Pratiquer le Zero Trust et adopter Suppose Breach

0:00:04.1 Raghu Nandakumara : Bienvenue sur The Segment, un podcast consacré au leadership basé sur Zero Trust. Je suis votre hôte, Raghu Nandakumara, responsable des solutions industrielles chez Illumio, la société de segmentation Zero Trust. Aujourd'hui, je suis rejoint par le Dr Chase Cunningham, également connu sous le nom de Dr. Zero Trust, directeur de la stratégie chez Ericom Software et ancien analyste de Forrester. En tant que directeur de la stratégie d'Ericom, Chase est responsable du développement, de la direction, de la communication, de l'exécution et du maintien de la stratégie de l'entreprise. Dans son rôle, il agit en tant que leader serviteur, penseur stratégique et acteur, en veillant à ce que les stratégies d'exécution soutiennent la vision globale de l'entreprise. Avant de rejoindre Ericom, Chase était vice-président et analyste principal chez Forrester Research, où il s'est concentré sur la planification des centres d'opérations de sécurité, les opérations de lutte contre les menaces, le cryptage, la sécurité des réseaux, ainsi que les concepts et la mise en œuvre du Zero Trust. Au fil des ans, Chase a également occupé divers postes dans le domaine de la recherche sur les menaces et du renseignement au sein d'organisations telles qu'Armour, Accenture et la National Security Agency. Aujourd'hui, Chase se joint à nous pour parler de l'évolution du cadre Zero Trust, de la manière de le mettre en œuvre correctement et des erreurs que les organisations commettent lorsqu'elles élaborent leurs stratégies Zero Trust. Tout le monde aime une bonne histoire d'origine, n'est-ce pas, alors écoutons l'histoire d'origine de Dr. Zero Trust.

0:01:09.1 Chase Cunningham : Je dis aux gens, et je ne plaisante pas, que j'ai beaucoup de chance d'avoir eu du succès dans la vie ou dans le cyberespace, simplement parce que c'est une constante, avoir de la chance et avoir de bonnes personnes autour de moi. J'ai rejoint la Navy en tant que mécanicien diesel. Je n'avais rien à voir avec les ordinateurs, quoi qu'il en soit. Je me suis lancé dans le cyberespace par hasard.

0:01:31.1 Raghu Nandakumara : Bien, bien. C'est vrai, comme s'il s'agissait du podcast Zero Trust, alors nous allons finir par parler de Zero Trust, non ? Quelle a été votre exposition à Zero Trust ? Est-ce que cela était directement lié à ce que vous avez fait chez Forrester ou y avez-vous déjà été exposé auparavant ?

0:01:48.5 Chase Cunningham : Après avoir fait toutes mes activités liées à la cybersécurité et à la cryptographie dans l'armée, puis j'ai fait des choses pour le gouvernement, j'ai enseigné et rédigé un programme sur l'exploitation des réseaux informatiques, qui était la façon dont le gouvernement facturait les activités très coûteuses lorsqu'on faisait du Red Teaming. J'ai donc fait équipe dans l'espace gouvernemental pendant un bon moment et quand je discutais avec John Kindervag, que j'avais connu, quand il était encore chez Forrester, il parlait de l'histoire de ZT et à l'époque je me disais : « OK, bien sûr, peu importe ce que cela ressemble à des manigances marketing 101, cool, bla bla bla ». Puis je suis arrivée chez Forrester et j'étais vraiment furieuse qu'ils aient dit : « Hé, tu vas aller chercher les sous-vêtements sales de John et faire ce truc avec ZT ». Mais quand j'ai commencé à regarder les choses du point de vue de savoir si j'étais un méchant ou un coéquipier rouge, est-ce que ces concepts m'inciteraient, vous savez, à arrêter de fumer et à trouver une autre cible ? Et tout à coup, l'ampoule s'est allumée et je me suis dit : « OK, John était sur quelque chose ». Alors je me suis lancée. Mais j'ai bien aimé, je me suis sérieusement disputée avec mon patron, Joseph Blankenship, et d'autres personnes de Forrester, comme moi... S'il te plaît, ne m'obligez pas à faire quelque chose que quelqu'un d'autre a déjà fait parce que je ne veux pas être le second violon dans quoi que ce soit. Mais il s'est avéré que c'était une bonne utilisation de mon temps.

0:03:01.9 Raghu Nandakumara : Oui, absolument. Et je dirais qu'en tant que praticien, c'est vrai, je dirais que ce genre de John Kindervag a en quelque sorte jeté les bases d'une définition moderne du Zero Trust. Je dirais que vous avez probablement fait le plus pour vraiment intégrer ce courant dominant. Alors, comment pensez-vous maintenant que ce genre de bébé que vous avez nourri commence enfin à marcher sur ses deux pieds ?

0:03:30.3 Chase Cunningham : Pour trébucher.

0:03:31.9 Raghu Nandakumara : Je ne dirais pas encore boule de neige, mais au moins marchez sur ses deux pieds.

0:03:35.5 Chase Cunningham : C'est une bonne chose que certaines personnes voient qu'une stratégie sensée a de la valeur. J'en ai assez d'entendre les gens se plaindre et se plaindre à propos de ce mot à la mode et de tout ce qui va avec. Parce que pour moi, je suis littéralement, je travaille sur un blog en ce moment à propos de, écoutez, si vous n'achetez pas ce que nous vendons et que vous pensez que cela n'a pas de sens, s'il vous plaît, continuez à être stupide en faisant ce que vous faites et vous serez celle qui sera la gazelle lente. Allez-y, par exemple. Je vais droit au but maintenant, s'il y a cette évolution massive du marché et toute cette adoption et que je suis... J'ai eu des appels hier avec des gens en Argentine, je vais parler en Colombie le mois prochain sur ZT. Si le monde entier pense que c'est réel et que vous, les ennemis, vous ne le faites pas, très bien, soyez haineux et dites-moi quand vous vous ferez passer le cul et que vous viendrez me parler de ZT.

