Assurer l’avenir, dès aujourd’hui : entretien avec Jen Easterly sur la cyberrésilience, la confiance et le leadership dans un monde numérique

• Pour en savoir plus sur Jen Easterly, cliquez ici ou inscrivez-vous maintenant pour assister à sa conférence du 4 juin.

Culture, leadership et confiance

Forte de votre parcours militaire et dans le renseignement, quelles leçons sur la résilience et la préparation pouvez-vous transmettre aux dirigeants du secteur privé ?

Jen Easterly : L’une des leçons les plus importantes que j’ai retenues de mon passage sous l’uniforme et dans le renseignement, c’est que la résilience ne consiste pas seulement à rebondir. Il s’agit de rebondir vers l’avant. Il s’agit de développer la capacité à encaisser les chocs, à s’adapter sous pression et, en fin de compte, à en sortir plus fort.

Pour y parvenir, la préparation ne suffit pas ; il faut aussi une culture, un leadership fort, de la confiance et une communication claire, surtout en temps de crise. Cela implique de constituer une équipe qui s’entraîne ensemble avant que les choses tournent mal, et qui comprend son rôle lorsque cela arrive. Ce ne sont pas seulement des leçons militaires. Ce sont des impératifs de leadership pour toute organisation évoluant dans un monde en perpétuelle incertitude. Mais surtout, c’est un état d’esprit. Nous devons prendre conscience que nous vivons dans un monde extrêmement complexe, connecté et vulnérable. Les crises finiront par arriver. Il n’est plus réaliste de croire que nous pourrons empêcher tout incident.

La résilience consiste à accepter que les bouleversements sont inévitables, mais à s’y préparer avec détermination. Cela passe par l’entraînement aux réponses, la construction de systèmes résilients et la formation des personnes à encaisser les chocs. Si nous faisons cela, nous pourrons réagir rapidement, nous rétablir efficacement et continuer à faire tourner nos entreprises et à servir notre clientèle, même en pleine adversité.

Image Des tensions géopolitiques aux cybermenaces, en passant par la protection des infrastructures critiques : votre entreprise en ressent également l’impact. C’est pourquoi la sécurité sera le thème central de Securing Tomorrow. Now., l’événement annuel d’Agoria et de Sirris, ce mercredi 4 juin. Dès 18h00, laissez-vous inspirer lors de la session plénière par des intervenants de premier plan tels que Jen Easterly (CISA, jusqu’à récemment), Theo Francken (ministre de la Défense), Catherine De Bolle (Europol), Benoît Deper (Aerospacelab) et Inge Schildermans (Bekaert). Ou plongez dès 15h30 dans notre Security Playground interactif avec des powertalks, des démonstrations et des solutions de sécurité intelligentes directement issues du monde de l’entreprise. Consultez le programme complet ici et inscrivez-vous !

Comment évaluez-vous les efforts de l’Europe pour se préparer aux défis de sécurité et les gérer dans le chaos actuel ?

Jen Easterly : Lorsque j’étais directrice de l’Agence américaine de cybersécurité et de sécurité des infrastructures, la CISA, nous avons collaboré étroitement avec plus de 150 pays, y compris tous les États européens. J’ai eu l’occasion de passer beaucoup de temps en Europe aux côtés de nos partenaires en cyberdéfense, et une chose est très claire : dans le cyberespace, il n’existe véritablement aucune frontière.

La cyberdéfense et la cyberrésilience reposent sur des bonnes pratiques communes partout dans le monde. De mon expérience à la CISA, j’ai constaté que l’Europe avait accompli des progrès significatifs, notamment en matière de réglementation sur la vie privée — un domaine où les États-Unis ont encore du chemin à faire — et dans l’harmonisation des politiques cyber entre les États membres.

Cela dit, il faut garder à l’esprit que nous menons une course contre des acteurs malveillants de plus en plus sophistiqués, et que l’évolution des menaces dépasse largement la capacité d’adaptation des défenses, des politiques ou des structures administratives. Ce qu’il nous faut aujourd’hui, c’est de la rapidité, de l’audace et une collaboration étroite, à la fois entre gouvernements et avec le secteur privé. De nombreuses grandes entreprises exercent leurs activités dans plusieurs pays, ce qui rend les partenariats public-privé internationaux essentiels. Puisque les menaces sont mondiales, notre réponse doit l’être tout autant — intégrée et coordonnée.

