La cybersécurité n’est plus une préoccupation de niche, c’est un test de collaboration mondiale, un impératif pour les conseils d’administration et une question de survie pour les petites entreprises de plus en plus ciblées par les cyberattaques.

Kiersten Todt a été témoin de cette transformation depuis les premières lignes, avec un curriculum vitae couvrant la Maison-Blanche, la Cybersecurity and Infrastructure Security Agency et des rôles de direction dans les secteurs privé et à but non lucratif, y compris le Cyber Readiness Institute, axé sur les petites entreprises.

Elle rejoint Mastercard cette semaine en tant que vice-présidente principale du partenariat et de l’engagement en matière de cybersécurité, approfondissant la collaboration de l’entreprise avec les gouvernements et les partenaires mondiaux dans un paysage de menaces de plus en plus complexe et veillant à ce que l’innovation sécurisée devienne le moteur, et non l’obstacle, du progrès. Elle apporte un mélange de vision stratégique et de réalité opérationnelle alors que l’entreprise élargit son portefeuille de services cybernétiques, frauduleux, d’identité et d’IA. 

« Une grande partie de ce que nous faisons souvent en matière de cybersécurité consiste à gérer le moment présent », dit-elle. « Mais Mastercard est particulièrement bien placée pour être tournée vers l’avenir. Mastercard dispose des ressources, de la capacité, de la capacité et des points de contact à l’échelle mondiale pour être un chef de file dans ce domaine et se demander : « Quelle est la vision ? Comment construire une infrastructure plus sûre et plus résiliente, un écosystème plus sûr et plus résilient ?

La semaine dernière, la salle de presse de Mastercard s'est entretenue avec Mme Todt pour discuter de son approche de la mise en place de cadres qui donnent du pouvoir à l'industrie, favorisent le partage d'informations et intègrent la sécurité dans le tissu de l'innovation.

L'entretien a été édité et condensé.  

Todt: Cela a toujours été un débat. Comme dans la plupart des questions de politique, ce n’est pas une science, c’est un art. Le gouvernement a une capacité incroyable de se réunir, et son rôle, en fin de compte, est d’établir un cadre qui guide l’industrie et qui est fondé sur la gestion des risques. Le gouvernement peut habiliter l’industrie en fournissant des lignes directrices pour gérer ses risques et en l’aidant à prioriser ce qui est important. La conformité ne fonctionne pas parce qu’elle finit par se transformer en une liste de contrôle qui ne suffit pas.

L’un des éléments clés de la gestion des risques est qu’elle ne doit jamais être faite de manière isolée. Le gouvernement ne devrait pas le faire en isolant de l’industrie et vice versa. Ils doivent travailler ensemble pour que le résultat final soit la meilleure approche possible en matière de résilience. La collaboration entre l’industrie et le gouvernement est essentielle à une gestion efficace et efficace des cyberrisques. 

Todt: Au fur et à mesure que l’environnement a changé, une grande partie de cela se produit en fait de manière organique par l’action. Lorsque j’ai récemment siégé au gouvernement fédéral, nous avions déployé des efforts pour travailler avec l’industrie afin de corriger de manière proactive les cybervulnérabilités. Mais presque immédiatement, la collaboration a eu lieu en réponse aux attaques, et le gouvernement et l’industrie n’ont pas vraiment eu d’autre choix que de travailler ensemble. Un cadre était déjà en place, mais ces événements et ces violations ont déclenché ce type d’engagement. Les deux parties ont des informations cruciales à partager, et il y a de plus en plus de reconnaissance qu’en se rassemblant, il est possible de mieux comprendre où se trouve la menace.

Nous parlons souvent d'indicateurs de compromis. Mais lorsque j'étais au gouvernement, nous cherchions à identifier des indicateurs d'intérêt. Qu'est-ce qui nous indique que quelque chose pourrait se produire ? Le gouvernement ne peut répondre à cette question sans l'industrie. L'industrie ne peut répondre à cette question sans le gouvernement. Ce qui se passe, c'est que vous assemblez un puzzle sans toutes les pièces, et c'est en travaillant ensemble que vous obtiendrez une meilleure image. L'industrie peut partager ce qu'elle voit sur son réseau et le gouvernement peut travailler avec d'autres secteurs pour aider à identifier des modèles, des campagnes et des tactiques. Ensemble, ils dressent un tableau des menaces plus complet et de meilleure qualité. Grâce à ses capacités technologiques, à ses données et à ses renseignements sur les menaces, Mastercard est un partenaire puissant pour les gouvernements du monde entier.  

