Une nouvelle façon de protéger les données

00:03 Sean Connelly

Nous envisageons la sécurité des données sous un angle nouveau, mais je pense que le pilier de la sécurité des données est le plus faible et que nous avions le plus à faire.

00:12 Raghu Nandakumara

Bienvenue sur The Segment, un podcast sur le leadership Zero Trust. Je suis votre hôte, Raghu Nandakumara, responsable des solutions industrielles chez Illumio, la société Zero Trust Segmentation. Dans l'épisode d'aujourd'hui, je suis accompagné d'un invité très spécial, Sean Connolly, ancien architecte fédéral Zero Trust à la Cybersecurity and Infrastructure Security Agency, ou CISA, en abrégé. Sean était également le responsable fiable du programme de connexions Internet de la CISA au sein du ministère de la Sécurité intérieure (DHS). Il a rejoint le DHS en 2013 et a occupé divers postes depuis lors. Il a été l'un des principaux auteurs du rapport sur la modernisation informatique présenté au président en 2017 et a co-écrit la publication spéciale du NIST intitulée Toward Zero Trust Architectures en 2019. Nous avons enregistré cet épisode en février. Alors que Sean a depuis quitté CISA, vous l'entendrez parler de son point de vue lorsqu'il y travaillait encore. Nous discutons de l'évolution des architectures réseau, des raisons pour lesquelles les incidents survenus au cours des cinq dernières années ont incité le gouvernement fédéral à se concentrer davantage sur la cyberrésilience et, en particulier, sur le Zero Trust, et de la manière dont la CISA envisage de nouvelles manières de protéger les données. J'ai donc le grand plaisir d'accueillir dans cet épisode de The Segment Sean Connelly, architecte fédéral Zero Trust chez CISA. Sean, c'est un plaisir. Merci de vous joindre à nous.

1:39 Sean Connelly

Oh, merci. Cela a été un plaisir de ma part. Je suis très heureuse d'être sur The Segment. Merci.

1h45 Raghu Nandakumara

Merci beaucoup. Et c'est très excitant pour nous, car ce n'est pas souvent que vous avez l'occasion de dialoguer avec quelqu'un qui a joué un rôle direct dans la rédaction des mandats Zero Trust au niveau gouvernemental. Mais avant d'entrer dans le vif du sujet, Sean, parlez-nous un peu de votre parcours et du cheminement de carrière que vous avez suivi pour devenir architecte Federal Zero Trust.

2:07 Sean Connelly

Bien sûr, alors merci. Je m'intéresse donc aux ordinateurs depuis longtemps. Au début des années 80, j'avais un projet parallèle dans le cadre duquel j'utilisais un TRS80 modèle 3, un ordinateur RadioShack. J'ai participé à l'expo-sciences et j'ai découvert assez rapidement ce qu'était l'expérience utilisateur. Parce qu'à l'expo-sciences, je suis allée dans une école privée et une religieuse de plus de 80 ans a essayé d'utiliser l'ordinateur. C'est quelqu'un qui est littéralement né dans les années 1800. Et c'est un peu différent d'essayer de lui expliquer comment allumer l'ordinateur et ce que signifie une erreur de syntaxe. Mais en allant de l'avant, je me suis intéressé davantage à la sécurité ou à la mise en réseau pour la sécurité. Dans les années 90, j'ai installé une tonne de routeurs et de commutateurs Cisco, et c'est là que j'ai vraiment commencé à me familiariser avec les protocoles. Et vraiment, quand vous faites du routage, vous devez comprendre les protocoles presque comme au niveau réel de Wireshark ou d'Ether, pour vieillir un peu. Et puis, naturellement, à partir de ce réseau, vous devez commencer à vous soucier du périmètre. Puis je suis entré dans les pare-feux au début des années 2000. Et puis en 2004 ou 2005, j'ai eu l'opportunité de travailler au département d'État. Et le Département d'État, bien sûr, plus de 200 ambassades et postes à travers le monde, le Réseau mondial. Certaines des menaces persistantes les plus avancées proviennent du Département d'État. C'était donc vraiment une expérience formidable pour moi de découvrir le gouvernement fédéral et le fonctionnement d'un réseau mondial. Et puis peut-être qu'en 2013, je crois, j'ai eu l'opportunité de passer à NPPD, l'ancien nom de CISA, et je travaille chez Cisco depuis environ 11 ans. En fait, à cette époque au département d'État et à la CISA, je me suis principalement concentré sur ce périmètre, en particulier au niveau des agences fédérales. Selon la manière dont vous comptez, il existe plus de 100 agences fédérales civiles et exécutives, et nous avons travaillé avec ces agences pour les aider à sécuriser leurs réseaux et à stopper les types de menaces liées aux AP au niveau du périmètre. Et puis Zero Trust est apparu, bien sûr, avec de nouveaux types de discussions, mais en réalité, cela fait presque 20 ans. Il a travaillé avec l'entreprise fédérale et a contribué à sécuriser de différentes manières que ce que nous faisions auparavant, je pense.

4:16 Raghu Nandakumara

Génial Donc, vous avez parlé du périmètre. Et je pense que si nous examinons l'évolution des architectures des architectures de réseau au cours des 20 dernières années, je pense que la plus grande évolution a probablement été autour de ce concept de périmètre. Et je sais que vous avez participé au TIC 1, au TIC 2 et, plus récemment, au TIC 3. Si vous pouviez expliquer au public comment la nature du périmètre a changé et pourquoi, alors les exigences de sécurité devraient évoluer en même temps.

4:46 Sean Connelly

Bien sûr, c'est une excellente question. Donc, une grande partie de ce que nous avons commencé avec TIC un, TIC deux. Au milieu des années 2000, le Bureau de la gestion du budget de la Maison Blanche avait posé une question assez simple à tous les DSI fédéraux et à tous les RSSI fédéraux : « Combien de connexions avez-vous sur Internet ? Combien de connexions l'agence a-t-elle avec les réseaux partenaires ou avec Internet lui-même ? » Le nombre de personnes qui sont revenues était impressionnant. Personne ne pensait que de nombreux circuits étaient autant de connexions. Il y avait plus de 4 000 circuits répartis, et il ne s'agit que du côté civil, sans même parler du DOD. Donc, en fait, les premières discussions ont porté sur l'agrégation du trafic. Comment ne pas éliminer nécessairement ces 4 000 circuits Internet tout en étant en mesure de concentrer et de faire ce que l'on appelle l'agrégation du trafic de ces circuits dans un nombre fini de centres de données, des piles de pare-feu, appelées points d'accès TIC ? La première chose à faire a donc été de concentrer les données. Et puis en plus de cela, maintenant que nous avons les circuits à contrôler et ce nombre fini de points d'accès TIC, commençons à mettre en place un périmètre de sécurité de base standardisé autour de ces appareils. Encore une fois, cela remonte à 2008, 2012, jusqu'à environ 2015, lorsque l'architecture commune était davantage axée sur ce que nous appelons le trafic nord-sud par rapport au trafic est-ouest. Et il s'agissait vraiment de concentrer toutes ces données ; cela s'appelait une taxe TIC ; nous avions de nombreuses agences qui avaient des succursales dans le Midwest ou sur la côte ouest. Mais le siège de l'agence avait ses points d'accès TIC sur la côte est. Maintenant, même à travers l'Amérique, dans les 40 à 50 millisecondes, et si le centre de données était en panne sur la côte ouest, vous devez vous rendre de Los Angeles à Washington, faire sortir son trafic selon le trafic nord-sud, et retraverser la côte ouest. Et il y a littéralement une taxe ; c'était un compromis. C'est à ce moment-là que les discussions sur le cloud ont vraiment commencé à évoluer et que le mobile a commencé à faire irruption au point de vue que nous devions envisager différemment. L'approvisionnement, le modèle du périmètre, l'ancien château et le modèle des douves n'ont jamais été idéalisés, je pense, même à l'époque où j'en parlais. À l'époque déjà, Cisco et le Jericho Forum, dont j'ai entendu parler John Kindervag à l'époque, discutaient de la nécessité d'une périmétrisation approfondie du Jericho Forum. Je pense que John explique que Jericho se concentre parfois sur des connexions TLS, des connexions cryptées entre le client et le serveur, alors que Jericho avait un certain nombre de commandements dans son document d'origine. Et l'une d'elles était quelque chose que je paraphrase ici, mais du genre : « Plus vous pouvez placer la sécurité au plus près des données, mieux c'est ». Et c'est logique, non ? Et c'était exactement le contraire avec TIC 1 et TIC 2. Il forçait le forçage des données des sessions via ces piles de pare-feu. C'est donc vraiment là que, comme l'était l'entreprise fédérale, si vous voulez, en 2015 ou 2016, nous avons entamé cette nouvelle aventure.