0:04:26.7 Raghu Nandakumara : Alors oui, je suis d'accord, non ? Sinon, nous ne ferions pas ça, n'est-ce pas ? Alors, quel est le... Et comme si vous regardiez autour de vous, n'est-ce pas, et vous vous demandez en quelque sorte, d'accord, quel a été le point de basculement, n'est-ce pas ? Parce qu'il y en avait suffisamment en termes de prémisse réelle expliquant pourquoi, par exemple, pourquoi Zero Trust, n'est-ce pas ? C'est du bon sens, non ? Mais il a fallu une éternité pour que les gens atteignent presque ce niveau de bon sens. Quel a été le point de bascule selon vous ?

0:04:56.5 Chase Cunningham : Je pense que la COVID a mis le feu aux poudres, car il y a eu une telle initiative pour trouver très rapidement comment maintenir les entreprises opérationnelles. Et puis comment ne pas simplement ouvrir la porte en grand et nous dire, j'espère que nous ne nous ferons pas détruire, vous savez, au nième degré qu'il y avait assez de personnes qui ont eu une opportunité, une crise, une opportunité, n'est-ce pas ? Crisistunity de prendre du recul et de partir, d'accord, nous pouvons faire quelque chose de différent et voici comment nous pouvons faire quelque chose qui a un peu plus de sens parce que nous avions évidemment la preuve, sur Pong, que l'autre modèle ne fonctionnait pas et maintenant avec la télécommande et toutes les autres choses que nous voyons, et je crois avoir lu un article ce matin sur la façon dont l'hybride est accepté maintenant, c'est la façon dont le travail va ressembler, vous savez, peut-être tout le monde n'est pas obligé d'être au bureau, sauf si vous travaillez pour Musk ou quoi que ce soit d'autre. Et le reste d'entre nous peut en quelque sorte, vivre comme des humains... Cette réalité nous oblige à adopter ce type d'approche et il se trouve que ZT se trouvait au bon endroit au bon moment avec une technologie qui a évolué pour permettre cela.

0:06:03.2 Raghu Nandakumara : Oui, absolument. Et parce que... Et... Et je pense également qu'il ne s'agit pas simplement d'une sorte de COVID et du passage au travail hybride, etc., n'est-ce pas ? Mais pensez-vous que c'était aussi une meilleure prise de conscience de ce à quoi ressemblait aujourd'hui ce paysage de menaces, n'est-ce pas ? Et en quelque sorte, et je sais que vous dites que ZT équivaut presque à Assume Breach ou vice versa. Supposons que Breach est la base sur laquelle ZT est alors la réponse.

0:6:34.4 Chase Cunningham : Oui, je veux dire, c'est drôle parce que c'était autrefois un point d'achoppement pour les gens de dire : « Accepter d'avoir déjà un compromis ». Oh non, non, nous l'sommes, ce n'est pas quelque chose et nous ne sommes pas compromis et il n'y a pas de problème, nous avons investi des millions de dollars là-dedans. Et c'est comme, oh, je veux dire, d'accord, laisse-moi écrire ça parce que tu vas, tu sais, m'envoyer un ping dans six mois et maintenant ça semble être, tu sais, ce n'est pas un coup porté à quelqu'un ou quelque chose comme ça, c'est juste la réalité de l'espace. Acceptez-le donc, puis alignez vos ressources sur celui-ci pour surmonter ce problème. Il n'est pas nécessaire que ce soit... Je dirais que cela n'a pas besoin d'être vraiment négatif, si vous y pensez différemment. Et c'est, vous savez, l'autre haine qui est tellement répandue en ce moment, c'est que ce n'est pas nouveau. Correct. Ce n'est pas nouveau. Il s'agit de l'évolution et de la maturation de quelque chose qui a beaucoup de sens et qui a du sens depuis longtemps. Comme tu l'as dit, les gens l'ont simplement ignoré parce que les gens sont, je ne sais pas, des gens, nous sommes nuls en général.

0:7:33.9 Raghu Nandakumara : Je pense que tu es en fait... C'était sur... Je pense que vous avez récemment publié quelque chose sur votre page LinkedIn ou Twitter, quelque chose comme « il n'y a pas de remède à la stupidité humaine » ou quelque chose du genre. Mais désolée de vous avoir mal cité si je l'ai fait, mais j'aimerais simplement savoir que nos auditeurs seront des professionnels de la sécurité expérimentés et qu'ils auront entendu Assume Breach, ils adoreront entendre parler de Zero Trust, n'est-ce pas ? Disposez-le simplement, non ? Pourquoi est-ce que... Pourquoi Zero Trust est-il la solution naturelle à une violation des présommes ? En quelque sorte, si la question est Assume Breach, pourquoi est-ce que Zero Trust doit être la réponse ?

