Clarke Rodgers (00:08) :
Darren, merci beaucoup de m'avoir rejoint aujourd'hui.

Darren Kane (00:10) :
Merci, Clarke, pour cette opportunité.

Clarke Rodgers (00:11) :
Avec plaisir. Pourriez-vous me parler un peu de vous, de votre parcours et de votre rôle au sein de NBN ?

Darren Kane (00:18) :
D'accord. Je suis marié et père de quatre enfants. Je suis actuellement directeur de la sécurité de National Broadband Network en Australie, une entreprise publique en propriété exclusive, qui fournit des services haut débit en gros à environ 8,6 millions de locaux en Australie, avec la capacité de se connecter à plus de 11 millions de locaux.

J'occupe ce poste depuis un peu plus de huit ans. Auparavant, j'ai travaillé pendant 11 ans et demi dans le domaine de la sécurité, notamment en tant que responsable de la sécurité de l'entreprise chez Telstra. Avant cela, j'ai travaillé pendant six ans et demi pour le gouvernement, pour votre SEC, la Commission australienne des valeurs mobilières et des investissements. Et avant cela, environ 13 ans au sein de la police fédérale australienne. Cela fait donc près de 40 ans que je travaille dans le domaine de l'application de la loi et de la sécurité.

Clarke Rodgers (01:05) :
Impressionnant. Je rencontre de nombreux CISO clients et nous avons vu le rôle du CISO évoluer au fil du temps. Au cours des 10 ou 15 dernières années, il semblerait bien que ces postes de sécurité soient progressivement devenus indispensables. Avant, on disait de ces personnes qu'on ne les sortait de leur sous-sol qu'en cas d'absolue nécessité. Aujourd'hui, les CISO font régulièrement rapport aux conseils d'administration. Ils font partie de la haute direction, ils font vraiment partie de l'entreprise dans son ensemble. Pouvez-vous nous en dire un peu plus sur la façon dont vous avez vu ce rôle évoluer au fil de vos postes dans la sécurité, et peut-être plus particulièrement en Australie ?

Darren Kane (01:44) :
Tout d'abord, le rôle du CISO, le responsable de la sécurité des systèmes d'information, est extrêmement important. À mesure que les entreprises gagnent en efficacité, s'appuyant sur des plateformes technologiques et entrant dans l'ère numérique, le rôle du CISO dans la gestion des risques de sécurité dans cet espace a connu une croissance exponentielle. Mais il en va de même pour tout ce qui se trouve sur ces plateformes technologiques.

Ainsi, le rôle initial du CISO qui consiste à se concentrer uniquement sur la sécurité de l'information, est devenu pratiquement superflu. On leur demande maintenant de se concentrer sur des sujets tels que la confidentialité, la réponse aux incidents, la continuité des activités, en particulier les questions liées à la technologie opérationnelle. Et comme nous disposons de systèmes de contrôle d'accès pour les points d'accès des bâtiments, comme nous avons des exigences en matière d'enquêtes médico-légales numériques, etc., vous constatez que le rôle du CISO, comme vous l'appelez, n'a cessé de croître, au point de porter sur des questions autres que la sécurité de l'information.

Je suis donc indéniablement un gars qui préconise de renoncer au « I ». Si vous devez aujourd'hui ajouter un CISO aux grands postes de l'entreprise, je pense que vous devriez plutôt embaucher un CSO. Et tous ces domaines de responsabilité dont j'ai parlé sont extrêmement importants de nos jours. Programmes d'initiés fiables, respect de la vie privée et atteinte à la vie privée, réponse aux incidents : il s'agit là de responsabilités très importantes. Et pour que le PDG, la haute direction et le conseil d'administration aient réellement confiance dans le fait qu'il s'agit d'un effort rationalisé, il n'est pas rare qu'une seule personne en soit responsable. Cette personne est désormais le CSO.

J'aimerais également ajouter que l'importance du CISO et du CSO dans une entreprise ou une entité moderne est devenue particulièrement évidente. Le conseil d'administration, la haute direction, le gouvernement en particulier, comprennent désormais les risques que représente la sécurité. Ainsi, la personne qui en est chargée joue un rôle plus important et est censée être capable d'articuler et de communiquer, ainsi que de gérer et de diriger.

