 A une époque où les octets ont plus de pouvoirs que les bales et où les clics peuvent causer plus de chaos que les affrontements, la réalité de notre monde numérique est à la fois impressionnante et terrifiante. Quand on considérait ceci, toutes les 39 secondes, une cyberattaque se produit. En effet, la cybercriminalité est devenue une industrie d'un milliard de dollars, éclipsant même le trafic de drogue en termes de rentabilité. Ces criminels profitent de notre ignorance numérique, 90% des attaques provenant de nos propres erreurs humaines ou de notre manque d'action. Bonjour à notre public virtuel. Je m'appelle Steve Rémi et je serai votre modérateur pour le webinar d'aujourd'hui qui a pour titre « Gestion automatisée des cyberrisques pour atteindre la résilience à l'ère numérique ». Je suis le fondateur et le PDG de 8°H. Une société de conseils fondée et basée en Suisse. C'est également un membre du comité consultatif de l'UPU et j'occupe le poste de coraporteur pour le chapitre thématique sur le fret et le transport. Je suis accompagné d'un groupe d'experts dans ce domaine que je vous présente. Madame Racha Alamdali, basée en Oman. Racha supervise le développement de politiques et de normes nationales pour régir l'industrie des technologies de l'information à Oman. En fournissant des conseils et des services de consultation aux agences gouvernementales, ainsi qu'en menant des recherches sur les nouvelles tendances technologiques. Racha est également membre du groupe de travail national pour la gestion des risques nationaux des services d'infrastructure critique. Bienvenue Racha et merci d'avoir rejoint. Bonjour. C'est un plaisir d'être avec vous aujourd'hui. J'espère que la séance sera fructueuse. Monsieur Massimiliano Aschi, basé à Rome. Massimiliano dirige des activités de recherche et d'innovation en matière de cyber-sécurité pour poste italien. La plus grande infrastructure d'Italie active dans les domaines de la poste et de la logistique, ainsi que dans les services financiers de télécommunications et d'assurance. Il présite actuellement le groupe point poste de l'Union postale universelle qui régit, oriente et développe le nom de domaine de premier niveau point poste. Ciao Massimiliano. Ravie que vous soyez là. Merci. Bienvenue à tous. Je suis très heureux d'être ici avec vous aujourd'hui. Et nous allons examiner des questions très intéressantes. Commençons. Je suis sûr que ça va être passionnant. C'est un peu l'anxième directrice, qui est basé à Washington, aux Etats-Unis. Elle est l'ancienne directrice adjointe du renseignement navale au bureau du chef des opérations navales des Etats-Unis et directrice exécutif de l'institut de génie logicielle de Carnegie Mellon. Elle est cadre dans le domaine du renseignement cybernétique, des risques de la sécurité nationale et est actuellement fondatrice, présidente et directrice générale de White Hawk Inc. expert au bré de 8 degrees East. Bienvenue Théorie et merci d'avoir accepté de commencer si tôt. Je suis ravi d'avoir ce groupe de discussions international. Notre objectif aujourd'hui est de travailler sur les solutions et de phonir aux personnes et aux organisations qui nous écoutent ce qui suit. Des informations sur l'établissement d'une base de référence solide en matière de cyberrisque, comprendre les plans d'action visant à atténuer en permanence les principales vulnérabilités et renforcer la posture globale de cyber sécurité et assurer la continuité opérationnelle. Ces objectifs seront atteints grâce à une discussion interactif sur des sujets prédéfinis. Nous disposons d'une heure et d'un bon nombre de sujets à couvrir. Mais si nous pouvons, nous répondrons à certaines questions des participants si le temps le permet. Si nous n'avons pas le temps, nous vous invitons à poser des questions dans le chat. Et si nous avons vos coordonnées mails, nous vous répondrons par écrit après le webinaire. Ceci étant dit, commençons et prenons la première question, la première sujet. Les technologies de nouvelle génération peuvent-elles répondre efficacement au défi des cybermenaces dans le secteur postal, compte tenu des complexités auxquelles sont confrontées les petits et les grands opérateurs ? Massimiliano, c'est votre sujet. Est-ce que vous pouvez nous donner quelques éléments de réponse ? Merci beaucoup de me donner la parole. Ces dernières années, le secteur postal a été touché par de nombreux attaques cyberattaques menés par des cybercriminels, probablement parce qu'ils ont trouvé cela lucratif. Alors, étant donné qu'il y a une motivation économique, c'est pour ces attaques, nous pensons que ça ne va pas s'arrêter et va se répéter. Donc, c'est un véritable problème, en particulier si l'on considère le fait que la réaction de notre secteur n'est pas appropriée, toujours pas appropriée par rapport