Presse et Mentions

Pour gérer efficacement les audits internes de conformité en cybersécurité, les organisations devraient effectuer des audits internes réguliers pour évaluer leur statut de conformité avant l'audit officiel. Cette pratique aide à identifier les vulnérabilités, à assurer le respect des normes réglementaires et à maintenir une posture de sécurité robuste.

Une bonne pratique à suivre est de maintenir une documentation détaillée de toutes les politiques, procédures et contrôles de sécurité. Cette documentation est cruciale pour que les auditeurs puissent vérifier la conformité et pour que l'organisation démontre son engagement envers la cybersécurité.

De plus, les organisations devraient maintenir leurs systèmes et logiciels à jour, renforcer la gestion des identités et des accès, se préparer à la réponse aux incidents et à la communication, assurer la conformité des fournisseurs tiers et former les employés aux pratiques de conformité et de sécurité. Ces étapes aident non seulement à réussir l'audit, mais aussi à améliorer la posture globale de cybersécurité de l'organisation.

La personne la plus influente de ma carrière a été mon père, James Knauss, décédé l'année dernière. Sa profession de Maître Électricien était très éloignée du rôle de Responsable de la Sécurité des Systèmes d'Information dans lequel j'ai fini, mais l'écart entre nos domaines n'avait pas d'importance. Il m'a appris trois leçons cruciales qui ont formé l'essence même de ce que je suis, à la fois en tant que personne et en tant que leader en cybersécurité.

Les deux premières leçons étaient des piliers fondamentaux du caractère et du professionnalisme. Premièrement, soyez honorable : si vous faites une promesse ou un engagement, vous devez l'honorer coûte que coûte. Ce principe d'intégrité inébranlable est non négociable. Deuxièmement, il m'a appris que « être à l'heure, c'est être en retard », m'inculquant l'habitude d'arriver toujours cinq minutes à l'avance. Ce simple acte démontre le respect, la préparation et un engagement à ne pas faire perdre de temps aux autres.

Enfin, la troisième leçon concernait le tempérament et l'impact : ne jamais élever la voix. Il m'a appris que la voix la plus facile à entendre et à comprendre est celle qui est douce et mesurée. Dans un domaine très stressant comme la cybersécurité, cette leçon a été inestimable. Elle m'a appris que la vraie force en leadership ne vient pas du volume, mais de la clarté, du calme et de la fiabilité inébranlable qu'il incarnait. Ces trois principes sont le fondement de ma vie professionnelle.

"Ne prenez pas un emploi qui ne vous passionne pas"... Ce conseil est à peu près tout le jeu, car cette excitation initiale est la source de toute votre résilience par la suite. Il ne s'agit pas du facteur "cool" superficiel d'un produit ; il s'agit d'avoir une conviction profonde dans la mission de l'entreprise. Ce but devient votre ancre lorsque les choses tournent inévitablement mal. Lorsque vous faites face à une panne de système à 3 heures du matin ou à un projet complètement déraillé, la seule chose qui vous fait avancer est la certitude que vous vous battez pour quelque chose qui compte. Sans cette conviction fondamentale, la pression constante n'est qu'une corvée qui vous épuisera absolument.

Ma technique de résolution de problèmes préférée est toujours de « factoriser le problème ». L'idée principale est de prendre un problème vaste, complexe et souvent accablant et de le décomposer en composants les plus atomiques et résolubles possibles. En refusant de s'attaquer au grand problème et en se concentrant plutôt sur les plus petits sous-problèmes possibles, on peut progresser régulièrement, isoler les points de défaillance et prendre de l'élan vers une solution complète. Cela transforme un défi intimidant en une liste de contrôle gérable.

Mon conseil pratique numéro un pour atteindre des objectifs significatifs en 2025 est de réduire votre objectif principal à une seule phrase claire et affirmative. Cette approche est efficace car elle déplace l'attention de la dépendance à la motivation, qui est un sentiment éphémère, vers l'établissement d'un sens durable de l'objectif. L'acte même de créer cette phrase vous force à traverser le bruit et les distractions de la vie quotidienne, offrant une clarté absolue sur ce qui est essentiel. Ce processus transforme une aspiration vague en une mission concrète et personnelle.

Le grand problème avec l'adoption généralisée de la VoIP est qu'elle étend radicalement la surface d'attaque. Ce n'est pas différent de toute autre application critique que nous avons déplacée vers le cloud ; ce ne sont plus que des paquets de données.

Je suis préoccupé par les attaques DDoS ciblées basées sur SIP qui mettent hors service l'ensemble de notre pile de communications, ou par les campagnes de vishing sophistiquées qui usurpent les extensions internes pour cibler nos cadres. Et la fraude tarifaire est un véritable tueur de budget.

Parce qu'elle est basée sur IP, elle est largement ouverte aux attaques classiques de la couche réseau : écoute clandestine, homme du milieu sur la signalisation d'appel, etc. Si ce trafic n'est pas chiffré de bout en bout (signalisation et média), nous sommes exposés.

Honnêtement, cela se résume aux fondamentaux. Nous devons la traiter comme toute autre charge de travail critique : chiffrement fort, segmentation réseau appropriée pour isoler le VLAN vocal, et formation incessante des utilisateurs sur le vishing. C'est juste un autre actif de haute priorité à défendre.

