Nadya Bartol: Better cybersecurity starts with honesty and accountability | TED

36,390 views ・ 2021-06-01

TED


Veuillez double-cliquer sur les sous-titres anglais ci-dessous pour lire la vidéo.

00:00
Transcriber:
0
0
7000
Traducteur: Jules Daunay Relecteur: Claire Ghyselen
00:13
Today, I'm going to talk about a shameful topic.
1
13063
3667
Aujourd’hui, je vais parler d’un sujet honteux.
00:17
This has happened to many of us, and it's embarrassing,
2
17463
4034
C’est arrivé à beaucoup d’entre nous et c’est embarrassant,
00:21
but if we don't talk about it, nothing will ever change.
3
21530
3367
mais si nous n’en parlons pas, rien ne changera jamais.
00:24
It's about being hacked.
4
24930
2067
Je veux parler d’être victime de piratage.
00:27
Some of us have clicked on a phishing link and downloaded a computer virus.
5
27630
4600
Certains d’entre nous ont cliqué sur un lien d’hameçonnage
et téléchargé un virus informatique.
00:32
Some of us have had our identities stolen.
6
32263
2434
D’autres se sont fait voler leurs identités.
00:34
And those of us who are software developers
7
34730
2000
Et ceux parmi nous qui sont développeurs
00:36
might have written insecure code with security bugs in it
8
36763
3367
peuvent avoir écrit du code non sécurisé contenant des bogues de sécurité
00:40
without realizing it.
9
40163
1400
sans s’en rendre compte.
00:42
As a cybersecurity expert,
10
42530
1700
En tant qu’experte en cybersécurité,
00:44
I have worked with countless companies on improving their cybersecurity.
11
44263
4334
j’ai travaillé avec beaucoup d’entreprises pour améliorer leur cybersécurité.
00:49
Cybersecurity experts like me have advised companies
12
49063
3400
Les experts en cybersécurité comme moi ont conseillé les entreprises
00:52
on good cybersecurity practices,
13
52497
2600
sur les bonnes pratiques en matière de cybersécurité,
00:55
monitoring tools
14
55130
1133
les outils de suivi
00:56
and proper user behaviors.
15
56297
1700
et les bonnes attitudes à adopter.
00:58
But I actually see a much bigger problem that no tool can fix:
16
58030
4733
Mais je constate un problème bien plus grand qu’aucun outil ne peut résoudre :
01:02
the shame associated with the mistakes that we make.
17
62797
3300
la honte associée aux erreurs que nous faisons.
01:06
We like to think of ourselves as competent and tech savvy,
18
66563
3867
Nous aimons nous croire compétents et très forts en technologie.
01:10
and when we make these mistakes that can have a really bad impact
19
70463
3300
Quand nous faisons ces erreurs qui peuvent avoir un très mauvais impact
01:13
on us and our companies --
20
73797
1400
sur nous et nos entreprises –
01:15
anything from a simple annoyance,
21
75230
1867
n’importe lequel d’une simple gêne,
01:17
to taking a lot of time to fix,
22
77130
2167
à quelque chose qui prend du temps à être réparé
01:19
to costing us and our employers a lot of money.
23
79330
3633
et nous coûtera beaucoup d’argent à nous et à nos employeurs.
01:23
Despite billions of dollars that companies spend on cybersecurity,
24
83630
4467
Malgré les milliards que les entreprises dépensent en cybersécurité,
01:28
practitioners like me see the same problems over and over again.
25
88130
4500
les spécialistes comme moi constatent les mêmes problèmes, encore et encore.
01:32
Let me give you some examples.
26
92663
1800
Voici quelques exemples.
01:35
The 2015 hack of Ukrainian utilities
27
95330
3033
En 2015, le piratage des services publics ukrainiens,
01:38
that disconnected power for 225,000 customers
28
98397
3766
qui a entraîné la coupure de l’électricité pour 225 000 clients
01:42
and took months to restore back to full operations
29
102197
3666
et a pris des mois pour revenir à un fonctionnement normal,
01:45
started with a phishing link.
