Renforcer la cyberrésilience fédérale et démontrer le retour sur investissement

0:05 Raghu Nandakumara : Bienvenue sur The Segment : A Zero Trust Leadership Podcast. Je suis votre hôte, Raghu Nandakumara, responsable des solutions industrielles chez Illumio, une société de segmentation Zero Trust. Aujourd'hui, je suis accompagné de Gerry Caron, directeur de l'information et inspecteur général adjoint du ministère américain de la Santé et des Services sociaux. Avec plus de 24 ans d'expérience dans les technologies de l'information, Gerry a commencé sa carrière dans l'armée américaine en occupant des postes techniques pratiques. Il a rejoint le gouvernement fédéral au Département d'État en 2003 en tant qu'administrateur de systèmes et a occupé cinq postes différents au sein du département au cours des deux dernières décennies. Aujourd'hui, Gerry se joint à nous pour discuter des défis et de la dynamique du Zero Trust au niveau fédéral. Nous expliquerons comment gérer le risque opérationnel, le rôle de la cartographie des données dans toute stratégie Zero Trust réussie et démontrerons le retour sur investissement de vos investissements Zero Trust. Alors Gerry, comment êtes-vous devenu directeur de l'information au bureau de l'inspecteur général du ministère de la Santé et des Services sociaux ?

01:12 Gerald Caron : J'ai perdu un pari. Non, mon parcours est assez unique. Je viens du nord du Maine, dans les bois. Et j'ai rejoint l'armée. Après sept ans dans l'armée, j'ai été affecté au Pentagone, et j'ai décidé à l'époque que c'était l'informatique qui comptait le plus et quel meilleur endroit où vivre qu'à Washington, DC ? J'ai fini par devenir sous-traitante en 2001 au Département d'État pour répondre au téléphone sur un service d'assistance. À partir de là, j'ai gravi les échelons pour accéder à certains postes de direction, puis je suis devenue membre de la haute direction lors de mon dernier poste, pour la gestion des réseaux d'entreprise au Département d'État, où j'étais essentiellement responsable de toute l'infrastructure : Active Directory, le réseau à l'étranger et au niveau national, la sécurité du périmètre, et bien d'autres choses. Et j'ai postulé pour ce poste en tant que CIO pour le bureau de l'inspecteur général du HHS, pour essayer de faire quelque chose de différent. Je suis ici depuis un an et demi à ce stade, et c'était très intéressant.

02:10 Gerald Caron : Pendant mon séjour à State, j'ai participé à certains événements et j'ai joué un rôle de responsable de l'assainissement et de l'expulsion dans certains de ces événements, ce qui m'a amené à devenir évangéliste il y a de nombreuses années avant que des décrets et des notes de service ne soient publiés à ce sujet, sur Zero Trust. J'ai donc également présidé quelques groupes de travail dans ce domaine. L'un d'eux est présidé trois fois avec d'autres DSI et quelqu'un de l'Institut national des sciences et de la technologie du NIST. Et je suis également une organisation à but non lucratif, je crois fermement au Zero Trust et à la cybersécurité.

02:48 Raghu Nandakumara : Et c'est exactement pourquoi nous sommes si heureux de vous avoir parmi nous aujourd'hui. Juste avant de passer à Zero Trust en particulier : vous êtes chez State, 110 000 utilisateurs que vous gérez, et maintenant vous êtes chez HHS, qui compte environ 2 000 utilisateurs. Donc, si je fais mes calculs correctement, c'est presque 2 % de ce que vous faisiez chez State du point de vue des utilisateurs. Quels sont les défis de sécurité uniques de ces deux environnements ?

03:18 Gerald Caron : Oui, non, c'est une bonne question. Donc, à State, je gérais l'infrastructure centrale et des choses de ce genre, mais tous les différents bureaux, et c'est un peu pareil ici au HHS, il y a, je ne veux pas dire nécessairement, l'autonomie, mais ils ont leurs propres missions uniques. Ils ont leurs propres besoins informatiques. Alors que je fournissais des ressources centrales, en ce qui concerne le réseautage et d'autres choses de ce genre, j'ai dû m'adapter. Et dans une grande organisation fédérée comme celle-ci, il est parfois difficile de faire bouger les choses. À l'IG, la différence, c'est que nous possédons et gérons entièrement notre propre réseau et nos propres systèmes, etc. Nous envisageons les choses en tant que service — nous tirons parti du SOC-as-a-Service parce que mes ressources informatiques sont limitées — mais nous sommes en mesure d'être plus flexibles et agiles, car je suis responsable de tout et tout est à peu près centralisé. Alors que dans une grande organisation, il est parfois difficile de faire avancer les choses tout en essayant de répondre à toutes ces missions spécifiques. Alors qu'ici, nous sommes à peu près centralisés. Mais nous sommes toujours en mesure d'être un bon exemple d'évolutivité dans l'art du possible grâce à nos implémentations et de partager cela avec une grande agence ou d'autres, car nous sommes en mesure d'agir de manière un peu plus flexible et « agile ». « Agilely », c'est un mot ?

04:43 Raghu Nandakumara : C'est bon, c'est bon. Nous l'ajouterons à l'Oxford English Dictionary l'année prochaine. Pas de problème Mais vous dites que l'État est très... Comme il s'agit d'une grande organisation, comme vous l'avez dit, une grande partie de son infrastructure ou de sa gestion est fédérée. Alors, comment garantir la cohérence de la posture de sécurité entre tous ces types de sous-agences fédérées, si c'est le bon terme, ou de sous-unités ? Comment ce type de système est-il géré, surveillé, régi ?

