Renforcer notre défense collective
Dans cet épisode, l'animateur Raghu Nandakumara s'entretient avec Ann Johnson, vice-présidente de Microsoft Security Business Development, pour explorer l'IA, les conversations quotidiennes Zero Trust, les meilleures pratiques en matière de cybersécurité et bien plus encore.
Transcription
0:00:03.8 Raghu Nandakumara : Bienvenue sur The Segment : A Zero Trust Leadership Podcast. Je suis votre hôte, Raghu Nandakumara, responsable des solutions industrielles chez Illumio, la société Zero Trust Segmentation. Aujourd'hui, je suis rejointe par Ann Johnson, vice-présidente de l'entreprise chargée du développement commercial de la sécurité chez Microsoft. Vétérane de 22 ans dans le secteur de la cybersécurité ayant travaillé chez RSA Security, Qualys et Microsoft, Ann est une conférencière internationale reconnue, une auteure et une ardente défenseure de la diversité et de l'appartenance dans le domaine de la technologie et dans le monde entier. En outre, Ann conseille et siège au conseil d'administration de nombreuses organisations, notamment la Seattle Humane Society, Human Security et l'Executive Women's Forum. Aujourd'hui, Ann se joint à nous pour discuter de l'IA, des conversations quotidiennes sur le Zero Trust, des meilleures pratiques en matière de cyber-résilience, et bien plus encore. Nous sommes très honorés de vous avoir sur notre podcast, sur The Segment. En guise d'introduction, pouvez-vous nous parler un peu de votre expérience dans le domaine de la cybersécurité et de votre rôle actuel chez Microsoft ?
0:01:12.3 Ann Johnson : Ouais. Merci Raghu. C'est merveilleux d'être invité. Je dirige, aujourd'hui chez Microsoft, nos partenariats stratégiques et nos fusions et acquisitions dans le domaine de la cybersécurité. C'est donc un travail formidable. Je pense que j'ai l'un des meilleurs emplois dans le domaine de la cybersécurité, car je peux voir tout ce qui se passe dans le secteur, les nouveautés, les nouveautés, puis je réfléchis à la manière dont nous travaillons en partenariat avec tout le monde pour réellement créer un écosystème de sécurité, car nous pensons fondamentalement que la sécurité est un sport d'équipe. Cela fait 23 ans que je travaille dans le domaine de la cybersécurité depuis mes débuts dans cette petite entreprise appelée RSA Security. Je suis... tous les cybergens ont des domaines d'expertise. Je suis en fait une personne spécialisée dans l'identification et l'escroquerie, c'est donc de là que je viens depuis très longtemps dans le domaine de la cybersécurité. Je travaille chez Microsoft depuis environ sept ans et j'ai occupé différents postes ici, mais cette course a été extrêmement amusante et nous avons vraiment dépassé nos attentes grâce à notre capacité à proposer aux clients des solutions qui simplifieront leur sécurité et les aideront à le devenir en fin de compte.
0:02:11.1 Raghu Nandakumara : C'est incroyable. Vous avez donc eu une carrière riche en rebondissements dans le cyberespace. Qu'est-ce qui continue de vous intéresser et de vous motiver à rester dans ce domaine ?
0:02:21.5 Ann Johnson : Cela change tous les jours. Je fais partie de ces personnes que votre cerveau ne ferme jamais et que vous recherchez des choses constructives sur lesquelles il peut se concentrer. Je trouve que les dimensions de la cybersécurité sont dynamiques et que les acteurs qui sont les mauvais acteurs changent, les fils conducteurs changent et le paysage change. Et alors que les entreprises se modernisent, cela a entraîné un énorme changement dans le domaine de la cybersécurité et nous avons maintenant ce qu'on appelle l'intelligence artificielle, les modèles en langage naturel et ChatGPT qui deviennent réalité. C'est donc tellement dynamique, amusant et en constante évolution. Cela ne fait que m'intéresser en permanence.
0:02:53.5 Raghu Nandakumara : Vous avez en quelque sorte évoqué l'IA, ces modèles de langage naturel et ChatGPT. À votre avis, la menace potentielle qu'ils représentent et la manière dont ils pourraient être exploités par des acteurs malveillants sont-elles bien réelles ou, pour le moment, s'agit-il simplement d'un battage médiatique plutôt que de la réalité ? Quelle est votre opinion là-dessus ?
0:03:13.3 Ann Johnson : Ouais. Je ne sais donc pas si c'est vrai aujourd'hui. Je pense qu'au fur et à mesure que nous continuons à réfléchir à l'intelligence artificielle et aux modèles de langage naturel, ils seront évidemment utilisés à mauvais escient par de mauvais acteurs, et je pense de deux manières. La première consiste à tirer parti de la technologie pour lancer certaines de leurs attaques. Ils vont découvrir comment tirer parti de cette technologie pour lancer des attaques plus facilement ou plus rapidement. La deuxième chose, cependant, est que nous devons sécuriser les modèles eux-mêmes. Nous devons sécuriser les données. Nous devons nous protéger contre l'empoisonnement des données. Nous devons nous protéger contre l'empoisonnement des modèles. Parce que si vous pensez à l'IA, par exemple pour la cybersécurité, les données mondiales vont rester là d'une manière ou d'une autre à l'avenir et c'est un excellent environnement riche en cibles pour tout acteur malveillant.
0:03:56.0 Raghu Nandakumara : Absolument, et je pense que cela a toujours été le défi de l'apprentissage automatique au départ et maintenant que l'IA, cette forme d'intelligence s'exprime réellement, elle est finalement basée sur les données que vous y introduisez et les compromettez d'une manière ou d'une autre ou sur une altération qui a un impact sur le résultat. Mais si nous l'examinons d'un point de vue positif, vous avez évoqué la manière dont les mauvais acteurs pourraient tirer parti des modèles d'IA. Mais y voyez-vous également la possibilité pour les équipes bleues, les équipes défensives comme nous, de devancer les mauvais acteurs en tirant parti de ces modèles ? En voyez-vous également le potentiel ?
