A logo with accompanying text "Listen on Spotify"A logo with accompanying text "Listen on Apple Podcasts"
Humaniser la cybersécurité : un état d'esprit axé sur la mission
Season Three
· Episode
3

Humaniser la cybersécurité : un état d'esprit axé sur la mission

Lorsque le traumatisme personnel rencontre un objectif professionnel, il peut remodeler toute une industrie. Il suffit de demander à la Dre Kelley Misata. La discussion aborde les dangers des suppositions numériques, l'importance de la narration dans les formations de sensibilisation et la manière dont les communautés open source peuvent être aussi essentielles à la résilience que les fournisseurs d'entreprises.

Transcription

Dre Kelley Misata 00:02

L'un des thèmes communs que j'adore tirer de ce travail, et qui me réchauffe vraiment le cœur, est que ces organisations accordent toujours la priorité à leur mission.

Raghu Nandakumara 00:16

Alors, bienvenue dans un autre épisode de The Segment. Je suis votre hôte, Raghu Nandakumara, et je continue sur le thème officieux de la troisième saison, qui consiste à vous proposer des invités qui proposent des points de vue essentiels mais probablement pas assez souvent entendus sur la cybersécurité. C'est avec grand plaisir que nous vous souhaitons la bienvenue sur le podcast aujourd'hui. Dre Kelley Misata, PhD. Elle est la fondatrice et PDG de Sightline Security, une organisation à but non lucratif qui aide d'autres organisations à but non lucratif à intégrer la cybersécurité à leurs opérations quotidiennes, et elle possède une richesse de connaissances et d'expérience. Alors, Kelley, bienvenue dans le segment. C'est merveilleux de vous avoir ici.

Dre Kelley Misata 01h01

C'est agréable d'être ici. Merci beaucoup de m'avoir invitée.

Raghu Nandakumara 01:06

Absolument ! Donc, en quelque sorte, sur ce thème général concernant le contexte. Je pense que les carrières particulièrement durables dans le domaine de la cybersécurité exigent que l'individu soit très motivé par sa mission. Comment décririez-vous votre mission et quelles sont les raisons qui vous motivent dans votre carrière dans le cyberespace ?

Dre Kelley Misata 01:24

J'adore vraiment cette question ! C'est la première fois que cela est demandé dans ce cadre. Cela m'amène à cette conversation que j'ai eue avec un de mes chers amis qui travaille dans le domaine de la sécurité depuis bien plus longtemps que moi. Et elle m'a dit, elle a dit : « Kelley, tu es tellement excitée tout le temps à propos de tout », et j'ai répondu : « Oui. » Par exemple, je pense sincèrement que nous avons l'opportunité de faire une différence dans le monde en aidant les organisations, les individus, les groupes de personnes à adopter la cybersécurité avec beaucoup plus de confiance et à éliminer toutes ces couches de mystère, de licornes volantes et de poussière de fées. Et je pense que c'est ce qui me motive au quotidien, c'est que je vois cette possibilité dans tous les aspects de mon travail. Et en général, je me lève le matin en me disant : « Waouh, quelle chose d'excitante va m'arriver aujourd'hui. » Que j'apprenne quelque chose de nouveau, que j'aide quelqu'un à penser différemment, que je participe à un groupe de travail qui, vous le savez, essaie de rendre le monde meilleur. C'est vraiment un voyage tous les matins.

Raghu Nandakumara 02:28

Incroyable Parce que, et j'ai entendu que vous l'avez mentionné dans d'autres interviews et podcasts que vous avez reçus, vous remettez en question la façon dont la sécurité est présentée ou représentée au sein des organisations en tant que telle et je pense que vous critiquez cette question, c'est qu'elle est souvent considérée comme une fonction cloisonnée, alors qu'en réalité, vous voulez qu'elle soit en quelque sorte imprégnée dans l'ensemble de l'organisation. Pouvez-vous nous en dire un peu plus à ce sujet et, dans votre situation idéale, comment la sécurité serait-elle organisée ?

Dre Kelley Misata 02:59

Oui, vous savez, nous interagissons avec cette technologie tous les jours et encore plus, non ? Quand on y repense, je me souviens de l'époque du courrier interbureau. Tu te souviens de l'époque où il y avait des enveloppes, non ? Et vous parleriez de PII. C'est comme si vous rayiez le nom de quelqu'un, c'est comme si, oh, c'était juste allé au président, puis aux ressources humaines, qui va se faire virer, non ? Mais, par exemple, je repense beaucoup à la façon dont nous avons adopté la technologie avec un tel abandon ; comment pouvons-nous rester en sécurité ? Et mon état de rêve, c'est celui où nous nous demandons toujours : est-ce que je devrais faire ça ? Quel est l'impact de mon comportement ? Quel est l'impact de mon utilisation d'un nouveau logiciel ? Quel sera mon impact sur mon organisation si je choisis de suivre cette direction dans le cadre d'un modèle de développement de produits ? Mon rêve est de prendre du recul et de dire : « Hein, peut-être devrions-nous y réfléchir à nouveau. » Donc, on fait presque une pause au lieu de se dire : « Oh mon dieu, nous devons aller parler à l'équipe de sécurité ». Et nous ne voulons vraiment pas parler à l'équipe de sécurité car elle va entraver le progrès de notre organisation, n'est-ce pas ? Ou ils vont nous effrayer encore plus. Pour moi, ce n'est qu'une simple mémoire musculaire pour les organisations et les individus, c'est l'état rêvé. Et je pense que nous y emménageons presque inconsciemment, mais cela prend du temps, et je pense que les professionnels de la sécurité sont impatients à ce sujet, et j'espère que j'apporterai peut-être un peu de patience à la conversation en disant : « C'est bon, nous avons fait des progrès. Continuons simplement. »

Raghu Nandakumara 04:44

J'adore la façon dont vous avez décrit les professionnels de la sécurité comme des personnes impatientes. En fait, nous avons besoin de plus de patience, mais nous y reviendrons dans un instant. Mais je voudrais revenir sur ce que vous avez dit à propos de la façon dont chaque individu est encouragé à aborder toute décision de la manière suivante : « Comment cela contribue-t-il à la sécurité de mes données, de mon organisation ? » Nous bénéficierons alors d'une culture de sécurité bien meilleure que celle que nous avons aujourd'hui, selon laquelle la sécurité est essentiellement le gardien ou l'obstacle au progrès. Alors, pensez-vous qu'il est possible de modifier la façon dont nous organisons la formation de sensibilisation à la sécurité afin d'intégrer davantage cette propriété personnelle ?

Dre Kelley Misata 05h30

Oh, absolument. Je pense que cela doit se situer au niveau culturel. Et c'est difficile, non ? Parce que l'une des choses les plus difficiles en matière de sécurité, ce sont les personnes. Nous sommes l'élément le plus compliqué et le plus compliqué. Ainsi, lorsque nous parlons de formation de sensibilisation à la sécurité, nous ne parlons pas de formation de sensibilisation aux systèmes, nous parlons des personnes. Donc, vous parlez automatiquement de la douleur au cou la plus compliquée à laquelle vous devez faire face en matière de sécurité. Donc, vous devez peut-être sortir de cette case spéciale en faisant une formation, et en faisant en sorte que tout soit bien fait, parlons simplement de la façon dont nous utilisons ces systèmes et ces appareils. Parlons des hypothèses et des impacts sur notre organisation. Je veux dire, un cas très intéressant auquel je pense, et vous savez, mon point de vue est un peu unique, je pense que même si je publie quelque chose sur mes réseaux sociaux personnels, je pense à l'impact de cela sur les personnes susceptibles de le recevoir, ou si je prends une photo, vous savez, je suis très, très protectrice des images des gens, parce que je ne sais pas ce qui se passe dans leur vit. Donc, je ne veux pas simplement dire : « Hé, me voici avec une bande d'étrangers derrière moi. » Il s'agit donc d'y réfléchir plus en profondeur, mais aussi de prendre en compte le fait que j'utilise cette technologie. J'ai des gens autour de moi. J'ai des systèmes autour de moi. Quel est le risque, pas seulement pour moi, mais pour tous les tentacules qui me sont connectés ? Et cela semble accablant, mais si cela fait simplement partie de la mémoire musculaire, car nous le faisons déjà dans certains cas. Je veux dire, tu te souviens probablement que j'ai saisi ton premier mot de passe. C'est ridicule ! Je ne veux même pas dire ce que c'était, mais tout le monde peut le deviner. Mais maintenant, même si vous deviez dire ça à ma mère de 82 ans, et elle adore ça, je dirais son âge sur le podcast, parce que je suis du genre : « Tu as 82 ans ». Mais même elle ne le fait plus. Et elle n'a suivi aucune formation de sensibilisation à la cybersécurité. Elle était simplement prise par la culture de sa vie et les systèmes qu'elle utilise pour la forcer à se comporter différemment. Pour moi, c'est le point idéal. Mais encore une fois, il faut de la patience. Il faut penser à l'avenir. Il faut de la patience. Il faut prendre du recul et dire : « Ah, je n'ai pas bien compris. Passons à cette façon de procéder. »

