La certification Certified Information Systems Security Professional (CISSP) est considérée comme la norme de référence en matière de sécurité de l’information. C’est ainsi à cause de toutes les portes que la certification ouvre à un professionnel du CISSP. Ces portes mènent à de nombreux types de postes et d’opportunités, rendant ainsi la communauté de la sécurité de l’information dynamique et multiforme.
Pour soutenir cette diversité, (ISC) 2 a lancé une série d’entretiens pour explorer où la certification CISSP a conduit les professionnels de la sécurité. La dernière fois, nous avons entendu parler de Mari Aoba et de ses expériences avec le CISSP. Cet épisode met en vedette Jason Lau, RSSI pour Crypto.com et membre et contributeur officiel du Conseil technologique de Forbes. Il est également professeur adjoint et membre du conseil consultatif de l’industrie (cybersécurité et confidentialité des données) à la HKBU School of Business.
Quel travail faites-vous aujourd’hui ?
Je suis actuellement le Directeur de la Sécurité de l’Information (RSSI) chez Crypto.com , où je pilote la stratégie mondiale de cybersécurité et de confidentialité des données de l’entreprise. D’autre part, je siège à divers conseils consultatifs de l’industrie sur la cybersécurité et je suis professeur auxiliaire dans l’une des principales écoles de commerce d’Asie. Je travaille dans l’industrie de l’éducation depuis de nombreuses années et je rends souvent à la communauté en menant des formations sur la cybersécurité et la confidentialité pour des organisations grandes et petites. Je fais cela pour aider à promouvoir et à améliorer l’écosystème à la fois localement et mondialement.
Quels problèmes votre entreprise résout-elle ?
Crypto.com est une société FinTech ayant pour mission d’accélérer l’adoption mondiale de la crypto-monnaie. Une façon pour notre entreprise de résoudre ce problème est de rendre la crypto-monnaie facile d’accès via notre application conviviale. Le problème que j’essaie personnellement de résoudre est d’aider à établir la confiance avec l’utilisateur quotidien de crypto-monnaie dans l’industrie. C’est toujours une industrie en pleine croissance qui évolue chaque jour. C’est particulièrement difficile car il existe de nombreuses régions où la crypto-monnaie n’est toujours pas réglementée. Avec l’absence de réglementation, de nombreuses entreprises oublient la nécessité de la cybersécurité et de la confidentialité des données ou manquent de concentration sur celles-ci. Mon objectif est d’aider Crypto.com devenez un leader de l’industrie dans ce domaine et ouvrez la voie. Un exemple de ceci est que nous avons été la première entreprise de crypto-monnaie à être certifiée ISO27001: 2013, PCI: DSS 3.2.1 et également ISO27701: 2019, montrant notre engagement à améliorer continuellement nos processus globaux.
Pourquoi avez-vous d’abord décidé de vous lancer dans la cybersécurité ?
Il n’y avait pas de cours à ce moment-là pour approfondir mon intérêt pour la cybersécurité, j’ai donc rejoint une entreprise axée sur la gestion et la surveillance des systèmes d’entreprise, ce qui m’a permis de voyager à travers le monde et de travailler en étroite collaboration en tant que consultant en gestion auprès de nombreux CTO sur la sécurité des infrastructures critiques. Une grande partie de la sécurité concernait les systèmes de serveurs physiques et, au fil du temps, elle a évolué vers la sécurité numérique et la cybersécurité telles que nous les connaissons aujourd’hui.
Comment était la vie lorsque vous avez commencé votre carrière dans la cybersécurité ?
Dans le poste que j’ai mentionné ci–dessus, j’ai rapidement appris et réalisé que ce sur quoi je travaillais était un élément clé d’une stratégie globale de cybersécurité – à savoir la réponse et la détection des incidents et la surveillance des activités inhabituelles dans un environnement de réseau.
La vie était intéressante, car elle était à l’époque où le cloud computing et où la surveillance proactive et l’alerte étaient la première ligne de défense contre les problèmes potentiels dans votre réseau, problèmes qui auraient pu résulter d’activités malveillantes d’un attaquant interne ou externe.