05:15 Gerald Caron : Oui, l'une des choses que nous avons faites, c'est que nous avons fait fonctionner ce petit outil appelé iPost dans ma boutique. Vous avez donc beaucoup d'outils, non ? Chaque organisation dispose de nombreux outils, mais vous les examinerez tous de manière cloisonnée. Et puis vous vous demandez, d'accord, comment je m'en sors en matière de patchs ? Très bien, ce que nous avons fait et ce que nous faisons ici, et ça va mener à... C'est l'un de nos, ce que j'appelle, l'un de nos projets fondamentaux que nous allons réaliser ici, qui consiste à intégrer ces données. Ainsi, lorsque vous êtes décentralisé et que les personnes en aval sont responsables de la sécurité informatique, nous avons en quelque sorte rassemblé toutes ces informations, établi ces relations entre « Très bien, voici l'objet informatique Active Directory ». « Très bien, voici toutes les données relatives aux correctifs, voici toutes les vulnérabilités, voici toutes les données de scan, voici le logiciel et ses versions, ainsi que le système d'exploitation. » Vous savez, « est-ce que c'est sur la liste approuvée, qui se trouve ici ? » Et nous avons créé ce tableau de bord pour cela... Donc, en gros...

06:11 Gerald Caron : Et nous avons créé ces groupes — il peut s'agir d'un bureau, d'une ambassade, d'un lieu quelconque ou d'un groupe logique de personnes pour un système — et nous avons rassemblé tout cela, nous avons appliqué cette méthodologie, et nous avons obtenu ce que nous appelons un « score de risque opérationnel ». Vous n'aviez pas besoin de savoir comment utiliser les outils, nous n'avons pas eu à former les gens à l'utilisation de ces outils, nous n'avons pas eu à donner accès à ces outils, nous avons rassemblé toutes ces données, les avons présentées de manière facile à utiliser et leur avons dit : « Très bien, venez demain matin, vous regarderez votre site et vous direz : « Oh, hey, mon score de patch est bien supérieur et il m'a été donné... Cela m'a fait chuter à un D ce matin alors que j'avais un B hier. À quoi dois-je faire attention ? Oh, d'accord, voici exactement... Je dois appliquer ce correctif à ces systèmes. »

06:57 Gerald Caron : Nous leur avons donc présenté ces informations de cette façon. Maintenant, nous allons faire la même chose parce que, encore une fois, en tant que CIO, je n'ai pas besoin de savoir quelle est ma position en matière de risque opérationnel, comment nous en sortons-nous dans l'ensemble ? Nous les mettons donc en place, nous allons intégrer les sources de données que nous pouvons exploiter, découvrir où se situent nos lacunes, placer cette méthodologie de notation par-dessus celle-ci, puis créer ce tableau de bord pour dire : « D'accord, comment allons-nous ? Comment en sommes-nous sur le plan opérationnel en matière de gestion des risques, qu'il s'agisse de l'application de correctifs, de vulnérabilités, de configurations ou de tous ces équipements en fin de vie ? » Nous allons donc introduire ce concept, nous allons commencer à le faire. Maintenant, pourquoi je dis que c'est un projet fondamental pour Zero Trust, pensez-y. Nous devons le faire plus en temps réel plus tard. Nous aurons donc besoin de toute la télémétrie de tous ces outils pour prendre ces décisions en temps réel. Maintenant, différents outils apparaissent par vagues différentes, pour ainsi dire, comme un outil toutes les huit heures, un toutes les cinq minutes, cela dépend.

07:55 Gerald Caron : Donc au minimum, si Raghu entre dans mon réseau et essaie d'accéder à cette source de données, d'accord, qu'est-ce que je sais de lui ? Très bien, il s'est authentifié de cette façon, il est sur un ordinateur géré, d'après ce que je sais, et il est connecté au VPN, le réseau que je gère parce qu'il est au bureau. OK, j'ai assez d'informations pour dire qu'il est assez prudent de le laisser passer la porte d'entrée. Il peut commencer son travail pendant que... Très bien, laisse-moi vérifier ces choses secondaires et prendre des décisions en fonction de cela. Je fais donc un contrôle constant, je ne me contente pas de vous donner accès à la porte, mais je fais un contrôle constant en temps réel autant que possible et les outils peuvent m'aider à prendre des décisions en fonction de mes seuils de risque.

08:39 Raghu Nandakumara : Au fait, saviez-vous qu'il s'agit d'un podcast Zero Trust ? Je ne sais pas si tu es au courant.

08:42 Gerald Caron : Ah oui ?

08:44 Raghu Nandakumara : Vous êtes naturellement allé chez Zero Trust, comme si... Je pense que la compilation des données dont vous avez parlé et la fourniture de cette vue cohérente sont un élément très important pour associer tout le monde à ce parcours de sécurité et mettre en œuvre ce changement de culture.

09:00 Gerald Caron : Et je pense que pour revenir à votre question initiale sur les différences entre un système décentralisé — et même si c'est centralisé — je voudrais voir les poches, les poches logiques des groupes de choses. J'ai peut-être des sous-traitants responsables du système, et je peux leur dire comment ils s'en sortent, sur la base du contrat, car nous devons les tenir responsables. Il y a donc un moyen de le faire aussi, en regroupant les éléments, je pense, et en rassemblant cette télémétrie pour prendre ces décisions et ensuite... Oui, tout naturellement, ça tombe dans... C'est une excellente base pour... Alors que nous progressons vers Zero Trust. Parce que vous allez avoir besoin de toutes ces informations pour prendre ces décisions.

09:35 Raghu Nandakumara : 100 % parce qu'une visibilité complète de bout en bout constitue la base sur laquelle toutes vos décisions en matière de sécurité sont prises. Donc, presque sans le présenter comme un programme Zero Trust, le simple fait de le mettre en place est un excellent point de départ. Vous avez d'excellentes analogies avec Zero Trust, qui impliquent le beurre de cacahuète, que j'adore, et le cinéma. Ce que j'aime bien au cinéma si cela signifie que j'ai un seau de pop-corn devant moi. Écoutons donc vos deux analogies, votre beurre de cacahuète et le cinéma, Zero Trust.

10:10 Gerald Caron : Oui, nous avons toujours fait le... Tout le monde parle de « douves du château ». J'aime parler de la méthode de cybersécurité « Tootsie Roll Pop ». Coque extérieure dure et centre doux et gluant. Et je pense que l'autre point, c'est que nous aussi... Peu importe qu'il s'agisse des joyaux de la couronne ou du sandwich à la bologne, nous avons toujours essayé de suivre cette approche de tartinade au beurre de cacahuète, en nous assurant que le beurre de cacahuète est réparti uniformément. En fait, si je perds mon sandwich au balogna alors qu'il y a plein de balogna et de pain dans le monde, j'en ferai probablement un autre. Suis-je inquiet ? Oui, parce que c'est frustrant, je dois en créer un nouveau. Mais mes joyaux de la couronne, s'ils sont perdus, c'est fini. On ne peut pas les récupérer, en quelque sorte.