Raghu Nandakumara 08:04

Et je pense que l'exemple que vous avez donné de votre mère, et merci à elle, d'en être capable, et il s'agit de pouvoir relier l'action que vous entreprenez à une sorte de chose à laquelle vous pouvez vous identifier dans la vraie vie, n'est-ce pas ? Ce qui rend l'association, en redonne la raison d'être, comme la motivation qui rend la mission qui la sous-tend tellement plus puissante, et je suis d'accord, non ? Je pense qu'il y a probablement une opportunité significative de recadrer la façon dont nous dispensons la formation de sensibilisation à la sécurité avec cette approche. Il s'agit essentiellement de savoir comment le rendre aussi facilement identifiable que possible, par opposition à une sorte d'abstraction. Mais venons-en au commentaire du patient, car vous l'avez mentionné à nouveau ici. Donc, vous et moi, nous travaillons en collaboration avec des professionnels de la sécurité. Nous sommes dans l'industrie. Pourquoi sommes-nous impatients ?

Dre Kelley Misata 08:53

Oh, c'est parce que nous nous demandons constamment où sont les méchants. Où est la menace ? Où est la prochaine chose terrible qui va toucher quelqu'un ? J'y pense tout le temps et j'ai observé des gens au début de mon voyage dans l'espace de sécurité. Je regardais les gens s'épuiser à l'époque, et je n'arrêtais pas de me demander pourquoi. Et ce n'est que lorsque j'y suis restée un peu plus longtemps, en plus de mon propre parcours vers la sécurité, que j'ai réalisé que plus vous pensez à la mauvaise chose qui va se passer ensuite, plus vous vous sentirez épuisé mentalement et physiquement. Et je pense que c'est de là que vient l'impatience. Et je pense également que les responsables de la sécurité voient le monde sous un angle différent. Vous savez, nous sommes conditionnés et formés pour examiner ces appareils et ces systèmes sous un angle différent, et donc pour nous, c'est naturel. Comme je me souviens quand je travaillais au projet Tor, je regardais des développeurs interagir avec des journalistes dans des régions du monde où les choses étaient compromises, et ils commençaient vraiment à perdre la tête. Ils disent : « Pourquoi ne le comprennent-ils pas ? » Et je n'arrêtais pas de leur dire : « Ils ne peuvent pas le voir. » Oui, tout cela est un mystère, alors si nous pouvons les aider à le comprendre. Alors, j'ai créé une formation en utilisant : te souviens-tu de ces lumières noires, de ces stylos que tu avais quand tu étais enfant, et que tu offrais à ton meilleur ami, non ? Alors, j'en ai acheté un tas, et j'ai apporté ces enveloppes à cette formation, et des personnes dans l'auditoire se sont portées volontaires pour faire office de nœuds, et j'ai pris le message, et je l'ai écrit en noir, n'est-ce pas ? Parce que c'est un peu comme PGP. C'est comme si j'allais chiffrer ça, le mettre dans les trois enveloppes, le faire circuler, et ils découvriront littéralement, d'une manière physique, le fonctionnement de Tor. Et à la fin, c'était la première fois qu'un groupe de personnes que je voyais prenait du recul et disait : « Ah, maintenant je sais pourquoi Tor est lent. » Je réponds : « Oui, oui », parce que ça fait tous ces sauts. Mais c'est vraiment pour eux que, oh, maintenant je vois où sont les méchants. Je vois maintenant où se trouvent les systèmes. Maintenant, je vois comment cela fonctionne. Vous ne pouvez pas le faire avec tout ce qui est sécurisé, mais nous pouvons faire mieux. Nous pouvons arrêter de tout présenter comme magique.

Raghu Nandakumara 11 h 19

Oui, oui, absolument. Et je suis tellement contente que vous ayez parlé de l'exemple de Tor avec les enveloppes parce que je lisais la transcription d'une émission, je crois, sur IBM Security Intelligence. Vous avez fait un enregistrement avec eux il y a quelque temps, et je l'ai lu, et je me suis dit, pour une raison ou une autre, que je ne pouvais pas accéder à l'audio. Je ne suis pas vraiment sûre de la façon dont elle exprime cet exemple d'enveloppe. Mais maintenant, je comprends tout à fait. Alors, merci. Merci pour cela. Oui Et je pense que oui, on recommence, non ? Encore une fois, cela est en quelque sorte lié à l'article précédent dont nous parlons concernant la sensibilisation, à savoir comment, en tant que professionnels de la sécurité, je pense que nous devons rendre les choses moins magiques, n'est-ce pas ? C'est comme être vraiment capable de replacer les choses dans leur contexte et on parle beaucoup aujourd'hui des principes de sécurité dans le contexte des résultats commerciaux, et je pense qu'il y a beaucoup à faire à cet égard. Mais je pense également que cela démystifie définitivement le cyberespace en général, parce qu'il y a tellement de choses autour de vous, c'est comme si vous aviez tant d'ingénieurs brillants, de personnes brillantes qui travaillent dans les domaines de l'informatique et de la gestion des risques, etc., mais je ne comprends pas le cyberespace. Donc, il y a là une énorme opportunité. Je suis d'accord, je relie cela à une partie du travail que vous faites aujourd'hui, n'est-ce pas ? Et j'aimerais que vous le fassiez rapidement, car je suis sûr que le public ne connaît probablement pas très bien ce que fait Sightline et quel est votre rôle là-bas. Donc, avant de nous plonger dans ce domaine fascinant, donnez-nous un bref aperçu de la Sightline.

Dre Kelley Misata 12 h 51

Oui, donc Sightline Security est une organisation à but non lucratif basée ici aux États-Unis que j'ai créée à partir de ma thèse de doctorat. Je dois rendre hommage à Becky Base, qui était l'une de mes mentores à l'époque. Il a été créé parce que j'ai commencé un programme de doctorat après avoir été harcelée pendant de nombreuses années. J'ai décidé d'obtenir un doctorat afin de comprendre comment mon agresseur pouvait faire ce qu'il faisait et quand je suis arrivée à la thèse, qui, d'ailleurs, je pensais qu'ils m'expulsaient chaque semestre. Je me suis dit : « Oh, c'était marrant. J'attendrai de voir quand ils diront : « Merci beaucoup, à plus tard ». Alors, je suis arrivée à la thèse, je me suis dit : « Que dois-je faire ? » Genre, c'était tellement intimidant. Et je suis revenue dans cet espace où, oh, je faisais du TQM à l'époque. J'ai été évaluatrice du Baldridge Award pendant un petit moment, donc je savais comment faire des évaluations. J'ai donc fait ma thèse sur une analyse des lacunes en matière de préparation à la cybersécurité des organisations travaillant avec les victimes de violence. Je voulais tout l'espace à but non lucratif et mon comité de doctorat m'a dit : « Oui, obtiens d'abord le doctorat, puis sauve le monde ». Mais en résumé, cette expérience m'a permis de constater que les organisations à but non lucratif recevaient toutes ces informations gratuites provenant de différents endroits, mais que personne ne les aidait à prendre du recul et à se demander : « De quoi ai-je besoin, pourquoi en ai-je besoin, et quelle est la valeur pour mon entreprise ? » C'est ainsi que Sightline est née. Parce que c'est incroyable, j'étais assise à préparer ma défense, ma thèse. Becky est entrée dans la pièce, m'a surprise, s'est rendue en voiture de Mobile, en Alabama, à West Lafayette pour me faire une surprise, et à la fin de ma défense, elle a dit : « Vous devez faire quelque chose avec cette façon de penser que vous avez construite autour de cette recherche », et c'est devenu Sightline. Notre objectif est donc vraiment d'aider les organisations à but non lucratif à déterminer où elles se trouvent. Pour nous, il s'agit de prendre les contrôles qui existent dans le domaine de la sécurité, les contrôles CSF et CIS, et de les réutiliser dans un langage à but non lucratif. Mais la seule façon d'y parvenir est de passer beaucoup de temps à écouter ces organisations. Il s'agit donc vraiment de se situer entre l'espace de sécurité et l'espace à but non lucratif, afin que nous puissions aider ces organisations à déterminer où elles en sont.