7h45 Raghu Nandakumara

C'est intéressant. Vous avez mentionné ce point parce que l'un des rapports indique que vous avez participé à la rédaction du rapport destiné au président sur la modernisation des technologies de l'information au niveau fédéral. Dans le résumé, une chose vraiment intéressante est que vous expliquez comment ces actions permettent aux agences de passer de la protection de leurs périmètres de réseau à la gestion des déploiements physiques existants à la protection des données fédérales et à l'optimisation des déploiements dans le cloud. Le rapport met également l'accent sur une approche basée sur les risques qui concentre les ressources des agences sur leurs actifs les plus précieux. Et je pense que c'est très intéressant parce que cela vous amène presque directement à vous concentrer sur le TIC 3, qui vous éloigne des périmètres de l'organisation dans son ensemble. Mais il faut vraiment déplacer ce contrôle et se concentrer sur la sécurité des éléments clés que vous essayez de protéger.

8h38 Sean Connelly

Oui, merci d'avoir [mentionné] ce rapport. J'étais l'un des nombreux auteurs présents. Et il faut du temps au gouvernement fédéral pour modifier certaines bureaucraties, politiques ou mandats. Et pour revenir à votre point de vue, cela a été écrit en 2017. Beaucoup de ces coauteurs étaient encore parmi nous lorsque nous avons commencé à déployer les directives TIC three après la publication du mémo en 2019. Mais cela a pris toutes ces années même si, à votre avis, nous savions où il voulait aller, mais il faut encore un certain temps pour définir la politique de manière à imposer ce changement ; je ne veux pas dire que cela a nécessité quoi que ce soit de force. Mais commencez à avoir différentes opportunités et différentes possibilités. Mais comme il a été dit, il s'agit plutôt d'optimiser le cloud, de s'éloigner de la sécurité des données, je ne dirais pas de s'éloigner directement de la sécurité des réseaux, mais de trouver un équilibre entre la sécurité des données et la sécurité du réseau.

09:29 Raghu Nandakumara

Oui, je suis d'accord. Et je pense que la façon dont ce rapport en particulier et la consolidation de la modernisation du réseau sont formulés, je pense qu'ils constituent le point de départ de cette transition vers l'adoption d'une approche Zero Trust.

09:44 Sean Connelly

Non, littéralement, c'était John Kennedy. Je le mentionnerai probablement 100 fois dans son interview, mais en 2010 ou 2011, j'ai écrit sévèrement ce document du Chewy Center. À l'époque, j'étais au département d'État, et je parcourais le département d'État avec ces conseils, en disant que c'était là que nous devions aller. Je ne sais pas comment m'y rendre. Mais c'est exactement le cadre qui a évolué. Honnêtement, à l'époque, je pense que nous l'avons plutôt interprété comme une solution astucieuse et une solution de type contrôle d'accès réseau. Pour être honnête, le NAC déplace la sécurité au plus près des données, vous pouvez faire appliquer la loi, si vous voulez changer et que vous avez un agent ou un client 802.1x sur les clients eux-mêmes qui vont changer. Mais même cela, je pense, n'était qu'une partie de l'équation. Il a fallu un certain temps pour que la discussion évolue, et nous avons vu ce que Google a fait au cours des 5 à 10 dernières années, lorsqu'il a été compromis il y a une dizaine d'années, comment il a vu avec beyond core et comment il traite les données cryptées. Donc, je pense que toutes ces discussions sont en cours. Et puis, comme je l'ai dit, juste pour ce qui est de l'opportunité de publier ce rapport en 2017, Zero Trust a vraiment commencé à trouver un écho au sein du gouvernement de différentes manières. Au NIST, c'était avant la COVID, le NIST organisait un certain nombre d'ateliers sur le Zero Trust. Chaque année, il y a un rassemblement annuel. NSA, ils participaient largement à ces réunions. Randy Resnick, qui travaillait à la NSA à l'époque, est maintenant le responsable de la gestion de portefeuille Zero Trust du DoD, il y était. Certains des principaux auteurs du rapport sur la modernisation informatique mentionné étaient présents à ces conférences. Cela commençait donc à se répandre ; ce n'était tout simplement pas vraiment dans la politique en soi, le Zero Trust. En même temps, vous avez parlé de modernisation ; il y a eu un mémo TIC ou une note qui a modernisé le TIC. Nous avons donc essayé de positionner les trois efforts du TIC pour être en mesure de soutenir et d'aligner Zero Trust autant que possible là-dedans.

11:38 Raghu Nandakumara

J'ai compris, car l'autre chose que j'ai remarquée avant de passer au rapport sur la modernisation informatique, c'est que cela bloque également l'adoption du cloud public par les agences fédérales. Pourquoi avez-vous assisté à cette évolution en passant d'une approche trop centrée sur le périmètre et le réseau à une approche davantage axée sur les actifs critiques en termes de sécurité ? Pourquoi avez-vous estimé que c'était essentiel à l'adoption ou à l'accélération de l'adoption du cloud par les agences fédérales ?

12h10 Sean Connelly

Malheureusement, nous avons eu un certain nombre d'études de cas où il a été démontré que la moyenne est une base de périmètre large. Vous vous concentrez en grande partie sur le périmètre, l'adversaire étant toujours compromis. Une grande partie des efforts que vous avez mentionnés dans le cadre de la modernisation informatique ont en fait découlé de la faille OPM survenue en 2015. Et c'était une réponse à la violation de l'OPM. Nous parlerons probablement du cyber EO et des activités liées à Zero Trust qui se sont déroulées ces dernières années. Une grande partie de cette information était axée sur la faille SolarWinds. Il arrive donc parfois que ces violations attirent l'attention des dirigeants et forcent ensuite ces discussions de nouvelles manières. Mais pour revenir à votre point de vue, le cloud existait bien avant que la faille ne se produise. Bien entendu, FedRAMP, le responsable de la GSA, la modernisation du cloud ou le processus ATO existent depuis une dizaine d'années, mais il a fallu quelques années pour qu'un programme prenne réellement en charge les différents fournisseurs de cloud dans le cadre du programme FedRAMP. Je me souviens de l'époque où Matt Goodrich fêtait le numéro 20 du CSP ATO vers 2014 ou 2015. Maintenant, je pense qu'il existe plus de 300 packages différents pour ATO. Il faut donc parfois un certain temps pour que cela se produise. Mais oui, l'adoption du cloud a eu lieu. Comme tu l'as dit, c'est le même point. Qu'elles soient plus grandes ou plus rapides, qu'elles adoptent le cloud, nous commençons à vraiment devenir des agences.

