Nadya Bartol: Better cybersecurity starts with honesty and accountability | TED
35,920 views ・ 2021-06-01
Veuillez double-cliquer sur les sous-titres anglais ci-dessous pour lire la vidéo.
00:00
Transcriber:
0
0
7000
Traducteur: Jules Daunay
Relecteur: Claire Ghyselen
00:13
Today, I'm going to talk about
a shameful topic.
1
13063
3667
Aujourd’hui, je vais parler
d’un sujet honteux.
00:17
This has happened to many of us,
and it's embarrassing,
2
17463
4034
C’est arrivé à beaucoup d’entre nous
et c’est embarrassant,
00:21
but if we don't talk about it,
nothing will ever change.
3
21530
3367
mais si nous n’en parlons pas,
rien ne changera jamais.
00:24
It's about being hacked.
4
24930
2067
Je veux parler d’être victime de piratage.
00:27
Some of us have clicked on a phishing link
and downloaded a computer virus.
5
27630
4600
Certains d’entre nous ont cliqué
sur un lien d’hameçonnage
et téléchargé un virus informatique.
00:32
Some of us have had our identities stolen.
6
32263
2434
D’autres se sont fait
voler leurs identités.
00:34
And those of us
who are software developers
7
34730
2000
Et ceux parmi nous qui sont développeurs
00:36
might have written insecure code
with security bugs in it
8
36763
3367
peuvent avoir écrit du code non sécurisé
contenant des bogues de sécurité
00:40
without realizing it.
9
40163
1400
sans s’en rendre compte.
00:42
As a cybersecurity expert,
10
42530
1700
En tant qu’experte en cybersécurité,
00:44
I have worked with countless companies
on improving their cybersecurity.
11
44263
4334
j’ai travaillé avec beaucoup d’entreprises
pour améliorer leur cybersécurité.
00:49
Cybersecurity experts like me
have advised companies
12
49063
3400
Les experts en cybersécurité comme moi
ont conseillé les entreprises
00:52
on good cybersecurity practices,
13
52497
2600
sur les bonnes pratiques
en matière de cybersécurité,
00:55
monitoring tools
14
55130
1133
les outils de suivi
00:56
and proper user behaviors.
15
56297
1700
et les bonnes attitudes à adopter.
00:58
But I actually see a much bigger problem
that no tool can fix:
16
58030
4733
Mais je constate un problème bien plus
grand qu’aucun outil ne peut résoudre :
01:02
the shame associated with
the mistakes that we make.
17
62797
3300
la honte associée aux erreurs
que nous faisons.
01:06
We like to think of ourselves
as competent and tech savvy,
18
66563
3867
Nous aimons nous croire compétents
et très forts en technologie.
01:10
and when we make these mistakes
that can have a really bad impact
19
70463
3300
Quand nous faisons ces erreurs
qui peuvent avoir un très mauvais impact
01:13
on us and our companies --
20
73797
1400
sur nous et nos entreprises –
01:15
anything from a simple annoyance,
21
75230
1867
n’importe lequel d’une simple gêne,
01:17
to taking a lot of time to fix,
22
77130
2167
à quelque chose qui prend
du temps à être réparé
01:19
to costing us and our employers
a lot of money.
23
79330
3633
et nous coûtera beaucoup d’argent
à nous et à nos employeurs.
01:23
Despite billions of dollars
that companies spend on cybersecurity,
24
83630
4467
Malgré les milliards que les entreprises
dépensent en cybersécurité,
01:28
practitioners like me see the same
problems over and over again.
25
88130
4500
les spécialistes comme moi constatent
les mêmes problèmes, encore et encore.
01:32
Let me give you some examples.
26
92663
1800
Voici quelques exemples.
01:35
The 2015 hack of Ukrainian utilities
27
95330
3033
En 2015, le piratage
des services publics ukrainiens,
01:38
that disconnected power
for 225,000 customers
28
98397
3766
qui a entraîné la coupure
de l’électricité pour 225 000 clients
01:42
and took months to restore
back to full operations
29
102197
3666
et a pris des mois pour revenir
à un fonctionnement normal,
01:45
started with a phishing link.