Raghu Nandakumara 15 h 24

Fascinant. Et vous avez parlé, en quelque sorte, du contexte, de la façon dont l'expérience personnelle qui vous a essentiellement motivée à explorer ce domaine dans le cadre de votre doctorat, voudriez-vous en parler un peu ? Si cela ne vous dérange pas de partager.

Dre Kelley Misata 15 h 41

Oui, tu sais, je pense que pour moi, cela cadre encore aujourd'hui, où je vois la sécurité et en quelque sorte la façon dont je vois cet espace dans son ensemble. Vous savez, j'ai commencé ma carrière comme la plupart des gens, en prenant juste le premier emploi, mais je suis passé à la phase de développement commercial. J'ai un MBA en marketing, ce qui est également très étrange, car j'ai un doctorat en cybersécurité et un MBA en marketing.

Raghu Nandakumara 16:07

C'est la bonne solution. C'est la bonne solution.

Dre Kelley Misata 16 h 11

Exactement, mais je travaillais pour une grande entreprise, et l'un de mes collègues de travail s'est présenté à moi d'une manière qui n'était ni amicale ni gentille, et cela a duré près de sept ans. Et je suis vraiment arrivée à la sécurité, parce que je n'arrêtais pas de demander de l'aide, parce que je n'arrêtais pas de me demander comment cette personne à 5 000 miles de distance pouvait non seulement perturber ma vie, mais qu'elle continuait à tendre la main à des personnes liées à moi. Je commençais donc à avoir des piqûres d'abeilles, parce que je reçois tous ces e-mails de personnes dans ma vie. Vous savez, beaucoup de relations ont été complètement anéanties par cette situation et beaucoup de peurs. J'éprouvais donc un niveau de peur accru, tout comme les membres de ma famille et d'autres personnes. Et je me rappelle avoir participé au projet Tor parce qu'il utilisait Tor, et je me rappelle avoir appelé Andrew Lumen pour lui dire : « Vous devez m'aider » parce que le FBI et d'autres agences chargées de l'application de la loi ont dit : « Nous ne pouvons pas vous aider, il utilise Tor ». Et je ne savais pas comment une technologie pouvait protéger les méchants et laisser le fardeau de la preuve aux gentils, n'est-ce pas ? Alors, à tous ces moments, je me suis demandé : « Comment se fait-il que cela gagne ? Et c'est un peu lui qui a gagné, mais c'est plutôt la technologie qui l'a fait gagner. Et je n'arrêtais pas de me dire que la sécurité ne pouvait pas fonctionner comme ça. C'est tout simplement impossible. J'ai donc eu la chance de rencontrer le Dr Eugene Baffert et, vous savez, une sorte d'hommage pour m'avoir sauvé la vie. Et il m'a dit : « Hé, pourquoi ne pas postuler à ce programme de doctorat à Purdue ? » Je lui dis : « Oui, c'est vrai. Vous voulez qu'une mère célibataire vivant à Boston dans la quarantaine et titulaire d'un MBA en marketing rejoigne un programme de doctorat en cybersécurité. Tu dois avoir perdu la tête. » Alors oui, je l'ai fait. J'ai écrit l'application sur Amelia Earhart. Je me suis lancé là-dedans en pensant que je voulais juste obtenir le plus d'informations possible, pour être en mesure de comprendre comment il pouvait faire ce qu'il faisait et comment les autres, vous savez, ne pouvaient pas m'aider en cours de route. C'est donc tout à fait la façon dont j'aborde la sécurité, à cause de cet esprit de débutant dans lequel j'ai vécu toutes ces années. Je veux dire, je me rappelle avoir appelé un de mes amis à l'époque, Marcus Raynham. Et j'ai appelé Marcus, nous avions été présentés par d'autres amis communs, et je lui ai dit : « Aidez-moi à comprendre comment fonctionne le pare-feu. Vous aimez littéralement l'un des pionniers de cette technologie. » Et il a répondu : « Je n'ai pas le temps pour ça. » À la manière typique de Marcus, non ? C'était sa personnalité, un gars au grand cœur, mais c'était sa personnalité, et cela a fait partie de mon entrée dans l'espace de sécurité de, ouah, il y a toutes ces personnes intelligentes dont je ne veux pas parler à contrecœur, mais qui n'ont pas eu la patience d'intervenir et de dire, laissez-moi vous le détailler afin que vous puissiez comprendre en quoi cela est lié à ce que vous vivez. C'est donc ce que j'emporte partout avec moi.

Raghu Nandakumara 19 h 32

Merci beaucoup de l'avoir partagé, et je pense qu'en le reliant à ce dont je parlais dès le début, il est très facile de comprendre votre mission et comment cette expérience est maintenant liée à ce que vous avez fait et à ce que vous faites aujourd'hui. Alors, merci beaucoup pour ce partage. Parlons donc de Sightline et parlons des organisations à but non lucratif. Et pendant que vous abordez ce sujet, en quelque sorte juste l'introduction de Sightline, vous avez parlé d'aider les organisations à but non lucratif à comprendre ce qu'elles doivent faire en matière de cybersécurité. Et vous avez parlé d'une sorte de mappage avec des éléments tels que le CSF, etc. et d'autres cadres, et de traduire cela en exigences qui les représentent. Alors, aidez-nous à mieux comprendre cela. Parce que si je regarde le CSF, je vois des exigences pertinentes pour tout le monde. Je ne vois pas de différence entre le secteur privé et le secteur public et le secteur à but non lucratif quand je le lis correctement ? Mais il y a clairement une différence. Donc, j'adorerais comprendre cela.