10:48 Gerald Caron : Si l'on considère qu'il s'agit de données, on se demande : « Qu'est-ce qui est le plus important et sur quoi devons-nous nous concentrer ? » Donc, si mon sandwich à la bologne est volé, d'accord, mes joyaux de la couronne sont-ils toujours protégés ? J'ai empêché les mouvements latéraux. C'est ce que je veux faire. Je ne veux pas qu'ils s'élèvent au rang de joyaux de la couronne. Oui, mon sandwich à la bologne a été volé, je m'inquiète. Donc, l'analogie avec le cinéma est que vous allez au cinéma multiplex, vous achetez un billet en ligne, et où...

11:18 Gerald Caron : L'exemple que j'ai donné, et le cinéma où j'allais autrefois — je n'y vais plus, parce que j'en ai trouvé un nouveau sympa — mais ils ont scanné votre billet dans le hall. Alors vous entrez par la porte d'entrée, ils scannent votre billet dans le hall, maintenant je suis autorisé à entrer dans le cinéma. J'ai accès aux concessions pour acheter mon pop-corn, aux toilettes, aux équipements généraux si vous êtes autorisé à entrer par la porte d'entrée du cinéma. Mais j'ai également pu entrer dans n'importe quelle salle de cinéma. Pourquoi ? Parce que personne n'enregistrait mon billet à la porte. Il y a 20 cinémas, il n'y a pas 20 personnes aux portes.

11:48 Gerald Caron : Donc, en gros, étant une personne éthique, je vais voir mon film. Mais bien sûr, vous pourriez être là toute la journée et aller au cinéma autant que vous le souhaitez. Ensuite, asseyez-vous à votre place, parce qu'il n'y a pas d'huissiers qui vérifient et tout le reste. Donc, si la caméra tombait en panne, vous devriez probablement sortir du cinéma et aller chercher quelqu'un pour le prévenir. C'est ce qui a toujours été le cas, le type de sécurité traditionnel. Ils ont le périmètre, c'est-à-dire la porte d'entrée, entrent dans le hall et ensuite vous entrez. Et je peux me déplacer latéralement où je veux, et c'est le film lui-même qui contient ces données, non ? Je pourrais donc entrer et dire : « Hé, IMAX sort dans cinq minutes, je n'ai pas acheté de billet pour le tarif. Je vais simplement passer à la version IMAX, c'est bien mieux. »

12:32 Gerald Caron : Donc, avec Zero Trust, c'est là que cela devient différent. Je vais quand même faire scanner mon billet dans le hall pour m'assurer que je suis autorisé à entrer dans le cinéma, mais quand je vais au cinéma et que j'ai toujours accès au pop-corn et aux toilettes, je suis dans ce périmètre, dans ce périmètre plus large. Maintenant, je fais scanner mon billet également lorsque je me présente à la porte du cinéma. Maintenant, si j'essayais d'entrer dans l'IMAX et que j'avais un billet normal et qu'ils l'enregistraient, retournez à la billetterie et surclassez-vous — alors faites une sorte d'authentification renforcée et nous vous laisserons entrer — mais d'accord, je fais scanner mon billet à la porte. Oui, c'est valide. Vous êtes autorisé à entrer, une place m'est attribuée. Et puis vous avez l'huissier qui entre et vérifie constamment. « Le projecteur fonctionne-t-il ? L'écran est-il éteint ? Les lumières sont-elles faibles ? Est-ce que les petites lumières sont allumées sur la passerelle pour que les gens ne s'y rendent pas ? Les panneaux de sortie sont-ils allumés ? Est-ce que tout fonctionne ? »

13:29 Gerald Caron : Je vérifie constamment tous ces facteurs, pour m'assurer que les données que j'essaie de consommer, qu'il s'agisse de ce film, sont au bon endroit. Je suis qui je suis, je suis là où je suis censé être et tout fonctionne. Et quelqu'un vient et fait ce contrôle constant. Et si un certain seuil est atteint, si le projecteur tombe en panne ou quelque chose comme ça, boum, automatiquement, l'automatisation va avoir lieu et faire tout ce qu'il faut. C'est donc en quelque sorte l'analogie que j'utilise pour cela.

13:58 Raghu Nandakumara : Génial, voilà. C'est ainsi que nous relions le beurre de cacahuète, les films, le cinéma et Zero Trust. Quel était le... Vous êtes clairement passionné par Zero Trust et vous en voyez la valeur, n'est-ce pas ? Alors, comment favorisez-vous l'adoption de Zero Trust à l'OIG ? Sur quoi vous concentrez-vous là-dessus ?

14:18 Gerald Caron : Quand je suis arrivé, personne ne connaissait Zero Trust. Il y a cette mystification et, sans vouloir offenser les fournisseurs, il existe tellement de définitions différentes maintenant. C'est juste un terme galvaudé où les gens grincent des dents quand ils l'entendent. Mais dans l'essence même de Zero Trust, si vous l'avez appris auprès de Forrester ou si vous avez écouté John Kindervag, le père de Zero Trust et tout le reste. Revenez à ces cinq principes, comprenez ces cinq principes. J'ai donc remarqué certaines manières dont la cybersécurité était mise en œuvre et tout le reste, et je l'ai présentée et j'ai même sensibilisé mon personnel. J'ai donc fait venir des vendeurs dans l'art du possible, et c'était comme si on menait un cheval dans l'eau et qu'ils buvaient. « Hé, cela résoudra certains de nos problèmes si nous faisions quelque chose comme ça » ou « Oh mec, ça va cacher certaines choses. Nous aurons beaucoup plus de visibilité. »

15:05 Gerald Caron : Et puis, nous avons également fait voler ce graphique au DoD, et cela fait partie de la stratégie Zero Trust du DoD qu'ils ont publiée il y a quelques semaines. Ces piliers regroupent de nombreuses fonctionnalités : les cinq piliers de l'utilisateur des données réseau, mais ils incluent également l'orchestration et l'analyse, que j'utilise également depuis plus d'un an. Et j'ai demandé : si je ne dépensais pas un centime de plus, comment allons-nous dans ce domaine ? Et ils se sont auto-évalués.