13h27 Raghu Nandakumara

Compris. Nous reviendrons donc sur le cloud dans une seconde. Et vous avez indiqué vous-même que certains d'entre eux avaient été piratés par OPM au milieu des années 2010. Et puis, bien sûr, SolarWinds, il y a quelques années, a fait déborder le vase, et cela a peut-être forcé la publication de l'EO 14028. Alors, pouvez-vous nous en dire un peu plus sur le fait que vous étiez là lorsque ces choses ont été formulées, n'est-ce pas ? Parlez un peu du processus.

13:52 Sean Connelly

Sûr. Donc, deux choses sont en train de se produire. Et je ne vais pas m'en mêler à la politique. Mais il y a également eu des changements administratifs. Chris DeRusha, le CISO fédéral, qui arrivait. Eric Mill, Eric faisait partie du groupe qui a rédigé le rapport sur la modernisation informatique. Eric y est resté longtemps. Un certain nombre de personnes clés entrent au gouvernement. Et, encore une fois, en raison de la compromission de SolarWinds et des répercussions qui en ont découlé, nous, en tant que gouvernement, savions que nous devions être en mesure d'établir de nouvelles normes. Personne ne dit d'oublier les périmètres de réseau, trop de technologies traditionnelles, si vous voulez, au sein des agences. Personne ne va supprimer les pare-feux, mais nous avons besoin d'une solution d'architecture plus complète. Donc, pour en revenir à ce que vous avez parlé du cyberdécret, il y avait un certain nombre de taskers à l'intention de l'OMB, de la GSA, de la CISA, du NIST, qui ont commencé par discuter de la manière d'aller de l'avant et de proposer une solution d'architecture plus complète. Encore une fois, pour beaucoup de ces personnes, c'est presque comme un coup de bâton, si vous voulez, provenant de différents groupes, mais pour en revenir au rapport sur la modernisation des technologies de l'information, il y avait une dynamique ou une orientation claire. Et puis le cyberdécret a pu se manifester de manière plus particulière et, comme vous le dites, se concentrer sur Zero Trust lui-même, d'une manière que nous n'avions pas eu cette opportunité, je pense, ou dans le cadre d'une politique antérieure ou simplement d'un code hérité et tout ça.

15:19 Raghu Nandakumara

Donc, sans un incident comme SolarWinds, ou je pense que Colonial Pipeline n'était pas arrivé bien des mois après SolarWinds. S'agit-il simplement de ceux qui ont pour but de mettre l'accent sur l'importance de l'EO 14028 ? Ou sans cela, cette commande aurait-elle été potentiellement retardée et n'aurait-elle peut-être pas eu l'importance et l'attention qu'elle a eues ?

15:44 Sean Connelly

Oui, certainement, les dirigeants ont attiré l'attention d'une manière dont je ne suis pas sûre qu'elle aurait été là sans cela. Dans le cas de SolarWinds, les attaques d'avertissement qui ont réellement visé la couverture de SolarWinds étaient centrées sur Microsoft et sur la manière dont les agences détenaient une grande partie de leurs données critiques dans différents locataires du cloud Microsoft. Nous avons donc dû être en mesure, une fois de plus, de trouver une solution plus complète à l'avance. Je pense que nous avons oublié une chose lorsque nous sommes allés au TIC 3, et qui s'est également produite, bien sûr, juste au moment où la COVID est arrivée, comme la publication des documents du TIC. Et nous allions publier le cas d'utilisation du cloud pour TIC, le premier cas d'utilisation. Un certain nombre de cas d'utilisation sont requis pour les agences. Lorsque l'OMB a publié le mémo TIC 1926, il y avait un certain nombre de cas d'utilisation, et nous allions commencer par le cas d'utilisation du cloud, car je pense que c'est là que nous avons accordé le plus d'attention. Mais lorsque la COVID est arrivée et que l'accent a été mis sur le travail à distance, nous avons été contraints de changer et de publier un cas d'utilisation du télétravail pour les utilisateurs. Les fonctionnalités que vous utilisez pour protéger les utilisateurs distants vers une succursale et ensuite vers le cloud sont les mêmes. Il existe certaines similitudes, mais il y a certaines différences que vous souhaitez souligner. Je pense que les agences confondent vraiment les messages. Certaines personnes ont regardé ce que nous avons fait, et elles se sont dites : oh, nous nous concentrons davantage sur l'utilisateur. Et ce n'était pas vraiment l'intention. Nous avons donc dû publier le cas d'utilisation du cloud à la fin, mais tout au long de la publication de ces différents cas d'utilisation pour TIC, nous travaillons également avec l'OMB, la Maison Blanche, l'équipe de Clare Martorana au sein du CIO fédéral et l'équipe de Chris DeRusha, le CISO fédéral, sur la manière de disposer d'une architecture de solution plus complète. Voyons voir, dans le cyberdécret, puis juste après, il a été publié sous forme de projet de note stratégique aux agences de l'OMB sur la stratégie Zero Trust. Encore une fois, cela faisait partie des efforts déployés pour vraiment entamer des discussions au niveau de la direction. À l'OMB, ils discutaient, par exemple, avec les secrétaires adjoints, qui sont généralement les seconds responsables des agences elles-mêmes et n'ont pas besoin du secrétaire. Cela a donc attiré l'attention de la direction, et c'est ce qu'il a écouté John Kindervag, tout le monde savait que vous deviez avoir intérêt à la fois à un alignement du haut vers le bas et de la base vers le haut. Et je suis plus orienté vers le bas et j'aide à pousser quand je le peux. Mais nous avions besoin de ce leadership du haut vers le bas, et comme nous en parlions avant l'appel, le fait d'avoir un président disponible et clair, disant : « Agences, vous devez aller de l'avant pour moderniser l'architecture de cybersécurité » a certainement contribué à attirer l'attention de tous.

18:10 Raghu Nandakumara

Oh, debout à l'extérieur. Absolument. Quand cela a été publié, et puis je pense à tout ce qui a suivi, je ne peux pas imaginer qu'il y ait eu plus d'enthousiasme dans le monde de la cybersécurité à l'égard de quelque chose émanant d'un gouvernement de la manière dont il l'a piloté. Quand il est tombé parce que tu étais à l'intérieur, qu'as-tu ressenti ? Eh bien, il s'agit d'un moment décisif dans son histoire en matière de cybersécurité. Et je suis en plein milieu de tout ça.

