeau noir, un chapeau gris, peu importe. Je pense que 93 % d'entre eux ont déclaré commencer par les humains avant de commencer par la technologie, car ils préféreraient que vous me donniez votre nom d'utilisateur et votre mot de passe. Il ne s'agit même pas de piratage informatique à ce moment-là. Cela me facilite grandement la tâche en tant que menace, en tant qu'acteur de la menace.

Raghu Nandakumara 25:40

Oui, absolument. Et je pense que ce dernier point est probablement un point de départ ; est-ce que les attaquants ne veulent pas travailler dur, n'est-ce pas ? Ils veulent suivre la voie la plus facile pour réussir, et non la voie difficile qui mène au succès. Eh bien, la plupart du temps, de toute façon, il s'agit de la voie la plus facile vers les revenus.

Dr. Erik Huffman 25:57

Oui, vraiment ! Comme utiliser un pare-feu correctif, c'est une tâche insensée. Peu de personnes sur la planète peuvent le faire. Donc, quand vous parlez de, d'accord, vous avez un système IDS entièrement patché, un pare-feu entièrement patché, un routeur complètement patché, mec, comme des personnes qui peuvent s'y introduire par effraction. C'est à peu près 1 % sur 1 %. C'est très, très difficile à faire. Donc ça limite, par exemple, si vous êtes complètement patché, cela limite vraiment le nombre de personnes qui peuvent vous exploiter, mais si je peux vous amener à contribuer à votre propre violation de données, oh, mec, c'est ça, c'est de l'amour.

Les attaquants ne veulent pas travailler dur parce que les technologies évoluent et que des correctifs apparaissent. Les vulnérabilités existent, puis elles disparaissent, mais vous êtes une cible. Ainsi, plus cela prend du temps, plus cela peut devenir difficile. Mais si je peux te faire me parler, si je peux te faire contribuer à tes propres fautes, cela me facilitera beaucoup la tâche. Et je peux obtenir beaucoup plus de données si je deviens un utilisateur privilégié si je peux devenir vous dans votre système, cela me facilite beaucoup la tâche. La plupart des hackers commencent donc par là. Ils commencent par vous, ils commencent par moi, avant de finir par dire : « Hé, laisse-moi affronter Microsoft, Apple, Cisco ou Palo Alto, sans l'avoir, et ils ne veulent pas le faire ». Ils ne veulent pas faire ça. Dans la plupart des cas, la plupart des pirates informatiques ne le font pas. La plupart d'entre eux veulent simplement accéder aux données le plus rapidement et le plus facilement possible.

Raghu Nandakumara 27:36

Et c'est exactement pourquoi une grande partie de la formation de sensibilisation à la sécurité que nous connaissons et aimons tous est si axée sur la lutte contre cette tendance humaine à la curiosité, n'est-ce pas ? Donc, si la formation est axée sur la question, comment pouvez-vous confirmer qu'un site Web que vous allez consulter est digne de confiance, n'est-ce pas ? Comment éviter de cliquer sur ce lien dans un e-mail alors qu'ils vous proposent des billets pour le Super Bowl pour 5$ dans la suite VIP ? Malgré tout cela, nous cliquons toujours avec le bouton droit de la souris. Nous allons toujours sur ce site Web que nous ne devrions pas consulter, non ? Nous donnons toujours nos coordonnées lors d'un appel téléphonique lorsque la personne est notre meilleure amie. Alors pourquoi, malgré toute cette éducation, pourquoi n'en est-il toujours pas ainsi ? Pourquoi n'en êtes-vous pas arrivés à un point où nous nous avons arrêtés ?