30
105897
2100
a commencé par un lien d’hameçonnage.
01:48
By the way, 225,000 customers
is a lot more 225,000 people.
31
108030
5567
Au passage, 225 000 clients,
c’est bien plus que 225 000 personnes.
01:53
Customers can be anything
from an apartment building
32
113630
2700
Les clients sont aussi bien
un immeuble d’habitation
01:56
to an industrial facility
33
116363
1400
qu’une usine
01:57
to a shopping mall.
34
117797
1433
ou un centre commercial.
01:59
The 2017 data breach of Equifax
35
119263
3100
En 2017, la violation
des données d’Equifax
02:02
that exposed personally
identifiable information
36
122363
2834
qui a divulgué les données personnelles
02:05
of 140 million people
37
125230
2433
de 140 millions de personnes
02:07
and may ultimately cost Equifax something
on the order of 1.4 billion dollars:
38
127663
6334
et qui pourrait coûter au final à Equifax
environ 1,4 milliard de dollars
02:14
that was caused by an exploitation
of a well-known vulnerability
39
134030
3500
a été causée par l’exploitation
d’une vulnérabilité bien connue
02:17
in the company's customer
consumer complaint portal.
40
137563
2934
dans le portail des réclamations
clients de l’entreprise.
02:21
Fundamentally, this is about
technology and innovation.
41
141563
4100
Au fond, c’est une question
de technologie et d’innovation.
02:25
Innovation is good;
it makes our lives better.
42
145697
3000
L’innovation est une bonne chose ;
elle améliore notre vie.
02:28
Most of the modern cars we drive today
are fundamentally computers on wheels.
43
148697
6033
La majorité des voitures actuelles sont
en réalité des ordinateurs sur roues.
02:34
They tell us where to go to avoid traffic,
when to take them in for maintenance
44
154763
4834
Elles nous disent quand les faire réviser,
comment éviter les embouteillages
02:39
and then give us all kinds of
modern-day conveniences.
45
159630
3200
et nous offrent toutes sortes
de fonctionnalités modernes.
02:42
Many people use connected
medical devices like pacemakers
46
162863
3434
Plein de gens utilisent des systèmes
médicaux connectés comme des pacemakers
02:46
and glucose monitors with insulin pumps.
47
166330
2300
et des moniteurs de glucose
avec des pompes à insuline.
02:49
These devices make
these people's lives better
48
169197
2533
Ces appareils améliorent leur vie
02:51
and sometimes even extend their lives.
49
171763
2534
et parfois même la prolongent.
02:54
But anything that can be interconnected
can be hacked when it's connected.
50
174297
5533
Mais tout ce qui est interconnectable
peut être piraté s’il est connecté.
03:00
Did you know that the former
US Vice President Dick Cheney
51
180230
3067
Saviez-vous que l’ancien vice-président
américain Dick Cheney
03:03
kept his pacemaker disconnected from Wi-Fi
before he received a heart transplant?
52
183330
4500
avait déconnecté son pacemaker du Wi-Fi
avant sa transplantation cardiaque ?
03:07
I will let you figure out why.
53
187863
2134
Je vous laisse deviner pourquoi.
03:10
In a digitally interconnected world,
cyber risks are literally everywhere.
54
190830
5033
Dans un monde interconnecté au numérique,
les cyber-risques sont partout.
03:16
For years, my colleagues and I
have been talking about
55
196230
2800
Depuis des années,
mes collègues et moi avons discuté
03:19
this elusive notion
of cybersecurity culture.
56
199063
2467
de cette notion insaisissable
de culture de la cybersécurité.
03:22
Cybersecurity culture is when
everybody in the organization
57
202030
3367
La culture de la cybersécurité,
c’est quand tout le monde
03:25
believes that cybersecurity is their job,
58
205430
2733
estime que la cybersécurité
fait partie de son travail,
03:28
knows what to do and what not to do
59
208197
1900
sait ce qu’il faut faire ou non
03:30
and does the right thing.
