La bataille quotidienne dans le cyberespace

00:09 Raghu Nandakumara : Bienvenue sur The Segment : A Zero Trust Leadership Podcast. Je suis votre hôte Raghu Nandakumara, responsable des solutions industrielles chez Illumio, la société Zero Trust Segmentation.

Aujourd'hui, je suis rejoint par Gary Barlet, directeur technique fédéral d'Illumio.

Chez Illumio, Gary est chargé de travailler avec les agences gouvernementales, les sous-traitants et l'ensemble de l'écosystème fédéral pour les aider à atteindre leurs objectifs de sécurité Zero Trust. Auparavant, Gary a été directeur de l'information fédéral et est également un officier des cyberopérations de l'armée de l'air à la retraite avec plus de 29 ans d'expérience dans l'armée et au sein du gouvernement.

Aujourd'hui, Gary se joint à nous pour parler de son expérience personnelle avec Zero Trust, des principaux défis cybernétiques auxquels sont confrontées les organisations fédérales et des raisons pour lesquelles il faut adopter une approche fondée sur la « présomption de violation » en matière de cybersécurité. Gary, c'est un réel plaisir de vous avoir parmi nous aujourd'hui. Merci beaucoup de vous joindre à nous.

01h13 Gary Barlet : Non, merci, Raghu. Je suis très heureuse d'être ici.

01h15 Raghu Nandakumara : Je ne suis pas aussi heureuse que moi d'avoir l'occasion de te parler, Gary. Vous êtes donc dans l'industrie depuis un certain temps et je suis sûr que vous avez vu toute une gamme de scénarios et d'expériences différents. Pouvez-vous nous dire ce qui vous a attiré vers la cybersécurité ?

01h30 Gary Barlet : Sûr. Ainsi, lorsque j'ai commencé ma carrière dans l'armée de l'air, je n'étais qu'à mes débuts dans le monde des réseaux pour l'armée de l'air, et j'ai passé la première moitié de ma carrière à ne rien faire avec les réseaux. Je me suis vraiment beaucoup investi au cours de la seconde moitié de ma carrière. Mais vous devez comprendre que, étant dans l'armée de l'air, nous étions une cible de choix pour nos adversaires, en particulier les adversaires des États-nations, des adversaires très sérieux. Vous réalisez donc rapidement à quel point une véritable sécurité réseau est essentielle à une véritable sécurité d'entreprise, et vous vous rendez compte qu'il ne s'agit pas simplement de « Oh, avez-vous mis à jour l'antivirus de votre ordinateur portable ? Avez-vous activé un pare-feu sur votre ordinateur portable ? Avez-vous un bon mot de passe ? » Vous comprenez la complexité que représente la mise en place d'une véritable sécurité au niveau de l'entreprise, et j'ai trouvé cela fascinant. Et j'ai découvert que le défi d'essayer de déjouer ses adversaires et de mener une bataille, c'était une bataille de tous les jours. Dans l'armée, tout le monde ne se retrouve pas au combat. Différents ensembles de compétences se retrouvent le plus souvent au combat, très rarement. Dans le cyberespace, vous combattez tous les jours, et c'est l'une des choses que j'ai le plus appréciées dans le temps que j'ai passé à le faire, c'est que vous vous battez et que vous le faites tous les jours.

02:46 Raghu Nandakumara : Pendant mon temps libre, je regarde des vidéos sur les infrastructures sur YouTube. Et j'ai pu constater l'ampleur des infrastructures déployées par l'armée de l'air et les forces armées. Comment s'y prendre pour sécuriser un réseau aussi rapide et aussi diversifié ? Comment vous y prenez-vous pour le concevoir ?

03h07 Gary Barlet : Il a donc ses défis. Je ne vais pas mentir. C'est une chose de penser à le faire en petits morceaux. Vous devez essayer de déterminer où vous allez concentrer vos ressources. C'est une chose d'être dans le domaine de la cybersécurité : vous n'avez jamais assez de ressources pour tout faire. Vous avez toujours une liste de choses à faire qui est plus longue que ce que vous pourriez espérer accomplir, et vous redéfinissez constamment les priorités de cette liste de tâches. Donc, la réalité, c'est que vous regardez les choses... Vous gérez vos risques, quelles sont vos principales menaces, quel est l'impact de... S'il y a un compromis, qu'est-ce qui aura le plus d'impact, et que vous essayez vraiment de concentrer vos efforts sur la protection de ces éléments. Et en essayant de verrouiller les choses que vous pensez pouvoir verrouiller, et la dernière chose à faire, c'est de passer de nombreuses nuits blanches. Vous ne dormez pas très bien la plupart des nuits à cause de cela.

