Au cœur de la cybersécurité chez Teranet : questions-réponses avec le Directeur de la sécurité de l’information, Brenda McCulloch
La cybersécurité est plus qu’un simple mot à la mode chez Teranet : c’est une responsabilité partagée qui touche tous les secteurs de l’organisation. Alors que nous célébrons le Mois de la sensibilisation à la cybersécurité, nous voulions donner un aperçu du travail important effectué en coulisses. Nous avons rencontré Brenda McCulloch, Directeur de la sécurité de l’information de Teranet, pour parler des défis, des stratégies et de l’avenir de la cybersécurité chez Teranet, ainsi que de la manière dont chaque employé joue un rôle dans la sécurité de l’organisation.
Q: Pouvez-vous nous donner un bref aperçu de votre rôle en tant que Directeur de la sécurité de l’information chez Teranet?
R: J’ai rejoint Teranet il y a près de six ans, lorsque le poste de responsable de la sécurité des informations a été récemment créé. À cette époque, le poste était séparé de l’infrastructure informatique et des opérations avec un mandat clair pour faire évoluer le programme de sécurité. Depuis lors, je me suis efforcé de veiller à ce que Teranet reste vigilant et préparé aux cybermenaces en constante évolution auxquelles nous sommes confrontés.
Q: Le mois de sensibilisation à la cybersécurité est un événement clé du calendrier technologique. Comment Teranet participe-t-elle au Mois de sensibilisation à la cybersécurité et quelles sont certaines des initiatives prévues pour cette année?
R: La cybersécurité revêt une grande visibilité et une grande importance chez Teranet. Un élément majeur du maintien de notre posture de sécurité consiste à nous assurer que nos employés connaissent nos politiques de sécurité et les intègrent dans leurs routines quotidiennes ainsi que lors de l’exécution des projets et des opérations. Alors que nous formons continuellement nos employés aux pratiques du secteur de la sécurité, le Mois de sensibilisation à la cybersécurité nous permet d’approfondir les menaces émergentes. Cette année, nous nous concentrons sur les dernières avancées en matière de cyberprotection et fournissons des informations actualisées sur l’évolution des menaces grâce à nos partenaires. Il s’agit avant tout de rester pertinent et de garantir que nos employés disposent des connaissances dont ils ont besoin pour se protéger et protéger l’organisation.
Q: Une formation régulière est essentielle pour maintenir une posture de cybersécurité solide. Pouvez-vous nous en dire plus sur le programme de formation à la sensibilisation à la cybersécurité chez Teranet et sur la fréquence à laquelle les employés s’y engagent?
R: Nous engageons nos employés dans des formations en cybersécurité via différentes plateformes. Au début de leur emploi, chacun est tenu de suivre une formation en cybersécurité et de se familiariser avec nos politiques. Au-delà de cela, tous les employés suivent une formation annuelle en cybersécurité, tandis que les rôles techniques feront l’objet d’une formation spécialisée supplémentaire. Nous effectuons également des tests de phishing inopinés pour garantir la vigilance : le phishing reste l’une des menaces les plus répandues. De plus, nous travaillons avec un tiers pour organiser des exercices sur table afin de simuler les cybermenaces actuelles, garantissant ainsi que nos manuels de réponse aux incidents sont à jour.
Q: Le phishing est l’une des menaces les plus courantes auxquelles sont confrontées les organisations aujourd’hui. Quel type de formation sur le phishing Teranet propose-t-elle à ses employés et comment évaluez-vous son efficacité?
R: Comme mentionné, les tests de phishing font partie intégrante de notre approche. Ces tests inopinés permettent d’évaluer le degré de préparation de nos employés à repérer les courriels et les liens malveillants. Nous proposons également une formation continue sur la manière de reconnaître les tentatives de phishing, renforçant ainsi l’importance d’un signalement immédiat. L’efficacité de la formation et des contrôles de protection est mesurée en fonction du nombre de courriels suspects signalés par les employés ou de tentatives de phishing qui ont échoué.
Q: Quels sont les plus grands défis en matière de cybersécurité auxquels les organisations sont confrontées aujourd’hui, et comment Teranet relève-t-elle ces défis?
R: Il existe aujourd’hui plusieurs défis majeurs en matière de cybersécurité. L’un des problèmes majeurs est l’évolution de l’IA et l’utilisation d’hypertrucage pour manipuler socialement notre personnel afin qu’il autorise sans le savoir l’accès à des acteurs malveillants. Pour y remédier, nous développons en permanence notre programme de sensibilisation à la sécurité, surveillons les alertes et encourageons les employés à signaler rapidement les activités suspectes.
Un autre défi est de gérer l’utilisation de technologies telles que les grands modèles linguistiques (LLM), qui, bien qu’innovants, présentent des risques imprévus. Pour atténuer ces risques, Teranet a mis en place un comité de confiance en matière d’IA pour guider les employés sur une utilisation responsable de l’IA, garantissant ainsi que nous gérons les risques sans étouffer l’innovation.
Enfin, équilibrer des budgets et des délais serrés tout en maintenant la sécurité est une lutte courante. Chez Teranet, nous intégrons les pratiques de sécurité dès le début de chaque projet, garantissant que la sécurité devient un facilitateur d’utilisation efficace et efficiente des ressources, en accord avec nos objectifs commerciaux.
Q: Que peuvent faire les employés pour être plus proactifs afin d’assurer la sécurité des informations et des actifs de Teranet?
R: Chaque employé joue un rôle essentiel dans la protection de la sécurité de Teranet. En appliquant leurs connaissances en matière de sensibilisation à la sécurité et en suivant les processus et politiques établis, quel que soit leur rôle, ils deviennent partie intégrante de la posture de sécurité globale de l’entreprise. Pour être proactifs, nos employés disposent de processus qu’ils suivent pour concevoir la sécurité depuis le début du projet jusqu’à la version finale, en passant par le cycle de développement. De plus, notre personnel opérationnel suit nos processus intégrés de validation de sécurité sur les solutions nouvellement développées et les améliorations apportées aux solutions existantes. Notre priorité est de minimiser les risques et les vulnérabilités de sécurité avant que nos technologies n’entrent en production. Après la migration de production, nous vérifions en permanence les nouvelles vulnérabilités afin de garantir que notre posture est alignée avec notre tolérance au risque et nos objectifs.
Q: À l’avenir, comment voyez-vous l’évolution de la cybersécurité chez Teranet et quels sont les principaux domaines d’intérêt pour l’avenir?
R: La cybersécurité chez Teranet est loin d’être stagnante. Nous évoluons constamment pour répondre à de nouveaux défis et nous adapter aux changements du marché ainsi qu’à nos transformations internes. À l’avenir, nous continuerons d’améliorer et de rationaliser notre pile de sécurité après notre migration vers le cloud, de poursuivre les certifications ciblées et d’augmenter notre efficacité grâce à l’automatisation, aux copilotes d’IA et à la modernisation de notre architecture. Les partenariats avec les fournisseurs joueront également un rôle clé alors que nous restons agiles et proactifs pour assurer l’avenir de Teranet.
La cybersécurité est la responsabilité de tous, et chez Teranet, il est clair que Brenda McCulloch et son équipe sont en tête de file. À l’occasion du Mois de la sensibilisation à la cybersécurité, nous nous rappelons l’importance de rester informés et proactifs face à l’évolution des menaces. En travaillant ensemble et en restant vigilant, Teranet continue de renforcer ses défenses et de construire un avenir numérique plus sûr.
