Interviews
Naviguer dans la cybersécurité : Les idées et les conseils de Niel Harper, RSSI de Doodle
Temps de lecture : 6 minutes
Alors que nos vies sont de plus en plus imbriquées dans le monde numérique, la nécessité d'une cybersécurité solide n'a jamais été aussi grande. Qu'il s'agisse de protéger les données sensibles des entreprises ou nos informations personnelles, les enjeux n'ont jamais été aussi importants.
Nous nous sommes entretenus avec Niel Harper Chief Information Security Officer et Data Protection Officer de Doodle, pour mieux comprendre ce paysage en constante évolution. Il a récemment remporté un Senior Professional Award de l'ISC2 une organisation à but non lucratif spécialisée dans la formation et la certification en matière de cybersécurité. Au début de l'année, une publicité du New York Times, réalisée par Lacework, l'a également présenté comme un leader exceptionnel dans le domaine de la cybersécurité.
Dans cet entretien, nous discuterons de son parcours et de son rôle chez Doodle, des tendances en matière de cybersécurité, de la manière de sécuriser les données des clients et de la façon dont les petites et moyennes entreprises (PME) peuvent se protéger dans ce paysage en constante évolution.
Rencontrez Niel Harper, RSSI chez Doodle
Parlez-nous de vous et de ce qui vous a poussé à faire carrière dans la cybersécurité.
J'ai décidé de faire carrière dans la cybersécurité parce que je m'intéressais à la construction de réseaux et de systèmes informatiques résistants.
Ma carrière a commencé il y a une vingtaine d'années, lorsque j'ai obtenu mon diplôme d'études collégiales en systèmes d'information, avec une spécialisation en télécommunications. C'est là que j'ai découvert le domaine et que j'ai reçu une formation pratique au déploiement de services commerciaux de réseaux numériques à intégration de services (RNIS).
Mon premier véritable emploi a été chez Cable & Wireless, où j'étais un technicien en télécommunications impliqué dans les opérations quotidiennes d'un fournisseur d'accès à Internet à la Barbade. Mon dernier poste dans le domaine des télécommunications a été celui de directeur des opérations de réseau pour AT&T Wireless, où je dirigeais une équipe chargée de l'exploitation et de la maintenance d'un réseau mobile GSM.
En 2002, j'ai obtenu ma première certification liée à la cybersécurité - Certified Information Systems Auditor (CISA) - et je suis passé à la cybersécurité l'année suivante en tant que responsable de l'audit interne et de l'audit des TIC pour un fournisseur de services de télécommunications dans les Antilles néerlandaises.
En 2022, j'ai rejoint Doodle et je dirige depuis les équipes chargées des opérations informatiques, de la sécurité et de la conformité.
Les menaces les plus pressantes en matière de cybersécurité
Quelles sont, selon vous, les menaces de cybersécurité les plus pressantes auxquelles les entreprises sont confrontées aujourd'hui ?
Les ransomwares - un type de logiciel malveillant qui verrouille ou crypte les données d'une victime et exige le paiement d'une rançon pour en rétablir l'accès - restent une menace majeure. Cependant, il est devenu encore plus répandu car les acteurs de la menace concentrent leur attention sur la cyber-extorsion.
Le climat géopolitique actuel contribue également au ciblage accru des organisations par des adversaires parrainés par des États, très expérimentés et bien organisés.
En outre, de nombreuses entreprises ne sont toujours pas préparées à faire face aux risques auxquels elles sont confrontées de la part de tiers (comme les attaques de la chaîne d'approvisionnement).
Enfin, l'utilisation de l'IA générative par le personnel et les acteurs externes de la menace constitue à la fois une opportunité et une menace, mais de nombreuses entreprises n'en comprennent pas encore pleinement les implications.
Garantir la sécurité des données de nos clients
Comment Doodle assure-t-elle la sécurité des données de ses clients, en particulier avec ses produits ?