18:36 Sean Connelly

Eh bien, c'est une bonne question. Je n'aurais jamais pensé avoir entendu ça de cette façon. Il y a eu un certain nombre de coups de matraque. Avec le recul, bien sûr, cela peut être considéré comme le moment critique où beaucoup de choses ont été publiées. Mais après avoir travaillé pour la CISA et travaillé avec l'OMB et la GSA, beaucoup d'efforts ont été déployés dans l'ensemble ; il a fallu dix ans pour en arriver là. Mais clairement, la réponse, l'intérêt suscité par Zero Trust, où le gouvernement a été examiné après la cybersécurité, après l'OPM et la conversation, ses attentes à l'égard de la posture fédérale en matière de cybersécurité, par rapport à la situation actuelle, et la façon dont nous sommes en mesure de vous parler de manière générale et de vous dire : « C'est ce que fait le gouvernement fédéral ; c'est ce que nous recherchons ». C'est juste un vaisseau totalement différent de ce que vous disiez. Cela a changé la donne d'une manière à laquelle personne ne s'y attendait, et c'est vraiment un compliment, encore une fois, à l'OMB, à la Maison Blanche et à leur clairvoyance, et leur capacité à positionner l'architecture des notes de manière à attirer l'attention de tous.

19:33 Raghu Nandakumara

Oui, absolument. Et nous étions en train de discuter très brièvement hors ligne avant de commencer ce qui, à mon avis, est particulièrement intéressant à propos du mémo. Cela vient-il de la Maison Blanche et du Bureau du Président ? Certains détails de la spécificité sont inattendus, exceptionnellement inattendus, mais aussi très bien accueillis parce que nous en avons vu trop et nous continuons à voir trop de types de réglementations d'un niveau si élevé que lorsque vous dites : « D'accord, que dois-je réellement faire ? » Ce n'est pas particulièrement clair. Alors pourquoi était-il si important d'avoir un tel niveau de granularité technique, comme le fait le Bureau du Président pour favoriser l'adoption ?

20:19 Sean Connelly

Maintenant, c'est une excellente question. Et il fallait faire attention, parce que j'entendais John Kindervag enfiler comme des épingles la poupée vaudou Sean Connelly. Bien que nous puissions nous concentrer un peu sur la technologie, il s'agit plutôt du changement culturel qui se produit. Mais pour revenir à votre point de vue, il est toujours question de nouvelles manières de protéger les données. Mon ancienne patronne, Sarah Mosley, lorsqu'elle était directrice technique chez CiscoCISA, elle prêchait : « Vous devez protéger les données », en 2015 et 2016. Hack Diag, qui est un autre de ces quasi-groupes de réflexion ici à Washington, DC, a publié un article, je crois, en 2018, sur Zero Trust, donc il était disponible, mais pour revenir à votre point de vue jusqu'à ce que vous commenciez à mettre des éléments très tactiques dans un mémo Zero Trust, le cyberdécret qui a vraiment attiré l'attention de tous. Mais même à ce moment-là, nous pourrions en parler un peu ; même lorsque nous disions que les agences peuvent transférer rapidement l'identité en ligne, des questions se posaient comme : qu'est-ce que cela signifie réellement ? Tout le monde revenait en même temps à la technologie. Nous savions qu'il fallait changer la façon dont les agences peuvent se connecter au cloud et communiquer avec leurs utilisateurs, qu'il s'agisse de leurs utilisateurs distants, d'utilisateurs professionnels ou de leur clientèle. Et déplacer ce trafic via ces points d'accès technologiques physiques n'était pas la solution pour progresser dans le domaine des infrastructures modernes. Nous devions donc être en mesure de relâcher la pression et de proposer de nouvelles solutions. Nous commençons donc à voir des agences utiliser des solutions SASE (Secure Access Service Edge) ou SSE (Security Service Edge), ce qui n'était tout simplement pas possible auparavant. Il y a donc eu, presque comme vous l'avez dit, une méthode très tactique, pilier par pilier. Et pour revenir un peu en arrière sur l'OMB et cette stratégie, nous avons aligné la publication de notre modèle de maturité Zero Trust, et nous avons donc fait des compliments pour la stratégie. Et à la CISA, nous avions donc ces cinq piliers, n'est-ce pas ? Appareil d'identité, données, réseau d'applications et, oh, et son mémo est sorti de cette façon. Et comme il en a été question, il y avait le pilier d'identité dont les agences ont besoin pour le faire. Eh bien, les agences responsables des appareils doivent le faire. Et il a fourni une feuille de route très claire sur la manière d'améliorer la posture de sécurité au sein de l'entreprise fédérale. Mais en réalité, certains changements organisationnels qui se produisent en même temps sont essentiels à cet égard.

22:29 Raghu Nandakumara

Ouais. Et je suis d'accord, je pense que les mots que vous utilisez étaient vraiment bons. Il s'agit vraiment de forcer un changement de culture ou de stratégie. Mais le simple fait de le spécifier sans au moins un certain niveau de détail tactique signifie qu'il est très difficile d'identifier les gens parce que c'est comme si, d'accord, eh bien, montrez-moi réellement ce que vous avez fait. Et les éléments tactiques les aident à montrer ce qu'ils ont fait. Vous avez donc parlé du modèle de maturité Zero Trust. Et il y avait, je crois, la version 2.0, qui est sortie l'année dernière. La version 1.0, c'était il y a quelques années. Parlez-en avec nous. C'est assez rapide, juste après la sortie de la deuxième version. Pourquoi avez-vous pensé qu'il était nécessaire d'aller jusqu'au bout ? Quels sont les principaux enseignements tirés de la première version, de sa mise en œuvre et des commentaires qui ont inspiré les améliorations ou les améliorations apportées à la version 2.0 ?

23:21 Sean Connelly

Oui, c'est une bonne question. Commençons donc de cette façon. Nous avons donc publié la première version à l'été 2021. Au même moment, l'OMB a publié une ébauche de stratégie Zero Trust. Et vraiment, même si nous avons publié la première version, parce que je pense que c'était obligatoire, elle figurait dans le cyberdécret. En réalité, il s'agissait plutôt d'une ébauche qui voulait simplement faire connaître quelque chose. L'une des raisons pour lesquelles nous voulions le publier à l'époque était que les agences étaient chargées d'envoyer leur plan de mise en œuvre Zero Trust à la Maison Blanche. De notre côté, à la CISA et à l'OMB, nous voulons que les agences aient une taxonomie et un langage communs lorsqu'elles s'adressent à nous, car, en particulier pour l'OMB et pour nous-mêmes, il va être difficile de lire plus de 100 plans, et ils n'ont aucun point commun. Nous avons donc publié le modèle de maturité pour aider les agences et les agences maritimes à discuter lorsqu'elles sont venues nous voir et nous ont expliqué comment elles s'amélioraient, mais je l'ai publié, nous savions que nous allions devoir faire une deuxième version. Donc, ce qui était intéressant, c'est que j'ai mentionné les plans de mise en œuvre que les agences devaient communiquer à l'OMB. Et puis l'été, le printemps et l'été 2022. Il y avait une équipe restreinte composée de nous-mêmes et de l'OMB et de quelques autres agences, des PME (experts en la matière). Et nous avons examiné, agence par agence, le nombre de plans de mise en œuvre ; il y en a 20/25, des agences chargées de l'action des directeurs financiers, toutes des agences partielles, puis un certain nombre de petites agences également. Nous les avons revus, équipe par équipe, et avons eu ces discussions avec les agences pour comprendre où elles en étaient dans leur parcours Zero Trust. Tout cela a ensuite été reflété dans la deuxième version de la note publiée vers, je crois, avril de l'année dernière. Cela reflétait donc vraiment ces discussions. Encore une fois, plus de 100 réunions de groupes de travail avec des agences, de nombreuses réunions avec les différentes communautés de fournisseurs elles-mêmes, puis le monde universitaire. Dans le même temps, d'autres gouvernements s'y intéressent. Nous et d'autres groupes discutons donc avec différents gouvernements, en leur demandant : « Comment le gouvernement fédéral fait-il avancer Zero Trust ? Comment soutenez-vous la connexion au cloud ? » Tous ces types de discussions s'inscrivent donc dans ce modèle de maturité. Une chose que j'ai déjà mentionnée, l'une des premières tâches de l'agence était de pouvoir passer à une identité rapide, FIDO2 en ligne. Et pour revenir à votre point de vue, vous parlez d'avant de pouvoir intégrer le langage dans les politiques. Mais les agences veulent toujours savoir : « Est-ce vraiment ce que vous voulez dire ? » Et depuis des décennies, les agences vivent de leur carte CAC papier ; nous utilisons des employés du gouvernement fédéral, et ils ont leur carte. Mais nous avons besoin d'autres moyens pour faire avancer un MFA multifactoriel résistant au phishing. Ainsi, dans le cadre de cette politique, l'OMB a eu la prévoyance de pouvoir utiliser FIDO. Mais lors de ces discussions en 2022, presque toutes les agences ont dû aller discuter de ce que nous entendions par là, car leur identité est en quelque sorte l'une de ces industries amusantes en termes d'agences et de respect. Certaines agences ont comme Identity Counsel ; d'autres agences ont une PME spécialisée dans l'identité ? Ou, si vous n'avez même pas demandé à l'agence, qui dirige la stratégie d'identité de l'agence ? S'agit-il du groupe Active Directory ? Est-ce le groupe PKI ? Est-ce comme le cloud ou les personnes qui gèrent les comptes cloud ? Chacun d'entre eux a donc presque dû se présenter et expliquer ce que nous entendions par « utilisation rapide de l'identité en ligne », ou simplement répondre à certaines des questions qui nous sont posées sur chacun des différents piliers de la stratégie.

