Dans une scène qui semble avoir été arrachée à son inspiration cinématographique, van der Gaast avait environ 16 ans lorsqu’il a piraté une installation d’armes nucléaires indienne et volé des données lors d’essais nucléaires souterrains. « Ils utilisaient une ancienne version d’un serveur de messagerie, que j’ai trompé pour qu’il me donne un compte administratif », dit-il. Cela l’a placé sur le radar d’un certain nombre d’agences de renseignement, et il a finalement été nommé l’un des 5 pirates informatiques les plus notoires au monde.

Van der Gaast venait de quitter l’Europe pour les États-Unis à l’automne 1998 lorsqu’un groupe d’hommes en costume d’une agence affiliée au ministère américain de la Défense a frappé à sa porte. « Je pensais qu’ils venaient en fait de l’immigration », dit-il, « parce que j’avais dépassé la durée de mon visa de 90 jours. »

Heureusement pour l’adolescent hacker, l’agence cherchait à recruter des étoiles montantes de l’underground virtuel, et non à les poursuivre. À ce moment-là, il a rapidement changé de camp et a commencé à travailler avec le ministère de la Défense dans le cadre d’une opération conjointe avec le FBI pendant les trois prochaines années. Le travail consistait à recueillir des renseignements sur les pirates informatiques et les activités criminelles environnantes, ainsi qu’à enquêter sur les violations de données d’intérêt national.

Cette formation peu orthodoxe a servi de tremplin à une carrière de 25 ans en tant qu’expert en cybersécurité, conférencier principal et conseiller d’entreprise, ce qui l’a conduit à son rôle actuel de fondateur et de directeur général de Sequioa Consulting, où il aide les dirigeants et les organisations mondiales à « faire moins de cybersécurité et à faire plus d’affaires en toute sécurité ».

« J’ai commencé par apprendre des leçons sur les méthodes, les tactiques et les capacités utilisées par les pirates informatiques », dit-il. "Mais avec le recul ? Je pense que ce que j’ai appris, c’est davantage sur le fait que pratiquement toutes ces violations auraient pu être évitées si les organisations s’étaient contentées de gérer les principes fondamentaux de l’informatique et de s’assurer de faire évoluer activement leurs processus.

C’est cette approche que son entreprise défend. En effet, l’entreprise applique des méthodologies de conseil en gestion, de pensée Lean et d’autres disciplines dans le contexte de la technologie pour améliorer les processus informatiques afin qu’il y ait moins de points de défaillance à exploiter pour les acteurs de la menace.

Une analogie simple est celle d’une usine automobile où chaque voiture produite présente des défauts - le volant décentré, des boulons manquants sur les bras de suspension, les conduites de frein pleines d’air et d’autres défauts. Il serait ridicule, dit-il, d’employer plus de personnes pour réparer tous ces défauts sur les voitures finies. Au lieu de cela, vous aborderiez le problème, probablement en cours de processus, à la station de chaîne de montage où ces défauts se produisent, ce qui réduirait le nombre de défauts et réduirait également les coûts.

Et pourtant, selon M. van der Gaast, l’approche en matière de cybersécurité est en grande partie la première, et l’industrie est donc restée largement réactive au lieu d’être proactive, les causes sous-jacentes restant pour la plupart intactes.

« Fondamentalement, nous sommes un peu dans une course aux armements [pour éloigner les pirates de nos vulnérabilités], mais nous devons nous demander pourquoi nous sommes confrontés à tant de défis ? », dit-il. « C’est-à-dire, pourquoi avons-nous ces vulnérabilités en premier lieu ? »

L’ancien hacker pose des questions aussi vastes depuis trois décennies, et c’est une ligne de questions qui n’a jamais été aussi pertinente pour les entreprises et la société dans son ensemble.

La façon la plus simple d’envisager la sécurité est qu’il s’agit de vulnérabilités exploitées, et ces vulnérabilités sont en fait des problèmes de qualité, dit-il : défauts de code, de configuration, de contrôle, de conception, de planification, voire de culture.

En s'attaquant à ces problèmes, on réduit le nombre de vulnérabilités, de sorte qu'il y en a moins à exploiter, explique-t-il, plutôt que de devoir renforcer les défenses face à ces vulnérabilités. Cela ne se traduit pas seulement par une réduction des dépenses de sécurité, ajoute-t-il, mais aussi par une plus grande efficacité des processus commerciaux et informatiques, ce qui réduit également leur coût.

