Repenser la cybersécurité : de la prise de conscience à l'autonomisation

00h00

Donc, encore une fois, un autre épisode de The Segment. Cette fois, je suis très heureuse d'accueillir Kyla Guru. Elle a un parcours incroyable et une histoire incroyable. Donc, sans plus tarder, je voudrais juste entrer directement dans le vif du sujet. Kyla, bienvenue sur The Segment.

00:19

Merci. Merci, Raghu. Et merci de m'avoir invitée, Illumio.

00:23

Nous sommes ravis de vous compter sur ce podcast. Et je veux dire, normalement, nous avons une petite introduction que je génère à propos de notre invité, mais je pense que vous êtes le seul à pouvoir lui rendre justice. Alors, parlez-nous de votre parcours. Je vais m'en tenir à cette question.

00:42

Oui, je peux vous ramener là où tout a commencé. Donc, je m'appelle Kyla et je suis actuellement étudiante à l'université de Stanford. J'ai étudié l'informatique et les relations internationales. Et je suis actuellement étudiante en master. Mais à l'époque, quand j'avais 14 ans, c'est à ce moment-là que mon parcours dans le cyberespace a vraiment commencé. J'allais entrer au lycée, je crois que c'était le tout début de la première année. Et je commençais à m'intéresser à la cybersécurité. J'ai fait quelques camps d'été dans le cyberespace. C'est juste que je me suis beaucoup intéressée, et je viens de chercher sur Google les camps d'été près de chez moi en ligne. J'ai trouvé le plus proche, et je suis allé y aller. Et c'est à partir de là que nous avons vraiment commencé ce voyage plus vaste. Et en quelque sorte, quand je suis revenue du camp d'été, j'ai réalisé que c'étaient des leçons que j'avais apprises qui n'étaient pas simplement isolées ou ne devraient pas être limitées à une semaine d'apprentissage dans un camp d'été. J'ai eu l'impression que c'est le genre de connaissance commune que les gens devraient avoir à l'esprit lorsqu'ils naviguent sur Internet. Et c'est justement cette idée qui m'est venue à l'esprit, et à partir de là, j'ai commencé à me demander comment nous pouvions réellement informer les individus sur ce type de cybermenaces, ces cyberrisques dans leur propre vie et leur donner le sentiment que lorsqu'ils sont sur Internet, ils peuvent exercer les compétences qu'ils ont acquises. J'ai donc examiné les programmes de cyberéducation existants dans ma région et les ONG (organisations non gouvernementales) qui existaient. Et à l'époque, beaucoup de choses que j'ai vues en ligne étaient très réactives et n'enseignaient pas les individus de manière proactive, juste pour le plaisir de les éduquer. Et lorsque j'ai parlé à mon CIO local et au CISO de mon quartier, ils ont également indiqué que la plupart des efforts qu'ils ont déployés étaient réactifs. Et c'est alors que je me suis dit, d'accord, il était peut-être temps que quelqu'un fasse quelque chose d'un peu plus proactif. J'ai donc commencé à me demander comment je pourrais lancer un programme de cyberéducation à un niveau très local, en me rendant simplement à vélo à l'école primaire de mon quartier et en leur proposant des leçons de 5 ou 10 minutes chaque fois que les enfants étaient libres. Et cela a vraiment donné naissance à ce qui est aujourd'hui, l'organisation à but non lucratif BitsnBytes Cybersecurity Education. Je suis heureuse de dire qu'il s'agit d'une organisation internationale à but non lucratif qui se consacre à travailler sur la cyberéducation et à rendre la cyberéducation plus accessible à toutes les populations. Bref, je dirige ces efforts d'éducation depuis un certain temps, près de huit ans. En cours de route, j'ai également lancé une conférence technologique pour femmes appelée GirlCon conference. C'est parce que je me suis rendu compte que chaque fois que je me rendais dans ces salles de cyberprofessionnels, il y avait un déséquilibre flagrant entre les hommes et les femmes présents dans la salle. Et le déséquilibre entre les sexes était assez important, en particulier dans les salles où je montais les échelons et que je passais à des niveaux tels que les conseils d'administration ou les conversations entre PDG et dirigeants. J'ai remarqué ce changement comme un changement très bouleversant. À partir de ce moment-là, j'ai lancé une conférence technologique pour femmes. Cela fonctionne donc également aujourd'hui. Nous venons de tenir notre septième événement annuel, donc je continue de grandir au sein de la communauté, et je continue personnellement à m'épanouir en tant que leader et en tant qu'apprenant. C'est un voyage très excitant.

04:15

OK, je suis juste émerveillée par tout ça. Permettez-moi donc de prendre un moment pour vous faire une idée. Je voudrais revenir en arrière, car je veux explorer une grande partie de ce que vous venez de dire de manière un peu plus détaillée. Mais revenons à 14 ans et vous avez dit que vous vous intéressiez au cyberespace. J'ai donc de jeunes enfants et mon aîné et moi n'avons pas beaucoup moins de 14 ans. Et il ne s'intéresse pas particulièrement à la cybersécurité. Alors, qu'est-ce qui vous a rendu accro, qu'est-ce qui vous y a attiré ?

04:50

Oui, c'est une bonne question. Je pense que c'était honnêtement ces conversations au dîner que ma famille aurait eues. Et mon père a été enquêteur sur les fraudes au Canada. Il n'est pas un cyberprofessionnel, mais il est comptable de formation. Et juste à cause de cela, il est au courant de choses comme la fraude financière et la criminalité financière. Il avait donc l'habitude de commencer à parler de ces choses et un jour, il m'a emmenée à l'un de ses événements professionnels où un conférencier était un ancien criminel financier, et il parlait en quelque sorte de sa façon de travailler et des raisons pour lesquelles il a fait ce qu'il a fait. Et il informait tout le monde dans une salle de comptables sur le fait que, d'accord, voici comment faire preuve de diligence raisonnable et faire de l'audit pour la prochaine fois. C'est ce genre de conversations qui m'ont d'abord intéressée à savoir ce qu'est cet espace. Qui sont les personnes qui essaient de se défendre contre ces choses et qui comprennent ces personnes ? Et je pense vraiment que cela aurait pu aller dans l'autre sens si je ne m'intéressais pas à la cybersécurité, mais c'était lié au premier camp que j'ai organisé à GEnCyber. Et je pense que cela tient en partie au fait qu'ils nous ont simplement montré des professeurs, par exemple, des professeurs qui faisaient de la criminalistique numérique et des professeurs qui étudiaient la psychologie des cybercriminels, des moments très intéressants et cela m'a semblé très interdisciplinaire. Par exemple, il n'était pas nécessaire d'être un simple professionnel de l'informatique pour comprendre ce domaine ou d'être un expert dans ce domaine. Et c'était passionnant de constater que cela semblait être un peu tout. Et oui, mais je pense que ça varie pour tout le monde. Je dirais que peut-être que le fait que les enfants regardent davantage des films, comme des films d'espionnage, aide aussi. Oh, l'une des choses que je faisais quand j'étais plus jeune, c'était de regarder l'émission The Arrow. Et dans The Arrow, il y a une hackeuse qui aide le super héros. Et elle est en quelque sorte la sauveuse de la clandestinité qui sauve la situation en faisant des choses comme la logistique, comme aller ici, étiqueter cet homme, des choses comme ça. J'ai donc vu Felicity Smoke, et je me voyais vraiment comme si c'était la première fois que je pouvais me voir représentée par un média. Et c'est alors que je me suis dit : « D'accord, peut-être que c'est quelque chose que je pourrais réellement faire ». Et ce serait vraiment très cool. Donc ça en fait aussi partie, je pense.