60
210097
1333
et fait le nécessaire.
Malheureusement, je ne peux pas vous dire
quelles entreprises y parviennent,
03:32
Unfortunately, I can't tell you
which companies do this well,
61
212063
3500
03:35
because by doing so, I would put
a juicy target on their backs
62
215597
3500
sinon j’en ferai une cible attirante
03:39
for ambitious attackers.
63
219097
1933
pour des pirates audacieux.
03:41
But what I can do is make
cybersecurity less mysterious,
64
221030
4267
Mais ce que je peux faire, c’est rendre
la cybersécurité moins mystérieuse,
03:45
bring it out into the open
and talk about it.
65
225297
2900
la révéler au grand jour et en parler.
03:48
There should be no mystery or secrecy
within an organization.
66
228763
4600
Il ne devrait pas y avoir de mystère
ou de secret au sein d’une organisation.
03:54
When something is invisible
and it's working,
67
234197
3800
Quand quelque chose est invisible
et qu’elle fonctionne,
03:58
we don't know that it's there
until it's not there.
68
238030
3467
on ne sait pas qu’elle existe
jusqu’à ce qu’elle disparaisse.
04:01
Kind of like toilet paper.
69
241530
2333
Un peu comme le papier toilette.
04:04
When the COVID-19 pandemic began,
70
244663
2734
Quand la pandémie de COVID-19 a commencé,
04:07
what has been there all of a sudden
became super important
71
247430
3167
ce qui avait toujours été là est
soudainement devenu très important
04:10
because we couldn't find it anywhere.
72
250597
1800
car on ne pouvait en trouver nulle part.
04:12
Cybersecurity is just like that:
73
252830
2167
La cybersécurité, c’est comme ça :
04:15
when it's working, we don't know,
and we don't care.
74
255030
3067
quand elle fonctionne, on ne le sait pas
et on ne s’en soucie pas.
04:18
But when it's not working,
75
258130
1533
Mais quand elle est défaillante,
04:19
it can be really, really bad.
76
259697
2600
ça peut devenir extrêmement grave.
04:22
Toilet paper is pretty straightforward.
77
262797
2766
Le papier toilette, c’est assez simple.
04:25
Cybersecurity is mysterious and complex.
78
265563
3034
La cybersécurité,
c’est mystérieux et complexe.
04:28
And I actually think it starts
with the notion of psychological safety.
79
268630
3867
Je pense en fait que ça vient
de la notion de sécurité psychologique.
04:33
This notion was popularized
by an organizational behavior scientist,
80
273297
3900
Elle a été popularisée par une spécialiste
du comportement organisationnel,
04:37
Amy Edmondson.
81
277230
1733
Amy Edmondson.
04:38
Amy studied behavior of medical teams
in high-stakes situations like hospitals,
82
278963
5167
Amy a étudié le comportement
des équipes médicales
dans des contextes à fort enjeu
comme à l’hôpital,
04:44
where mistakes could be fatal.
83
284163
1734
où les erreurs peuvent être fatales.
04:45
And she found out
that nurses were not comfortable
84
285930
2700
Elle a découvert que les infirmières
n’étaient pas à l’aise
04:48
bringing up suggestions to the doctors
85
288630
2267
de faire des suggestions aux médecins
04:50
because of the fear
of questioning authority.
86
290897
2233
à cause de la peur
de remettre en question l’autorité.
04:53
Amy helped improve medical teams
87
293797
2600
Amy a aidé les équipes
médicales à s’améliorer
04:56
to make nurses more comfortable
bringing up suggestions to the doctors
88
296430
3700
pour que les infirmières fassent plus
de suggestions aux médecins
05:00
for patient treatment
89
300130
1200
pour traiter les patients
05:01
without the fear of being
scolded or demeaned.
90
301330
3067
sans craindre d’être
grondées ou rabaissées.