Dre Kelley Misata 20 h 31

Oui, ça a été une aventure tellement intéressante, et elle se poursuit, ce qui est vraiment amusant alors que nous poursuivons notre travail chez Sightline, c'est qu'il n'y a jamais ce moment où je me dis : « Oh, c'est ça », et nous l'avons compris. Donc, un exemple très intéressant est que le verbiage du NIST CSF est aussi logique qu'il n'y paraît pour la plupart des gens. Si vous prenez cela et que vous l'intégrez à une organisation axée sur une mission, elle s'y intéressera immédiatement avec l'état d'esprit suivant : « Oh, c'est de la cybersécurité. C'est compliqué », il faut donc faire tomber toute cette barrière. L'autre point, c'est la langue. La première fois que j'ai demandé à une organisation à but non lucratif de dresser un inventaire de votre matériel et de vos logiciels, elle est revenue et m'a demandé : « Qu'entendez-vous par inventaire ». À tout le monde, vous avez répondu : « Eh bien, avez-vous une liste ? » Oui, je sais. Tu as une liste ? Mais encore une fois, c'est à ce moment-là que c'est comme si, d'accord, ils pensaient que c'était quelque chose comme un système ou une application dont ils avaient besoin pour pouvoir saisir des objets. Et puis, dès que j'ai commencé à parler d'actifs, il y avait tout un tas de poissons, au coin de la rue. Cela n'est même pas entré dans les entrailles de ces familles de contrôles qui parlent de détection, de réponse, vous savez, de pare-feux, de détection d'intrusion, comme tous les journaux. Une organisation à but non lucratif ne va pas comprendre ce qu'est un journal, d'accord ? Il s'agissait donc de sortir de l'espace de sécurité et d'entrer dans leur monde pour leur demander : « Que puis-je faire pour les aider à voir en quoi la sécurité est liée à leur mission ? » Et la première chose que j'ai commencé à faire lorsque j'ai créé une Sightline a été de passer ces appels d'intégration avec nos membres, et je leur ai dit : « La cybersécurité est un terme marketing. N'en parlons pas. » Et ils disent : « D'accord, l'ensemble de votre site Web parle de cybersécurité », ai-je dit, « mais laissez-moi vous aider à le décomposer ». La sécurité de l'information consiste à sécuriser des informations, comme un numéro de téléphone, une photo, un nom, etc., n'est-ce pas ? Tu peux mettre la main dessus. Et ils disent : « Oui, la cybersécurité d'un espace, nous ne pouvons pas le contrôler, c'est le domaine ». Mais si vous vous concentrez sur ce qu'ils sont alors intervenus, ils disent : « Oh, eh bien, nous avons, vous savez, une base de données de donateurs ici ». Oui, nous devrions probablement penser à, tu sais, sécuriser ça. C'est à ce moment que ces organisations interviennent et disent : Ah, d'accord, la deuxième équipe a consisté à supprimer toutes les choses effrayantes parce qu'elles ont déjà peur. Ils lisent les nouvelles avancées technologiques telles que l'IA et l'apprentissage automatique, et ils se disent : « Oh mon Dieu, les robots vont-ils conquérir le monde ? » Au moment où j'ai pu prendre du recul et me dire : « Saviez-vous que si vous faites des choses simples et que vous pouvez raconter des histoires à ce sujet, vos donateurs remarqueront peut-être que vous vous souciez des informations qu'ils partagent avec vous pour vous aider dans votre mission. » Ne serait-ce pas une belle histoire à leur raconter, et ils se disent tout de suite : « Ah oui, racontons quelques histoires à ce sujet ». Ensuite, il s'agit d'un cadre de réflexion différent sur la manière de présenter l'entreprise. Et tout cela combiné consistait vraiment à nous lancer et à dire : « Je ne connais pas votre métier ». Je connais peut-être la cybersécurité et je connais les familles de contrôle de fond en comble. Je ne connais pas ton métier. Donc, chez Sightline, mon rêve n'est pas de proposer uniquement la cybersécurité aux organisations à but non lucratif. Je veux comprendre la sécurité par mission. Je veux comprendre quelle est la différence entre une organisation de trafic d'êtres humains et une banque alimentaire, oui, entre la Croix-Rouge et mon refuge pour animaux de compagnie local, ici dans ma ville, comme s'il y avait toutes ces couches. Donc, chez Sightline, ma mission est d'arrêter de dire, hé, deux points, quels que soient les millions d'organisations à but non lucratif rien qu'aux États-Unis, vous êtes tous pareils. Nous allons donc vous apporter la même aide, en partant du principe que vous rencontrez les mêmes problèmes. Je voudrais détailler tout cela et dire que nous pourrions faire mieux.

Raghu Nandakumara 24:53

J'adore ça parce que je pense que la narration est si importante maintenant. Comment réellement progresser dans le domaine de la cybersécurité. Et je pense que cela s'applique aux organisations de toute taille et de toute complexité. Pour obtenir l'adhésion, il est essentiel de pouvoir raconter des histoires efficaces expliquant pourquoi la cybersécurité est importante pour presque chaque secteur d'une organisation. Et je pense que cela vaut d'autant plus pour revenir à ce que vous avez dit au début, à savoir qu'il existe potentiellement une très grande distance entre les personnes qui s'acquittent de la mission de l'organisation et leur fonction informatique ou de cybersécurité. Donc, je pense que c'est très important. Je pense que c'est en quelque sorte la raison pour laquelle cela vous place au meilleur endroit, un MBA en marketing, un doctorat en cybersécurité, n'est-ce pas ? En quelque sorte, nous nous réunissons vraiment dans cette tempête parfaite. Mais oui, j'ai en quelque sorte complètement écrit. Je pense qu'il y a autre chose que vous avez dit par le passé à propos du secteur à but non lucratif, mais une idée fausse courante est que nous considérons le secteur à but non lucratif, ce qui signifie : « Oh, c'est vrai, ils ne dépendent que du haut de la main », n'est-ce pas ? Et ils n'ont pas de ressources, ils n'ont pas d'expertise, ils n'ont pas d'argent. Mais ce que vous avez dit, c'est que, non, le problème est souvent que, surtout si vous regardez certaines des plus grandes organisations à but non lucratif, elles disposent en fait de ressources suffisantes, elles sont assez bien financées et elles ont accès à tout. Mais ils ne savent pas nécessairement comment tout assembler, et c'est là qu'ils ont besoin d'aide.

Dre Kelley Misata 26:33

Correct. Et il y a ce contexte : pourquoi est-ce important ? Vous savez, si vous demandez à quelqu'un, j'ai hâte de voir le RSA, parce que je vais le faire. J'ai l'habitude de me promener dans l'exposition en dehors des conférences, et je retrouve des amis ou des collègues. Je vais lui dire : « Alors, que pensez-vous de l'espace à but non lucratif en ce moment ? » Et je comprends les choses habituelles : ils sont pauvres, ils ne connaissent pas la cybersécurité, vous savez, la liste des choses à faire. Je suis du genre : « Ouais, non, ouais ». Je dois vous dire qu'ils ont de l'argent ! Ils doivent expliquer comment ils utilisent cet argent différemment, parce que si vous regardez la structure de l'entreprise, c'est vrai, elle est différente de celle de l'entreprise. Encore une fois, en tant que professionnels de la sécurité, cela nous amène à nous demander « oh, je dois juste trouver comment les amener à respecter les contrôles au sein du CSF » et à « Bon sang, je me demande comment ils prennent leurs décisions en matière d'argent ». Une fois que vous aurez compris cela, vous pourrez aborder différemment la question de l'investissement dans la sécurité. Donc, il s'agit de ne pas entrer et de dire : « Oh oui, vous savez, vous êtes tous un peu arrosés ici, et vous êtes tous pareils » parce que ce n'est pas le cas. Et honnêtement, l'un des thèmes communs que j'aime beaucoup, que j'ai appris grâce à ce travail, qui me fait vraiment chaud au cœur, c'est que ces organisations mettront toujours la mission au premier plan. Qu'il s'agisse d'un refuge pour victimes de violence conjugale à qui j'ai parlé, je me souviens qu'au début de mes recherches pour mon doctorat, une amie chère à moi était assise sur ma terrasse et je lui ai dit : « Hé, j'ai dit, je vais faire ce truc, et qu'en pensez-vous ? Et j'ai un sondage, et c'est génial. » Et elle dit : « Kelley, mon site web est consulté 100 000 fois par jour dans le monde entier. Je ne peux pas y penser parce que j'ai une famille qui a besoin d'un endroit où dormir ce soir. » Elle dit que c'est tout ce qui compte pour moi. Donc, encore une fois, pour en revenir à la manière dont les professionnels de la sécurité veulent réellement aider, ils veulent apporter cette urgence aux organisations. Plus nous pouvons simplement prendre du recul et dire : « Oh, je n'y pensais pas de cette façon. Que puis-je faire pour vous aider ? » Juste comme, tu sais, mettre mon doigt dans le barrage pour m'assurer que tu n'aimes pas ce genre de truc qui s'effondre ?