Todt : L'IA va conférer un avantage considérable à la cybersécurité. Nous le constatons déjà grâce à l'automatisation, à la gestion des vulnérabilités, à la remédiation, à la capacité de concevoir des codes sécurisés, toutes ces choses avec lesquelles nous avons lutté au fil des ans. Les adversaires, cependant, comprennent rapidement comment ils peuvent l'utiliser à leurs propres fins. C'est ce que nous constatons, en particulier dans les ransomwares alimentés par l'IA, qui sont capables d'exploiter les vulnérabilités en 15 minutes plutôt qu'en plusieurs semaines et d'automatiser les analyses de vulnérabilités et les négociations qui, auparavant, devaient être effectuées manuellement.

Mais la bonne nouvelle, c’est que, contrairement à d’autres révolutions technologiques, nous sommes conscients de tout cela dès le début. Bien que l’IA et l’apprentissage automatique existent depuis un certain temps, ils n’ont été généralisés qu’au cours des dernières années. En tant que société mondiale, nous sommes conscients de l’importance d’utiliser correctement ces technologies. Nous comprenons qu’il doit y avoir un cadre pour cette innovation technologique qui aide réellement la technologie à mieux fonctionner. L’innovation sécurisée ne devrait pas être un oxymore. Cela favorise l’innovation lorsque nous intégrons la sécurité dès le début. En raison du déploiement de l’IA par l’industrie et le gouvernement, nous savons qu’il doit y avoir un vaste effort mondial, et je pense que vous voyez des entreprises et des pays se rassembler pour comprendre ce qui doit être fait et pour déterminer comment établir un cadre d’action. 

Todt: Au Cyber Readiness Institute, nous nous sommes concentrés sur le comportement humain. Comment pouvons-nous aider les petites entreprises à s’améliorer en les informant de certains des niveaux de base de cybersécurité qui sont nécessaires pour aider les petites entreprises à ne pas faire faillite ? Nous avons vu la dépendance des chaînes d’approvisionnement mondiales vis-à-vis des petites entreprises avec l’une de nos entreprises membres au CRI pendant la COVID. Une petite entreprise a été victime d’un ransomware, a fait faillite et a perturbé la chaîne d’approvisionnement mondiale de l’entreprise. Nous devons faire mieux. C’est la marée montante qui soulève tous les navires. Nous devons investir dans la cybersécurité des petites entreprises.

Lorsqu’il s’agit d’intégrer la cybersécurité et les pratiques de cyberhygiène dans l’infrastructure des petites entreprises, l’automatisation est certainement utile. Le gouvernement a également la possibilité d’inciter les entreprises qui fournissent des produits de sécurité à faire de ces capacités de sécurité un défaut dans la technologie. Les progrès technologiques récents nous permettent d’éloigner la sécurité de l’utilisateur final, de la petite entreprise, et de l’intégrer à l’infrastructure technologique.  Nous ne pouvons pas sous-estimer l’importance cruciale d’investir dans la cybersécurité des petites entreprises et d’en faire une priorité. 

Todt: Pendant longtemps, la cybersécurité a été considérée comme un avantage concurrentiel qui était un choix, quelque chose dans lequel chaque organisation pouvait choisir d’investir – ou non – et quelque chose qui était fait de manière isolée. Il n’y a pas si longtemps, les entreprises disaient : « Je ne vais pas investir dans la cybersécurité, je vais simplement investir dans la réponse si quelque chose m’arrive. »

Mais ce que nous avons vu et apprécié, c’est ce changement vers le partenariat, la collaboration, ce changement vers la défense partagée, que la cybersécurité et la résilience complètes ne peuvent pas être réalisées par une seule organisation. Les gouvernements du monde entier, le secteur privé, les innovateurs technologiques reconnaissent que la sécurité de l’écosystème numérique est une responsabilité collective. Je suis également encouragé par l’intégration de la cybersécurité dans la stratégie d’entreprise et l’innovation. Il n’y a pas que l’informatique. La cyber-résilience est désormais une question de conseil d’administration. C’est directement lié à la confiance, à la marque, à la croissance. Cette prise de conscience transforme la façon dont les organisations investissent réellement dans les technologies sécurisées, les renseignements sur les menaces et la collaboration intersectorielle, et en donnent la priorité. La sécurité intégrée est impérative pour une croissance soutenue à l’avenir.

Mastercard est dans une position unique pour diriger tous les secteurs, les gouvernements, l’industrie afin de placer la barre plus haut et d’être un partenaire stratégique précieux. Chaque jour, Mastercard constate à quel point la collaboration peut être puissante, comment les partenariats entre les gouvernements, les industries, les secteurs et les régulateurs redéfinissent ce à quoi ressemble la résilience et intègrent la cybersécurité dans le processus d’innovation lui-même. Parce qu’elle se situe à l’intersection de la technologie, de la confiance et du commerce, Mastercard peut anticiper les menaces avant qu’elles n’émergent et assurer la croissance sécurisée et résiliente de l’économie numérique.