Lise Lapointe, Terranova Security : En tant que RSSI, vous êtes chargé de créer et d’alimenter l’enthousiasme pour la cybersécurité
septembre 2021 par Marc Jacob
A l’occasion de na nouvelle participation au FIC, Terranova Security lancera sa solution « Serious Game » et annoncera son implantation sur le marché d’Europe de l’Ouest avec entre l’ouverture d’un bureau à Paris. Pour Lise Lapointe, fondatrice et P-DG de Terranova Security : « En tant que RSSI, vous êtes chargé de créer et d’alimenter l’enthousiasme pour la cybersécurité »
Global Security Mag : Qu’allez-vous présenter à l’occasion du FIC ?
Lise Lapointe : Terranova Security au FIC 2021 lancera sa solution « Serious Game » en France et accélère sa stratégie d’implantation sur le marché d’Europe de l’Ouest pour les mois à venir. Ainsi, Terranova Security réaffirme ses ambitions sur le territoire français et annonce l’ouverture imminente de bureaux à Paris.
GS Mag : Quel sera le thème de votre conférence cette année ?
Lise Lapointe : Le thème sera « Créer votre équipe de cyber héros
• Simulation de phishing
• Sensibilisation et formation en cybersécurité »
GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2021 ?
Lise Lapointe : Nous avons identifié plusieurs cybermenaces parmi lesquelles :
– La pandémie de COVID-19 a forcé les organisations à adapter les lieux de travail, de communication et de partage de l’information, ainsi que la façon dont les produits et services sont commercialisés, vendus et livrés.
– En 2021, nous avons vu de nombreux points faibles continuer à être exploités. Dans le cadre du travail à distance, les cybercriminels ont exploité de nombreux points d’entrée non sécurisés, tels que les ordinateurs portables, les téléphones portables et autres appareils électroniques, qui fonctionnent en dehors de la sécurité du bureau.
– Les courriels d’hameçonnage visant à voler des informations personnelles, telles que des mots de passe, des numéros de cartes de paiement, des dates de naissance et d’autres informations, ont également continué à représenter un risque organisationnel majeure.
– En fait, The Terranova Security 2020 Phishing Benchmark Global Report, basé sur le tournoi annuel Gone Phishing de Terranova, qui a vu des employés d’organisations du monde entier participer à des simulations d’hameçonnage, tend à indiquer que l’hameçonnage reste une menace majeure pour la sécurité organisationnelle - 20 % des employés cliquent encore sur des liens d’e-mails d’hameçonnage, même si leur organisation a mis en place un programme de sensibilisation à la sécurité ou de formation à l’hameçonnage.
GS Mag : Quid des besoins des entreprises ?
Lise Lapointe : les besoins des entreprises sont de plusieurs natures :
– De nos jours, les entreprises doivent reconnaître qu’une culture de la cybersécurité et de sensibilisation est désormais un impératif commercial. Cela exige un engagement continu de la part de chaque responsable, département et personne de l’organisation.
– Les entreprises doivent également comprendre que cette culture forte est favorisée par une formation de sensibilisation à la cybersécurité, et que cette formation ne peut pas être constituée de sessions de formation aléatoires ou se limiter à seul courriel trimestriel sur le phishing.
– Un programme réussi de sensibilisation à la sécurité doit être capable de reconnaitre les besoins et les personnes rattachées à l’organisation, et doit se concevoir en fonction du comment, du pourquoi, du quand, du où, du qui et du quoi de l’organisation.
GS Mag : Comment votre stratégie va-t-elle évoluer pour répondre à ces questions ?
Lise Lapointe : Terranova Security pense que la formation de sensibilisation à la sécurité centrée sur les personnes est au cœur de la protection de toutes les organisations, petites et grandes.
Tous nos outils placent l’utilisateur final au centre de l’expérience de formation. Nous offrons aux clients un domaine approfondi d’expertise en matière de sensibilisation à la sécurité sur une base continue. Notre contenu de haute qualité, pertinent et attrayant trouve un écho et finit par modifier les comportements. Nous pensons également qu’il est important de procéder à des tests réguliers pour s’assurer que les utilisateurs finaux sont constamment mis au défi de repérer les cybermenaces.
Les simulations de phishing garantissent que vos employés peuvent détecter et éviter les menaces de phishing ou d’ingénierie sociale. Ces types de tests de phishing interactifs peuvent faire partie de toute initiative de formation à la sensibilisation à la sécurité et permettent aux organisations de tester les connaissances des utilisateurs avec un scénario réel. Les simulations de phishing ajoutent une dimension puissante aux campagnes de sensibilisation et facilitent le processus de formation.
GS Mag : Avec la pandémie, le télétravail et sa sécurisation sont devenus incontournable aujourd’hui. De quelle manière intégrez-vous ces principes au sein de votre entreprise et de votre offre ?
Lise Lapointe : Le travail à distance a changé la donne en matière de cybersécurité. Avec des départements et des processus plus répartis que jamais - pour certaines organisations, à travers plusieurs pays et fuseaux horaires - même les meilleures infrastructures techniques continuent de ressentir la pression d’un risque réel accru.
Les organisations doivent repenser et remodeler leurs initiatives existantes en matière de formation à la sécurité afin de donner à leurs employés les outils dont ils ont besoin pour détecter et éviter les cybermenaces, en particulier celles qui visent explicitement les travailleurs à distance.
Nous avons fait évoluer nos offres de formation pour prendre en compte le travail dans la "nouvelle normalité", et nous proposons également notre Hub de cybersécurité gratuit - un centre unique de sensibilisation et de connaissances en matière de cybersécurité avec un accès en un clic à notre kit COVID-19, notre kit Travail à domicile, notre kit Mot de passe, notre kit Hameçonnage, etc.