30
105897
2100
a commencé par un lien d’hameçonnage.
01:48
By the way, 225,000 customers is a lot more 225,000 people.
31
108030
5567
Au passage, 225 000 clients, c’est bien plus que 225 000 personnes.
01:53
Customers can be anything from an apartment building
32
113630
2700
Les clients sont aussi bien un immeuble d’habitation
01:56
to an industrial facility
33
116363
1400
qu’une usine
01:57
to a shopping mall.
34
117797
1433
ou un centre commercial.
01:59
The 2017 data breach of Equifax
35
119263
3100
En 2017, la violation des données d’Equifax
02:02
that exposed personally identifiable information
36
122363
2834
qui a divulgué les données personnelles
02:05
of 140 million people
37
125230
2433
de 140 millions de personnes
02:07
and may ultimately cost Equifax something on the order of 1.4 billion dollars:
38
127663
6334
et qui pourrait coûter au final à Equifax environ 1,4 milliard de dollars
02:14
that was caused by an exploitation of a well-known vulnerability
39
134030
3500
a été causée par l’exploitation d’une vulnérabilité bien connue
02:17
in the company's customer consumer complaint portal.
40
137563
2934
dans le portail des réclamations clients de l’entreprise.
02:21
Fundamentally, this is about technology and innovation.
41
141563
4100
Au fond, c’est une question de technologie et d’innovation.
02:25
Innovation is good; it makes our lives better.
42
145697
3000
L’innovation est une bonne chose ; elle améliore notre vie.
02:28
Most of the modern cars we drive today are fundamentally computers on wheels.
43
148697
6033
La majorité des voitures actuelles sont en réalité des ordinateurs sur roues.
02:34
They tell us where to go to avoid traffic, when to take them in for maintenance
44
154763
4834
Elles nous disent quand les faire réviser, comment éviter les embouteillages
02:39
and then give us all kinds of modern-day conveniences.
45
159630
3200
et nous offrent toutes sortes de fonctionnalités modernes.
02:42
Many people use connected medical devices like pacemakers
46
162863
3434
Plein de gens utilisent des systèmes médicaux connectés comme des pacemakers
02:46
and glucose monitors with insulin pumps.
47
166330
2300
et des moniteurs de glucose avec des pompes à insuline.
02:49
These devices make these people's lives better
48
169197
2533
Ces appareils améliorent leur vie
02:51
and sometimes even extend their lives.
49
171763
2534
et parfois même la prolongent.
02:54
But anything that can be interconnected can be hacked when it's connected.
50
174297
5533
Mais tout ce qui est interconnectable peut être piraté s’il est connecté.
03:00
Did you know that the former US Vice President Dick Cheney
51
180230
3067
Saviez-vous que l’ancien vice-président américain Dick Cheney
03:03
kept his pacemaker disconnected from Wi-Fi before he received a heart transplant?
52
183330
4500
avait déconnecté son pacemaker du Wi-Fi avant sa transplantation cardiaque ?
03:07
I will let you figure out why.
53
187863
2134
Je vous laisse deviner pourquoi.
03:10
In a digitally interconnected world, cyber risks are literally everywhere.
54
190830
5033
Dans un monde interconnecté au numérique, les cyber-risques sont partout.
03:16
For years, my colleagues and I have been talking about
55
196230
2800
Depuis des années, mes collègues et moi avons discuté
03:19
this elusive notion of cybersecurity culture.
56
199063
2467
de cette notion insaisissable de culture de la cybersécurité.
03:22
Cybersecurity culture is when everybody in the organization
57
202030
3367
La culture de la cybersécurité, c’est quand tout le monde
03:25
believes that cybersecurity is their job,
58
205430
2733
estime que la cybersécurité fait partie de son travail,
03:28
knows what to do and what not to do
59
208197
1900
sait ce qu’il faut faire ou non
03:30
and does the right thing.
