La signification de R-Score en tant qu'initiative éducative publique-privée

HYCU, en collaboration avec des partenaires clés de l'industrie de la sécurité, des partenaires de solutions et des universités, a présenté R-Score.

R-Score représente un outil d'évaluation unique en son genre qui évalue l'état de préparation d'une organisation à la récupération en cas de ransomware, de la même manière que Fair et Isaac ont mis en place le système de notation FICO il y a plus de trente ans. Nous nous sommes entretenus avec Kevin Powers, JD, fondateur et directeur des programmes d'études supérieures en cybersécurité au Boston College et affilié à la recherche en cybersécurité à la MIT Sloan School of Management (CAMS) pour en savoir plus sur les raisons pour lesquelles il est si important d'être le mieux préparé et prêt à se rétablir en cas d'attaque par un ransomware.

Q : Pourquoi R-Score est-il une initiative intéressante ?

KP : Ce qui a vraiment éveillé mon intérêt au début, c'est la possibilité d'une véritable collaboration entre l'industrie privée, le gouvernement et le monde universitaire pour développer une ressource publique et gratuite afin de répondre aux cybermenaces actuelles, en particulier les ransomwares.

Vous avez vu un certain nombre d'initiatives émanant de divers groupes et de diverses industries. Récemment, le président Biden a organisé un sommet réunissant des responsables du secteur privé et de l'éducation pour discuter de l'effort national nécessaire pour faire face à l'augmentation des menaces de cybersécurité, y compris les menaces liées aux ransomwares. Pour lutter contre ces menaces, nous devons travailler ensemble. Je suis tout à fait d'accord, il faut une approche globale. C'est ce qui m'a vraiment enthousiasmé pour R-Score et c'est pourquoi je suis si heureux de participer à cette initiative.

Q : Quels sont, selon vous, les cas d'utilisation ou les possibilités d'application à court terme de R-Score ?

KP : Je pense que dès le départ, pour les organisations privées et gouvernementales - locales, étatiques et fédérales, R-Score est un outil convivial qui vous fournit un tableau de bord facile à suivre qui répond aux questions clés pour toute organisation en ce qui concerne les ransomwares - "Où en suis-je maintenant ? Si j'étais touché par un ransomware aujourd'hui, à quelle vitesse pourrais-je me rétablir et redevenir opérationnel ?" Cette seule information permet à la plupart des organisations d'avoir une longueur d'avance. Du point de vue des cas d'utilisation, il s'agit d'une application puissante. Si, par exemple, je fais partie d'un conseil d'administration ou si je suis un cadre supérieur, je peux regarder ces informations et dire : "D'après notre score R, nous devons nous attaquer à ce problème maintenant". Ou encore : "Il semble que tout aille bien, mais nous devons améliorer notre capacité à nous défendre contre une attaque et à en atténuer les effets, et voici comment nous pouvons le faire", sur la base des informations fournies par R-Score.

Q : Nous savons que vous travaillez beaucoup dans l'industrie et également avec des entreprises privées. Selon vous, où en est la discussion au niveau du conseil d'administration à l'heure actuelle ?

KP : Cette question est de plus en plus abordée au niveau du conseil d'administration, et ce depuis un certain temps déjà. Lorsque nous avons lancé notre programme au Boston College (et c'est encore le cas aujourd'hui), l'idée était de combler le fossé de communication entre le département informatique, les cadres supérieurs et le conseil d'administration. Ce fossé existe toujours. Les RSSI ont leur rôle à jouer. Ils font d'ailleurs un excellent travail, mais la communication reste primordiale. Parfois, les RSSI ne savent pas quoi présenter au conseil d'administration, ou ils le savent mais ils ne le font pas d'une manière facilement assimilable. Les membres du conseil d'administration et les cadres supérieurs disent alors : "Je comprends la menace que représente la cybersécurité", mais on considère alors qu'il s'agit d'un problème informatique. Je le dis depuis un certain temps déjà : "La cybersécurité n'est pas un problème technique. Il s'agit en fait d'une question de gestion des risques d'entreprise qui doit être gérée de haut en bas, et non de bas en haut". Nous devons vraiment trouver un meilleur moyen de communiquer à ces deux niveaux, du service informatique aux cadres supérieurs, au conseil d'administration et à l'ensemble de l'entreprise.

