Selon le CISO de Xerox, le monde est confronté à plusieurs avenirs, et tous évoluent et se transforment.
Par le Dr Alissa Johnson
Nous sommes nombreux à nous demander : « Que se passera-t-il dans le futur, et comment pouvons-nous anticiper ce qui va se passer ?» On me pose souvent la question de l’avenir de la cybersécurité.
Comme s’il n’y avait qu’un seul avenir ! Ce n’est pas le cas. La question est : Ne nous préparons pas qu’à un seul avenir – l’avenir est un amalgame de nombreux aspects. Ce grand avenir contient l’avenir de l’économie, l’avenir des écosystèmes, l’avenir de la politique, l’avenir de la vie privée et cette liste s’allonge encore et encore.
Tous ces futurs évoluent, changent et se remodèlent continuellement, ce qui signifie que nous devons être suffisamment flexibles afin que tous les aspects soient couverts.
Tout changement dans l’un ou l’autre de ces futurs modifient leurs trajectoires, et chaque changement a un effet d’entraînement sur de nombreux autres aspects. Cela dépend également des violations et des expositions signalées et de leurs ramifications. Ceux-ci impactent l’avenir de la responsabilité personnelle ainsi que la tolérance que l’on lui accorde.
Dans cet esprit, il est difficile d’anticiper réellement ce qu’est l’avenir de la cybersécurité, mais plus facile d’anticiper et de se préparer à l’un ou l’autre de ces changements qui affectent l’avenir. Avec ce niveau de connexion, si nous perdons la trace d’un aspect, alors nous perdrons la trace d’une pièce critique qui influence le futur. Xerox est en train de décomposer tous ces contrats à terme et travaille à l’interne et à l’externe pour assurer la sécurité.
L’avenir est autour de l’Internet des Objets
L’Internet des objets (IoT) change la cybersécurité. Non seulement nous devons penser à la connectivité dans nos maisons, mais aussi à la connectivité dans nos bureaux – nos imprimantes et nos appareils intelligents sont maintenant plus connectés à l’extérieur et nous ouvrent la porte à des expositions réseaux. Nous pouvons maintenant être potentiellement considérés comme un point de terminaison et nous protéger d’être un intermédiaire dans le réseau.
L’Internet des objets est également le plus grand écosystème avec un ensemble diversifié de composants, et a donc tendance à brouiller les frontières entre les données professionnelles et personnelles. L’objectif n’est pas d’entraver ce type d’innovation, mais de protéger les données et de les compartimenter dans une mesure où l’utilisation est acceptable par opposition aux environnements fantômes. Nous acceptons le fait que les utilisateurs veulent plus de fonctionnalités et que les entreprises souhaitent moins d’environnements de technologie de l’information, donc l’amélioration de la sécurité IoT est primordial.
Le futur est organisé en couches
Le futur est un environnement dynamique et hétérogène avec de nombreuses couches. Chacune de ces couches joue un rôle important dans la maximisation de la sécurité de l’environnement.
La première couche est la sécurité des données. Dans cette couche, nous évaluons nos données et les classons par ordre de priorité, ce qui rend nos actifs les plus convoités plus importants que ceux qui sont moins significatifs.
Ceux qui sont « les plus convoités » sont généralement appelés joyaux de la couronne. Un roi et une reine auront leurs biens les plus précieux protégés par des chevaliers, des gardes, un fossé, et peuvent les stocker dans un endroit hautement sécurisé. Nos joyaux de la couronne devraient être protégés de la même manière. Nous ne pouvons plus fournir les mêmes stratégies de sécurité pour l’ensemble de nos données. Il est maintenant nécessaire de classer les données, de les hiérarchiser et de s’assurer que les investissements sont proportionnels à la valeur de ces données.
La deuxième couche est sur la sécurité des applications. Nos applications doivent gérer les données en toute sécurité pour éviter les fuites et les expositions. Les applications sont essentiellement devenues un moyen de transporter et de traiter les données en dehors de nos limites de réseau typiques. Nous devons encourager les pratiques de codage sécurisées et sécuriser le traitement des données.