à la menace. Par exemple, lorsque nous parlons de la gestion des vulnérabilités, il pourrait y avoir des mesures d'atténuation, mais c'est particulièrement difficile comme question aussi bien pour les grands opérateurs que pour les plus petits, pour différentes raisons pour les grands opérateurs. Ils sont face à une grande complexité, une architecture informatique qui peut être objet de grandes attaques, d'attaques massives parce que leur infrastructure est vulnérable et ils n'ont pas forcément les procédures voulues pour gérer les risques. Et puis, il y a des questions de compétences et de budgets qui se posent. Donc, ils ont besoin d'un soutien. Nous devons vraiment réagir face à cette situation et nous devons comprendre si nous pouvons tirer parti des prochaines technologies, des technologies fiables qui permettront de relever ce défi. Donc, c'est ce que nous demandons au marché. Est-ce qu'il est possible de faire face à ces difficultés ? Qu'en pensez-vous, Terry ? Oui, j'ai eu le luxe d'être au centre de ces capacités évoluées pendant des décennies, notamment depuis 2009. Nous avons la capacité d'explorer des milliers de base logistique de technologies fondées sur l'IA et l'apprentissage machine. Il y a vingt ans, nous n'étions pas encore très avancés. Même il y a dix ans, nous avons commencé à avoir les capacités, mais elles n'ont pas été mises à l'épreuve à grande échelle. Mais je peux vous dire que maintenant, depuis cinq ans, après des milliards de dollars dépensés en recherche et développement, après le lancement de petites entreprises issues d'universités dans une tentative mondiale de résilience, nous avons maintenant un portefeuille de techniques qui peuvent. Ça, c'est la différence, qui peuvent automatiser des processus manuels, mais aussi relever les défis de façon complètement différente en utilisant les méga données, en utilisant les algorithmes, en utilisant la mise en œuvre fondée sur du logiciel qui peut se faire à distance et qui peut être mise à jour à distance. Donc même si votre secteur est aussi complexe que le secteur de l'énergie ou d'autres, c'est un secteur mondial, international, interactif, fondé sur la coopération, c'est le seul moyen d'assurer la résilience, parce qu'on ne peut pas avoir suffisamment de personnel. Ça avance très vite, ça avance au rythme du logiciel et on ne peut pas avoir suffisamment d'argent. On n'a pas suffisamment de ressources donc il faut piloter, il faut mettre en œuvre ces capacités des générations futures et j'entrerai plus tard dans les détails à propos de certaines méthodes. Mais si on ne les utilise pas, on n'est pas résistant et on gaspille des ressources précieuses. Ce sont de très bonnes nouvelles. Il est très intéressant d'apprendre qui l'on peut prouver l'efficacité de ces technologies. Je pense que l'avenir est passionnant. Il est déjà là, dit Terry. Est-ce que vous avez des commentaires à ça ? Comme cela est dit, les technologies n'évoluent avec l'IA et les méga données et l'apprentissage et les bases de données peuvent être élargies. Nous devons simplement nous assurer que ces technologies sont vraiment alignées sur les politiques de sécurité des organisations et je pense que nous pouvons optimiser l'offre de ces solutions de nouvelles générations. Très bien. À propos de l'IA et de l'abondissage machine, j'en viens au sujet suivant. Deuxième sujet. À quel point sommes-nous proches d'obtenir des technologies IAML 100% fiales transparentes et à l'épreuve des cyberattacks pour une automisation abordable dans la chaîne de valeurs postales ? Massimiliano, de nouveau. Est-ce que vous voulez peut-être planter le décor ? Merci, Steve. C'est en effet passionnant parce que je pense véritablement que ces nouvelles technologies sont riches de promesses et vont probablement nous permettre d'automatiser tout l'exploitation, tous les éléments d'exploitation qui sont très lourds pour les opérateurs et avec ce genre d'automisation, ces mesures pourront devenir abordables financièrement et donc chacun pourra inclure cette technologie dans son exploitation et ceci permettra de réduire les écarts entre les opérateurs les plus avancés du point de vue technique et ceux qui sont moins avancés. Et cet écart est considérable. Donc c'est un grave problème parce que nous travaillons dans la même chaîne de valeurs et nous sommes étroitement liés les uns aux autres. Donc avec cette technologie, nous pourrons résoudre ces problèmes et ce sera formidable. Parallèlement, nous devons nous assurer que ces technologies seront suffisamment viables, solides ou qu'elles soient résilientes parce que certaines sont vulnérables. Alors comment nous assurer qu'elles sont suffisamment sursécurisées lorsqu'on les utilisait pour la cyber défense ? C'est très important et enfin mais surtout nous devons avoir ces systèmes pour