0:8:10.8 Chase Cunningham : Si vous regardez ce qui est requis. Inversons donc le script pendant une seconde et disons que la défense ne nous inquiète pas. Disons simplement que nous acceptons qu'il y ait un compromis. OK, c'est fait. Qu'est-ce que nous ne voudrions pas vraiment qu'il se passe ? Je veux qu'ils ne puissent pas rester dans mon réseau ou dans mon environnement. Je veux qu'ils ne puissent pas se déplacer. Par exemple, si quelqu'un entre par effraction chez moi, c'est un problème, mais je ne veux pas que tu emménages et que tu vives avec moi. Donc, tu sais, soyons réalistes à ce sujet. Si nous acceptons que c'est ce que nous essayons de faire, de quoi a besoin le méchant pour réussir de cette manière ? Ils ont besoin de relations de confiance au sein des systèmes. Et John le dit tout le temps, faisant confiance à l'émotion humaine, nous l'avons intégrée aux ordinateurs. Si vous supprimez les relations de confiance, ce n'est pas qu'il n'y aura aucune confiance, c'est qu'elles présenteront un risque gérable basé sur des relations de confiance et que... Cela rend la journée du méchant vraiment difficile. Comme si c'était... C'est ce que nous voulons. C'est là qu'il se trouve. Je ne suis pas... Tu n'es pas... Il n'y aura jamais de brèche, il n'y aura pas de compromis. Tu n'auras pas... Et, je suis d'accord avec les gens, ils diront que la confiance zéro n'existe pas. Correct. Tout comme il n'y a rien de tel que zéro graisse corporelle parce que tu pourrais mourir, mais tu essaies de devenir vraiment faible.

0:9:24.2 Raghu Nandakumara : Oui, oui, à 100 %. Et je pense que le genre de chose que vous venez de dire, c'est de compliquer la vie de l'agresseur, n'est-ce pas ? Je pense que nous nous améliorons dans cette approche, mais je pense que trop souvent, nous n'abordons pas les contrôles de sécurité des bâtiments sous cet angle, n'est-ce pas ? Comme, encore une fois, comme vos pensées, comme pourquoi, parce que c'est tellement naturel, non ? Rendez-leur la tâche difficile, ils iront ailleurs.

0:9:52.5 Chase Cunningham : Ce sont des gens qui essaient de défendre leur position dans l'entreprise de la mauvaise façon. Je veux dire, vous avez maintenant des RSSI qui ont leur place à la table et qui sont excellents, c'est super génial et peu importe. Mais en réalité, ils essaient généralement de justifier leur position dans une entreprise en disant aux gens qu'ils seront parfaitement défendus ou quoi que ce soit d'autre. Au lieu de cette vraie conversation sur le fait que je vais réduire nos risques de façon exponentielle, ce qui rendra les choses plus gérables et nous pourrons maintenir la disponibilité et quoi que ce soit d'autre. Je n'ai encore assisté à aucun atelier avec un client qui ait porté sur la technologie de ZT. Il a entièrement porté sur les problèmes de leadership que vous avez rencontrés là-bas.

0:10:32.9 Raghu Nandakumara : Oui, c'est exact. Et je suis en quelque sorte... Quelques blogs que je lisais la semaine dernière, sur la façon dont Zero Trust est... Ou l'adoption d'une stratégie Zero Trust dépend en grande partie de cette adhésion interfonctionnelle, n'est-ce pas ? Plus... Bien plus qu'un simple programme de sécurité pour l'organisation chargée de la sécurité, n'est-ce pas ? Donc, pour les organisations qui adoptent le Zero Trust, diriez-vous qu'il y a quelque chose dans lequel une organisation fait preuve de mauvaise gestion de la confiance zéro ? Ou diriez-vous que tous ceux qui font du Zero Trust devraient être crédités ?

0:11:07.3 Chase Cunningham : Non, je pense... Je pense qu'il y a un moyen de mal faire les choses. Si vous ne comprenez pas par où vous commencez et que vous n'avez pas une véritable conversation sur les choses les plus importantes et que vous ne vous frayez pas un chemin vers l'extérieur, comme nous en parlons depuis longtemps, alors vous manquez la forêt à cause des arbres. Personnellement, selon ma méthodologie et celle de tous ceux avec qui je discute, la première chose à faire est que ce n'est peut-être pas une véritable équipe rouge, mais je vais vous proposer un scénario, puis je vais m'asseoir là à regarder ce qui se passe. Parce que tant que vous n'avez pas subi le stress de cette situation et que vous n'avez pas vraiment les pieds sur le feu, tout n'est que de la pontification. Tu vois ce que je veux dire ? Si le... Si la réalité de la sécurité est de nous permettre de survivre à une brèche, ce qui est l'un de ces moments, oh mon dieu, alors nous devons réagir en fonction de ce qui va se passer réellement. Et je... De nombreuses entreprises m'ont dit que nous étions prêtes. Je vais déposer le dossier de situation devant elles, puis vous regardez les têtes tomber, les disputes se produire, les gens sortir en courant et c'est comme ça, c'est par là que nous commençons. Je peux, ce problème peut être résolu. Il s'agit d'une question de leadership en matière de gestion. La technologie, c'est de la sauce. Cela viendra plus tard.

0:12:15.4 Raghu Nandakumara : Oui, oui, oui. 100 %. Alors, comment une organisation s'y prend-elle correctement ? C'est vrai. Eh bien, quel est le... Quel est le manuel qu'ils doivent adopter pour faire du Zero Trust, adopter une stratégie Zero Trust, réussir avec cette stratégie, être en mesure de la mesurer ? Déballons ça.

