Malike Bouaoud, Chief Information Security Officer chez Shift, joue un rôle clé dans le développement des mesures de sécurité par le biais de protocoles de gouvernance et d'assurance lorsqu'il s'agit de prévenir les violations de données, le phishing, les logiciels malveillants et de protéger les actifs informationnels de Shift. Nous avons rencontré Malike pour savoir ce qui l'a amené chez Shift et comment il a vu les politiques et les processus de sécurité évoluer au cours des deux dernières années.
Parlez-nous un peu de votre parcours et de ce qui vous a amené chez Shift ?
Depuis ma plus tendre enfance, j'ai toujours été passionné par l'informatique. Et depuis 23 ans, je travaille dans le secteur de la sécurité des informations. Au début des années 80, mes parents nous ont acheté un ordinateur, car ils considéraient qu'il s'agissait d'un outil pour soutenir nos activités scolaires. J'ai commencé à lire les instructions de programmation fournies avec l'ordinateur et j'ai fini par créer des jeux vidéo avec mes frères. Il est intéressant de noter que l'un des jeux vidéo que nous avons développés s'est vu voler sa propriété intellectuelle par un acteur aujourd'hui bien connu de l'industrie du jeu.
À la fin des années 90, le monde de l'informatique a connu un essor fulgurant avec la poussée des technologies de l'internet et le fameux bug de l'an 2000. Cela m'a permis de saisir des opportunités d'évolution dans le monde professionnel en occupant plusieurs postes importants au sein de multinationales. Dans l'un de ces postes, j'ai dirigé la création du premier département indépendant de cybersécurité de mon entreprise, qui rendait compte directement au PDG et au conseil d'administration.
J'ai développé ma carrière dans plusieurs pays, grâce à des contacts dans les premiers temps de la cybersécurité, et j'ai été contacté pour aider à développer un CERT national et des activités connexes au Moyen-Orient, ce qui a été une expérience formidable qui m'a conduit à devenir le conseiller national en cybersécurité d'un ministre des TIC.
Lorsque les recruteurs de Shift m'ont contactés, la mission de l'entreprise m'a immédiatement interpellée. Shift était une startup dynamique, jeune et encourageante, ce qui m'attirait pour de multiples raisons. Tout d'abord, j'ai aimé la diversité et l'engagement des dirigeants de l'entreprise. Je savais qu'il y aurait beaucoup de choses à développer dans le cadre de mon travail, ce qui m'a rappelé les débuts de ma carrière en tant que bâtisseur d'une fonction tout en travaillant avec l'infrastructure, les politiques et les procédures existantes. J'ai été impressionné dans l'ensemble par l'engagement et les réalisations des équipes et, lorsque je les ai rencontrées, ainsi que la direction, j'ai immédiatement ressenti la passion, l'engagement et l'enthousiasme des employés de Shift.
Comment avez-vous vu évoluer les politiques et les processus de sécurité au cours des deux dernières années ?
Lorsque j'ai commencé ma carrière, la plupart des systèmes informatiques étaient constitués d'une infrastructure fixe déployée sur place. Dans cet environnement, la sécurité de l'information - de la manière dont elle est menée aux politiques et procédures qui la régissent - est très différente de celle du monde hautement connecté et souvent interconnecté d'aujourd'hui.
L'adoption généralisée du cloud computing et de l'informatique "as-a-service" nous a obligés à repenser la manière dont nous fortifions nos ressources informatiques et dont nous démontrons aux autres - clients, employés et partenaires - que nous prenons la sécurité informatique au sérieux et que nous avons pris les mesures les plus strictes possibles pour protéger les données et les systèmes.
Naturellement, la protection des données et la sécurité informatique sont des priorités absolues chez Shift. C'est l'une des raisons pour lesquelles nous sommes fiers des certifications de sécurité que nous avons obtenues et pourquoi nous continuons à apprendre et à comprendre comment les implications de la sécurité ont un impact sur les technologies émergentes, telles que l'IA générative, afin que nous et nos clients puissions tirer pleinement parti de leurs avantages.