07:22

Je pense, définitivement, que le cyber pourrait avoir bien plus à voir avec l'image d'être cool. D'une certaine manière, c'est en quelque sorte la culture des start-up qui a fait en sorte que devenir développeur est cool, non ? Ce n'était vraiment pas un métier cool il y a 30 ans. Mais maintenant, tout le monde veut devenir développeur. C'est, c'est incroyable. Ensuite, vous avez expliqué comment vous vous êtes en quelque sorte heurté et vous avez parlé au CISO, ou au CIO de votre section locale, de votre communauté locale. Et leur réaction a beaucoup porté sur la cyberéducation. La façon dont nous parlons de cybersécurité est très, très réactive. Donc, quelque chose de grave se produit, puis nous réagissons en disant : « Oh, évitons cela à l'avenir », utilisons des mots de passe, par exemple. Oui N'utilisez pas le nom de votre animal comme mot de passe, d'accord, modifiez-le, et cetera. Alors, quelles sont les choses que vous avez commencé à introduire, qui ont contribué à ce type d'approche proactive de la cyberéducation ?

08:28

Oui, et au départ, ça l'était, ça a commencé très petit, non ? L'école a accepté, et évidemment dans cette voie, c'était un partenariat avec cette première école et l'école a dû en quelque sorte être d'accord lorsque j'ai proposé certaines choses. La première chose à faire était donc une vidéo d'information de cinq minutes animée pour les étudiants. Alors, j'ai fait cette vidéo, je crois qu'elle était sur ce très vieux logiciel d'animation que j'ai utilisé dans les écoles. Et c'est cette réaction à la présentation qui, je pense, a donné le coup d'envoi à beaucoup plus de dominos. Comme lors de la première réaction, les étudiants étaient simplement très engagés, interagissant et posant des questions telles que « de quel type de mot de passe parlez-vous ? » « Dois-je me soucier du mot de passe de mon adresse e-mail ? J'ai un compte e-mail auprès de l'école », comme des questions très critiques. On pouvait voir qu'ils commençaient à réfléchir à la place de la sécurité dans leur vie. Et c'est alors que je me suis dit, d'accord, vous savez, peut-être que cela pourrait être pertinent pour d'autres écoles, comme pas seulement pour les élèves de ma propre communauté. Parce que ma communauté était plutôt avant-gardiste, comme si nous avions des Chromebooks et des appareils, en tête-à-tête pour les étudiants. Et j'ai juste imaginé toutes les différentes communautés sur le spectre de l'accessibilité technologique. Je me suis dit que si nous ne faisions pas beaucoup de cyberéducation, je ne pourrais pas imaginer, vous savez, à quoi ressemble la cyberéducation d'une manière générale. Donc, à l'époque, nous n'avions pas de programme standard standardisé pour la cybersécurité de la maternelle à la 12e année. C'est donc ce qui a donné le coup d'envoi. Puis, à partir de ce moment-là, j'ai créé un site Web ; j'ai commencé à proposer plus de ressources. C'était vraiment le premier domino, je dirais.

10 h 11

Et je dirais que la cyberéducation est très importante. Et dans le monde de l'entreprise, comme toutes les organisations, grandes ou petites, il existe une forme de formation de sensibilisation à la sécurité, que vous testez chaque année. Et c'est génial. Et je l'ai vu dans les écoles de mes enfants, où, dès le plus jeune âge, on parlait de sécurité en ligne. Mais ma question est toujours la même, et la sensibilisation est très importante. Mais comment en mesurer l'impact ? Donc oui, nous savons tous que nous devrions avoir des mots de passe forts, par exemple, ou dans ce cas, nous avons en quelque sorte parlé de passer à des phrases de passe, ou même de créer des listes de mots de passe, ce qui est un grand mouvement en ce moment. Mais comment mesure-t-on l'efficacité de la sensibilisation ? Et comment savons-nous que cela a réellement un impact et améliore la cybersécurité ?

11 h 09

L'impact est difficile à mesurer. C'est probablement la question la plus difficile à laquelle les ONG et les organisations à but non lucratif sont également confrontées : comment savez-vous que ce que vous enseignez ne se produit pas vraiment ? Parce que la mesure ultime du succès est la réduction de la cybercriminalité ou des cybermenaces. Et c'est une chose très difficile à mesurer, même pour les professionnels de l'industrie. Donc, je dirais qu'il y a deux façons d'atténuer cela, c'est d'avoir des mesures immédiates. Ainsi, pour les mesures à court terme, par exemple, nous envoyons un sondage juste après nos programmes, qui saisit une grande partie de l'immédiat, par exemple, si vous vous sentez plus en sécurité après la séance ? Nous aimerions voir davantage de contenu de ce type, ce type de réaction immédiate. Et puis, en leur posant des questions qui vont en quelque sorte dans le sens de la question, qu'ont-ils réellement appris au cours de la session ? Parfois, nous faisons des choix multiples pour simplement voir s'ils captent le contenu et en ont-ils conscience. Ensuite, nous proposons également une sorte de programmation à long terme où nous pouvons voir des étudiants plusieurs fois ou nous voyons des étudiants l'année suivante, l'année suivante, et nous voyons également, d'accord, des études longitudinales visant à savoir s'ils ont l'impression qu'ils sont plus susceptibles de se lancer dans le cyberespace grâce à ces programmes. Et cette partie passe par des mesures qualitatives et quantitatives. Comme leur parler et discuter avec eux de la façon dont leur année s'est passée et de l'impact de BitsnBytes sur eux. Et puis aussi quantitativement grâce à ces enquêtes. Donc, je dirais que c'est un peu des deux, en général, une grande partie de l'impact pour les ONG en général. Et pour Bitsnbytes, c'est à travers les récits et les histoires que les étudiants partagent. Et beaucoup d'entre eux ont été très puissants. Par exemple, des étudiants qui ont pu bénéficier d'opportunités d'observation grâce aux conférences que nous organisons dans le cadre des événements que nous organisons. Et puis nous avons également eu des étudiants qui ont raconté que leur sœur avait vécu une escroquerie similaire ou une situation similaire, comme une violation de données, et ils ont finalement compris ce qui s'est passé exactement pendant la session. Comme s'ils partageraient également ce genre d'histoires similaires, comme dans le cadre de l'enquête. Et ils sont vraiment intéressants à lire, car ils vous donnent l'impression d'avoir réellement connecté quelque chose. Et oui, je pense que l'impact réel et ultime de la vision serait que, vous savez, 5 à 10 ans, lorsque ces personnes entrent dans l'industrie, ce sont des professionnels très soucieux de la sécurité.