Chez Doodle, les outils de sécurité ne remplacent pas des contrôles de sécurité solides. Nous nous concentrons principalement sur les bases de la cybersécurité - gestion des identités et des accès (IAM), gestion de la configuration, gestion des actifs, gestion des vulnérabilités, tests de pénétration et gestion des risques liés aux tiers, entre autres. Tout outil est superposé pour soutenir l'orchestration, l'automatisation et la défense en profondeur.
Le ton vient d'en haut et est axé sur le risque, le cyber-risque étant un sujet récurrent dans les réunions du conseil d'administration et de la direction et un élément clé du cadre de gestion des risques de l'entreprise (ERM). Doodle se soumet également à des audits annuels SOC 2 Type II, Cyber Verify et GDPR.
Créer une culture de sensibilisation à la sécurité
Quelle est la clé pour créer une culture de sensibilisation à la sécurité parmi les employés ?
L'aspect le plus critique de la création d'une culture de la sensibilisation à la sécurité est un ton fort venant d'en haut. La sensibilisation à la sécurité doit commencer par les dirigeants, qui influencent la culture de l'entreprise et guident les actions de leurs équipes.
Par exemple, chez Doodle, le conseil d'administration et la direction générale sont sensibles et à l'écoute de l'impact potentiel des cyber-risques sur les multiples dimensions de l'entreprise. Leur soutien en termes d'appropriation des risques, de messages efficaces, de financement approprié et d'exemplarité est essentiel pour inculquer les bonnes pratiques de sécurité au personnel.
Nous proposons également un programme dynamique de sensibilisation à la sécurité qui s'appuie sur l'apprentissage en ligne, des conseils et astuces réguliers, des simulations d'hameçonnage, des exercices sur table et une formation spécifique à chaque rôle.
Nouvelles tendances en matière de cybersécurité
Quelles sont les nouvelles tendances ou technologies en matière de cybersécurité qui vous enthousiasment ou vous préoccupent le plus ?
Je me réjouis particulièrement de l'attention portée au renforcement des capacités en matière de cybersécurité. Nous constatons que des ressources importantes sont consacrées au renforcement des capacités des États-nations afin qu'ils puissent mieux se protéger contre les menaces en ligne.
Je dois féliciter des acteurs clés tels que le Forum mondial pour la cyber-expertise (GFCE), la Banque mondiale, l'Union européenne, le Forum économique mondial, l'Organisation des États américains (OEA), le Cyber Peace Institute et d'autres pour leur travail dans ce domaine.
Parmi les préoccupations à l'horizon des menaces qui me viennent à l'esprit figurent les risques liés aux grands modèles de langage (LLM) et à l'IA, l'internet des objets (par exemple, les appareils intelligents, les voitures connectées, les villes intelligentes, etc.
Perspectives et conseils pour les entreprises
Quels conseils donneriez-vous aux entreprises, en particulier aux PME, pour mieux protéger leurs données et conserver la confiance de leurs clients ?
Les PME doivent disposer d'une personne, au niveau de la direction et des opérations, qui comprenne le cyberrisque et le considère comme un risque stratégique pour l'entreprise. Je veux dire par là que la responsabilité de la cybersécurité ne doit pas être déléguée à un responsable informatique ou à un administrateur système, car il s'agit de bien plus qu'un risque technologique.
Une personne qualifiée et expérimentée doit travailler à l'élaboration et à l'exécution de la feuille de route de l'entreprise en matière de cybersécurité. Si cet ensemble de compétences n'est pas disponible en interne, les entreprises devraient envisager d'engager un responsable de la sécurité de l'information (CISO) virtuel ou fractionné pour superviser la gestion des cyberrisques.
Comme indiqué dans un commentaire précédent, les organisations ne doivent pas considérer les outils sophistiqués comme une panacée ou un substitut à une cybersécurité efficace. Elles doivent dresser un inventaire de leurs systèmes et données critiques ("joyaux de la couronne") et mettre en œuvre des contrôles rigoureux en fonction de l'importance de ces systèmes et de ces actifs informationnels pour l'entreprise.
Merci, Niel, d'avoir partagé vos idées et votre expertise !
Scheduling
La meilleure façon d'intégrer les soins aux animaux de compagnie dans une vie bien remplie
Lire l'articleScheduling