« Une fois que vous commencez à vous concentrer davantage sur la sécurité en fonction du processus et de la qualité, lorsque vous commencez à bien faire les choses, non seulement vous résolvez les problèmes sous-jacents, mais cela peut également aider une entreprise à créer des changements positifs et à économiser de l’argent. »

Van der Gaast commence toujours à sécuriser les organisations en s’attaquant à la racine de leurs problèmes, en creusant bien plus profondément que les consultants en sécurité à l’esprit technologique. « La plupart des entreprises ont tendance à adopter une approche de la cybersécurité où elles s’efforcent constamment d’éteindre les incendies », dit-il. « Au lieu de cela, j’essaie d’examiner ce qui cause les problèmes informatiques.

« Les défis proviennent-ils de la conception des applications ? Les différents départements commerciaux utilisent-ils des processus et des fournisseurs informatiques différents ? « Une fois que vous comprenez la cause profonde des préoccupations, vous pouvez commencer à les optimiser et à les éliminer systématiquement. »

M. Van der Gaast estime que nous devons changer d’orientation sur la manière dont nous abordons le problème de la cybercriminalité. Au lieu de nous intéresser aux criminels, nous devons nous concentrer sur les raisons pour lesquelles le crime est si facile.

Il indique que la quasi-totalité des violations concernent des vulnérabilités connues et corrigées et que, dans la majorité des cas, ces correctifs sont disponibles depuis plus d'un an.

« Si je mettais un sac de céréales dans votre jardin, vous ne seriez pas surpris de découvrir que vous avez des milliers de souris une semaine plus tard. La solution idéale n’est pas d’abattre et de gérer des milliers de pièges à souris, mais de mieux stocker le grain ou de changer le processus pour expliquer pourquoi vous en avez besoin.

Résultat : vous pouvez installer le meilleur système de cybersécurité de la planète, mais si vous ne disposez pas d’outils de gestion d’identité appropriés, que vos employés ne sont pas suffisamment formés et que vous n’avez pas corrigé et mis à niveau vos systèmes, appareils ou applications, les pirates peuvent simplement contourner vos défenses, numériques ou autres, dit-il. 

En fin de compte, à une époque où les menaces alimentées par l’IA se multiplient, telles que les attaques automatisées et les vidéos deepfake, M. van der Gaast affirme que la défense réussie d’une organisation moderne contre les cybercriminels doit inclure de la formation, de l’éducation et une approche proactive et non réactive.

Ces menaces, une fois comprises, peuvent souvent être neutralisées par la mise en œuvre de bases solides – peu importe la vitesse d’une attaque si vous n’y êtes pas vulnérable – et de processus, tels que les transferts de fonds, toujours effectués par le biais d’un processus défini qui n’est pas susceptible d’être deepfaked.

À ses yeux, la meilleure chose que vous puissiez faire pour aider votre organisation est de déterminer les problèmes à l’origine de vos vulnérabilités et de les aborder, le plus en amont possible, même en examinant les problèmes organisationnels et culturels. Ensuite, demandez aux équipes de sécurité de travailler avec toutes les parties de l’organisation pour comprendre tous les processus commerciaux et informatiques et aider à les redéfinir si nécessaire afin de réduire les risques qu’ils pourraient introduire et d’être conscients de ceux qui subsistent.

Ce n’est qu’une fois que les organisations ont fait cela, en comprenant leurs problèmes sous-jacents, qu’elles peuvent formuler une stratégie et une feuille de route vers un meilleur endroit.

Tout comme il a déchiré des livres d’informatique il y a des décennies, les intérêts de van der Gaast impliquent toujours aujourd’hui d’absorber des tonnes d’informations. L’ancien cybercriminel, dont les passe-temps aujourd’hui incluent la réparation de voitures et la lecture de tout ce qui lui tombe sous la main sur les meilleures pratiques commerciales, affirme que le succès en cybersécurité est bien plus qu’une question de logiciel : « Je trouve que de nombreux défis se résument à la culture plus qu’aux solutions de haute technologie. »