13 h 53

Oui, absolument. C'est vrai. Et, comme vous l'avez dit au début de ce segment en particulier, il est difficile de mesurer l'impact de l'un de ces programmes. Nous pouvons mesurer la fréquentation, nous pouvons mesurer l'engagement dans le programme, qui sont toutes des mesures importantes, mais il est très difficile de mesurer dans quelle mesure nous avons amélioré les résultats de nos clusters de cybersécurité. Et vous voyez les données et vous examinez le nombre de cyberattaques qui ont été couronnées de succès. Et ce nombre, voire ce nombre, de cyberattaques tentées. Ce chiffre ne fait qu'augmenter. Hein ? Il ne s'agit certainement pas d'une tendance à la baisse. Ensuite, vous regardez quel était le type de vecteur d'attaque initial, ce type de vague d'intrusion initiale et il s'agit presque toujours d'une sorte de phishing, d'une attaque d'ingénierie sociale, d'un e-mail de phishing. Et je me souviens d'un autocollant apposé sur le bureau de mon ancien responsable, qui disait : « La stupidité humaine n'existe pas ». Et j'y pense quand je pense à la cybersécurité, nous sommes toujours en train de faire presque ce que nous faisons, à bien des égards, essentiellement en train de mettre en place des contrôles qui atténuent ce que fera un humain en fin de compte. Hein ? Non pas parce qu'ils en ont l'intention, mais souvent par ignorance. Donc, la façon dont je connais toutes les prises de conscience que des programmes comme le vôtre apportent, est importante pour améliorer le niveau, c'est juste une blague avec ce type de stupidité humaine. Mais quel est l'impact que vous avez constaté ?

15 h 41

Oui, c'est une bonne question. Je pense que c'est un état d'esprit très courant en matière de sécurité. Je pense que des articles et des études ont été publiés à ce sujet, en particulier dans le domaine du design, sur la question de savoir quand blâmer l'utilisateur par rapport à quand blâmer le concepteur. Et je pense que l'insécurité, il y a cet état d'esprit selon lequel nous faisons de notre mieux, comme si tout dépendait de l'utilisateur final, vous savez, une fois que nous l'avons développé, c'est hors de notre contrôle. Et ce sont eux qui cliquent sur les liens et font toutes ces choses. Mais en fin de compte, même les développeurs sont des humains. Et certaines de ces menaces et attaques deviennent, si vous les regardez, si réelles et si émotionnelles. Et c'est tout leur intérêt, non ? Ils essaient de vous stimuler émotionnellement, de sorte que vous fassiez quelque chose que vous ne feriez pas normalement. Et en tant qu'humains, nous avons tous cette tendance. Et je pense que, surtout avec cette génération, nous sommes déjà assez avertis en la matière, nous avons grandi avec ces menaces, nous connaissons les DMER effrayants sur Instagram, c'est comme notre poche à ce stade. Il s'agit simplement de donner un nom à ces situations. Et l'enseigner tel quel, c'est en fait une question de sécurité nationale. Comme vous, vous faites en fait partie de tout ce cercle de sécurité dont nous disposons. Je pense donc que l'élément le plus important est celui de l'autonomisation. Je pense que c'est moins une question de prise de conscience, je trouve, comme si c'était très facile, parce qu'ils sont presque déjà conscients. Il s'agit plutôt de leur donner les moyens de savoir, par exemple, comment répondre à vos questions. Beaucoup d'entre eux ont de nombreuses questions auxquelles il suffit de répondre, comme, vous savez, que signifie réellement cette politique de confidentialité en fin de compte ? Ou que fait Snapchat de mes données ? Par exemple, l'héberge-t-il sur, sur un appareil ou sur des serveurs ? Comme s'ils avaient des questions compliquées auxquelles même les développeurs, vous savez, seraient prêts à réfléchir deux fois, à y réfléchir à nouveau, pour y répondre. Donc, je pense que c'est loin de dire que l'autonomisation est vraiment importante, même au-delà de la prise de conscience. Et je trouve que je suis constamment émerveillée par les choses que savent les étudiants et les enfants. Cela me facilite vraiment la tâche lorsque je parle de sécurité, car souvent, elles suscitent déjà la conversation en posant tant de questions.

18 h 03

C'est génial. Je voudrais donc explorer cela, cet élément humain et la cybersécurité un peu plus, car l'une des tendances que nous observons en matière de cybersécurité au sein des organisations en termes de stratégies adoptées par les organisations. Y en a-t-il un autour de Zero Trust. Et plus précisément, et par Zero Trust, nous ne voulons pas dire supprimer complètement la confiance, car si tel était le cas, vous pourriez tout aussi bien tout déconnecter du réseau et c'est terminé. C'est vrai. Il s'agit donc de supprimer une sorte de confiance implicite et librement disponible, mais du point de vue humain, une grande partie de ce que nous faisons au quotidien dépend de la confiance implicite. C'est vrai. Et j'ai, je sais, eu des conversations, et c'est particulièrement délicat dans certaines zones géographiques où le simple fait d'entendre le mot Zero Trust est offensant parce que, oh comment est-ce possible ? Hein ? Cela signifie que vous ne me faites pas confiance en tant qu'utilisateur. Et tu n'as pas confiance en ce que je fais. Comment avez-vous eu et n'avez-vous pas eu de conversations spécifiques à propos de Zero Trust, mais comment pouvez-vous trouver un équilibre entre cela et ce que vous faites en ligne dans les programmes éducatifs qui traitent de l'absence d'une telle confiance implicite ? Mais cela ne signifie pas que vous compromettez votre capacité à faire confiance aux gens.