prendre des décisions rapidement parce que ces systèmes peuvent détecter des problèmes que nous ne voyons pas en tant qu'humains. Donc nous devons être très rapides, prendre beaucoup de décisions mais parallèlement après un moment nous devrons contrôler ces décisions et comprendre pourquoi ces décisions ont été prises. Donc il faut une transparence, il faut pouvoir expliquer ces décisions techniques. Alors est-ce que la technologie est suffisamment mûre pour s'assurer que les demandes sont satisfaites ? Quand pensez-vous ? Eh bien c'est assez drôle parce que dans l'actualité depuis un an on ne parle que de l'IA avancée mais j'ai suivi mon premier cours sur l'IA en 1985. L'IA, l'apprentissage automatique, Carnegie Mellon, la première école a été créée sur l'IA au début des années 2000. L'une de leurs expériences nels est connue à cet insta. Nous y travaillons depuis longtemps. Les outils d'aujourd'hui ne sont pas la résultante d'une avancée figurante de la technologie. Pour mieux expliquer d'où nous venons et où nous pouvons aller, je dirais que la cyber sécurité traditionnelle comme cela a été dit est basée sur le nombre de contrôles, les audites, les listes de vérification, les bases veillées à ce que nous ayons les cadres vérifiés les plus solides et on continue à ajouter des éléments. Et pour finir, on a un empilement de technologies très complexes. Pour les 10% du monde constitué par les gouvernements ou les grandes organisations qui disposent des ressources nécessaires, très bien. Mais les autres 90% n'ont souvent rien que leur bonne pratique. Ils n'ont même pas des experts en interne. C'est donc en utilisant ces outils basés sur l'IA ou d'outils de surveillance de la cyber sécurité sur les réseaux à travers toutes les technologies opérationnelles et en tenant compte du point de vue des cyber pirates que vous pouvez avoir un aperçu à 360 degrés, des menaces et des risques qui pèsent sur vous. Et cela on continue. C'est ainsi que vous allez pouvoir atténuer les risques prioritaires. C'est cela que nous souhaitons faire et nous avons les outils pour le faire et ces outils sont abordables. Bien. Merci beaucoup de cette contribution. Nous avons de grands espoirs et nous sommes passionnés, enthousiastes par ces technologies, mais vous comprendrez que nous avons besoin d'en voir les preuves. Vous nous donnez aujourd'hui des informations extrêmement intéressantes. Je vous en remercie. Racha. Oui, j'aimerais faire un commentaire sur la question de Steve qui a demandé dans quelle mesure nous étions prêts de voir l'avènement de technologies fiable. J'aimerais dire que la garantie à 100% n'existe pas. Tout peut être piraté. Tout ce que nous pouvons faire, c'est retarder l'échéance et prévoir la réponse. Même avec les solutions les plus géniales, ce sont les personnes qui sont les maillons faibles. Si des accidents sont toujours possibles, c'est pour cela que dans notre domaine, nous parlons toujours d'assurance raisonnable et il faut dire clairement à tous ceux qui sont concernés que si nous voulons intégrer les contrôles de cyber sécurité, il faut savoir qu'il y a un pourcentage du temps où nous allons être piratés, mais il faut pouvoir rebondir, être résilient. Oui, Racha, j'aimerais rebondir sur ce que vous venez de dire. À mon sens, si vous faites le suivi, la priorisation et l'atténuation des risques clés, et bien au moment où un événement se produit, vous allez pouvoir continuer votre activité sans interruption. Vous avez protégé les bijoux de la couronne pour ainsi dire et vous pouvez réagir immédiatement et arrêter l'attaque plutôt que de la laisser perdurer pendant une grande période pendant laquelle vous êtes obligé de cesser vos opérations. Formidable, je passe à la suite à un autre sujet passionnant qui devrait donner lieu, je pense, à un dialogue. Quelles mesures est-ce que les organisations des services postaux devraient prendre pour lutter contre les menaces croissants de ransomware, d'âme son âge et d'ingénierie sociale, continue des répercussions potentielles, des violations de données et des pertes financières à Racha ? C'était votre sujet et je vous donne la parole pour commenter. Les organisations doivent prendre des mesures proactivement pour s'attaquer à ces menaces de sécurité. Elles doivent avoir des processus de réponse en cas d'événement et tous les processus qui, de prévention. Elles doivent avoir un système de rapport par gravité, par degré de gravité et de communication avec les parties prenantes. Au moment d'un événement, les rapports arrivent ainsi aux bonnes destinataires et les décisions sont, les bonnes décisions sont prises pour gérer l'attaque. C'est très important et comme Terry l'a dit, nous ne pouvons pas nous concentrer sur tous les risques, il faut se concentrer sur les risques les plus importants. Toutes les