Raghu Nandakumara 29 minutes 02

Je pense que c'est une image tellement puissante à avoir dans l'esprit. Parce que, encore une fois, en quelque sorte, le thème de notre conversation d'aujourd'hui semble porter sur cette mission, n'est-ce pas ? Et il s'agit de l'aligner sur la mission, et d'établir probablement un parallèle grossier entre, disons, le secteur à but lucratif et le secteur privé, où, comme je le dis souvent, tout le monde se soucie de la sécurité jusqu'à ce que vous provoquiez une panne de la principale application génératrice de revenus. À ce stade, personne ne se soucie de la sécurité. Et tout dépend de quand est-ce que ce truc sera de nouveau en ligne ? Parce que chaque seconde que je passe hors ligne, je perds X mille dollars ou quoi que ce soit d'autre. Et dans le secteur à but non lucratif, l'impact est souvent humain, n'est-ce pas ? Et comme vous venez de le décrire, et nous devons être attentifs à la question, comment pouvons-nous, comment pouvons-nous mieux garantir cela sans compromettre la mission ?

Dre Kelley Misata 29:57

Absolument, je veux dire, j'ai vu des exemples de membres de notre communauté qui ont été touchés par une attaque de rançongiciel. Je ne nommerai pas l'attaque. C'était assez célèbre. Cela les a empêchés de fournir des déjeuners aux enfants pendant des semaines, et pas seulement quelques jours. Mais vous parlez de familles et d'enfants qui comptent sur ce soutien pour passer leurs semaines. Et ce n'est pas le cas, il ne s'agit pas toujours de ces histoires, je ne veux pas raconter de tristes histoires, mais le truc avec les organisations à but non lucratif, c'est qu'elles sont là quand tout va mal. Qu'il s'agisse d'incendies à Los Angeles ou d'une collecte de sang parce que quelqu'un de la région a besoin d'une transfusion, ou parce que quelqu'un traverse une période vraiment difficile, il appelle une hotline suicide. Ces organisations à but non lucratif sont là quand nous en avons besoin. Et pourtant, nous les mettons en quelque sorte de côté en leur disant : « Eh bien, ce n'est pas l'argent, ce n'est pas notre marché préféré », ou ils n'ont pas d'argent, ou ils ne l'obtiendront pas, ou cela va me prendre beaucoup de temps car c'est difficile pour de nombreux professionnels de la sécurité, je pense, d'intervenir. Et je pense qu'il y a une rotation excessive, et je l'ai vu aussi, et ça me rend un peu folle sur quelque chose. Ils disent : « Hé, j'ai la cybersécurité dans le sang. Je vais faire du bénévolat et, par exemple, les aider. » Et ma réaction immédiate, alors il m'a dit : « S'il te plaît, ne pars pas, s'il te plaît, s'il te plaît, ne pars pas », comme si j'allais siéger au conseil d'administration. Je vais, genre, t'aider à tout faire. Je veux juste qu'ils prennent du recul et disent : « Waouh, alors, comment fonctionnez-vous ? » Genre, c'est quoi ça ? Par exemple, allez-y avec beaucoup d'humilité, et vous pourrez faire beaucoup plus de progrès, car je pense que ces organisations considèrent également notre domaine comme un espace de super-héros. Et si l'un d'eux frappe à la porte, bien sûr, il dira : « Entrez. Réparez-nous. Parce que nous avons peur. Nous sommes occupés, nous avons peur. Vous êtes des super héros, alors vous allez venir nous soigner. » C'est une combinaison extrêmement dangereuse.

Raghu Nandakumara 32:10

Absolument et encore une fois, j'essaie juste d'établir quelques parallèles avec ce que j'ai vu, je pense que souvent, qu'il s'agisse d'un professionnel de la sécurité ou en tant que fournisseur, nous sommes très, très rapides à intervenir en disant « voici toutes les choses incroyables que nous faisons » ou « voici tout ce que nous faisons, voici mon ensemble de super compétences », n'est-ce pas ? Et nous ne pensons jamais d'abord, nous ne pensons jamais, en fait, que la première question que je devrais poser est : « Que faites-vous ? Qu'est-ce qui t'intéresse ? Dites-moi : « Quels sont tes problèmes ? » Et presque recadrer la conversation de cette façon permettrait d'obtenir un engagement encore plus puissant, n'est-ce pas ce que vous constatez ?

Dre Kelley Misata 32:45

Exactement, quand je travaille pour ces organisations, et en fait, dans la plupart des domaines liés à la sécurité, j'ai toujours l'impression d'être cette doctorante au premier semestre, vous savez, à Purdue, et que je me demande bien, qu'est-ce que la cryptographie ? Comme ? Que sont les courbes elliptiques ? Au fait, ils m'ont fait pleurer. Et je me souviens que j'ai prononcé une clé, un discours d'ouverture, et Martin Hellman de la bourse Diffie-Hellman était conférencier le matin. Nous nous sommes rencontrés dans la chambre verte, et je suis allée le voir. J'ai dit : « Bonjour, je suis Kelley Misata. » Et il connaît le personnel, et j'ai juste fait un peu ça sur son bras. Il dit : « À quoi ça sert ? » Je lui dis : « Tes trucs me font pleurer ». Je vais juste te le dire, mais c'est vraiment comme si nous faisions les choses si compliquées. Ainsi, lorsque vous pouvez aborder quelque chose, qu'il s'agisse de votre domaine d'expertise ou non, si vous l'abordez avec l'esprit d'un débutant, et que vous n'êtes pas obligée de le faire, je déteste le genre de terme qui résume les choses. Il ne s'agit pas de dénigrer les choses. C'est être curieux. Oui, ça veut dire, hé, je n'ai jamais fait ça auparavant. Je n'ai aucune idée de ce qu'il faut pour gérer un refuge pour animaux. Même pas un tout petit peu. Dites-moi comment vous vous y prenez. C'est énorme. Et puis, si vous avez ces conversations en utilisant leurs mots, en connaissant leur métier, c'est extrêmement puissant. J'ai une histoire, tu veux l'entendre ? Oui, s'il te plaît. OK, c'est donc une de ces histoires d'humilité. Je travaillais avec l'un de nos membres. Ils viennent de terminer leur programme de démarrage, qui est notre façon de les aider à démarrer leur parcours en matière de sécurité. Et je fais beaucoup de recherches externes. Je consulte tous leurs sites Web et leurs réseaux sociaux. Cette organisation vient donc en aide aux survivants du suicide. Et ils ont un forum, et le forum est très populaire, et je me rappelle avoir dit sans arrêt, oh, comme si le responsable de la sécurité en moi était en train de crier, de dire, oh mon dieu, oh mon dieu. Par exemple, je me souviens d'aller et venir, oh bon sang Louise, qu'est-ce qu'on va aimer ? Je me souviens vraiment d'avoir emprunté cette voie. Et en disant « OK, mince, il va falloir que je parle à ces gens », non ? Et j'ai résisté à l'envie de les appeler immédiatement, j'ai attendu la présentation de leurs résultats. Je suis assise là, je me dis : « Oh », j'arrive à la présentation concernant cette plateforme en particulier, et j'ai dit que j'avais quelques inquiétudes, comme je l'ai dit, juste comme ça. Et la femme qui a fondé l'organisation m'a arrêté et m'a dit : « Kelley, je pense que je sais ce que tu vas dire, mais laisse-moi te parler. Permettez-moi de vous expliquer pourquoi notre plateforme est ouverte. » Elle a déclaré : « Les personnes qui ont vu quelqu'un se suicider sont dans une situation pleine de questions, de chagrin, de stress, d'incertitude et de problèmes de confiance, et tout cela se passe. » Elle a déclaré : « Ces personnes ont besoin d'un espace où elles peuvent simplement s'asseoir et regarder et avoir une idée de ce qui se passe, des conversations et de tout ça. Et elle est du genre, et parfois ils traînent là pendant un moment, et quand ils sont à l'aise, ils entrent. Mais pas avant qu'ils ne soient à l'aise. » Et elle a dit : « C'est ce dont notre communauté a besoin. » C'était comme si j'aurais dû le savoir, comme j'aurais dû y penser, mais comme je ne vis pas dans ce monde jour après jour, comment pourrais-je comprendre comment les personnes qu'ils servent naviguent en quelque sorte dans cet espace pour demander de l'aide ? Alors j'ai dit : « Oh mon dieu, réfléchissons à des moyens créatifs qui nous permettraient peut-être d'en faire un peu plus sans changer l'essence et la nécessité pour cette plateforme de fonctionner de cette façon. » Alors, elle a compris cela, elle a dit : « Oui, si vous avez des suggestions, nous les comprenons, mais nous donnons la priorité à la mission. » Mais c'était une grande leçon d'humilité. Et je l'aime pour ça. J'adore le fait qu'elle se sente à l'aise de me dire ça.

