Cybersécurité pour les entreprises

26 oct. 2022

|

8

8

8

Lecteur Min

Avancer les efforts de gestion des risques collectifs dans le secteur financier

La protection de nos clients et de nos consommateurs contre les menaces cybernétiques est une partie fondamentale de notre entreprise.

Secteur financier
Secteur financier
Secteur financier

Par : Craig Froelich, Chief Information Security Office, Bank of America

Même s'il n'existe pas de définition universellement acceptée pour le risque cyber, les experts dans notre domaine savent très bien le reconnaître lorsqu'ils le voient et, tout aussi important, y remédier.  

Au cours des deux dernières décennies, les secteurs public et privé ont fait des progrès incroyables dans l'identification et la gestion des risques cyber à travers notre infrastructure critique. Nous avons construit une communauté robuste où nous partageons des informations sur les menaces, faisons progresser les meilleures pratiques et menons des exercices ensemble qui ont amélioré notre sécurité individuelle et collective.  

Le travail que nous accomplissons à travers les secteurs des infrastructures critiques est indispensable, car les menaces et vulnérabilités cyber auxquelles nous faisons face exigent que nous travaillions en étroite collaboration avec le gouvernement. De plus, le secteur privé a besoin du soutien des diverses ressources et capacités que seul un engagement gouvernemental unifié peut fournir. Ces partenariats vitaux doivent continuer à évoluer et à s'étendre. Cependant, le risque n'est pas toujours le même d'un secteur à l'autre ou d'une agence à l'autre.  

Lorsque nous pensons au risque en matière de cybersécurité, nous regardons bien sûr des éléments tels que les menaces et les vulnérabilités. Malheureusement, beaucoup d'entre eux sont partagés entre les industries alors que nous travaillons tous 24 heures sur 24 et dans le monde entier pour protéger nos entreprises et nos clients contre les États-nations, les criminels et une grande variété d'acteurs malveillants déterminés.  

En outre, nous partageons souvent une chaîne d'approvisionnement technologique qui peut créer des vulnérabilités généralisées à la fois sur les réseaux des secteurs public et privé, comme Log4j ou SolarWinds. En réponse à ces défis, nous avons créé une communauté robuste et dynamique d'experts qui collabore activement et cherche à relever les défis communs. 

En activité depuis plus de 20 ans, le Financial Services Information Sharing and Analysis Center (FS-ISAC) a été un point focal pour nous permettre de développer la confiance, l'expérience et l'expertise dans le partage d'informations sur les menaces cyber. À mesure que nous avons travaillé plus étroitement ensemble en tant qu'industrie et avec des partenaires gouvernementaux clés, nous avons rapidement trouvé des opportunités élargies de partager les meilleures pratiques et d'aider à protéger le secteur dans son ensemble. Chaque jour, nous collaborons dans notre secteur, avec l'industrie et avec des partenaires gouvernementaux alors que nos experts s'engagent par le biais du FS-ISAC pour discuter de problèmes cyber complexes tels que les menaces émergentes, les stratégies d'atténuation et la réponse aux incidents. 

En plus de l'approfondissement des partenariats dans notre secteur et les infrastructures critiques dans leur ensemble, le gouvernement réalise des progrès réels et tangibles dans ses efforts pour soutenir la cybersécurité du secteur privé. Nous sommes encouragés par une coordination accrue et des investissements récents dans les départements et agences qui soutiennent la sécurité des infrastructures critiques et réduisent notre risque cyber collectif.  

La création et la croissance de l'Agence de cybersécurité et de sécurité des infrastructures ont créé de nouvelles opportunités pour le gouvernement et le secteur privé d'améliorer la cybersécurité nationale. La création du Joint Cyber Defense Collaborative (JCDC) représente notre intérêt commun pour un niveau de collaboration plus profond qui peut nous rendre plus proactifs dans notre manière de planifier et de répondre aux incidents cyber significatifs. 

