Garder une longueur d'avance grâce à la veille sur les menaces : Alastair Parr, Global Products & Services, Prevalent , explique comment rester informé et agile face aux nouvelles menaces de sécurité Cyber .

Le magazine Authority interviewe Alastair Parr, SVP of Global Products & Services, dans le cadre de sa série sur les dernières menaces, vulnérabilités et tendances émergentes dans le domaine de la technologie.

07 février 2024

Note de l'éditeur : cet article a été publié à l'origine dans Authority Magazine sur Medium.

Les fournisseurs restent l'un des maillons faibles alors que nous sommes de plus en plus interconnectés. Le premier obstacle que je vois lors de la mise en place d'une bonne sensibilisation à cyber est le manque de visibilité sur les fournisseurs qui ont accès aux données et aux systèmes et sur l'impact d'une violation ou d'une panne. Les organisations ne peuvent pas réagir efficacement et immédiatement aux menaces sans un inventaire clair et documenté des fournisseurs.

Dans le paysage en constante évolution de la cybersécurité, il est primordial de se tenir au courant des dernières menaces, vulnérabilités et tendances émergentes. Cela devient de plus en plus important à mesure que l'IA malveillante pose de nouveaux défis. Comment les responsables de la sécurité des produits (CPSO) se tiennent-ils informés de ces facteurs pertinents pour les produits de leur organisation ? Plus important encore, comment intègrent-ils ces renseignements vitaux sur les menaces dans leurs stratégies de sécurité ? Dans le cadre de cette série, j'ai eu le plaisir d'interviewer Alastair Parr.

Alastair Parr est le premier vice-président des produits et services mondiaux de la société Prevalent. Il est chargé de veiller à ce que les demandes des clients et du marché soient prises en compte et appliquées de manière innovante au sein du portefeuille de solutions Prevalent . Il a 16 ans d'expérience dans le domaine de la gouvernance, du risque et de la conformité et a joué un rôle déterminant dans le développement et la mise en œuvre de solutions dans le paysage en constante évolution de la gestion des risques.

Merci beaucoup de vous joindre à nous pour cette série d'entretiens ! Avant d'entrer dans le vif du sujet, nos lecteurs aimeraient vous connaître. Pouvez-vous nous parler un peu de votre enfance ?

Ayant grandi dans la banlieue verdoyante de Windsor, au Royaume-Uni, les nuages et la pluie perpétuels ont éveillé mon intérêt pour le monde en général, qu'il soit virtuel ou physique. J'ai étudié la politique et les relations internationales à l'université avant de réaliser que les compétences que j'avais développées étaient bien adaptées à la gestion des relations interpersonnelles qui font cruellement défaut dans le domaine de la sécurité sur le site cyber .

Y a-t-il une histoire particulière qui vous a incité à poursuivre une carrière dans la cybersécurité ? Nous serions ravis de la connaître.

Certains d'entre nous sont peut-être nostalgiques d'un magasin de vente au détail de vidéos qui n'existe plus. Au tout début de ma carrière, j'ai eu la chance de distribuer des cassettes VHS et, ce faisant, d'exploiter leurs bases de données clients. Il est rapidement apparu que les comptes des administrateurs informatiques étaient connus de tous et régulièrement partagés. En retour, je pouvais mettre hors service leur infrastructure nationale à partir d'un petit point de vente ou effacer les frais de location en retard de millions de foyers en une seule commande. Bien que je n'aie pas utilisé ce nouveau pouvoir, il m'a incité à réfléchir à la manière dont les entreprises protègent leurs actifs les plus critiques, depuis les tests de pénétration jusqu'à la protection des données et la gestion des risques au sens large.

Pouvez-vous nous raconter l'histoire la plus intéressante qui vous soit arrivée depuis que vous avez entamé cette fascinante carrière ?

J'ai été exposé à de nombreuses histoires merveilleuses, tout aussi fascinantes et préoccupantes dans ce domaine. Après avoir réalisé des centaines d'audits et supervisé des milliers de tests de pénétration, il est devenu évident que les organisations auxquelles nous faisons confiance peinent à protéger leurs écosystèmes de manière adéquate. Un événement en particulier a marqué les esprits.

