Booster l'écosystème vCISO avec un nouvel annuaire : entretien avec David Primor, PDG de Cynomi

Les cyberattaques se multiplient. Les données de 2023 montrent que les organisations sont confrontées à une moyenne choquante de 1248 attaques par semaine. Les experts prédisent que le coût mondial de la cybercriminalité pour cette année atteindra 8 000 milliards de dollars .

Il est plus facile que jamais pour les individus ou les groupes d'accéder aux rançongiciels et autres kits de logiciels malveillants. Pourtant, les équipes de cybersécurité sont étirées, en particulier dans les petites entreprises. Ces organisations ont une sécurité plus faible et sont moins susceptibles d'attirer une réponse forte des forces de l'ordre que les structures de haut niveau. Et ainsi, ils deviennent une cible clé des cybercriminels. Pour bon nombre de ces entreprises, il s'agit de savoir quand, et non si, elles seront victimes d'une telle attaque.

Malgré cette menace, de nombreuses PME n'ont pas les moyens d'employer quelqu'un pour gérer leur cybersécurité ou d'occuper un tel poste. Comment peuvent-ils néanmoins accéder à l'expertise technique nécessaire pour renforcer leurs cyberdéfense ? Entrez le directeur virtuel de la sécurité de l'information, ou vCISO.

La startup Cynomi vient de lancer le premier répertoire de fournisseurs de vCISO - MSP et MSSP en Amérique du Nord. Le fondateur et PDG David Primor m'a aidé à mieux comprendre le besoin, la solution fournie par les services vCISO et les avantages que l'annuaire vCISO apportera aux entreprises .

Qu'est-ce qu'un RSSI et pourquoi ce rôle est-il si nécessaire ?

Un Chief Information Security Officer - ou CISO - est la personne en charge de la cybersécurité et de la conformité de l'organisation. Ils sont chargés d'établir la stratégie de sécurité et de veiller à ce que les actifs de l'entreprise soient protégés contre les cybermenaces externes et internes.

Compte tenu de ce besoin, pourquoi est-il difficile ou indésirable pour de nombreuses entreprises d'en employer un ?

Alors que la plupart des grandes entreprises embauchent un CISO interne pour une fourchette d'environ 200 000 $ à 350 000 $ par an, les petites et moyennes entreprises ne peuvent généralement pas se permettre d'employer un tel professionnel. Dans de nombreux cas, ils n'ont en fait pas besoin d'un CISO pour remplir ce rôle à plein temps.

Le plus souvent, ils n'ont besoin que d'une ressource externe à temps partiel qui est responsable de la cybersécurité de l'entreprise. C'est le vCISO.

Quels types d'entreprises ont tendance à faire face à ces défis ?

De nos jours, chaque entreprise, quelle que soit sa taille, est une cible pour les cybercriminels. Les pirates se rendent simplement compte que les petites organisations manquent généralement des ressources, de l'expertise en sécurité et des outils de sécurité de classe entreprise que les cybercriminels doivent généralement éviter dans les grandes organisations, et ils ciblent donc les PME.

Les PME sont confrontées à des défis croissants en matière de cybersécurité et de conformité. Ils doivent se protéger contre les cybermenaces sans cesse croissantes, se conformer aux exigences réglementaires croissantes et répondre aux exigences de la cyberassurance. À ce titre, la cybersécurité est devenue une priorité à tous les niveaux. Cela est vrai pour tous les types de PME, quel que soit le secteur ou la verticale dans laquelle elles opèrent.

Qu'est-ce qu'un RSSI virtuel (vCISO) ?Quels sont les avantages d'utiliser les services vCISO, plutôt que d'embaucher une personne ?

Lorsqu'un CISO régulier est responsable du développement et de la mise en œuvre du programme de sécurité de l'information d'une organisation, un CISO virtuel ou vCISO a les mêmes responsabilités mais pour plus d'une entreprise. Le vCISO est généralement responsable de la sécurité globale et de la conformité de l'entreprise. Les responsabilités comprennent la stratégie de sécurité, l'architecture de sécurité et la communication de la posture de cybersécurité de l'organisation aux principales parties prenantes.