Raghu Nandakumara 36:57

Oui, absolument. Je pense qu'il y a tellement de choses à retenir de ce que vous venez de décrire. Parce que, encore une fois, ça vient, c'est, comme tu l'as dit, non ? C'est une leçon d'humilité lorsque vous passez ce temps à comprendre pourquoi quelqu'un ou une organisation fonctionne d'une manière particulière, vous replacez en quelque sorte un contexte que vous n'aviez pas. Alors que c'est le cas autrement, c'est que votre expertise essaie de montrer la voie, du genre : « Oh, je sais comment résoudre ce problème, non ? Par contre, il y a probablement une bonne raison pour laquelle tu as fait ça, alors parle-m'en. Avant de passer à l'étape suivante, je pense que c'est la dernière chose à propos non seulement des organisations que vous soutenez, mais aussi des personnes qu'elles servent. Vous avez décrit divers scénarios, comme le fait que ce sont les organisations qui traversent une crise. Ils constituent le premier port d'escale. Mais je pense également qu'une partie de votre travail n'est probablement pas ignorée si souvent. Ces victimes sont également celles que les agresseurs essaient de cibler à ce moment-là, car ils savent qu'elles sont les plus vulnérables. Vous devez donc être vous-même, et les organisations avec lesquelles vous travaillez sont probablement en train de jongler avec tous ces défis.

Dre Kelley Misata 38:11

Oui, et c'est intéressant, c'est là que la compréhension de la mission de l'organisation entre vraiment en jeu, car cela vous aide à y revenir, sans leur dire quoi faire, mais en écoutant les différentes choses. Ainsi, lorsque je travaillais sur ma thèse, je travaillais avec des organisations qui venaient en aide aux victimes de la traite des êtres humains. Il s'agit d'un état d'esprit en matière de sécurité très différent, car non seulement ces victimes sont des cibles, mais l'organisation qui les soutient est également une cible. Et l'un d'eux faisait ça, comme un hackathon. Je ne vais pas vous donner les détails, parce que cela m'a fait peur, mais ils organisaient un hackathon, puis je leur ai dit : « Alors, que faites-vous pour renforcer vos systèmes ? » Et ils disent : « Quoi ? » Comme les grands yeux qui disent : « Eh bien, tu fais la promotion de ce hackathon ». Et ils disent : « Oui, partout sur Facebook, Twitter et tout le reste ». Je lui dis : « Oh, les méchants lisent ce genre de choses aussi. » Et ils ont immédiatement répondu : « Quoi ? Oh, tire. » Mais ça l'est. Il s'agit d'intervenir et de vraiment comprendre, par exemple, qui voudrait s'en prendre à eux ? Par exemple, j'ai travaillé avec des organisations à but non lucratif qui sont, vous savez, d'un point de vue politique. Vous savez, leur mission est très controversée. J'ai travaillé avec des organisations qui, parce qu'elles utilisent de nombreux outils tiers, dont certains sont si anciens que c'est un peu ridicule, qu'ils existent toujours, vous vous demandez : « Oh mon dieu, que faites-vous ? Nous devons t'endurcir. Et ils disent : « Oui, mais qui va venir nous chercher ? » Et c'est la partie de l'état d'esprit que nous essayons également de les changer, c'est que j'ai eu une directrice générale à l'appel et qu'elle m'a dit : « Allez ». Elle dit : « Des méchants. Je sais que tu écoutes. Quoi qu'il en soit, tu peux venir nous chercher. » Et je lui dis : « Ne fais pas ça ! » Ce n'est pas que ça va arriver, mais juste elle, son état d'esprit, comme si nous n'avions rien, vous n'obtiendrez rien de nous. J'ai répondu : « Eh bien, oui, d'accord, super ». Mais c'est, encore une fois, je pense que c'est l'un des défis auxquels Sightline a toujours été confrontée depuis que je l'ai créée, c'est que, vous savez, quelqu'un m'a dit que nous étions très blancs et que nous étions très nuancés, et pourtant les informations que j'ai recueillies ces dernières années sont tout simplement incroyables, et cela m'a aidée à voir la sécurité d'une manière tellement différente, parce que ce n'est pas le cas... Il y a certaines choses que nous pouvons faire couvrira beaucoup de monde. Je veux dire. MFA, bonjour. Merci beaucoup. Super. Mais il y a tellement de choses dans le domaine de la sécurité qui ne conviennent pas à tout le monde au même niveau. Nous devrions donc réfléchir aux opportunités qui se présentent.

Raghu Nandakumara 40:57

Je pense que l'analogie avec les gants blancs est tout à fait juste. Et je pense que c'est cybernétique, même si nous voulons le généraliser, nous devons nous rappeler qu'en fin de compte, la seule façon de réussir est d'adopter cette approche « gants blancs » pour chaque problème que nous essayons de résoudre. Donc, en passant à autre chose, dans cette dernière partie, vous avez parlé de leur utilisation de logiciels tiers, etc., n'est-ce pas ? Vous dépensez donc votre autre passion ou votre autre domaine d'expertise, et la passion est open source. Et je pense que l'open source fait désormais l'objet d'une attention considérable du point de vue de la cybersécurité, notamment en raison de l'importance accordée aux risques liés aux tiers, à la chaîne d'approvisionnement, aux attaques, etc., en ce moment. Commençons donc par la sécurité open source, dans son ensemble. Quels sont les défis ? Qu'est-ce que nous cherchons à résoudre ? Quelles sont les priorités ?

Dre Kelley Misata 41:55

Oui, c'est une bonne question. Et il s'agit probablement d'un tout autre segment.

Raghu Nandakumara 41:59

Je sais ! Je suis en train de me demander comment intégrer le plus possible là-dedans, dans quelque chose qui pourrait probablement se suffire à une saison entière à lui tout seul ? Alors oui !