0:04:36.1 Ann Johnson : Oui, je pense qu'il y a un énorme potentiel pour nos équipes bleues, pour nos équipes rouges, mais aussi pour que nous puissions tirer des leçons de ce que nous pensons que les acteurs vont faire en interne. J'ai toujours pensé que notre travail dans ce secteur consiste à garder une longueur d'avance sur eux. C'est pourquoi je suis constamment optimiste. Je pense que nos équipes bleues et rouges peuvent tirer de nombreux enseignements de ces modèles en langage naturel. Cela le rend plus égalitaire. Donc, si vous n'êtes pas un codeur, disons que vous n'avez pas écrit beaucoup de code, vous avez maintenant la possibilité d'envoyer une invite à un système et de le faire exécuter quelque chose pour vous, ce qui signifie que cela ouvre un monde dans lequel, que vous meniez des enquêtes ou que vous fassiez des équipes rouges ou bleues, vous ouvrez soudainement le monde à un public beaucoup plus large.
0:05:19.6 Raghu Nandakumara : Je trouve que la façon dont vous décrivez cela est tellement merveilleuse et égalitaire, parce que la cybersécurité peut souvent sembler être l'apanage d'une poignée de personnes très sélectionnées, comme un exemple classique de M. Robot avec un sweat à capuche penché sur un clavier. Mais je pense que lorsque nous pensons à la sécurité aujourd'hui et que nous entendons parler de termes tels que la démocratisation de la sécurité, il est si important que l'ensemble de l'organisation soit impliquée. Est-ce quelque chose qui vous tient vraiment à cœur ?
0:05:52.3 Ann Johnson : Je suis tout à fait d'accord. Et il a deux dimensions pour moi. Premièrement, j'ai déjà dit que « nous savons que la cybersécurité a mûri en tant que secteur alors qu'il n'existe plus de groupe de cybersécurité ». Maintenant, c'est une déclaration extrême et je la fais évidemment pour y réfléchir un peu. La cybersécurité est l'affaire de tous et plus nous pouvons rendre les outils plus faciles à utiliser pour les utilisateurs et plus nous pouvons vraiment en faire le travail de tous, plus nous serons en sécurité en fin de compte. La deuxième chose, c'est que nous avons ce seuil de cyberpauvreté à l'échelle mondiale. Certains pays n'auront pas la capacité de se protéger contre les attaques des États-nations. Et comme la cyberguerre continue d'être l'un des éléments d'une guerre cinétique, c'est vraiment un élément de guerre, comme nous l'avons vu récemment, nous allons devoir trouver un moyen de donner à ces pays les compétences dont ils ont besoin pour pouvoir se défendre. Ces personnes qui n'ont tout simplement pas de compétences en cybersécurité ou qui n'ont pas les moyens d'en acquérir. C'est ce que nous appelons le seuil de pauvreté en matière de cybersécurité. Je pense donc que ce sont ces deux dimensions. Je pense vraiment que l'IA, même si elle va aider notre SOC et nos défenseurs et [faciliter] le travail de ces personnes, sa démocratisation constituera en fait un véritable changement pour le secteur.
0:07:00.1 Raghu Nandakumara : Ann, je trouve cela fascinant. Et je pense que cela tient également en partie à la mise à niveau de certains pays et, évidemment, de groupes de pays. Par exemple, ici, dans l'UE, où les pays agissent davantage de manière collective pour améliorer la position générale en matière de cybersécurité motivée par la législation au niveau national, ce qui ne peut être que positif. C'est lié à tout ce que vous décrivez avec cette démocratisation accrue. C'est comme ça que tu vois les choses ?
0:07:30.0 Ann Johnson : C'est ainsi que je vois les choses et je pense que la démocratisation doit également exister et qu'il doit y avoir des normes mondiales et qu'il doit y avoir une réglementation mondiale. Mais il doit également y avoir une coopération mondiale, n'est-ce pas ? Coopération, secteur privé, secteur privé-public, secteur public/secteur public. Nous assistons à une augmentation de la collaboration et de la coopération, mais nous n'en sommes pas là où nous devrions être et la seule façon de vaincre le mauvais ennemi est de recourir à la défense collective. Et nous devons faire beaucoup mieux en matière de défense collective, et l'IA ne devrait être qu'un outil de l'arsenal.
0:08:00.0 Raghu Nandakumara : J'aime bien ça. J'aime bien ce terme, défense collective. OK. Je pense que nous avons passé la première partie du processus à attendre avec impatience ce que l'avenir nous réserve. J'aimerais donc revenir un peu en arrière et vous demander : comment avez-vous vu les priorités et les approches en matière de cybersécurité évoluer au fil du temps ? parce que j'écoutais votre podcast, je crois que c'était l'épisode avec Sounil Yu, où il a décrit les différentes époques de la cybersécurité. Que penses-tu de ces époques ?
0:08:31.3 Ann Johnson : Je pense qu'à la première ère de la cybersécurité, certaines personnes ont installé quelques pare-feux, peut-être qu'elles utilisaient des jetons pour s'authentifier, qu'elles possédaient des routeurs et des logiciels antivirus. Et c'était comme : « D'accord. Nous sommes tous bien ici. » C'était une question : « Gardez tout hors de l'environnement ». C'était vraiment une question : « Nos employés viennent tous au bureau. Ils travaillent sur les appareils que nous leur fournissons. » Peut-être même pas des ordinateurs portables, peut-être que certains d'entre eux ont un écran vert. Et la principale préoccupation du CIO était que quelqu'un ait branché un serveur non autorisé dans le centre de données, n'est-ce pas ? Et puis nous avons évolué vers ce monde où, d'accord, nous sommes soudainement devenus plus mobiles et où les gens travaillent sur différents appareils et où il y a ce concept Bring Your Own Device. Et au fait, nous avons commencé à supposer qu'il y avait une brèche quelque part... Et cela fait probablement 10 ans maintenant, nous avons commencé à supposer une violation. Nous partons du principe qu'il y a quelqu'un dans votre environnement. Alors, comment les contenir ? Comment minimiser les dégâts ? Comment les trouver ? Et comment les expulser ? Les outils ont donc commencé à changer. Tu ne pouvais plus empêcher tout le monde d'entrer. Il fallait en fait donner l'accès aux gens parce que les gens voulaient travailler de n'importe où et sur n'importe quel appareil. Comment le faire en toute sécurité ?
