Actualités Avast

Jaya Baloo sur le « droit fondamental » à la cybersécurité et la joie d'affronter ses peurs

Jeff Elder, 6 novembre 2019

La nouvelle RSSI d’Avast nous parle de ce qui l’anime, neutraliser des menaces et nager parmi des requins

Forte de 20 ans d’expérience dans le domaine de la sécurité de l’information, Jaya Baloo a rejoint Avast le mois dernier en temps que responsable sécurité des systèmes d'information (RSSI). Auparavant, elle avait déjà occupé ce poste chez KPN, le plus grand opérateur de télécommunications des Pays-Bas. Elle figure officiellement dans la liste des 100 meilleurs RSSI au monde et fait partie des 100 personnes les plus influentes en matière de sécurité. Le blog d’Avast s'est entretenu avec elle pour vous livrer cette interview.

Blog d'Avast (BA) : Quel est le rôle du RSSI dans une entreprise de cybersécurité ?

Jaya Baloo (JB) : Rappeler à ses collaborateurs l’importance des meilleures pratiques, les encourager à utiliser des mots de passe forts et un VPN (réseau privé virtuel) et les orienter pour garantir la sécurité du réseau. La sécurité devrait être l’ADN de tous ceux qui travaillent dans notre secteur. Dans les autres entreprises, le RSSI devra peut-être expliquer à ses collaborateurs pourquoi il faut prendre de telles précautions. Cela dit, dans le secteur de la cybersécurité, on ne doit pas s’occuper que de notre entreprise, mais aussi de notre rôle dans les entreprises de tous nos clients. Il y a beaucoup de travail à faire. En fait, en tant qu'entreprise de sécurité, notre périmètre d’attaque est très étendu pour les criminels.

Photo_Jaya_BalooBA : Est-ce que s’occuper d’autres entreprises revient en quelque sorte à être la RSSI que nos clients aimeraient avoir pour leur entreprise, voire pour leur foyer ?

JB : Je pense que oui. En fait, l’industrie technologique n’a pas facilité la tâche à ceux qui essaient de se protéger. La sécurité a été pensée après la conception du produit. Les fabricants d’appareils et de logiciels ont pris l’habitude d’ignorer les problèmes de sécurité dès la phase de conception, ce qui signifie que leurs clients doivent se charger eux-mêmes de leur protection.

BA : Comment remédiez-vous à cette situation et donnez aux gens les moyens de se protéger ?

JB : En simplifiant la sécurité. C'est une des raisons principales pour lesquelles j’ai rejoint Avast. J’adore cette mission, faire de la cybersécurité un droit fondamental. La sécurité n'est pas réservée à ceux qui peuvent se payer un produit, elle est pour tout le monde. C’est en accord avec mes convictions. La première étape de cette démocratisation consiste souvent à démystifier des points problématiques que les gens ne savent pas traiter.

BA : Pourriez-vous nous donner un exemple de simplification de la sécurité ?

JB : Je donne cinq conseils aux gens et aux PME :

  1. Savoir ce qui se trouve sur votre réseau et où sont vos données. On a tendance à oublier ces vieux appareils qui contiennent des données sensibles. Auriez-vous un vieux téléphone ou un dispositif de stockage dans un de vos tiroirs ? Utilisez-les ou nettoyez-les.
  2. Mettez à jour ou à niveau tous ces appareils et logiciels.
  3. Les mots de passe. L’enfer est pavé de mauvais mots de passe. Utilisez un gestionnaire de mots de passe (Avast en a un super.) J’ai entendu quelqu’un dire que les mots de passe étaient comme des sous-vêtements. Privilégiez ceux qui sont longs, changez-les souvent et ne les laissez pas traîner.
  4. Sauvegardez tout, en ligne et hors ligne. C'est la seule solution infaillible contre les ransomwares. J’adore nomoreransom.org mais les malfaiteurs ne peuvent pas bloquer votre accès à des fichiers si vous disposez de toutes leurs copies.
  5. Utilisez un VPN et un antivirus.

Notre mission consiste en grande partie à le rappeler aux gens jusqu’à ce qu’ils le comprennent.

BA : Que dites-vous aux autres RSSI lorsque vous intervenez dans des événements ?