15:34 Gerald Caron : Je l'ai également remis à chacun des fournisseurs dans lesquels nous avons déjà investi. Il a dit : « Si je ne dépense pas un centime de plus pour votre technologie, ce que vous avez couvert... Que je le fasse ou non, que puis-je couvrir ? » Alors j'ai su, d'accord, nous faisions ces choses, nous avons quelque chose, bien sûr, nous aurions besoin d'un peu d'aide là-dessus, et... Oh mec. Nous avons quelques lacunes. Avec cela, j'ai créé cinq projets fondamentaux. Nous avons examiné ce que je déteste. Les VPN m'ont été décrits comme un moyen malveillant et sécurisé de diffuser une charge utile malveillante. J'aimerais passer au VPN de manière à ne pas dépendre de mon réseau local. Dans quelle mesure est-il inefficace pour vous de vous connecter à l'un de mes centres de données, simplement pour revenir à l'endroit où nous mettons tout : le cloud et Internet, c'est là que vont toutes nos ressources. C'est tellement inefficace de faire ce boomerang, alors pourquoi ne puis-je pas vous envoyer plus directement ? Nous avons donc TIC 3.0, la connexion Internet sécurisée, qui offre plus de flexibilité. Il existe des solutions qui vous fournissent la télémétrie dont vous avez besoin en termes de sécurité, mais j'envoie mes collaborateurs plus directement. Également le mappage des données, le mappage des données, qu'est-ce que j'essaie de protéger en fin de compte avec Zero Trust ?

16:38 Gerald Caron : J'essaie de protéger les données. C'est l'or. Beaucoup de gens diront : « Parlez d'identité ». Et vous savez quoi, l'identité est extrêmement importante, car lorsque nous parlons de Zero Trust, il s'agit des bonnes données, des bonnes personnes au bon moment, mais les données doivent être intactes. Et si vous étiez analyste en cybersécurité et que je me trouvais compromis, je suppose que les deux premières questions que vous me poserez seraient les suivantes : « À quoi ai-je eu accès ? Et y a-t-il exfil ? » Il ne s'agit pas de moi ; vous posez vraiment des questions sur les données. Mais il est très important de savoir qui a accès à ces données. Mais les données sont ce que... Nous allons donc faire du mappage des données — et ce n'est pas de la cartographie du réseau, il s'agit de données, en prenant une application, à quoi est-elle connectée, où partage-t-elle les données, avec quoi partage-t-elle les données avec elle ? Ensuite, vous apprenez où se trouvent les données, où elles vivent et où elles circulent, car en fin de compte, je dois être capable de les établir pour savoir à quoi ressemble la normale. Et puis quand l'anormal se produit, je dois agir.

17:36 Gerald Caron : Nous allons donc faire de la cartographie des données ; nous allons également intégrer ces outils. Comme je l'ai déjà dit, afin que nous puissions obtenir un profil de risque opérationnel de l'ensemble de l'environnement et faire évoluer notre gestion des identités pour nous assurer même d'avoir une véritable identité faisant autorité... Parce que ce qui se passe là-bas, nous obtenons de nouvelles solutions cloud, nous avons des applications, nous avons des Active Directories. Que se passe-t-il, c'est combien d'identifiants numériques possédez-vous ? Même dans une petite agence, il y a tellement d'identifiants numériques parce que chacun d'entre eux possède une identité numérique. Nous avons donc dû les regrouper pour qu'ils ressemblent à une source d'identité faisant autorité, puis mettre en place une automatisation et une gouvernance là-dessus. Nous cherchons donc à faire évoluer cela également. Ce sont nos cinq projets fondamentaux qui, selon moi, constituent, pour nos besoins, d'excellents tremplins vers les prochaines zones de maturité.

18:32 Raghu Nandakumara : Ce Gerry est une description incroyable de la façon dont vous avez élaboré ce plan et des détails qu'il contient, de la stratégie globale, des étapes tactiques que vous utilisez pour exécuter cette stratégie. Je suppose que la seule question que j'ai à ce sujet est la suivante : comment mesurez-vous les progrès ? Comment savez-vous si vous êtes sur la bonne voie ou si vous devez suivre la bonne voie ? Comment intégrez-vous cette boucle de feedback dans l'exécution ?

19:00 Gerald Caron : Nous avons donc fixé des jalons que nous allons suivre avec des critères de réussite à certaines étapes. Et l'une des choses que j'aimerais faire aussi, c'est que je n'y vais pas. C'est pourquoi je conseille d'utiliser l'approche de la pâte à tartiner au beurre de cacahuète avant, et je pense que nous respectons la FISMA et que nous avons le NIST 800-53, les contrôles de sécurité, etc. Et ils sont très axés sur la conformité ou c'est ainsi qu'ils sont interprétés. Ce n'est pas nécessairement censé être ainsi, mais c'est ainsi qu'ils sont interprétés. J'aime utiliser l'exemple, qui est simplifié à l'extrême, mais c'est un exemple que j'utilise : « D'accord, le contrôle peut indiquer que vous devez fournir une authentification ». Je peux dire : « Très bien, nom d'utilisateur et mot de passe. J'ai fourni une authentification. Je suis conforme. »

19:42 Raghu Nandakumara : Oui. Oui.

19:43 Gerald Caron : Mais suis-je efficace ?

19:46 Raghu Nandakumara : Oui.

19:47 Gerald Caron : Non, je ne le suis pas.

19:50 Raghu Nandakumara : Je dis oui parce que la question que vous posez est juste.

19:52 Gerald Caron : Oui. Non Ouais. Non. Non. L'efficacité et la conformité sont deux choses différentes. C'est ce que j'ai toujours dit.