Clarke Rodgers (03:57) :
Tout d'abord, j'aime cette expression : le gars qui renonce au « I » ! Il faudrait la faire figurer sur un T-shirt. Mais revenons un peu sur la gestion globale des risques pour l'organisation que vous avez mentionnée. Comment une personne occupant ce rôle de directeur de la sécurité, ou de responsable de la sécurité des systèmes d'information d'ailleurs, parvient-elle à trouver l'équilibre entre la nécessité pour l'organisation d'innover et de réussir d'un point de vue commercial et toutes les mesures qui doivent être prises du point de vue des risques de sécurité, de la conformité et de la confidentialité ? Comment « vendre » les aspects liés à la sécurité aux chefs d'entreprise tout en continuant à innover pour vos clients ?

Darren Kane (04:40) :
C'est un défi. Cela ne fait aucun doute. Et je pense que par le passé, nous y avons tous succombé, moi y compris. En fait, je mettais continuellement l'entreprise au défi de comprendre et d'apprécier le risque dont nous étions responsables. Ce faisant, nous exagérions souvent le risque et exigions qu'ils y remédient en fournissant des ressources supplémentaires ou un véritable soutien financier. Et par ressources, j'entends évidemment la main-d'œuvre.

C'est aussi une reconnaissance du risque que nous gérions. Je pense que cela a fonctionné pendant un certain temps, alors que nous faisions toutes sortes d'efforts pour nous assurer qu'ils comprenaient et appréciaient le risque. Mais depuis peu, la plupart des conseils d'administration et chefs d'entreprise compétents ont une compréhension incroyable des risques liés à la sécurité. Leur problème est de savoir ce que nous faisons pour les contrôler et comment nous les gérons dans les limites de notre goût du risque.

Et cela rejoint votre point de vue, si vous continuez à vendre le risque comme une catastrophe, c'est un message éculé. Ma façon d'aborder les choses est donc de travailler avec les cadres supérieurs qui me soutiennent et avec le conseil d'administration qui comprend et les aide à comprendre l'importance de bonnes maturité, posture et hygiène en matière de sécurité. Quels en sont les avantages et les opportunités ? Le fait est que s'ils ont l'assurance que nous gérons le risque dans les limites de notre goût du risque, ils peuvent alors me retirer le financement et le placer ailleurs dans l'entreprise, peut-être dans le domaine de la résilience.

Clarke Rodgers (06:21) :
Tout à fait.

Darren Kane (06:21) :
Peuvent-ils réellement dormir un peu mieux la nuit et se concentrer sur d'autres sujets tels que la main-d'œuvre ? Mon approche en la matière est donc que la sécurité doit être considérée comme un facilitateur plutôt que comme un partisan du « non » ou un bloqueur. La meilleure analogie que je puisse utiliser est la suivante : si vous considérez une entité comme un véhicule motorisé très performant et que le PDG est le conducteur, on pourrait penser que les freins, qui constituent le groupe de sécurité, sont là pour arrêter le véhicule. Il s'agit de l'appréciation et de la compréhension les plus courantes à notre égard.

Je ne suis pas d'accord avec cela. Je pense que les freins sont là pour que le PDG, le conducteur du véhicule, puisse pousser cette voiture jusqu'au bout de ses limites.

Clarke Rodgers (07:06) :
Et aller plus vite, pour ainsi dire.

Darren Kane (07:07) :
Aux limites de ses performances, en sachant qu'il peut freiner et s'arrêter s'il le faut. Ainsi, le groupe de sécurité proprement dit permet à l'entreprise d'être à la pointe de ses capacités de performance.

Clarke Rodgers (07:22) :
J'adore ça. J'adore ça. Alors, faites-vous rapport vous-même au conseil d'administration ?

Darren Kane (07:25) :
Oui, assez souvent par l'intermédiaire du Comité des risques et d'audit, et au conseil d'administration deux fois par an, car c'est une obligation, ainsi qu'à d'autres occasions ponctuelles. Et évidemment, je suis directement rattaché à la direction à laquelle je fais rapport aussi souvent que nécessaire.