organisations ont un budget et des ressources limitées et je crois qu'il faut se focaliser sur les événements à impact élevé. Il faut des stratégies pour gérer ces attaques basées sur l'apétance au risque fixée par la direction, surtout en ce qui concerne les rangs songiciels. Les organisations doivent comprendre avant de subir une cyberattaque, les organisations doivent avoir un protocole pour gérer un rangs songiciel. En cas d'attaque aux rangs songiciels, si les données sont contrôlées par les pirates, les décisions sont critiques. Est-ce qu'il faudrait payer la rangsong ? Est-ce qu'il faut refuser de payer ? Comment réagir ? Cela doit être une décision qui est prise au préalable parce que ces attaques se produisent quasi inévitablement et l'organisation doit être préparée à l'avance et doit comprendre quelles sont les décisions qui doivent être prises et qui sont les personnes qui doivent les prendre au sein de l'organisation. Les organisations doivent aussi avoir des programmes de sensibilisation à la sécurité pour les salariés, pour la direction, pour les usagers ainsi que des campagnes de sécurité pour communiquer sur les diverses semenaces, leurs impacts et leur évitement et leur gestion. Tout ceci est important et c'est le caractère proactif de ces mesures qui est surtout important pour garantir la résilience de l'organisation et de pouvoir répondre comme il se doit aux cyberattacks. Je crois que Rasha nous a démontré à quel point les besoins sont complexes en matière de repostes et de prévention. Avec nos partenaires de risques et de solutions pour les menaces, il y a toute une industrie de suivi et de d'évaluation des risques avec des capacités et des outils qui sont capables de faire une évaluation complète de toute organisation à raison sociale dans le monde dans les 72h. Le plus important c'est que dans le cadre de cette évaluation et ce n'est pas une évaluation qui se fait dans vos locaux, elle n'est pas intrusive, ce sont des capacités utilisées aujourd'hui par les banques pour leurs clients commerciaux et les groupes d'assurance utilisent aussi pour la réassurance des cyberrisques. L'évaluation vous permet d'approfondir votre niveau de conformité par rapport à 80 cadres différents, la maturité de votre organisation, les risques clés auxquels il est sujet et échafauder un plan surconstancier d'atténuation. C'est automatisé, c'est basé sur le Big Data, sur l'IA et sur l'apprentissage automatique. Cela donne aux organisations les armes, c'est-à-dire les informations nécessaires d'une façon très digeste qui peut donner lieu à des actions pour que l'organisation puisse supprimer ces vulnérabilités clés. Cela nous amène jusqu'à ce niveau-là. Steve, par rapport à la question précise que vous avez posée, nous avons constaté que avec les milliers d'évaluations que nous avons menées dans le monde, parfois ce sont les éléments fondamentaux qui importent. La gestion des patchs est l'une des questions les plus importantes qui peut éviter une multitude de vulnérabilités. Ensuite il y a la formation de sensibilisation à la cyber sécurité parce que vous l'avez dit, environ 90% des cyber événements sont le résultat d'une action humaine. Et voilà, on revient toujours à la technologie. Il existe un portefeuille énorme de cours en ligne, de sociétés, de programmes à tous les prix possible imaginables qui permettent de mettre en place des programmes de formation de sensibilisation à la cyber sécurité adaptés à votre industrie et à son évolution. Conjugé à l'évasion automatisée des risques, cela peut vous permettre d'éviter ou d'atténuer l'impact de tous ces événements à risque élevé. C'est fabuleux. Je suis tout à fait d'accord avec ce que vous avez dit toutes les deux. Je soulignerai l'importance de la formation, de la sensibilisation. Nous avons vu de bons résultats de par le passé, mais il faut encore passer du mode réactif au mode proactif. Tout à fait, tout à fait. Bien. Nous avançons bien. C'est formidable. Mon pays d'adoption serait fier de moi. Nous avons encore deux thèmes à traiter. Nous allons passer maintenant plutôt au domaine de la politique et de la gouvernance. Le sujet suivant est comment les services postaux peuvent-ils veiller à ce que leurs politiques de sécurité et de protection des données soient cohérentes tout au long de leurs chaînes d'approvisionnement, compte tenu de la complexité des systèmes intégrés et semi-intégrés. Je donne à nouveau la parole à Rasha. Oui, c'est très important parce que si vous faites très bien votre travail, mais vous êtes intégré ou associé à d'autres organisations, vous avez des parties prenantes sur la chaîne d'approvisionnement qui ne font pas leur travail. Ce sera en vain que vous agirez. Il est important d'avoir une politique de sécurité des tiers en place liée au processus de traitement avec les