Ces efforts sont nécessaires pour identifier et réduire notre risque cyber, mais ils ne sont pas suffisants. Nous devons évaluer les conséquences qui pourraient en résulter pour comprendre véritablement notre environnement cyber et intégrer la résilience dans le système financier. Pour notre secteur, cela a réuni les propriétaires et opérateurs de l'infrastructure financière la plus critique du pays pour créer le Financial Systemic Analysis and Resilience Center en 2016. En conséquence, notre secteur a investi dans l'établissement d'une vision collective et ciblée de nos systèmes, actifs et fonctions critiques pour garantir que nous puissions comprendre notre risque cyber partagé. En utilisant cette vision collective, nous avons également identifié des moyens de pouvoir atténuer de manière proactive le risque cyber en développant de nouvelles initiatives, en améliorant notre résilience et en augmentant notre sensibilisation aux menaces auxquelles nous faisons face. Après plusieurs années de collaboration étroite entre notre secteur et avec des partenaires gouvernementaux, nous avons constaté que les risques de ces nouvelles capacités avaient des impacts positifs aussi bien pour nos propres entreprises que pour le secteur.  

À la suite de ce travail réussi axé sur le secteur, nous avons élargi nos partenariats en 2020 pour inclure le secteur de l'énergie avec sa culture de gestion des risques commune afin d'améliorer notre compréhension des interdépendances et de partager les meilleures pratiques. La création de l'Analysis and Resilience Center for Systemic Risk permet aux experts des secteurs des services financiers et de l'énergie de continuer à faire avancer ce travail partagé avec nos partenaires gouvernementaux pour nous fournir la compréhension la plus complète et la plus approfondie du risque cyber jamais atteinte. 

Le secteur privé n'est pas seul à reconnaître l'importance croissante de considérer le risque cyber à travers la perspective unique d'un secteur pour nous permettre de nous concentrer sur nos caractéristiques et capacités distinctives. Avec la signature du Cyber Incident Reporting for Critical Infrastructure Act, l'Administration et le Congrès ont reconnu l'importance du rôle du gouvernement fédéral dans l'aide à la réduction du risque cyber du secteur privé en codifiant et en élargissant les responsabilités des « Sector Risk Management Agencies ». Bien que cette désignation existe au sein du gouvernement fédéral depuis une décennie, cette nouvelle législation crée une nouvelle opportunité pour notre secteur d'exploiter nos efforts en matière de risque cyber et d'approfondir notre collaboration pour faire avancer l'unité nationale d'effort pour laquelle ils ont été envisagés. Tout comme les membres du secteur des services financiers ont une expertise approfondie non seulement sur les menaces et vulnérabilités cyber auxquelles nous faisons face mais aussi sur leurs conséquences potentielles pour nos opérations, le Département du Trésor a une perspective unique sur notre structure financière et les capacités gouvernementales qui pourraient aider ses propriétaires et opérateurs. En bref, le Trésor voit les risques cyber que nous voyons, et, ensemble, nous pouvons trouver de nouvelles façons de les aborder. 

En s'appuyant sur les partenariats que notre secteur entretient avec des experts cyber à travers le gouvernement, le Trésor peut jouer un rôle crucial en tant qu'Agence de gestion des risques de notre secteur pour assurer que le gouvernement et le secteur privé puissent avoir une vision holistique à la fois des conséquences et des atténuations de nos risques cyber. Leur compréhension approfondie du système et de l'infrastructure financiers peut aider à faire avancer notre travail et à conduire une approche gouvernementale collective pour soutenir notre secteur de manière appropriée.  

En outre, l'expertise du Trésor peut aider à permettre une action collective et proactive contre les menaces cyber à notre sécurité financière. Alors que nous nous concentrons sur la sécurité et la résilience de nos opérations critiques, le Trésor peut comprendre et accéder à des capacités pour soutenir notre sécurité nationale et économique en cas d'incident cyber significatif. Notre secteur entretient un long partenariat avec le Trésor sur des questions cyber, y compris à travers le Financial Services Sector Coordinating Council (FSSCC) pour relever les défis stratégiques et la série d'exercices Hamilton pour améliorer la réponse aux menaces cyber au sein du secteur financier américain. En embrassant pleinement et en investissant dans son rôle d'Agence de gestion des risques du secteur financier, le Trésor peut véritablement faire progresser notre capacité à identifier et à réduire le risque cyber. 