GS Mag : Quels sont vos conseils en la matière, et plus globalement pour limiter les risques ?
Lise Lapointe : Notre monde du travail a changé ; par conséquent, la formation de sensibilisation à la cybersécurité doit également évoluer. Chez Terranova Security, nous avons développé des contenus qui sont également disponibles dans des formats accessibles et adaptés aux mobiles pour aider à construire un programme de formation de sensibilisation à la sécurité diversifié et inclusif où tous les utilisateurs, indépendamment de leur emplacement physique ou de leur langue/appareil privilégié, peuvent profiter d’une expérience d’apprentissage engageante et ludique. Les programmes de sensibilisation à la cybersécurité doivent être conçus pour rencontrer les gens là où ils se trouvent et les impliquer dans les conditions où ils apprennent le mieux.
GS Mag : Enfin, quel message souhaitez-vous faire passer aux RSSI ?
Lise Lapointe : En tant que RSSI, vous êtes chargé de créer et d’alimenter l’enthousiasme pour la cybersécurité.
Comprendre les motivations qui poussent les utilisateurs finaux à participer à une formation est essentiel à la mise en œuvre efficace de votre campagne de sensibilisation à la sécurité. Si vous voulez favoriser la constitution d’équipes cybernétiques engagées, vous devez 1) comprendre la culture de l’organisation et de femmes et hommes qui la composent, 2) tester les compétences et les connaissances existantes des utilisateurs finaux en matière de sensibilisation à la sécurité de l’information, 3) montrer comment la formation à la sécurité de l’information apporte une valeur ajoutée à la vie des participants, et 4) fournir les outils nécessaires à la formation.
Articles connexes:
- Ninon Pommerie, ProHacktive : Sherlock entre gain de temps pour identifier les machines vulnérables, et pertinence des recommandations
- Florent Skrabacz, Shadline : l’ « Abri Cyber Autonome » va devenir un hub de données pour remédier aux défaillances des SI
- Arnaud Le Men, ERIUM : l’optimisation des technologies Cyber et l’entraînement vont devenir une priorité majeure pour les RSSI
- Jean-François Hugon, EBRC : Pour tout chef d’entreprise, investir dans les certifications, c’est assurer la protection de son outil de travail et de son patrimoine !
- Frans Imbert-Vier, CEO d’UBCOM : Les RSSI doivent mettre en œuvre une bonne hygiène de sécurité pour répondre aux menaces
- David Cummins, Tenable : Les entreprises doivent revenir aux bases de la cyber-hygiène !
- Valentin Jangwa et Nicolas Liard, Bitglass : La généralisation du télétravail doit rimer avec sécurité !
- Mathieu Rigotto, CYBLEX Technologies : Les entreprises ont besoin de rationaliser et de simplifier la gestion de leurs attaques cyber
- Renaud GHIA, Président de TIXEO : La sécurité doit faire partie intégrante de la virtualisation des espaces de travail
- Christophe Auberger, Fortinet :Les RSSI doivent poursuivre leurs efforts pour atteindre la security-by-design garante d’une maîtrise des risques
- Mohamed Beghdadi, Hub One : La gestion de crise ne s’arrête pas à la remédiation mais doit intégrer l’après attaque
- François Mazars, Unisys : les risques de ransomwares sont majeurs et aucune entreprise n’est à l’abri
- Boris Berger, Président de WaryMe : Nous vous aidons à organiser la réponse à ces menaces
- Frédéric Grelot, GLIMPS : Boostez l’intelligence de vos lignes de défense !
- Matthieu Iguenane, CEO de Digitalberry : Maîtrisons au plus vite la gestion des certificats numériques !
- Fabien Pereira Vaz, Paessler AG : PRTG Network Monitor permet de superviser le bon fonctionnement des solutions de sécurité
- L’équipe Secure-IC : Les entreprises doivent aborder la cybersécurité de bout en bout
- Sébastien Viou, Stormshield : Notre stratégie est de protéger les organisations et entreprises exploitant des infrastructures critiques et opérationnelles
- Belkacem Teibi, CEO Daspren : L’anticipation est une des clés pour bien se protéger
- Frédéric Lussignol, SPIE ICS : Le métier du RSSI implique d’être un bon communicant et de dialoguer avec les métiers
- Christophe Grangeon, Usercube : Les RSSI doivent prendre la mesure de l’enjeu et considérer les solutions françaises dans leurs appels d’offres
- Thomas Cribier, Rubycat : La Gestion des accès à privilèges (PAM) est un maillon essentiel dans la gouvernance du SI
- Sébastien Talha, Human : Arrêter les bots c’est arrêter les cyberattaques
- Guillaume Kauffmann, TRACIP : De la recherche de compromission à la gestion de crise
- William Culbert, BeyondTrust : Les entreprises doivent prendre conscience des risques associés et de leur surface d’attaque
- Antoine Lionet, NetWitness : L’humain doit être au cœur de notre monde technologique au côté des outils techniques
- Bogenschütz, et François Péchard, VEYAN : Le RSSI doit être le rempart contre les cybermenaces !
- Régis Fattori, ChapsVision : Les entreprises doivent copier leurs Bases de Données sensibles dans un Cloud SecNumcloud
- Philippe LUC, ANOZR WAY : Nous souhaitons aider les entreprises à adopter une politique de protection « people-first »
- Florian Malecki, Arcserve : Si la prévention contre les ransomwares échoue, le stockage immuable vous garantit la restauration de vos données !