0:12:31.3 Chase Cunningham : Eh bien, je pense que la première chose à faire est... Comme je l'ai dit, il faut mettre les pieds sur le feu et comprendre, non seulement du point de vue de l'équipe de sécurité, mais aussi du point de vue de l'équipe de sécurité, tout au long de la chaîne alimentaire, que vous pouvez intervenir. Comme ce qui deviendrait vraiment fou quand quelque chose se produisait pour que vous ayez au moins connu la misère qui va survenir. Il s'agit donc d'un élément organisationnel. La deuxième chose qui me semble essentielle est d'avoir une très bonne compréhension de l'ensemble des actifs qui concernent cette entreprise, ce réseau, peu importe, car je ne peux pas défendre ce que je ne connais pas. Ensuite, cartographiez vos contrôles en fonction des lacunes que vous constatez. Si tu... Si vous y réfléchissez du point de vue de... Le général au sommet du champ de bataille, non ? Et je peux surveiller tout. Si je peux le faire, je peux vectoriser les ressources pour combler les lacunes. Je ne veux pas être sous terre et regarder vers le haut et partir, bon sang, j'espère vraiment mettre les bonnes choses au bon endroit sur ce champ de bataille.

0:13:25.3 Raghu Nandakumara : Et pour les organisations qui commencent en quelque sorte ce voyage, n'est-ce pas ? Où se trouve... Où se débloquent-ils généralement ?

0:13:33.4 Chase Cunningham : D'habitude, ils grossissent trop vite. Ils diront que c'est en fait un bon exemple. Je travaillais pour une grande banque, et ils m'ont dit : « Eh bien, nous allons faire ZT pour les utilisateurs ». J'ai dit « cool », « super génial ». Je pense que c'est positif. Et ils ont dit que nous allions le déployer et que nous allions commencer par 5 000. Et je me suis dit : « Whoa, whoa, ce n'est pas petit. Et ils ont dit : « Eh bien, nous sommes une banque mondiale, peu importe. J'ai dit que ce n'était pas petit. Et ils ont dit, d'accord, par quel numéro devons-nous commencer ? Et j'ai dit, cinq. Et ils avaient genre cinq ans ? C'est... Cela ne vaut même pas la peine d'y consacrer notre temps. Et j'ai dit : « Eh bien, si je violais cinq personnes dans votre entreprise, cela détruirait-il votre boutique ? OK, c'est normal. Donc, si vous le faites correctement pour cinq, vous le faites pour 10, et si vous l'obtenez pour 10, vous le faites pour 50. Et puis tu... Tu sais, tu roules, tu aiguises la lame en la meulant contre le métal plutôt que de te balancer en pensant que tu as bien fait les choses.

0:14:23.2 Raghu Nandakumara : Mais comment choisis-tu les cinq ? Hein ? Avez-vous dit, OK, choisissez ces cinq profils en particulier qui répondent à ces profils ou était-ce, d'accord, commençons petit.

0:14:33.5 Chase Cunningham : C'est vrai. Pour moi, il s'agit de savoir qui serait... Si vous devez choisir les cinq personnes qui ont le plus d'accès administrateur dans un système, ce sont ces cinq personnes sur lesquelles je veux me concentrer en premier. Et s'ils reviennent et repartent, eh bien, l'un d'eux est le PDG, d'accord, nous avons un vrai problème là-bas. Pourquoi le PDG a-t-il un accès administrateur à tout ?

0:14:50.0 Raghu Nandakumara : Alors, il y aura des gens qui écouteront ici et qui se demanderont, d'accord, que puis-je... Quelles sont ces petites perles de sagesse que le Dr Zero Trust va nous offrir ? Hein ? C'est vrai, c'est parce que j'ai du mal avec cette stratégie Zero Trust. Alors, qu'est-ce que ce serait en ce moment, d'après ce que vous avez vu se produire ? À quoi ça ressemble, voici mes perles de sagesse.

0:15:13.5 Chase Cunningham : Je pense que le plus important est de traiter la cybersécurité de la même manière que vous traitez les autres secteurs de votre entreprise. Combien de fois avons-nous participé à une réunion avec le PDG et celui-ci nous a dit quelque chose du genre : « Tout le monde vend dans cette entreprise ». Et est-ce que quelqu'un se lève et dit : « C'est impossible. » Vous êtes engagé parce que vous faites partie de cette organisation et les ventes sont essentielles à la réussite de l'entreprise. Devinez quoi ? Il en va de même pour la cybersécurité. Parlez donc aux gens comme s'ils en faisaient partie et qu'ils avaient besoin de s'impliquer. Et en plus de cela, je pense que vous devriez également arrêter d'investir dans des solutions qui ne sont pas des contrôles techniques, car il s'agit d'une solution technologique et traiter les gens comme s'ils étaient des pièces d'équipement est stupide et vous n'en tirerez aucun rendement. C'est une bonne chose pour les investisseurs et c'est une bonne chose pour les sociétés de capital-risque, mais mettez-les en avant. Trouvez-moi une organisation qui s'est entraînée sans compromis, et je ferai appel à des personnes qui feront du naufrage très rapidement.

0:16:18.3 Raghu Nandakumara : Vous avez commencé à parler de vendeurs, et les vendeurs ont certainement choisi le Zero Trust bien avant les praticiens. Qu'ont fait les fournisseurs pour, je dirais, corrompre le marché Zero Trust ?