60
210097
1333
et fait le nécessaire.
Malheureusement, je ne peux pas vous dire quelles entreprises y parviennent,
03:32
Unfortunately, I can't tell you which companies do this well,
61
212063
3500
03:35
because by doing so, I would put a juicy target on their backs
62
215597
3500
sinon j’en ferai une cible attirante
03:39
for ambitious attackers.
63
219097
1933
pour des pirates audacieux.
03:41
But what I can do is make cybersecurity less mysterious,
64
221030
4267
Mais ce que je peux faire, c’est rendre la cybersécurité moins mystérieuse,
03:45
bring it out into the open and talk about it.
65
225297
2900
la révéler au grand jour et en parler.
03:48
There should be no mystery or secrecy within an organization.
66
228763
4600
Il ne devrait pas y avoir de mystère ou de secret au sein d’une organisation.
03:54
When something is invisible and it's working,
67
234197
3800
Quand quelque chose est invisible et qu’elle fonctionne,
03:58
we don't know that it's there until it's not there.
68
238030
3467
on ne sait pas qu’elle existe jusqu’à ce qu’elle disparaisse.
04:01
Kind of like toilet paper.
69
241530
2333
Un peu comme le papier toilette.
04:04
When the COVID-19 pandemic began,
70
244663
2734
Quand la pandémie de COVID-19 a commencé,
04:07
what has been there all of a sudden became super important
71
247430
3167
ce qui avait toujours été là est soudainement devenu très important
04:10
because we couldn't find it anywhere.
72
250597
1800
car on ne pouvait en trouver nulle part.
04:12
Cybersecurity is just like that:
73
252830
2167
La cybersécurité, c’est comme ça :
04:15
when it's working, we don't know, and we don't care.
74
255030
3067
quand elle fonctionne, on ne le sait pas et on ne s’en soucie pas.
04:18
But when it's not working,
75
258130
1533
Mais quand elle est défaillante,
04:19
it can be really, really bad.
76
259697
2600
ça peut devenir extrêmement grave.
04:22
Toilet paper is pretty straightforward.
77
262797
2766
Le papier toilette, c’est assez simple.
04:25
Cybersecurity is mysterious and complex.
78
265563
3034
La cybersécurité, c’est mystérieux et complexe.
04:28
And I actually think it starts with the notion of psychological safety.
79
268630
3867
Je pense en fait que ça vient de la notion de sécurité psychologique.
04:33
This notion was popularized by an organizational behavior scientist,
80
273297
3900
Elle a été popularisée par une spécialiste du comportement organisationnel,
04:37
Amy Edmondson.
81
277230
1733
Amy Edmondson.
04:38
Amy studied behavior of medical teams in high-stakes situations like hospitals,
82
278963
5167
Amy a étudié le comportement des équipes médicales
dans des contextes à fort enjeu comme à l’hôpital,
04:44
where mistakes could be fatal.
83
284163
1734
où les erreurs peuvent être fatales.
04:45
And she found out that nurses were not comfortable
84
285930
2700
Elle a découvert que les infirmières n’étaient pas à l’aise
04:48
bringing up suggestions to the doctors
85
288630
2267
de faire des suggestions aux médecins
04:50
because of the fear of questioning authority.
86
290897
2233
à cause de la peur de remettre en question l’autorité.
04:53
Amy helped improve medical teams
87
293797
2600
Amy a aidé les équipes médicales à s’améliorer
04:56
to make nurses more comfortable bringing up suggestions to the doctors
88
296430
3700
pour que les infirmières fassent plus de suggestions aux médecins
05:00
for patient treatment
89
300130
1200
pour traiter les patients
05:01
without the fear of being scolded or demeaned.
90
301330
3067
sans craindre d’être grondées ou rabaissées.