Du point de vue de la sécurité, comment les organisations peuvent-elles se préparer au mieux à l'adoption de l'IA générative et s'assurer qu'elle ne crée pas de nouvelles surfaces d'attaque ?
Je pense que la première chose à faire est de reconnaître que l'IA générative est une catégorie représentée par un certain nombre de produits, de solutions et d'approches différents. En tenant compte de cela, le niveau de perturbation que nous pouvons attendre des outils d'IA générative dépendra largement des cas d'utilisation et de notre capacité à exploiter ces technologies.
Par exemple, des outils comme ChatGPT visent à simplifier la vie des utilisateurs en automatisant diverses activités professionnelles, ce qui est très bénéfique. Cependant, la plateforme recueille des informations importantes sur les utilisateurs afin d'enrichir ses opérations de base et d'améliorer ses futures offres de services. Cette arme à double tranchant oblige les utilisateurs à réfléchir attentivement à la nature des données qu'ils fournissent et à la manière dont elles sont traitées. Pour les entreprises, cela peut nécessiter que les équipes de sécurité développent des processus et des procédures qui limitent l'utilisation de ces outils, s'assurent que les employés ne partagent pas d'informations sensibles, ou évitent de saisir du code, en particulier s'il contient des informations d'identification ou de la propriété intellectuelle.
L'une des principales préoccupations réside dans le risque associé à l'utilisation de ces technologies, notamment en ce qui concerne la gestion des données et le manque de certitude et de transparence quant à leur traitement. Par exemple, si l'on considère des plateformes comme ChatGPT, il peut être difficile de déterminer le mécanisme exact de traitement et de stockage des messages/conversations, mais on sait qu'ils sont stockés sur leurs serveurs.
Pour les entreprises, y compris les assureurs, qui cherchent à savoir comment une version contrôlée de l'IA générative peut avoir un impact positif sur l'activité, certaines de ces considérations peuvent être atténuées. Ce que je veux dire par là est qu’en intégrant l'IA générative à votre pile technologique, les professionnels de l'informatique et de la sécurité disposent d'un contrôle nettement plus important sur la manière dont les employés accèdent à la technologie et l'utilisent. Aujourd'hui, certains fournisseurs de services cloud proposent des applications/services d'IA générative qui peuvent être déployés de manière sécurisée et contrôlée. S'agit-il d'un outil autonome ou est-il intégré dans une autre solution avec des contrôles d'accès et de sécurité déjà intégrés ? Autre point important, les services informatiques des entreprises ont un contrôle nettement plus important sur les données utilisées par ces technologies. En effet, ils peuvent non seulement contrôler les données utilisées pour générer une réponse, mais aussi la manière dont les résultats sont stockés et l'endroit où ils le sont.
Mon collègue de Shift Technology, Marc Jones, fait un travail fantastique sur ce sujet et en parle dans un article qu'il a écrit récemment. C'est une bonne lecture et je vous recommande vivement d'y jeter un coup d'œil !
Que signifie pour vous "Decision Made Better" et pourquoi est-ce important ?
Decision Made Better implique de comprendre le contexte spécifique de l'organisation et d'assurer l'efficacité requise pour une prise de décision efficace. Il s'agit essentiellement d'orchestrer tous nos processus au sein de l'organisation et d'aligner les différentes unités et fonctions de l'entreprise sur un objectif commun. Nous nous efforçons d'optimiser ces processus afin d'atteindre une efficacité maximale à divers égards. Cette approche se traduit dans nos processus d'entreprise, où l'amélioration de la prise de décision joue un rôle crucial. Elle s'étend également à nos produits, puisque nous visons à fournir les meilleures solutions et à livrer des produits exceptionnels à nos clients. Pour y parvenir, il faut des efforts coordonnés de la part de toutes les personnes impliquées, notamment pour assurer la sécurité, construire des infrastructures, mettre en œuvre des processus et disposer d'une solide équipe commerciale. Chaque individu a un rôle clé à jouer dans cet effort collectif, car nous sommes plus forts ensemble.