26:39 Raghu Nandakumara

Génial Donc, si vous deviez résumer certains des principaux commentaires que vous recevez et que vous examinez sur tous ces plans, quels ont été les commentaires les plus importants qui ont inspiré les mises à jour du modèle de maturité ?

26:52 Sean Connelly

Tu veux dire la version 2, non ? Une autre version ? Oui, il suffit de se faire une idée. C'est un document de 20 pages qui n'inclut même pas tous les travailleurs ; nous venons de parler du moment où nous avons eu la RFC publique en septembre, je crois, ou 2021. Nous avons reçu plus de 300 commentaires, soit plus de 200 pages, plus de 30 commentaires et un document de 20 pages. Il a donc fallu un certain temps pour distiller les thèmes communs. Vous parlez, bien sûr, du fait que certains fournisseurs souhaitent positionner leur technologie ; nous avons dû modifier l'aspect textuel de cette nature ; nous parlons vraiment de ce que nous essayons de faire, de notre intention ici. Lorsque nous avons défini les priorités, les agences étaient recherchées. Ainsi, par exemple, les agences souhaitaient ce type de solution intéressante ; elles voulaient plus d'informations sur le déprovisionnement, sur la manière de déprovisionner les appareils. Beaucoup de choses, mettons quelque chose en ligne ou ne concernent pas vraiment le déprovisionnement. Nous voulions donc faire appliquer cela en demandant aux agences de réfléchir à la manière dont elles doivent déapprovisionner les produits. J'ai mentionné l'alignement entre le MFA et le MFA résistant au phishing et FIDO2. Nous avons mis un langage plus fort, à la fois pour cela et pour la v2. Une autre chose, du côté du réseau, était davantage axée sur la microsegmentation. Et c'était intéressant. Donc, encore une fois, pour la communauté documentaire, il s'agissait vraiment de segmenter les applications. La segmentation des applications fait donc partie du pilier des applications, mais nous le faisons par le biais de différents outils de mise en réseau, et nous avons décidé de l'intégrer au réseau. Et pour être honnête, tous les modèles sont faux. Certains modèles sont utiles, et nous essayons juste de les publier. Nous ne disons pas que c'est la seule façon de voir les choses. C'est à ce moment-là que nous avons parlé aux agences. Quand il m'a parlé, cela a simplement aidé l'agence à comprendre que la communauté comprenait ce que signifie CISA. Mais nous ne disons pas que nous avons certainement raison, et en matière de sécurité des applications, la segmentation est en quelque sorte le pilier du réseau. Un autre est le chiffrement. Certaines communautés ont estimé que le chiffrement devrait figurer, je pense, dans le pilier des données ; je pense que nous avons soit le pilier réseau, soit le pilier des applications. Il y a donc beaucoup de manières différentes de se positionner et pas vraiment de ne pas dire ce qui était bien ou mal. Un autre modèle de maturité qui existe, comme je l'ai mentionné, est celui de Randy Resnick devant le ministère de la Défense (DoD) et son Zero Trust. Le DoD dispose de nombreuses informations intéressantes, il a élaboré une stratégie pour obtenir l'architecture de référence, il s'appuie sur de nombreuses fonctionnalités ou contrôles, je pense qu'il a sept joueurs qui se rencontrent. Nous avons les cinq piliers que j'ai mentionnés précédemment, puis trois capacités transversales : la visibilité, l'automatisation et la gouvernance. Franchement, beaucoup d'entre nous ne font que de l'esthétique. Quand vous écoutez le discours de Randy et que vous nous écoutez, nous disons la même chose, mais légèrement différemment, donnez une optique un peu différente et aidez les gens à comprendre parce que je viens d'une formation en marketing, et l'une des choses dont vous entendez parler, c'est qu'il faut expliquer quelque chose de sept fois sept manières différentes, et c'est ce que j'essaie de faire ici, simplement aider à expliquer l'intention de différentes manières. Je vais revenir à ce que John Kindervag positionnait il y a plus de 10 ans.

29h45 Raghu Nandakumara

Oui, absolument. Mon esprit est plein de choses auxquelles je peux réagir et de tout ce que tu viens de dire. Mais commençons par la dernière chose. Je pense qu'en tant que praticiens du Zero Trust, nous voulons vraiment que les agences, les organisations, etc. adoptent une stratégie Zero Trust et mettent en œuvre les tactiques nécessaires pour affiner leur posture. Donc, quelle que soit la façon dont nous racontons cette histoire, tant que l'une de ces manières trouve un écho, c'est formidable. Il est donc très important d'avoir plusieurs façons de le dire. Parlons d'une sorte de chemin vers la maturité dans le monde de la ZTM, si vous me permettez de l'appeler ainsi. Vous avez en quelque sorte ces étapes initiales, avancées et optimales traditionnelles, et vous avez ces cartes pour chacun des piliers. Lorsque vous avez initialement publié le modèle de maturité, puis, bien sûr, le suivi jusqu'au point zéro, avez-vous vu au départ cette organisation se diriger tête baissée vers une sorte de maturité optimale dans un pilier avant de passer au pilier suivant ? Parce que je vois que cela se reflète dans certaines de vos formulations 2.0.