Clarke Rodgers (07:40) :
Sans entrer dans les détails, quel type d'information intéresse les conseils d'administration ou la direction générale de nos jours ? Parce que pendant des années, c'était : « J'ai patché tant de machines. Nous avions tant de vulnérabilités. J'ai installé ce nouveau logiciel de sécurité pour, espérons-le, éliminer ces vulnérabilités. » S'intéressent-ils toujours aux bits et aux octets, ou leur communiquez-vous les risques d'une manière différente ?

Darren Kane (08:10) :
Je pense que je communique les risques d'une manière différente. Ce que vous venez de décrire est assez précis et relève davantage de la direction du comité exécutif que du conseil d'administration. Mais je suis un CSO, le directeur de la sécurité. Je suis donc responsable de tous les risques de sécurité au sein de NBN, y compris l'accès en gros à 8,6 millions de locaux. 85 % à 86 % de toutes les données en Australie transitent par notre réseau.

Clarke Rodgers (08:39) :
Impressionnant.

Darren Kane (08:40) :
Lorsque je donne des informations aux conseils d'administration et à la haute direction, j'adopte une approche très holistique. Si on me demande quelque chose en particulier, je fournirai des données plus précises. Mais dans l'environnement actuel, les problèmes géopolitiques, l'environnement de menaces, les problèmes en Ukraine, les problèmes dans la région indopacifique, les problèmes liés à la chaîne d'approvisionnement, par exemple, sont très, très importants. De toute évidence, le risque de cybersécurité, l'État-nation et la cybercriminalité constituent un problème important, comme partout ailleurs dans le monde.

Il y a donc un très large éventail de sujets que je peux aborder. Si l'on m'interroge sur la cybersécurité en particulier, je donnerai évidemment des détails à ce sujet et sur la manière dont nous gérons les contrôles en place pour la gérer. Mais parfois, j'essaie de garder une vision plus large de ce que je rapporte.

Clarke Rodgers (09:36) :
Et quantifiez-vous généralement le risque en termes de pertes et profits et d'argent ? Ce que je cherche vraiment à savoir, c'est, face aux membres d'un conseil d'administration, quel langage parler et comment adapter la conversation ?

Darren Kane (09:52) :
Non, c'est une très bonne question. Nous avons typiquement recours à des indicateurs quantitatifs, comme vous le disiez auparavant. Mais je pense que l'avenir réside dans l'analyse quantitative et dans la capacité à identifier réellement les risques dans le langage de l'entreprise. L'entité fonctionne réellement en fonction des dollars et du ressenti. Je ne pense donc pas qu'il soit approprié, lorsque je fais des séances d'information au Comité exécutif ou à qui que ce soit d'autre, d'utiliser des termes tels que « surface d'attaque », « menace interne » ou « mauvais acteur ». Même l'exemple et la tendance les plus récents de notre secteur : la « confiance zéro ».

Clarke Rodgers (10:32) :
Je comprends.

Darren Kane (10:33) :
Je m'efforce de faire en sorte que le conseil d'administration et tous ceux qui travaillent avec moi me fassent confiance. Essayer alors d'utiliser un mot qui est presque un antéchrist pour moi est vraiment une mauvaise manière de les informer de ce que j'essaie de faire. Je pense donc que l'analyse quantitative et les mentions financières pour identifier réellement le risque dans son ensemble par rapport aux coûts de contrôle, puis le risque résiduel qui suit, constituent probablement la meilleure approche. Ce n'est pas encore parfait, mais je m'y attelle.

Clarke Rodgers (11:02) :
Parfait. Changeons un peu de sujet : la dotation en personnel. Je n'ai pas encore rencontré de CISO ou de CSO qui soit satisfait du nombre d'employés de sécurité qui travaillent avec eux, de CISO ou CSO qui puisse dire « j'en ai assez ». Plus ne serait jamais trop. Et plusieurs d'entre eux ont des idées différentes sur la façon de faire évoluer l'équipe de sécurité dans l'ensemble de leur organisation sans avoir à embaucher des agents de sécurité supplémentaires. Que faites-vous à NBN pour que la sécurité soit à la portée de tout le monde et dans l'ensemble de l'entreprise alors que votre personnel de sécurité est limité ?

