Steve Purser, ENISA - Un Cyber Héros par CaptainCyber
Qui êtes-vous ?
Je m'appelle Steve Purser. Je suis le chef des opérations de l'Agence européenne chargée de la sécurité des réseaux et de l'information, qui est maintenant l'Agence européenne de cybersécurité. Depuis notre dernier mandat.
Quel est le rôle de l'ENISA ?
Le rôle de l'ENISA en termes généraux est d'augmenter le niveau de sécurité à travers l'Europe, à la fois dans le secteur public et dans le secteur privé. Comment y parvient-elle ? Pas en assurant la sécurité elle-même, bien sûr. Nous ne sommes qu'une centaine de personnes. Nous travaillons en étroite collaboration, en partie avec les États membres, avec le secteur privé et avec des groupes spécialisés. Et notre travail consiste vraiment à réunir des experts dans les bonnes configurations pour résoudre des problèmes spécifiques. Par exemple, nous organisons probablement le plus grand exercice de cybersécurité au monde, où nous réunissons tous les États membres pendant un ou deux jours pour faire face à des cyberattaques de niveau européen.
Qu'est-ce que la cybersécurité pour vous ?
Elle couvre beaucoup de choses. Elle couvre la sécurisation des produits et des outils. Elle couvre la sécurisation des informations et des systèmes, mais aussi l'aspect humain et les processus. La cybersécurité couvre donc essentiellement tout ce dont vous avez besoin pour mener vos opérations en toute sécurité, que ce soit au niveau national, au niveau d'un grand conglomérat ou même au niveau d'une PME.
La cybersécurité est-elle une réelle priorité en Europe ?
Chaque Etat membre a ses propres priorités. Certains Etats membres, comme les plus grands, sont extrêmement matures. Ils ont de grandes agences de cybersécurité. Ils sont capables de faire face à des Etats membres beaucoup plus petits, avec des équipes plus petites. Ils ont des problèmes différents. C'est très bien ainsi. Notre travail à l'ENISA, je pense, est d'être capable d'utiliser les grands pour aider les petits et parfois nos propres transporteurs pour utiliser cela davantage, pour aider les grands, parce que ce n'est pas nécessairement que vous êtes grand, que vous avez toutes les compétences cybernétiques. L'art pour l'ENISA est d'essayer d'équilibrer les prérogatives nationales avec les prérogatives européennes.
La meilleure façon de faire fonctionner la cybersécurité ?
Toute cybersécurité est un mélange de trois choses : les personnes, les processus et la technologie. Et tout le monde voit l'aspect technologique. On a tendance à oublier les personnes dans le processus. Mais lorsque j'étais RSSI, la plus grande erreur que j'ai commise a été de ne pas accorder suffisamment d'importance à l'aspect humain et à l'aspect culturel. Vous pouvez rédiger le meilleur document du monde et il peut être absolument correct. Mais si vous ne persuadez pas les gens de l'adopter, vous êtes perdu. Je dirais donc qu'il y a quelques règles générales. Vous avez besoin d'une bonne communication. Vous devez être capable de comprendre votre public. Pourquoi vous faites quelque chose, l'importance de cette chose. Et vous devez les impliquer.
Je veux dire, qu'est-ce que la conscience, non ? Je peux être conscient, mais je ne fais rien. Donc la conscience doit devenir une participation. C'est très important.
Les processus sont évolutifs. En investissant dans ces processus, ils ne sont pas susceptibles de changer autant que les appareils eux-mêmes.
Qu'est-ce qui vous fait sortir du lit le matin ?
Notre objectif est de toucher des gens comme les agences nationales de cybersécurité pour atteindre la côte. De très grandes entreprises et associations, mais pas 500 millions de personnes. Nous comptons donc sur cet effet multiplicateur. Je ne pense pas qu'il fonctionne aussi bien qu'il pourrait le faire. Et c'est l'un de nos objectifs.
Mais mon espoir, évidemment, est que nous puissions générer un niveau de conversation à travers les communautés qui s'infiltrera progressivement jusque dans les foyers des gens.