Que vous soyez dans la suite C, dans un conseil d'administration ou que vous gériez une entreprise ou une unité informatique, je pense que R-Score vous offre un moyen facile d'obtenir un tableau de bord digeste et non technique de votre situation actuelle en ce qui concerne la protection de vos opérations commerciales et de vos données sensibles contre une attaque de ransomware. Une fois que vous aurez pris connaissance de votre score, vous pourrez prendre les mesures nécessaires pour améliorer votre position en matière de cybersécurité.

Q : Où les lecteurs peuvent-ils en savoir plus sur vos priorités et les événements que vous organiserez dans les mois à venir ?

KP : Nous démarrons l'année universitaire avec le premier de nos "webinaires sur la cybersécurité et la sécurité nationale", qui se tiendra au Boston College le 16 septembre. Le webinaire est axé sur la gestion des risques liés à la cybersécurité : Ransomware Planning, Response, Mitigation, and Recovery" (Gestion des risques liés à la cybersécurité : planification, réponse, atténuation et récupération des ransomwares) : L'agent spécial superviseur Doug Domin, de la Criminal Cyber Squad du FBI - Boston Division, et Simon Taylor, PDG et fondateur de HYCU, Inc. Le ransomware sera sans aucun doute l'un des principaux sujets de discussion. Vous trouverez de plus amples informations sur notre page web à l'adresse suivante : www.bc.edu/mscybersecurity

Par ailleurs, on parle beaucoup de la sécurité dans les nuages et on s'y intéresse, en classe et dans le cadre de notre série de webinaires. Les gens se disent : "Oh, je vais tout transférer dans le nuage et tout ira bien. Nous réduisons les risques et les coûts. Nous réduisons les coûts." En fait, vous réduisez les deux, mais la responsabilité vous poursuit et il se passe beaucoup de choses lorsque vous passez d'un réseau à l'informatique dématérialisée. Il y a un certain nombre de choses à prendre en compte - Comment le configurer ? Comment le gérez-vous ? Qui détient les données pour vous ? Quelles sont les ramifications contractuelles ? Ensuite, les gens se disent : "Hé, c'est dans le nuage. Nous sommes tous sauvegardés, n'est-ce pas ?". Ce n'est généralement pas le cas.

Vous regardez n'importe lequel des avis et des conseils émanant du gouvernement fédéral, qu'il s'agisse du FBI, de la CISA, de la FTC, entre autres, et ils commencent par "sauvegardez vos données". Je repense à 2017, lors de notre première conférence de Boston sur la cybersécurité, où le directeur du FBI, M. Comey, était l'invité d'honneur de la conférence. L'un de ses principaux conseils aux participants était de "sauvegarder vos données". Il ne fait aucun doute que la sauvegarde de vos données est une pièce essentielle du puzzle.

Je ferai également une présentation à la MIT Sloan School of Management le 24 septembre avec Simon Taylor. Il s'agit d'un événement virtuel au cours duquel nous discuterons des stratégies de récupération des ransomwares.

Et, bien sûr, c'est un peu plus loin, mais nous planifions déjà la 6e Conférence annuelle de Boston sur la cybersécurité (BCCS 2022), qui est prévue pour le 2 mars et se déroulera à nouveau "en personne" à BC.

Pour en savoir plus sur R-Score et l'implication du professeur Kevin Powers, vous pouvez consulter sa récente conversation avec Boston College News à l'adresse suivante : "GetRScore aide les organisations à évaluer leur capacité à se remettre d'une attaque par ransomware." Pour passer le R-Score et savoir si vous êtes prêt à vous remettre d'une attaque par ransomware, rendez-vous sur www.getrscore.org.