05:04
For that to happen, doctors needed to listen and be receptive --
91
304397
3566
Pour que cela se produise, les médecins doivent écouter et être réceptifs –
05:07
without judging.
92
307997
1200
sans juger.
05:10
Psychological safety is when everybody is comfortable speaking up
93
310363
4134
La sécurité psychologique, c’est quand tout le monde est à l’aise pour s’exprimer
05:14
and pointing things out.
94
314530
1700
et signaler les choses.
05:17
I want cybersecurity to be the same.
95
317097
2733
Je veux qu’il en soit de même pour la cybersécurité.
05:19
And I want cybersecurity practitioners to be comfortable bringing suggestions up
96
319863
4034
Je veux que les professionnels de la cybersécurité
puissent faire des suggestions
05:23
to senior executives or software developers,
97
323930
2867
aux dirigeants ou aux développeurs,
05:26
without being dismissed as those people who continue to talk about
98
326830
3900
sans être catalogués comme les gens qui parlent
05:30
horrors and errors,
99
330763
1334
d’horreurs et d’erreurs
05:32
and say no.
100
332130
1267
et qui disent non.
05:33
Not doing so is really hard
101
333963
3100
Ne pas le faire, c’est très difficile
05:37
for the individuals who are responsible for the creation of digital products
102
337097
4100
pour les personnes chargées de créer des produits numériques
05:41
because fundamentally, it's about their pride and joy in their creations.
103
341230
4800
parce que dans le fond, il est question de fierté et de joie dans ce qu’ils créent.
05:46
I once tried talking to a senior software development executive
104
346597
3433
Un jour, j’ai essayé de parler avec un directeur informatique
05:50
about the need to do better security.
105
350063
2034
de la nécessité d’améliorer la sécurité.
Vous savez ce qu’il m’a dit ?
05:52
You know what he said?
106
352097
1233
05:53
"Are you telling me we're developing insecure code?"
107
353363
2534
« Vous me dites que nous développons du code non sécurisé ? »
05:56
In other words, what he heard was, "Your baby is ugly."
108
356263
3434
En d’autres termes, il a entendu : « Votre bébé est hideux ».
06:00
What if instead of focusing on what not to do,
109
360330
4400
Et si au lieu de se focaliser sur ce qu’il ne faut pas faire,
06:04
we focused on what to do?
110
364763
2267
on se préoccupait de ce qu’il faut faire ?
06:07
Like, how do we develop better software
111
367063
3567
Par exemple, comment développer de meilleurs logiciels
06:10
and protect our customer information at the same time?
112
370663
3534
tout en protégeant les données de nos clients ?
06:14
Or how do we make sure that our organization is able to operate
113
374230
4433
Ou comment faire en sorte que notre organisation soit capable de fonctionner
06:18
in crisis, under attack or in an emergency?
114
378697
2766
en cas de crise, d’attaque ou d’urgence ?
06:21
And what if we reward good things that people do in cybersecurity in some way
115
381863
4067
Et si on récompensait ce que les gens font de bien pour la cybersécurité
06:25
and encourage them to do so,
116
385963
1600
et on les encourageait en ce sens,
06:27
like reporting security incidents,
117
387597
2166
par exemple à signaler des incidents de sécurité,
06:29
reporting potential phishing emails,
118
389797
2566
des courriels d’hameçonnage potentiels
06:32
or finding and fixing software security bugs
119
392363
3500
ou à trouver et corriger les bogues de sécurité
06:35
in the software that they develop?
120
395897
1866
dans les logiciels qu’ils développent ?
06:37
And what if we tied these good security actions to performance evaluations
121
397797
3800
Et si on faisait un lien entre ces bonnes actions et les évaluations de performance
06:41
to make it really matter?
122
401630
1633
pour leur donner une vraie importance ?
