Entretiens
Ashley Rose, Fondatrice et PDG de Living Security – Série d’entretiens
Ashley Rose, Fondatrice et PDG de Living Security, est une entrepreneur en série et une innovatrice en cybersécurité qui se concentre sur la redéfinition de la façon dont les organisations abordent le risque humain en matière de sécurité. Depuis la fondation de l’entreprise en 2017, elle a dirigé le développement d’une approche de cybersécurité axée sur les données et le comportement, qui va au-delà de la formation traditionnelle à la sensibilisation pour se concentrer sur la réduction mesurable des risques et le changement culturel. En tirant parti de son expérience dans le leadership produit et l’entrepreneuriat, elle a aidé à développer Living Security en une plate-forme SaaS à croissance rapide utilisée par des organisations d’entreprise, tout en contribuant à l’écosystème plus large de la cybersécurité en tant que mentor, conseiller et défenseur d’initiatives comme Women in CyberSecurity.
Living Security est une entreprise de cybersécurité SaaS qui se concentre sur la gestion des risques humains, aidant les organisations à identifier, mesurer et réduire les risques associés au comportement des employés. Sa plate-forme agrège les données comportementales, d’identité et de menace pour identifier les utilisateurs à haut risque et fournir des formations et des interventions ciblées en temps réel conçues pour prévenir les violations avant qu’elles ne se produisent. En combinant l’analyse, l’automatisation et des méthodes de formation engageantes telles que des simulations et des expériences de jeu, l’entreprise permet aux entreprises de passer d’une sensibilisation à la sécurité axée sur la conformité à une réduction proactive et mesurable des risques à travers leur main-d’œuvre.
Vous avez fondé Living Security en 2017 après avoir acquis une expérience précédente dans la construction et le développement d’une entreprise de produits grand public et avoir travaillé en tant que propriétaire de produit. Quel moment ou quelle prise de conscience spécifique vous a amenée à passer à la cybersécurité et à vous concentrer sur le risque humain, et comment cette thèse originale a-t-elle résisté à l’intégration de l’IA dans la main-d’œuvre ?
En 2017, la plupart des organisations traitaient la formation à la sensibilisation à la sécurité comme un exercice de case à cocher, et cela ne changeait pas le comportement. Le point de basculement a été la réalisation que si le comportement humain était à l’origine des violations, la réponse ne pouvait pas être une formation plus oubliable. Drew Rose, co-fondateur de Living Security, dirigeait lui-même des programmes de sécurité et a commencé à les rendre plus ludiques, en créant des prototypes précoces qui sont devenus des salles d’évasion de cybersécurité. Nous avons vu de première main que lorsque vous rendiez la sécurité expérimentale, les gens s’engageaient, apprenaient et changeaient réellement de comportement. C’est devenu la fondation de Living Security.
En tant que co-fondateurs, Drew et moi avons rapidement réalisé que l’engagement n’était que le point de départ. À mesure que nous dévelopions ces expériences en une plate-forme, nous avons commencé à voir des modèles dans la façon dont les gens se comportaient, où ils avaient du mal et où le risque était réellement concentré. Cela a révélé un écart beaucoup plus important : les organisations n’avaient aucune visibilité réelle sur le risque humain ou sur la façon de le réduire de manière ciblée. Cette prise de conscience nous a amenés à être des pionniers dans la gestion des risques humains, qui consiste à identifier, mesurer et réduire le risque en fonction du comportement individuel, de l’accès et des menaces, et non seulement à fournir une formation. À mesure que l’IA devient intégrée à la main-d’œuvre, cette thèse originale n’a fait que s’élargir : le défi n’est plus seulement le comportement humain, mais la façon dont les humains et les systèmes d’IA opèrent ensemble. Les humains sont toujours au centre, mais ils gèrent et déployeront désormais des agents d’IA, ce qui signifie que vous devez étendre la visibilité à ces agents et relier ce risque à l’individu. C’est ce qui pousse notre évolution vers la sécurité de la main-d’œuvre.
Vous avez soutenu que l’erreur humaine est une explication incomplète des violations. Comment les organisations devraient-elles repenser le risque de la main-d’œuvre aujourd’hui, lorsque à la fois le comportement humain et les actions déclenchées par l’IA contribuent à la surface d’attaque ?
Présenter les violations comme des « erreurs humaines » simplifie à l’extrême le problème et obscurcit l’endroit d’où vient réellement le risque. Le risque humain n’est pas seulement une question d’erreurs, il est façonné par une combinaison de comportement, d’accès et d’exposition aux menaces. Certains employés ont un accès privilégié à des systèmes sensibles, certains sont ciblés plus fréquemment et certains présentent des comportements plus risqués, donc le risque de violation n’est pas réparti uniformément. Pour vraiment comprendre le risque, les organisations ont besoin de visibilité sur l’endroit où ces facteurs se croisent et où le risque humain existe.