05:04
For that to happen, doctors needed
to listen and be receptive --
91
304397
3566
Pour que cela se produise, les médecins
doivent écouter et être réceptifs –
05:07
without judging.
92
307997
1200
sans juger.
05:10
Psychological safety is when everybody
is comfortable speaking up
93
310363
4134
La sécurité psychologique, c’est quand
tout le monde est à l’aise pour s’exprimer
05:14
and pointing things out.
94
314530
1700
et signaler les choses.
05:17
I want cybersecurity to be the same.
95
317097
2733
Je veux qu’il en soit de même
pour la cybersécurité.
05:19
And I want cybersecurity practitioners
to be comfortable bringing suggestions up
96
319863
4034
Je veux que les professionnels
de la cybersécurité
puissent faire des suggestions
05:23
to senior executives
or software developers,
97
323930
2867
aux dirigeants ou aux développeurs,
05:26
without being dismissed as those people
who continue to talk about
98
326830
3900
sans être catalogués
comme les gens qui parlent
05:30
horrors and errors,
99
330763
1334
d’horreurs et d’erreurs
05:32
and say no.
100
332130
1267
et qui disent non.
05:33
Not doing so is really hard
101
333963
3100
Ne pas le faire, c’est très difficile
05:37
for the individuals who are responsible
for the creation of digital products
102
337097
4100
pour les personnes chargées
de créer des produits numériques
05:41
because fundamentally, it's about
their pride and joy in their creations.
103
341230
4800
parce que dans le fond, il est question de
fierté et de joie dans ce qu’ils créent.
05:46
I once tried talking to a senior
software development executive
104
346597
3433
Un jour, j’ai essayé de parler
avec un directeur informatique
05:50
about the need to do better security.
105
350063
2034
de la nécessité d’améliorer la sécurité.
Vous savez ce qu’il m’a dit ?
05:52
You know what he said?
106
352097
1233
05:53
"Are you telling me
we're developing insecure code?"
107
353363
2534
« Vous me dites que nous développons
du code non sécurisé ? »
05:56
In other words, what he heard
was, "Your baby is ugly."
108
356263
3434
En d’autres termes, il a entendu :
« Votre bébé est hideux ».
06:00
What if instead of focusing on
what not to do,
109
360330
4400
Et si au lieu de se focaliser
sur ce qu’il ne faut pas faire,
06:04
we focused on what to do?
110
364763
2267
on se préoccupait de ce qu’il faut faire ?
06:07
Like, how do we develop better software
111
367063
3567
Par exemple, comment développer
de meilleurs logiciels
06:10
and protect our customer
information at the same time?
112
370663
3534
tout en protégeant
les données de nos clients ?
06:14
Or how do we make sure
that our organization is able to operate
113
374230
4433
Ou comment faire en sorte que notre
organisation soit capable de fonctionner
06:18
in crisis, under attack
or in an emergency?
114
378697
2766
en cas de crise, d’attaque ou d’urgence ?
06:21
And what if we reward good things that
people do in cybersecurity in some way
115
381863
4067
Et si on récompensait ce que les gens
font de bien pour la cybersécurité
06:25
and encourage them to do so,
116
385963
1600
et on les encourageait en ce sens,
06:27
like reporting security incidents,
117
387597
2166
par exemple à signaler
des incidents de sécurité,
06:29
reporting potential phishing emails,
118
389797
2566
des courriels d’hameçonnage potentiels
06:32
or finding and fixing
software security bugs
119
392363
3500
ou à trouver et corriger
les bogues de sécurité
06:35
in the software that they develop?
120
395897
1866
dans les logiciels qu’ils développent ?
06:37
And what if we tied these good security
actions to performance evaluations
121
397797
3800
Et si on faisait un lien entre ces bonnes
actions et les évaluations de performance
06:41
to make it really matter?
122
401630
1633
pour leur donner une vraie importance ?