19 h 25

Oui, je pense que Zero Trust est difficile pour cette raison. C'est parce que vous ne voulez pas donner l'idée que vous ne devriez pas faire totalement confiance aux autres ou que vous ne devriez pas le faire, que vous ne devriez pas vous faire confiance en ligne. C'est plutôt une note moins stimulante. Je pense que la confiance mais la vérification sont une bonne position que j'enseigne habituellement en termes de désinformation et de guerre de l'information. C'est comme si la vérification était extrêmement importante. Et puis aussi, je pense que le simple fait de changer la terminologie pour dire « Zero Trust » est extrêmement important, mais c'est un échafaudage. Dans ces domaines, comme dans beaucoup d'autres domaines, il y a une raison pour laquelle nous ne faisons pas confiance immédiatement. Et il y a toutes ces études de cas sur les moments où nous avons fait confiance immédiatement. Et comme l'intégrer à une leçon plus complète pour ensuite le qualifier de Zero Trust. Par exemple, je pense que Zero Trust est une déclaration chargée. Ce n'est pas simplement rien, il n'y a aucune confiance du tout. C'est de la confiance, mais la vérification est généralement l'idée sous-jacente. Nous disons simplement Zero Trust parce que cela vous donne l'impression, d'accord, je dois commencer par le niveau de base. Mais je pense qu'en termes d'aspect éducatif, le fait de rencontrer les étudiants là où ils en sont et de leur proposer ces études de cas, ou des exemples similaires, c'est ce que nous entendons par Zero Trust. Parce qu'à cette époque, ils n'avaient peut-être pas vu le cas d'utilisation réel de Zero Trust en termes d'authentification similaire ou d'octroi de privilèges à des personnes. Donc, donnez-leur des exemples qui donnent l'impression que c'est plus réel. C'est certainement l'une des mesures d'atténuation.

21 h 12

Oui, j'aime beaucoup ce que vous avez dit à propos de commencer par le niveau du sol, puis de construire l'échafaudage, n'est-ce pas ? C'est, c'est encore une fois, et tu le fais, tu le rends très réel, parce que disons simplement que tu rencontres un étranger, non ? Vous ne vous associez pas, comme si vous n'associiez pas nécessairement un niveau de confiance élevé, tant que vous n'avez pas validé qui ils sont, et cetera. Et de multiples facteurs. Si c'est le cas, si vous avez été en quelque sorte connecté par l'intermédiaire d'un ami, alors il y a un certain niveau d'accord, un certain niveau de vérification initiale qui a été effectué pour faire passer les choses d'un cran. Par opposition, disons, à quelqu'un que vous venez de connecter ensemble sur LinkedIn, mais sans aucune sorte de recommandation ou de validation vraiment officielle. C'est en quelque sorte, d'accord, peut-être que je suis un peu plus bas. Et je pense que c'est le cas et que nous appliquons le même principe à la façon dont vous gérez la technologie et les systèmes. Oui, cette même approche sensée, parce qu'en fin de compte, vous arrivez à dire que vous avez établi suffisamment de preuves pour dire, d'accord, je peux faire confiance à cette personne ou à cette technologie technologique dans une certaine mesure. Et je pense que oui, les bases de ce bon sens sont tout à fait bonnes.

22 h 22

Oui, absolument. J'adore ça. Par exemple, je pense que le fait de refléter toutes les choses numériquement, physiquement, contribue toujours à l'éducation, parce que les gens comprennent généralement : « OK, je dois verrouiller ma voiture avant de partir, ou je dois verrouiller la portière avant de dormir ». Ce sont par exemple des éléments très importants pour nous, tout comme les valeurs qui nous tiennent à cœur. Mais le simple fait de traduire cela en cybernétique constitue un élément clé de l'enseignement selon lequel « Oh, c'est pareil sur le plan numérique ». Imaginez si quelqu'un avait accès à votre position physique ou à vos coordonnées GPS, c'est le genre d'état d'esprit que vous devriez avoir en ce qui concerne votre modèle de menace.

23 h 01

C'est, c'est une bonne chose. Passons à la modélisation des menaces dans un instant. Mais je pense que cette analogie est très importante, c'est que pour vos propres objets précieux, les objets physiques que vous voulez protéger, vous êtes très, très méfiant, n'est-ce pas ? Vous verrouillez vos portes, vous pouvez être mis, disons, dans un coffre-fort, par exemple, ou vous les mettez dans une boîte verrouillée, dans un coffre-fort ou quelque chose comme ça, n'est-ce pas ? Donc. Mais en ce qui concerne la façon dont nous interagissons en ligne, c'est presque comme si nous voulions la facilité d'utilisation, la facilité d'accès et la possibilité de faire quelque chose rapidement simplement parce que c'est en ligne et électronique. Les obstacles à la productivité semblent soudainement devoir être réduits. Et je pense que nous devons, encore une fois, appliquer le même niveau d'inspection et de soin que nous le ferions aux objets physiques.

23 h 52

Oui Et je pense que ce n'est pas seulement une question d'utilisateur. Je pense qu'Internet a été presque conçu de telle sorte qu'il y ait un compromis, ou un compromis apparent, entre commodité et sécurité. Oui. Et parfois, il ne s'agit même pas d'une simple décision de l'utilisateur. Et nous faisons en sorte qu'il soit très difficile, en tant que concepteurs, d'inciter l'utilisateur à choisir la sécurité. Donc, je pense que ce que je constate maintenant, c'est que j'apprécie tous ces mouvements visant à intégrer la sécurité ou à intégrer la sécurité au produit. Pour que l'utilisateur n'ait même pas à penser à la sécurité, soit la sécurité est quelque chose qu'il peut activer et désactiver, comme s'il s'agissait d'un paramètre verrouillé, comme s'il s'agissait d'un paramètre « J'aime », « juste sécurisé » par défaut. Par exemple, je ne sais pas si vous avez examiné le mode de verrouillage d'Apple, mais c'est que les produits Apple sont évidemment sécurisés de par leur conception, mais ils comportent un niveau de sécurité supplémentaire si vous êtes une personne à haut risque. Donc, ce sont des designs comme ça, qui font vraiment avancer les choses en évitant à l'utilisateur de prendre cette décision en fin de compte, qui concerne la sécurité physique lorsque nous verrouillons des portes ou des voitures. Lorsque nous faisons cette analyse coûts-avantages, le calcul prend tout son sens dans notre tête, comme si nous ne perdions rien en prenant des précautions supplémentaires. Et je pense que c'est ainsi que nous devrions essayer de créer des appareils sur Internet. Les appareils que les utilisateurs utilisent, c'est considérer la sécurité comme quelque chose qui ne devrait rien avoir à oublier.