Dre Kelley Misata 42:09

Eh bien, je pense, vous savez, que pour ne pas interrompre mon discours sur le RSA, je vais en parler au RSA. Je pense, vous savez, qu'il y a, il y a encore, un peu comme les organisations à but non lucratif. Il y a encore beaucoup de mystère autour de cela, non ? Lorsque l'organisation à but non lucratif place, tout le monde assume des choses dans l'espace open source, c'est le même état d'esprit. Les gens pensent que c'est une bande de gars en sweat à capuche noir assis au sous-sol quelque part sur GitHub, comme s'ils faisaient des trucs, non ? Ils ne pensent pas au principal paramètre qu'a été l'espace open source et j'ai eu la chance de présider l'Open Information Security Foundation pendant 12 ans. Et Suricata représente, vous savez, une part importante de l'espace de sécurité des réseaux. Et nous avons du Suricata dans des endroits que vous ne pouvez même pas imaginer dans le monde entier. Mais la raison pour laquelle OIS seven Suricata, en quelque sorte ce modèle d'œuvres open source, est que nous l'examinons d'un point de vue multidimensionnel. Donc, tu sais, ce n'est pas juste un groupe de personnes qui aiment sortir ensemble. Il s'agit en fait d'un modèle commercial. Et si vous considérez l'open source comme un fournisseur tiers de la même manière que vous le feriez pour un fournisseur d'entreprise, alors tout à coup, son adoption et son utilisation dans ces grandes organisations changent. Parce qu'alors tu dois te demander, oh, que se passera-t-il si ce projet implose ? Ou que se passera-t-il si la feuille de route cesse d'innover ? Qu'en est-il de la gouvernance ? Où trouvent-ils leur argent ? Est-ce qu'ils payent les contributeurs ? Comme si cela commençait à ouvrir toutes ces complexités. Et c'est ce que j'aime dans l'espace open source. À l'heure actuelle et à l'avenir, cela ne va pas devenir plus simple. Cela va devenir de plus en plus complexe, mais nous avons l'occasion de prendre du recul et de nous demander : « Comment recadrer notre conception de ce qu'est l'open source ? » Est-ce qu'il comporte toujours tous ces aspects communautaires ? Absolument ce que je préfère, et ce que je déteste le plus, c'est notre conférence, Surrey Con. Nous organisons la Surrey Con chaque année. Je déteste organiser des conférences. Désolé, tous ceux qui écoutent. Ce n'est pas ma voie. Mais dès que je monte sur scène, je vois les visages de ces membres de la communauté que je vois depuis 10 ans continuer à apparaître, à apporter leur contribution... C'est ce qui me motive et ce qui pousse mon équipe à continuer, c'est que nous savons qu'elle a sa place dans le monde. Ce n'est pas le cas de tous les projets. Donc, pour prendre ces décisions clés du point de vue de la chaîne d'approvisionnement, lorsque vous utilisez l'open source, vous devez ouvrir les yeux. Vous devez regarder sous toutes ces différentes dimensions. Vous devez y réfléchir en fonction des risques liés à la chaîne d'approvisionnement. Comme tu le ferais pour n'importe quoi d'autre. Et arrête d'y penser comme ça, du genre : « Oh, nous allons les voir autour du feu de camp en train de chanter des chansons sur nos ordinateurs portables ». Et croyez-moi, au début de ma tournée, je n'oublierai jamais que les organisateurs de tournées étaient à Boston pour une réunion, et j'ai invité tout le monde à dîner avec des lasagnes, parce que c'est ce que je fais. Et je me souviens que tout un tas d'entre eux étaient accroupis dans le salon. Et mes filles, qui étaient au collège à l'époque, m'ont dit : « Maman, je ne pense pas qu'elles vont partir. Ils se sentent tous très à l'aise dans le salon. » Et j'ai dit : « C'est bon. Je leur dirai simplement de partir quand ce sera l'heure. »

Raghu Nandakumara 45:42

C'est vraiment drôle. Eh bien, j'espère que chaque fois que j'aurai l'occasion de visiter Boston, vous m'offrirez une lasagne végétarienne. Vous avez dit de traiter le projet open source comme un fournisseur tiers, n'est-ce pas ? Mais, et je simplifie beaucoup de choses ici également, parce que je reconnais que je comprends que les places sont limitées, mais d'accord, dites-vous, je les ai traités comme un fournisseur tiers. Mais si je fais une liste de contrôle de conformité, d'accord, et s'il s'agit d'un fournisseur tiers avec lequel j'ai un contrat, je peux lui envoyer sa partie de la liste de contrôle, et je dis que je vais la remplir et me la renvoyer, et je l'évaluerai. Comment faites-vous cela avec un projet open source, par exemple, qui répond au questionnaire ? Par exemple, je pense que ce n'est pas là le défi que doit relever l'organisation ? Je ne sais pas vraiment comment gérer ce risque, comment gérer cette exposition.

Dre Kelley Misata 46:32

Eh bien, c'est de là que ça vient. La première décision à prendre pour déterminer qui, au sein de votre organisation, fera le choix d'utiliser ce logiciel, n'est-ce pas ? C'est cette pause dont nous avons parlé au début de l'émission. Vous savez, et j'ai vu de nombreuses fois des utilisateurs commencer à utiliser Suricata comme exemple et dire : « Oh, oh, peut-être devons-nous commencer à penser aux licences, et peut-être devons-nous commencer à penser à ces questions de conformité ». Et ce n'est qu'après ces moments qu'ils viennent frapper à notre porte. Mais pour de nombreux projets, ils ne disposent pas de cette infrastructure. Ils ne disposent pas de ces canaux pour pouvoir poser ces questions. Qu'il s'agisse d'un logiciel open source lié à une entreprise commerciale, ou qu'il s'agisse d'un projet open source qui s'est peut-être un peu dissous ou qui n'a plus ces principaux contributeurs. Mais c'est le cas et c'est difficile parce que je pense que pour certains des inconditionnels de l'espace open source, la beauté est simplement d'entrer, de jouer avec quelque chose, de le vérifier et de voir s'il fonctionne correctement. Super. N'arrêtez pas ça. Mais une fois que vous êtes dans l'environnement que vous décidez d'aimer, utilisez-le de manière plus approfondie, inscrivez-le dans une feuille de route du produit, quel qu'il soit. C'est à ce moment-là que vous devriez vraiment prendre du recul, faire une pause et dire : « Hmm, maintenant nous devons voir les choses un peu différemment ». Et ce sont les conversations que j'ai tout le temps avec les membres du consortium à l'OISF. Je pense que c'est pour cela que nous avons connu tant de succès, c'est parce que nous ne sommes pas un obstacle à leur progression. Mais ce que nous voulons faire, c'est nous assurer que Suricata reste sur place pour les servir plus longtemps. Et si vous ne pouvez pas avoir cette conversation avec un projet parce qu'il n'existe pas ou parce que vous ne le trouvez pas, alors reconnaissez simplement le risque que vous prenez ?

Raghu Nandakumara 48:21

Oui, absolument. Et je pense que l'autre défi, peut-être perçu, est que jusqu'où vous vous trouvez en termes de consommation directe de logiciels open source pour quelque chose que vous créez. Mais alors, si vous accordez une licence à un fournisseur tiers, celui-ci utilise l'open source, et s'il concède une licence pour autre chose. Et alors, jusqu'où parvenez-vous sur cette voie pour atteindre, je suppose, cette sorte de quanta indivisible sur lesquels tout se trouve en quelque sorte ?

Dre Kelley Misata 48:55

C'est le défi, et c'est pourquoi, eh bien, ma famille rejette en quelque sorte cette idée. Mais je me suis dit : « Oh, je voudrais obtenir un diplôme en droit parce que je veux comprendre les aspects juridiques de tout cela, parce que ce serait super fascinant de répondre, de pouvoir répondre à cette question. Je pense que nous en sommes aujourd'hui, c'est que nous ne savons pas grand-chose de ce que nous ne savons pas encore. Et pour les projets qui ont, encore une fois, une certaine structure et une certaine organisation. Nous y réfléchissons, mais même à l'OISF, les membres de notre consortium viennent nous voir pour nous poser certaines de ces questions complexes en fin de compte concernant les licences, et nous nous grattons la tête en nous demandant : « Comment cela va-t-il fonctionner ? Est-ce que c'est un problème américain ou est-ce le vôtre ? » Donc, c'est vraiment très difficile, mais cela rend aussi les choses assez excitantes.

Raghu Nandakumara 49:45

Oui, je pense que c'est vraiment intéressant quand on y pense, particulièrement maintenant. Donc, comme vous le savez sûrement, divers organismes de réglementation du monde entier commencent à publier de plus en plus de réglementations concernant la résilience opérationnelle, et c'est dans ce cadre qu'ils en parlent. En tant que gestion de ce type de risque lié à des tiers et du type de fournisseurs de services tiers que les fournisseurs de services tiers aiment souvent en grande partie, en quelque sorte, destinés aux hyperscalers et aux fournisseurs de services informatiques critiques. Mais vous pouvez imaginer un scénario dans lequel, en tant qu'organisation, vous avez créé une application qui dépend fortement d'un projet open source. Et s'il s'agit d'un projet open source, quoi qu'il advienne, non ? Cela compromet la résilience de cette application, alors c'est un peu comme si cela se répercutait sur la façon dont vous vous détendez, et je suppose qu'en fin de compte, il s'agit de savoir vers qui pointer du doigt ?