Les dangers cachés que les dirigeants doivent anticiper

Existe-t-il, selon vous, des scénarios de menace — géopolitiques, technologiques ou systémiques — encore sous-estimés par les responsables politiques ou les dirigeants d’entreprise, en particulier en Europe ?

Jen Easterly : Un domaine qui continue d’être largement sous-estimé est l’ampleur et la persistance des menaces émanant d’États-nations.

Par ailleurs, je pense que tout le monde devrait accorder une attention particulière à l’intelligence artificielle. L’IA est un formidable levier, mais elle constitue également un vecteur de risque majeur, non seulement pour renforcer les cyberattaques, mais aussi pour favoriser la désinformation et les technologies de type deepfake. Ces risques ne sont pas théoriques. Ils représentent des dangers bien réels et immédiats, qui exigent une action urgente et soutenue.

Durant votre mandat à la CISA, l’Agence américaine de cybersécurité et de sécurité des infrastructures, vous avez mené une transformation en profondeur. Comment avez-vous converti une agence gouvernementale traditionnelle en une organisation de cyberdéfense moderne et agile ? Et quelle a été la partie la plus difficile de ce parcours ?

Jen Easterly : Quand j’ai pris la tête de la CISA en 2021, c’était encore la plus jeune agence du gouvernement fédéral — en quelque sorte une start-up. Mais elle avait déjà traversé de grandes épreuves : une vaste réorganisation, la pandémie de COVID-19 et une élection présidentielle américaine particulièrement tendue. À ce moment-là, nous faisions face à un immense déficit de ressources humaines : environ 1 000 postes vacants, en grande majorité pour des fonctions techniques hautement spécialisées en cyberdéfense.

La mission de la CISA est de diriger l’effort national américain pour comprendre, gérer et réduire les risques pesant sur les infrastructures cyber et physiques dont dépend la population : eau, électricité, finance, transport, santé, communications. Nous n’étions pas conçus comme une agence de régulation, de police ou de renseignement. Nous étions une agence technocratique, fondée sur l’expertise et la collaboration, pensée pour susciter la confiance — en particulier avec le secteur privé, dont le partenariat est essentiel dans un monde aussi complexe que dangereux.

Quand je suis arrivée à la CISA, le défi était clair : il fallait renforcer à la fois nos capacités et notre savoir-faire pour pouvoir mener à bien notre mission. Cela impliquait de simplifier un système de recrutement excessivement bureaucratique et rigide. Mais, encore plus fondamentalement, cela signifiait instaurer une culture capable d’attirer les meilleurs talents techniques. Une culture de collaboration, d’innovation, d’autonomie et d’engagement. Un environnement dans lequel les personnes croyaient profondément en la mission, faisaient confiance à leurs collègues et à leurs responsables, et étaient motivées à établir des relations de confiance avec des partenaires à travers tout le gouvernement américain, le secteur privé, les autorités locales et étatiques, ainsi que les alliés internationaux. Au fond, la CISA devait devenir une agence fondée sur le partenariat — et cela exigeait une culture enracinée dans la confiance.

Quelle mesure concrète avez-vous mise en place pour attirer et fidéliser les meilleurs talents ?

Jen Easterly : Nous avons mis en place de nombreuses mesures, mais le signe de réussite le plus évident est le suivant : durant mon mandat à la CISA, nous avons réussi à recruter plus de 2 200 personnes. Et pas seulement des experts techniques, mais des personnes à la fois très compétentes sur le plan technique et très collaboratives.

Parfois, on peut recruter des profils très techniques, mais peu enclins à travailler en équipe. Nous avions besoin des deux. Nous avons donc mis l’accent sur la création d’une culture centrée sur la mission et sur les personnes. Un environnement où chacun avait le sentiment d’avoir un véritable impact et de contribuer à quelque chose de plus grand que soi. C’est ce qui a rendu la CISA attrayante. Et dans un marché concurrentiel, cela a fait toute la différence.

Coopération internationale contre les menaces sans frontières

Quelles leçons tirées de votre travail à la CISA — comme la création du Joint Cyber Defense Collaborative — pourraient être appliquées pour renforcer la cyberrésilience public-privé en Belgique ou en Europe ?