25:26

C'est vrai, et c'est une seconde nature. Et pour en revenir à votre analogie avec la voiture, lorsque vous vous éloignez de votre voiture, vous ne dites pas : « En fait, je ne peux pas me donner la peine de verrouiller la voiture » parce qu'il ne vous reste plus qu'à appuyer sur un bouton. Hein ? Oui, fais-le, toi, tu le fais inconsciemment. Mais je voudrais juste vous dire que vous avez commencé à parler de la sécurité dès la conception et de l'intégration de la sécurité dans le cycle de développement des produits. C'est vrai. Et je pense qu'il s'agit d'une évolution intéressante. Parce que si nous pensons à la fonction de sécurité et au rôle qu'elle a joué dans le passé, nous préférons la simplifier de manière significative. Pendant très longtemps, et c'est encore le cas aujourd'hui, la sécurité joue le rôle d'une fonction d'approbation. Alors c'est comme si vous veniez demander à l'équipe de sécurité si je peux faire quelque chose ? Et ils disent oui ou non. Et souvent, vous venez les voir, une fois que vous avez atteint la fin de ce que vous êtes en train de construire, et vous vous demandez alors « Pouvez-vous le bénir, s'il vous plaît ». Hein ? Alors que je pense que si, et c'est toujours le défi, disons que la sécurité dit non, non ? Et puis vous dites, oh, puis vous revenez à ce qui nuit vraiment à la productivité ? Ou la sécurité dit : « Eh bien, non ». Et voici tous vos risques. Et vous dites : « Eh bien, d'accord, je vais simplement accepter le risque, n'est-ce pas ? » Parce que j'ai besoin d'être productive et que tu publies quelque chose qui n'est pas sûr. Mais je pense que ce que vous dites est ce que vous avez dit à propos de l'intégration de la sécurité dans le processus très tôt, je dirais presque dès le début, pour faire en sorte que la sécurité et l'assurance fonctionnent. Cela signifie que, comme vous avez déjà intégré la sécurité à l'ensemble du processus de conception et de construction, lorsque vous déployez quelque chose, vous savez qu'il est sécurisé. Donc, c'est presque comme si je le déployais de nouveau selon le même schéma, je sais que ce sera sécurisé. Parce que je suis le seul à pouvoir faire des choses en toute sécurité. Je pense que c'est le changement culturel le plus important vers lequel nous devons tendre.

27:26

Oui, non, j'adore ça. Je crois avoir eu un professeur qui a dit une fois, cette citation dont je me souviens toujours à ce sujet et dans ce contexte, il a dit : « La sécurité est toujours considérée comme faisant partie de la plomberie, mais la sécurité doit vraiment être considérée comme faisant partie du problème et faisant partie de l'énoncé initial du problème ». Il ne s'agit donc pas seulement de savoir comment y parvenir, mais aussi comment pouvons-nous le faire en toute sécurité ? Et comment pouvons-nous assurer la sécurité de nos utilisateurs ? Donc, je pense que lorsque je me penche sur les bonnes pratiques et les bonnes valeurs de conception, je pense que les clients vont tenir les entreprises responsables de cela. Et je pense que vous pouvez le constater à travers les produits Apple dans ce qu'ils font, vivent et respirent, mais aussi à travers de nombreuses solutions de conception différentes aujourd'hui. Comme en particulier les applications à deux facteurs qui vous permettent de faire deux choses très facilement sans même penser que vous venez d'ouvrir l'application et qu'elle vous vérifie déjà. Et c'est le genre de modifications de conception qui, à mon avis, sont à la fois sûres et sûres. Mais ils sont également bien conçus, très pratiques, faciles à utiliser et beaux. Je pense donc que c'est la prochaine génération de design et de sécurité. Et je souhaite vraiment que davantage d'écoles qui enseignent le design proposent une sorte de cours sur la conception dans un souci de sûreté et de sécurité. Parce que je dirais que même dans le cadre d'un programme d'informatique de mon école, vous devez en quelque sorte tracer votre propre parcours et déterminer comment je vais apprendre exactement à ce sujet en classe afin d'avoir les compétences requises. Il existe toutes sortes d'autres cours, tels que la conception pour l'accessibilité et la conception pour la conception de jeux, mais je pense que la conception pour la sûreté et la sécurité appartient vraiment à la prochaine génération.

29 min 14 s

Absolument Il est également bon de savoir qu'en 25 ans, les cours d'informatique continuent d'enseigner la sécurité, mais qu'ils n'ont pas encore pleinement intégré la sécurité à tous les aspects du cours. Et c'est vraiment une discipline autonome.

29:33

Oui, je pourrais en parler indéfiniment. Et cela me donne toujours envie de devenir un décideur politique pour changer cette situation. Mais il existe des statistiques insensées selon lesquelles sur les 14 meilleurs programmes informatiques du pays, un seul de ces programmes oblige les développeurs à suivre un cours de sécurité. Dans les autres écoles, y compris la mienne, la sécurité n'est pas un cours obligatoire, vous pouvez le suivre si vous voulez en savoir plus. Mais souvent, vous pouvez obtenir votre diplôme sans en avoir suivi un.

30:09

Oui, et c'est sous la direction de quelqu'un qui travaille dans le cyberespace depuis près de 20 ans. Et il suffit de penser au nombre de diplômés qui souhaitent se lancer dans la technologie, quel que soit le secteur, mais essentiellement, dans le domaine de la technologie et développer des produits incroyables. Le fait qu'ils n'aient pas nécessairement une solide expérience en matière de cybersécurité, je ne dis pas qu'ils sont des experts, mais qu'ils sont sensibilisés et autres, cela semble être des compétences clés, ce qui sera important pour leur rôle. C'est assez effrayant, car cela revient, encore une fois, à ce que sont les choses que nous développons, que nous utilisons et à quel point la sécurité n'est pas ancrée. Et je sais que les organisations déploient beaucoup d'efforts pour compenser cela. Mais c'est, c'est comme si vous abordiez le défi de la cyberéducation à un si jeune âge, en quelque sorte, à l'école, à l'âge scolaire, que c'est quelque chose qui, dans l'enseignement supérieur, peut être relevé assez facilement, et qui est assez essentiel. Si nous disons que tout le monde doit être capable d'apprendre à coder, car c'est essentiel, quel que soit le travail qu'il va faire. Eh bien, assurons-nous qu'ils peuvent coder en toute sécurité