30:51 Sean Connelly

Oui, c'est une bonne remarque. Et quelque chose que j'avais même mentionné à propos de la différence entre la v1 et la v2. La V1 est traditionnelle, avancée et optimale. Dans la v2, nous avons un initial traditionnel et un optimal avancé. Et nous devons vraiment mettre cette initiale parce qu'il y a une telle distance, si vous voulez, entre le traditionnel et le avancé, et comme nous avions besoin d'un moyen pour les initiales de permettre à une agence ou à une organisation de comprendre quand elle commence ce voyage. Il était donc essentiel pour nous d'y inscrire des initiales. Mais pour revenir à ce que vous avez dit, beaucoup de termes, nous avons parlé de nombreuses organisations un peu différemment dans les agences exécutives civiles, où elles commencent déjà à évoluer. Nous discutons avec de nombreuses agences qui sont encore dans la tradition et qui n'en sont qu'à leurs débuts. La plupart des organisations se contentent donc de migrer, uniquement de la version traditionnelle à la version initiale. Mais pour revenir à votre point de vue, tout comme les piliers eux-mêmes, encore une fois, nous l'avons délibérément rendu abstrait de manière à ce qu'il puisse être interprété de manière large. Mais nous en avons entendu certains, par exemple penser que nous devons trouver le pilier d'identité optimal avant de pouvoir nous concentrer sur le pilier réseau. Et ce n'est vraiment pas l'objectif de notre modèle en termes de catégorisation ou de la façon dont nous les alignons. Idéalement, les organisations évolueront en parallèle et les différentes colonnes elles-mêmes. Et une grande partie de mon attention et de celle de John Kindervag, je pense que certaines des choses que vous voyez dans Zero Trust ont vraiment commencé plutôt du côté du réseau. Je pense donc que certaines agences ou organisations étaient déjà un peu plus avancées, si vous voulez, sur le réseau que sur le pilier des données. En général, pour en revenir au début de cette conversation, il s'agit en grande partie de la sécurité des données sous un angle nouveau. Mais je pense que le pilier de la sécurité des données est le plus faible et que nous avions le plus à faire. Et nous l'avons presque fait, encore une fois, pour nous en rendre compte. Lorsque nous avons commencé à écrire le modèle de maturité, c'était presque comme si nous avions associé ces autres catégories, applications et identités d'appareils et de réseaux aux données, car nous ne pouvions tout simplement pas vraiment maîtriser les données à grande échelle comme nous le pouvons actuellement.

32:55 Raghu Nandakumara

Oui, je suis tout à fait d'accord. À cet égard, je pense également que la façon dont vous adoptez le modèle de maturité, et je pense que le graphique d'escalade que vous avez dans le noir est approprié, car c'est vraiment en quelque sorte, si je repense également à votre rapport sur la modernisation informatique, cette approche basée sur les risques. Et si je pense à ce chemin qui mène à la montagne, je me demande quel est le plus facile à franchir ou quelle est la prochaine étape la plus facile que je puisse franchir pour passer à l'étape suivante. Et je zigzague en chemin et ça pourrait être mieux. Et c'est exactement, emmenez-moi d'un pilier à l'autre. Parce que la prochaine chose évidente, selon mon évaluation des risques, concerne un pilier différent de celui sur lequel je me concentre aujourd'hui.

33:43 Sean Connelly

Oui, c'est juste une note personnelle. Nous avons donc publié le modèle de maturité, je crois, en avril de l'année dernière. Et en l'espace d'une semaine, par hasard, Kevin Mandia, comme tout le monde le sait, faisait une présentation à la conférence RSA. Et il a pris cette montagne modèle de maturité et l'a mise dans son deck, et je suis sûr qu'il fera l'objet de discussions et qu'il sera approuvé par tout le monde ; c'est assez monumental. Mais le fait qu'ils aient pu installer cette terrasse de montagne était un véritable compliment pour nous. Mais pour tout dire, c'était comme un collègue de Johnson ; il était plus que quelqu'un qui cherchait à atteindre cette montagne. Cela a trouvé un écho. Mais je pense que le taquin, c'est que lorsque vous atteignez le sommet, cette montagne, c'est vraiment une chaîne de montagnes, et qu'il y a peut-être des montagnes derrière vous, ce n'est pas tout. Mais si je dis cela, c'est parce que dans l'idéal, nous déplacerons le drapeau, nous déplacerons les poteaux de but à un moment donné, au fur et à mesure de l'évolution de la technologie, nous devons ajouter de nouvelles méthodes. Mais oui, pour une raison ou une autre, à votre avis, cela a eu un écho en gravissant une montagne que je n'avais pas vue venir.

34:48 Raghu Nandakumara

Oui, j'aime vraiment ça. Alors, comment vont... Donc, si nous pensons aux progrès réalisés par les agences, comment les suivent-elles ? À quelle fréquence fait-il l'objet d'un suivi ? Et comment seront-ils tenus responsables ?

35:01 Sean Connelly

Oui, je vais contourner ça sur la pointe des pieds. Le luxe d'être architecte chez CISA, nous nous concentrons sur la cybersécurité. Mais pour être tout à fait honnête, c'est une question prioritaire pour le Bureau de la gestion du budget, sur la colline, et nous avons une équipe qui siège sur place pour vous aider et répondre elle-même à ces questions. Il est essentiel de disposer de mesures. Pour en revenir à la stratégie, la stratégie Federal Zero Trust, les agences ont été évaluées en fonction de la part de leur flotte, des personnes dans leur écosystème équipées d'un MFE résistant au phishing et de la part de leurs données dans le cloud qui sont classées par catégorie. Heureusement, il existe des mesures qui remontent à ce dont nous avons parlé plus tôt, pour avoir le mémo lui-même pour mesurer cela. Pour moi, chacun d'entre eux représente une formation, et je n'ai pas envie de me plonger dans le détail pour savoir quelle agence se porte bien, mais en plus, nous assistons clairement à une tendance vers Fisher's comme vers le MFA ces dernières années, ce qui ne peut qu'aider le gouvernement fédéral à aider les citoyens à utiliser ces réseaux en toute sécurité. Nous constatons une nette tendance à ce que les agences abandonnent ce dont nous avions parlé avec le TIC un et le TIC deux ; un certain nombre d'agences fédérales ont dû faire appel à des fournisseurs de TIC commerciaux. Ils sont appelés fournisseurs M TIC. Il s'agit d'un service géré que peu de fournisseurs proposent, et les agences demandent depuis des années d'autres solutions, en plus de M tips. C'est très coûteux, c'est très inefficace, comme je l'ai dit à propos de la taxe TIC. Nous commençons à voir l'agence abandonner les solutions proposées pour être en mesure de passer à des solutions SASE avec un service de certification de sécurité et des solutions qui permettent clairement non seulement de créer des réseaux plus efficaces, mais aussi d'améliorer la sécurité globale, mais aussi d'obtenir une meilleure visibilité. Il existe donc des tendances claires pour chacun de ces piliers, qui se terminent par le fait de revendiquer le succès, si vous voulez, sur certains des différents domaines de la stratégie.

36:54 Raghu Nandakumara

Génial Lorsque la note a été publiée et que les attentes ont été fixées, il était en quelque sorte nécessaire de constater des progrès significatifs d'ici l'exercice 24. De votre point de vue, les agences sont-elles en passe d'y parvenir ? Il semblerait que oui.

27:14 Sean Connelly

Oui, donc l'OMB travaille avec l'agence pour mesurer une partie de cela. Mais encore une fois, cela revient au phishing : l'adoption du MFA est essentielle. Être capable de mettre en place et de vraiment mentionner l'EDR de détection et de réponse des terminaux. Il y a une forte tendance à avoir un plus grand nombre d'appareils prenant en charge un certain type d'agent de réponse à la détection des terminaux. Du côté du réseau, j'ai mentionné le SASE. Nous mesurons donc, comme nous l'avions imaginé, nous travaillons pour nous assurer que la CISA gagne encore en visibilité, car c'est essentiel pour notre mission alors que les agences passent à ces nouvelles plateformes. Donc, l'OMB, la colline et différentes organisations, je pense qu'au GAO, peuvent être responsables, les dimensionner, évaluer de nouvelles méthodes de différentes manières.