Jen Easterly : Lorsque je suis arrivée à la CISA, il était évident qu’il fallait plus de cohérence dans la manière dont les agences gouvernementales collaboraient avec le secteur privé en matière de cyberdéfense. Le Congrès américain avait identifié le même besoin. Les différentes composantes du gouvernement — renseignement, forces de l’ordre, cyberdéfense civile — travaillaient chacune dans leur coin. Pour les acteurs du privé, cela créait beaucoup de confusion : À qui dois-je m’adresser en cas de problème ? Pourquoi reçoit-on des messages contradictoires ?

Nous avons donc créé le Joint Cyber Defense Collaborative (JCDC), une plateforme unique destinée à unifier l’écosystème cyber fédéral, en rassemblant la CISA, le FBI, la NSA et d’autres agences pertinentes selon les secteurs, comme le Trésor (pour la finance) ou le Département de l’Énergie (pour les infrastructures critiques). L’objectif était de travailler directement avec le secteur privé pour élaborer, mettre en œuvre et opérationnaliser des plans de défense face aux menaces les plus graves.

Cette approche collaborative s’est révélée essentielle. Quelques mois à peine après le lancement en 2021, nous avons dû faire face à la vulnérabilité Log4j, puis à l’invasion russe de l’Ukraine. Dans ces deux crises, la collaboration en temps réel avec le secteur privé et les partenaires internationaux nous a permis de comprendre les menaces et de réduire les risques de manière proactive, et non simplement réactive.

Ce qui a rendu cela possible, c’est le décloisonnement, la construction d’une relation de confiance, et le partage rapide, transparent et à grande échelle de l’information — non pas via des canaux lents comme l’e-mail, mais via des plateformes en temps réel comme Slack ou d’autres systèmes similaires.

Nous avons vu d’autres pays adopter ce modèle : le Canada, par exemple, a mis en place le Canadian Cyber Defense Collaborative (CCDC). Je suis convaincue qu’un tel modèle pourrait être extrêmement efficace à l’échelle européenne — non seulement au niveau national, comme en Belgique, mais aussi à l’échelle paneuropéenne, pour répondre à la dimension transfrontalière des menaces cyber.

Comment voyez-vous l’évolution de la coopération internationale face à des cybermenaces qui ne respectent pas les frontières nationales ? Que peut apprendre l’Europe de l’approche américaine ?

Jen Easterly : Les cybermenaces sont, par nature, transnationales et mondiales. Elles ne respectent aucune frontière, ce qui signifie que nos stratégies de défense ne doivent pas en respecter non plus. Nous devons aller au-delà des alliances qui n’existent que « sur le papier » et construire une véritable collaboration opérationnelle, en temps réel, entre gouvernements, secteurs d’activité et frontières.

Aux États-Unis, nous avons progressé en considérant la cybersécurité comme une priorité de sécurité nationale au plus haut niveau de l’État. Cela s’est traduit par un engagement fort des dirigeants, des financements conséquents et une orientation stratégique claire. L’Europe dispose elle aussi de nombreux atouts, mais je pense qu’elle pourrait aller plus loin, notamment en renforçant la cohérence des efforts entre des capacités nationales encore trop fragmentées.

À terme, une approche plus intégrée à l’échelle de l’Union européenne, accompagnée de liens institutionnalisés solides avec les États-Unis et d’autres démocraties partageant les mêmes valeurs, sera absolument essentielle pour l’avenir. Des initiatives émergent déjà en Europe dans ce sens, avec une prise de conscience croissante de la nécessité d’une vision partagée, d’un échange d’informations efficace et d’une collaboration étroite avec le secteur privé. Mais il faudra aller encore plus loin dans ce type de partenariat opérationnel pour pouvoir faire face à des menaces toujours plus complexes et sophistiquées.

Secure by Design... et aussi Secure "by Demand"

Parlons encore un peu de cyberrésilience. Vous avez toujours été une fervente défenseuse du mouvement « Secure by Design ». Que devraient faire différemment, aujourd’hui, les entreprises du numérique pour intégrer la cybersécurité dès la conception — plutôt que de l’ajouter après coup ?

Jen Easterly : En cybersécurité, on a souvent tendance à glorifier les attaquants, en leur donnant des noms comme Volt Typhoon ou Midnight Blizzard, et à blâmer les victimes, en leur reprochant de ne pas avoir installé de correctifs ou d’avoir utilisé des mots de passe faibles. Mais il est temps de changer de discours et de tenir les fournisseurs de technologies responsables.