20h00 Raghu Nandakumara : Je suis d'accord...

20:00 Gerald Caron : Comment mesurez-vous l'efficacité ? Je serais capable d'entrer et de faire une sorte de test au stylo ou de tester progressivement le type d'équipe bleue ou l'équipe violette. Ce que j'ai mis en place est-il efficace ? Est-ce que c'est un accomplissement, est-ce que cela répond à ces principes, en quelque sorte. Je veux donc intégrer cela, trouver comment le faire en termes de ressources. Mais j'espère que les aspects du SOC-as-a-Service pourront nous aider à cet égard. Mais je veux être en mesure de mesurer cette efficacité périodiquement. Nous avons donc intégré ces jalons à certains jalons supplémentaires de notre parcours. Ensuite, je veux intégrer ce contrôle d'efficacité pour m'assurer que nous effectuons cet acte de test. Très bien, est-ce que cela répondait à ce principe ?

20:39 Gerald Caron : S'agit-il de bonnes données, du bon utilisateur au bon moment ? Êtes-vous capable de vous déplacer latéralement, en quelque sorte. Nous espérons donc intégrer ces éléments à cela également progressivement. N'attendez pas la fin et dites : « D'accord, revenons au début », car je ne veux pas procéder à une refonte. C'était donc également très important pour nos piliers. Parce que c'est une architecture. Certaines personnes diront donc : « D'accord, nous allons nous concentrer uniquement sur le pilier de l'identité et y parvenir ». « Très bien, nous allons maintenant passer au pilier suivant. » Moi, je m'inquiète quand j'entends cela parce qu'il s'agit d'une architecture, et j'explique toujours l'architecture d'entreprise. Je suis un grand fan de l'architecture d'entreprise. Certaines personnes s'en moquent parfois. Il y a quatre domaines principaux.

21:19 Gerald Caron : Il y a les affaires, c'est-à-dire les finances, et la mission sous-tend les choses de ce genre. Ensuite, il y a la technique qui est la mise en œuvre. Comment vous y prenez-vous ? Mais il y a la sécurité, comment la sécurisez-vous ? Et les données, je me concentre sur ces quatre éléments. Ce faisant, je veux m'assurer que, oui, nous faisons peut-être plus de travail sur un pilier que sur l'autre, mais nous savons quelles sont ces relations entre les piliers, nous n'allons pas revenir en arrière et réorganiser parce que quelque chose n'a pas fonctionné parce que je suis arrivé si loin sur cet autre pilier, en quelque sorte. Je suis donc également très prudente quant à la connaissance de ces relations dès le départ, de la manière dont elles doivent interagir et des capacités nécessaires entre elles.

22:00 Raghu Nandakumara : Oui. Je pense que c'est un point très important parce que nous voyons tant de choses dans les médias de sécurité, les publications des fournisseurs et le marketing des fournisseurs sur la façon dont le fait de se concentrer sur un contrôle en particulier est la chose la plus importante à faire lorsque vous adoptez Zero Trust. Hein ? Mais vous avez dit à juste titre que vous deviez vraiment examiner votre ensemble de commandes de manière holistique et faire en sorte que ces éléments évoluent en parallèle. Parce que le pouvoir est presque la combinaison de ces commandes, par opposition à une chose en particulier. Parce que sinon, vous faites juste une rotation excessive.

22:37 Gerald Caron : Oui. Et quand je parle de mon approche du Zero Trust, pour la simplifier encore une fois, je dis que ce que j'essaie de protéger, ce sont avant tout les données. Très bien, que dois-je faire avec les données ? Tout d'abord, j'ai besoin de connaître, comme je l'ai dit, la carte des données. Mais ensuite, je veux construire le microsegment. Je souhaite microsegmenter cela, même dans sa propre base de données. Toutes les données ne sont pas créées de la même manière simplement parce qu'elles se trouvent dans leur propre base de données. Alors, que puis-je faire avec les données ? Et puis beaucoup de gens diront : « Très bien, il faut faire des appareils ». Non, en réalité, qu'est-ce qui facilite l'accès aux données ? Candidatures. Alors, que faisons-nous en matière de candidatures ? Maintenant, les applications ont besoin de quoi vivre ? Ils ont besoin d'un appareil pour vivre. Ils doivent vivre quelque part. Très bien, et je ne vais pas gérer tous les appareils. Hein ?

23:20 Gerald Caron : J'ai des sites Web publics qui peuvent nécessiter une authentification. Je ne vais pas commencer à gérer tous les appareils. Il existe donc différents niveaux de risque pour différentes choses au sein de ces catégories. Et puis, les appareils ont besoin de quoi parler ? Ils ont besoin de réseaux. Que dois-je faire à proximité des réseaux ? Est-ce que je le gère ou non ? Qu'est-ce que je peux faire qui est en mon pouvoir ? Et puis, bien sûr, les utilisateurs. D'accord, que dois-je faire en matière de gestion des identités pour m'assurer que les bons utilisateurs ont accès aux bonnes données au bon moment ? Je travaille donc de fond en comble de cette façon quand j'en parle. Je commence donc par les données. C'est ce que j'essaie de faire au bout du compte, puis de revenir en arrière.

23:57 Raghu Nandakumara : C'est vraiment la bonne méthode et la bonne façon, qu'il s'agisse d'une sorte de John [Kindervag] qui exprime la façon dont vous favorisez la maturité Zero Trust, c'est en quelque sorte ainsi qu'il a envisagé la mise en œuvre d'une stratégie Zero Trust. C'est une vision tout à fait holistique. Parce que sinon, ce que nous voyons, je pense, c'est que c'est entaché par le marketing des fournisseurs qui dit : « C'est ce que vous devez faire. Vous devez commencer par ce pilier et obtenir la perfection... »

24:23 Gerald Caron : « Parce que je veux que tu achètes mon truc. »

24:25 Raghu Nandakumara : Exactement. C'est vrai. Exactement. Je veux donc y retourner. Vous parliez d'une sorte d'architecture d'entreprise. Et tu as parlé...

