La cyber-sécurité

Joshua Foltz, ancien RSSI de NerdWallet, nous explique ce qu'il faut pour diriger la sécurité aujourd'hui.

Joshua Foltz, ancien RSSI de NerdWallet, explique pourquoi la créativité compte plus que les diplômes lors du recrutement d'un RSSI, comment l'IA transforme la sécurité et ce que les conseils d'administration négligent.

Entretien avec Joshua Foltz, ancien CISO chez NerdWallet

Entretien avec Joshua Foltz, ancien CISO chez NerdWallet

Le rôle du RSSI évolue rapidement, et les conseils d'administration s'interrogent à juste titre sur l'impact de cette évolution sur leurs recrutements. Dans cette discussion, Joshua Foltz Cet ouvrage démontre qu'un leadership efficace en matière de sécurité exige autant de compétences commerciales que de connaissances techniques approfondies, explique pourquoi l'IA est l'arme la plus puissante dont l'industrie de la sécurité ait jamais disposé et soutient que la créativité et l'adaptabilité sont les qualités que les conseils d'administration doivent privilégier dans la recherche d'un RSSI capable de les diriger dans un environnement technologique en constante évolution.

Joshua Foltz est un cadre dirigeant spécialisé en cybersécurité et en intelligence artificielle, possédant plus de vingt ans d'expérience dans les secteurs de la fintech, de l'insurtech, du SaaS et des technologies réglementées, notamment son poste le plus récent de RSSI chez NerdPortefeuille. Il est titulaire d'un MBA de Yale et a bâti sa carrière à l'intersection de la sécurité, de la gouvernance de l'IA et de la transformation des entreprises.

Comment voyez-vous l'évolution du rôle de RSSI ?

Pour les entreprises qui adoptent l'IA, le rôle du RSSI évolue radicalement. La plupart de mes collègues RSSI, forts de plusieurs années d'expérience, hésitent encore à l'utiliser, et je pense que cette hésitation est un véritable handicap. L'IA est l'arme la plus puissante jamais conçue en cybersécurité. Nous travaillons à être capables de fournir un code exempt de vulnérabilités avant même sa mise en production. J'aurais été impensable il y a quelques années : la technologie n'était tout simplement pas au point.

Concrètement, cela signifie que les RSSI qui adoptent l'IA devront être à la fois des responsables de la sécurité et des ingénieurs. Mi-ingénieurs en IA, mi-développeurs. Il est essentiel de comprendre le fonctionnement et les capacités des outils, car on passe son temps à créer des applications. Diriger une équipe d'ingénieurs en sécurité qui sont aussi développeurs représente l'avenir de ce secteur, et je pense que nous y parvenons plus vite que prévu.

Les frontières entre RSSI et responsable de l'IA s'estompent. Un RSSI qui intègre pleinement l'IA et un responsable de l'IA qui prend la sécurité au sérieux occupent désormais des rôles quasiment identiques.

Vous avez accédé au poste de RSSI avec un MBA et une expérience en développement de produits et de logiciels, en plus de vos compétences en sécurité. Ce profil est atypique. Comment cette formation plus diversifiée a-t-elle influencé votre travail ? Pensez-vous que ce poste exige une plus grande aisance avec les enjeux commerciaux que ce que la plupart des entreprises supposent lors d'un recrutement ?

La maîtrise des enjeux commerciaux est essentielle pour un RSSI efficace. Nombre de responsables de la sécurité, même parmi les plus compétents techniquement, rencontrent des difficultés car il est indispensable de savoir dialoguer avec le conseil d'administration et la direction pour mener à bien les projets. Dans le milieu de la sécurité, certaines décisions sont influencées par la peur, l'incertitude et le doute. Si cette approche a sa place, elle a ses limites. Comprendre les besoins et les attentes de l'entreprise, et adapter la sécurité en conséquence, représente un atout considérable.

Parallèlement, il est impossible de négliger les aspects techniques. Sans cela, vous serez un RSSI peu efficace, car vous ne comprendrez pas réellement les risques que vous gérez. Être RSSI, c'est jouer avec le feu en permanence. Si vous maîtrisez votre sujet, vous comprenez les impacts, vous savez ce qui pourrait mal tourner et comment réagir. Sans cela, la situation peut dégénérer. J'en ai été témoin. Les deux sont indispensables à la réussite.

L'intelligence artificielle domine actuellement les débats sur la sécurité. Je souhaite savoir ce que les RSSI visionnaires devraient faire dès aujourd'hui pour se préparer aux risques que l'informatique quantique pourrait bientôt engendrer.

Quantum est un sujet complexe, et la raison en est structurelle. Les RSSI sont, par nature, concentrés sur l'urgence immédiate. On m'a un jour décrit leur rôle comme celui d'être parachuté au beau milieu d'un incendie de forêt et chargé d'en trouver le périmètre. Si quelque chose n'est pas urgent et critique, la plupart d'entre nous n'y prêtent pas une attention particulière, à moins d'adopter une approche stratégique délibérée.