Darren Kane (11:46) :
Je pense au renouvellement autant qu'à la rétention. D'une certaine manière, je mets l'accent sur le renouvellement. L'argent que je peux offrir au personnel existant pour qu'il reste est limité. Les possibilités de progression, de développement, etc. que je peux offrir pour retenir le personnel sont limitées.

Quoi que je puisse faire, le secteur a besoin de talents. Si j'ai des personnes qualifiées et que le moment est venu pour elles de partir, je leur souhaite bonne chance. Mon travail consiste à m'assurer que les personnes qui restent de la gestion de la relève et des talents, auxquelles viennent s'ajouter celles que nous attirons dans l'organisation, seront en mesure de combler le vide. Je mets donc vraiment l'accent sur les programmes d'études supérieures et sur un récent stage, dont je suis particulièrement fier. Et si vous avez cinq secondes, je vais vous en parler rapidement.

Clarke Rodgers (12:35) :
Je vous en prie.

Darren Kane (12:37) :
Nous nous sommes aperçus que nous avions besoin d'une plus grande diversité dans notre recrutement de diplômés et de stagiaires. Des membres seniors de l'équipe de direction et du groupe de sécurité ont donc ciblé le collège communautaire d'enseignement technique et complémentaire de Box Hill, à Melbourne, dans l'État de Victoria. Nous avons proposé des stages à des personnes qui essayaient de faire carrière dans le domaine de la cybersécurité. En essayant de cibler des personnes envisageant une carrière secondaire ou un retour au travail, nous avons obtenu cinq femmes formidables, soit retournant au travail pour des raisons qui leur sont propres, soit des mères, etc., qui n'avaient jamais eu d'expérience dans le domaine de la cybersécurité.

Clarke Rodgers (13:18) :
Impressionnant.

Darren Kane (13:19) :
Dans un premier temps, nous leur avons proposé un stage de six mois, que nous espérions prolonger, même en ces temps. Et notre objectif était de nous assurer que, si l'occasion de les embaucher se présentait, nous le ferions. Mais si nous n'y parvenions pas, elles auraient tout de même 12 mois d'expérience dans le secteur, de sorte que lorsqu'elles postuleraient pour des postes en dehors de notre entreprise ou dans l'ensemble de l'entreprise, elles auraient cette expérience sur leur CV. Et je suis très heureux de dire que l'une d'entre elles a récemment été recrutée par l'un des quatre plus grands cabinets de conseil.

Clarke Rodgers (13:46) :
C'est formidable.

Darren Kane (13:47) :
Et nous faisons tout notre possible pour placer les autres. Lorsque vous parlez à ces stagiaires, à ces femmes, vous constatez qu'il s'agit de personnes incroyablement compétentes qui cherchaient vraiment une opportunité et une chance d'exceller. Je pense que c'est l'exemple que notre secteur, dans son ensemble, devrait suivre, à savoir que la plupart des personnes que vous devrez employer dans l'entreprise doivent avoir un esprit curieux et une bonne attitude. Elles n'ont pas nécessairement besoin de compétences solides, car nous savons tous que l'on embauche pour l'attitude, et que l'on forme pour les compétences.

Donc, pour répondre brièvement à votre question, je mets plus l'accent sur le renouvellement que sur la rétention. Et je suis incroyablement fier des anciens du groupe de sécurité. Nous avons actuellement environ huit ou neuf CISO à Melbourne qui viennent de NBN.

Clarke Rodgers (14:37) :
Oh, c'est super.

Darren Kane (14:38) :
Oui. Donc, de mon point de vue, nous faisons ces efforts autant pour renforcer le secteur que pour développer NBN.

Clarke Rodgers (14:47) :
Votre histoire à propos du programme de stages est fantastique. Comme vous le savez, je parle à de nombreux CISO, et ils parlent de la diversité au sein de leurs équipes, de la diversité des opinions, de la diversité des parcours et de la diversité des expériences. Pouvez-vous nous en dire un peu plus sur ce type de diversité au sein de votre équipe ? Sur le fait que tout le monde n'est pas issu d'une formation en informatique ni un chercheur inconditionnel en sécurité. Peut-être avez-vous eu quelqu'un des RH ou avec une formation financière qui a fini par devenir un excellent professionnel de la sécurité.