Dr. Erik Huffman 28 h 30

Oui, je pense, honnêtement, que nous avons consacré tellement de temps à la sensibilisation à la cybersécurité que nous n'avons même pas exploré la préparation à la cybersécurité. Nous nous sommes tellement efforcés de sensibiliser les gens au problème que nous n'avons pas préparé les gens aux problèmes existants. À ce stade, je dirais que la plupart des gens sont conscients, vous ne devriez donc pas enseigner la sensibilisation. Nous devons commencer à nous préparer. Dans le domaine de l'ingénierie sociale numérique et du phishing, ce n'est rien d'autre que du marketing malveillant. Et toutes les entreprises savent que le marketing fonctionne. C'est pourquoi nous y investissons des milliards de dollars. Le marketing fonctionne. Et un marketing si malveillant, pourquoi cela ne fonctionnerait-il pas ? Parce qu'il s'en prend à l'humain, il s'en prend à l'humain. Il s'appuie sur les principes de l'influence de cet humain. Nous avons tous ces principes d'influence qui existent pour nous. Tout dépend donc de la manière dont l'agresseur choisit d'atteindre la personne. Vos principes d'influence sont différents des miens. Les éléments sur lesquels vous cliqueriez sont donc différents de ceux sur lesquels je cliquerais. Et nous n'avons même pas encore commencé à préparer les gens à la conversation selon laquelle ils vont être attaqués en tant que personne. Nous avons sensibilisé les gens aux menaces techniques. Et en plus de cela, ces menaces techniques semblent très difficiles à gérer. Cela semble très difficile pour une personne qui n'aime pas la technologie ; on dirait que vous devez le faire, même pas comme vérifier les en-têtes de courriels, c'est facile, mais nous commençons à parler de portes dérobées et de choses comme ça. Mais si nous analysions le problème et que nous disions qu'ils essaieront de vous duper en tant que personne. Et pour que vous puissiez nous aider à résoudre le problème de sécurité, nous avons besoin que vous ne vous laissiez pas berner. Ce qu'ils vont essayer de faire, c'est de jouer sur votre principale influence sur le goût. Jouez sur votre principe d'influence, de réciprocité, de curiosité. De telles choses ressembleront alors à une personne, comme un employé moyen, un financier ou un responsable du marketing, comme : « Oh, je peux comprendre. Je peux le faire. Je ne le suis pas, je ne suis pas un expert technique, mais je peux me protéger de ce type d'attaques. » Ensuite, nous commençons à nous concentrer sur la préparation. Nous commençons à préparer les gens au problème parce que la sensibilisation, je ne pense pas, soit une perte de temps. Je pense que nous devons continuer à le faire, mais il faut avoir une longueur d'avance. Nous devons prendre une longueur d'avance et commencer à préparer les gens aux types de menaces qui existent, à la manière dont ils vont les cibler spécifiquement et aux vulnérabilités qu'ils présentent en tant que personne, et vraiment nous pencher là-dessus. Par exemple, en ce moment, il est très difficile de trouver un emploi et les gens ont peur de perdre leur emploi, en particulier dans le secteur de la technologie. Les licenciements technologiques sont en train de devenir fous. Je vous garantis que si vous envoyez un message concernant des licenciements dans le cadre d'une campagne de phishing, les gens vont cliquer. Ce n'est pas parce qu'ils sont stupides. C'est parce que ces gens ont peur pour leur travail. Cela les inquiète. Et ce sont les types de menaces que nous commençons à voir qui sont les plus efficaces. L'époque du prince nigérian est révolue. Vous savez, les gens envoient toujours des choses comme ça, mais quand il s'agit de cibler la personne intentionnellement, les gens ont peur et ils ne veulent pas y réfléchir à deux fois. Ils veulent simplement aider le PDG parce qu'ils ont peur du PDG parce qu'ils ont peur de perdre leur emploi ; c'est une vulnérabilité humaine. Et tout le monde en a un. C'est une mauvaise personne, pas une bonne personne, très vulnérable en ce moment. Et pour corriger cette vulnérabilité entre guillemets, il se peut qu'il faille envoyer un message du PDG. Par exemple, s'il y avait juste un licenciement, les gens ont besoin de l'entendre de la part du PDG, et ils ont besoin d'honnêteté. Si vous venez de licencier environ 20 % de votre entreprise, je vous garantis que les 80 % restants ont peur du prochain licenciement. Alors, d'où vient cette faille de phishing ? Quel est le lien entre cette vulnérabilité d'ingénierie sociale numérique ? Probablement votre nom, M., Mme, Mlle PDG. Parce que si tu envoies un message à quelqu'un d'autre. Je vous garantis qu'ils vont vivre. Ils vont écouter et ne pas vouloir vous poser de questions parce qu'ils ont peur pour leur travail, qui est la nature humaine.

Raghu Nandakumara 33 min 09 s

Ouais, ouais. Je ne pense donc qu'un petit point sur lequel je ne suis pas d'accord avec vous, c'est que je ne pense pas que le prince nigérian soit parti. Cela dit que le prince est désormais doté d'un vaste modèle linguistique capable de générer des e-mails tellement ciblés et personnalisés, n'est-ce pas, que vous les voyez pour autre chose, et que vous pensez que c'est authentique et qu'il s'agit d'une astuce. Mais je voudrais parler de vulnérabilité, de vulnérabilité humaine et de préparation. Donc, ce que vous avez dit, c'est que nous sommes vraiment bons en matière de sensibilisation, n'est-ce pas ? Et je suis d'accord, non ? Et vous pouvez constater que cela va au-delà de l'environnement de travail, et c'est maintenant un peu comme si les enfants étaient sensibilisés à la cybersécurité, dès la maternelle, n'est-ce pas ? Et c'est très important. Et vous avez dit que nous devions nous concentrer sur la préparation. La question que je vous pose est donc la suivante : est-ce là que tout est beau et beau, n'est-ce pas ? Nous sommes capables de prendre toutes sortes de décisions relativement rationnelles et objectives. Mais comme vous le savez, ce sont les attaquants, les pirates informatiques et les criminels qui ciblent. Ils ont profilé leurs cibles de manière à les cibler au moment où elles sont les plus vulnérables. Alors, comment vous préparer à une situation comparable à celle d'un État lorsque vous êtes le plus vulnérable, et comment pouvez-vous tout de même agir de manière à vous protéger correctement ?