sous-traitants. Les politiques de civil sécurité doivent être figurées dans leurs contrats et dans les contacts avec les parties prenantes tout le long de la chaîne pour protéger les données et communiquer sur les cyberattacks si elles ont lieu. Il est très important aussi de fixer le niveau de disponibilité de leur service et de mener des audites réguliers pour établir la conformité de leurs sous-traitants. Térer par l'évaluation automatisée et de l'audite, c'est formidable. Mais si vous avez des liens avec des fournisseurs, des prestataires dans la chaîne d'approvisionnement, il faut pouvoir veiller à leur conformité leur respect des politiques. Par exemple, en signant le contrat, vous devez au moins y faire figurer votre habilitation à faire un audite de ce prestataire de service ou au moins les services intégrés avec des préprenants textiles. Je suis 100% d'accord. Alors toutes les entreprises ont leur dit d'évaluer leurs joyaux pour ainsi dire l'UPU, rassemblent des organisations du même secteur et donc il y a un partage de ces joyaux. Ce qu'il faut faire, c'est d'héarchiser la résistance de ces joyaux de la couronne. Si quelqu'un s'introduit, il ne peut pas arriver à ces joyaux. Il y a un continuum que nous avons mis en place dans le cadre de nos recommandations concernant les cyberrisques. Pour nos organisations, c'est le suivi continu, l'héarchisation des vulnérabilités, un accent au moins une fois par an, un test pour valider ces vulnérabilités. Et là encore, ça peut être fait maintenant à distance grâce au logiciel. Ces logiciels coûtent la moitié des tests traditionnels. Et puis si vous êtes vraiment une grande organisation très complexe, vous voudrez peut-être avoir une équipe spécialisée. Et à ce moment-là, vous rassemblez toutes ces conclusions et vous vous assurez que vos politiques et vos programmes sont axés sur les vrais problèmes que vous avez recensés. Et à ce moment-là, vous informez votre équipe de direction, au moins tous les trimestres, pour dire comment les choses évoluent, c'est-à-dire dans une langue qui n'est pas une langue cyber. Et ainsi, vous pouvez dire, j'ai besoin de telles ressources pour faire telles choses. Et vous avez, il faut que toute l'équipe exécutive accepte ça et s'assure que la résistance aux crimes en ligne est une partie essentielle de votre activité et de votre organisation. Et puis enfin, vous pouvez, une fois par an, se donner par les rachats, c'est-à-dire exercer cela, mettre cela à l'épreuve. Qui est responsable ? Quel est votre plan de communication ? Est-ce que vous avez quelqu'un qui peut réagir immédiatement en urgence ? Donc c'est un ensemble, un continuum et c'est là-dessus que vous fondez vos politiques, vous fondez vos politiques sur les résultats de tous ces analyses. Il y a aussi la chaîne d'approvisionnement, pardon. Donc les évaluations des risques dont je parle, aussi bien les risques commerciaux que les risques cyber, dans les risques commerciaux, c'est financier, d'organisation, de direction. Ce sont des bien automatisés que vous pouvez acheter aujourd'hui. Si vous allez sur mon site web, bon, je ne fais pas de publicité, mais sous solution novatrice, vous pouvez voir des exemples de ces genres de solutions de la prochaine génération qui sont mondiales et qui peuvent viser différentes domaines pour inclure le risque sur la chaîne d'approvisionnement. Et vous pouvez faire une évaluation annuelle si vous ne pouvez pas avoir une approche continue. Oui, c'est très intéressant. J'aimerais aussi souligner qu'à l'UPU, nous avons des normes pour la cyber sécurité, pour garantir des méthodes cohérentes qui doivent être adoptées dans tout le secteur. Parallèlement, ces normes ne doivent pas être bureaucratiques. Elles doivent être souples, s'adapter et s'adapter à toute personne qui souhaite les adopter en fonction de ses besoins. Je pense aussi que la technologie peut être très utile. Nous devons assurer l'intégration de différents systèmes. L'interoperabilité est essentielle pour assurer l'efficacité. Je dirais enfin que le groupe.post a également des services de sécurité aux services de la collectivité et c'est ainsi que nous soutenons ce processus avec des services disponibles sur le marché et sur lesquels on peut se fonder lorsque l'on met en œuvre ses propres services. Donc c'est une possibilité. Merci. Rasha, je crois que nous avons couvert les principaux éléments et il est important de ne pas travailler en silo pour assurer un programme de sécurité parce que vous travaillez dans un réseau. Vous devez vous assurer qu'il y a une harmonie entre ce que vous faites et ce que font d'autres. La collaboration est très importante. Il faut travailler dans un cadre et la collaboration est très importante. Il faut une conscience de la situation et il faut partager des responsabilités. Il faut s'assurer