Principaux points à retenir

• Mettre fin au mythe du « pas nous » : La résilience se gagne pendant les 361 jours entre les mises à jour du conseil. Traitez la sécurité comme une démarche continue et en temps réel, plutôt qu’un rituel trimestriel.
• Rendre l’identité dynamique : Remplacez les privilèges permanents par un accès ponctuel basé sur le risque et intégrez les signaux d’identité au SOC pour limiter l’impact d’une attaque.
• Créer des chemins sécurisés par conception : Traduisez le risque en langage clair et mettez en place des processus par défaut sécuritaires pour que le choix sécuritaire soit la façon simple et standard de travailler.
• Mesurer le comportement, pas la présence : Suivez des indicateurs concrets, comme la couverture MFA, les résultats d’hameçonnage, le respect des politiques et les signalements d’incidents initiés par les employés, pour démontrer l’évolution de la culture.
• Utiliser l’IA sur les deux fronts : Accélérez l’IA pour la sécurité afin d’automatiser la détection et la réponse, tout en appliquant la sécurité à l’IA pour encadrer les identités des agents, les données et les invites dans un contexte de démocratisation croissante de la destruction.

Animé par Rishi Mehta, CISO chez HCLTech, un récent LinkedIn Live présenté sur la chaîne Trends and Insights de HCLTech a réuni Daniel Bernard, Chief Business Officer chez CrowdStrike; Chris Gossett, Chief Growth Officer chez SailPoint, et Amit Jain, vice-président principal et chef mondial de la cybersécurité chez HCLTech. La conversation a couvert les mythes fondamentaux et les frictions liées à l’identité jusqu’aux deux facettes de l’IA et aux indicateurs culturels qui font réellement évoluer les comportements. Le message général était pratique : la résilience vient des choix quotidiens — comment l’accès est accordé, comment les incidents sont signalés et comment l’IA est encadrée —, et non pas des cérémonies ou des slogans.

Le plus grand mythe : « Ce ne sera pas nous »

Mehta a commencé par demander à chaque leader de briser un mythe tenace. « Le mythe que j’entends le plus souvent… c’est le mythe du “ce ne sera pas moi” », a déclaré Bernard. Il a présenté la sécurité comme « une quête continue », avertissant les dirigeants de ne pas la considérer comme un rituel trimestriel. « Vous ne pouvez pas dire à votre conseil que vous allez vous préoccuper de la sécurité quatre jours par an, a-t-il dit. Ce sont les 361 autres jours qui comptent vraiment. »

Cette façon de voir est importante parce que le biais d’optimisme s’insinue encore dans la stratégie. Le panel a convenu que le risque n’est pas épisodique; il s’accumule dans les intervalles entre les points de contact formels. La culture, les investissements, les partenariats et les décisions liées aux talents, pris lors des jours ordinaires, déterminent si une faille devient inévitable ou évitable.

Identité sans conjecture

Au sujet de l’identité, Mehta a demandé où la friction pouvait devenir « invisible ». Gossett a suggéré que la plupart des organisations n’ont toujours pas une vision claire de qui peut accéder à quelles applications et à quelles données, encore moins pourquoi. Le résultat est un modèle d’accès qui oblige les employés à deviner. « Les utilisateurs finaux demandent l’accès à des choses qu’ils ne comprennent pas parfaitement… ils cherchent un peu à l’aveugle, » a-t-il affirmé, expliquant que la métaphore du magasinage façon Amazon ne cadre tout simplement pas avec le risque en entreprise. « Ce n’est pas comme ça l’accès… il y a toutes ces nuances et cette inférence, » donc l’objectif est de sortir des requêtes « à la carte » et d’aller vers un accès structuré, approprié aux rôles.

Gossett a décrit l’état cible : « Supprimer une grande quantité de privilèges permanents… aller vers un modèle ponctuel où les gens obtiennent le bon accès au bon moment, en fonction du risque, selon les signaux de l’environnement. » Il a cité le travail conjoint avec CrowdStrike qui pousse du contexte d’identité riche dans le SOC, et fait remonter les signaux du SOC dans les décisions d’accès afin que les gestionnaires et les propriétaires d’applications n’aient pas à concevoir des « modèles de sécurité vraiment complexes » qu’ils ne comprennent pas.