Mon travail a couvert presque tous les secteurs que vous pouvez imaginer sur les cinq continents, et cela m’a permis de voir comment différentes industries et différentes cultures abordent la sécurité. Je n’appellerais pas vraiment cela un détour mais plutôt une évolution de mon intérêt pour l’informatique, et j’ai dû m’adapter à l’environnement et aux compétences changeantes pour aller plus loin dans la cybersécurité.
Quel a été votre premier emploi en cybersécurité ?
J’ai eu ma première expérience avec le « hacking » dans le cadre de mon diplôme en génie électrique à l’université. Nous avons dû expérimenter avec des puces de circuit intégré et les programmer pour faire une variété de choses différentes. Il se trouve que c’est à cette époque que la toute première PlayStation est sortie. Pendant mon temps libre, j’ai recherché et « piraté » la séquence de démarrage de la machine avec un « ModChip » que j’ai programmé, et j’ai pu jouer à des jeux de différentes régions du monde.
J’étais l’un des premiers avec ces ModChips à l’époque, et mon ami et moi avons commencé à aider les autres en tant que travail indépendant. C’était assez excitant et excitant! C’était ma première expérience avec le piratage et la rétro-ingénierie, dont je découvrirais plus tard qu’une approche similaire était nécessaire à certains égards dans le monde de la cybersécurité.
Qu’est-ce qui vous a d’abord incité à envisager d’obtenir une qualification en cybersécurité?
Au début de ma carrière en cybersécurité, j’ai voulu me démarquer de la foule, et c’était la certification la plus en vogue dans ce domaine.
Pourquoi avez-vous décidé d’entreprendre le CISSP ?
Le CISSP est plus qu’une simple certification. C’est la preuve pour vos pairs que vous avez la passion d’être dans ce domaine et d’avoir une compréhension plus large des problèmes de cybersécurité.
Qu’est-ce qui vous a incité à le faire?
Les violations de données se produisaient tout le temps (et le sont toujours!), et cela m’a incité à développer davantage mes compétences dans le domaine.
Combien de temps a-t-il fallu pour atteindre le CISSP?
Je dirais que tout le processus m’a pris environ 2-3 mois. Cela varie selon les personnes, car cela dépend de l’expérience qu’elles ont. Une expérience pratique et pratique aiderait certainement à comprendre les concepts plutôt qu’à simplement lire des livres.
Comment vous êtes-vous préparé à l’examen?
Je pense que 2-3 ans d’expérience pratique sont un bon moment pour commencer à penser à faire un CISSP. À l’époque, il y avait quelques séminaires (ISC) 2 auxquels vous pouviez assister pour en savoir plus sur la certification et le corpus de connaissances de base sur lequel vous seriez évalué.
Quelles ressources avez-vous utilisées?
J’ai utilisé le texte officiel (ISC) 2 ainsi que les questions à l’intérieur du livre.
Qu’est-ce qui vous a le plus surpris à propos du CISSP?
J’ai d’abord été surpris qu’il s’agisse d’un examen de 6 heures. Cela a maintenant changé pour un processus d’évaluation adaptative basé sur ordinateur, un format qui a réduit la durée de l’examen. Mais à l’époque où je l’ai fait, l’examen de 6 heures était un processus épuisant à la fois mentalement et physiquement. Avec le recul, je crois que la raison en est que les ordinateurs et le monde numérique ne dorment pas aussi bien et que des problèmes de sécurité peuvent survenir à tout moment. En conséquence, le CISSP était un test d’endurance pour vous assurer que vous étiez prêt pour le monde réel où vous pourriez être fatigué d’une journée complète de travail jusqu’à ce que vous soyez soudainement secoué dans un état d’alerte afin que vous puissiez résoudre les problèmes de sécurité qui viennent de se poser.
Quels ont été les premiers changements que vous avez remarqués après être devenu un CISSP?
Le premier changement que j’ai remarqué a été l’augmentation du nombre de recruteurs qui me contactaient pour des rôles potentiels. À ce stade, j’ai réalisé que la certification CISSP et la crédibilité de (ISC) 2 étaient en effet bien reconnues dans l’industrie.
Comment pensez-vous que vous avez personnellement bénéficié de devenir un CISSP?