Darren Kane (15:19) :
Encore une fois, je souris parce que votre question correspond parfaitement à mon champ d'action. Je crois fermement que pour protéger un village, des villageois de tous les horizons doivent s'y atteler. J'ai une excellente histoire. Un type m'a contacté. Pendant la pandémie, lors du confinement, il travaillait pour l'une de nos compagnies aériennes nationales. Un membre très haut placé du personnel, un commandant de bord qui formait d'autres commandants de bord sur Airbus. Il a été licencié. Il a fini par s'inscrire dans le collège communautaire d'enseignement technique et complémentaire de Box Hill, et il m'a contacté sur LinkedIn. Une histoire intéressante.

Je lui ai donc répondu et lui ai dit : « Je suis curieux de savoir où vous en êtes. » À mon insu, il avait postulé pour un poste à NBN quelque temps plus tard, et nous l'avons embauché dans le cadre d'un contrat.

Clarke Rodgers (16:08) :
OK.

Darren Kane (16:09) :
Il est arrivé en ayant une passion pour l'aviation, mais en ayant aussi déjà travaillé dans le maintien de l'ordre public en Australie occidentale. Il y avait donc quelques points communs.

Clarke Rodgers (16:19) :
Vous aviez ce lien.

Darren Kane (16:20) : Oui, un lien. Nous lui avons donc accordé un contrat de 12 mois, et tout ce qu'il avait, c'était sa formation au collège Box Hill pendant 12 mois, le cours de certification. Et évidemment, un grand savoir-faire en tant que leader et gestionnaire de personnes, ainsi que des compétences solides en matière de pilotage d'Airbus et de Boeing.

Un succès incroyable. Il s'est parfaitement intégré. Je souhaitais vraiment l'employer à plein temps. La pandémie se termine, nous reprenons notre mode de vie normal, enfin, nous essayons. Alors qu'il était sur le point d'accepter le poste que nous lui proposions, il s'est vu offrir le poste permanent de commandant de bord supérieur au sein de la même compagnie aérienne. Il y a eu un grand article sur son retour dans l'aviation, après cette expérience.  

Clarke Rodgers (17:14) :
Eh bien...

Darren Kane (17:15) :
Oui. Excellent exemple de ce que vous avez dit. Cela n'avait rien à voir avec l'expérience ou les capacités, mais bien avec les compétences en communication, la capacité de s'engager réellement et la volonté d'apprendre. Et j'ai découvert que si vous pouvez trouver des personnes qui possèdent ce type de qualités, ou toutes ces qualités, ce sera une réussite, car ils recherchent tout simplement une opportunité et ils évolueront avec.

Clarke Rodgers (17:41) :
Et les différentes perspectives sont tellement utiles à tous les niveaux de votre département de sécurité.

Darren Kane (17:46) :
Tout à fait. Nous avons aussi constaté une autre composante qui devient de plus en plus importante, bien qu'elle importe moins en Australie parce que nous ne sommes pas aussi diversifiés en termes de compétences linguistiques. C'est la diversité d'origine, de religion et de sexe. Si vous êtes un dirigeant et un manager compétent, vous comprenez l'importance de la diversité et ce qu'elle apporte à une équipe.

Clarke Rodgers (18:13) :
Alors, compte tenu des quelque 8,6 millions de clients de NBN, de tous les centres de données que vous possédez et du simple fait que la technologie continue de gagner en ampleur dans la vie de chacun, quel rôle joue le développement durable dans la façon dont NBN gère ses ressources et les envisage ? Comment cela affecte-t-il les clients ?

Darren Kane (18:34) :
Eh bien, notre offre de produit chez NBN permet aux gens de travailler de n'importe où, de travailler à domicile. Vous avez donc des problèmes d'empreinte carbone, des problèmes de bureau sans papier. Il y a des endroits où nous ne laissons pas d'empreinte carbone parce que nous utilisons la technologie pour réellement l'améliorer.

Nous avons 8,6 millions de locaux connectés, et plusieurs personnes peuvent être dans un même foyer. Mais à mon avis, cela représente pour nous une opportunité de combler le fossé numérique en Australie, de donner accès à tous ceux qui en ont besoin, mais aussi de faire en sorte que nous puissions utiliser la technologie pour peut-être même réduire l'empreinte carbone.