24:31 Gerald Caron : Mais je vais dire quelque chose avant que vous n'abordiez ce sujet. C'est ce que je vais dire. Mais nous ne pouvons pas le faire sans les fournisseurs.

24:37 Raghu Nandakumara : Oui, c'est vrai.

24:38 Gerald Caron : Ils ont les technologies, ils les développent. Mais ce que nous essayons de faire par le biais du groupe de travail, de l'ATARC parce que nous avons... Nous entrons dans la phase deux. Nous avons donné à chacun sa plateforme pour ses activités spécifiques. Mais lors de la deuxième phase, nous disons que nous voulons faire équipe, et nous voulons aborder tous les piliers de bout en bout. Vous faites équipe avec qui vous voulez. S'il vous manque ce pilier ou ces fonctionnalités, nous devons les examiner. Nous devons le voir fonctionner d'un bout à l'autre. Ne nous montrez pas de slides, ne nous envoyez pas d'arguments de vente, nous voulons... Voici maintenant vos cas d'utilisation, montrez-nous. C'est donc ce que nous essayons de faire pour le moment.

25:12 Raghu Nandakumara : Mais je pense que le simple fait de parler de ce genre de solution complète ? Carnegie Mellon a organisé la Journée de l'industrie Zero Trust au début du mois de septembre, au cours de laquelle, une fois de plus, de nombreuses universités ont intégré le gouvernement pour promouvoir cette approche intégrée du Zero Trust. C'était vraiment rafraîchissant à voir, et je suis enthousiasmé par les résultats. Je voudrais revenir sur ce que vous avez dit à propos de l'architecture d'entreprise. Et l'un des principaux aspects de cela est de s'aligner sur la mission, sur les objectifs commerciaux. Alors, dans votre rôle, comment avez-vous aligné Zero Trust ou le programme Zero Trust, la stratégie Zero Trust avec la raison d'être globale de l'OIG ?

25:53 Gerald Caron : Je suis content que vous ayez posé cette question, car j'en parle également. Je ne considère donc pas Zero Trust comme un simple effort de cybersécurité ou informatique. Il y a les activités de l'IG et parfois je rappelle même à mes ingénieurs que l'OIG n'a pas été créé pour faire de l'informatique. Ce n'est pas la mission principale. C'est le facilitateur. Cela dit, nous avons en fait fait fait une présentation sur Zero Trust à l'ensemble de la communauté des utilisateurs. Maintenant, il s'agit en quelque sorte de leur faire savoir que les choses vont changer. Voici quelques avantages que nous allons vous apporter. Nous allons vous envoyer plus de directives. Donc, de meilleures performances, une meilleure interopérabilité, une authentification unique. Certaines de ces choses que nous allons présenter rendent les utilisateurs tellement plus heureux. Mais aussi quel est l'objectif. La question que nous allons nous poser encore plus est la suivante : « Comment voulez-vous travailler ? »

26:43 Gerald Caron : « Avez-vous besoin d'être plus mobile ? Il te manque des choses ? Qu'est-ce qui fonctionne bien, qu'est-ce qui ne fonctionne pas ? Pourquoi ? » Parce que nous pouvons intégrer ces exigences parce que nous sommes en train de nous moderniser. Essentiellement, nous apportons de nouvelles technologies, nous apportons de nouvelles capacités, nous nous modernisons. Ainsi, en incluant leurs exigences, il y a beaucoup moins de friction lors de la mise en œuvre, car nous les avons écoutés et nous allons le faire. « De plus, qu'est-ce que j'en retire ? À quoi devez-vous accéder ? Quand avez-vous besoin d'y accéder ? » Maintenant, je suis en train de valider mon inventaire de sources de données. Je crée des personnages parce que je sais comment les gens veulent travailler ou comment ils travaillent, quels appareils ils utilisent le plus. Viennent-ils de mon domicile et des réseaux que je gère, ou viennent-ils du bureau ? J'apprends un tas de choses. Nous commençons maintenant à comprendre les éléments que nous pouvons également intégrer à notre Zero Trust, car c'est ainsi qu'ils veulent travailler, c'est la mission qu'ils doivent accomplir, ce sont les sources de données sur lesquelles ils s'appuient.

27:38 Gerald Caron : Quelles sont ces sources de données ? Ils ont des informations personnelles, n'en ont-ils pas ? Sont-ils accessibles au public ? Ne sont-ils pas accessibles au public ? Et comprendre vraiment que les gens des différents bureaux en parlent parfois ou posent des questions à ce sujet. « À quoi cela va-t-il ressembler dans un environnement Zero Trust », du genre. Et c'est bien, parce que maintenant nous les faisons penser : « Oui, ça va... Les choses vont changer, mais je vais avoir accès à mes informations. Je ferai preuve d'intégrité et ce à quoi j'accède à ces choses, je travaillerai de chez moi. » « Oh mec, je n'ai pas besoin de connecter ce VPN. Je vais directement à mon truc. » Moi, en tant que CIO, je suis toujours en train de suivre mes données de télémétrie de sécurité. Nous leur expliquons quels en sont les avantages. Et puis cette communication sur ce dont ils ont besoin, le moment où ils en ont besoin, la manière dont ils veulent travailler et l'intégrer, en faisant en sorte qu'il s'agisse d'un effort de modernisation plutôt que d'un effort de sécurité informatique complémentaire.

28:26 Raghu Nandakumara : Oui, 100 %. C'est ce genre de phrase proactive : « Voici en quoi cela va vous être bénéfique ». Et « Comment aimerais-tu travailler ? » ou « Que serais-tu capable de faire ? » Ces questions sont vraiment géniales, et c'est incroyable de pouvoir les poser. Mais c'est aussi le cas, le retour sur investissement des investissements dans la sécurité est l'un des principaux actifs incorporels. Et pour en revenir à dire : « Oui, nous pourrions faire un test d'intrusion avant et après, ou nous pourrions créer un modèle de menace avant et après et nous pouvons dire que, d'accord, maintenant nous avons remédié à cette menace et ainsi de suite. » Mais quand ils disent d'accord, « Je comprends, mais qu'est-ce que je reçois en retour ? » Comment démontrez-vous le retour sur investissement ?