Dr. Erik Huffman 34:38

Oui, c'est une question fantastique parce que c'est la mesure que les organisations doivent prendre. Cela repose en grande partie sur l'autoréflexion, mais en grande partie sur la compréhension de l'environnement. Donc, lorsqu'il s'agit de comprendre les environnements, par exemple si vous deviez vous rendre dans un pays où vous n'êtes jamais allé auparavant, je vous garantis que si vous avez un sac à dos, vous serez beaucoup plus conscient de ce qui se passe autour de ce sac à dos. Si vous êtes une femme ou un homme et que vous portez un sac ou une sorte de sac à main, je vous garantis que vous allez le serrer un peu plus étroitement. Cependant, lorsque vous êtes en ligne, l'environnement physique qui vous entoure ne change pas, mais dans votre environnement numérique, vous vous trouvez peut-être dans un no man's land. Vous vous trouvez peut-être dans un endroit étrange et étranger, mais comme l'environnement physique qui vous entoure ne change pas, votre cerveau en tant que personne, biologiquement, ne voit pas les menaces. Il ne voit pas les menaces de la même façon. En particulier certaines organisations, beaucoup d'organisations avec lesquelles je suis tout à fait d'accord, vous savez, travaillent à domicile. Si vous travaillez à domicile, vous êtes beaucoup plus à l'aise. Votre état le plus vulnérable en tant que personne en ligne est donc différent de votre état le plus vulnérable en tant que personne physiquement. Par exemple, si tu es à l'aise, tu es plus facile à pirater. C'est comme si vous êtes à l'aise dans votre environnement physique, vous êtes plus susceptible de vous dire : « Hé, je vais avoir mon sac à dos, et il se peut que je laisse mon sac à dos quelque part ». Et revenez à dire : « Oh mec, je l'ai complètement oublié. Mais si vous êtes dans un pays étranger, vous n'êtes probablement pas en train d'oublier ce sac à dos. Mais en ligne, numériquement, si vous êtes à l'aise, vous ne vous dites pas : « Hé, laisse-moi vérifier ça. Permettez-moi de vérifier cela. » Parce qu'en tant qu'humain, comme par défaut, s'il s'agit d'une langue écrite, la voix par défaut avec laquelle vous lisez est la vôtre, et parce que vous lisez avec votre propre voix. Vous recevez tous ces messages, toutes ces commandes, d'une voix amicale et fiable, parce que la plupart des gens ont confiance en eux, ils s'aiment. Vous ne le lisez pas avec la voix de la personne qui l'a envoyé, à moins que vous ne voyiez le nom d'un être cher ou d'une personne que vous connaissez, puis vous commencez à le lire dans sa voix. Ainsi, en tant qu'attaquant, je peux amener n'importe qui à dire ce que je veux, car c'est ce que j'aime appeler l'authentification par facteur humain. Vous voyez le nom, puis vous voyez le message, puis vous faites confiance au message. Tu sais que tu dois être capable de vérifier ces choses. Ainsi, alors que nous commençons à passer de la prise de conscience à la préparation, une grande partie de notre temps passe par la compréhension de l'environnement et de la compréhension de soi. Et si vous comprenez l'environnement dans lequel vous vous trouvez, vous êtes dans une position légèrement meilleure. Et si vous vous comprenez vous-même, la façon dont vous recevez les informations et les vulnérabilités que vous avez en tant que personne, alors vous êtes dans une meilleure situation. Au début, j'ai reçu un message d'un imposteur, aussi imposant que ma mère. Donc, tu sais, je connais la voix de ma mère, femme et homme noirs du Sud, la voix la plus amicale de ma tête. Et donc quand je vois que je reçois cette information, je reçois cette information dans sa voix. Et c'est difficile de dire « non ». Tu sais, c'est un peu comme ça. Et l'IA s'en empare, et elle est en train de renverser la situation comme un fou en ce moment.

Raghu Nandakumara 38:11

Oui, absolument. En fait, pour ceux d'entre vous qui n'ont jamais entendu le Dr Huffman raconter cette histoire, je vous encourage vivement à regarder la vidéo de sa conférence TEDx, qui est racontée de la manière la plus brillante et la plus brillante qui soit. Nous mettrons le lien dans les notes de l'émission. Donc, quand nous pensons à une sorte de préparation et à la capacité d'être, je suppose, capable d'être préparé même en période de stress et de vulnérabilité, n'est-ce pas ? Donc, toutes ces choses, et ce sont des choses difficiles à développer, comment pouvons-nous ensuite élaborer un solide programme de préparation à la cybersécurité ?