31 h 29

Oui, je pense que cela va entraîner un changement radical dans le système éducatif. Et j'espère vraiment que cela se produira. Et cela fait, je pense que nous mettons en place les bons outils. Par exemple, je pense qu'il y a pas mal de startups et d'entreprises émergentes qui travaillent sur la manière de fournir des outils aux développeurs, de manière à rendre la sécurité très facile à comprendre, en particulier dans les documentations que vous ne connaissez pas bien. Je pense donc qu'avec les bons outils, les bonnes bases de formation, le simple fait d'avoir un simple intérêt et de vouloir en savoir plus à ce sujet, je pense que cela revient à ce que vous disiez à l'origine, à savoir que les développeurs n'ont pas le stéréotype ou la perspective selon lesquels les responsables de la sécurité vont toujours intervenir et dire : « Tu ne peux pas faire ça, vraiment désolée ». Comme si vous ne pouviez pas aimer ne pas pouvoir vous développer, vous ne pouviez pas. Les gens ont généralement l'impression, surtout avec toute cette révolution de l'IA, que si je recrute du personnel de sécurité, ou si je me préoccupe de la sécurité, par exemple si je ne me développerai pas aussi vite, je n'innoverai pas aussi rapidement. Mais je pense qu'il faut éliminer ce stéréotype selon lequel vous pouvez développer tout aussi rapidement, mais aussi dans un souci de sécurité. Et il y a tellement d'exemples de cela. C'est vraiment l'élément clé.

32:50

Oui, absolument. Et je pense qu'une partie de cela consiste évidemment à changer cela, cet état d'esprit, et, en quelque sorte, à vraiment faire, et c'est le plus ancien, qui porte beaucoup sur le secteur de la cybersécurité, c'est de vous faire un partenaire. Hein ? Faites-vous comprendre, ne vous sentez pas obligée d'être cette police oui/non. Mais il s'agit davantage d'un partenaire, car c'est ce qui stimulera l'engagement et l'adoption. Mais je pense également que la responsabilité incombe également aux fournisseurs de sécurité, à ceux qui développent des produits de sécurité et des technologies de sécurité pour les rendre aussi faciles à exploiter que possible par ceux qui créent des applications pour l'utilisateur final. Pour que l'adoption de la sécurité devienne un plaisir. Je veux dire, je comprends votre point de vue, non ? Nous sommes tellement obsédés par l'expérience utilisateur. C'est tellement important si vous concevez un produit de consommation et que l'expérience utilisateur est médiocre, n'est-ce pas ? Ce produit ne va pas aller loin. C'est vrai, il va être massacré. Nous devrions donc adopter la même approche en ce qui concerne les produits de sécurité, qui peuvent être des produits d'entreprise, peut-être des produits pour les utilisateurs finaux, mais faisons en sorte que la sécurité soit un plaisir à adopter.

34:10

Oui, et c'est aussi plus facile à adopter. Je pense que l'une des choses qui me pose parfois problème, c'est de donner des conseils lorsque des petites et moyennes entreprises arrivent et qu'elles disent : « Oh, nous recherchons un produit de sécurité », comme si elles voulaient être sécurisées ou adopter quelque chose. Il y a tellement d'outils sur le marché. Que c'est difficile à analyser maintenant, comme d'accord, que faites-vous exactement ? Je pense donc qu'il s'agit simplement d'acquérir une compréhension générale de la communication de votre produit, en fonction de ce qu'il fait, et ensuite à qui vous voulez servir. C'est également important, car il y a tellement de produits sur le marché en ce moment.

34:56

Alors, je voudrais parler de l'IA avec vous pendant un moment, mais je veux dire, vous n'êtes pas qu'un simple cyberéducateur, n'est-ce pas ? Vous n'êtes pas simplement quelqu'un qui se concentre sur la sensibilisation ; vous êtes également un chasseur de menaces, vous êtes au fait de la technologie. Alors, parlons-en un peu. Par exemple, à quoi ressemble cet aspect de votre vie quotidienne ?

35:28

Oui, je dirais que c'est vraiment dû à mon intérêt pour cette composante éducative. J'ai donc fait de l'éducation, tout au long du lycée, dans le domaine de l'éducation et de la promotion de la cybersécurité. Et puis quand je suis arrivée à l'université, j'ai commencé à m'intéresser de plus en plus à savoir qui sont ces véritables acteurs de la menace et pourquoi font-ils ce qu'ils font ? Et comment font-ils ce qu'ils font ? Par exemple, quelles sont leurs tactiques et techniques ? C'est à ce moment-là que j'ai commencé à m'intéresser au renseignement sur les menaces. Et pour le renseignement sur les menaces, j'ai travaillé au MS-ISAC pendant un an. Ensuite, je suis passé chez Apple pour y effectuer des opérations de sécurité et détecter les fraudes à l'aide de l'IA et du ML. Ensuite, j'ai rejoint le gouvernement et j'ai travaillé à la CISA, entièrement centré sur le renforcement des capacités internationales en matière de cybersécurité et sur l'aide à apporter à nos partenaires et à nos partenaires de la chaîne d'approvisionnement en matière de sécurité. Ensuite, je suis retourné chez Apple qui assurait la sécurité des produits avec des partenaires de la société civile, protégeant ainsi les journalistes, les dissidents et les défenseurs des droits humains. Et je me suis vraiment intéressé à ce que le gouvernement revienne à la fiscalité. C'est également ce que je fais cet été chez SpaceX, en travaillant sur les attaques gouvernementales et les attaques gouvernementales contre nos produits. Et c'est également ce sur quoi je fais des recherches. Donc, c'est juste beaucoup de passion qui s'est développée grâce à l'éducation. En voyant les véritables victimes, en voyant des personnes qui ont vécu des choses comme ça, nous avons également organisé de nombreuses sessions avec des victimes d'exploitation en ligne. D'une manière générale, le fait d'avoir côtoyé des personnes de l'autre côté des attaques a, je pense, suscité en grande partie mon intérêt à bien connaître ce domaine. Et je pense que cela m'a permis de m'immerger de plus en plus profondément dans ces terriers à lapins du cyberespace, mais je ne voudrais pas qu'il en soit autrement. C'est très amusant de faire des recherches et de faire le volet éducatif ensemble.