Je pense qu’au début de votre carrière, un CISSP est une étape importante pour vous aider à mieux comprendre la cybersécurité. De cette façon, vous pouvez ensuite approfondir d’autres domaines, par exemple le développement de SDLC ou d’applications, les tests de stylo, la conformité, etc. Le CISSP est toujours considéré comme la « norme d’or » en matière de sécurité de l’information dans le monde entier, et il permettra à ses pairs et à ses employés de savoir que vous comprenez les connaissances fondamentales en matière de cybersécurité. J’ai profité au début de ma carrière en accédant à un solide réseau de professionnels de l’industrie ainsi qu’en assistant à des conférences de l’industrie pour en savoir plus sur la façon dont mes pairs font face aux défis de la cybersécurité. La communauté (ISC) 2 et les sections locales ont souvent des présentations et des ateliers attrayants où vous pouvez perfectionner vos compétences et accéder à des webinaires mondiaux et du matériel et des ressources de formation en ligne.
Quelles étapes vous ont amené au travail que vous faites aujourd’hui?
Étant impliqué très tôt dans la cybersécurité et dans ce domaine depuis plus de 20 ans, j’ai eu l’avantage de voir de nombreux aspects différents de la cybersécurité. Après avoir travaillé pour plusieurs entreprises différentes et été consultant en gestion pendant de nombreuses années pour des sociétés Fortune 200, je me suis intéressé à l’espace FinTech / Blockchain en pleine croissance, et avec le nombre massif d’attaques contre les sociétés de crypto-monnaie, j’ai vu une opportunité de constituer une équipe pour aider Crypto.com . Cela a été une course difficile, et cela nécessite un engagement et un dévouement continus sur le terrain.
De quelle réalisation ou contribution êtes-vous le plus fier?
J’ai remporté de nombreux prix de l’industrie, mais c’était une réussite d’équipe d’obtenir un brevet dans l’espace de la crypto-monnaie. Alors que l’industrie évoluait rapidement, les fournisseurs de cloud traditionnels n’étaient pas en mesure de prendre en charge les moyens dont nous avions besoin pour exécuter certains de nos processus clés au quotidien de manière sécurisée avec les jetons de crypto-monnaie que nous utilisions comme Bitcoin, Ethereum et autres. L’équipe a contribué de différentes manières, ce qui nous a tous aidés à obtenir l’enregistrement du brevet. Individuellement, être invité au Forbes Technology Council pour mes contributions et mes réalisations dans le domaine de la cybersécurité a également été quelque chose dont j’ai été fier.
Quel est le plus grand défi auquel vous avez été confronté dans votre carrière?
Confiance excessive. Après avoir voyagé à travers le monde et consulté certaines des plus grandes entreprises, le problème constant est de savoir comment les organisations ont encore souvent un état d’esprit trop confiant selon lequel elles n’ont pas été piratées et peuvent donc moins se concentrer sur les ressources en cybersécurité. La haute direction et les conseils d’administration doivent comprendre que les risques de cybersécurité sont des risques commerciaux et peuvent avoir un impact sur une entreprise de plusieurs façons. Il sera toujours difficile de changer l’état d’esprit des niveaux C et du conseil d’administration, mais avec la tendance croissante à la transformation numérique, la cybersécurité et la confidentialité des données doivent être des piliers essentiels de la stratégie commerciale de toute organisation.
Quelles ambitions avez-vous pour votre carrière à venir?
Mon ambition est de contribuer à l’écosystème pour renforcer la sensibilisation à la cybersécurité et à la confidentialité des données pour les entreprises, grandes et petites. Je l’ai déjà fait sur le côté tout au long de ma carrière, mais il est possible d’en faire plus et les défis en matière de cybersécurité continuent de changer avec le temps. La formation à la sensibilisation à la sécurité sera toujours quelque chose avec lequel je serai impliqué pour le reste de ma carrière.
Comment vous assurez-vous que vos compétences continuent de croître?