Dr. Erik Huffman 38:49

Oui, alors fais-le, tu dois vraiment faire deux choses. Vous devez procéder à une évaluation de la menace et à une évaluation de la capacité d'adaptation. Et j'encourage chacun à le faire lui-même, pour ne pas dire que chaque organisation doit le faire dans une organisation avec des objectifs de grande valeur. Tu peux le faire avec eux. Vous pouvez procéder à une évaluation de la menace et à une évaluation de la capacité d'adaptation. Qu'est-ce qu'une évaluation des menaces, quelles sont les vulnérabilités ou les menaces qui existent pour cette personne en particulier et quels sont les risques qui existent pour cette personne en particulier ? Ensuite, l'évaluation de l'adaptation consiste à déterminer quelles compétences et comment réagiraient elles si ces risques se produisaient. Alors que vous évaluez la menace, vous vous demandez simplement : comment puis-je gérer ce risque particulier ? Comment traiter ce cas particulier ? Quelles menaces existent de façon réaliste, non seulement pour le travail, mais aussi pour la personne et elle-même qui existe ? Donc, si vous le faites personnellement, vous pouvez être beaucoup plus réaliste, ou vous pouvez être beaucoup plus personnel face à certaines des menaces qui existent pour vous. Ensuite, sur cette base, vous pouvez faire une évaluation de l'adaptation. Oui, et puis cette évaluation de l'adaptation consiste à déterminer quelles sont les compétences de la personne ou le système de soutien dont elle a besoin pour mieux se préparer aux risques qui existent. En procédant à ces deux évaluations, vous aurez une longueur d'avance sur la plupart des organisations, car ce sont des choses psychologiques que les gens devraient faire. Par exemple, lorsqu'ils font face à un traumatisme ou suivent une thérapie, la plupart des psychologues vous diront de procéder à une évaluation de la menace. Faites une évaluation de votre capacité d'adaptation pour voir où vous en êtes, et donnez un exemple rapide. Donc, si vous deviez procéder à une évaluation de la menace, la question que vous pourriez vous poser est la suivante : que pourriez-vous ou devriez-vous faire pour réduire ce risque particulier lié à ce problème ? Insérez-les comme des blancs, quel que soit le risque qui existe. Quelle est votre expérience de cette menace particulière ou de cette situation particulière qui existe ? Et puis une autre question que vous pouvez vous poser, qui me vient à l'esprit, est la suivante : comment éviter de faire face à ce risque particulier qui existe ? À partir de là, vous obtenez une compréhension globale de la personne et du risque qui existe en tant que telle, car cette personne travaille au sein de l'organisation, si vous voulez approfondir, si vous en faites une contre vous-même ou si vous voulez poser une question approfondie à quelqu'un pendant que vous effectuez une évaluation de la menace, à savoir : comment savez-vous que vous êtes contrarié ? Et quand tu es énervé, est-ce que tu te le caches à toi-même ? Et donc, s'ils sont réalistes, dites : Comment puis-je savoir si je suis contrarié ? Vous savez, en général, je commence à serrer les poings ou les paumes, à transpirer, ou quelque chose comme ça. Par exemple, il y a des signes révélateurs pour moi quand je m'énerve. Le cachez-vous à vous-même et aux autres ? Genre, oui, oui. En général, je me contente de garder ça en place, alors c'est comme si vous, si vous êtes dans une période de stress élevé, vous ne montrez probablement pas vraiment de stress, et vous vous le cachez à vous-même. Vous comprenez donc ce risque, vous comprenez la menace qui existe pour cette personne, puis vous pouvez faire face à cette même menace, et lorsque cette menace se produit, comment pourriez-vous envisager cette situation particulière ? Et puis vous passez de ce que l'on appelle la méthode de la couche d'essai. Cela va de la définition de la menace à celle de savoir ce que vous pourriez faire pour y remédier. Quelles sont les possibilités qui s'offrent à vous ? Par exemple, comment pourrais-tu envisager cette menace autrement ? Comme si cette menace ne pouvait pas disparaître. Comment pourrais-tu envisager cette menace autrement ? Ensuite, vous donnez à la personne des outils lui permettant de mieux évaluer et gérer les situations auxquelles elle peut être confrontée au travail. Ensuite, vous vous demandez comment pourriez-vous changer votre réponse à ce problème ? Je veux dire, si vous modifiez votre réponse au problème, vous leur donnez en fait des outils pour modifier leur comportement. Donc, plutôt que de vous informer de ce qui se passe, comme la sensibilisation à la cybersécurité, je vous prépare. Je vous montre ce qui existe pour vous et je vous donne les outils nécessaires pour vous préparer au moment où ils se produiront. Si la menace ne peut pas disparaître, vous devez comprendre comment vous la percevez et vous devez comprendre comment vous pouvez changer la situation de cette menace afin d'être mieux préparé à y faire face. Donc, si vous recevez des e-mails ciblés, ou si vous recevez des messages ciblés ou des appels ciblés, ou si vous recevez des deepfakes d'IA de la part de personnes en particulier, vous pouvez mieux vous préparer à voir ces choses qui existent, vous pouvez faire beaucoup de choses. Ainsi, les évaluations de la capacité d'adaptation, les évaluations des menaces qui en découleront, changeraient complètement la donne pour les organisations en raison des menaces existantes. Si vous ne choisissez que des menaces, ne choisissez pas n'importe quelle menace au hasard. Choisissez les menaces qui ont de la valeur. Comme s'il y avait 1000 menaces pour chaque personne. Nous savons tous que, comme tout peut arriver, choisissez les menaces qui ont de la valeur. Une fois que vous avez choisi les menaces qui ont de la valeur, aidez la personne à comprendre quelle est sa gravité perçue, car elle peut ne pas en voir la gravité, ou elle peut penser que la menace est bien plus grave qu'elle ne l'est réellement, et s'il pense que la menace est bien plus grave qu'en réalité, c'est la zone Boucle d'or, pour quelqu'un qui clique sur quelque chose ou qui est victime d'ingénierie sociale, la menace n'est même pas si grave. Comme le PDG, ils ne vont probablement pas vous virer. Vous ne devriez pas avoir peur de votre travail, mais la menace perçue, la gravité de cette menace sont très élevées, puis la vulnérabilité perçue des professionnels de la cybersécurité, dont nous sommes constamment victimes. Je comprends la technologie, donc je ne vais pas être victime de l'ingénierie sociale numérique pour percevoir la vulnérabilité comme une folie. Oui, tu le feras, je suppose que tu peux, parce que ce n'est pas un problème technologique. C'est un problème humain, et puis les avantages qui en découlent. À partir de là. Ensuite, l'adaptation est tout ce que j'ai expliqué. Et puis, une chose à ajouter à l'adaptation est simplement basée sur votre évaluation de l'adaptation. Vous allez développer une plus grande efficacité personnelle, car nous avons découvert que des personnes détestent la microgestion, des personnes qui s'autosurveillent, comme probablement vous et moi détestons la microgestion. Je suis très motivé. Je n'ai pas besoin d'être regardé. Nous sommes beaucoup plus victimes de l'ingénierie sociale que les personnes qui comptent sur d'autres personnes. Parce que je suis là, je suis seule, genre, laisse-moi faire mon travail. Je vais bien, et c'est pour cela que je compte sur moi-même. Je suis plus isolé. Et comme je suis plus isolée, je vais devoir prendre mes propres décisions. Et donc l'ingénierie sociale, vous allez vraiment, vous allez vraiment prendre et discuter en tête-à-tête avec l'ingénieur social et l'acteur de la menace. Vous êtes donc plus susceptible d'être victime d'une tentative d'ingénierie sociale, comme je le ferais, et avec cette évaluation de l'adaptation. Ce que vous alliez obtenir ensuite, c'est une perception de contrôle. Peux-tu contrôler la situation ? Et si vous avez une impression de contrôle, si vous pouvez aligner tous ces éléments et contrôler la menace qui pèse sur la personne, elle ne regarde plus l'équipe de sécurité car, hé, vous allez me sauver de toutes les erreurs que je peux commettre. Je ne peux absolument pas vous éviter toutes les erreurs, car si vous commencez à rejoindre l'acteur de la menace et que vous lui donnez les clés du royaume, je ne peux rien faire pour vous sauver. Ainsi, ce contrôle perçu vous permet maintenant de percevoir avec précision le contrôle de la situation. Parce qu'à l'heure actuelle, si en tant qu'utilisateur, vous percevez que l'équipe de sécurité va me sauver, est-ce que les filtres anti-spam vont me sauver ? Nous avons tous ces outils de sécurité, par exemple, je n'ai pas à m'inquiéter de l'ingénierie sociale. Oui, tu le sais. Votre perception du contrôle de la situation est que vous n'avez pas le contrôle, et je vous promets que vous avez le contrôle. Désolée, c'était une longue réponse. Cela me passionne.