JB : La plupart des RSSI sont sur la même longueur d’onde. Ils savent qu’il faut constamment s’améliorer et rester alerte pour faire face aux nouvelles menaces. C'est facile de se dire qu'il faut réfléchir et améliorer son approche, mais c’est dangereux. Vous ne pouvez pas vous contenter d’utiliser les données de l’industrie de façon générique et avoir l’impression d’être à jour. Il faut appliquer les données, surtout si vous souhaitez vraiment apprendre des choses.

BA : Comment une entreprise doit-elle réagir suite à une violation de données ou d’autres incidents de cybersécurité ? Faut-il être immédiatement transparent et tout divulguer ?

JB : Oui, il faut être transparent. Absolument. Appropriez-vous le problème, assumez-le et dites à vos client ce qu’ils ont besoin de savoir. Il ne faut pas précipiter la divulgation complète, pour une raison très importante : la précision. Il faut souvent attendre un peu avant de connaître tous les faits. Les vérifications peuvent prendre du temps et la dernière chose que vous souhaitez, c'est donner des informations erronées. Une fois que vous avez toutes les informations, lancez-vous et soyez transparent.

BA : Comme dans de nombreux domaines technologiques, les femmes sont sous-représentées dans le domaine de la cybersécurité. Est-ce que des jeunes femmes souhaitant travailler dans ce domaine vous contactent pour vous demander des conseils ? Que leur dites-vous ?

JB : Écoutez votre cœur. N’ayez pas peur de vous tromper. D’autres essaieront de vous freiner mais ne vous limitez pas vous-même. Combien de fois ai-je participé à une réunion où les femmes ne disaient rien de peur d’avoir l’air bête ? Ce n’est pas cela qui va faire taire les hommes ! Suivez votre passion et ne vous mettez pas de barrières. Ce secteur a besoin de vous. Aidez-nous à protéger le monde.

BA : Que faites-vous de votre temps libre ?

JB : J’ai trois enfants (7, 11 et 13 ans) donc soit je travaille, soit je m’occupe d’eux. Et parfois, je mêle ces deux univers. J’ai recruté une star de YouTube, Enzo Knol pour qu’il fasse un atelier de cybersécurité dans l’école de mes enfants, je les ai inscrits à la conférence Hack in the Box et j’ai démonté un disque dur avec ma fille pour en faire des bijoux. Ils considèrent la technologie comme un acquis. Ce n’était pas ainsi lorsque j’étais enfant. Mes parents ne voulaient pas que je joue aux jeux vidéos. Aujourd'hui, les parents paient des coachs pour que leurs enfants progressent sur Fortnight ! Je ne sais pas quoi penser de cela.

BA : Avez-vous des loisirs ?

JB : Je suis allée faire de la plongée à la grande barrière de corail en Australie le mois dernier. J’ai suivi une formation Nitrox et j’ai eu la certification, au cas où je voudrais changer de voie et devenir monitrice de plongée. C’était génial. J’ai vu pleins de requins, de raies, de tortues et de minuscules nudibranches. J’adore cet univers, il y a tellement de belles choses à voir à 12-15 mètres de profondeur.

IMG_0618

BA : Ça fait quoi d’apercevoir un grand requin blanc et de se rendre compte qu’il pourrait vous dévorer ?

JB : J’ai fait de la plongée aux Bahamas et j’en a vu de très gros. Ils retiennent votre attention. Si vous plongez depuis déjà quelques jours et que vous voyez un gros requin, cela ne fait pas vraiment peur. Mais si vous le voyez dès votre première minute sous l’eau, oui ça peut faire un peu peur.

J’ai réalisé que j’étais attirée par ce qui me faisait peur. Je veux comprendre l’objet de mes peurs. Cela rend souvent les choses moins effrayantes. Je suis en train de passer mon brevet de pilote. L’instructeur vous installe dans un petit avion et vous dit « On va faire caler le moteur ». Et vous vous dites : « Pourquoi ferais-je cela ? Le moteur marche très bien. Il nous permet de voler. N’y touchons pas ». Puis vous faites ce qu’on vous dit et vous vous retrouvez dans les airs sans moteur. Vous suivez calmement les étapes pour le redémarrer. Vous avez réussi. Et cela ne vous fera plus jamais aussi peur.