0:09:33.1 Ann Johnson : C'était donc comme dans la seconde ère. La troisième vague que nous traversons actuellement a été largement accélérée par la pandémie lorsque 87, soit 90 % des employés du monde entier, sont allés travailler à domicile. Soudain, nous avons eu ces environnements hybrides qui n'étaient pas nécessairement sécurisés, et nous avons eu des personnes travaillant sur des kiosques ou travaillant sur le même appareil que celui sur lequel leur enfant faisait ses devoirs scolaires et nous avons introduit ce tout autre vecteur. Nous sommes revenus un peu à la situation où vous avez maintenant plus de personnes au bureau, certaines personnes sont encore à la maison, ou elles sont au bureau ou à la maison une partie du temps, et vous êtes vraiment hybride, mais vous disposez également de ce nouvel outil d'IA. Encore une fois, c'est comment s'est passé le... Le plus gros problème que les RSSI me posent encore aujourd'hui est la visibilité. Alors, comment détecter un événement vraiment grave dans votre environnement, le détecter très rapidement et l'empêcher de faire des dégâts ? C'est comme la troisième vague d'outillage et tout tourne autour des données. Les gens ne viennent pas dans votre environnement juste pour y passer du temps. Tout est vraiment une question de données.
0:10:33.8 Raghu Nandakumara : C'est vraiment intéressant. Et pour revenir à la dernière chose que vous avez dite, tout est une question de visibilité. Quand j'y pense, j'ai presque l'impression que la visibilité devrait être la première chose à mettre en place lorsque vous déployez une nouvelle technologie afin de bien comprendre ce qui se passe autour d'elle. Pourquoi cet écart est-il encore important pour tant d'organisations ? Pourquoi n'ont-ils pas assez de visibilité aux bons endroits ?
0:11:01.1 Ann Johnson : Parce que c'est super dur. Si vous pensez à la dette technique et aux systèmes existants, aux systèmes disparates et aux environnements cloud non fiables, aux personnes qui s'inscrivent à des applications SaaS et aux personnes travaillant sur leurs propres appareils, et à la nécessité de trouver un équilibre entre productivité et sécurité, il devient vraiment difficile d'obtenir une visibilité complète sur votre environnement. Nous avons des utilisateurs qui fonctionnent toujours sur des systèmes Windows NT ou Windows 95. Comment allez-vous leur donner de la visibilité s'ils ne s'adressent pas à des environnements de type cloud ? Vous avez des chaînes de fabrication qui ne disposent pas de connectivité cloud. Vous avez des sociétés pétrolières qui ont des systèmes de production offshore, des sociétés minières du monde entier dont les camions miniers automatisés se trouvent à 5 000 miles de leur siège social alors qu'elles sont équipées de 800 capteurs. Il est très difficile d'obtenir de la visibilité et c'est ce à quoi les gens ont du mal. La meilleure chose que le secteur de la sécurité puisse faire est de continuer à améliorer la visibilité afin que nos RSSI sachent au moins à quoi ressemble leur surface d'attaque et puissent mettre en place les bons contrôles.
0:12:00.0 Raghu Nandakumara : Ainsi, lorsque vous parlez, dans l'exercice de vos fonctions, à des leaders de la cybersécurité issus d'une multitude de secteurs et de pays, etc., quelle est selon eux leur principale préoccupation ? Est-ce qu'ils sont également d'accord avec « Je crains de ne pas savoir ce qui se passe », ou est-ce qu'ils le font un peu plus haut ?
0:12:19.1 Ann Johnson : En général, et c'est une déclaration très générale, ils se sentent généralement plutôt bien dans ce qu'ils savent. Les menaces dont ils sont conscients, les appareils qu'ils peuvent voir, ils ont généralement l'impression qu'ils disposent de bons contrôles de sécurité. C'est l'ancien, on ne sait pas ce que l'on ne sait pas. Et le problème, c'est que quelqu'un a pu être dans leur environnement pendant 18 mois dans un type de système malveillant ou que quelqu'un ait mis en ligne une nouvelle application SaaS sans dire à l'entreprise comment elle partageait des données avec elle. ChatGPT entre dans cette catégorie. Beaucoup de questions que nous recevons sont les suivantes : « Nous n'avons pas la visibilité des données potentiellement confidentielles que nos employés insèrent dans un tel système ». Ils sont donc très inquiets à ce sujet. Nous avons besoin d'une productivité maximale pour notre organisation, mais nous n'avons pas de visibilité sur ce que font les gens. Et si nous n'avons pas de visibilité sur ce qu'ils font, nous ne pouvons pas le sécuriser.
0:13:05.0 Raghu Nandakumara : C'est vrai. C'est un peu comme ça, le catch-22 alors. J'ai besoin de productivité, mais pour y parvenir, j'ai besoin d'une meilleure visibilité. Je n'ai pas de visibilité, donc je ne sais pas comment la garantir. Je ne sais donc pas comment répondre à vos besoins en matière d'amélioration de la productivité. Et vous entrez dans ce cycle. Je voudrais donc revenir à ce que vous avez dit et dont vous avez parlé il y a une dizaine d'années, selon lequel la mentalité de violation supposée émergeait et qui ne suffisait pas simplement à rétablir ou à restaurer, mais à vraiment survivre. J'aimerais donc utiliser cela comme une transition pour parler de Zero Trust. Je suppose que la première question qui vous est posée est la suivante : quand avez-vous découvert le terme Zero Trust pour la première fois ? Qu'est-ce que cela signifie pour toi et qu'en penses-tu ?
