Norton, qui a occupé des postes de RSSI dans les secteurs privé et public, notamment au sein de l’Australian Taxation Office, discute des défis liés à la sécurisation des principales organisations gouvernementales et de la façon dont il voit l’évolution du leadership en matière de sécurité aujourd’hui.
Les parents de Jamie Norton lui ont offert un ordinateur lorsqu’il était enfant, avec lequel il a joué et bricolé en grandissant. Lorsqu’il est allé à l’université, il a étudié l’informatique et la comptabilité « en passant, en fait ». C’était à l’époque où Internet émergeait, et il a commencé à jouer avec Unix et d’autres systèmes d’exploitation avec le développement de logiciels comme expérience.
Vers 2000, Norton « s’est officiellement lancé » dans la cybersécurité.
« J’ai commencé après la défense, j’étais du côté des fournisseurs et de certaines startups. J’ai traversé une période de systèmes de confiance numérique, d’authentification et d’identité très solides, puis j’ai évolué vers des rôles plus traditionnels et de premier plan dans le domaine de la cyberdirection. » Norton a également occupé plusieurs postes dans la vente à mi-carrière, avant de revenir à des postes de cyber-leadership avec un « retour au conseil plus récemment ».
Sa carrière en cybersécurité comprend des séjours au sein de l’Organisation mondiale de la santé, de NEC Australia et de l’Australian Taxation Office. Aujourd’hui, il est vice-président du conseil d’administration de l’ISACA et RSSI de l’Australian Securities and Investments Commission (ASIC).
Quels sont les principaux défis auxquels les responsables de la cybersécurité sont confrontés aujourd’hui ?
Norton : Évidemment, il s’agit d’un espace très complexe, mais en même temps, il y a des éléments fondamentaux qui font bouger les choses considérablement. Une partie du défi pour les RSSI consiste à savoir comment intégrer cette hygiène fondamentale dans les organisations. Les environnements existants constituent probablement le plus grand défi, en particulier au sein du gouvernement. Essayer de sécuriser des systèmes anciens et obsolètes, qui ne sont plus mis à jour et nécessitent des investissements importants pour modifier la posture de sécurité.
Mais à cela s’ajoute le concept d’hygiène générale dans l’ensemble de l’environnement, et se contenter des bases peut être très difficile. Il y a un élément de processus à cela, il y a évidemment un élément technologique, mais il y a aussi un élément humain à cela. Il s’agit donc d’aligner toutes ces bases.
À l’heure actuelle, l’IA et toute une série de choses émergent qui vont être énormes, et nous ne savons pas vraiment à quoi ressemblera dans 10 ans, peut-être même dans cinq ans. Les choses évoluent très rapidement et, en tant que spécialistes de la technologie et de la sécurité, nous voulons être innovants, agir rapidement et être à l’avant-garde, sinon vous risquez d’être laissé pour compte. Mais nous devons le faire de manière sûre afin de ne pas exposer accidentellement des informations sensibles. C’est aussi un défi.
D’après votre expérience en tant que leader de la cybersécurité, que signifie généralement la cybersécurité pour les organisations ?
Norton : Cela varie. Cela a certainement changé au fil du temps et entre les organisations. Cela dépend de la taille et de l’échelle, mais cela dépend aussi beaucoup du conseil d’administration et de l’état d’esprit des dirigeants en matière de sécurité. Dans les agences gouvernementales de taille moyenne à grande, l’accent est mis réellement sur la cybersécurité au niveau exécutif. Il existe également des politiques et des cadres solides, tels que le PSPF (Protective Security Policy Framework) et d’autres cadres et exigences.
Dans le secteur des entreprises, cela varie considérablement. Nous avons même vu certaines grandes organisations où il a été un peu difficile de convaincre les dirigeants et les membres du conseil d’administration d’accepter la responsabilité des risques de sécurité. Ils prennent peut-être un peu plus de temps que d’autres qui défendent la sécurité depuis un certain temps. Je pense qu’avec ce qui se passe sur le marché, la réglementation plus large, le niveau général de communication autour de la sécurité qui se produit dans les médias et ailleurs, et les incidents, c’est l’autre chose, le coût de ces incidents, comme ceux d’OPTUS, de Medibank et de Qantas plus récemment. Je pense que cela inverse la tendance en mettant de plus en plus l’accent sur une cyber-gouvernance efficace. Je pense qu’un soutien de plus en plus important émerge aux plus hauts niveaux des organisations – l’équipe de direction et les directeurs –, ce qui nous permettra de faire avancer encore plus les choses.