Une institution financière internationale située à Londres a failli être victime d'une violation majeure, mais elle a été déjouée par un RSSI bien préparé. L'organisation a sous-traité le nettoyage des installations à un tiers, qui l'a lui-même sous-traité à une agence ne disposant pas de processus de vérification adéquats. Un réseau criminel organisé en a profité pour installer des enregistreurs de frappe sur les terminaux pendant qu'il était sur place, avant d'utiliser les informations d'identification privilégiées capturées pour tenter d'effectuer une transaction financière d'une valeur de plusieurs centaines de millions de dollars sur des comptes à l'étranger.

Heureusement, le RSSI avait récemment mis en place une étape de validation secondaire différée, à la grande consternation des équipes opérationnelles. La bande organisée qui se fait passer pour des nettoyeurs tiers n'a pas remarqué l'étape secondaire et est partie, pensant que son travail était terminé. À la reprise des heures normales de travail, l'équipe a repéré la transaction en attente, à seulement trois clics de coûter à l'entreprise une grande partie de ses marges pour l'année.

Cet événement est un exemple concret de la raison pour laquelle une gestion adéquate des risques, en interne et tout au long de la chaîne d'approvisionnement, ne se résume pas à un simple exercice de case à cocher.

Vous êtes un dirigeant qui a réussi. Quels sont les trois traits de caractère qui, selon vous, ont le plus contribué à votre réussite ? Pouvez-vous nous raconter une histoire ou un exemple pour chacun d'entre eux ?

Les compétences nécessaires à la réussite d'un dirigeant doivent être en adéquation avec les aspirations et les motivations des clients et des équipes internes. Je pense que la passion, la réactivité et l'empathie sont de loin les qualités les plus importantes.

Les équipes attendent d'un leader qu'il dirige depuis l'avant, et la passion fournit l'énergie et l'état d'esprit nécessaires pour rester engagé et participer activement. Si le responsable n'est pas passionné par un projet ou une mission.

La réactivité et l'empathie vont de pair dans un contexte professionnel, et les compétences développées ont un impact sur notre vie personnelle et nos relations. Le fait d'être perçu comme quelqu'un de fiable et d'accessible porte ses fruits, en particulier lorsqu'il s'agit de mener des projets complexes. Si vos équipes sentent qu'elles peuvent communiquer avec vous régulièrement et bénéficier d'un soutien actif sans jugement, elles seront loyales et se dépasseront.

J'ai eu la chance de travailler avec des équipes et des clients fantastiques et d'observer des dirigeants consciencieux et attentionnés réaliser de grandes choses une fois qu'ils ont compris qu'ils ne valaient que ce que valaient ceux qui les entouraient.

Travaillez-vous actuellement sur de nouveaux projets passionnants ? Comment pensez-vous qu'ils aideront les gens ?

La gestion des risques liés aux tiers reste un centre d'intérêt passionnant pour moi, et je m'efforce de rendre cette tâche ardue aussi facile que possible pour les organisations du monde entier. Avec l'avènement de l'apprentissage automatique et de l'IA, nous pouvons simplifier les flux de travail d'analyse et de remédiation en réalisant une automatisation à l'échelle de l'entreprise. J'ai le sentiment que la gestion des risques liés aux tiers commence à devenir un véritable catalyseur d'activité plutôt qu'un mécanisme de sécurité en offrant une visibilité sur la performance et la résilience à des équipes telles que les achats et le service juridique. Les quantités de données que nous avons saisies auprès des tiers sont riches de connaissances et d'informations qui, lorsqu'elles sont interrogées de manière adéquate, contribuent à la consolidation des services, à la résilience régionale, à l'efficacité opérationnelle et même à la commercialisation des garanties.

Comment les technologies émergentes telles que l'IA et l'apprentissage automatique influencent-elles le risque pour le paysage de la cybersécurité ?