Par conséquent, les organisations doivent aller au-delà des modèles basés sur la sensibilisation et repenser le risque de la main-d’œuvre comme un défi opérationnel partagé, qui s’étend à la fois au risque humain et aux actions déclenchées par l’IA. Cela signifie se concentrer sur la visibilité continue de la façon dont le travail est effectué, comprendre où le risque est concentré et appliquer des interventions ciblées et en temps réel à l’ensemble d’une main-d’œuvre hybride, plutôt que de traiter le risque comme des erreurs isolées de l’utilisateur.
Les outils d’IA rédigent désormais du code, gèrent les flux de travail et prennent même des décisions. À quel moment les systèmes d’IA cessent-ils d’être des outils et commencent-ils à être traités comme faisant partie de la main-d’œuvre d’un point de vue de sécurité ?
Les systèmes d’IA cessent d’être de simples outils et commencent à être traités comme faisant partie de la main-d’œuvre dès l’instant où ils prennent des mesures à l’intérieur des environnements d’entreprise. À ce stade, ils introduisent un risque de la même manière que les employés : par les actions qu’ils effectuent, les autorisations dont ils disposent et les données qu’ils touchent. Le changement pour les organisations est de reconnaître que les agents d’IA ne sont pas seulement des couches de productivité – ils sont des participants opérationnels et doivent être gérés, surveillés et sécurisés aux côtés des utilisateurs humains dans un modèle de risque de main-d’œuvre unifié.
Comment les entreprises devraient-elles aborder la gouvernance lorsque le risque n’est plus limité aux employés, mais s’étend aux agents d’IA qui opèrent avec différents niveaux d’autonomie et d’accès ?
Les entreprises doivent aller au-delà d’une gouvernance basée sur les politiques et la traiter comme un processus continu et guidé par le comportement, qui s’applique à la fois aux humains et aux agents d’IA. La plupart des organisations ont déjà des politiques d’IA en place, mais le fossé se situe dans l’application et la visibilité, en particulier à mesure que les employés adoptent des outils au-delà des environnements approuvés et que les systèmes d’IA opèrent avec différents niveaux d’accès.
Une gouvernance efficace commence par définir clairement l’utilisation acceptable en fonction du rôle et de l’accès aux données, mais elle nécessite également des conseils en temps réel intégrés dans les flux de travail et une mesure continue afin que les organisations puissent voir où le risque émerge et s’adapter. En fin de compte, la gouvernance doit refléter la façon dont le travail se déroule réellement aujourd’hui : à travers une main-d’œuvre hybride où les humains et les systèmes d’IA prennent des décisions, accèdent aux données et introduisent un risque.
Living Security s’est fortement concentrée sur les modèles de sécurité axés sur le comportement. Comment cette philosophie se traduit-elle lorsque certains comportements proviennent désormais de systèmes d’IA plutôt que d’humains ?
L’approche axée sur le comportement de Living Security s’étend naturellement à l’IA, car l’accent a toujours été mis non pas sur qui crée le risque, mais sur la façon dont le risque est introduit par les actions. Que ce soit une personne ou un système d’IA, le risque se manifeste dans les comportements, dans la façon dont les données sont accessibles, dans les actions prises et dans la façon dont les décisions sont exécutées dans les flux de travail. À mesure que les systèmes d’IA prennent en charge davantage de responsabilités opérationnelles, le même modèle s’applique : les organisations ont besoin de visibilité sur ces comportements, ainsi que de la capacité de guider et d’intervenir en temps réel.
C’est ce qui a conduit au développement de Livvy, l’intelligence d’IA qui alimente la plate-forme Living Security – en appliquant l’intelligence prédictive et la surveillance continue à la fois sur l’activité humaine et d’IA. Au lieu de traiter l’IA comme un défi distinct, cela permet une approche plus unifiée où le comportement, humain ou machine, est continuellement mesuré, guidé et géré dans un modèle de risque de main-d’œuvre unique.
De nombreuses organisations s’appuient encore sur des formations de sensibilisation à la sécurité périodiques. Pourquoi ce modèle se brise-t-il dans les environnements modernes, et à quoi ressemble une approche véritablement adaptative et guidée par les données ?
La formation de sensibilisation à la sécurité périodique se brise parce qu’elle a été conçue pour un paysage de menaces statique et suppose que le risque peut être réduit par une éducation large. En réalité, la plupart des incidents proviennent de comportements opérationnels quotidiens, et non d’un manque de formation, et le risque est souvent concentré parmi un petit sous-ensemble d’utilisateurs. Une approche plus adaptative et guidée par les données se concentre sur l’identification continue de l’endroit où le risque existe réellement et sur la fourniture de conseils ciblés et en temps réel dans le flux de travail – en passant de l’achèvement de la formation à la réduction mesurable des risques.
Votre plate-forme met l’accent sur la quantification du risque humain en utilisant des données du monde réel. Quels sont les signaux les plus importants que les organisations devraient suivre aujourd’hui pour comprendre le risque de manière dynamique plutôt que rétrospective ?