0:13:51.4 Ann Johnson : Donc, quelques choses. Premièrement, je pense que le concept de Zero Trust est un concept merveilleux. Quand suis-je arrivé pour la première fois... Je ne me souviens pas quand j'ai découvert Zero Trust pour la première fois, mais disons que c'était il y a cinq ou sept ans, mettons-le dans cette période. Je pense que le problème est que c'est devenu un terme amorphe que personne ne comprend vraiment. Et pendant un certain temps, c'était un terme marketing selon lequel les gens disaient simplement « Hé, nous sommes Zero Trust », sans aucune base de principe. Nous avons donc des principes très explicites à ce sujet. La première chose à faire est de vérifier explicitement. Tout ce qui se passe au cours d'une session doit être vérifié. N'importe quoi, qu'il s'agisse d'une seule donnée traversant l'environnement, d'une authentification, d'anomalies, etc. Ensuite, vous utilisez le moindre privilège d'accès. Vous devez utiliser l'accès avec le moindre privilège pour tous vos utilisateurs. La plupart des utilisateurs finaux n'ont pas besoin de droits d'administrateur sur leur ordinateur portable. Vous devez disposer d'un type de poste de travail d'administration sécurisé. Et ces politiques doivent être adaptatives afin que les utilisateurs disposent du privilège juste à temps dont ils ont besoin, quand ils en ont besoin, puis il disparaît et il doit être enregistré et audité.
0:14:50.6 Ann Johnson : La troisième chose est de supposer une violation. Supposez toujours que quelqu'un se trouve dans votre environnement, supposez que vous n'avez pas une visibilité complète. C'est là que vous entrez dans le chiffrement, la protection des données et la DLP et que vous ayez un programme vraiment mature en la matière. Et c'est très difficile parce que les gens ne savent pas où se trouvent toutes leurs données et il est très difficile de sécuriser des informations dont vous ne savez pas où elles se trouvent. Zero Trust est donc pour moi un élément fondamental de la cybersécurité. Et d'ailleurs, la plupart des clients, qu'ils le sachent ou non, sont engagés dans une démarche Zero Trust. Ils le font déjà dans certains domaines et le programme a vraiment atteint sa maturité. Et certains programmes sont plus matures que d'autres. Ce sont les premiers utilisateurs typiques qui sont plus matures que d'autres. Mais les gens me demandent souvent : « Par où commencer ? Que dois-je faire ? » Et l'une des choses que je leur dis, c'est que l'accès au moindre privilège est un très bon point de départ et que l'authentification multifactorielle, pour 100 % des personnes qui accèdent à votre environnement 100 % du temps, est l'autre très bon point de départ.
0:15:43.3 Raghu Nandakumara : Je suis d'accord Et je pense qu'en écoutant la façon dont vous l'avez présenté et si je repense à mon cours d'informatique de premier cycle où j'ai suivi quelques modules sur la sécurité, une grande partie de ce dont parle et prêche Zero Trust, ce sont les axiomes de la sécurité informatique, de la sécurité de l'information, comme le moindre privilège. Et pour moi, c'est presque comme : pourquoi ces meilleures pratiques n'ont-elles pas été suivies dès le départ et maintenant nous sommes presque en train de rétroconcevoir ce que nous avons pour nous adapter à quelque chose que nous aurions dû faire au départ ? Pourquoi cet écart s'est-il creusé ?
0:16:18.6 Ann Johnson : Oui, je pense que les gens privilégient trop l'accès parce qu'ils ne veulent pas que leurs employés aient des problèmes de productivité. Au fait, je le sais. L'accès est donc trop privilégié, littéralement, pour des raisons de productivité et vous devez vraiment réfléchir de manière scientifique à ce que vous pensez de l'accès. Dans l'industrie, tout le monde parle de violation présumée. Je pense que c'est une question très connue, mais il est plus difficile de vérifier explicitement tout ce qui se passe au cours de la session. Parce qu'autrefois, et vous le savez, si quelqu'un était préoccupé par la sécurité, il s'authentifiait fortement de la manière dont il s'authentifiait, puis il y avait une sorte de contrôle d'accès basé sur les rôles et c'était suffisant, n'est-ce pas ? Maintenant, nous disons que non, cela ne suffit pas. En fait, chaque transaction qui se produit au cours de la session d'une personne doit être interrogée, car il est possible que des logiciels malveillants aient un impact sur le logiciel. Vous pouvez être infecté par un logiciel malveillant qui a un impact sur les données. Quelqu'un aurait pu pirater la session. Quelqu'un aurait pu les suivre pendant la session. Nous disons donc que « vérifier explicitement tout ce qui se passe au cours d'une session » est difficile et c'est nouveau, mais pour garantir une sécurité optimale, c'est l'endroit où vous voulez vraiment être.
0:17:25.9 Raghu Nandakumara : Et alors, qu'est-ce que cela se traduit par ce que les clients demandent et par rapport à ce qu'ils exécutent ? Quelle est cette conversation typique que vous auriez ? Et je suppose que dans votre rôle, c'est essentiellement à ce niveau exécutif. Est-ce que la conversation commence avec l'organisation XYZ : « Nous voulons mettre en place un programme Zero Trust. Comment puis-je m'y prendre ? » ou plutôt : « Voici une sorte de transformation que nous sommes sur le point d'entreprendre. Comment puis-je m'assurer que la sécurité est la meilleure solution pour soutenir cette transformation ? » Quelle est la nature de cette conversation qui aboutit finalement à « vous devez adopter Zero Trust » ?
0:18:06.5 Ann Johnson : Ce serait l'idéal, la dernière solution que vous avez dite serait idéale. « L'entreprise va subir une sorte de transformation majeure, intégrons la sécurité au plus tôt » serait tout simplement l'idéal. Cela n'arrive pas aussi souvent que vous le souhaiteriez. Nous nous améliorons. D'ailleurs, la sécurité fait désormais l'objet d'une discussion au niveau du conseil d'administration. Les secteurs d'activité sont de plus en plus convaincus que leurs homologues chargés de la sécurité n'essaient pas de les bloquer, mais simplement de sécuriser leurs activités. Et la sécurité devrait être un facteur, n'est-ce pas ? Donc, idéalement, cela se produit lorsque l'entreprise essaie de faire quelque chose de nouveau et que vous vous demandez ensuite comment elle va s'y prendre de manière pratique. La bonne nouvelle à propos d'une architecture Zero Trust, c'est que vous pouvez y intégrer une grande partie. Si l'architecture existe déjà, le simple fait d'intégrer d'autres secteurs d'activité ne signifie pas que vous devez faire quelque chose de différent.