29:00 Gerald Caron : D'ailleurs, mon patron vient de nous poser cette question l'autre jour. C'est comme : « D'accord, tu demandes cet argent, tu reçois cet argent. Faisons-nous des économies ou quoi que ce soit d'autre ? » Je déteste parler d'économies. C'est toujours une façon d'éviter les coûts, car je ne demanderai jamais une réduction de budget pour quelque chose. Je vais le dépenser ailleurs. Mais je parle d'évitement des coûts. Cela m'a fait réfléchir. Et c'était drôle parce que la semaine ou les deux semaines qui ont précédé, j'ai demandé à un membre de notre équipe de sécurité : « Quel est le coût d'un incident ? Combien coûte un incident ? » Donc, oui, j'investis dans la sécurité, et c'est un investissement et je vais peut-être fermer certaines choses, mais je vais quand même le dépenser pour les nouvelles choses que je suis en train de mettre en œuvre. Mais ce que nous avons en ce moment, et je dois ajouter quelques chiffres en dollars, c'est qu'il y a des événements de petite, de moyenne envergure et critiques.

29:50 Gerald Caron : Voici ce qu'il faut généralement en heures de travail à l'équipe des opérations, à l'équipe de sécurité, pour remédier à ces problèmes. L'impact et la perte de l'arrêt du travail et de tout le reste pour la mission et d'autres choses de ce genre. Nous créons donc ce graphique pour nous montrer si quelque chose se produit, et que quelque chose se produira à un moment ou à un autre, qu'il s'agisse d'un utilisateur non malveillant, ce qui peut être un petit incident ou que vous prétendiez m'appeler au service d'assistance et que je vous donne accès à mon PC et que vous commenciez à faire n'importe quoi, un ransomware ou quoi que ce soit d'autre. Voici le coût d'un incident. Maintenant, vous investissez... Je demande d'investir autant par rapport à cela, où vous n'obtenez rien. Nous ne soutenons pas la mission, simplement parce que nous sommes en train de nettoyer les dégâts qui se sont produits. Nous sommes en train de créer ce graphique en ce moment pour raconter cette histoire, car nous avons connu des incidents et une personne avec qui je travaille et qui travaille dans notre boutique CISO vient également de l'État.

30:49 Gerald Caron : Nous avons donc une bonne idée. Les ressources nécessaires, les conséquences, l'interruption du travail, les jours, les nuits, les personnes, le recours à des tiers, les spécialités, selon la technologie compromise, l'expertise qui en découle, et puis il y a le résidu. C'est l'événement, mais que faites-vous pour l'empêcher par la suite ? Il y a donc toujours une stratégie à long terme pour — j'espère que vous ne vous contenterez pas de tout mettre en place — j'espère que vous élaborerez une stratégie. Cela a maintenant un coût. Allons prendre de l'avance. Investissez dans ce projet dès maintenant, car cela vous coûtera probablement plus cher.

31:24 Raghu Nandakumara : Exactement.

31:25 Gerald Caron : Si tel événement se produit, voici le chiffre en dollars par rapport à celui-ci.

31:29 Raghu Nandakumara : Exactement.

31:30 Gerald Caron : Et disons que ce n'en est qu'un. Si nous ne le faisons pas, vous pourriez avoir plusieurs de ces types de choses. C'est donc ce que nous sommes en train de mettre en place en ce moment. C'est drôle que tu demandes.

31:39 Raghu Nandakumara : Oui. Je veux dire, si seulement il n'avait pas fallu un incident pour agir comme une fonction de forçage.

31:42 Gerald Caron : Oui. Et c'est malheureusement ce que j'ai vu à certains endroits. C'est comme si tu pouvais prévenir... C'est un petit garçon qui criait au loup, en quelque sorte. Le loup apparaît réellement et devinez quoi ? Oh, oui, nous devrions faire quelque chose à ce sujet.

31:54 Raghu Nandakumara : Oui. C'est tellement vrai. Je voudrais vous poser une question sur la proximité de l'OIG. Et nous le constatons, disons que le secteur de la santé est particulièrement ciblé ces derniers temps. Et trop souvent, comme les prestataires de soins de santé, ils sont contraints de cesser de fournir des soins aux patients et parfois de cesser de fournir des soins d'urgence, des soins critiques, parce que l'attaque a essentiellement supprimé l'accès à leurs systèmes informatiques critiques. Qu'est-ce qui va obliger les prestataires de soins de santé à se concentrer davantage sur la résilience, afin qu'il ne s'agisse pas d'une question de rinçage et de répétition ?

32:39 Gerald Caron : Oui. Et ce n'est qu'une opinion, je pense qu'il existe encore des systèmes existants qui prennent en charge certaines des entités dont vous parlez. Et je pense que ce que c'est, c'est qu'il doit être adopté par l'organisation. Il ne peut pas s'agir uniquement des informaticiens. Il faut que quelque chose soit compris et que ce soient les informaticiens qui ont soulevé cette question. J'ai lu de nombreux articles dans lesquels des entreprises privées, comme certains d'entre eux auxquels vous faites référence, contiennent des recommandations selon lesquelles le CIO devrait siéger au conseil d'administration ou au CISO, soit, pour qu'ils... parce que lorsque vous gérez les risques, ce n'est pas seulement une question informatique, c'est aussi une question de mission. Quels sont les aspects politiques du risque et des décisions que vous prenez ? Et puis cela indique également le risque informatique. Mais je pense qu'il faut bien comprendre que c'est pour cela que, pour en revenir au retour sur investissement, il s'agit d'un bon investissement. Cela permettra d'atténuer ce risque.

33:34 Gerald Caron : Raconter cette histoire et en faire une priorité organisationnelle. Et c'est le problème du décret publié l'année dernière, « Renforcer la cybersécurité informatique du pays ». Et Zero Trust en a joué un rôle important, ce qui a donné lieu au Mémo OMB 22-09. Il a été adopté au plus haut niveau. Maintenant, ils n'en font pas simplement une question informatique, ils en font la responsabilité de l'agence. Tu dois faire ces choses. Alors tout le monde monte à bord. Désormais, elle est priorisée au plus haut niveau. C'est peut-être un peu différent dans le secteur privé, quant à la façon de procéder.