que nous arrivons à cette résilience. Une recommandation que j'ai faite ces dernières années, en particulier de grandes organisations comme la vôtre et par mécanismes comme point post, c'est d'assurer des services qui intéressent tout le monde. Vous avez parlé des fournisseurs, notamment au niveau régional. Vous avez peut-être beaucoup de fournisseurs en commun. Pourquoi est-ce que chaque organisation devrait payer pour une évaluation de risques ? Pourquoi ne pas le faire une fois et ensuite le distribuer aux membres ? Donc avec des ressources limitées, vous pouvez avoir un programme de risques en place pour les chaînes d'approvisionnement. Vous désigne comme volontaire d'ailleurs. Vous pouvez avoir tout cela en un seul endroit pour le bien de tous. Même chose en ce qui concerne les technologies de générations futures, des licences dans ce domaine. Les prix ne cessent de baisser en fonction du volume. Plus le volume est grand, plus les prix baissent. Oui, nous examinons ces possibilités. Et ça va de 1 000 dollars pour une évaluation à 200 dollars pour une évaluation. Vous voyez ce que je veux dire ? C'est quand même considérable comme différence parce que l'avantage est que c'est fondé sur un logiciel. Vous pouvez aussi piloter cela. Donc un membre ou quelques membres peuvent piloter ensemble des capacités et montrer que l'effet de l'ensemble de l'UPU et les autres peuvent décider et dire bon est-ce que je veux tirer parti de ces capacités ? Est-ce que c'est ce qui va me convenir ? Très bien. Et bien, j'aimerais passer maintenant au dernier sujet. Comment les services postaux peuvent-ils assurer une continuité d'activité efficace face à la transformation numérique ? En particulier dans des domaines critiques comme les services pédico-financiers, tout en atténuant les risques et en assurant la communication avec les parties prénantes et la mise à l'essai, des plans d'atténuation. Hacha ? Oui, c'est un sujet très important, notamment aujourd'hui quand nous parlons des derniers forums, des dernières conférences de l'UPU, il y a la distribution pas simplement de colis, mais il y a des services médicaux et financiers qui sont essentiels. En fait, nous distribuons la vie pas simplement des colis et ils sont très importants d'assurer la continuité de l'activité. Il faut prendre ça très sérieux, il faut prendre les bonnes mesures. Alors comment nous assurer qu'on a cette continuité de l'activité ? Et bien tout d'abord, les services postaux, en fait, il y a un travail intérieur à accomplir. Il faut analyser les incidents sur les activités pour déterminer quelles sont les services critiques qui doivent être prises en considération. Il faut des priorités pour assurer que nous dépensons suffisamment de temps pour que nos services soient résiliants et que la quantité de données que nous pouvons nous permettre de perdre, nous devrons hiérarchiser les services critiques et nous concentrer là-dessus. Il faut des mesures appropriées de ce qui est acceptable. Et puis il faut recenser tous les services critiques, tous les systèmes qui doivent faire l'objet de tests. C'est très important. Et puis il faut déterminer quelles sont les domaines d'urgence. Il faut garder cela à jour et assurer que les coordonnées sont à jour. Il faut que les gens soient compétents. C'est très important. Mais ceci doit toujours être à jour et il faut qu'on ait les coordonnées des personnes à contacter. Comme ça s'il y a un incident ou une catastrophe, on peut agir rapidement pour rétablir les services. C'est très important que les services postaux fassent des essais régulièrement et il faut que les résultats de ces essais soient publiés pour rectifier toutes les erreurs pour résoudre tous les problèmes. Il est très important pour assurer la continuité de l'activité qu'il y ait un mécanisme. Il s'agit notamment des mesures à prendre après une catastrophe pour assurer la continuité des services. C'est très important pour toute organisation de services postaux. Ceci pour assurer la continuité et la planification. Oui, vous avez bien raison. Je pense, comme beaucoup de vos organisations existent depuis des décennies, de nombreuses décennies, ce que nous oublions, c'est que nos architectures ont évolué. Les architectures n'ont pas été conçues hier. Elles ont évolué, on a ajouté des éléments, on a modifié des éléments, mais vous avez encore tout un héritage de matériel et de logiciel. Donc, comme la dira chat, je recommande toujours un examen de l'architecture, mais cartographiez en fonction de vos fonctions commerciales pour que vous ayez une visibilité, telle fonction se fonde sur telle base de données, sur telles applications commerciales, sur tel système de communication ou de relais, sur telle technologie d'exploitation. Parce qu'avec cette visibilité, vous pouvez prendre des décisions