Le panel a aussi recommandé aux entreprises de concevoir l’identité comme un processus dynamique. Les droits d’accès devraient être flexibles selon le contexte — qui, où, quand et ce que la personne (ou l’agent) fait — au lieu de rester statiques. Traiter l’identité comme de la télémétrie vivante réduit l’impact quand les choses tournent mal et permet d’aligner l’accès avec la réalité du travail.

Sécurité par conception : rendre le chemin sécurisé facile

Au sujet de sécurité par conception, le panel a mis l’accent sur la traduction et les valeurs par défaut. Les employés ne pensent pas en modèles de risque; ils ont besoin d’un contexte compréhensible et de parcours bien définis qui rendent les bons choix faciles. Comme l’a dit Gossett, il faut donner aux gens le « contexte de tout ce que tout cela signifie » et associer cela à des outils qui appliquent par défaut des modèles plus sécuritaires; si on fait cela, « on donne vraiment aux gens le pouvoir de prendre de bien meilleures décisions. » C’est ainsi que les organisations peuvent éliminer par conception les accès excessifs et s’assurer que les privilèges risqués expirent automatiquement.

Il ne s’agit pas que d’un modèle de conception; c’est un impératif de gouvernance. Les signaux d’identité doivent alimenter la détection et la réponse, et les constats du SOC doivent remonter vers la gouvernance des accès. Quand ces boucles sont fermées, la surface d’attaque se réduit, la réponse aux incidents s’accélère et la sécurité fait partie intégrante de la prestation de services plutôt qu’une étape ajoutée à la fin.

Mesurer la culture : de la présence au comportement

Mehta a ensuite demandé comment quantifier une « culture de sécurité ». Jain a reformulé la façon de tenir le score. « L’achèvement est la conformité… et le comportement, c’est la culture », a-t-il déclaré, ajoutant que la réelle étoile polaire est de savoir si « un employé agit de façon sécuritaire quand personne ne le regarde. » Il a recommandé des indicateurs qui suivront l’action, notamment les résultats d’hameçonnage, le respect des principales politiques d’hygiène, une MFA omniprésente et, surtout, le signalement d’incident par les employés auprès du SOC. « Même avec l’avènement de l’IA, nos gens resteront notre première ligne de défense », a-t-il affirmé.

Jain a plaidé pour le croisement des sondages de pulsation CISO avec de la télémétrie comportementale basée sur la technologie, comme la prévention de la perte de données. Avec le temps, les dirigeants devraient s’attendre à voir moins de récidivistes, des signalements plus rapides et davantage de projets entrant volontairement en révision de sécurité. « Il faut intégrer la mesure scientifique menée par la technologie... en plus de la formation sur la conformité », a-t-il ajouté, afin que le changement de culture se reflète dans les tendances, pas les anecdotes.

IA pour la sécurité et sécurité pour l’IA

La conversation s’est inévitablement tournée vers l’IA. « Il y a la sécurité pour l’IA et puis l’IA pour la sécurité, » a déclaré Bernard. Sur ce dernier point, il a prédit un changement accéléré : « Il ne faudra que trois à cinq ans pour que l’IA devienne omniprésente… l’IA va changer fondamentalement la sécurité, » avec un avenir où l’IA de confiance prendra en charge davantage de la boucle centrale du SOC tandis que les humains se concentreront sur le raisonnement et la prise de décision. Sur le premier, il a averti que les systèmes d’IA, ces « employés agentiques » avec des identités et des privilèges, devront être protégés contre l’injection d’invites et sécurisés à la couche de données qui les alimente.

Mehta a caractérisé le défi actuel comme un problème de données en temps réel et le panel a poussé plus loin, soulignant l’importance de l’exécution, pas seulement la visibilité. L’IA devrait aider à calibrer automatiquement les accès, déclencher une authentification supplémentaire ciblée et contenir le risque de façon réversible lorsque les signaux se normalisent. Bref, la résilience sera bâtie en fermant la boucle de l’analyse à l’action.