0:18:48.4 Ann Johnson : Et gérer des choses, je vais donner un exemple, exécuter des choses comme Microsoft Conditional Access, qui examine chaque transaction qui se produit au cours de la session du point de vue de l'utilisateur, est l'un des fondements d'une très bonne stratégie Zero Trust. Des éléments qui examinent vos appareils, l'état de santé de votre appareil, ce que fait votre appareil au cours de cette session, la technologie qui examine cela. Ensuite, si vous pouvez permettre à l'entreprise de ne pas avoir à revenir à la sécurité à chaque fois. Ils doivent simplement suivre les principes de Zero Trust chaque fois qu'ils déploient quelque chose de bien. Et cela devient vraiment à la fois un facilitateur commercial et rend la sécurité plus efficace et plus simple. Ce sont les mesures ultimes pour avoir un bon programme Zero Trust.
0:19:27.6 Raghu Nandakumara : Et je pense, je veux dire, que c'est vraiment l'état idéal où la cohérence est garantie par l'entreprise ou les développeurs d'applications, etc., sachant que tant qu'ils respectent les exigences de sécurité et qu'ils construisent en fonction de celles-ci, ils bénéficieront de la meilleure sécurité possible, ce sera un accès avec le moindre privilège et cette transformation ne sera en aucun cas entravée. Du point de vue de Microsoft, quels sont selon vous les principaux outils technologiques que vous offrez à vos clients pour les aider ?
0:20:05.8 Ann Johnson : Ouais. Notre stratégie Zero Trust, que chacun aborde différemment, commence par notre identité. Parce que notre identité est très forte et que nous disposons de notre suite Microsoft Entra, notre Zero Trust commence là. Et cela commence par une authentification forte, Windows Hello for Business ou Azure Authenticator, auxquels nous sommes intégrés. Cela commence par une authentification forte de l'utilisateur, puis par l'utilisation de l'accès conditionnel, afin de nous assurer que tous vos accès aux applications, toutes vos applications sont associées à l'accès conditionnel et nous examinons l'état de tout ce qui se passe au cours de la session de ce point de vue. Ensuite, comme vous le savez, nous établissons de nombreux partenariats. Nous établissons de nombreux partenariats. Et dans les domaines où nous ne disposons pas d'une technologie discrète ou explicite, qu'il s'agisse des contrôles réseau ou de ce type de contrôles, des passerelles Web sécurisées, de ce type de contrôles, nous sommes en train de dire que nous avons besoin d'une offre Zero Trust très robuste, alimentée par notre écosystème de partenaires et par certaines solutions Microsoft propriétaires. Vous verrez qu'au cours des 12, 18 ou 24 prochains mois, nous allons encore plus loin dans cette direction.
0:21:07.1 Raghu Nandakumara : Et le voyez-vous... Si je repense à l'architecture Zero Trust du NIST, il y a ce concept de plan de contrôle unifié qui est ensuite activé, appliqué via ces différents points d'application des politiques, quels qu'ils soient. Pensez-vous qu'il soit réaliste de voir apparaître dans le futur de véritables plans de contrôle à politique unique capables de mettre en œuvre cette politique Zero Trust sur tous les piliers ? Supposons que si nous revenons à la définition initiale du Zero Trust de Forrester et aux piliers dont ils parlent, pensez-vous que c'est quelque chose de réaliste ?
0:21:50.9 Ann Johnson : Cela fait des décennies que nous essayons d'obtenir des vitres simples pour une multitude de commandes. Idéalement, nous avons très peu de contrôles, où quelqu'un doit interagir ou nous masquons la complexité à l'utilisateur final, même s'il y en a... Pour Microsoft, même s'il existe des solutions partenaires, nous masquons la complexité pour l'utilisateur final et pour l'administrateur afin qu'ils puissent gérer l'ensemble de leurs contrôles en un seul endroit. Nous n'y sommes pas. En tant qu'industrie, nous n'en sommes pas là. Je sais que vous faites tous beaucoup de travail avec Zero Trust, mais plus nous pourrons simplifier les solutions et harmoniser les contrôles et permettre aux administrateurs de travailler sur une seule console, mieux le secteur s'améliorera. C'est donc une ambition.
0:22:34.2 Raghu Nandakumara : Et voyez-vous le... Pour s'en rapprocher de plus en plus et s'il s'agit de deux plans de contrôle différents capables d'interagir d'une manière ou d'une autre, cela peut suffire. Mais l'essentiel est de dire... Zero Trust, la définition moderne de Zero Trust, parle, entre autres, d'une capacité à définir des politiques basée sur le risque et le contexte. Alors, est-ce important ? Je pense qu'il est essentiel que ces plans de contrôle partagent le même contexte et la même vision du risque afin de pouvoir le faire de manière cohérente. Est-ce, je suppose, la première étape ?
0:23:19.7 Ann Johnson : Donc, si vous pensez à votre plateforme de segmentation et qu'il s'agit d'un lieu de contrôle utilisateur où l'utilisateur peut réellement avoir une visibilité sur toutes les charges de travail et tous les appareils, vous pouvez ensuite configurer vos politiques de segmentation granulaire de manière à ce qu'elles puissent être appliquées en dessous ou parallèlement à ce que nous faisons avec notre plan de contrôle Zero Trust et nous pouvons simplement diriger l'utilisateur vers Illumio en un clic. Mais mon scénario idéal est que vous ayez cet écosystème et que Microsoft soit en tête de l'écosystème avec notre plateforme, avec notre plateforme Entra, et toutes les données nous parviennent et passent par un accès conditionnel, puis nous tirons parti, parce que nous n'allons pas être à 100 % de la solution, nous tirons parti de sites comme Illumio pour effectuer un travail spécifique, mais nous masquons la complexité de l'utilisateur final qui doit faire tourner une console complètement différente pour avoir pour faire ce travail. C'est l'idéal.
