Les dirigeants de la sécurité d’aujourd’hui devraient se concentrer sur les relations avec les fournisseurs, les pipelines de talents et les nouvelles menaces comme Deepfakes et Ransomware en tant que service.
Meg Anderson a passé près de deux décennies à la tête de la cybersécurité des entreprises, plus récemment en tant que vice-présidente et chef de la sécurité de l’information chez Principal Financial Group. Là, elle a aidé à façonner la cyber stratégie et a conseillé le conseil d’administration sur les risques numériques.
Avec son expérience dans les tranchées C-suite, Anderson est largement respectée pour ses idées sur la cyber-résilience et la transformation numérique. Elle est également connue pour son engagement à encadrer la prochaine génération de leaders de la sécurité.
Quelles technologies de sécurité émergentes êtes-vous le plus excité et pourquoi?
Meg Anderson: En tant que CISO à la retraite dans les services financiers, j’ai vu le paysage des menaces évoluer des logiciels malveillants rudimentaires aux acteurs de l’État-nation et aux opérations sophistiquées des ransomwares en tant que service.
Ces jours-ci, je suis très excité par l’IA en tant que multiplicateur de force qui peut faire surface les menaces en temps réel, automatiser les workflows et anticiper le comportement de l’attaquant. Il est encourageant que les principaux fournisseurs de sécurité et les start-ups Scrappy investissent massivement dans l’IA. J’espère que l’accent mis sur l’IA améliorera la précision de la détection et la vitesse de réponse. Mais comme nous le savons tous, l’IA est également armée par des adversaires, et nous aurons besoin de défenses tout aussi sophistiquées pour contrer cela.
Je regarde également la protection des données et la gestion de l’identité et de l’accès, qui continuent d’évoluer rapidement avec une confiance zéro, une biométrie comportementale et des contrôles adaptatifs. Je suis particulièrement intéressé par la façon dont l’IA peut améliorer ces domaines.
La détection DeepFake est également essentielle, en particulier dans les services financiers, où la confiance est tout. Il est très préoccupant que les acteurs malveillants puissent imiter de manière convaincante un client, un cadre ou un employé. Je regarde donc de près les nouveaux outils sortir pour vérifier l’authenticité de la voix et de la vidéo.
Je suis excité mais prudemment optimiste. Les outils deviennent plus intelligents, mais les adversaires aussi.
Quelles technologies êtes-vous le plus prudent du point de vue d’un CISO, et pourquoi?
Meg Anderson: Je suis prudent des «solutions» qui ne résolvent pas un problème stratégique. Les cisos n’ont que tant de budget et d’esprit. Vous devez comprendre où un outil s’inscrit dans votre investissement et votre feuille de route stratégique. Il y a eu des moments où mon équipe a pu explorer de nouvelles technologies et des moments où nous devions rester concentrés sur les initiatives prévues.
Mais il est important de ne pas être trop rigoureusement fixé sur votre plan parce que les choses changent. En expérimentant la technologie émergente, j’ai toujours utilisé une approche intentionnelle avec des objectifs clairs de ce que nous espérions apprendre et comment nous mesurons le succès.
La plupart des CISO sont naturellement prudents quant aux technologies émergentes qui sont précipitées sur le marché avant d’être vraiment de qualité d’entreprise. Lorsque les employés voient que «tout le monde» adopte la nouvelle technologie cool, ils veulent également le faire. Mais trouver les droits de garde-corps qui permettent l’expérimentation et l’adoption rapide peut être délicat.
Quelle est votre évaluation du rythme de l’innovation technologique en ce moment, et quel est votre conseil pour que les entreprises suivent?
Meg Anderson: La vitesse de l’innovation est à la fois passionnante et épuisante. Mais au lieu de chasser chaque changement de paradigme, soyez intentionnel. Construisez une stratégie qui vous permet d’absorber l’innovation selon vos conditions, liée aux objectifs commerciaux. La plupart des entreprises ne peuvent tout simplement pas se permettre d’être sur le bord de saignement dans tous les domaines. Et ça va.
Ce qui est critique, c’est d’avoir une visibilité sur ce qui s’en vient, donc vous ne construisez pas quelque chose qui pourrait être acheté sur l’étagère demain.
Une stratégie sous-utilisée consiste à approfondir vos relations avec les fournisseurs existants. J’ai toujours encouragé mes équipes à poser aux vendeurs les questions difficiles: qu’y a-t-il à l’horizon? Comment intégrent-ils l’IA? Investissent-ils dans l’interopérabilité ou vous verrouillent-ils dans un silo? Et tout aussi important: vos contrats sont-ils structurés pour permettre l’agilité? Pouvez-vous pivoter rapidement si un vendeur déploie une fonction ou un produit qui change la donne?