06:43
I would love for us to communicate
these good cybersecurity things
123
403763
4267
J’aimerais qu’on communique
sur ces bonnes pratiques de cybersécurité
et les encourager dans des communications
au sein de l’entreprise :
06:48
and encourage them in some sort of
company-wide communications
124
408063
2934
06:51
like newsletters, blogs,
websites, microsites --
125
411030
2700
newsletters, blogs,
sites Web, micro sites –
06:53
whatever we use to communicate
to our organization.
126
413763
3267
tout ce qu’on utilise pour communiquer
dans notre organisation.
06:57
What if a company announced a competition
for who finds the most security bugs
127
417063
5467
Et si une entreprise lançait un concours
pour trouver le plus de bugs de sécurité,
07:02
and fixes them in a two-week
development sprint
128
422530
3267
les corriger dans un sprint
de développement de deux semaines
07:05
and then announces the winner
of the competition for the quarter
129
425830
3333
puis annonçait le gagnant
du concours pour le trimestre
07:09
at a large company virtual town hall,
130
429197
2766
à l’assemblée générale virtuelle
de cette grande entreprise,
07:11
and then rewards these people,
these winners, with something meaningful,
131
431963
4234
et récompensait ensuite les gagnants en
leur offrant une récompense conséquente,
07:16
like a week's vacation or a bonus.
132
436230
2167
comme une semaine
de vacances ou une prime.
07:18
Others will see
the celebration and recognition,
133
438763
2834
Les autres verront
la récompense et la reconnaissance
07:21
and they'll want to do the same.
134
441630
1933
et ils voudront faire de même.
07:23
In the energy industry,
135
443563
1400
Dans le secteur de l’énergie,
07:24
there is a really strong
culture of safety.
136
444997
2833
la culture de la sécurité est très forte.
07:27
People care about this culture,
are proud of it,
137
447830
2967
Les gens y tiennent, en sont fiers
07:30
and there is a collective
reinforcement of this culture
138
450797
3466
et renforcent collectivement cette culture
07:34
to make sure that nobody gets hurt.
139
454297
1933
pour s’assurer que personne
ne soit blessé.
07:36
One of the ways they exhibit and keep
this safety conscious culture going
140
456230
4533
L’une des façons de montrer et
de maintenir cette culture de la sécurité,
07:40
is by counting and visibly displaying days
since the last safety incident.
141
460797
6233
c’est de compter et afficher les jours
depuis le dernier incident de sécurité.
07:47
And then everybody works really hard
not to have that count go back to zero
142
467663
4367
Tout le monde s’efforce de ne pas
laisser ce chiffre revenir à zéro,
07:52
because that means
that somebody did get hurt.
143
472063
2500
car cela signifie que
quelqu’un a été blessé.
07:54
Cybersecurity is the same as safety.
144
474597
3133
La cybersécurité,
c’est pareil que la sécurité.
07:57
What if we all agree
145
477763
1634
Et si nous acceptions tous
07:59
to keep that count of days
since the last cybersecurity incident
146
479430
3267
que le décompte des jours depuis
le dernier incident de cybersécurité
08:02
going on forever
147
482730
1333
soit permanent
08:04
and then work really hard
not to have it reset to zero?
148
484097
3200
et que nous nous efforcions
de ne pas le remettre à zéro ?
08:08
And then certain things are a no-no,
149
488097
2033
Et puis certaines choses sont à proscrire,
08:10
and we need to clearly communicate
to our organizations what they are
150
490163
3434
et nous devons clairement
les communiquer dans nos organisations
08:13
in an easily digestible
and maybe even fun way,
151
493630
2867
d’une manière simple à assimiler,
peut-être même amusante,
08:16
like gamification or simulations,
152
496530
2667
comme la ludification ou les simulations,
08:19
to make sure that people
can remember this.
153
499230
2467
pour s’assurer que les gens
puissent s’en souvenir.
08:21
And if somebody does something
they're not supposed to do,
154
501730
2833
Et si quelqu’un fait une chose
qu’il n’est pas censé faire,
08:24
they should face some sort
of consequences.
155
504597
2133
il doit en subir les conséquences.