0:16:43.1 Chase Cunningham : Eh bien, je pense que c'est deux choses. Tout d'abord, évidemment, ils ont répondu en grande partie : « Nous avons fait X, alors où est ZT maintenant ? Attendez une minute, ZT ne se limite pas à cela, il n'y a pas de bouton et il n'y a pas de produit pour cela », donc ça fait un moment. Ensuite, ils le commercialisent. Il semblerait que ceux qui étaient plus flagrants que cela l'aient commercialisé encore plus durement. Ils ont dit : « Si nous voulons être comme ça, nous allons doubler et tripler jusqu'à ce que quelqu'un nous appelle », ce qu'ils... C'est ta stratégie, peu importe. Et l'autre élément est le passage à la plateforme, qui a été payée par tout ça. Oui, je l'appelle le Walmart de la cybersécurité, à cause de toutes ces saloperies qu'il y a sur nos étagères quelque part, et je te jure devant Dieu que si tu en achètes assez, tout finira par fonctionner comme par magie, et tu auras la maison Lego de ton truc ZT, et nous te le vendrons d'un seul coup. Et ça ne marche pas, ce n'est pas... Il y a des portefeuilles, et il y a très, très peu de plateformes présentes dans cet espace, et c'est ce qui les a le plus décalés à mon avis.

0:17:39.4 Raghu Nandakumara : Quel est donc votre message aux fournisseurs ? Zero Trust est une initiative portuaire importante à laquelle les fournisseurs peuvent participer. Quel est votre message... Quel message leur adressez-vous ? Que doivent-ils faire de plus pour réellement encourager l'adoption du Zero Trust au sein de leur clientèle ?

0:18:09.4 Chase Cunningham : Eh bien, je pense qu'il suffit de comprendre que si quelqu'un vous engage dans une conversation à propos de ZT, c'est parce qu'il pose une question stratégique. Soyez donc en mesure de répondre à la question stratégique par une proposition de valeur stratégique. C'est très précieux. Et l'autre aspect auquel je fais régulièrement appel lorsque je donne des conseils aux fournisseurs et ainsi de suite, c'est que je leur demande : « Dites-moi où vous en êtes dans votre parcours Zero Trust ? Que faites-vous pour votre propre ZT ? » D'habitude, j'attrape des grillons ou je regarde beaucoup autour de moi. Si tu ne fais pas ZT toi-même, pourquoi, bon sang, t'achèterais-je pour faire du ZT à ma place ? Si tu ne sais pas conduire, ne me dis pas comment déplacer ma voiture de course.

0:18:54.3 Raghu Nandakumara : 100 %. 100 %. Je sais donc que vous participez au forum de démonstration Zero Trust. Qu'est-ce que cela fait, en fournissant une plate-forme aux fournisseurs mais aussi aux utilisateurs finaux, aux consommateurs ? Qu'est-ce qui permet ce genre de choses, disons que d'autres organisations similaires ne le sont pas ?

0:19:17.2 Chase Cunningham : Oui, donc une partie du problème, c'est que si vous voulez obtenir ce que j'appellerais un bon contenu de jury sur les technologies des fournisseurs, vous devez faire beaucoup de recherches sur les oiseaux et vous-même, et cela peut prendre du temps. Donc, ce que nous avons fait avec le forum de démonstration, c'est dire : « Allons inviter les fournisseurs qui ont une réclamation valable ici, demandons-leur d'en parler, de faire preuve de leadership éclairé, puis de faire littéralement une démonstration de leur système ». Et oui, il s'agit d'une démonstration destinée à un fournisseur, mais c'est une démonstration qui permet à l'utilisateur final de la regarder et de se dire : « D'accord, je veux vraiment voir ce problème X être résolu. Ces gars-là ont une très bonne technologie, semble-t-il. Laisse-moi aller les écouter en parler. Et puis, d'ailleurs, je peux voir ce que fait réellement cette solution. » Et selon moi, du point de vue de la recherche, l'utilisateur final a beaucoup moins d'étapes à franchir pour obtenir de très bonnes informations sur ce qui se passe dans l'espace fournisseur.

0:20:12.8 Raghu Nandakumara : Et est-ce que l'objectif est là ? Et je veux juste comprendre cela un peu plus, parce que vous parlez de cas d'utilisation. Et nous n'en avons pas vraiment parlé, et ce que vous dites ici, c'est que ce sont des cas d'utilisation très spécifiques que Zero Trust permet et le fait de pouvoir les mettre en valeur plutôt que de les présenter de manière générique. Oh, nous vous permettons d'accélérer en quelque sorte votre parcours Zero Trust. L'accent est donc mis sur des cas d'utilisation très ciblés ?

0:20:42.2 Chase Cunningham : Il s'agit donc de cas d'utilisation, mais aussi de prendre l'espace du fournisseur et de répartir les fonctionnalités dans les piliers du framework. Et comme ça, si je suis... Comme je l'ai dit plus tôt, il n'y a pas beaucoup de plateformes, il y a des portefeuilles solides. Si je recherche le fournisseur qui le fait, il s'agit de la gestion de l'accès au cloud, quel qu'il soit. Choisissez simplement votre terme Super Cyber ZT au hasard, ils s'occupent de la gestion des accès au cloud ou quelque chose comme ça. Je peux regarder cela et me dire : « D'accord, ce sont les fournisseurs qui disposent de ces fonctionnalités. » Il y en a cinq ou six qui font réellement ce truc, je devrais en envisager cinq ou six au lieu de 24 heures sur 24. Je crois que j'ai regardé aujourd'hui et que j'ai tout ajouté et qu'il y avait 2 731 fournisseurs dans le domaine de la cybersécurité. C'est dingue. Nous sommes en train de parler, je pense que les chiffres publiés par Richard Sternan et moi étions de 60 milliards de dollars sur le marché, c'est nul.