Simple. Continuez à embaucher des personnes (ou à m’entourer de personnes) plus intelligentes que moi. La cybersécurité est une industrie unique dans laquelle beaucoup viennent d’horizons complètement différents et ont mené des voyages intéressants pour se rendre là où ils en sont aujourd’hui. J’ai adopté cette diversité au sein de l’équipe que j’ai constituée, composée de personnes de plus de sept pays. Tous ont un CISSP et plus, mais tous ont des façons très différentes de regarder le même problème. Ce n’est pas seulement un excellent moyen pour moi de continuer à grandir, mais cela permet également à l’équipe dans son ensemble de grandir, ce qui contribue à favoriser une forte culture de partage des connaissances et des expériences.
Selon vous, quel est le plus grand défi pour la cybersécurité en ce moment?
Il y a certainement une pénurie mondiale de cybersécurité, et parce que l’adoption de la technologie et la transformation numérique s’accélèrent plus vite que le rythme auquel nous pouvons fournir des professionnels de la cybersécurité, les organisations vont souvent jouer un jeu de rattrapage en essayant de remplir des rôles. Comme mentionné ci-dessus, l’excès de confiance général dans l’industrie en ce qui concerne les risques de cybersécurité est un défi de taille qui doit être surmonté. Enfin, je dirais également que l’apprentissage automatique et l’IA évolueront au cours des prochaines années pour donner naissance à des menaces alimentées par l’IA comme les logiciels malveillants. Cette tendance sera très effrayante en effet.
Selon vous, Quelles solutions pourraient résoudre ce problème?
Plus de formation de sensibilisation des utilisateurs est nécessaire pour aborder l’élément humain de la cybersécurité. Une stratégie globale de cybersécurité devrait englober plus que l’achat d’outils. Une plus grande sensibilisation au niveau C à la cybersécurité est nécessaire. Les entreprises doivent continuer à investir dans les talents et à se tenir au courant des nouvelles technologies qui peuvent également introduire de nouveaux risques commerciaux. En particulier pour répondre à la question ci-dessus sur les menaces alimentées par l’IA, les entreprises devront investir et adopter leur propre stratégie et outils de cybersécurité de l’IA tels que l’analyse Bevavior Analytics (UEBA) pour aider à la détection précoce des anomalies dans l’environnement réseau.
Qui vous inspire dans le monde de la cybersécurité ?
Mon père a toujours été la personne la plus inspirante pour moi. En tant que plus jeune d’une famille de cinq frères et sœurs, j’ai grandi en le regardant, en l’apprenant et en le suivant pendant que tout le monde était à l’école. Pour moi, il pouvait tout faire et avait toujours un moyen de « réparer les choses. »Papa était dans tout. Ingénierie, médecine traditionnelle, mécanique, culture hydroponique, électronique, mathématiques, agriculture, cuisine et plus encore!
La leçon pour moi ici était que vous ne devriez pas vous concentrer uniquement sur un domaine. Vous pouvez apprendre beaucoup de différents domaines, et vous devriez avoir un état d’esprit de croissance afin de pouvoir explorer plusieurs façons de trouver une solution à un problème. Cela reste vrai pour la cybersécurité. Vous devez souvent sortir des sentiers battus et penser comme un pirate informatique pour renforcer votre défense organisationnelle.
Que devraient savoir, selon vous, les personnes qui envisagent une carrière dans la cybersécurité?
Vous devez avoir un état d’esprit de croissance. Une carrière dans la cybersécurité est extrêmement dynamique. Tout comme la technologie continue de changer à un rythme rapide, les risques commerciaux deviennent de plus en plus importants, et vous devrez suivre les changements technologiques qui se produisent autour de vous. Par exemple, avec COVID-19, nous constatons que les industries traditionnelles comme les soins de santé ont dû évoluer rapidement pour répondre aux changements de la télémédecine à l’accès et à la gestion à distance des cliniques médicales et des opérations hospitalières qui contiennent des informations personnelles identifiables hautement sensibles et des informations de santé protégées. En tant que professionnels de la cybersécurité, vous devrez prendre en compte l’impact de cela, du point de vue de l’entreprise jusqu’aux risques liés au travail à domicile des employés. La chose clé que les gens doivent savoir est qu’une carrière dans la cybersécurité est extrêmement difficile mais en même temps très enrichissante car vous travaillez sur de nombreux projets intéressants et souvent avec des technologies émergentes pour aider les organisations à protéger leurs systèmes.