et voir comment vous voulez migrer, faire une architecture de prochaine génération, par la conception même, par exemple. Parfois, je dis aux gens, ne dépensez rien sur la cyber sécurité si vous avez des logiciels, notamment des logiciels commerciaux qui ont plus de dix ans à acheter simplement des logiciels à jour parce que les logiciels anciens, ça veut dire que toutes vos portes et toutes vos fenêtres sont ouvertes et vous n'aurez pas de continuité de l'activité parce qu'on peut très facilement interrompre vos activités. Ce que nous appelons aussi le cloud provisioning. Beaucoup d'organismes ont leur service cloud sur les locaux, dans les locaux, sur des serveurs et ils peuvent être moins onéreux et plus résistants si vous utilisez un service cloud de nouvelles générations qui pourra proposer un meilleur niveau de sécurité que vous en interne. Pour revenir à ce que disait Rasha sur la gestion des outils, parce que l'architecture évoluée, parfois vous avez ce que nous appelons un shadow IT, un système qui tourne dans la paix nombre que vous avez oublié et c'est une autre porte d'entrée pour les cybercriminaux. D'ailleurs avec le suivi externe, nous pouvons découvrir tous ces shadow ID et vous pouvez les supprimer. Tous ces éléments sont critiques pour la continuité de l'activité, la poursuite de l'activité et mon dernier commentaire c'est que si vous confiez cela à vos informaticiens, à vos ingénieurs et la direction de l'organisme ou de l'organisation ne prend pas part à la réflexion et bien le processus ne sera pas efficace parce que trop souvent les services techniques de l'organisation ne comprennent pas forcément tous les éléments et fonctions et opérations de l'organisation. Donc cette réflexion doit être menée de pair entre la direction et les services informatiques en équipe. C'est très intéressant. Pourquoi est-ce qu'il est important de garantir la continuité de l'activité dans le secteur postal ? Les services postaux sont de dimensions différentes dans les différents pays, mais il faut se rappeler que nous ne sommes pas simplement un service postal logistique, nous sommes une référence pour les citoyens, nous proposons bien des services supplémentaires qui sont très importants dans beaucoup de pays. Parfois c'est nous qui versons les retraites des retraités et le revenu universel minimum dans certains pays. Le public a besoin de nos services. Donc l'exploitation commerciale c'est important, mais le service aux citoyens est tout autant. Voilà pourquoi la cybersecurity est si importante. Il faut se pencher sur les budgets et la disponibilité des ressources dans les pays où la lutte se passe mal. C'est une demande que fait le marché. Il y a un grand besoin en matière d'amélioration de la cybersecurity. Je crois que dans le secteur postal nous pouvons faire beaucoup de choses. Les infrastructures et solutions dans le cloud sont sans doute parmi les meilleurs. Ces solutions sont particulièrement honneveuses, mais la structure des prix et souple vous pouvez interrompre le service, le remettre en marche quand vous le souhaitez. C'est donc une approche que l'on peut envisager. Oui, vous avez raison, on peut interrompre et reprendre le service à volonté. Slam fait penser à quelque chose que vous avez dit juste avant le début de la réunion, la cybersecurity c'est un sport d'équipe. Je l'ai vu tant de fois dans le monde des affaires. Les informaticiens ne parlent pas la direction et vice-versa, et c'est une recette pour une catastrophe cybernétique. Je crois que les directions ont souvent abdiqué la responsabilité parce que pour eux c'est une question purement technique. Ils ne le feraient pas avec les finances. Les risques financiers appartiennent à tout le monde. Et bien c'est la même chose pour les risques de cyberattaque, tout le monde est responsable. Nous avons neuf minutes qui nous reste pour la fin de notre webinaire. C'est parfait parce que nous allons pouvoir terminer à l'heure. Cette discussion a été extrêmement intéressante avec énormément d'idées intéressantes et des pistes de réflexion pour ceux qui écoutent et vous pourrez retrouver l'enregistrement ou les diapos après. Je voudrais inviter nos trois intervenants à nous faire part de leurs derniers commentaires avant de clôturer le webinaire Racha. Vous serez la première. Quelles sont vos remarques de clôture ? Et bien je vais commencer là où vous avez laissé les choses. La cyber sécurité est un sport d'équipe. Il est extrêmement important d'identifier toutes les parties prenantes importantes dans notre organisation et les services critiques que nous proposons. Quelles sont les éléments les plus importants de ces services ? Et quelle est la stratégie qui s'aligne avec ces objectifs par rapport à la gouvernance ? Ce qu'il faut protéger pour nos usagers et pour notre service et tout le