Je suis un professionnel de l’informatique et de la sécurité depuis presque toute ma vie d’adulte.
J’ai commencé ma carrière en tant qu’ingénieur réseau et je suis rapidement devenu ingénieur en sécurité.
J’ai commencé par obtenir une certification en matière de pare-feu, puis j’ai ajouté la détection et la prévention des intrusions.
Les domaines de la sécurité ont continué à se développer, en ajoutant les enquêtes médico-légales, l’eDiscovery, le conseil en projets et bien d’autres choses encore.
Dans le domaine du conseil en projets, nous nous efforçons de veiller à ce que le niveau de risque d’un projet se situe dans des limites acceptables pour l’organisation.
J’ai été au sommet de l’organisation de la cybersécurité dans mes trois dernières fonctions ; mais je voulais être pilote depuis aussi longtemps que je me souvienne.
En 2018, j’ai obtenu mon brevet de pilote et en 2019, je suis devenu instructeur au sol pour les vols avancés et les vols aux instruments.
J’ai récemment fini d’enseigner une classe formelle d’instruction au sol à une quinzaine d’étudiants de niveaux de compétence, d’âges et d’objectifs différents pour leur carrière de pilote.
L’un de mes récents élèves a à peu près le même âge que moi, a rêvé de voler toute sa vie et veut juste le faire pour s’amuser, tandis qu’un autre élève a 16 ans et souhaite voler pour les compagnies aériennes, et qu’un autre encore souhaite devenir pilote pour l’armée de l’air américaine.
Bien que les facteurs de motivation et les niveaux d’investissement soient différents pour chacun de ces apprenants, il existe quelques principes fondamentaux de la profession qu’ils doivent comprendre et adopter.
Alors que j’écris cet article, je regarde mon étagère remplie de matériel de formation à l’aviation, de livres techniques et de livres sur la sécurité.
En tirant le Federal Aviation Regulations (FAR) et l’Airmen Information Manual (AIM), vous découvrirez qu’il contient 540 pages de règles et de réglementations contenues dans le Title 14 Code of Federal Regulations qui régit les pilotes, les aéronefs, le vol et les éléments connexes.
La version du livre que je possède a été rédigée pour les pilotes et ne contient donc aucune des innombrables règles et réglementations qui régissent l’industrie aéronautique dans son ensemble. « L’aviation n’est pas dangereuse en soi. Mais, plus encore que la mer, elle est terriblement impitoyable à l’égard de l’imprudence, de l’incapacité ou de la négligence ». – Capitaine A. G. Lamplugh, British Aviation Insurance Group, Londres.
1930’s Lorsque je repense à mon premier jour de cours au sol, à l’histoire du vol et de la Federal Aviation Administration (FAA), et à l’histoire du vol en général, il y a 117 ans, aucune de ces réglementations ou règles n’existait.
Au fil du temps, alors que l’industrie aéronautique se développait et que des pilotes, des passagers et des civils perdaient la vie, ces lois, malheureusement écrites dans le sang, ont été créées pour éviter d’autres pertes de vies humaines.
Et lorsque je pense à toutes les réglementations et exigences actuelles en matière de sécurité dans le monde cybernétique, telles que HIPAA, SOX, ou plus récemment en ce qui concerne la vie privée avec GDPR, CCPA, et d’autres réglementations sur la vie privée, ces lois sont également écrites dans la vie.
Si ces lois n’ont pas été rédigées parce que quelqu’un a perdu la vie, certains ont perdu leur gagne-pain, leur identité ou leurs économies.
La plupart des réglementations contenues dans les FAR sont normatives, c’est-à-dire qu’elles indiquent ce que vous devez faire.
En matière de cybersécurité, certaines règles et lignes directrices sont strictes et doivent être respectées.
La plupart des autres domaines sont plus suggestifs et ouverts à l’interprétation, comme les questions « Devrais-je ? » ou « Que puis-je faire pour réduire les chances que cela se produise ?
C’est là que la gestion des risques et la discrétion entrent en jeu.
Voler est une activité très gratifiante et des mesures sont prises pour réduire les risques.
Lorsque j’enseigne, j’aime adopter l’approche qui consiste à amener l’étudiant à réfléchir aux techniques de gestion des risques qu’il utiliserait pour garantir un résultat positif si quelque chose ne se passait pas comme prévu.
Il en va de même pour le cyberespace : Quelles mesures allez-vous prendre pour garantir le succès d’un projet et réduire la probabilité que quelque chose tourne mal, et comment allez-vous traiter ces risques si et quand cela tourne mal de toute façon, afin de minimiser l’impact de la chose qui a mal tourné.
(Gestion des risques et réponse aux incidents).
J’ai l’intention de publier une courte série d’articles comparant et contrastant la gestion des risques en aviation et la gestion des risques en cybersécurité.
J’aimerais collaborer avec d’autres professionnels de la cybersécurité qui sont également pilotes, afin d’examiner les similitudes et les différences dans de futurs articles.
Dans le prochain article, je parlerai des listes de contrôle, de ce qu’elles sont et de ce qu’elles ne sont pas, et de la manière de les utiliser dans le cadre d’une approche fondée sur les risques.
Je me concentrerai ensuite sur les différences de formation et de mentalité entre l’aviation et la cybernétique.
Ensuite, je parlerai du forage de la procédure, de la manière dont vous vous entraînez à faire face à des problèmes tels que les procédures d’arrêt du moteur et de la manière dont vous devriez tester régulièrement vos processus et procédures de cybersécurité tels que les sauvegardes, les correctifs, la réponse aux incidents, etc.