Raghu Nandakumara 47:09

Non, j'adore ça. Je pense que c'est une excellente réponse. Et je pense que c'est très important parce que, encore une fois, je voudrais résumer, non ? C'est ce passage de la prise de conscience à la préparation, n'est-ce pas ? La prise de conscience est une bonne chose, mais elle est fondamentalement inutile si vous n'êtes pas prêt à agir en fonction de cette prise de conscience. Et je pense que vous êtes gentils après avoir résumé les pistes qui nous permettront de mieux nous préparer.

Dr. Erik Huffman 47:35

Oui, exactement parce que, être conscient, c'est comme si vous conduisez une voiture, des accidents de voiture se produisent, être préparé, c'est mettre votre ceinture de sécurité, oui, et quand vous conduisez, je pense que la plupart des gens, tout le monde devrait être préparé à un accident. Vous savez, évidemment, vous voulez avoir, vous voulez avoir votre ceinture de sécurité, juste au cas où quelque chose arriverait. De plus, la préparation de l'industrie automobile, c'est qu'il y a des airbags et tout ça. La voiture est conçue pour être plus sûre si quelque chose devait arriver, et vous portez votre ceinture de sécurité, vous êtes prêt à faire face à tout événement. Nous espérons qu'il le fera, mais vous y êtes préparé. Et pour l'instant, nous n'avons pas de ceinture de sécurité. Nous n'avons pas de ceinture de sécurité en matière de cybersécurité. Nous avons juste tout un tas de vidéos et une prise de conscience de ce qui peut arriver, et ce que nous avons fait tardivement, c'est que psychologiquement, nous avons effrayé tous ceux à qui nous aurions dû nous préparer. Oui, tout le monde a peur de cette menace qui existe, mais nous devons les y préparer, car le rythme des affaires ne ralentira pas. On ne peut pas dire « Internet va disparaître ». C'est trop dangereux de ne pas se produire. Ce n'est pas réaliste. Nous devons donc vous préparer à l'environnement dans lequel vous allez sans aucun doute vivre et à l'exploiter comme dans les voitures. Vous pourriez essayer d'autres moyens pour vous rendre au travail, des moyens plus sûrs, mais très probablement, si vous voulez garder votre emploi, vous ne voulez pas commencer à pédaler à minuit pour vous rendre au travail à une heure décente, vous devrez vous préparer à un éventuel accident de voiture. J'espère que cela n'arrivera pas. Mais s'il vous arrive de faire face à ce genre de menace, portez votre ceinture de sécurité pour que tout aille bien. Et maintenant, si vous vous retrouvez face à un acteur de la menace très bien équipé, surtout maintenant que l'IA et les deepfakes s'adressent à tout le monde, nous pouvons entrer dans le vif du sujet et dire, comme si cela s'adressait à tout le monde, vous devez mieux vous préparer aux types de menaces auxquels vous serez confronté en tant qu'individu. Et cela n'inclut pas le fait d'aller de pair, comme coder, de coder à code avec un acteur menaçant comme si vous le perdiez. Mais si vous pouvez vous préparer, si vous pouvez vous préparer psychologiquement, vous pouvez les empêcher d'aller aussi loin. Vous pouvez les empêcher de vous exploiter en tant que personne. Parce qu'à l'heure actuelle, 90 % du problème n'est pas juste comme ça. L'être humain est le maillon le plus faible. Ce n'est pas vrai. Je pense qu'en tant qu'êtres humains, nous sommes les plus vulnérables. C'est nous qui avons le plus de vulnérabilités. Nous ne sommes pas le maillon faible. Nous bloquons nous-mêmes de nombreuses menaces, mais nous sommes confrontés à une énorme quantité de vulnérabilités uniques que la technologie ne peut pas nous éviter. C'est

Raghu Nandakumara 50:17

fascinant. J'adore l'analogie avec la ceinture de sécurité. Et en fait, si cela ne vous dérange pas, je vais voir de quoi il s'agit parce que, comme vous l'avez dit, si vous portez une ceinture de sécurité, si la voiture possède toutes les caractéristiques de sécurité dont elle dispose, c'est parce que cela signifie qu'en cas d'accident, nous voulons que vous soyez aussi en sécurité que possible, n'est-ce pas ? Dans ce contexte, pensez-vous qu'une stratégie Zero Trust, une approche Zero Trust, dont nous avons parlé, est inévitable, comme une attaque, n'est-ce pas ? L'attaquant trouvera le moyen de réussir, de manière à ce que nous ne puissions jamais effacer tous les accidents de la route dans ce scénario. Pensez-vous qu'adopter une stratégie Zero Trust, c'est un peu comme installer ces dispositifs de sécurité sur une voiture ? Il prépare au mieux une organisation à cette inévitable cyberattaque.

Dr. Erik Huffman 51:10

C'est ce que je pense vraiment. Donc, si votre organisation, parce que nous sommes en train de parler, essaie de créer un comportement de type Zero Trust chez les gens lorsqu'ils lisent des choses ou interagissent avec des personnes ou d'autres entités en ligne, et donc en tant qu'organisation, si elle met en place une infrastructure Zero Trust, c'est le meilleur scénario pour les organisations. Il ne s'agit même pas de faire confiance, mais de vérifier. C'est vérifier. Vous savez, parce que nous avons commencé à dire « fais confiance, mais vérifiez ». Vous pouvez vous y fier, mais vérifiez que c'est vrai. Genre, non, ne te fais pas confiance du tout. Tu sais, il suffit de vérifier, de tout vérifier. Parce que Zero Trust, d'après ce que c'est. Il ne s'agit pas d'un produit. C'est une mentalité ou un concept que toute une organisation doit suivre. Vous ne pouvez tout simplement pas acheter quelque chose et dire : « Hé, nous sommes maintenant Zero Trust ». Vous devez implémenter tout un tas de comportements différents. Je dirais donc à certains que vous n'êtes pas totalement Zero Trust, même si vous l'avez fait d'un point de vue technique si vous n'avez pas examiné les gens et ne leur avez pas donné le pouvoir de faire preuve de Zero Trust. Donc, si vous faites preuve d'une telle autorité dans votre comportement en tant qu'organisation qu'ils ne peuvent pas vous remettre en question, vous leur dites de faire confiance à tout ce qui vient de vous. Ce n'est pas Zero Trust. Je pense donc que l'un doit se produire avec l'autre, comme si vous deviez faire preuve de Zero Trust en tant qu'organisation dans votre comportement, et vous devez être Zero Trust en tant qu'organisation d'un point de vue technique.