0:24:10.3 Raghu Nandakumara : Oui, absolument. Mais je pense que ce qui est intéressant, c'est que la façon dont vous l'avez exprimée est si précise, qu'en fin de compte, il y a le scénario idéal, mais aussi ce qui est possible aujourd'hui avec l'intégration des meilleures solutions et la manière dont vous pouvez renforcer cette cohérence, car aujourd'hui, aucun client ne peut essentiellement se rendre sur une place de marché et dire : « Hé, j'achète la solution Zero Trust complète. Cliquez, c'est fait. J'ai Zero Trust. » Personne ne fait ça aujourd'hui.
0:24:42.5 Ann Johnson : Non. Mais c'est pourquoi notre ambition est d'être la plateforme et c'est la plateforme sur laquelle d'autres s'appuient. Vous créez vos solutions sur notre plateforme et de cette façon, le trafic nous parvient, passe par un accès conditionnel, et nous pouvons échanger avec tous ces différents partenaires que nous intégrons à notre écosystème Zero Trust. Notre ambition est exactement ce dont nous parlons ici, mais nous n'y sommes pas encore et il nous faudra probablement 18 ou 24 mois pour y être.
0:25:08.4 Raghu Nandakumara : Sûr. C'est donc 18 ou 24 mois passionnants. Ce n'est pas trop loin à l'horizon. Je voudrais donc en quelque sorte changer de vitesse et parler de la façon dont vous voyez, ce qui se passe du point de vue de la législation et de la réglementation, pas seulement aux États-Unis mais dans le monde entier, qui, selon vous, va favoriser ou accélérer l'adoption de Zero Trust. Tout le monde parle du mandat Biden et des suites qui en découlent, mais nous voyons également des choses comme, disons, l'UE, le NIS2 et la DORA. Et nous assistons à une réglementation similaire dans la région APAC et ainsi de suite. Selon vous, dans quelle mesure cette législation et cette réglementation seront-elles bénéfiques pour réellement accélérer l'adoption de meilleures pratiques de sécurité ? Pensez-vous qu'il y aura un résultat positif significatif ?
0:25:55,2 Ann Johnson : Je pense que dans la mesure où... Écoutez, l'UE a fait quelque chose de vraiment intéressant avec son concept d'avoir presque un cyberdôme et de mettre en place une défense collective au sein de l'UE. Et ce type de réglementation, ce type d'exigences et ce type de cadre à l'avenir ont un impact très important et sont significatifs. L'un des défis auxquels sont confrontés nos clients, qui travaillent dans des environnements mondiaux, est le manque de cohérence des réglementations. Et je vais utiliser un exemple. Le seul avantage du RGPD est qu'il favorise la cohérence. Que cela vous ait plu ou non, cela ne fait pas partie de la conversation. La conversation a porté sur le fait que vous avez compris quelles étaient vos exigences si vous étiez dans l'UE, du point de vue de la confidentialité. Je pense donc que dans la mesure où nous pouvons obtenir une réglementation plus harmonisée et plus cohérente, si l'industrie peut aider à éduquer les régulateurs et si les régulateurs peuvent parler à des experts, je pense que cela apportera une énorme valeur. Moi oui.
0:26:47.6 Ann Johnson : Et nous nous réjouissons de l'opportunité d'avoir des conversations constructives sur la réglementation dans tous les domaines de la technologie, y compris l'IA, car elle est nécessaire. Mais ce qui est difficile, c'est si vous avez... Je pense que le nombre est d'environ 250. Microsoft examine quotidiennement environ 250 réglementations uniques dans le monde entier pour déterminer si nous devons nous y conformer. Il doit y avoir plus de cohérence au niveau régional. Il doit y avoir davantage de normes mondiales car, en fin de compte, il est très difficile pour les entreprises de travailler à ce rythme en matière de conformité, mais aussi de gérer un programme de sécurité et de gérer leurs activités.
0:27:24.0 Raghu Nandakumara : Si vous pensez à quelque chose comme DORA, et je sais que vous êtes passionné par le fait de parler de cyberrésilience et de cette évolution, pensez-vous que cela, quelque chose comme ça, apporte de la cohérence dans un secteur en particulier ? Ou est-ce que le défi est toujours qu'il doit encore être promulgué au niveau national, ce qui complique en quelque sorte la rapidité avec laquelle il sera adopté, etc. ?
0:27:51.8 Ann Johnson : Oui, je pense que c'est juste. Je pense que le caractère unique d'un pays va entraîner une complexité insoupçonnée. Votre capacité à vous remettre d'une attaque est ce que vous avez de plus important. Votre capacité à remettre en ligne vos principaux systèmes d'entreprise après une attaque est l'une des choses les plus importantes dont vous disposez et je pense que toute réglementation qui aide réellement les organisations à le faire sans trop de frais généraux est fantastique, mais la mise en œuvre effective au niveau national et commercial entraînera une grande complexité.
0:28:27.0 Raghu Nandakumara : Alors, si nous changeons légèrement la donne, du point de vue d'une organisation, à quoi devrait-elle penser lorsqu'elle pense à la cyber-résilience ? Comment devraient-ils envisager de mettre en place les bons contrôles pour leur donner un niveau de cyber-résilience satisfaisant pour leur conseil d'administration, qui garantisse un certain niveau de productivité minimum ?
0:28:48.9 Ann Johnson : Ouais. Et Raghu, parce que tu écoutes mon podcast de temps en temps, j'en ai beaucoup parlé, j'ai écrit, etc. Cela me passionne. La première chose que les entreprises doivent savoir, c'est où se trouvent leurs principaux systèmes d'entreprise. Quels sont les trois à cinq ou dix systèmes qui doivent absolument être en ligne pour que votre entreprise puisse fonctionner ? Quels sont-ils ? Et cela concerne tout, de la paie à vos clients. Qu'est-ce qui permet à l'entreprise de continuer à fonctionner ? C'est le numéro un. Où se situent les données à ce sujet ? Deuxième point. Une fois que vous l'avez identifié, vous savez quoi... De nombreux programmes de sécurité en parleront et les considèrent comme les joyaux de la couronne parce qu'ils n'ont peut-être pas les ressources ou le personnel nécessaires pour tout sécuriser, mais ils doivent tout sécuriser. Quel est votre plan de basculement alors ? Disons simplement que ces systèmes sont tous en panne. Où est la redondance de ces systèmes ?