Les organisations devraient se concentrer sur le comportement, l’identité et l’accès, ainsi que l’exposition aux menaces, des signaux qui reflètent la façon dont le risque est créé et où il se concentre à travers la main-d’œuvre. Cela s’applique désormais également à l’IA, y compris les outils que les employés utilisent, l’accès que ces systèmes ont et la façon dont ils sont configurés ou sollicités. À eux seuls, ces signaux sont utiles, mais la véritable valeur réside dans la façon dont ils se combinent pour raconter une histoire sur le risque.
Par exemple, un directeur financier qui a accès aux systèmes financiers, n’utilise pas l’authentification multifacteur, utilise des outils d’IA connectés à des données sensibles et est actuellement ciblé par des campagnes de phishing représente un niveau de risque très différent de celui d’un représentant commercial avec un accès limité et une exposition plus faible. Le risque n’est pas seulement dans ce que quelqu’un fait, mais dans ce à quoi il a accès, les systèmes qui agissent en son nom et la fréquence à laquelle il est ciblé. Lorsque vous pouvez voir ces facteurs ensemble, vous pouvez comprendre où une violation est la plus susceptible de se produire et prendre des mesures en temps réel, que ce soit en avertissant l’individu, en resserrant les contrôles ou en donnant la priorité à l’intervention pour ce groupe.
L’IA crée de nouvelles vulnérabilités, mais elle est également utilisée de manière défensive. Où voyez-vous le point d’équilibre se déplacer, et allons-nous vers un impact de sécurité nettement positif ou négatif de l’IA ?
L’IA fait les deux, en élargissant la surface d’attaque tout en améliorant la façon dont les organisations détectent et répondent au risque. D’une part, elle permet des flux de travail plus complexes et des actions autonomes qui peuvent introduire de nouvelles vulnérabilités ; d’autre part, elle permet aux équipes de sécurité d’analyser le comportement à grande échelle et d’agir plus rapidement. L’endroit où l’équilibre se situe dépend de la façon dont les organisations s’adaptent. Actuellement, de nombreuses entreprises sont toujours en train de rattraper leur retard en termes de visibilité et de gouvernance, en particulier à mesure que l’IA est utilisée de manière qu’elles n’ont pas encore pleinement cartographiée. À long terme, cela peut être nettement positif, mais seulement si les organisations traitent l’IA comme faisant partie de la main-d’œuvre et appliquent le même niveau de surveillance, de conseils et de contrôle qu’elles le font pour le risque humain.
Tous les employés ou les systèmes d’IA ne présentent pas un risque égal. Comment les organisations devraient-elles donner la priorité à l’intervention sans créer de friction ou de surveillance excessive ?
Tous les risques ne sont pas égaux, et les traiter de la sorte crée de la friction. La clé est de se concentrer sur l’endroit où le risque est réellement concentré – puisque environ 10% des utilisateurs représentent 73% du risque – et d’appliquer des interventions ciblées à cet endroit plutôt que de manière large à l’ensemble de la main-d’œuvre. Cela signifie utiliser les données de comportement, d’accès et d’exposition pour donner la priorité à qui et à ce qui nécessite une attention, et fournir des conseils dans le flux de travail au lieu de superposer davantage de contrôles. Lorsqu’elle est bien faite, cela réduit la friction en rendant le chemin sécurisé le plus facile à suivre, plutôt qu’en augmentant la surveillance sur tout le monde.
Si nous faisons un saut en avant de cinq ans, à quoi ressemblera la sécurité de la main-d’œuvre, et qu’est-ce que la plupart des organisations sous-estiment encore aujourd’hui ?
Si nous faisons un saut en avant de cinq ans, la sécurité de la main-d’œuvre sera définie par la façon dont les organisations peuvent comprendre et gérer le risque à la fois pour les humains et les agents d’IA qui opèrent ensemble. Ce ne sera plus une question de formation périodique ou de contrôles statiques, mais de visibilité continue, d’évaluation du risque en temps réel et de capacité à agir de manière dynamique à mesure que le comportement, l’accès et les menaces changent. Les humains seront toujours au centre, mais ils géreront et étendront leur action par le biais de l’IA, ce qui signifie que la sécurité doit tenir compte des deux.
Ce que la plupart des organisations sous-estiment encore aujourd’hui, c’est qu’il existe déjà un fossé de visibilité en termes de risque humain, et que l’IA le renforce. Beaucoup pensent qu’elles ont une stratégie d’IA, mais en réalité, elles manquent de visibilité à la fois sur leurs employés et les outils que ces employés utilisent. L’étape un est de comprendre le risque humain, le comportement, l’accès et l’exposition aux menaces. L’étape deux est d’étendre cette visibilité aux agents d’IA que les employés utilisent, qui ne sont puissants et risqués que dans la mesure où les humains leur donnent accès et prennent des décisions. Sans cette base, les organisations ne sont pas seulement en retard sur l’IA, mais elles opèrent avec des angles morts croissants à travers leur main-d’œuvre entière.
Je vous remercie pour cette grande interview. Les lecteurs qui souhaitent en savoir plus devraient visiter Living Security.