37:36

Je veux dire, c'est à peu près le Who's Who des organisations des secteurs public et privé qui ont réalisé des travaux de cybersécurité. Et puis-je simplement dire que la plupart des personnes qui travaillent et qui font carrière dans le cyberespace n'ont rien fait dans ce domaine avant d'avoir atteint l'âge de 30 ans. Donc, tu as déjà 15 ans d'avance sur le reste d'entre nous. Ce n'est pas juste. Mais c'est intéressant, vous êtes en quelque sorte en train de regarder les acteurs des États-nations. Donc, si nous relions quelque chose dont nous parlions plus tôt, à propos de la montée des cyberattaques. C'est vrai. Donc, d'un côté, si l'on considère l'essor de la nation, les acteurs étatiques et, en quelque sorte, le discours général, on constate que les attaquants sont de plus en plus sophistiqués.

38:21

Oui, c'est une bonne question. Je pense même avoir été du côté des pentests, aussi. C'est intéressant, parce que j'ai l'impression qu'à chaque fois que je faisais l'une de ces expériences d'apprentissage, je participais à un test d'évaluation, ou que je l'ai vu du début à la fin. Je revenais toujours à l'aspect éducatif, et je pense que cela s'explique en partie par le fait que, chaque fois que je me suis rendu compte que le vecteur initial utilisé, 80 % du temps provenait d'humains. Et donc, qu'il s'agisse d'un attaquant qui a accès à l'IA, cela ne fait que lui faciliter la tâche en générant une sorte de courrier électronique, par le biais de l'IA, ou en générant un message vocal généré par l'IA ou une voix générée par l'IA et en redirigeant le vecteur initial de l'attaque. Je pense qu'à chaque fois, je me retrouvais à revenir à l'enseignement, ce qui explique en grande partie pourquoi je n'ai pas arrêté de le faire depuis que j'ai commencé à l'âge de 14 ans. Donc, je dirais que vous avez raison de dire que même avec l'intelligence artificielle, nous devrions simplement réfléchir à la façon dont notre défense en profondeur, notre posture de sécurité n'ont pas nécessairement beaucoup changé. Cela a changé en termes d'amélioration, mais c'est un jeu du chat et de la souris et les acteurs de la menace s'améliorent également. Nous devons donc nous adapter. Ce n'est pas terminé. J'ai pris des mesures de sécurité. J'en ai fini avec ça. Je ne vais pas y penser. C'est d'autant plus vrai. Pouvons-nous réviser cela maintenant que les acteurs de la menace évoluent ? Que pouvons-nous faire pour garder une longueur d'avance ? Et je pense qu'en tant que designers, c'est une question importante à laquelle il faut penser lorsque vous pensez à concevoir un produit. D'accord, si je le construis, si je le conçois de cette façon, comment les attaquants essaieraient-ils de le contourner ? Et quelle est leur prochaine étape ?

40:13

C'est génial, non ? Parce qu'il s'agit essentiellement d'une approche centrée sur les menaces pour créer un produit ou, comme nous en avons parlé lorsque nous parlons de Zero Trust, nous en parlons comme d'une sorte de supposition, d'intrusion, de supposition que l'attaquant est à l'intérieur, comment feriez-vous alors comment créeriez-vous vos contrôles ? Renforcez votre sécurité de manière à ce qu'ils ne puissent pas aller plus loin ? C'est vrai. Et je pense que c'est absolument le cas. Parce que quand je pense à cette relation, disons avec les attaquants alimentés par l'IA, il s'agit en fin de compte de savoir à quoi sert le modèle d'IA. Il s'agit de données, d'informations sur votre organisation, sur l'infrastructure dont vous disposez. Donc, moins c'est ce que vous mettez gratuitement à disposition, non ? Plus il y en a, moins l'attaquant doit travailler avec. Donc, c'est un peu affamé, comme nous en avons parlé, nous avons parlé de réduire la surface d'attaque, n'est-ce pas, ou de gérer notre surface d'attaque, mais c'est aussi comme gérer la surface d'apprentissage, par exemple, quelle est cette surface exposée dont l'attaquant peut tirer des leçons ?

41:24

Oui, oui, je suis tout à fait d'accord. Et j'ai passé l'année dernière à étudier l'utilisation de grands modèles linguistiques pour mener à bien la cyberdéfense et pour extraire ou identifier des tactiques et des techniques après une attaque. Et ce que vous avez appris en termes d'utilisation de l'intelligence artificielle et de sa mise au point pour en faire un outil productif, c'est que notre IA est définitivement développée, mais qu'elle a certainement ses nuances, n'est-ce pas ? Par exemple, lorsque vous interagissez avec un LM, vous pouvez certainement voir qu'il hallucine pas mal, et des choses comme ça. Je pense donc que tout le monde est sur un pied d'égalité en ce sens que, comme s'ils fonctionnaient avec le même niveau d'outils que nous, essayons simplement de construire plus rapidement. Construisons des outils défensifs plus rapidement. Évitons ces risques potentiels plus rapidement qu'ils ne le font.

42:24

Comment voyez-vous l'IA transformer le paysage de la cybersécurité ? Par exemple, quel est selon vous l'élément clé qu'il peut être utilisé pour résoudre ?

42:38

Il y a, il y a tellement de petites tâches secondaires, je pense. Mais je pense que la façon dont les ingénieurs en IA envisagent les choses, ainsi que les cyberprofessionnels, est, encore une fois, l'idée suivante : comment pouvons-nous nous rencontrer là où nous en sommes ? Hein ? Ce n'est pas que l'IA va être utilisée pour remplacer les cyberprofessionnels. Mais il s'agit plutôt de savoir comment trouver ces petites sous-tâches qui, en fait, si un analyste, si un analyste humain n'y consacrait pas autant de temps, pourrait consacrer ses efforts d'analyste humain à une tâche plus difficile ou à une sous-tâche plus difficile requise par l'homme ? Donc, je pense que mon objectif était de savoir comment trouver ces petites sous-tâches pour lesquelles nous pourrions réellement créer des points de référence ? Ensuite, la deuxième question est de savoir comment tester scientifiquement et rigoureusement cela afin de savoir qu'un modèle LM serait utile pour une tâche ? Ou ce serait bien pour une tâche ? Et je pense que la grande question de recherche universitaire en ce moment est la suivante : oui, tous ces outils sortent, chaque cyberfournisseur prétend posséder un produit alimenté par l'IA. Mais en même temps, si vous regardez les recherches, il n'y a pas beaucoup de critères similaires à ceux du LLM pour dire : « D'accord, c'est ainsi que les humains s'acquittent de cette tâche ». Voici comment fonctionne le LLM ; faisons une comparaison côte à côte. Et faisons-le à grande échelle des centaines de fois pour voir si ce serait un outil potentiel ? Donc, je pense que la prochaine étape de la recherche universitaire est de savoir si nous pouvons produire des points de référence fournissant des preuves scientifiquement rigoureuses ? Parce que, encore une fois, c'est de la cyberindustrie dont nous parlons, nous avons besoin de preuves pour prendre des décisions à enjeux élevés, n'est-ce pas ?