La meilleure défense contre les arnaques et les deepfakes d'IA n'est pas une nouvelle technologie ; c'est un nouvel état d'esprit. Nous devons traiter chaque demande urgente et inattendue avec une bonne dose de scepticisme. La règle d'or est de "vérifier avant d'agir". Si un appel ou un message demande des informations sensibles ou un transfert rapide de fonds, raccrochez et utilisez un numéro de contact fiable et préenregistré pour vérifier la demande. Cette action simple perturbe le calendrier de l'escroc et vous redonne le contrôle.

En tant que CTO, je considère la gestion de la dette technique non pas comme une tâche de nettoyage, mais comme un élément essentiel de notre gestion stratégique des risques et des ressources. Bien qu'allouer un pourcentage de notre temps – disons, 10 % – au refactoring soit une tactique courante, une approche mature va beaucoup plus loin, en se concentrant sur la prévention proactive et le remboursement ciblé.

Rendre la dette visible et quantifiable

Premièrement, vous ne pouvez pas gérer ce que vous n'utilisez pas. Nous traitons la dette technique comme un passif financier au bilan. Nous utilisons une combinaison d'outils d'analyse statique de code, suivons la complexité du code, identifions les dépendances obsolètes et créons un "registre de dette" formel. Chaque élément du registre est étiqueté avec son impact potentiel – Ralentit-il le développement de fonctionnalités ? Pose-t-il un risque de sécurité ? Affecte-t-il les performances du système ? Cela rend le concept abstrait de "dette" concret et nous permet d'en discuter en termes commerciaux.

C'est là que réside le véritable levier. La dette la moins chère à corriger est la dette que vous ne créez jamais. Pour cela, notre calendrier de patchs strict et automatisé pour toutes les dépendances et systèmes est fondamental, car les vulnérabilités non corrigées sont l'une des formes les plus dangereuses de dette technique. Nous appliquons également l'Infrastructure en tant que Code (IaC) pour la gestion de la configuration afin de prévenir la dérive et de garantir que nos environnements sont reproductibles et cohérents, ce qui élimine une source massive de dette opérationnelle. Au-delà de cela, nous avons un processus d'examen architectural léger pour éviter les décisions qui nous mettraient dans une impasse des années plus tard. Enfin, notre définition de "terminé" pour toute tâche inclut des tests adéquats, de la documentation et le respect de nos normes de codage établies. Couper ces coins est la façon dont la dette commence, donc nous ne le permettons tout simplement pas.

Nous ne nous contentons pas de donner aux équipes une "taxe forfaitaire de 10 %" pour travailler sur ce qu'elles veulent. Nous gérons notre registre de dette comme un backlog de produit et intégrons explicitement les éléments liés à la dette aux nouvelles fonctionnalités lors de la planification. La priorisation est entièrement dictée par l'impact. Nous abordons toujours en premier la dette à haut risque, comme les vulnérabilités de sécurité et les problèmes de stabilité. Ensuite, nous ciblons la dette à "taux d'intérêt" dans les zones de la base de code où nous développons activement, car son remboursement immédiat accélère la livraison de nouvelles fonctionnalités. Certaines dettes, cependant, sont acceptables. Si une partie de code peu élégante se trouve dans une partie du système qui change rarement et fonctionne de manière fiable, nous choisissons consciemment de la laisser telle quelle. Il n'y a aucune valeur à refactoriser pour le seul plaisir de l'élégance.

En tant qu'expert en cybersécurité, je crois que les gestionnaires de mots de passe sont un outil essentiel pour renforcer la sécurité en ligne. Ils simplifient le processus de gestion de mots de passe forts et uniques pour plusieurs comptes, ce qui est crucial dans le paysage numérique actuel.

Cependant, il est important de les utiliser correctement pour maximiser leurs avantages. Un conseil crucial pour utiliser les gestionnaires de mots de passe en toute sécurité est d'activer l'authentification multifacteur (MFA).

La MFA ajoute une couche de sécurité supplémentaire en exigeant non seulement votre mot de passe principal, mais aussi une deuxième forme de vérification, comme un code envoyé à votre téléphone ou une analyse biométrique.

Cela réduit considérablement le risque d'accès non autorisé, même si votre mot de passe principal est compromis.

De plus, assurez-vous de choisir un gestionnaire de mots de passe réputé qui offre des fonctionnalités de sécurité robustes et met régulièrement à jour son logiciel pour se protéger contre les menaces émergentes.

L'idée de Tony était de prendre un lecteur MP3, de construire un service de vente de musique Napster pour le compléter, et de bâtir une entreprise autour de cela", a déclaré Knauss. "Tony avait l'idée commerciale." Knauss a ajouté que Fadell avait quitté Philips et s'était établi comme entrepreneur indépendant pour présenter l'idée. Knauss a dit que Fadell avait approché plusieurs entreprises et avait été rejeté par toutes, sauf Apple.

La chose intéressante à propos de l'iPod, c'est que depuis ses débuts, il a bénéficié de 100 % du temps de Steve Jobs. Peu de projets obtiennent cela. Il était fortement...

"L'idée de Tony [Fadell] était de prendre un lecteur MP3, de construire un service de vente de musique Napster pour le compléter, et de bâtir une entreprise autour de cela. Tony avait l'idée commerciale."

"#Winprog vous gifle avec votre échec", a déclaré Knauss.

Le temps presse peut-être. Les récentes baisses de taux pourraient signaler une tendance à la baisse, ce qui signifie que ces versements de rentes attrayants pourraient ne pas durer. Pour ceux qui hésitent, le risque d'attendre est de bloquer un revenu plus faible à vie.