Si vous pensez à la possibilité de travailler à domicile, je suis convaincu que ce ne sont pas les routes et les chemins de fer qui ont sauvé l'économie australienne du point de vue des infrastructures lors des récents blocages de COVID. C'est la connectivité.

Clarke Rodgers (19:33) :
Bien sûr.

Darren Kane (19:34) :
Et cette technologie a permis aux gens d'apprendre de nouvelles méthodes de travail. Cela s'accompagne évidemment d'une capacité future à travailler de manière hybride ou à distance, pour un plus grand nombre de personnes vivant dans des régions reculées et rurales de l'Australie, à réduire leur empreinte carbone en évitant les allers-retours pour le travail.

Ainsi, de mon point de vue, la technologie et la façon dont nous l'utilisons à l'avenir, en particulier par le biais de la connectivité, permettront certainement de réduire les émissions de carbone et d'améliorer la durabilité.

Clarke Rodgers (20:09) :
Certainement. Je sais bien que vous ne pouvez pas prédire l'avenir, mais vous travaillez dans le secteur de la sécurité, je crois que vous l'avez dit, depuis près de 40 ans ou un peu plus. De quoi parlerons-nous dans cinq ans, selon vous ?

Darren Kane (20:26) :
En 2025, j'en serai à ma 40e année de travail. Je ne pense pas avoir déjà été confronté à un paysage de menaces comme celui auquel nous sommes confrontés actuellement. Je ne pense pas que nous puissions apprécier dans ce secteur ce que l'IA générative et le machine learning apporteront au secteur en termes d'opportunités et d'avancées technologiques. Je pense que cela augmentera également ce paysage de menaces, donc ce sera certainement passionnant.

Je pense que les données et le volume de données connaîtront une croissance exponentielle et qu'il nous faudra être capables de les gérer. Je suis préoccupé quant au fait que la communauté laisse la sécurité à ceux qu'elle paie pour assurer la sécurité, ce que nous devons empêcher. Vous comprenez ? Mon mantra est que la sécurité va désormais devenir la responsabilité de chacun.

Clarke Rodgers (21:34) :
Intéressant.

Darren Kane (21:35) :
Vous ne pouvez pas dire : « Vous êtes le directeur de la sécurité et votre équipe assume désormais tous les risques ». Car ces risques ne peuvent être gérés que dans les limites du goût du risque, en veillant à impliquer tout le monde. Que ce soit l'agent d'entretien qui s'assure qu'il ferme bien la porte derrière lui, ou l'assistant personnel occupé à l'index paresseux qui ne comprend pas qu'il a cliqué sur un lien, ou, bien évidemment, des professionnels de la cybersécurité chargés de notre défense ou des CISO. Toutes ces personnes ont désormais la responsabilité, à l'approche des trois à cinq prochaines années, de s'assurer qu'elles apprécient et comprennent comment mettre en place des contrôles pour gérer les risques.

Et je pense que nous devons les encourager à se faire entendre lorsqu'ils pensent avoir vu ou fait quelque chose afin que nous puissions gérer la situation. Les exercices d'hameçonnage et autres sont des exemples qui permettent d'apprendre. Il ne devrait pas s'agir d'une expérience disciplinaire.

Clarke Rodgers (22:37) :
Donc, si tel doit être l'état futur, que faites-vous aujourd'hui, du point de vue de la culture de sécurité, pour aider les personnes extérieures au groupe de sécurité à développer cette force de réflexion constante vis-à-vis de la sécurité ?

Darren Kane (22:54) :
Je pense qu'il est important de ne pas exagérer le risque. J'essaie de vendre le bon côté, l'opportunité, sans dire encore et encore : « Ne faites pas cela à cause du risque ». Cela nous ramène à cette analogie avec le véhicule motorisé. Les freins sont là, vous pouvez vous en servir si vous en avez besoin, mais sortez et profitez de la vie.

Clarke Rodgers (23:13) :
J'adore ça. Darren, merci beaucoup d'avoir accepté de me rejoindre aujourd'hui.

Darren Kane (23:15) :
C'était super, et une excellente occasion. Vraiment super, merci.