34:11 Gerald Caron : En ce sens, le gouvernement fédéral fait preuve de transparence et montre que c'est une priorité pour le gouvernement fédéral, certains le voient également et disent : « Vous savez, le gouvernement fédéral a un peu d'avance sur nous à cet égard ». Mais certains acteurs du secteur financier sont en avance sur nous en termes de technologie et d'autres domaines de ce genre. Mais je pense que c'est vraiment une question qui doit être comprise, considérée comme n'étant pas une question informatique. Il s'agit d'une question culturelle pour une organisation, qui doit être communiquée.

34:41 Raghu Nandakumara : Et comme vous le dites, vous soulignez à nouveau ce qui n'est plus qu'un thème récurrent, à savoir que la sécurité doit être une priorité au niveau du conseil d'administration. Cela ne peut pas être uniquement du ressort de l'organisation de sécurité ou de l'organisation informatique. Et vous avez parlé du décret, du Mémo de l'OMB et des initiatives Zero Trust dont vous êtes très proche. Êtes-vous certain qu'ils vont apporter le changement de culture, le changement de posture et l'amélioration globale de la cyberrésilience qu'ils espèrent au moins réaliser ?

35:16 Gerald Caron : Oui, je pense... Je suis le genre de personne qui fait un pas en avant, c'est mieux que de ne pas faire un pas du tout. Je pense que dans différentes agences, bureaux, etc., nous faisons tous des choses différentes. Nous avons tous fait des investissements différents. Nous avons tous des niveaux de maturité différents. Mais je pense que tout le monde l'a compris. Je pense que les gens commencent à comprendre. Je pense qu'il y a encore de l'éducation, mais je pense que tout le monde, d'après ce que je vois, évolue dans la bonne direction en fonction de sa situation.

35:44 Gerald Caron : Maintenant, allons-nous tous arriver au même endroit au même moment, ou allons-nous tous avoir la même apparence au bout du compte ? Non, mais pour moi, cela revient à... revenir à ces cinq principes. Suis-je en train d'aborder ces cinq principes en fin de compte ? Peu importe comment je l'ai fait, puis-je respecter ces cinq principes et suis-je efficace en matière de cybersécurité ? Puis-je le prouver ? Oui. Oui ou non ? Maintenant, comme je l'ai dit, nous aurons tous une apparence différente au bout du compte. Tant que nous respectons ces cinq principes, je pense que c'est très important. Tout le monde va dans la bonne direction. Je pense juste qu'il y a des difficultés dans certains domaines et qu'il y en aura toujours, mais je pense qu'il y a une bonne avancée, et comme je l'ai dit, si vous faites un petit pas en avant, c'est mieux que de rester là à ne rien faire.

36:26 Raghu Nandakumara : Génial. Alors, en parlant de petits pas ou même de grands pas, qu'est-ce qui vous enthousiasme le plus dans l'avenir du Zero Trust et de son adoption, que ce soit au sein de la Fed ou dans le monde entier ?

36:42 Gerald Caron : Qu'est-ce qui m'excite ? Eh bien, ce qui me fait peur, c'est que nous avons eu une discussion avec un analyste l'autre jour sur l'informatique quantique. Et cela arrivera plus tôt qu'on ne le pense. Et il ne s'agira pas de mettre en œuvre des solutions que l'informatique quantique peut aider à mettre en œuvre, mais il s'agit également d'acteurs malveillants qui exploitent l'informatique quantique et envisagent la sécurité d'une manière différente de celle de la conformité en cochant les cases. Ne pas aborder les choses de manière holistique, ne plus être cloisonnée, regarder au-delà, comprendre ce que je possède réellement, ce qui est le plus important pour moi et la manière dont je protège, cela me semble très important. C'est ce qui m'enthousiasme, le fait que cela fasse tomber ces obstacles. Il s'agit d'une approche holistique. Il s'agit d'une approche axée sur l'efficacité, comme je l'ai dit, et sur le fait d'être plus efficace. Parce que des choses comme l'informatique quantique me font très peur.

37:41 Gerald Caron : Je crois que nous étions en train de discuter, il nous a dit que dans 10 ans, ça allait devenir assez courant d'une manière ou d'une autre. Et c'est vraiment effrayant. Maintenant, je crois qu'il y a eu un décret présidentiel qui a également été publié à ce sujet, selon lequel je pense que nous devons quitter le... Nous devons agir pour nous protéger contre cela. Nous devons donc passer à ces choses qui nous rendent plus efficaces sur le plan cybernétique.

38:05 Raghu Nandakumara : Génial. Je veux dire Gerry, nous venons de couvrir tellement de choses aujourd'hui, et surtout, je pense que nous avons un très bon aperçu de la façon dont vous avez réellement géré un programme Zero Trust, et si vous avez examiné tous ces détails et la manière très organisée dont vous l'abordez, je pense que c'est de la poussière d'or pour les praticiens qui sont sur le point de se lancer ou qui ont peut-être déjà commencé leur parcours Zero Trust. Merci donc vraiment pour le temps que vous m'avez accordé aujourd'hui. Nous vous remercions de prendre le temps, malgré votre emploi du temps chargé, de passer ce temps à discuter avec nous. Et oui, merci.

38:41 Gerald Caron : Oui, merci.

38:42 Raghu Nandakumara : Merci.

38:43 Gerald Caron : Merci de m'avoir invité, c'est un plaisir de vous rencontrer et j'apprécie vraiment le temps que vous m'avez accordé.

38:51 Raghu Nandakumara : Merci d'avoir écouté l'épisode de The Segment de cette semaine. Pour encore plus d'informations et des ressources Zero Trust, consultez notre site web à l'adresse illumio.com. Vous pouvez également communiquer avec nous sur LinkedIn et Twitter à Illumio. Et si vous avez aimé la conversation d'aujourd'hui, vous pouvez retrouver nos autres épisodes partout où vous pouvez accéder à vos podcasts. Je suis votre hôte Raghu Nandakumara, et nous reviendrons bientôt.