La cybersécurité, et plus précisément les risques liés aux tiers, est une cible parfaite pour l'IA et l'apprentissage automatique. De grands volumes de données sont capturés, quasiment en temps réel, nécessitant une analyse immédiate pour réagir aux menaces émergentes. Les données comprennent des données structurées et non structurées, qui doivent être rapprochées pour identifier les anomalies et les tendances. Jusqu'à récemment, cette analyse était limitée aux humains, ce qui est coûteux et inefficace. Au cours des prochaines années, nous verrons ces exercices d'analyse répétitifs et en grand volume réalisés par les technologies d'IA et de ML, tandis que les ressources qualifiées joueront davantage un rôle de confiance mais de vérification. Cette transition passionnante libère un pool autrement limité de spécialistes cyber compétents pour commencer à se concentrer sur les interactions commerciales avec la communauté interne plus large et les parties prenantes. Cela permettra des flux de travail plus cohésifs avec une sensibilisation à la sécurité intégrée sur cyber .

Pourriez-vous mettre en évidence les types d'attaques cyber qui vous semblent les plus préoccupants aujourd'hui, et pourquoi ?

Naturellement, je trouve que les tiers sont le maillon le plus faible de la chaîne. La plupart des organisations sont conscientes et diligentes de leur position interne sur cyber , car elles ont la visibilité et le contrôle. En réalité, chaque organisation s'appuie chaque jour sur des dizaines, des centaines ou des milliers de tiers et suppose qu'ils sont tout aussi diligents. Qu'il s'agisse d'une vulnérabilité de type "zero-day" dans une technologie ou de la compromission d'un partenaire critique victime d'un ransomware, il y a des événements qui échappent à notre contrôle. Chaque organisation sera touchée par un événement tiers à un moment ou à un autre de son cycle de vie, et la façon dont nous nous préparons détermine l'impact de cet événement.

Pouvez-vous nous donner un exemple d'incident ou de menace réelle liée à une IA malveillante à laquelle vous avez été confronté, et nous expliquer comment vous y avez réagi ? Quelles leçons avez-vous tirées de cette expérience ?

D'après mon expérience, compte tenu de l'adoption limitée de l'IA dans les écosystèmes commerciaux jusqu'à présent, les effets néfastes de l'IA découlent plus souvent de l'hallucination et de la partialité des ensembles de données. Parmi les bons exemples, on peut citer le Defcon generative red team challenge, où les participants ont pu faire en sorte que de grands modèles de langage énoncent des faussetés évidentes, telles que des calculs mathématiques inexacts.

Si cela reste un problème pour le modèle "trust but verify" lors de l'analyse d'ensembles de données à grande échelle, nous sommes également confrontés au défi de savoir comment l'IA permet l'automatisation pour les acteurs malveillants. Lors du même événement, les analystes de Sophos ont créé un site frauduleux d'usurpation d'identité de détaillant en 8 minutes pour 4,23 $. Nous assisterons à une augmentation du nombre d'attaques, d'usurpations et d'hameçonnages grâce à l'IA. Des technologies telles que les deepfakes peuvent les rendre incroyablement personnelles avec un minimum de données, par exemple en créant un soundboard personnalisé d'une personne sur la base de 30 secondes de dialogue enregistré.

Quels conseils donneriez-vous aux organisations qui en sont aux premiers stades de l'élaboration d'une stratégie de sécurité pour les systèmes d'IA ? Quels sont les principes clés ou directeurs qu'elles devraient suivre ? Pourriez-vous nous présenter les mesures recommandées à prendre immédiatement après la détection d'une attaque sur le site cyber ?

La première étape consiste à créer un certain degré de politique stricte et souple pour l'utilisation de l'IA. Une politique claire en matière d'IA doit être élaborée, précisant comment l'organisation peut valider et adopter les technologies, y compris le flux de données et les limites de traitement. Envoyer les joyaux de la couronne à un grand modèle linguistique pour qu'il les intègre à son ensemble de données n'est pas nécessairement une bonne idée.

Une fois cette étape franchie, il est important d'examiner ce qui existe déjà en matière d'IA fantôme. De nombreuses entreprises de SaaS ont déjà intégré des outils d'IA dans leurs solutions, avec des degrés de complexité variables. Ces outils ont probablement commencé à être adoptés par les équipes internes et les fournisseurs sans que leur impact ait été clairement pris en compte.

D'une manière générale, les mêmes principes de sécurité et de renforcement s'appliquent à toutes les technologies antérieures à l'IA. La sécurité dès la conception, les tests de pénétration réguliers et les tests d'injection rapide, les primes aux bogues, la reconstruction médico-légale et la formation des employés sont autant d'éléments clés.