06:43
I would love for us to communicate these good cybersecurity things
123
403763
4267
J’aimerais qu’on communique sur ces bonnes pratiques de cybersécurité
et les encourager dans des communications au sein de l’entreprise :
06:48
and encourage them in some sort of company-wide communications
124
408063
2934
06:51
like newsletters, blogs, websites, microsites --
125
411030
2700
newsletters, blogs, sites Web, micro sites –
06:53
whatever we use to communicate to our organization.
126
413763
3267
tout ce qu’on utilise pour communiquer dans notre organisation.
06:57
What if a company announced a competition for who finds the most security bugs
127
417063
5467
Et si une entreprise lançait un concours pour trouver le plus de bugs de sécurité,
07:02
and fixes them in a two-week development sprint
128
422530
3267
les corriger dans un sprint de développement de deux semaines
07:05
and then announces the winner of the competition for the quarter
129
425830
3333
puis annonçait le gagnant du concours pour le trimestre
07:09
at a large company virtual town hall,
130
429197
2766
à l’assemblée générale virtuelle de cette grande entreprise,
07:11
and then rewards these people, these winners, with something meaningful,
131
431963
4234
et récompensait ensuite les gagnants en leur offrant une récompense conséquente,
07:16
like a week's vacation or a bonus.
132
436230
2167
comme une semaine de vacances ou une prime.
07:18
Others will see the celebration and recognition,
133
438763
2834
Les autres verront la récompense et la reconnaissance
07:21
and they'll want to do the same.
134
441630
1933
et ils voudront faire de même.
07:23
In the energy industry,
135
443563
1400
Dans le secteur de l’énergie,
07:24
there is a really strong culture of safety.
136
444997
2833
la culture de la sécurité est très forte.
07:27
People care about this culture, are proud of it,
137
447830
2967
Les gens y tiennent, en sont fiers
07:30
and there is a collective reinforcement of this culture
138
450797
3466
et renforcent collectivement cette culture
07:34
to make sure that nobody gets hurt.
139
454297
1933
pour s’assurer que personne ne soit blessé.
07:36
One of the ways they exhibit and keep this safety conscious culture going
140
456230
4533
L’une des façons de montrer et de maintenir cette culture de la sécurité,
07:40
is by counting and visibly displaying days since the last safety incident.
141
460797
6233
c’est de compter et afficher les jours depuis le dernier incident de sécurité.
07:47
And then everybody works really hard not to have that count go back to zero
142
467663
4367
Tout le monde s’efforce de ne pas laisser ce chiffre revenir à zéro,
07:52
because that means that somebody did get hurt.
143
472063
2500
car cela signifie que quelqu’un a été blessé.
07:54
Cybersecurity is the same as safety.
144
474597
3133
La cybersécurité, c’est pareil que la sécurité.
07:57
What if we all agree
145
477763
1634
Et si nous acceptions tous
07:59
to keep that count of days since the last cybersecurity incident
146
479430
3267
que le décompte des jours depuis le dernier incident de cybersécurité
08:02
going on forever
147
482730
1333
soit permanent
08:04
and then work really hard not to have it reset to zero?
148
484097
3200
et que nous nous efforcions de ne pas le remettre à zéro ?
08:08
And then certain things are a no-no,
149
488097
2033
Et puis certaines choses sont à proscrire,
08:10
and we need to clearly communicate to our organizations what they are
150
490163
3434
et nous devons clairement les communiquer dans nos organisations
08:13
in an easily digestible and maybe even fun way,
151
493630
2867
d’une manière simple à assimiler, peut-être même amusante,
08:16
like gamification or simulations,
152
496530
2667
comme la ludification ou les simulations,
08:19
to make sure that people can remember this.
153
499230
2467
pour s’assurer que les gens puissent s’en souvenir.
08:21
And if somebody does something they're not supposed to do,
154
501730
2833
Et si quelqu’un fait une chose qu’il n’est pas censé faire,
08:24
they should face some sort of consequences.
155
504597
2133
il doit en subir les conséquences.