Raghu Nandakumara 52:43

Oui, absolument. Je pense que c'est le bon choix. Alors, passons à autre chose. Et nous nous sommes plongés ici et là dans l'IA, tout au long de cette conversation. Donc, je veux dire, je vais en quelque sorte revenir à la racine de tout cela en cyberpsychologie à cause de tout ce dont nous avons parlé. Si nous en tenons maintenant au fait que l'IA est une réalité, n'est-ce pas ? Nous l'utilisons au quotidien, dans le cadre de notre travail, non ? Dans nos vies. Mais si nous y réfléchissons du point de vue de la psychologie, cela représente vraiment un énorme défi, car aujourd'hui, tout comme notre capacité à discerner la réalité de la fiction, c'est très difficile, n'est-ce pas ? Oui, c'est juste que la difficulté a beaucoup augmenté. Alors, comment cela se répercute-t-il dans votre domaine ?

Dr. Erik Huffman 53:37

Oh, il m'a fallu beaucoup de choses sur lesquelles j'ai travaillé pendant des années, et ça a tout détruit. Non, blagues à part. Cela ajoute tellement de complexité. Parce que pour un être humain, quand je dis que vous lisez votre propre voix, c'est exactement ce qui se passe. Donc, si vous aimez regarder un film, lire un livre, un très bon livre, puis vous regardez le film, et vous êtes déçue, parce que tout le monde a l'air faux, tout le monde a l'air mal, et la personne qui a créé ce film est l'une des personnes qui ont écrit le livre, et vous leur dites qu'ils ont tort, parce que quand vous construisez, quand vous lisez, vous construisez ce personnage dans votre tête, et puis vous vous commencez à lire avec leur voix et vous acceptez cela comme la norme. En ce qui concerne l'IA, je peux désormais me débarrasser de tout ce travail mental que vous faites. Je peux vous faire voir ce que je veux que vous voyiez, et je peux vous faire entendre ce que je veux que vous entendiez comme je veux que vous l'entendiez. Auparavant, c'est pourquoi les mèmes n'étaient jamais envoyés sous forme de menaces. Vous savez, comme s'ils n'envoyaient pas de mèmes parce que vous les voyez, puis toutes vos défenses biologiques se déclenchent, et puis vous vous dites : « Non, ce n'est pas réel ». Mais en tant qu'IA maintenant, je peux m'appuyer sur le principe du like. Je peux vous montrer un homme, une femme attirante ou qui que ce soit d'autre, et vous aurez alors plus de chances de recevoir certaines de ces informations. Je peux avoir une vidéo de votre PDG vous demandant, dans sa voix, de faire ce qu'il fait et ce que je veux que vous fassiez, et vous aurez plus de chances de la recevoir. Je peux avoir une fausse pose comme toi et l'envoyer à quelqu'un d'autre, et il aura plus de chances de la recevoir. Il supprime les défenses biologiques contre ce danger étrange lorsque vous regardez quelqu'un et qu'il dissout lentement ces éléments, et au fur et à mesure que nous évoluons, l'objectif de l'IA est de ne pas être détectable par l'homme qu'il s'agit d'une IA. Et du point de vue de la sécurité, c'est comme si j'avais besoin que ce soit suffisamment faux pour être visible. Et en ce moment, ça devient un peu trop beau, et c'est difficile à dire, comme si un directeur financier avait envoyé de l'argent à d'autres directeurs financiers via Deep Fake parce qu'ils les entendaient le dire au téléphone. C'est déjà arrivé. Et l'IA n'est même pas si géniale en ce moment. Il est toujours dans son ambassade. Mais quand ça devient vraiment très bon, les défenses biologiques que nous avons quand nous voyons la chanson vont s'effondrer parce que maintenant vous ne pouvez pas vous fier à ce que vous lisez, vous ne pouvez plus toucher, ne pouvez pas vous fier à ce que vous voyez, vous ne pouvez pas vous fier à ce que vous entendez. Nous ferions mieux d'être Zero Trust à ce moment-là, car ça va devenir très effrayant là-bas.

Raghu Nandakumara 56:32

Et je pense qu'à ce moment-là, tout ce qui concerne la préparation, c'est que tout à coup, nous revenons à la case départ, oui, d'accord, devant complètement réinitialiser et recommencer.