0:21:39.2 Raghu Nandakumara : En fait, juste à droite, l'étalement des vendeurs qui existe aujourd'hui, voyez-vous... Et vous avez en quelque sorte parlé du portefeuille par rapport à la plateforme, voyez-vous cela... Ou à l'horizon 2023, pensez-vous qu'il y aura en quelque sorte la création d'une véritable plateforme Zero Trust ? Les fournisseurs recherchent donc une véritable plateforme Zero Trust et élaborent cet ensemble interconnecté d'acquisitions ou de produits locaux. Pensez-vous que c'est vrai ou devons-nous encore assister à une augmentation du nombre de fournisseurs au moins au cours des 24 prochains mois ?

0:22:19.5 Chase Cunningham : Je pense que pour diverses raisons, nous allons assister à une consolidation d'une grande partie de cet espace. La récession va y contribuer en partie. Nous sommes confrontés à des difficultés économiques et à tout ce qui pourrait en grande partie y contribuer. Je pense que nous avons également en quelque sorte saturé le marché de produits intéressants, nouveaux, cool et sexy. Nous avons également constaté un ralentissement dans ce domaine. Et les API sont aujourd'hui si performantes qu'il est légitime de prendre un portefeuille de fonctionnalités et de les intégrer à la plateforme opérationnelle que vous recherchez. Et c'est en fait ce qui compte vraiment, à mon avis, c'est si je peux dire que je veux utiliser ces gars qui sont vraiment bons dans ce domaine, et ces gars qui sont vraiment bons dans ce domaine. Je ne veux pas tout leur acheter, mais je veux les inciter à coopérer et à collaborer ensemble pour me donner le maximum de résultats. C'est là que l'aspect plateforme devient réellement une réalité. Et c'est en quelque sorte un aspect local, mais c'est grâce aux API qui font partie de cette intégration.

0:23:18.0 Raghu Nandakumara : Oui, je suis d'accord, et je pense que nous avons déjà eu cette conversation sur le fait de vraiment rassembler, et vous en avez toujours été un fervent promoteur, sur le fait de réunir les meilleures technologies du genre, tout en étant capable de les unifier presque sur un seul plan de contrôle. Et comme vous l'avez dit, cela est en grande partie d'origine locale. Il faut vraiment le vouloir et le construire ensuite.

0:23:44.7 Chase Cunningham : Oui, je pense que vous pouvez vous y retrouver un peu. Et l'autre élément de la discussion sur les cas d'utilisation est qu'il y aura toujours, pour différentes entreprises et différents secteurs verticaux, un cas d'utilisation qui les obligera à disposer des meilleurs produits, peu importe, ce qui est très bien. C'est ce que vous avez de plus important, que votre radio soit active par tous les moyens, procurez-vous une Lamborghini. Mais pour ce qui est de la main-d'œuvre, c'est là que cette autre approche est, à mon avis, la plus logique. C'est drôle, quand on parle de Lamborghini, tout le monde oublie que Lamborghini a commencé comme fabricant de tracteurs.

0:24:25.1 Raghu Nandakumara : Oui, exactement. Eh bien, la seule Lamborghini que j'ai est celle que mon fils a fabriquée en Legos, et croyez-moi, il nous a fallu six mois pour la terminer. Vous avez en quelque sorte fait allusion à la conjoncture macroéconomique, vous avez parlé du retour sur investissement, alors parlons-en un peu. À un niveau élevé, comment l'adoption d'une stratégie Zero Trust génère-t-elle un retour sur investissement ? Ou comment mesurer le retour sur investissement de l'adoption de Zero Trust ?

0:24:56.4 Chase Cunningham : Je pense donc que l'une des meilleures façons que j'ai vues de travailler avec les organisations est vraiment de savoir ce dont elles se débarrassent lorsqu'elles s'orientent vers un aspect stratégique des choses. J'ai travaillé avec des organisations qui disposaient d'au moins deux, voire trois, solutions similaires, résolvant des problèmes similaires qui ont été mis en œuvre par de nouvelles équipes au fil du temps. Je pense que la plus intéressante était quelqu'un qui avait trois solutions IAM faisant toutes la même chose, et qui s'est dit : « Eh bien, laquelle est la meilleure ? » « Alors, allons-y, apportons ça. » Les années précédentes, de nombreuses réponses instinctives ont été apportées aux nouveaux besoins, aux nouveaux problèmes, aux nouveaux risques et aux nouvelles menaces. D'accord, nous en avons un peu saturé, maintenant la prochaine chose à faire est de se demander : « Qu'est-ce qui répond réellement aux besoins ? Qu'est-ce qui permet de mettre en œuvre ma stratégie ? Permettez-moi de réduire certaines choses dont je n'ai pas besoin », puis ce budget me permettra de consacrer à d'autres choses. Et chaque fois que vous avez une conversation dans l'entreprise en disant : « J'ai libéré du budget », les gens commencent soudainement à sourire. Vous ne voulez pas en demander plus, mais vous avez le droit de dire : « Je suis prêt à en sacrifier un peu ».

0:26:00.2 Raghu Nandakumara : Mais d'après votre expérience de direction de nombreuses initiatives Zero Trust, quand ce retour sur investissement est-il souvent réalisé ? Parce que je suppose que c'est... Vous avez peut-être l'impression que cela se réalise dès le départ, mais le voir en chair et en os est un moyen d'entrer dans le cycle, alors quand est-ce souvent réalisé ?