0:29:33.7 Ann Johnson : Disposez-vous d'un environnement cloud ? Disposez-vous d'une redondance en mer ? Disposez-vous d'une redondance dans un autre pays pour ces systèmes ? Comment allez-vous communiquer ? Si votre système de messagerie a été compromis, ce qui signifie que votre système de messagerie l'a peut-être également été, comment allez-vous communiquer en interne au sein de votre organisation si vous organisez un événement ? Que va-t-il se passer ? Il doit y en avoir un. Qui va s'adresser aux régulateurs et comment vont-ils s'adresser aux régulateurs ? Qui va s'exprimer publiquement et comment va-t-il s'exprimer publiquement ? Qui va communiquer avec vos avocats ? Qui s'adresse à vos employés et comment s'adresse-t-il à vos employés ? Avez-vous déjà conclu un contrat avec un tiers en vertu d'un contrat sur un mandat pour répondre aux incidents ? Faites-vous appel à un tiers pour reconstruire vos systèmes ? Je sais que cela semble très tactique, mais où se trouvent vos sauvegardes et avez-vous réellement testé la possibilité de les récupérer à partir de vos sauvegardes ?
0:30:26.3 Ann Johnson : Et vos sauvegardes sont-elles en ligne et risquent-elles d'être compromises ? L'une des choses que font les acteurs des rançongiciels est de rechercher vos sauvegardes, car ils veulent réellement corrompre ces sauvegardes. Donc, toutes ces choses doivent être... Ce n'est donc pas seulement technologique, c'est aussi une question commerciale. Ensuite, vous devez faire des exercices sur table et supposer que vous avez déjà eu un événement comme celui-ci et que vous devez réellement le planifier. Tu dois exécuter le plan plusieurs fois. Nous faisons tous des équipes rouges, des équipes bleues et des équipes violettes, mais faites-vous un exercice de table qui dit : « Votre environnement est complètement perturbé ? Et maintenant ? » Et vous devez le faire deux fois par an, pas seulement avec le personnel opérationnel, mais aussi avec vos dirigeants et éventuellement avec votre conseil d'administration au moins une fois par an. Ce sont toutes ces choses que nous recommandons comme meilleures pratiques.
0:31:05.0 Raghu Nandakumara : Ce que j'aime, et vous en avez parlé à la fin, c'est cette évolution vers ce que signifie la cyberconformité. S'éloigner de... Et je pense que ce à quoi vous faites allusion, mais je ne veux pas vous mettre de mots dans la bouche, c'est qu'il faut passer des exercices avec des cases à cocher au profit d'exercices vraiment axés sur les menaces et la sécurité, qu'il s'agisse d'exercices d'équipe mauves, de véritables exercices d'équipe violets ou d'exercices de table qui testent vos commandes réelles par rapport à une série de « OK ». Est-il configuré pour faire X ? Est-il configuré pour faire Y ? » Et ainsi de suite.
0:31:45.6 Ann Johnson : C'est exact. Et je dirais, comme tu l'as dit, qu'il y a beaucoup de choses à déballer. La première question est : « À qui appartient ce travail ? À qui appartient la cyber-résilience de votre organisation ? » Et en ce qui concerne le plan de cyber-résilience, chaque organisation à laquelle je peux penser, chaque grande organisation dispose d'un plan en cas de catastrophe naturelle. En cas de catastrophe naturelle dans votre région, vous avez un plan pour remettre votre entreprise en ligne, assurer la sécurité de vos employés, etc. Vous avez besoin du même plan pour la cybersécurité. Et puis c'est le travail de qui ? Est-ce que ce sont les gens qui font preuve de résilience ? S'agit-il de votre cyber-équipe ? Ces décisions doivent toutes être prises maintenant, et non après un événement.
0:32:24.2 Raghu Nandakumara : Et pour faire suite à cela, quels sont les principaux éléments que les RSSI devraient obligatoirement communiquer à leur conseil d'administration, afin de fournir une indication claire au conseil d'administration, au PDG, de la manière dont le programme de sécurité est lié aux objectifs commerciaux ? Par exemple, quels sont ces trois éléments clés, disons ?
0:32:45.9 Ann Johnson : Ouais. La première chose que je tiens à dire, c'est de comprendre que votre conseil d'administration n'est pas composé de personnes chargées de la sécurité. Ce ne sont peut-être même pas des spécialistes de la technologie. Comprenez-le d'abord, car tout ce dont vous allez parler au Conseil d'administration doit être rédigé dans un langage qu'il comprendra. Le langage que comprend un conseil d'administration est celui du risque. Donc, tout ce dont vous parlez doit être lié au risque commercial. Il ne s'agit que d'un exemple très simple. « Si nous ne déployons pas l'authentification multifactorielle dans notre organisation, le risque est bien plus élevé pour nous, car nous savons que le principal vecteur d'attaque reste le phishing et l'utilisation de mots de passe faibles. » Il s'agit donc d'un risque que l'entreprise devrait être en mesure de comprendre, en particulier lorsque vous essayez d'obtenir un budget pour cela. Mais au niveau du conseil d'administration, vous devez vous lancer et rester très simple, passer en revue vos 10 principaux risques, les utiliser dans ce langage de risque et éviter de dire « Hé, je voudrais parler de notre stratégie de chiffrement de bout en bout ». Expliquez pourquoi vous avez adopté une stratégie de chiffrement, ce qu'elle va accomplir et comment elle réduira les risques pour l'entreprise. C'est ce que j'encourage les RSSI à faire. Et les RSSI jouaient autrefois des rôles très techniques. Ils en sont arrivés à un point où les RSSI doivent être de très bons hommes d'affaires, qui comprennent la technologie et son application à l'entreprise.