Les entreprises qui conçoivent des logiciels et des matériels doivent les concevoir, tester, développer et livrer avec la sécurité comme priorité absolue, et non comme une rustine ajoutée après coup. La cybersécurité doit être traitée comme une fonction essentielle, par les PDG, les conseils d’administration et les responsables produits, dès les premières discussions de conception.

Est-ce que les entreprises en font assez aujourd’hui ? Honnêtement, non. Les incitants, en particulier aux États-Unis, ont longtemps été orientés vers la vitesse de mise sur le marché, l’ajout de fonctionnalités tape-à-l’œil et la réduction des coûts, plutôt que vers la robustesse de la sécurité. Les cadres réglementaires ont souvent fait défaut, laissant des produits truffés de vulnérabilités envahir le marché.

Pour faire évoluer cette culture, nous avons lancé un engagement Secure by Design, articulé autour de sept axes clés sur lesquels les fournisseurs peuvent apporter des améliorations concrètes. Plus de 300 entreprises y ont adhéré à ce jour, partout dans le monde. Et nous avons élaboré cet engagement en collaboration avec l’Europe, l’Asie et d’autres régions, en reconnaissant que le besoin de logiciels sécurisés est mondial, pas uniquement américain.

D’ailleurs, l’Europe fait figure de véritable moteur dans ce domaine. Des initiatives comme le Cyber Resilience Act et la directive NIS2 montrent que l’Europe intègre les principes de « Secure by Design » de manière beaucoup plus offensive dans sa réglementation. Et à bien des égards, l’Europe pourrait finir par dépasser les États-Unis dans l’exigence d’un niveau de sécurité plus élevé pour les logiciels. Et c’est une évolution très positive.

Et qu’en est-il des entreprises manufacturières ? Comment peuvent-elles mieux concilier leur quête d’innovation avec les exigences de cybersécurité, en particulier lorsqu’elles adoptent des technologies émergentes comme l’IA, l’IoT ou les systèmes de fabrication intelligents ?

Jen Easterly : Quand je parle de Secure by Design, j’insiste toujours sur le fait que nous avons aussi besoin de Secure by Demand. Toute personne ou organisation qui achète ou utilise des logiciels — qu’il s’agisse d’individus, d’entreprises ou de gouvernements — doit se montrer beaucoup plus exigeante envers les technologies qu’elle utilise et les fournisseurs avec lesquels elle travaille.

Pour les entreprises manufacturières en particulier, tout commence par l’identification de leurs actifs les plus précieux — les systèmes, les données et les ressources absolument critiques. Il faut mettre en place des défenses en couches autour de ces éléments, segmenter les réseaux technologiques opérationnels, et investir dans des capacités de détection rapide d’anomalies.

L’innovation est bien entendu essentielle, et des technologies émergentes comme l’IA ou l’IoT offrent des perspectives formidables. Mais elles apportent aussi de nouveaux risques. Si ces innovations sont développées avec la cybersécurité intégrée dès le départ, et si les entreprises travaillent étroitement avec leurs fournisseurs pour exiger des normes de sécurité et de qualité plus élevées, alors nous pourrons tirer parti de ces technologies en toute sécurité.

Il s’agit aussi d’un état d’esprit. Trop souvent, les entreprises investissent dans des gains de productivité ou dans des livraisons plus rapides, mais négligent la cybersécurité, perçue comme une assurance que l’on espère ne jamais devoir utiliser. Cette façon de penser doit changer.

Les fournisseurs technologiques vous diront toujours que leurs systèmes sont sûrs, tout en mettant en avant des fonctionnalités toujours plus séduisantes. Mais les acheteurs — en particulier dans des secteurs critiques comme l’industrie manufacturière — doivent poser les vraies questions sur la manière dont la sécurité est réellement mise en œuvre. Les entreprises industrielles doivent utiliser leur pouvoir d’achat pour exiger de meilleures garanties en matière de cybersécurité, et faire de la sécurité une exigence non négociable, au même titre que la productivité et l’innovation.

Les petites entreprises également dans le viseur

Pour les petites entreprises qui ne disposent pas des ressources des grandes structures, quelles sont aujourd’hui les trois priorités en matière de cybersécurité ?