0:26:24.2 Chase Cunningham : Le processus va prendre un certain temps. L'avantage, c'est que vous pouvez le définir et avoir, je dirais, un budget presque prédictif que vous pouvez revenir en arrière et dire : « Alors que nous migrons, de l'année zéro à la troisième, voici ce qui va disparaître, et voici où ce budget va être libéré ». Parce que nous savons combien coûtent les choses, puis vous pouvez commencer à vous dire : « Cette année, je vais être libre... » C'est l'inverse de votre budget, c'est comme ce que vous avez fait pour obtenir ces choses, maintenant vous ne faites que les décharger et vous pouvez dire de manière prédictive ce que vous allez libérer.

0:26:54.7 Raghu Nandakumara : Et je suppose que la portée globale du programme Zero Trust est si importante, qu'il ne faut pas exagérer la portée au début et donc sous-financer son exécution.

0:27:08.4 Chase Cunningham : Scope vous voit en vie. C'est pourquoi je pense qu'il est si essentiel d'avoir une véritable conversation avec le leadership dans la planification avant de commencer à le faire, parce que vous ne... Ne confondez pas exécution tactique et valeur stratégique, et c'est ce que font beaucoup de gens. « C'est ce que nous avons fait. OK, cool. Quelle est la prochaine étape ? » C'est une exécution tactique. La valeur stratégique est la suivante : « Je marche vers ce but, quelles tactiques dois-je adopter pour me permettre de poursuivre cette marche ? »

0:27:36.4 Raghu Nandakumara : Oui, et je pense que c'est le... J'adore la façon dont vous l'exprimez, car je pense que c'est ce qui manque aux gens lorsqu'ils essaient de mettre en œuvre une stratégie Zero Trust. Ils ont cet objectif stratégique, mais ce qui leur manque, ce sont en fait les mesures tactiques qu'ils doivent prendre pour y parvenir, et par conséquent, ils ne voient jamais le retour sur leur investissement ou ils ne font même jamais le premier pas parce qu'ils envisagent simplement la situation dans son ensemble. Passons donc un peu à la question de la confiance zéro et à la façon dont les régulateurs, les organismes gouvernementaux, etc., commencent à vraiment faire pression pour l'adoption de la stratégie Zero Trust. Il y a bien sûr, le type d'EO de l'administration Biden est évidemment mondialement connu maintenant, je dirais.

0:28:32.2 Chase Cunningham : Ce fut un moment décisif.

0:28:34.5 Raghu Nandakumara : 100 %, mais cela fait environ 18 mois qu'il a été publié. Où en sommes-nous en termes de progrès réels à cet égard ?

0:28:44.3 Chase Cunningham : En octobre 2022, le gouvernement fédéral a finalement créé un bureau du programme Zero Trust du DoD, et c'était... Chaque fois que le DoD met en place un bureau de programme, c'est quelque chose. En plus de cela, ils ont alloué environ un milliard et 1,1 milliard de dollars à ce bureau et ont dit : « Allez-y et activez ZT ». Donc, en langage gouvernemental, c'est assez rapide, 18 mois pour obtenir un bon de commande auquel beaucoup d'argent est alloué, c'est rapide et ils commencent à mettre les choses en place. Sans m'attirer de problèmes, j'ai participé à certaines conversations avec certaines de ces organisations et il y a du mouvement, mais elles s'en tiennent à la stratégie qu'elles ont décrite dans le document Zero Trust du DoD publié le 23 novembre. Ils font donc ce que je pense être la bonne chose, s'en tenir à leurs armes et aller de l'avant, ça va être difficile. Ce que tout le monde a lu dans ce document de stratégie, c'est qu'ils ont dit : « Oh, le DoD dit qu'ils seront ZT d'ici 2027 ». Ce n'est pas du tout ce qu'ils ont dit, ils ont dit qu'ils seraient dans un état de confiance zéro d'ici 2027. Si vous lisez le tout, il est dit qu'ils ne seront pas en état de pleine conformité opérationnelle avant 2032, et c'est trop tôt. C'est donc un calendrier très réaliste, à mon avis.

0:30:10.5 Raghu Nandakumara : Et pensez-vous que c'est un programme qui a suffisamment d'élan, qu'il va perdre le cap, ou est-il encore trop tôt pour le dire ?

0:30:22.2 Chase Cunningham : Je pense qu'il est trop tôt pour regarder dans une boule de cristal, mais je pense que la façon dont ils ont modifié la structure des incitations, en passant d'une quantité de bâton à beaucoup plus de carottes, va faire avancer les choses. Parce que si vous voulez en tirer beaucoup de valeur et que la conversation est déjà en cours, c'est qu'ils ont les bandits du périphérique qui se contentent de crier et de tourner en rond comme des requins avec du sang dans l'eau pour y contribuer. Et c'est ainsi que les choses se passent au gouvernement lorsque les bandits du périphérique arrivent et font en sorte que cela se produise réellement. Si vous comptiez sur le ministère de la Défense pour le faire lui-même, le soleil s'éteindrait avant que quoi que ce soit ne soit fait.

0:31:02.0 Raghu Nandakumara : Beltway Bandits, c'est la première fois que j'entends ça mais je comprends tout de suite.

0:31:06.9 Chase Cunningham : J'habite près du périphérique, donc je les vois toute la journée.

0:31:11.8 Raghu Nandakumara : Et je suppose que toute la réaction des autres régulateurs et d'autres organisations gouvernementales comme la TSA, par exemple, lorsqu'ils ont émis des directives de sécurité à ces opérateurs de GNL est une manifestation directe, une suite directe de l'EO, mais également des menaces pour les infrastructures critiques. Encore une fois, les menaces ne sont probablement pas une bonne chose, mais leur action est un bon facteur qui pousse à l'adoption de Zero Trust.