L'informatique quantique entre actuellement dans cette catégorie. Nous savons qu'elle finira par compromettre la plupart des systèmes de chiffrement. Les normes de chiffrement compatibles avec l'informatique quantique, actuellement en développement, sont théoriquement solides, mais nous ignorons encore comment elles résisteront à l'épreuve du temps. La mise à jour des systèmes cryptographiques, le passage aux clés d'accès, le renforcement de l'authentification à deux facteurs : tout cela sera nécessaire et représente un travail réalisable. Des experts travaillent déjà à l'élaboration de ces normes, et nous les adopterons tous.

À mon avis, les cryptomonnaies seront la première cible lorsque l'informatique quantique sera pleinement opérationnelle. Le premier pays à y parvenir s'attaquera probablement au Bitcoin, et le tumulte que cela engendrera donnera aux autres le temps de mettre au point leurs systèmes de chiffrement.

Les conseils d'administration devraient interroger leurs RSSI sur leurs intentions. Les RSSI doivent être au fait des dernières évolutions. Si j'ai bien compris, l'informatique quantique doit résoudre environ huit problèmes fondamentaux, dont la moitié sont déjà résolus. Nous avons du temps devant nous. Par ailleurs, la gestion de cette période d'intelligence artificielle présente un avantage indéniable : la rapidité et l'adaptabilité qu'elle impose aux équipes de sécurité constituent précisément la préparation nécessaire. Un RSSI qui survivra à cette période sera bien positionné lorsque l'informatique quantique atteindra son apogée.

La frontière entre la sécurité et l'ingénierie produit semble évoluer. Comment définissez-vous où s'arrête la responsabilité de la sécurité et où commence celle de l'ingénierie ?

Ce sont les deux faces d'une même pièce, et cela ne changera pas. L'ingénierie produit vise à optimiser le fonctionnement des produits et à améliorer l'expérience utilisateur. La sécurité, quant à elle, s'attache à analyser en profondeur la conception des systèmes et à déceler les failles que les ingénieurs fonctionnels négligent. Ces deux perspectives sont indispensables et aucune n'est supérieure à l'autre ; elles sont simplement différentes.

En début de carrière, un RSSI doit gérer ces tensions avec une grande difficulté. Il est rarement bienvenu que les équipes de sécurité viennent reprocher aux ingénieurs leurs erreurs, et le conflit sous-jacent porte généralement sur le temps et les ressources. Apprendre à repenser cette relation, à se positionner comme un partenaire plutôt que comme un auditeur, est l'un des défis les plus complexes pour un RSSI. Il m'a fallu des années pour y parvenir.

Ce qui a accéléré cette transformation, au-delà de l'expérience, c'est l'IA. Des tâches qui nécessitaient des semaines de travail d'ingénierie peuvent désormais être réalisées en quelques minutes. Lorsque la sécurité cesse d'être un frein, le dialogue avec les équipes produit change radicalement et les barrières qui définissaient cette relation s'estompent d'elles-mêmes.

La confiance est essentielle pour y parvenir. Comprendre les motivations des équipes produit, leurs points de résistance, et devenir leur partenaire plutôt qu'un adversaire, voilà comment instaurer la confiance et, par conséquent, mener à bien les projets. Simple en théorie, mais complexe en pratique.

Si vous étiez assis dans une salle remplie de PDG et de membres de conseils d'administration sur le point de lancer une recherche de RSSI, quels éléments devraient retenir leur attention et qui pourraient ne pas l'être ?

La créativité et la capacité d'adaptation. Ce sont les qualités les plus souvent négligées.

Les risques que les RSSI devront gérer cette année sont des risques que nous commençons à peine à appréhender. Il y a un an, l'IA agentielle et son potentiel au sein d'un environnement d'entreprise, une fois connectée à l'ensemble des systèmes via un serveur MCP par exemple, ne représentaient pas une préoccupation majeure pour la plupart des équipes de sécurité. Il y a six mois, ce sujet était quasiment ignoré. L'apparition de nouvelles menaces est fulgurante, et le RSSI de demain devra être capable d'apprendre rapidement une nouvelle technologie, de la tester, d'en définir les mesures de sécurité, puis de les mettre en œuvre sans freiner l'innovation que l'entreprise s'efforce de développer.

Cela exige une réelle créativité. Le plus intéressant, c'est que le parcours traditionnel en sécurité informatique – hacking, tests d'intrusion, équipes rouges – développe précisément ce type de raisonnement. On analyse un problème et on trouve des solutions inattendues. Cet instinct est directement transposable. Les RSSI issus de ces formations constituent toujours un vivier important.

Mais les conseils d'administration doivent rechercher explicitement ces qualités créatives et d'adaptation, et ne pas se contenter de vérifier les compétences techniques ou l'expérience. L'expertise technique est importante, certes, mais elle constitue un prérequis. Ce qui distinguera les RSSI qui réussissent de ceux qui échouent, c'est leur capacité à évoluer dans des conditions différentes de celles qui existaient à leur prise de fonction.

Placer et conseiller les leaders de demain

En tant que cabinet de recrutement de cadres, les entreprises font appel à nous pour trouver des talents de premier ordre, et nous sommes à la hauteur. Mais c'est notre portefeuille entièrement intégré de services de conseil en leadership qui nous distingue.

Contactez-nous pour savoir comment nous pouvons vous aider à attirer, développer et libérer des leaders.

Prenons contact

Envoyez-nous votre message et un consultant vous contactera sous peu.