Le «rôle de CISO est également connu sous le nom de« CISO fractionné »et« CISO en tant que service ». Les services vCISO peuvent être fournis par des praticiens de la sécurité individuels, des consultants ou des partenaires de confiance tels que des MSP et des MSSP.

Le principal avantage d'utiliser un vCISO au lieu d'employer un CISO à temps plein est le moindre coût. Cela permet aux organisations qui ne peuvent pas se permettre d'embaucher un RSSI de renforcer néanmoins leur cyber-résilience.

Votre entreprise, Cynomi, est une plateforme vCISO.Qu'est-ce que cela signifie?

Une plate-forme vCISO est un logiciel qui prend en charge le vCISO en automatisant une partie de son travail. Il s'appuie généralement sur l'IA pour effectuer la plupart des tâches répétitives manuelles du CISO virtuel. Cela permet de gagner du temps et rend l'ensemble du processus plus efficace et efficient.

Certaines plates-formes vCISO, telles que Cynomi, englobent les connaissances et l'expertise de RSSI expérimentés et peuvent ainsi guider l'utilisateur tout au long du processus de création d'une stratégie de cybersécurité.

Quels types d'entreprises utilisent votre plateforme ?Comment utilise-t-il l'IA à leur avantage ?

Nos principaux utilisateurs sont les MSP et les MSSP qui fournissent des services vCISO, ou ceux qui commencent à les proposer, à leur client final. La plate-forme prend en charge leur travail quotidien car elle rationalise leurs tâches et automatise une partie importante de leur travail manuel chronophage. Parallèlement au savoir-faire de niveau CISO, l'IA permet de le faire de la manière la plus efficace, grâce à la personnalisation automatique, l'évaluation des risques et la hiérarchisation des tâches en fonction de leur impact potentiel.

Vous avez récemment lancé le premier répertoire vCISO.Pourquoi avez-vous décidé que la compilation de cette liste de fournisseurs vCISO était importante ?

De plus en plus de PME cherchent à s'engager avec un fournisseur de services pour répondre à leurs besoins en matière de gestion de la cybersécurité. En conséquence, la demande de CISO virtuels augmente. En travaillant sur ce marché, nous avons appris que de nombreuses PME à la recherche de vCISO ont du mal à trouver le bon fournisseur de services pour eux. La plupart ne savent même pas quoi chercher, où le chercher et comment choisir la bonne personne ou la bonne entreprise avec qui travailler. Nous avons créé cet annuaire pour aider ces PME à trouver des fournisseurs de services vCISO et à prendre une décision éclairée lors de la sélection d'un.

Combien de fournisseurs sont actuellement répertoriés et quels détails à leur sujet l'annuaire contient-il ?

À ce jour, le répertoire comprend environ 250 fournisseurs de services vCISO. Nous continuons à recevoir de plus en plus de demandes de fournisseurs demandant à être répertoriés. Le répertoire ne couvre actuellement que les États-Unis, mais nous prévoyons de l'étendre à d'autres régions à l'avenir.

Quel est votre principal conseil aux entreprises qui tentent de devenir plus proactives en matière de cybersécurité ?

Comme dans de nombreux autres domaines, la première étape est la reconnaissance. En tant que propriétaire ou dirigeant d'entreprise, vous devez prendre soin de votre sécurité et en faire une priorité, vous êtes à mi-chemin. La prochaine étape consiste à consulter un expert en cybersécurité. Il peut s'agir du MSSP ou du MSP avec lequel vous travaillez, d'un conseiller en cybersécurité, d'un vCISO professionnel ou d'un employé possédant l'expertise requise. À partir de ce moment, assurez-vous d'avoir quelqu'un en charge de votre sécurité informatique et assurez-vous que cette personne a une vue d'ensemble et peut élaborer une stratégie et un plan de sécurité.