Comment garder votre équipe inspirée pour empêcher les professionnels de la cybersécurité de partir ?
Norton : Au gouvernement, nous n’avons souvent pas le même niveau de rémunération que dans le secteur des entreprises, nous essayons donc de créer une culture et un environnement positifs dans lesquels les gens aiment travailler. Mon objectif personnel est de fournir un mentorat et des conseils à l’équipe tout en étant très transparent sur les options de carrière et sur l’industrie dans différents domaines. Je suis le plus ardent défenseur de mon équipe pour les aider à trouver leur chemin et à réaliser leurs ambitions de carrière, que ce soit au sein du gouvernement ou non.
Essayez de réduire les formalités administratives. C’est parfois difficile, mais essayez de minimiser les impacts de ce genre de choses. La formation est probablement un levier clé pour donner aux gens cet avantage et leur permettre de se former et d’apprendre davantage au cours de leur carrière, ainsi que d’être exposés à des technologies passionnantes.
L’élément mission du gouvernement est également essentiel. Nous attirons souvent des personnes très concentrées sur leur mission et qui recherchent un succès qui les dépasse. Ils essaient de réaliser quelque chose pour le pays ou pour un certain secteur de l’économie. C’est un résultat clé que nous proposons.
Mais il y a également un élément, en particulier chez les diplômés et en début de carrière, où nous savons que nous sommes souvent un incubateur pour la prochaine étape de leur carrière. Et je pense qu’être à l’aise avec ce concept n’est pas une mauvaise chose. Oui, ils pourraient arriver, nous bénéficierions d’une grande innovation de leur part pendant les trois à cinq premières années de leur carrière, ils bénéficieraient d’une formation et d’un soutien de notre part, puis ils pourraient entrer un peu dans le secteur privé, mais ils pourraient revenir au gouvernement plus tard. Je pense qu’il s’agit d’une sorte de mouvement d’attraction dans l’ensemble de l’économie.
Où voyez-vous aller le rôle du leader de la cybersécurité ?
Norton : Les innovations comme l’IA vont avoir un impact fondamental sur notre rôle et nos activités quotidiennes. Il y aura certains aspects qui ne changeront pas, mais il y aura beaucoup d’aspects qui vont se transformer et changer au cours des prochaines années. En tant qu’industrie, nous continuons d’évoluer, passant d’une fonction purement liée à la technologie à une fonction plus naturelle, aux côtés de la fonction de risque. Cela ne se produit pas dans toutes les organisations, mais cela se produit déjà dans l’ensemble des services financiers. J’espère que nous commencerons à observer cette tendance au sein du gouvernement, où la sécurité relève du chef de l’exploitation ou du chef des risques, selon l’organisation, ce qui élimine la perspective technologique et les conflits qu’elle représente.
Mais le rôle lui-même a considérablement changé au cours des 20 à 25 dernières années et est passé d’un début très technique à un rôle bien plus important de niveau C en interface avec le conseil d’administration et la direction (suite). Cela va continuer et nous commençons à voir beaucoup plus de directeurs possédant au moins une certaine expertise en cybersécurité.
Quelles questions les RSSI devraient-ils se poser et qu’ils négligent souvent aujourd’hui dans la sécurisation des organisations ?
Norton : Je pense que vous vous demandez quelle visibilité avez-vous réellement et dans quelle mesure êtes-vous sûr que votre vision des choses est la bonne et qu’elle le sera toujours dans trois mois ?
De quoi êtes-vous le plus et le moins fier dans votre carrière ?
Norton : Je pense que le travail que je fais avec l’ISACA a un impact et un héritage réels, avec un programme ambitieux d’initiatives mondiales à l’échelle de l’industrie qui, selon nous, amélioreront l’industrie pour les professionnels.
En termes d’erreurs, il y en a eu beaucoup. Je fais partie de cette catégorie d’échec rapide et d’apprentissage. Le gouvernement n’a pas toujours été dans cet espace, la mentalité des dirigeants est un peu différente, il est donc juste de dire que j’ai eu ma part d’échecs et ma part de présentations qui n’ont pas abouti. Mais je pense que le message est vraiment le suivant : en tant que RSSI, vous ne pouvez pas être parfaitement préparé dès le premier jour. Lorsque vous commencez un rôle – important ou dans une organisation de taille moyenne – vous devrez apprendre à réagir, à récupérer et à revenir en arrière et vous n’impressionnerez pas toujours tout le monde en cours de route, car vous devez parfois transmettre un message difficile. Une grande partie du défi du RSSI consiste à élaborer un récit efficace et à gagner la confiance de votre ELT et de votre conseil d’administration, afin qu’ils soient pleinement investis et que vous puissiez transmettre les messages difficiles en cas de besoin.