La troisième couche est la sécurité de l’infrastructure, sur laquelle se concentre le matériel. Les fournisseurs améliorent toujours la sécurité de leurs produits. Nous devons accepter ces améliorations et les intégrer dans nos infrastructures opérationnelles. En tant que fournisseurs et consommateur de biens, Xerox adopte une approche simplifiée. Nous avons établi des partenariats avec des fournisseurs de sécurité clés pour nous assurer que nous nous intégrons facilement dans les environnements de nos clients.
La dernière couche est dans nos processus de sécurité. L’adversaire dépend de la confiance humaine, donc nos politiques doivent nous protéger. Plusieurs fois, les contrôles de non-sécurité et les implémentations aident à augmenter les postures de sécurité. En cela, j’inclus l’automatisation et la simplification de nos processus, qui à leur tour auront des avantages supplémentaires avec la sécurité.
En fin de compte, toutes ces couches doivent être congruentes, non tangentielles. Elles doivent travailler ensemble mais ne doivent pas nécessairement être présentés dans un ordre spécifique. Le but est d’augmenter l’harmonie afin d’influencer la sécurité cohésive.
L’avenir est axé sur la gouvernance
La culture ne devrait pas dicter la gouvernance, la gouvernance devrait dicter la culture. Nous ne pouvons pas accepter qu’une culture organisationnelle puisse repousser des éléments de sécurité tels que l’authentification à deux facteurs ou la modification de mots de passe. Nous devons plutôt regarder ce qui est la meilleure gouvernance pour une industrie, pour une entreprise, puis enseigner la culture à accepter. L’éducation de la culture est la clé, car la sécurité est la responsabilité de tous.
Le futur est basé sur le partenariat
Comme nous nous concentrons sur chaque partie de notre architecture en couches, nous devons inclure nos partenaires. Nous sommes dans une guerre des armes, ce qui signifie que nous devons augmenter nos partenariats et inclure nos partenaires dans notre arsenal. La sécurité est basée sur des solutions plutôt que sur des périphériques spécifiques. Un périphérique fait partie d’une infrastructure plus importante qui s’intègre aux autres composants du fournisseur. Les partenariats sont importants pour assurer la facilité d’intégration, l’acceptation des contrôles de sécurité et l’amélioration de la posture de sécurité. C’est un travail d’équipe. L’objectif est de développer et maintenir des partenariats continus afin de garantir que les solutions soient plus sécurisées et pas seulement les composants individuels.
Xerox travaille avec des organisations de test de conformité et des leaders de l’industrie de la sécurité, tels que McAfee et Cisco, pour améliorer et protéger les appareils avec les dernières normes de sécurité. Ces leaders aident également à s’intégrer dans l’architecture de sécurité de nos clients et à améliorer les protections dans leur environnement.
Le futur est cognitif
Les processus cognitifs augmentent notre capacité à permettre l’apprentissage automatique pour améliorer la sécurité. À l’heure actuelle, nous permettons aux moteurs d’analyser les données, d’où l’importance accordée à l’analyse et à la synthèse des données. Plus nous devons réagir et traiter les tâches de niveau inférieur, plus nous pouvons permettre à l’interaction humaine de se concentrer sur des processus et des procédures de plus haut niveau et à plus haut risque. C’est l’évolution, c’est la sécurité cognitive.
Le futur est excitant
Il est de notre responsabilité de nous assurer de continuer avec une stratégie basée sur le partenariat. Nous sommes mieux préparés en tant que communauté que nous le serons individuellement. Alors que nous continuons à croître, à collaborer et à développer nos solutions, nous continuerons de créer des synergies, nous changerons et nous grandirons.
La réalité est que nous ne pouvons pas arrêter l’adversaire, et nous ne serons jamais à l’épreuve des balles, mais la stratégie consiste à faire en sorte qu’il soit si difficile et si coûteux pour l’adversaire de faire des compromis, qu’il passera à autre chose. Le temps, c’est de l’argent.
Si nous regardons le basket, dans l’explication la plus basique, le but est de marquer plus de points que l’adversaire en mettant la balle dans un cercle. Maintenant, si nous avons changé la cible et que le cercle bouge constamment dans un mouvement circulaire, nous avons augmenté la complexité et, par essence, changé le jeu. C’est ce que nous, en tant que société de technologie, essayons de faire constamment. Nous changeons le jeu d’impression, et nous le changeons avec une sécurité d’impression accrue.