03:52 Raghu Nandakumara : Je suis tout à fait d'accord. D'après votre expérience, et bien sûr, nous n'avons même pas parlé de votre expérience au service postal... quand avez-vous découvert le terme Zero Trust pour la première fois ?

04h03 Gary Barlet : Donc, la première fois que j'ai découvert le terme Zero Trust, c'était probablement, je ne sais pas, il y a cinq ans. Il y a cinq ou six ans, peut-être. Il existe depuis un moment. Mais c'est intéressant. La première fois que je l'ai entendu, je me suis dit : « Oh, allons-y. C'est un autre changement de marque. » Vous connaissez le monde des technologies de l'information. Nous rebaptisons des choses, ce qui est ancien redevient nouveau, et nous rebaptisons simplement les choses. Alors quand j'ai entendu le terme Zero Trust pour la première fois, je me suis dit : « On y va ». Et honnêtement, si j'ai ressenti cela, c'est en partie parce que certaines des toutes premières choses mises en avant dans Zero Trust concernaient l'identité et le fait de savoir qui accède à quoi. Dans l'armée, on en parle depuis longtemps. Au début, cela ressemblait à un changement de marque. Ensuite, lorsque vous commencez vraiment à approfondir ce qui est réellement au cœur de Zero Trust, vous commencez à comprendre qu'il s'agit vraiment d'une façon différente de voir les choses avec un état d'esprit différent, en particulier lorsque vous allez vraiment au cœur du sujet et que vous parlez de l'état d'esprit de « présumer une violation ». Supposons que vous ne remporterez jamais complètement la bataille qui consiste à mettre fin à une violation, mais que vous pouvez essayer de minimiser l'impact de cette violation.

05:01 Raghu Nandakumara : Donc, en fait, ce que tu viens de dire est quelque chose de vraiment intéressant. Je voudrais approfondir un peu plus. Vous avez donc dit que vous faisiez partie de ces personnes qui, lorsque vous avez découvert Zero Trust pour la première fois, vous vous êtes dit : « Ce n'est qu'un battage publicitaire ». Et en fait, il y a probablement encore des gens aujourd'hui qui disent que Zero Trust n'est qu'un battage publicitaire. Mais ensuite, ce qui était intéressant, c'est que vous avez dit que vous l'aviez étudié et que vous vous êtes rendu compte que c'était... En fait, il ne s'agissait pas d'une nouvelle approche du même problème, mais d'une approche complètement différente de la manière dont nous sécurisons les réseaux d'entreprise et les organisations d'entreprise. Qu'est-ce qui vous a amené à considérer cette approche comme différente ? Quelle est la différence que vous avez constatée lors de son achat ?

05:46 Gary Barlet : C'était marrant. J'ai donc toujours eu des conversations génériques, pendant mon temps dans l'armée de l'air, en tant que CIO fédéral, sur le fait qu'on ne peut pas toujours gagner, on va perdre, et j'ai toujours eu cette idée : « D'accord, et si ? Qu'allons-nous faire ? Comment réagirons-nous si nous perdons ? » Et puis, comme je l'ai dit, lorsque j'ai commencé à vraiment comprendre Zero Trust et à réfléchir à ce changement de mentalité, il ne s'agissait pas simplement d'un changement d'état d'esprit pour moi, mais d'un changement de mentalité pour les personnes qui travaillaient pour moi, la façon dont nous abordons les problèmes. J'ai toujours eu cette philosophie selon laquelle 80 %, c'est suffisant. Et cela revient au fait que chaque fois que vous essayez de déployer quelque chose ou que vous essayez de faire quelque chose, cette quête de perfection est impossible. Et je pense que Zero Trust va vraiment au cœur de ce qui suit : écoutez, vous voulez continuer à faire de votre mieux, mais la perfection n'existe pas. Et vous devez être prêt pour l'alternative. Que se passe-t-il lorsque l'art de la perfection vous fait défaut et que vous devez faire face à la faille ? Et je pense que c'est... Je pense que les entités, les agences et les entreprises modernes continueront à perdre si elles n'opèrent pas ce changement d'approche philosophique.

06:57 Raghu Nandakumara : C'est vrai. Et c'est une excellente façon de l'encadrer. Essentiellement, je pense que ce que vous voulez dire, c'est qu'il ne faut pas laisser la perfection devenir l'ennemi du bien et adopter une approche tournée vers l'avenir, car vous avez également mentionné le terme « présumer qu'il y a eu violation ». Pour les auditeurs, qu'entendez-vous par violation de présomption ?