Dre Kelley Misata 50:41

Très bien, et c'est si tu peux le détendre. Mais c'est là que les meilleures pratiques doivent également jouer un rôle dans ce cycle de développement. Et je pense que c'est l'un des défis. Nous le voyons avec Suricata, comme si nous voulions que les gens l'utilisent. Nous voulons que les gens le testent et le mettent dans différents scénarios, mais nous sommes conscients que si vous faites partie d'une grande entreprise, vous devez le demander, vous ne pouvez pas simplement le laisser dans un coin et jouer avec. Donc, je pense que beaucoup d'utilisateurs vont vraiment avoir du mal à faire face à cela, mais c'est là que j'essaie de rester positive, car je pense que certains projets open source ont vraiment peur de perdre l'essence de communauté, d'innovation et de liberté qui est intégrée à ces projets et à ces logiciels. Je veux croire que nous pouvons faire preuve de créativité et que nous n'allons pas perdre cela, que nous pouvons trouver un équilibre entre les deux d'une manière ou d'une autre, mais je ne pense pas que ce sera facile. Encore une fois, nous allons devoir travailler ensemble pour y réfléchir. Lorsque le National Cyber Defense Office de la Maison Blanche a lancé un appel pour obtenir des informations sur la sécurisation des logiciels libres, je suis sortie de ma zone de confort et j'y ai répondu, car j'ai vu ce à quoi ils pensaient. Je suis du genre à dire qu'il vous manquait toutes ces autres pièces, les gars. Comment pouvons-nous examiner tous les composants de ce qu'est l'open source ? Au lieu de simplement sécuriser le logiciel, absolument à 200 %, je suis d'accord avec cela. Ce n'est pas la seule chose. Nous devons donc faire appel à l'expertise de tous ces différents niveaux. Ce qui m'amène à remarquer que, vous savez, je pense que souvent, dans le domaine de la sécurité, nous avons toujours ce clivage entre les aspects techniques et non techniques, et si nous parvenons à combler ce fossé, nous réunirons plus de personnes autour de la table pour avoir de meilleures conversations sur ces problèmes, car si les gens disent : « Oh oui, vous n'êtes pas technique, parce que vous ne travaillez pas sur le développement tous les jours, vous n'êtes pas aussi important » ou « vous ne savez pas autant », nous ne nous rendons pas service, en particulier en ce qui concerne l'open source.

Raghu Nandakumara 53h00

Absolument et je suis content que vous en ayez parlé, car je vais ajouter quelque chose à cela. Vous avez dit avoir besoin d'un éventail d'opinions très divers et de faire preuve de créativité pour résoudre ce problème, en plus de faire appel à des personnes techniques et non techniques. Et je pense qu'en matière de cybersécurité, je ne parle pas seulement de cybernétique, mais que nous parlons de cybersécurité ici, il faut vraiment repenser la façon dont il aborde la question, pour en faire une profession beaucoup plus diversifiée et inclusive, n'est-ce pas ? Il y a tellement de personnes extraordinaires, mais nous sommes toujours très concentrés sur un profil très particulier qui travaille dans le domaine de la cybersécurité. Donc, je suis d'accord, non ? Je pense qu'il y a d'énormes opportunités, une énorme quantité de compétences et d'expertise que nous devons apporter et ce n'est qu'en faisant davantage pression, en quelque sorte pour la diversité, l'équité et l'inclusion que nous allons nous manifester.

Dre Kelley Misata 53:53

Oui, je me souviens qu'au début de mes années dans le domaine de la sécurité, les gens voulaient définir le droit à la vie privée, de la même manière que le droit à la vie privée était technique ou non technique, et je m'y opposais de manière respectueuse, et je dirais que ma façon de voir la vie privée est très différente de la vôtre. Je viens d'un milieu différent, j'ai des expériences différentes et je ne pense pas que je pourrai un jour utiliser la technologie de la même manière qu'avant cet événement de ma vie. Ma définition de la vie privée va donc être différente. C'est la même chose que nous essayons de définir ce qui est technique. Je demande aux gens, et encore une fois, ce n'est pas pour être odieux. C'est parce que je suis curieux. Oui, quand quelqu'un me dit : « Eh bien, tu n'es pas technique » ou « Cette personne est technique », je demande toujours : « Qu'est-ce que cela signifie ? Peux-tu me le décrire ? » Donc, en ce qui me concerne, je suis curieuse de savoir comment modifier la conversation. Mais il faut d'abord dire que je ne comprends pas parce que je peux calculer une courbe elliptique, ce n'est pas ce que je ferai à nouveau. Alors, ne demandez même pas. Mais je peux. Vais-je le faire ? Non, je sais coder. Vais-je le faire ? Non Je veux dire, mon équipe de l'OISF a hâte que j'aie une pull request sur Suricata. Je suis du genre : « Oui, attendez, les gars. Mais ma passion et mon amour, c'est tout le reste. Maintenant, je vais m'asseoir là où je m'amuse. Oui, cela ne veut pas dire que je n'apporte aucune valeur à la conversation, et c'est là que je sors le Dr Misata.

Raghu Nandakumara 55:26

Absolument, je pense que vous avez en quelque sorte terminé toute cette conversation que nous avons eue aujourd'hui, qui porte essentiellement sur le fait que nous ne pouvons servir nos clients, nos clients, nos partenaires, mieux que si nous, quand je dis « nous », je veux dire, que ce soit individuellement ou au sein de l'équipe avec laquelle nous travaillons avec nous, avons la capacité de comprendre ce que nous essayons de résoudre et pourquoi. Et cela ne peut se faire qu'en écoutant, mais aussi en faisant appel à des membres de notre équipe capables de comprendre ces expériences. C'est pourquoi il est si important pour nous de progresser dans le domaine de la cybersécurité.

Dre Kelley Misata 56:20

Je suis d'accord. Je suis d'accord. Et, tu sais, une sorte de retour en arrière par rapport à mon univers. Tu sais, les gens me disaient : pourquoi ne pas t'en prendre à cette personne ? Genre, vas-y. Pourquoi avez-vous obtenu un doctorat ? Et je n'arrêtais pas de dire que je ne pourrais jamais changer ça. On ne peut pas changer les gens. Je ne peux pas influencer le changement là-dessus, mais je peux influencer le changement dans ma façon de penser et de comprendre comment les choses fonctionnent, dans la façon dont je peux aborder mon utilisation de ces technologies et comment je peux me protéger grâce à ces connaissances. C'est là que le contrôle, le changement et l'impact se produisent, pas en essayant de changer une situation terrible ici. Donc, pour moi, il s'agit de savoir comment améliorer les choses en ayant ces conversations plus larges et en les abordant avec, encore une fois, une certaine humilité.

Raghu Nandakumara 57:19

Absolument. Dr Misata, Kelley, je ne pouvais pas penser à une meilleure façon de mettre fin à cette conversation. Malheureusement, je dois ajouter que j'adorerais continuer à parler et à parler, mais je suis conscient du temps qui vous est imparti. Sur ce, merci beaucoup pour votre sagesse, pour votre humilité, pour votre expérience et pour la perspective que vous apportez à ces deux problèmes très importants pour lesquels vous vous êtes donné pour mission de faire avancer les choses.

Dre Kelley Misata 57:50

Merci Merci de m'avoir invitée. Ça a été très amusant.

Raghu Nandakumara 57:53

De même. Merci d'avoir écouté l'épisode de cette semaine du segment pour encore plus d'informations et de ressources Zero Trust. Consultez notre site web à l'adresse illumio.com. Vous pouvez également communiquer avec nous sur LinkedIn et Twitter à Illumio, et si vous aimez la conversation d'aujourd'hui, vous pouvez retrouver nos autres épisodes partout où vous trouvez vos podcasts. Je suis votre hôte, Raghu Nandakumara, et nous reviendrons bientôt. Vous.