Dr. Erik Huffman 56:44

Absolument, parce que les acteurs de la menace, comme tout ce que nous avons construit auparavant, ont trouvé un moyen génial de l'utiliser contre nous. Par exemple, le cryptage a été conçu pour être un outil de sécurité, et c'est un outil de sécurité parce qu'il a été conçu pour préserver la confidentialité de nos informations. Ce que les acteurs de la menace ont fait, ils l'ont pris et ils ont créé un ransomware, et ils ont dit : « Hé, nous allons utiliser le cryptage, nous allons crypter vos propres données, et nous allons vous faire racheter vos propres données ». Donc, en ce qui concerne l'IA, nous avons quand même vu des attaques d'IA commencer à se produire. Mais à mesure que les acteurs de la menace commenceront à comprendre l'IA et à savoir comment l'exploiter pour lutter contre le comportement humain, ce sera énorme en matière d'ingénierie sociale numérique. Par exemple, maintenant je peux faire voir à cette personne ce que je veux qu'elle voie et qu'elle entende ce que je veux qu'elle entende, comment puis-je ? Comment puis-je en tirer parti pour mon propre bénéfice personnel ? Parce que les organisations essaient déjà d'en tirer parti pour leur propre bénéfice personnel grâce aux différentes publicités et campagnes marketing qui existent. L'auteur de la menace va commencer à en tirer parti contre nous, car je peux m'appuyer sur ces principes d'influence des personnes, et vous pouvez participer à un appel Zoom, ou vous pouvez participer à un appel vidéo de n'importe quelle sorte avec quelqu'un et parler à une version deepfake de qui que ce soit. Et vous sentez que c'est réel, et cela vous enthousiasme, mais en fait, ce n'est pas le cas. C'est comme si ça pouvait être n'importe quoi, une fausse marque, un faux appel de vente, tout ce dont les gens ont besoin pour être prêts à faire face à ce genre de choses, même des deepfakes en voix maintenant sur des appels téléphoniques, comme, pouvez-vous simplement parler à qui vous pensez avoir confiance avant que ce ne soit comme si, hé, la réponse était que je décrochais le téléphone et j'appellerais cette personne. Est-ce là la solution ? Je vais décrocher le téléphone et appeler cette personne. Hé, tu sais, Susan, c'est ça ? Tu aimes « Oui, tu es sûr ? Je pense que oui, tu m'appelles. Alors tu dis : « Oh, oui, je t'ai appelé. Donc, dans It's going out, ça va vraiment changer la donne en matière d'ingénierie sociale numérique. Et nous commençons déjà à le voir un peu, je pense, qu'il va se catapulter dans la stratosphère au cours des cinq prochaines années.

Raghu Nandakumara 59:06

Je pense que c'est presque au point où même ce genre d'interactions non physiques, disons que c'est par téléphone, que nous allons presque devoir trouver un moyen d'utiliser différentes méthodes pour valider l'identité, n'est-ce pas ? Nous allons devoir faire de même pour dire : « Hé, je suis le Dr Huffman. Peux-tu valider ? Pouvez-vous « vous identifier », quels que soient votre visage, votre identité, etc., afin que je puisse confirmer que je vous parle avant la suite de la conversation ? Je pense donc que c'est en quelque sorte là que la façon dont nous abordons la préparation et même la sensibilisation, dans une certaine mesure, va tellement changer au cours des prochaines années. Et je pense, je veux dire, que vous êtes à la pointe de la technologie, à savoir que nous n'en sommes qu'au tout début de l'élaboration de ce à quoi ressemblera cette préparation.

Dr. Erik Huffman 59:58

Oh oui, définitivement. Je ne pense pas que nous l'ayons examiné assez attentivement. Nous avons consacré beaucoup de temps à la sensibilisation. Je ne pense même pas que la plupart des gens aient commencé par la préparation en dehors du domaine technique, c'est-à-dire lorsqu'on commence à parler de menaces psychologiques. J'ai travaillé avec quelques organisations, et elles m'ont posé la même question : « Hé, pourrais-tu vérifier avant d'appeler ? Par exemple, que devons-nous faire ? » J'ai dit que si c'était une entité gouvernementale, si vous avez quelque chose de super secret, de super important, vous pouvez avoir, genre, une phrase codée, comme, quand la vache saute par-dessus la lune, j'ai mal au ventre, vous savez, quelque chose dans le genre, quelque chose que Deepfakes n'a même pas approché de près, comme vous ne pouvez pas faire semblant si c'est si confidentiel si c'est si secret, vous pourriez avoir besoin de loin, parce que si vous craignez que quelqu'un, quelque chose ou une organisation vous cible vraiment, vraiment de cette façon, et que vous ne puissiez pas y arriver loin. Vous devrez peut-être aller aussi loin parce que le deep fake vocal ne tient plus qu'à 20 secondes. 20 secondes de données vocales entraîneront un deepfake à sonner correctement. Vous savez, parce que nous écoutons de la musique tout le temps. C'est comme si les musiciens ne mouraient plus. Comme si tu pouvais obtenir un nouveau disque d'Elvis. Vous pouvez avoir un nouveau Michael Jackson, France Tupac, vous savez, et ça a l'air bien. Et les gens sortent de la musique en ce moment, et d'autres personnes disent que cela ressemble à de l'IA, mais en fait, il n'y a que les artistes dans leur nouvelle chanson. Ce sont des personnes, un artiste sort une chanson, et c'est comme si ce n'était pas moi, c'était de l'IA. Et au fur et à mesure qu'il devient aussi bon et qu'il commence à s'intéresser à d'autres personnes, à des personnalités publiques ou à des personnes que vous ne connaissez même pas, il sera difficile de se fier même aux données vocales, et bientôt il sera difficile de se fier à ce que vous voyez en ligne, de sorte que la posture Zero Trust devra également se faire d'un point de vue psychologique pour les gens. Si ce n'est pas le cas, 90 % vont rester à 90 % et cela va simplement stagner, ou, si ce n'est pas le cas, les acteurs de la menace opteront pour la solution la plus vulnérable, par exemple, si je peux vous faire donner vos informations d'identification, peu importe ce que vous pouvez faire. Peu importe ce que tu peux faire. Absolument

Raghu Nandakumara 1:02:24

Je veux dire, en parlant d'artistes, je dirais que depuis l'époque où l'autotune a été introduit, nous ne savons pas si nous écoutons le véritable artiste ou non, mais vous avez dit que nous allions le faire, nous ne pouvons pas nous fier à ce que nous voyons.