0:33:44.5 Chase Cunningham : Oui, je le dis aux gens, je ne me soucie même pas vraiment des menaces. Si vous passez tout votre temps à vous inquiéter du prochain exploit russe sexy et cool ou de tout ce que quelqu'un va voler à la NSA et diffuser sur Internet ouvert, c'est un exercice d'utilité. En fait, ce que vous devriez faire, c'est regarder ce dont nous parlons dans ZT, quels sont les principes fondamentaux du succès de ces choses, car c'est de la physique. Il y a des choses qui peuvent être sexy et cool là-haut, je vais régler le problème ici au plus bas niveau et faire en sorte que ces choses ne marchent pas. Et puis une victoire est une victoire, c'est une victoire, et profitez-en.

0:32:21.6 Raghu Nandakumara : Oui, parce qu'en fin de compte, ce sont les mêmes choses qui ne cessent d'être exploitées et dont bénéficient les attaquants. Cela n'a que très rarement changé.

0:32:31.6 Chase Cunningham : Dans toutes les guerres, parce que la cybersécurité est un domaine de guerre, dans toutes les guerres de l'histoire, personne n'a jamais eu besoin de savoir aussi clairement ce que l'ennemi allait faire pour gagner, et ils restent assis à se dire : « Eh bien, je me demande comment nous défendons cela. » Allez, mec, c'est la couleur avec des crayons. C'est écrit ici.

0:32:47.5 Raghu Nandakumara : Oui, exactement. C'est donc à cette période de l'année que je suis sûr que vous êtes inondé de demandes pour « Hé, Chase, donne-nous tes prévisions pour 2023 ». Je vais vous parler de l'année 2023. Qu'est-ce que cela réserve à Zero Trust ?

0:33:07.9 Chase Cunningham : Je pense que le plus important est que vous allez assister à une plus grande adoption de ZT en dehors du marché américain. C'est la seule prédiction sur laquelle je pense pouvoir m'appuyer et dire que ce sera probablement réaliste, et c'est littéralement parce que j'ai ces conversations avec des organisations en Amérique latine, en Australie, au Japon, en Inde, au Royaume-Uni et dans la région nordique. Je pense donc que c'est ce qui va continuer à croître. À part ça, je dirais que la plupart du temps, ce sera la même chose, une journée différente avec des manigances légèrement différentes.

0:33:47.1 Raghu Nandakumara : Et voyez-vous cette accélération de l'adoption de Zero Trust ? Est-ce que vous le constatez spécifiquement dans le secteur public ou piloté par le secteur public ? Donc, plutôt une sorte d'io type, des édits émanant de gouvernements d'autres pays ou émanant du secteur privé ?

0:34:08.2 Chase Cunningham : Je pense qu'à l'échelle internationale, ce sera principalement piloté par le secteur privé. Je pense que /wink wink a une idée du fait que certaines choses vont probablement se produire en ce qui concerne les directives publiques aux États-Unis. Mais le cyberespace est une sorte d'espace de ruissellement où les États-Unis et le DoD sont en avance sur tout le monde ou font les choses du premier coup, et cela fonctionne partout. Je pense donc que l'Australie, que je connais, s'est efforcée de cartographier ses huit points essentiels à Zero Trust. Je pense donc qu'il y aura des choses comme ça, mais peut-être que cela se produira cette année, peut-être pas.

0:33:47.3 Raghu Nandakumara : Très bien, donc avant de terminer, John et vous allez vous retrouver autour d'un verre et vous échangez des analogies avec Zero Trust. Qui a une meilleure analogie avec Zero Trust ?

0:35:01.5 Chase Cunningham : Cela peut aller dans les deux sens, honnêtement, selon le nombre de verres que nous avons bu, pour être parfaitement franc. Oui, John est évidemment le Parrain, mais j'en ai jeté de bons de temps en temps.

0:35:16.3 Raghu Nandakumara : Allons-y, écoutons-en un. Écoutons la dernière que vous avez concoctée.

0:35:21.4 Chase Cunningham : En ce qui concerne Zero Trust, c'est quoi ? Oui, je dirais que Zero Trust, pour moi, c'est comme sortir avec ma fille. Je vais savoir qui tu es, je vais voir ce qui se passe, je vais te donner accès à elle, je vais surveiller ce qui se passe. Et puis si vous faites des choses qui sortent de l'équilibre de ce que je qualifierais d'acceptable, vous êtes parti, c'est tout.

0:35:42.8 Raghu Nandakumara : Chase, sur ce, je te remercie beaucoup pour le temps que tu m'as accordé. Tous ceux qui écoutent ce podcast, Chase, Dr. Cunningham, Dr. Zero Trust ont leur propre podcast éponyme, Dr. Zero Trust, disponible sur toutes les plateformes habituelles. Allez-y et jetez-y un œil. Il s'agit d'une dose régulière du contenu le plus réel et le plus exploitable sur tout ce qui concerne la cybersécurité, pas seulement sur Zero Trust, mais aussi sur toute une gamme de produits Zero Trust. Merci

0:36:12.2 Chase Cunningham : Génial, merci beaucoup.

0:36:15.7 Raghu Nandakumara : Merci d'avoir écouté l'épisode de cette semaine de The Segment. Pour encore plus d'informations et des ressources Zero Trust, consultez notre site web à l'adresse illumio.com. Vous pouvez également communiquer avec nous sur LinkedIn et Twitter à l'adresse Ilumio, et si vous avez aimé la conversation d'aujourd'hui, vous pouvez retrouver nos autres épisodes partout où vous trouvez votre podcast. Je suis votre hôte, Raghu Nandakumara, et nous reviendrons bientôt.