Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

Les affaires de la cybercriminalité : Ce qu'un ancien directeur adjoint du FBI veut que chaque RSSI sache

Raghu Nandakumara
Vice President, Industry Strategy
Illumio Editorial
Mai 27, 2025
23 min. lire
Portrait de Brian Boetig
Brian Boetig, conseiller principal chez Global Trace et ancien directeur adjoint du FBI

La cybercriminalité n'est pas seulement une menace technique, c'est une activité florissante à l'échelle mondiale. Et peu de gens comprennent mieux l'évolution de cette activité que Brian Boetig.

Avec plus de 35 ans d'expérience dans le domaine de la sécurité nationale et de la sécurité publique, il a été directeur adjoint du FBI, diplomate américain, agent de liaison avec la CIA et associé d'un cabinet de conseil international. Il est aujourd'hui conseiller principal chez Global Trace, où il aide les organisations à renforcer leur cyber-résilience.

Dans cet épisode de The Segment, Brian m'a rejoint pour m'expliquer comment son expérience dans le domaine de l'application de la loi et du renseignement façonne son approche de la cybersécurité aujourd'hui et pourquoi les acteurs de la menace gagnent là où les entreprises sont à la traîne.

Du vol dans les magasins au ransomware en tant que service

Brian a enquêté sur tous les sujets, depuis les enlèvements à l'étranger jusqu'à l'extorsion numérique dans son pays.  

Qu'est-ce qui les relie ? La recherche de l'effet de levier.

"Nous avons traité les enlèvements contre rançon de la même manière que nous traitons les ransomwares aujourd'hui", a déclaré Brian. "Vous savez qui a fait le coup, vous savez comment ils opèrent et vous savez comment négocier. C'est un modèle d'entreprise, et ils le gèrent mieux que certaines entreprises légitimes".

Selon lui, l'économie de la cybercriminalité penche en faveur des attaquants.

"Si vous dévalisiez un magasin en personne pour 50 dollars, toute une équipe d'intervention de la police se présente", a-t-il déclaré. "Mais voler 500 000 dollars en ligne ? Dans la plupart des juridictions, les forces de l'ordre ne sauront pas quoi en faire".

La cybercriminalité est évolutive, sans frontières et souvent invisible. Selon Brian, tant que les défenseurs n'adopteront pas une approche commerciale similaire, ils resteront distancés.

Si vous braquez un magasin en personne pour 50 dollars, toute une équipe d'intervention de la police se présente. Mais voler 500 000 dollars en ligne ? Dans la plupart des juridictions, les forces de l'ordre ne sauront pas quoi en faire.

Pourquoi l'interdiction du paiement des rançons n'est pas la solution ?

Peu de sujets suscitent autant de débats que la question de savoir si les organisations devraient être autorisées à payer des rançons. Brian a vu les deux côtés de la médaille, depuis le temps où il travaillait au FBI jusqu'à celui où il consultait des PDG qui devaient faire face à une brèche.

"Il n'y a pas de réponse générale", a-t-il déclaré. "Certaines entreprises cesseront d'exister si elles ne paient pas.

Il s'est souvenu d'un cabinet d'avocats dont tout l'historique des clients était verrouillé. En l'absence de paiement, leur entreprise et leur réputation auraient été détruites.

L'interdiction pure et simple du paiement des rançons peut sembler dissuasive, mais Brian estime qu'elle risque de faire subir une double peine aux organisations : "Vous leur enlevez l'un des rares outils qui leur restent pour survivre".

Il propose plutôt une stratégie plus nuancée :

  • Désinciter les paiements par la préparation
  • Mettre en place une hygiène générale en matière de cybersécurité, y compris des sauvegardes
  • Mettre en œuvre des modèles d'assurance intelligents
  • Réduire la législation qui simplifie à l'excès des réalités commerciales complexes

Plutôt que des interdictions générales, les organisations ont besoin d'une approche plus intelligente, qui concilie la résilience, le risque et les réalités auxquelles les dirigeants sont confrontés à la suite d'une attaque.

L'assurance cybernétique n'est pas un filet de sécurité  

Alors que de plus en plus d'entreprises se tournent vers la cyber-assurance pour avoir l'esprit tranquille, Brian vous propose de regarder la réalité en face.

"Ce n'est pas une solution. Il s'agit souvent d'une négociation", a-t-il déclaré. "Et parfois, la première chose que fait l'assureur est de chercher une raison de ne pas payer.

Il l'a comparé à une assurance automobile. Oui, vous êtes couvert... à moins que vous n'ayez oublié un détail en petits caractères. Il en résulte une certaine confusion en cas de crise, des termes de couverture peu clairs et un rétablissement tardif.

"La plupart des polices ne vous aident qu'à vous remettre en ligne", prévient Brian. "Ils ne couvriront pas le rétablissement de la confiance, les atteintes à la réputation ou la résilience future.