0:33:58.9 Raghu Nandakumara : C'est donc très intéressant. Absolument. Cette évolution du CISO, qui est passé d'une position très technique, tournée vers l'intérieur, presque tournée vers la technologie, à une approche beaucoup plus axée sur les activités et capable de combiner les deux. Mais vous avez parlé de communication avec le Conseil d'administration et c'est presque comme si vous parliez de technologie et, disons, de chiffrement et de la façon dont cela présente un avantage commercial. Pour moi, cela revient tout de même à le ramener à un niveau très bas pour le Conseil d'administration et il s'agit peut-être d'une terminologie et d'un concept qu'ils ne comprendraient pas. Peux-tu en parler un peu plus ?
0:34:42.3 Ann Johnson : Ouais. Permettez-moi de clarifier ce que j'ai dit. Non, je ne pense pas que vous parliez de chiffrement au Conseil. Je pense que quelle que soit la technologie dont vous parlez, vous ne devriez parler que du risque commercial. Quel est votre programme de sécurité des données et comment réduit-il les risques pour votre entreprise ? Tout ce dont vous parlez doit être un risque commercial. Mais non, je ne pense pas que vous devriez parler de chiffrement au Conseil d'administration, et c'est ce que j'essayais de faire valoir. Ne parlez pas de technologie. Parlez des risques commerciaux et de la manière dont un programme va les réduire.
0:35:08.4 Raghu Nandakumara : Ouais. Non, j'ai compris. OK. Je suis parfaitement clair et il n'y a aucune ambiguïté là-dessus. Nous parlons donc de cyberleaders et vous avez déjà parlé de l'évolution du CISO que vous avez constatée au cours de votre carrière dans le domaine de la cybersécurité. Où voyez-vous cette évolution mener au cours des prochaines années ? Comment envisagez-vous que le rôle du CISO continue d'évoluer ?
0:35:31.9 Ann Johnson : Je pense que le rôle du CISO va continuer à évoluer et devenir, évidemment, beaucoup plus exigeant. Nous avons un excellent CISO chez Microsoft, Bret Arsenault, un excellent CISO. La plupart des RSSI que je connais sont des humains merveilleux qui veulent faire les bonnes choses et qui font un travail ingrat, parce qu'on vous reproche tout et merci pour rien. Mais le rôle continuera d'évoluer pour atteindre cette complexité au niveau de l'entreprise. Vous devez comprendre la réglementation. Vous devez comprendre comment les contrôles s'appliquent à la réglementation. Vous devez être capable de parler aux personnes qui sont en première ligne au SOC. Vous devez être en mesure de parler à votre conseil d'administration. C'est une tâche vraiment difficile. Mais plus le CISO, comme le fait Bret, pourra aligner ses priorités sur celles de l'entreprise, plus vous serez efficace dans ce rôle.
0:36:13.9 Raghu Nandakumara : Ann, pour vous, qu'est-ce qui vous enthousiasme, vous attend dans le domaine de la cybersécurité, qu'il s'agisse d'une évolution technologique, d'une évolution des personnes ou d'une évolution de la législation ? Qu'est-ce qui vous enthousiasme vraiment au cours des prochaines années ?
0:36:33.2 Ann Johnson : Je vais vous le dire, et je ne suis pas un mot à la mode... Je fais ça depuis assez longtemps pour ne pas être très enthousiaste. En fait, je suis très enthousiasmé par l'IA et les modèles en langage naturel. La capacité à étendre les capacités de la cybersécurité à un bassin beaucoup plus large de talents susceptibles de contribuer réellement à l'industrie contribuera à réduire notre pénurie de talents, ainsi que l'application de la technologie elle-même pour raisonner à travers des millions et des milliards de signaux que les gens voient dans leur environnement et qui vous indiquent en fait quel est un véritable problème. Cela vous donne une visibilité beaucoup plus rapidement. Si cela permet de résoudre ces deux problèmes, en vous donnant une visibilité beaucoup plus rapidement et en aidant à résoudre notre pénurie de talents, car le vivier de talents s'élargit, il a tenu ses promesses à mon avis.
0:37:13.5 Raghu Nandakumara : Oh, absolument. Et je pense simplement réitérer ce que vous avez dit et le relier au gros problème que vous avez souligné, à savoir le manque de visibilité. Si cela nous permet d'améliorer la visibilité, je pense que nous pouvons ainsi améliorer la prise de décisions et la sécurité, ce qui est en fin de compte le résultat que nous souhaitons.
0:37:32.7 Ann Johnson : Correct. C'est tout à fait exact.
0:37:34.9 Raghu Nandakumara : Génial. Ann, cela a été un plaisir de vous parler aujourd'hui. Et bien entendu, pour nos auditeurs, si vous souhaitez en savoir plus sur les tendances, si vous souhaitez choisir un podcast sur le leadership en matière de sécurité que vous devez absolument écouter, alors écoutez le podcast Afternoon Cyber Tea d'Ann avec Ann Johnson. C'est sur CyberWire, sur toutes les plateformes de podcasting habituelles. Et allez écouter toutes les éditions précédentes, car elles contiennent tellement de contenu fantastique. Ann, merci encore pour le temps que vous m'avez accordé. J'apprécie vraiment. Et c'était merveilleux de discuter avec vous.
0:38:10.9 Ann Johnson : Merci beaucoup, Raghu. J'apprécie. Cela a été une excellente conversation. Passe une merveilleuse journée.
0:38:15.0 Raghu Nandakumara : Merci. Merci d'avoir écouté l'épisode de cette semaine de The Segment. Pour encore plus d'informations et des ressources Zero Trust, consultez notre site web à l'adresse illumio.com. Vous pouvez également communiquer avec nous sur LinkedIn et Twitter @illumio. Et si vous avez aimé la conversation d'aujourd'hui, vous pouvez retrouver nos autres épisodes partout où vous pouvez accéder à vos podcasts. Je suis votre hôte, Raghu Nandakumara, et nous reviendrons bientôt.