Une fois qu'un événement s'est produit, je recommande de tirer parti des technologies de sécurité latentes de l'organisation. Vérifier le filtrage des sorties et analyser le réseau interne pour détecter toute prolifération de données ou de codes malveillants tout en isolant les actifs touchés. La prévention est la meilleure stratégie, et il faut veiller à ce que la visibilité soit immédiate lorsqu'un événement se produit.

Quelles sont les "5 choses dont vous avez besoin pour rester informé et agile à propos des nouvelles menaces de sécurité Cyber " et pourquoi ?

La cybersécurité est devenue un sujet très complexe et très vaste, et une gestion efficace exige de la visibilité et un ensemble de technologies et de membres d'équipe compétents. Voici quelques-uns des domaines les plus importants sur lesquels il convient de se tenir informé :

1. Inventaire des fournisseurs

2. Analyse des fournisseurs en temps réel

Lorsque nous parlons de temps réel pour les fournisseurs, cela signifie qu'il faut être au courant d'un incident avant que vos clients ou, pire, les autorités de réglementation ne vous interrogent à ce sujet. Qu'il s'agisse de vulnérabilités de type "zero-day", de la posture cyber , de piratages, de renseignements opérationnels ou de problèmes géopolitiques localisés, nous devons élaborer un plan de réponse avant que ceux qui dépendent de nous ne nous demandent quelle est notre réponse.

3. Protection contractuelle

En ce qui concerne les tiers, lorsqu'un événement se produit, nous devons être en mesure de prendre des mesures pour le résoudre. Cela est plus simple en ce qui concerne nos systèmes et processus internes, mais devient restrictif lorsque notre écosystème de fournisseurs plus large est impliqué. Nous devons veiller à ce que nos relations soient assorties des obligations nécessaires intégrées dans des accords et des contrats formels, faute de quoi notre agilité sera fortement réduite.

4. Durcissement des actifs

Alors que la périphérie des tiers constitue un pourcentage croissant des systèmes et applications informatiques de la plupart des organisations, nous présumons souvent qu'une diligence raisonnable est exercée sur les innovations techniques et l'évolution de l'infrastructure. Des tests de pénétration et d'analyse réguliers et démontrables sont nécessaires pour nos partenaires et nos actifs internes. Cela devrait permettre de s'assurer que les technologies sont connues dans l'éventualité d'une réponse de type "zero-day".

5. Sensibilisation des utilisateurs

Toute la technologie du monde ne nous protégera pas de l'élément le plus imprévisible : notre personnel. Qu'il s'agisse de deep fake social engineering/phishing ou de shadow AI, nos utilisateurs peuvent contourner nos contrôles et devenir la menace de sécurité cyber que nous cherchons tous à éviter. La meilleure façon d'y remédier est d'organiser des formations régulières, de courte durée et sans jargon à l'intention des utilisateurs. Tous les utilisateurs doivent se sentir habilités à faire remonter les incidents, les préoccupations et les défis en conséquence.

Vous êtes une personne très influente. Si vous pouviez inspirer un mouvement qui apporterait le plus de bien au plus grand nombre, quel serait-il ? Vous ne savez jamais ce que votre idée peut déclencher.

Je relierais mon mouvement aux caractéristiques d'un bon leader. Les personnes qui ont eu le plus d'influence sur moi ont été consciencieuses et empathiques. Avec la complexité et la charge de travail croissantes, aggravées par l'augmentation du travail à distance après l'affaire COVID, il est facile de s'isoler et de devenir inaccessible dans le domaine de l'informatique et de la sécurité. J'encourage les gens à se souvenir des exigences interpersonnelles dont notre secteur a besoin pour devenir une communauté saine et interconnectée.

Comment nos lecteurs peuvent-ils suivre votre travail en ligne ?

J'interviens régulièrement lors d'événements et j'organise souvent des webinaires avec Prevalent sur la gestion des risques liés aux tiers et les développements associés. N'hésitez pas à nous rejoindre via www.prevalent.net.

Merci beaucoup de nous avoir rejoints. Ce fut une grande source d'inspiration et nous vous souhaitons beaucoup de succès dans votre travail important.