44:25

Absolument Je discutais avec un ancien collègue hier soir. Nous en parlions parce qu'il est en train de créer une start-up qui tire largement parti de l'IA pour la technologie que nous développons. Et nous étions en train de discuter de ce qu'est l'IA, pour me convaincre que l'IA est vraiment utile, n'est-ce pas ? Ensuite, je pense que nous avons résumé ce que vous avez dit : quelles sont les tâches quotidiennes que je déteste faire, mais que je dois faire ? Et si je peux utiliser l'IA, si l'IA peut comprendre quelles sont ces tâches et les effectuer pour moi, c'est vraiment utile. Parce qu'alors je pourrai me concentrer, pour revenir à votre point de vue, sur les choses que j'ai vraiment envie de faire. Je ne peux pas parce que je passe tellement de temps à faire ces choses que je dois faire, mais je déteste faire.

45:24

Absolument, oui, je pense que c'est une bonne façon de le dire. Et je me demande, lorsque je parle à des personnes du secteur public, quelles sont les adoptions que le gouvernement envisage en termes d'IA ? C'est un peu la même chose. Ce sont tous ces petits problèmes, ce ne sont pas les problèmes sexy qu'ils recherchent. C'est tout, vous savez, qu'il s'agisse d'embaucher un RH ou de trouver comment intégrer quelqu'un qui aime un nouvel employé, comment l'intégrer sans, vous savez, dépenser trop de ressources et d'efforts humains. Par exemple, comment pouvons-nous utiliser ces outils pour réellement améliorer ce que nous faisons et augmenter ce que nous faisons ? Et oui, je pense que l'un de mes professeurs l'a dit de manière très intéressante : il s'agit d'une question d'augmentation de l'intelligence, plutôt que d'automatisation.

46:13

Oui, absolument. C'est vrai. Et quand vous passez à l'un d'entre eux, ce ne sont pas les problèmes sexy que vous essayez de résoudre. Ce sont les problèmes merdiques qu'ils essaient de résoudre. Hein ? Et ceux, sauf ceux que vous devez absolument résoudre au quotidien ? Oui, je suis tout à fait d'accord. Et je pense que c'est la raison pour laquelle l'ère de l'IA et la révolution présentent tant de similitudes avec les autres avancées technologiques que nous avons constatées au cours des 100 dernières années, n'est-ce pas ? Ce n'est pas le cas, il s'agit essentiellement d'activer ou de supprimer certaines de ces choses très manuelles. C'est génial. Réfléchissons donc à ce que vous pensez de votre boule de cristal à propos de la cybersécurité, des politiques, de l'élément humain de l'IA. Comment voyez-vous l'avenir ?

47:09

La question d'un million de dollars.

47:12

Une question d'un milliard de dollars ! Tu comprends l'idée, non ?

47:17

Bon sang, je dois créer ma start-up ! Mais je pense que cela dépend de plusieurs facteurs dans le secteur de la cybersécurité. Là-bas. J'ai l'impression qu'il se passe tellement de choses en ce moment qu'il est difficile de cerner une chose, mais je pense que si je pouvais me permettre de résumer, ce serait, comme vous l'avez dit, ce juste équilibre entre l'analyse humaine et l'augmentation de l'intelligence ? Et si quelqu'un l'obtient, c'est vrai, je pense que ce sera un outil d'un milliard de dollars : pouvez-vous créer quelque chose qui augmente le renseignement qui fasse de nous des défenseurs plus intelligents, mais qui tire également parti de ce que les humains font de mieux, à savoir détecter les anomalies ou découvrir que quelque chose est un peu bizarre ou étrange qu'une machine pourrait ne pas être en mesure de détecter. Et il s'agit de peaufiner cet énoncé du problème qui, je pense, va aller loin.

48:16

Alors, quand sortira votre start-up ?

48:22

Il s'agit d'un lancement en douceur pour cela. C'est un lancement en douceur. Et je suis également en train d'auditionner pour un rôle dans ce film.

48:32

Fantastique. Donc, comme ça. Revenons-en à l'éducation et à la sensibilisation alors que nous terminons. Et comme s'il y avait tellement de professionnels de la sécurité qui écouteront ce podcast, n'est-ce pas ? Quel est le message que vous avez, par exemple votre lien avec ceux qui terminent encore leurs études secondaires ou universitaires. Mais vous avez également eu toute cette visibilité dans le secteur public haut de gamme et le secteur privé haut de gamme ? Quel message adressez-vous aux professionnels de la cybersécurité d'aujourd'hui, qu'ils devraient connaître au sujet des professionnels de la cybersécurité de demain ?

49:20

Oui, je pense à deux choses. La première est que tout commence, c'est très populaire. S'il y a un message que je pourrais envoyer aux professionnels de la cybersécurité du secteur du travail, à savoir que tout revient à votre communauté, à votre impact, au message que vous envoyez. Donc, je recommande toujours de vous rendre dans les écoles locales pour parler de ce que vous faites et d'apporter l'image dont nous parlions au début, à savoir que le cyberespace n'est pas simplement un type de personne ou une formation requise. Il y en a partout et c'est tout. Hier, je discutais avec un ami et je lui disais qu'on ne choisit pas le cyber, c'est le cyber qui vous choisit. C'est le truc, c'est d'entrer dans la communauté, de partager ce que vous présentez, le fait qu'il y a, vous savez, présenter un panel de personnes provenant de vous savez, d'Illumio ou de n'importe quel endroit où vous travaillez avec des personnes d'horizons différents qui examinent ce problème sous différents angles. Donc, la seule chose à faire est d'entrer dans la communauté. Ensuite, la deuxième est de savoir que cette génération n'est pas simplement apathique face à ces problèmes, nous en sommes très conscients, avertis, nous voulons connaître la réponse. Nous allons poser les questions difficiles. Alors soyez prêts, soyez enthousiastes et comprenez que nous devons nous rencontrer où nous en sommes en termes de cyberéducation.

50:49

Incroyable. Kyla, ce fut un plaisir de discuter avec toi, non ? J'aimerais que nous puissions avoir plus de temps, mais je sais que votre temps est précieux. Encore une fois, merci beaucoup pour le temps que vous m'avez accordé. J'apprécie vraiment. Cela a été fantastique.

51:02

Merci, Raghu. Cela a été tellement amusant. Merci