38 h 00 Raghu Nandakumara

Alors, que s'est-il passé ? Nous sommes donc dans l'année fiscale 24, qui va et vient, nous avons réalisé les progrès souhaités. Que se passe-t-il maintenant pour donner l'impulsion nécessaire à la prochaine étape du progrès ? Ou est-ce que l'élan est suffisant pour que les agences soient en quelque sorte sur la bonne voie et qu'elles continuent ?

38:21 Sean Connelly

Non, c'est une excellente question. De mon point de vue, je peux dire qu'OMB est capitaine d'équipe sur Zero Trust, et que d'autres devront attendre de voir ce qui sortira d'OMB. Mais il y a des discussions sur la prochaine étape pour votre conseil d'administration.

38:34 Raghu Nandakumara

OK, je me souviens juste que vous parlez de commentaires qui ont été en quelque sorte fournis à la surface de Maturity Model 1.0, et je me souviens avoir fait des commentaires au nom de notre entreprise. Mais je me souviens, je crois, du point que vous avez soulevé à propos de certains fournisseurs qui ont simplement consulté l'intégralité de la documentation de leurs produits et déclaré : « Voici comment vous déployez de A à X. » Et je me souviens avoir vu des versions de cela et certaines des révisions que nous avons dû examiner et sur lesquelles nous avons fait des commentaires. Et je me rappelle y être allée et l'avoir en quelque sorte réécrite du point de vue que c'est en quelque sorte la capacité que vous essayez d'introduire, et c'est pourquoi, etc. Donc, si vous réfléchissez à vos commentaires, je suis sûr que vous avez découvert des choses que j'ai commentées à un moment donné.

39:15 Sean Connelly

Mais j'ai une autre façon de le faire passer. L'un des postes que j'occupe est que je suis membre suppléant du conseil d'administration du fonds de modernisation technologique, le fonds de modernisation technologique, TMF, juste pour que tout le monde le sache. Le TMF est une solution pour les agences qui ne sont peut-être pas en mesure d'obtenir un financement par les canaux habituels. Le Congrès et la Maison Blanche sont en mesure, je pense, de créer en 2018 cette autre méthode alternative permettant aux agences de soumettre des propositions au TMF. Il est dû à l'étroite collaboration entre la GSA et l'OMB et nous-mêmes à la CISA. Un certain nombre d'agences, mais c'est un moyen pour les agences d'envoyer des propositions et de savoir comment moderniser le système d'une nouvelle manière. Mais lorsque nous avons eu ces discussions, j'ai beaucoup consulté le site Web de TMF. Vous pouvez lire directement en première page des articles sur la modernisation des systèmes d'une agence pour les agriculteurs afin que les agriculteurs puissent traiter leurs données plus rapidement. Un autre prix a été décerné à une agence pour les entreprises capables d'acheminer plus rapidement des marchandises personnalisées dans leurs ports appropriés, un autre a été décerné aux anciens combattants qui ont obtenu ces services plus rapidement. Ce que vous ne m'entendez pas dire, c'est que vous ne m'entendez pas dire que ces agences ont peut-être obtenu un MFA, ou que les deux agences utilisent peut-être le cloud et tirent parti de nuages d'étiquetage et de catégorisation des données. Mais le principe Zero Trust est intégré à chacune de ces récompenses, à savoir les locataires Zero Trust. Et c'est de cela qu'il s'agit, TMF fournissant plus rapidement des services, des fonds ou des informations aux gens. Beaucoup de choses ont été faites encore une fois. Idéalement, nous voulions que les locataires de Zero Trust et les produits soient cuits sur place. Donc, comme vous parlez des fournisseurs et de la façon dont ils sont venus nous faire part de leurs commentaires, de leurs services et de leur propriété intellectuelle, nous avons tout de même pu autoriser, d'accord, quelle est leur véritable intention ? Quelle est la valeur réelle et comment l'utiliser pour éclairer le modèle de maturité ?

41:11 Raghu Nandakumara

Génial Alors, qu'est-ce que tu vois quand tu te tournes vers l'avenir ? Et vous pensez, d'accord, à la maturité continue de Zero Trust dans toutes les agences ? Quels sont selon vous les principaux défis que vous prévoyez pour l'avenir ?

41:22 Sean Connelly

Oui, donc je veux dire, après une petite différence, par exemple, le défi qui a vraiment commencé à se débloquer ces derniers temps. Honnêtement, je pense qu'il s'agit en fait de bien plus que du décret sur le cyberespace, encore une fois, le précurseur du mémo, mais il est nécessaire que chaque agence dispose d'une PME Zero Trust, experte en la matière. Nous avons observé comment ce rôle a été réparti au sein de certaines agences, où il ne s'agissait peut-être que d'un exemple abstrait, mais où il se peut qu'il ait commencé par la situation de la PME Zero Trust au bureau du CIO, puis au bureau du CISO, puis au CTO, cela a été indicatif, juste pour comprendre comment positionnez-vous les principes Zero Trust ? Et les idées, puis on les appelle, font preuve de discipline au sein de l'agence ? Et ne vous méprenez pas, il n'y a pas de réponse parfaite. Certaines agences ont fait davantage comme les conseillers Zero Trust et ont fait appel à certaines de leurs PME issues des différents piliers, si vous voulez, comme avoir des identités de PME dans leurs réseaux de PME. D'autres agences ont fait davantage lorsqu'elles n'ont presque qu'une seule personne ou un seul bureau. Il s'agit notamment du positionnement des changements organisationnels qui se produisent au sein de l'agence elle-même, au fil du temps, comme le passage des agences au cloud, comment se déroulent les changements organisationnels, donc avant latéralement, les opérations réseau, les opérations de sécurité, pour les centres de données, les opérations sécurisées des centres de données se concentraient sur les paquets et se concentraient sur la garantie que nous avons obtenu notre Capuchons et ayons nos cartes d'identité ou mettons en place nos centres. Eh bien, tout ce type de visibilité change dans le cloud. Les changements organisationnels étant en jeu, les agences disposent désormais du bon type de PME pour trouver l'équilibre. Parfois, nous le constatons encore avec les fournisseurs de cloud ; ils doivent fournir, je ne dirais pas, des services hérités, mais certains des services essentiels. Donc, PCAPs, quand nous entendons toujours dire que les fournisseurs doivent revenir en arrière et apporter leur assistance. Je pense que les fournisseurs de cloud, en général, ne pensaient pas que les SoC et les NOC souhaiteraient disposer de cette capture de paquets bruts. Mais c'est ainsi qu'une grande partie de l'organisation, je ne parle pas uniquement au nom du gouvernement fédéral. Je veux dire, en général, de nombreuses organisations ont toujours ce désir, disposent d'outils ou de playbooks basés sur la capture de paquets. Il y a donc toujours ce changement organisationnel qui se produit avec des postes différents à des rythmes différents qui sont essentiels, je pense, pour pouvoir tirer parti de Zero Trust, des solutions de monétisation natives du cloud.