Jen Easterly :

Cela se résume vraiment à une bonne hygiène numérique, l’équivalent en cybersécurité de l’hygiène corporelle. De la même manière que se laver les mains avec du savon pendant 25 secondes permet de prévenir la majorité des maladies, une bonne hygiène numérique peut éviter jusqu’à 98 % des cyberattaques. Voici les priorités clés pour les petites entreprises :

1. Installer les mises à jour logicielles. Mettez toujours à jour vos logiciels, vos systèmes d’exploitation et vos applications. De nombreuses attaques exploitent des vulnérabilités connues qui auraient pu être corrigées par une simple mise à jour.
2. Créer de meilleurs mots de passe — et utiliser un gestionnaire de mots de passe.Des mots de passe forts et uniques sont essentiels. Un gestionnaire de mots de passe fiable vous permet de les stocker en toute sécurité sans devoir tout mémoriser.
3. Réfléchir avant de cliquer. Formez vos équipes à se montrer très vigilantes face aux e-mails, SMS ou même appels téléphoniques suspects — surtout quand quelque chose semble légèrement anormal. Avec les deepfakes et les tentatives de phishing de plus en plus convaincantes, la sensibilisation est cruciale pour bloquer les attaques d’ingénierie sociale.

Et une autre mesure essentielle :

Activer l’authentification multifacteur (MFA). Cela signifie ajouter une couche de sécurité supplémentaire au-delà du simple mot de passe. C’est l’une des protections les plus efficaces que vous puissiez mettre en place.

Vous n’avez pas besoin d’être une grande entreprise pour appliquer ces mesures. Ce sont les gestes simples et fondamentaux qui permettent réellement de réduire les risques. Les cybercriminels visent généralement les cibles faciles, avec des vulnérabilités évidentes. Si vous leur compliquez un peu la tâche en appliquant une bonne hygiène numérique, ils passeront souvent à une proie plus accessible.

Quelles mesures concrètes les dirigeants peuvent-ils prendre pour ancrer la cybersécurité dans l’ensemble de leur organisation ?

Jen Easterly : Avant tout, les dirigeants doivent personnaliser le sujet. Chacun doit comprendre clairement en quoi ses actions individuelles sont liées à la réussite de la mission et aux risques organisationnels. Et pour cela, le jargon technique ne suffit pas — il faut raconter des histoires. Utilisez des exemples concrets : une violation de données et ses conséquences, les tactiques d’un acteur malveillant, ou encore une situation critique évitée de justesse qui montre ce qui est en jeu. Mais attention à ne pas trop jouer sur la peur : quand les gens ont peur, ils se ferment. L’objectif, c’est d’informer et de responsabiliser, pas de paralyser.

Ensuite, l’impulsion doit venir d’en haut. Si le ou la PDG, le conseil d’administration et les cadres dirigeants ne considèrent pas la cybersécurité comme une responsabilité de leadership, et non comme un simple problème informatique, alors personne d’autre ne le fera. Aujourd’hui, le risque cyber est un risque pour l’entreprise, et les dirigeants doivent l’assumer au même titre que les risques financiers, opérationnels ou de réputation. Le recrutement d’un bon DSI ou RSSI est important, mais la responsabilité ultime ne se délègue pas.

Enfin, célébrer la sécurité. Valorisez et récompensez les équipes et les personnes qui donnent la priorité à la sécurité. Mettez à l’honneur les développeurs qui conçoivent du code sécurisé. Intégrez la cybersécurité dans les valeurs de l’entreprise, pas uniquement dans les formations de conformité. Faites-en une partie intégrante de la culture de l’organisation, où chaque employé sait que protéger l’entreprise fait partie de son rôle, jour après jour. C’est un changement culturel, qui commence par des dirigeants qui disent ce qu’ils font et font ce qu’ils disent.

Pourquoi les dirigeant·es d’entreprise belges devraient-ils absolument assister à « Securing Tomorrow. Now. » et écouter votre keynote le 4 juin ?

Jen Easterly : Parce que l’avenir se construit dès aujourd’hui, et qu’il appartient à celles et ceux qui ont le courage de le façonner. Nous vivons un moment charnière pour la sécurité de notre monde numérique. Les menaces sont bien réelles. Elles sont urgentes. Mais il y a aussi une formidable opportunité : celle de se rassembler pour bâtir ensemble un avenir plus sûr, plus robuste et plus résilient.