Il s’agit également de renforcer la résilience, car on peut parfois se sentir seul. Parfois, vous serez celui qui sera critiqué par certains dirigeants parce qu’ils ne seront pas satisfaits de votre message qui les concerne. Je pense que c’est la raison pour laquelle le cyber-épuisement est un tel problème. Il s’agit souvent d’encaisser tous les coups sur le corps et d’arriver à un point où l’on se dit « Je ne veux plus faire ça ». Cela dépend en grande partie de la culture organisationnelle et, espérons-le, du fait d’avoir une organisation très solidaire.
Pensez-vous que l’IA va creuser le déficit de compétences ou contribuer à la cybersécurité ?
Norton : Je pense qu’il y a certainement certains rôles dans le cyberespace qui changeront considérablement au cours des 5 à 10 prochaines années et d’autres qui pourraient diminuer. Je pense que cela aura un impact plus profond sur d’autres pans de l’économie. D’un point de vue technologique, je pense qu’une grande partie de l’analyse des données et certains systèmes d’aide à la prise de décision deviendront de plus en plus quelque chose que l’IA prend en charge et commencera à automatiser. Ils commenceront donc par des systèmes d’aide à la décision où nous aurons besoin de moins d’humains parce que nous serons capables d’obtenir les informations dont nous avons besoin plus rapidement à partir d’une IA, puis lentement mais sûrement, avec l’IA agentique et ce qui s’en vient, cela leur permettra de prendre des décisions simples, puis légèrement plus complexes, et puis avec le temps, je pense que nous commencerons à remplacer certains rôles. Je suis optimiste que cela propulsera également les travailleurs humains plus haut dans la chaîne de valeur ; ils seront plus avancés du point de vue du leadership, peut-être plus profonds d’un point de vue profondément technique.
Y a-t-il un dicton selon lequel vous vivez ?
Norton : Lorsque j’étais au bureau des impôts, notre commissaire de l’époque, Chris Jordan, avait une image de marque qui était « Appliquez les bases avec brio » et cela me reste comme un mantra général, mais cela s’applique très bien à la sécurité, car si vous maîtrisez bien les bases, vous obtiendrez une amélioration significative de vos cybercapacités. Vous ne pouvez pas vous concentrer uniquement sur cela, car il y a beaucoup d’autres éléments mobiles. Mais si vous ne parvenez pas à maîtriser ces bases, cela vous apportera une grande protection.
L’autre que j’aime, et qui, je suppose, m’a bien aidé, et je pense qu’il est toujours vrai, est la futilité de « répéter la même chose encore et encore, en s’attendant à un résultat différent ». Cela s’applique à beaucoup de choses. Vous devez essayer de changer les choses si vous espérez obtenir un résultat différent. Pourtant, je le vois si souvent dans de nombreux aspects de la vie.
Des conseils pour ceux qui souhaitent débuter une carrière dans la cybersécurité ?
Norton : Pour les diplômés et les cybercriminels en début de carrière, nous sommes conscients qu’il est difficile de faire la transition vers un stade précoce de carrière et d’obtenir ce premier emploi. Je pense que la ténacité et le dynamisme sont des attributs essentiels et je suis conscient que c’est facile pour moi de le dire à partir d’ici. Mais je constate que ceux qui sont persistants, engagés, tendent la main et saisissent ce qu’ils peuvent de manière proactive, ils pourraient se faire renverser à plusieurs reprises, mais vous savez qu’ils continueront à apprendre. Ils pourraient rejoindre l’ISACA. Ils pourraient obtenir une certification précoce pour essayer d’obtenir un petit avantage concurrentiel. Le plus souvent, les relations nouées par le réseautage et l’implication, en se mettant en avant, se traduisent par des opportunités.
Aux niveaux supérieurs, cela devient plus difficile. Je pense que c’est encore une fois ce processus d’apprentissage, s’assurer que vous avez un CV qui démontre que vous développez vos capacités. Comprendre votre marque et la perfectionner professionnellement. Il est donc essentiel de peaufiner le CV pour qu’il reflète réellement ce qu’est votre marque et ce que vous apportez. Vous ne pouvez pas simplement jeter le même CV fatigué et le disperser en espérant que quelque chose va mordre, parce que cela aurait pu fonctionner lorsque nous étions rares, mais de nos jours, il y a trop d’offre sur le marché.