43:53 Raghu Nandakumara

Je veux dire, je pense que cela ouvre un sens, l'ouverture ouvre une autre boîte de vers, qui est un épisode de podcast à part entière qui explique comment, à mesure que vous vous modernisez, comment éviter de lever une partie de votre dette héritée et de l'apporter en adoptant de nouvelles techniques et procédures, mais c'est pour quand vous reviendrez au podcast, Sean. Nous aurons un épisode entier à ce sujet. Donc, mais juste quelques points avant que vous ne terminiez, en adoptant une perspective un peu globale. Je suis sûr qu'il existe des gouvernements du monde entier, de nombreux types d'alliés des États-Unis, qui considèrent le succès remporté par les États-Unis et les agences américaines avec l'adoption de Zero Trust et cherchent à adopter des approches similaires pour renforcer leur modernisation de la sécurité. Êtes-vous en mesure de mettre en contexte et de détailler la façon dont vous constatez la prolifération de Zero Trust au-delà des frontières des États-Unis ?

44:47 Sean Connelly

Bien sûr, je vais faire attention, mais il y a eu des discussions avec des agences, certains gouvernements fédéraux, et certaines discussions concernent FedRAMP. Et pour ce qui est du programme qu'est FedRAMP, certains gouvernements essaient toujours de faire adopter leur version du gouvernement ou leur version de FedRAMP dans leur pays. Certains pays ont fait ce que nous avons fait avec TIC 2 pour déterminer s'ils disposaient de ces données ou s'il s'agissait d'une agrégation de réseaux en cours, ces points d'accès TIC limités. Et maintenant, le gouvernement est au même endroit où il y a le cloud et le mobile. C'est pourquoi les gouvernements viennent nous voir. Comment tirer parti de cette solution de service d'accès sécurisé ou de la solution SSE ? Nous avons donc ce type de discussions. Un autre qui remonte au MFA résistant au phishing. C'est un autre domaine. Encore une fois, je pense que là où le gouvernement fédéral est un peu différent, nous avions des cartes PIV et CAC. Mais un peu différent de nos autres gouvernements. Mais vous constatez aujourd'hui un vif intérêt pour les solutions FIDO2. Il s'agit donc d'un large éventail de ces discussions, et pas seulement d'une position par rapport à ce que fait la CISA. Mais encore une fois, l'évolution du cloud et la souveraineté des données constituent un autre domaine dans lequel je reçois de nombreuses questions.

45:56 Raghu Nandakumara

Génial OK. Donc, pour terminer, nous devons malheureusement y mettre fin. Vous êtes donc dans une salle de réunion avec une nouvelle agence, qui est sur le point de commencer son parcours Zero Trust. Et ils disent : « Hé, Sean Connelly, architecte fédéral Zero Trust, nous n'avons aucune idée de ce qu'est Zero Trust. Peux-tu nous expliquer dans quoi nous nous embarquons ? » Qu'est-ce que tu en dis ?

46:22 Sean Connelly

Ce serait donc intéressant parce qu'il n'y a pas de nouvelles agences au sein du gouvernement fédéral, n'est-ce pas ? Il s'agit donc en grande partie de technologies très, très anciennes ; nous avons certaines des technologies les plus anciennes, n'est-ce pas ? Personne ne dit, comme c'est le cas pour la NASA, qu'elle doit installer le MFA par hameçonnage sur les satellites Voyager situés à 16 milliards de kilomètres ou qu'il faut envoyer un agent EDR autour du rover martien. Il ne s'agit donc pas tant de la nouvelle organisation. Mais pour revenir à votre question, je pense que vous voulez en venir, j'ai mentionné John Kindervag à quelques reprises ; j'ai eu le plaisir de travailler avec John il y a quelques années sur un port différent de celui du président par rapport à la pile de stylos. Je me trompe toujours. Je pense qu'il s'agissait d'un comité consultatif sur la sécurité nationale des télécommunications. Ces documents sont disponibles sur le site Web de la CISA. Si vous tapez simplement NSTAC Zero Trust, cela devrait vous convenir. Mais dans ce document, l'une des choses qu'il contient, et c'est ce qui est formidable dans la collaboration avec John, c'est que John explique les cinq étapes de Zero Trust. Et John, c'est tout à son honneur, dit toujours que Zero Trust est très facile. Ce document contient donc ces cinq étapes. La première consiste à définir la surface protégée. Et c'est la première étape. Maintenant, c'est différent de ce que nous étions avec TIC Two. Peu importe ce que vous essayez de protéger, vous essayez de protéger le mainframe, vous essayez de protéger une partie du cloud, de le placer derrière le TIC. La surface de protection n'était pas définie. Dans Zero Trust, qu'est-ce que vous essayez de protéger ? Maintenant que vous savez que vous avez franchi cette première étape, l'étape suivante consiste à cartographier les flux de transactions. L'un des éléments clés, cependant, pour revenir à, nous venons de parler des flux de transactions. Nous ne voulons pas simplement dire système, système, client-serveur, oui, ils sont importants, comme une sorte de capture de paquets ou simplement un moyen, mais c'est aussi l'organisation qui parle à qui dispose d'un pare-feu entre les discussions avec l'équipe comptable ou avec l'organisation elle-même. Ces types de flux sont donc essentiels ici. Ensuite, vous commencez à construire cette nouvelle architecture. Encore une fois, il s'agit de solutions centrées sur les données que vous essayez, idéalement, de rapprocher la sécurité de ce qui est protégé. L'essentiel est en partie de revenir au modèle de maturité ; au fur et à mesure que vous développez ce nouveau système, vous devriez idéalement commencer à recevoir des signaux différents provenant de chacun de ces piliers. Le pilier du réseau, vous voulez envoyer un signal depuis le périphérique hôte, vous voulez avoir un signal provenant de l'identité, vous voulez un signal, tous ces signaux qui peuvent alimenter la quatrième étape, qui consiste à créer les politiques. C'est-à-dire des politiques dynamiques. Donc, en tant que client, je vais servir, ou il peut y avoir accès, mais aussi, encore une fois, les politiques organisationnelles elles-mêmes. Ensuite, la cinquième étape consiste à la manifester, à la surveiller et à la maintenir. Donc, ces cinq étapes, qui commencent par la recherche d'un service de protection, vous devez suivre les flux de transactions, développer l'architecture, définir les politiques, gérer et surveiller. Ce sont les cinq étapes et je voudrais commencer par cette question.

49:01 Raghu Nandakumara

Génial Eh bien, Sean, je veux dire, j'ai encore tellement de questions à te poser, alors je sais que tu as une journée bien remplie pour y revenir. Je vous remercie infiniment de m'avoir accordé ce moment aujourd'hui. J'apprécie vraiment. C'était fantastique de discuter avec vous.

49:13 Sean Connelly

Non, c'est génial. Vous connaissez clairement la modernisation du réseau, vous savez où nous allons. Cette conversation a été amusante. Merci beaucoup.

49:20 Raghu Nandakumara

Merci beaucoup, Sean. Merci d'avoir écouté l'épisode de cette semaine de The Segment. Nous reviendrons avec notre prochain épisode dans deux semaines. En attendant, pour plus de ressources sur Zero Trust, visitez notre site Web, www.illumio.com, et retrouvez-nous sur LinkedIn et X en utilisant les liens figurant dans nos notes d'émission. C'est tout pour aujourd'hui. Je suis votre hôte, Raghu Nandakumara, et nous reviendrons avec plus d'informations bientôt.

‍