reste est supplémentaire. Nous devons tous nos projets de sécurité doivent tendre vers le même but. La sensibilisation, la formation doivent être orientées pour que nous n'investissions pas du mauvais côté. C'est très important si nous voulons une vraie cyber sécurité. Il faut assurer la poursuite de l'activité à tout prix. Massimiliano. Et bien je suis convaincu que le moment est venu pour que le secteur postal agisse. Nous devons nous montrer proactifs. Nous voulons mettre en place des actions concrètes pour contrer les cyberattacks que nous essuions tous les jours, que nous subissons tous les jours. Nous ne partageons pas nos idées, nos expériences. Nous étudions pas suffisamment le marché. A mon avis, nous ne fondons pas sur l'évidence, l'incidence des cyberattacks. Chaque fois, je vois que les services postal ne communiquent pas entre eux. Nous devrions communiquer et changer les informations, exploiter la technologie de pointe pour combler les lacunes et augmenter le niveau de cyber sécurité globale de la chaîne de valeur. Nous agissons en silo et c'est très important de casser ce modèle, surtout parce que nous sommes tous ensemble et nous devons démontrer notre majorité en matière de cyber sécurité. Excellent. Terry, lorsque je rencontre des organisations sectorielles comme la vôtre, qui sont internationales, qui sont complexes, qui sont un mélange d'informatique et d'opération dont la continuité est essentielle pour la marche du monde, j'ai toujours l'impression que vous êtes débordé. Submerger, vous vous noyez dans tout ce qu'il y a à faire et vous mesurez bien à quel important et à quel point il est important de le faire bien. Et si je me concentre sur des solutions automatisées, un bon rapport ou une efficacité, c'est pour alléger ce fardeau et permettre à chaque organisation d'identifier, d'établir les priorités et d'atténuer les risques numériques de cette siècle. Si vous nous regardez aujourd'hui, je voudrais que vous compreniez à quel point il est urgent de le faire parce que lorsque vous subissez une cyberattaque, elle pourra vous mettre votre organisation à genoux, elle pourra vous coûter des millions de dollars. Et tout cela, c'est comme si nous faisions un cadeau aux méchants. C'est ce que je déteste, nous enrichissons les malfrades, les personnes malveillantes. Alors avec vos ressources limitées, il faut bien investir dans les bonnes solutions. Alors j'ai une recommandation que j'aimerais formuler à l'adresse de l'UPU. L'UPU devrait mener une évaluation des risques sur chaque entité qui fait partie de l'UPU. Vous devriez partager les résultats seulement avec l'organisation en question. C'est quelque chose que vous trouverez sur le marché. Vous pouvez commanditer ces évaluations. Ensuite, il y a des moyens d'analyse de portefeuille qui peuvent être menés par secteur, par sous secteur, par région, par taille de l'organisation qui peuvent être partagées avec l'ensemble de l'organisation. Les données sont anonymes. Vous aurez simplement le nom de la région, le secteur ou le sous secteur. Et ensuite, avec le groupe point poste, vous pourrez apprendre quelles sont les trois grands enjeux identifiés grâce à des données réelles et actuelles et quelles sont les services communs ou d'intérêt communs que vous pourriez mettre en place pour vous protéger. Et je vais vous dire que dans l'espace de 90 jours, vous allez constater une amélioration parce que tout le monde sera doté d'une nouvelle perspective, d'un nouveau point de vue sur leur organisme avec des explications compréhensibles et des mesures qui peuvent concrètement être mises en place. Et ensuite, vous pouvez décider si vous voulez aller plus loin dans le temps, au fil du temps, à l'avenir. Eh bien, je crois que nous sommes arrivés au bout de notre webinaire. Pour ma part, j'aimerais remercier nos trois intervenants d'avoir pris le temps d'animer ce webinaire et d'avoir créé un contenu plein de nouveaux éclairages. C'est une situation réelle. Elle tend à s'amplifier et il faut absolument agir. Je l'ai vu une entreprise pendant ma carrière dans les entreprises et je crois que les risques ne font qu'augmenter. Nous souhaitions proposer des solutions et des étapes suivantes. Je crois que nous l'avons fait par y tenu aux opérateurs, à l'international, de nous contacter s'ils ont besoin d'appui. L'appui n'attend que votre demande. L'objectif du comité consultatif est de faire en sorte que ce partenariat soit le mieux, le mieux que possible pour améliorer nos opérations, mais dans ce cas précis pour se prémunir contre les cyberattacks afin de pouvoir garantir le meilleur service possible à nos utilisateurs. Je vous remercie. Je vous remercie tout et tous. J'espère que vous avez été aussi passionné par ce sujet que moi. Je vous souhaite une bonne journée. Agissez et soyez en sécurité. Merci.