En collaborant au sein du secteur privé et avec nos homologues gouvernementaux, nos entreprises ont une meilleure compréhension du risque cyber que jamais auparavant. Des décennies de collaboration ont construit une perspective partagée dans notre communauté cyber qui nous aide à nous rendre mutuellement et nos clients plus sûrs chaque jour, et ces relations de confiance nous aident à poursuivre de nouvelles façons innovantes d'améliorer encore davantage notre sécurité collective.  

Forts de cette base, notre secteur peut, et le fait, identifier et atténuer davantage les risques cyber. Avec l'expertise et les capacités de nos partenaires gouvernementaux, nous avons hâte de continuer à réaliser des avancées significatives pour la cybersécurité et la résilience du secteur financier des États-Unis.  

À propos de l'auteur, Craig Froelich 

Craig Froelich est Chief Information Security Officer pour Bank of America. Il dirige une équipe de 3 000 experts répartis dans 18 pays, dédiés à la protection des données financières des consommateurs individuels de la banque, des petites et moyennes entreprises, et des grandes entreprises. 

L'équipe de Global Information Security (GIS) défend la société contre les menaces actuelles et futures, et collabore étroitement avec les associations industrielles et gouvernementales pour garantir la sécurité du secteur dans son ensemble. Les inventeurs de GIS ont déposé ou se sont vu accorder plus de 1 000 brevets en matière de cybersécurité. L'équipe a remporté plus de 100 récompenses, dont le prix 2022 « Hot Company Security Team of the Year » du Cyber Defense Magazine et le prix 2018 « Information Security Team of the Year » du SC Magazine. Craig a également reçu des prix dans l'industrie pour son leadership, notamment en étant nommé à plusieurs reprises dans la liste des 100 meilleurs CISO mondiaux et comme CISO de l'année, ainsi que comme Breakaway Security Executive de l'année.  

Avant de rejoindre Bank of America en 2001, Craig a occupé des rôles de direction chez des entreprises technologiques où il a acquis une décennie d'expérience en gestion de produit, développement d'applications et gestion d'infrastructure. Il s'est vu accorder huit brevets en matière de sécurité de l'information.  

Craig est président du Analysis & Resilience Center. Il est ancien président et actuellement membre du conseil d'administration du Financial Services‒Information Sharing and Analysis Center, et il est ancien président et actuellement membre du comité exécutif du Financial Services Sector Coordinating Council. Il siège également au conseil d'administration de Sheltered Harbor et au comité exécutif de BITS, la division de politique technologique du Bank Policy Institute. 

Articles en vedette

How to Make Cybersecurity Training Accessible

Comment rendre la formation en cybersécurité accessible

Votre programme de formation atteint-il tous les employés de votre organisation ?

How to Make Cybersecurity Training Accessible

Comment rendre la formation en cybersécurité accessible

Votre programme de formation atteint-il tous les employés de votre organisation ?

How to Make Cybersecurity Training Accessible

Comment rendre la formation en cybersécurité accessible

Votre programme de formation atteint-il tous les employés de votre organisation ?

 Facebook piraté

Que faire si le Facebook de votre entreprise est piraté

Il y a eu une augmentation des cybercriminels tentant de cibler les profils Facebook et les comptes publicitaires des petites entreprises.

 Facebook piraté

Que faire si le Facebook de votre entreprise est piraté

Il y a eu une augmentation des cybercriminels tentant de cibler les profils Facebook et les comptes publicitaires des petites entreprises.

 Facebook piraté

Que faire si le Facebook de votre entreprise est piraté

Il y a eu une augmentation des cybercriminels tentant de cibler les profils Facebook et les comptes publicitaires des petites entreprises.

Étiquettes

Business