Une relation étroite du fournisseur nécessite la confiance. Mais si vous choisissez judicieusement les fournisseurs, vous pourrez adopter de nouvelles capacités sans maux de tête d’approvisionnement et d’intégration.
Quelles sont vos prédictions pour la main-d’œuvre au cours des 5 à 10 prochaines années? Êtes-vous inquiet, AI coupera l’échelle d’entrée de gamme pour les travailleurs?
Meg Anderson: C’est un problème critique, en particulier pour ceux d’entre nous qui ont passé notre carrière à constituer des équipes de cybersécurité. Je me soucie profondément du pipeline de talents.
Il est vrai que des tâches fondamentales comme l’analyse des journaux et le triage de billets sont automatisés. Mais je ne crois pas que l’IA éliminera les talents juniors; Cela signifie simplement que la barre se déplace. Les travailleurs d’entrée de gamme devront apporter une pensée et une adaptabilité plus critiques. On s’attendrait à ce qu’ils travaillent aux côtés de l’IA, pas en dessous.
Ce n’est pas la première fois que nous voyons un tel changement. Lorsque j’ai commencé en tant que développeur avant 2008, l’automatisation remodèle comment nous avons codé, testé et déployé. Les programmeurs embauchés une décennie plus tard avaient une boîte à outils et un état d’esprit complètement différents.
Il est donc important d’embaucher pour les descriptions de poste d’aujourd’hui demain. Construire des programmes de mentorat, faire tourner le personnel junior et les exposer tôt à la réflexion stratégique. Les outils peuvent changer, mais en cybersécurité, le jugement humain et le raisonnement éthique seront toujours irremplaçables.
Comment le rôle du CISO a-t-il évolué au cours de votre carrière et où pensez-vous qu’il se dirige vers le leadership et l’influence commerciale?
Meg Anderson: Le plus grand changement a été l’expansion du CISO, d’un leader de la technologie de niche à un leader engageant à travers l’entreprise.
Au début de ma carrière, je me concentre davantage sur la construction des plateformes technologiques au sein de notre équipe. Mais comme la sécurité de l’information est devenue une préoccupation au niveau du conseil d’administration, notre équipe s’est déplacée vers une stratégie de sécurité à l’échelle de l’entreprise fondée sur les résultats commerciaux. Il ne s’agissait pas seulement de protéger les systèmes; Il s’agissait de protéger les engagements que la société a pris envers les clients, les investisseurs et les autres parties prenantes. Ce changement a bénéficié de la pression croissante sur la direction des cadres afin de garantir que le cyber-risque avait la surveillance appropriée.
La responsabilité de la sécurité est devenue plus claire une fois que la cyber-performance s’est présentée dans les objectifs, les métriques et les incitations annuelles. Cela a donné plus d’influence au CISO. Les conversations sur le développement des logiciels faibles, les menaces de phishing et la diligence raisonnable des fournisseurs ont été plus difficiles lorsqu’ils sont encadrés en termes de budgets, de bonus et de réputation de marque plutôt que de simplement risque technique.
Au fur et à mesure que le rôle évolue, le CISO doit rester au premier plan dans les discussions sur la gestion des risques. Il y a une opportunité pour plus de considération des cyber-risques en dehors de l’équipe de sécurité de l’information, tout comme beaucoup de risques financiers sont gérés en dehors de l’équipe financière.
Quels sont vos projets à la retraite pour continuer à conseiller les entreprises sur le fait de rester innovant et de renforcer la cybersécurité?
Meg Anderson: Je conseille actuellement quelques entreprises – pas par des engagements formels, mais en encadrant les dirigeants de la cybersécurité. Cela a été incroyablement gratifiant de les aider à naviguer dans les décisions de carrière et les défis de leadership. Il s’agit moins de leur dire quoi faire et plus de les aider à réfléchir à la «pourquoi» et au «comment».
Une chose que les experts en retraite ne vous préparent pas toujours est la persistance de votre expertise. Cela ne disparaît pas le jour où vous quittez le bureau. Si quoi que ce soit, il devient plus distillé. Mais trouver quoi faire avec cette connaissance – que ce soit pour le partager, le monétiser ou simplement le laisser évoluer – est une décision profondément personnelle.