La démocratisation de la destruction

Interrogé sur la double facette de l’IA, Bernard a dit : « Nous appelons cela la démocratisation de la destruction », car il est devenu « plus facile pour n’importe qui de lancer une attaque meurtrière » sans des années d’expérience en piratage. La seule réponse viable, selon lui, est de déployer une sécurité qui « suive le rythme et [soit] toujours une longueur d’avance », ce qui dépend maintenant d’une nouvelle chaîne de valeur : les meilleures données forment les meilleurs modèles, qui produisent les meilleurs agents et ces derniers offrent la sécurité en temps réel. « Il ne s’agit plus de minutes et d’heures; c’est une discussion en temps réel, proactive [et] prédictive. »

Jain a mis en garde les conseils de ne pas voir l’IA seulement comme un levier de réduction des coûts. « L’IA n’est pas un outil; l’IA est un système dans lequel nous évoluons tous aujourd’hui », a-t-il dit. Puisque les attaquants et même les États exploitent l’IA comme arme, les défenseurs doivent l’utiliser pour obtenir de meilleurs résultats de sécurité sur des problèmes complexes et probabilistes « que nous ne pouvons pas résoudre [assez rapidement] » avec seulement les humains.

Angles morts du leadership : la vitesse sans la sécurité

Mehta a ensuite demandé quels angles morts nuisent à la résilience. Jain a souligné les décisions prises « pour la vitesse et l’expérience » sans inclure la sécurité dans l’équation, notant que les progrès des dernières années démontrent que la sécurité par conception permet de préserver la rapidité des affaires. Le remède est l’intégration précoce : si la sécurité fait partie de la définition admise de la vitesse, alors livrer rapidement et en toute sécurité devient la norme. « Sans la sécurité, il n’y a pas d’expérience… ce sera une mauvaise expérience », a-t-il dit.

Bernard a ajouté que la sécurité est maintenant grand public en raison de ses implications sociétales; la traiter comme un sujet secondaire n’est plus tenable. La culture et la gouvernance doivent rapprocher la sécurité « du code » et « de l’entreprise », car avoir cinq longueurs de retard « ce n’est pas suffisant ».

Rendre la résilience investissable

Même si une grande partie de la conversation s’est concentrée sur la pratique, le panel est revenu à maintes reprises sur les résultats. La résilience devrait s’évaluer dans des termes que les conseils comprennent : moins d’interruptions, de durée plus courte, rétablissement plus rapide des services critiques et meilleures mesures de continuité. Quand l’identité, la télémétrie et l’IA s’intègrent aux opérations quotidiennes, les dirigeants peuvent relier les contrôles directement à la disponibilité, la confiance client et la marque, transformant la sécurité de coût de conformité en véritable capacité opérationnelle.

Cinq ans vers de nouveaux emplois et une autre culture

La séance s’est terminée sur une perspective d’avenir. « D’ici cinq ans, tous les membres d’une équipe de sécurité devraient occuper un emploi fondamentalement différent de celui qu’ils font aujourd’hui… si tout le monde fait la même chose, c’est un échec collectif. » L’objectif n’est pas d’éliminer les équipes mais de les faire évoluer et de recentrer le jugement humain là où il compte, tandis que l’IA de confiance prendra en charge une plus grande part des tâches manuelles.

Si la résilience est la destination, l’itinéraire est désormais clair. Éliminez le mythe du « pas nous ». Faites passer l’identité de la conjecture à l’accès ponctuel gouverné par les signaux en direct. Mesurez le comportement plutôt que la présence. Mettez en place des processus sécurisés par conception accessibles à tous, sans qu’il soit nécessaire d’être ingénieur en sécurité. Et considérez l’IA à la fois comme un multiplicateur de force pour la défense et comme une surface qui exige une protection de premier ordre. Les cultures pour lesquelles le comportement sécuritaire est le chemin de moindre résistance gagneront la capacité de protéger leur organisation toute l’année et garderont une longueur d’avance dans une ère agentique qui ne ralentit pas.