“Je veux que l’informatique et la culture hacker soient accessibles à tous”

L’écrivaine et chercheuse en cybersécurité Kim Crawley parle des avantages d’être un « touche-à-tout » en matière de cybersécurité et de ce que les entreprises devraient faire pour combler le déficit de compétences.

Kim Crawley se décrit comme « une généraliste en cybersécurité qui écrit ».

« Je pense que mon amour pour les ordinateurs a commencé vers 1988, lorsque j’ai vu pour la première fois le Commodore 64 de mon demi-frère. C’était le tout premier PC que j’avais jamais vu. J’avais quatre ans à l’époque. J’ai supplié mon frère et ma mère de me laisser jouer avec mais mon frère a refusé.

Son amour pour le hacking a commencé lorsqu’elle était une enfant un peu plus âgée ; dans les années 90, elle a commencé à utiliser le PC OEM Windows 3.1 de sa famille que son père romancier avait acheté « tout neuf » pour sa carrière d’écrivain. La famille ne savait pas qu’elle avait entre ses mains une jeune hackeuse en herbe – et elle expérimentait sur les précieux fichiers de son père.

«Je me souviens avoir trouvé le fichier Autoexec.bat, l’avoir ouvert dans le Bloc-notes et avoir vu ce qui se passerait si j’en supprimais quelques lignes. Je pense que c’était mon premier hack », dit Crawley.

De hacker en herbe à auteur

Aujourd’hui, Crawley est elle-même auteure. Elle a écrit de nombreux livres sur la cybersécurité et travaille en freelance pour des publications technologiques et cybernétiques. Elle a écrit pour des entreprises technologiques telles que AT&T, BlackBerry, NGINX, Synack et Hack The Box.

Crawley estime que la clé de son succès réside dans le fait qu’elle ne dit pas qu’elle ne peut pas ou ne veut pas faire quelque chose. Elle écrit sur « absolument tout ».

« Les cybermenaces touchent tout, depuis les appareils grand public jusqu’aux ICS et SCADA. La politique de cybersécurité du point de vue du RSSI. Ingénierie sociale. Tests de pénétration. Cyber ​​guerre. Cybercriminalité.

« J’ai dû devenir une touche-à-tout en matière de connaissances en matière de cybersécurité, car élargir mes compétences a été la clé pour maintenir les contrats d’écriture rémunérés », dit-elle.

« Une entreprise me demandait d’écrire sur les règles de corrélation SIEM. Et au lieu de dire « je ne sais pas », je ferais des recherches pour pouvoir écrire à ce sujet. J’avais besoin de ce chèque de paie.

Son dernier livre, Culture Hacker : A à Z, est sorti très récemment. Elle l’a écrit en même temps qu’elle écrivait un autre livre. Durant cette même période, elle a passé l’examen ISC2 CISSP et a réussi son premier essai.

Rendre la cybersécurité plus accessible

« Avec Hacker Culture : A to Z, je veux que les gens soient intrigués par l’histoire de l’informatique, d’où vient notre technologie informatique. Je veux que l’informatique et la culture hacker soient accessibles à tous.

Crawley a également quelques réflexions sur l’état actuel du secteur de la cybersécurité. « J’aimerais que les entreprises prennent davantage de risques en embauchant de nouveaux arrivants dans le secteur qui n’ont aucune expérience en matière de cybersécurité. Formez-les à effectuer des tâches d’entrée de gamme telles que la surveillance de la sécurité du réseau.

Elle souligne que certains rôles, « comme celui d’analyste SOC, nécessitent beaucoup plus d’expérience et de formation. Mais vous pouvez également embaucher des personnes plus qualifiées et avoir différents niveaux d’expérience dans votre organisation.

« Si les nouvelles personnes inexpérimentées n’obtiennent jamais leur premier emploi dans le secteur de la cybersécurité, le redoutable « manque de compétences en matière de cybersécurité » dans le secteur s’aggravera de plus en plus. Les gens ne naissent pas avec un CISSP, et de nombreux rôles en matière de cybersécurité ne nécessitent pas non plus un CISSP », ajoute-t-elle.

Faciliter l’accès des débutants à l’échelle de carrière peut contribuer à rendre la cybersécurité accessible. Cela peut également permettre aux entreprises et aux particuliers d’accéder à des connaissances leur permettant de prendre des décisions sensées pour leur propre cybersécurité.

Comment rester en sécurité en ligne dans un monde en évolution

Lorsqu’il s’agit de garantir la sécurité en ligne, Crawley estime que les entreprises peuvent faire bien plus que les consommateurs. « Pour les entreprises, je recommande de mettre en place un plan et une équipe de réponse aux cyberincidents. Effectuer des évaluations de vulnérabilité. Embauchez des personnes ayant des connaissances en cybersécurité, pour repérer les vulnérabilités du réseau et répondre aux incidents. Conservez de nombreuses sauvegardes de données, sur site et sur le cloud. Appliquez les références CIS à toutes les technologies que vous utilisez. Enregistrez et surveillez autant d’appareils informatiques que possible.

Pour les particuliers et les consommateurs, elle recommande de prêter attention aux popups de cookies sur le web. « Examinez attentivement pour vous assurer que vous consentez uniquement aux « cookies nécessaires » et non aux cookies de suivi.

« Essayez d’utiliser le navigateur Tor, vous obtiendrez ainsi beaucoup plus de confidentialité en ligne. Utilisez un gestionnaire de mots de passe et assurez-vous de générer des mots de passe complexes pour tous vos comptes en ligne. Configurez l’authentification à deux facteurs sur chaque service en ligne qui la prend en charge. Cela signifie généralement recevoir un code temporaire pour vous connecter en plus de saisir votre mot de passe.

Quant à la façon dont elle pense que l’IA va avoir un impact sur l’avenir du secteur de la cybersécurité, Crawley est prudente. « Dans le mauvais comme dans le bon sens », répond-elle. « L’IA va être un outil dangereux entre les mains des cyber-attaquants. Mais c’est aussi un outil puissant pour les cyberdéfenseurs. Une course aux armements en matière d’IA entre les “méchants” et les “gentils” est déjà en cours.»

10 choses que vous devez savoir directement dans votre boîte de réception chaque jour de la semaine. Inscrivez-vous au Brève quotidiennele résumé de Silicon Republic des actualités scientifiques et technologiques essentielles.