Il conseille aux RSSI de savoir exactement ce que leur police couvre et où se situent les lacunes de leur couverture. Ne considérez jamais l'assurance comme un substitut à une défense solide et ne faites pas confiance aux compagnies d'assurance pour travailler dans votre intérêt après une attaque.

Le risque cybernétique est un risque pour les entreprises

Trop souvent, le risque cybernétique est encore considéré comme un problème informatique. Brian considère qu'il s'agit d'une erreur dangereuse.

"Si les dirigeants ne croient pas en la cybersécurité, celle-ci ne sera ni financée, ni priorisée, ni mise en pratique", a-t-il déclaré.

Il se souvient de l'époque où les PDG ne savaient pas qui étaient leurs responsables informatiques. "Aujourd'hui, les conseils d'administration commencent enfin à comprendre que la cybersécurité n'est pas une question de pare-feu, mais qu'il s'agit de maintenir l'entreprise en vie.

Cette évolution, dit-il, est due en partie aux pressions réglementaires, mais elle reflète également la prise de conscience croissante que la résilience est un avantage concurrentiel.

Brian s'est également empressé de souligner que le fait d'avoir été victime d'une violation ne signifie pas que vous avez échoué. En fait, les meilleurs responsables de la sécurité partent du principe que cela se produira.

J'avais l'habitude de dire aux PDG : "Ce n'est pas grave d'être victime d'une cyberattaque. Il n'est pas acceptable de ne pas être préparé à un tel événement", a-t-il déclaré.

Cet état d'esprit est au cœur de la confiance zéro, qui suppose un compromis et se concentre sur la réduction des conséquences d'une violation.

"La préparation ne se limite pas aux sauvegardes et aux politiques", souligne Brian. "C'est une question de culture. Chaque membre de l'organisation doit connaître son rôle lorsque les choses tournent mal".

J'avais l'habitude de dire aux PDG : "Il n'y a pas de mal à être victime d'une cyberattaque. Il n'est pas acceptable de ne pas être préparé à un tel événement".

Combler le fossé entre le risque et la réalité

Les histoires de Brian mettent en lumière une vérité essentielle. La cybersécurité ne consiste pas à éviter les risques, mais à les gérer.

Les organisations les plus résilientes traitent la sécurité comme une fonction commerciale, adoptent une planification proactive et investissent dans l'endiguement, et pas seulement dans la prévention.

Ou, comme l'a dit Brian, "Vous n'attendez pas qu'il y ait un incendie pour acheter un extincteur. Vous planifiez, vous vous entraînez et vous vous assurez que tout le monde sait où il se trouve".

Vous voulez en savoir plus ? Écoutez l'épisode complet de cette semaine de The Segment : Un podcast sur le leadership sans confiance sur Apple Podcasts, Spotifyou là où vous recevez vos podcasts. Vous pouvez également lire le transcription complète.

Sujets connexes

Cyber Resilience

Articles connexes

Explorer l'utilisation de la fonctionnalité NGFW dans un environnement de microsegmentation
Cyber Resilience

Explorer l'utilisation de la fonctionnalité NGFW dans un environnement de microsegmentation

Découvrez les recherches d'Illumio sur les possibilités de mise en œuvre des fonctions NGFW dans un environnement de microsegmentation.

Read more
Opérationnalisation de la confiance zéro - Étape 5 : Conception de la politique
Cyber Resilience

Opérationnalisation de la confiance zéro - Étape 5 : Conception de la politique

Découvrez une étape importante du parcours de votre organisation vers la confiance zéro : la conception de la politique.

Read more
Dix ans après la pire année pour la cybersécurité, qu'est-ce qui a changé ?
Cyber Resilience

Dix ans après la pire année pour la cybersécurité, qu'est-ce qui a changé ?

Découvrez comment la cybersécurité a évolué et est restée la même au cours de la dernière décennie et pourquoi cela est important pour l'avenir de la cybersécurité.

Read more
5 choses que j'ai apprises d'un ancien pirate informatique recherché par le FBI
Cyber Resilience

5 choses que j'ai apprises d'un ancien pirate informatique recherché par le FBI

Apprenez cinq leçons révélatrices de Brett Johnson, ancien cybercriminel le plus recherché, sur la tromperie, la confiance et les raisons pour lesquelles la confiance zéro est plus importante que jamais.

Read more
Ce que les organisations à but non lucratif apprennent au secteur de la cybersécurité
Segmentation sans confiance

Ce que les organisations à but non lucratif apprennent au secteur de la cybersécurité

Kelley Misata, experte en cybersécurité pour les organisations à but non lucratif, vous expliquera comment ces dernières abordent la sécurité avec empathie, dans un but précis et dans un état d'esprit d'écoute.

Read more
Le point de vue d'un cyberpsychologue sur la culture de la culpabilité dans le domaine de la cybersécurité
Segmentation sans confiance

Le point de vue d'un cyberpsychologue sur la culture de la culpabilité dans le domaine de la cybersécurité

Découvrez comment le stress, les menaces de l'IA et le comportement humain rendent la confiance zéro essentielle à la cyber-résilience.

Read more

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more