08:26
So, for example, if an employee buys
equipment on Amazon or eBay
156
506763
4734
Ainsi, par exemple, si un salarié achète
du matériel sur Amazon ou eBay
08:31
or uses personal Dropbox
for their company business,
157
511530
3400
ou utilise sa Dropbox personnelle
pour les activités de son entreprise,
08:34
then they should face
some sort of consequences.
158
514963
2467
il doit en subir les conséquences.
08:37
And when this happens, executives
should get the same treatment
159
517463
3134
Si cela arrive, les dirigeants
doivent être traités de la même manière
08:40
as regular employees,
160
520630
1667
que les autres salariés,
08:42
because if they don't,
then people won't believe that it's real
161
522297
3000
sinon les gens ne prendront
pas ça au sérieux
08:45
and will go back to their old behaviors.
162
525330
1933
et reprendront leurs anciens réflexes.
08:47
It's OK to talk about mistakes,
163
527297
2500
Il n’y a pas de mal
à parler de ses erreurs,
08:49
but just like a teenager who violates
the rules tells us about it,
164
529830
4033
mais tout comme un adolescent
qui enfreint les règles et nous le dit,
08:53
we appreciate that they told us about it,
165
533897
2066
nous le remercions de nous en avoir parlé,
08:55
but there should still be
some sort of consequences.
166
535997
2433
mais il doit quand même
en assumer les conséquences.
09:00
Cybersecurity is a journey.
167
540263
2134
La cybersécurité est une aventure.
09:02
It's not a destination,
168
542430
1500
Ce n’est pas une fin en soi
09:03
and we need to keep working on it.
169
543930
1933
et il faut y travailler constamment.
09:06
I would love for us to celebrate
cybersecurity people
170
546297
3133
J’aimerais que nous célébrions
les acteurs de la cybersécurité
09:09
like the heroes that they are.
171
549430
1933
tels les héros qu’ils sont.
09:11
If we think about it,
they are firefighters,
172
551363
2967
Si l’on y réfléchit bien,
ils sont des pompiers,
09:14
emergency room doctors and nurses,
173
554330
1833
des médecins et
des infirmières urgentistes,
09:16
law enforcement, risk executives
and business strategists
174
556197
3766
des policiers, des gestionnaires
de risques et de stratégie d’entreprise,
09:19
all in the same persona.
175
559963
1900
tout cela à la fois.
09:21
And they help us protect our modern life
that we like so much.
176
561897
3800
Ils nous aident à protéger
la vie moderne que nous aimons tant.
09:25
They protect our identities,
our inventions, our intellectual property,
177
565697
4333
Ils protègent notre identité, nos
inventions, la propriété intellectuelle,
09:30
our electric grid, medical devices,
178
570063
2400
notre réseau électrique,
nos appareils médicaux,
09:32
connected cars and myriad other things.
179
572497
3500
nos voitures connectées
et une myriade d’autres choses.
09:35
And I'd like to be on that team.
180
575997
1600
J’aimerais faire partie de cette équipe.
09:38
So let's agree that this thing
is with us to stay,
181
578097
4266
Alors convenons que la cybersécurité
est avec nous pour rester,
09:42
let's create a safe environment
to learn from our mistakes,
182
582363
3600
créons un cadre sécurisé
pour apprendre de nos erreurs
09:45
and let's commit to making things better.
183
585963
2367
et engageons-nous
à améliorer les choses.
09:48
Thank you.
184
588363
1267
Merci.
New videos
Original video on YouTube.com
À propos de ce site Web
Ce site vous présentera des vidéos YouTube utiles pour apprendre l'anglais. Vous verrez des leçons d'anglais dispensées par des professeurs de premier ordre du monde entier. Double-cliquez sur les sous-titres anglais affichés sur chaque page de vidéo pour lire la vidéo à partir de là . Les sous-titres défilent en synchronisation avec la lecture de la vidéo. Si vous avez des commentaires ou des demandes, veuillez nous contacter en utilisant ce formulaire de contact.