HORODATAGE DU DR HUFFMAN

Alors que l'IA et les deep fakes commencent à apparaître, les acteurs de la menace commencent à choisir d'utiliser certaines de ces choses contre nous. C'est clair, on ne peut pas le dire, mais c'est encore pire quand on commence, par exemple, à utiliser des filtres photographiques, oui, on commence à y ajouter des filtres. C'est comme si notre IA était réelle, mais nous avons filtré tout le monde. Oui, c'est encore plus nul parce que les gens ne peuvent tout simplement pas le dire. Et cela n'en est qu'à ses balbutiements. Il y a une mauvaise IA, parce que, vous savez, beaucoup de gens regardent comme les doigts, vous savez, il y a environ sept doigts sur une main pour les révéler. Mais les bons doigts qui existent, et les plus modernes, commencent à s'améliorer, comme si les mains commençaient à n'avoir que cinq doigts, au lieu d'avoir des membres supplémentaires ou quelque chose comme ça. Cela nous amène simplement à nous demander comment, en tant que public, y compris les professionnels de la sécurité, pouvons-nous faire la différence ? Et parce que nous ne pouvons pas faire la différence aujourd'hui, entre ce que c'est aujourd'hui, quoi et les acteurs de la menace. Nous savons qu'il s'agit d'une vulnérabilité qui, même si vous regardez, vous ne pouvez pas détecter les données vocales si nous avons des vidéos maintenant. C'est la dernière étude sur les vidéos d'IA existantes qui indique environ 30 % à 35 % en ce moment, nous ne sommes pas encore proches de la saturation des données, donc, mais c'est quand même moins qu'un lancer de pièces, ce qui me dit quand même que nous ne pouvons pas faire la différence. Si nous pouvons faire la différence en tant que public, le chiffre que je recherchais est supérieur à 70 %, car cela signifie que c'est plus qu'un tirage au sort. C'est bien plus qu'une pièce, nous pouvons réellement voir la différence, c'est moins qu'un lancer de pièce, et c'est bien moins qu'un lancer de pièces où nous ne pouvons pas faire la différence entre ce qui est réel et ce qui a été manipulé par ordinateur.

Raghu Nandakumara HORODATAGE

Je veux dire, Dr Huffman, je sais que nous enregistrons ici depuis longtemps. J'ai pris beaucoup de votre temps, mais vous ne me laissez pas beaucoup d'espoir avec ce que vous avez fait valoir, à savoir que, dès aujourd'hui, les probabilités que nous puissions regarder une image, écouter du son et déterminer avec précision si elle est fausse ou réelle sont nettement inférieures à celles d'un lancer de pièces. Et puis, au fur et à mesure que nous alimentons ces modèles d'IA avec davantage de données, n'est-ce pas ? Ils ne feront que s'améliorer. Donc, comme pour simplement transmettre votre message, nous devons repenser, potentiellement, la façon dont nous présentons la sensibilisation. Nous devons absolument repenser la façon dont nous nous fabriquons. Mieux préparés à la façon dont nous réagissons, que ce soit en tant qu'individus ou en tant qu'organisations victimes de cyberattaques. Mais je pense que l'essentiel que vous soulevez ici est que nous devons vraiment penser de la même manière, mais nous ne pouvons pas nécessairement laisser de côté les émotions humaines, n'est-ce pas ? La façon dont nous nous préparons mutuellement à réagir face à de telles situations est fondamentale, et c'est la seule façon de nous améliorer collectivement dans la gestion des cyberincidents,

Dr. Erik Huffman HORODATAGE

Absolument, et je dirais que tout espoir n'est pas perdu. Je pense qu'il y a beaucoup de progrès à faire à cause de tout cela. L'une des choses dont je suis fier dans mes recherches, c'est que nous ne vendons rien. Et il y a une solution à ce problème. Il existe des moyens psychologiques de résoudre ce problème alors que nous n'avons pas à être les 90 %. Si nous réduisons les 90 % à 70 %, nous priverons les cybercriminels de centaines de milliards de dollars. Ensuite, comprendre que le problème n'est pas lié à la technologie ne veut pas dire : « Hé, nous devons innover quelque chose de nouveau ». C'est juste que nous devons changer notre façon de nous entraîner. Nous devons changer notre façon de penser. Nous avons appris à mieux comprendre l'environnement et à quel point vous êtes psychologiquement plus vulnérable en ligne que face à face. Par exemple, personne n'a communiqué les informations de sa carte de crédit en face à face, personne n'a communiqué ses informations de compte bancaire. Cela ne se produit tout simplement pas. Nous le faisons en ligne, et c'est comme si je ne le ferais jamais. Oui, nous le faisons, c'est comme si, dans les embouteillages, tout le monde était nul au volant, mais personne n'est un mauvais conducteur. Si vous leur demandez, oui, je suppose que oui, vous penserez qu'il y a un moyen de joindre tout le monde. Nous pouvons donc absolument résoudre ce problème, et nous pouvons y remédier, et c'est totalement gratuit.

Raghu Nandakumara HORODATAGE

Absolument. Je pense que c'est ce qui est beau. Donc, Dr Huffman, cela a été un plaisir et une telle éducation de vous avoir sur le podcast. Je sais quand je me prépare. Je sais que tu es un grand fan de Will Smith, et toi et moi sommes tous deux de grands fans de Fresh Prince of Bel Air. Nous avions prévu d'intégrer des leçons de cybersécurité de Fresh Prince, mais nous n'en reparlerons que lors de votre prochaine diffusion sur notre podcast. Mais merci beaucoup. Docteur Huffman.

Dr. Erik Huffman HORODATAGE

Pas de problème du tout. Pas de problème du tout. Merci beaucoup. L'amour. J'apprécie. C'est fantastique.

Raghu Nandakumara HORODATAGE

Merci d'avoir écouté l'épisode de cette semaine de The Segment. Pour encore plus d'informations et des ressources Zero Trust, consultez notre site web à l'adresse illumio.com. Vous pouvez également communiquer avec nous sur LinkedIn et Twitter à Illumio, et si vous aimez la conversation d'aujourd'hui, vous pouvez retrouver nos autres épisodes partout où vous trouvez vos podcasts. Je suis votre hôte, Raghu Nandakumara, et nous reviendrons bientôt.

‍