08:26
So, for example, if an employee buys equipment on Amazon or eBay
156
506763
4734
Ainsi, par exemple, si un salarié achète du matériel sur Amazon ou eBay
08:31
or uses personal Dropbox for their company business,
157
511530
3400
ou utilise sa Dropbox personnelle pour les activités de son entreprise,
08:34
then they should face some sort of consequences.
158
514963
2467
il doit en subir les conséquences.
08:37
And when this happens, executives should get the same treatment
159
517463
3134
Si cela arrive, les dirigeants doivent être traités de la même manière
08:40
as regular employees,
160
520630
1667
que les autres salariés,
08:42
because if they don't, then people won't believe that it's real
161
522297
3000
sinon les gens ne prendront pas ça au sérieux
08:45
and will go back to their old behaviors.
162
525330
1933
et reprendront leurs anciens réflexes.
08:47
It's OK to talk about mistakes,
163
527297
2500
Il n’y a pas de mal à parler de ses erreurs,
08:49
but just like a teenager who violates the rules tells us about it,
164
529830
4033
mais tout comme un adolescent qui enfreint les règles et nous le dit,
08:53
we appreciate that they told us about it,
165
533897
2066
nous le remercions de nous en avoir parlé,
08:55
but there should still be some sort of consequences.
166
535997
2433
mais il doit quand même en assumer les conséquences.
09:00
Cybersecurity is a journey.
167
540263
2134
La cybersécurité est une aventure.
09:02
It's not a destination,
168
542430
1500
Ce n’est pas une fin en soi
09:03
and we need to keep working on it.
169
543930
1933
et il faut y travailler constamment.
09:06
I would love for us to celebrate cybersecurity people
170
546297
3133
J’aimerais que nous célébrions les acteurs de la cybersécurité
09:09
like the heroes that they are.
171
549430
1933
tels les héros qu’ils sont.
09:11
If we think about it, they are firefighters,
172
551363
2967
Si l’on y réfléchit bien, ils sont des pompiers,
09:14
emergency room doctors and nurses,
173
554330
1833
des médecins et des infirmières urgentistes,
09:16
law enforcement, risk executives and business strategists
174
556197
3766
des policiers, des gestionnaires de risques et de stratégie d’entreprise,
09:19
all in the same persona.
175
559963
1900
tout cela à la fois.
09:21
And they help us protect our modern life that we like so much.
176
561897
3800
Ils nous aident à protéger la vie moderne que nous aimons tant.
09:25
They protect our identities, our inventions, our intellectual property,
177
565697
4333
Ils protègent notre identité, nos inventions, la propriété intellectuelle,
09:30
our electric grid, medical devices,
178
570063
2400
notre réseau électrique, nos appareils médicaux,
09:32
connected cars and myriad other things.
179
572497
3500
nos voitures connectées et une myriade d’autres choses.
09:35
And I'd like to be on that team.
180
575997
1600
J’aimerais faire partie de cette équipe.
09:38
So let's agree that this thing is with us to stay,
181
578097
4266
Alors convenons que la cybersécurité est avec nous pour rester,
09:42
let's create a safe environment to learn from our mistakes,
182
582363
3600
créons un cadre sécurisé pour apprendre de nos erreurs
09:45
and let's commit to making things better.
183
585963
2367
et engageons-nous à améliorer les choses.
09:48
Thank you.
184
588363
1267
Merci.
À propos de ce site Web

Ce site vous présentera des vidéos YouTube utiles pour apprendre l'anglais. Vous verrez des leçons d'anglais dispensées par des professeurs de premier ordre du monde entier. Double-cliquez sur les sous-titres anglais affichés sur chaque page de vidéo pour lire la vidéo à partir de là. Les sous-titres défilent en synchronisation avec la lecture de la vidéo. Si vous avez des commentaires ou des demandes, veuillez nous contacter en utilisant ce formulaire de contact.

https://forms.gle/WvT1wiN1qDtmnspy7