07h16 Gary Barlet : Donc, si tu regardes... Toutes sortes de rapports ont été publiés récemment selon lesquels... Le sujet le plus populaire aujourd'hui est celui des rançongiciels. Et selon des études récentes publiées, environ 76 % des organisations ont été touchées par une sorte d'attaque de rançongiciel. Eh bien, si nos défenses étaient si bonnes, pourquoi les rançongiciels sont-ils une question ? Pourquoi parle-t-on de rançongiciel ? Mais voici la réalité : si vous regardez le marché des antivirus, depuis des décennies, le marché des antivirus dit : « Si vous achetez simplement notre produit, nous arrêterons les virus. » Ça n'arrive jamais. Être constamment infecté, être constamment confronté à ce genre de choses et à toutes sortes de types de logiciels malveillants. Voici donc la réalité : il s'agit simplement d'une bataille permanente qu'il est impossible d'arrêter et de gagner 100 % du temps. La question est donc de savoir si nous avons pu faire... Beaucoup de personnes ont réussi à se dire : « D'accord, écoutez, je sais que j'ai un antivirus mis à jour, mais J'ai besoin de renforts. Je dois sauvegarder mes informations, car si ces informations sont infectées, comment puis-je me remettre d'une infection ? Oh, je vais restaurer à partir d'une sauvegarde. »

8 h 17 Gary Barlet : Mais que faisons-nous en cas de violations ? Et c'est là que je pense que de nombreuses agences sont encore à la traîne, c'est comprendre, cela va se produire. À un moment donné, ça va arriver. Il y a un... Donc, en suivant cet état d'esprit, il suffit de partir du principe qu'à un moment donné, quelque chose va se passer. Nous sommes tous humains. Les réseaux sont gérés par des humains. Je pense que les gens perdent de vue le fait que les réseaux sont gérés par des humains. Les humains commettent des erreurs, et ces erreurs vont être capitalisées, et vous devez être prêt à faire face à ce qui se passe lorsque ces erreurs sont capitalisées.

08h46 Raghu Nandakumara : Donc, je pense que ce que vous voulez dire, c'est qu'il est tout à fait normal d'adopter cette approche en partant du principe que quelque chose d'inattendu va se produire. Est-ce une bonne façon de le dire ?

08h58 Gary Barlet : Absolument Et je dois vous dire que c'est difficile, surtout pour les personnes qui ont grandi dans l'informatique traditionnelle, de faire ce changement, car en gros, vous dites : « Je vous le dis d'emblée, à un moment donné, je vais échouer. Je vais échouer. Je vais échouer dans la tâche que tu m'as confiée, qui est de défendre l'entreprise que tu m'as confiée. » À un moment donné, je vais échouer. Et maintenant, la question est : que vais-je faire à ce sujet si j'échoue ? Beaucoup de gens ne veulent pas admettre qu'ils vont échouer. Et c'est... Encore une fois, cela va se produire. Vous pourriez donc tout aussi bien accepter le fait que cela va se produire et ensuite élaborer vos plans d'urgence au lieu de vous demander « Qu'est-ce que je vais faire à ce sujet quand, et non si, quand cela se produira ? »

9 h 35 Raghu Nandakumara : Et je pense que c'est juste. C'est comme si vous supposiez l'inattendu. Et puis, si vous commencez par cela, en gros, que feriez-vous pour vous assurer que cet événement inattendu ait le moins d'impact négatif possible ?

09h47 Gary Barlet : Et c'est la clé. Alors certaines personnes pensent que, d'accord, quelque chose de grave s'est produit, c'est un échec. Dans mon esprit, cela a toujours été : quelque chose de grave s'est produit, quel en a été l'impact ? Qu'est-ce que cela a eu sur mes opérations ? Quelle a été l'ampleur de l'impact ? Qu'ont ressenti mes clients ? Parce que franchement, si les clients ne ressentent rien et que c'est juste quelque chose que vous gérez sur le back-end mais que les clients ne le ressentent pas, c'est une victoire. Si les clients ne remarquent pas l'impact, c'est l'une des plus grandes victoires que vous puissiez remporter, n'est-ce pas ?

10h16 Raghu Nandakumara : Oui, absolument, absolument. Alors partons de là. Nous avons donc compris comment vous avez adhéré à ce concept de Zero Trust. Pouvez-vous maintenant nous en dire un peu plus sur la façon dont vous avez ensuite mis cela en pratique, peut-être sur certains des projets que vous avez aidés à piloter et à mener et dans lesquels vous avez adopté cette approche dans le secteur public ?

10 h 35 Gary Barlet : J'ai participé au déploiement de cartes CAC dans l'armée. Et la carte CAC est la carte physique que vous devez insérer. Il s'agissait de la mise en œuvre généralisée de l'authentification à deux facteurs dans l'armée. Et c'est le fait d'avoir cette identité sécurisée. Chacun d'entre nous avait une carte, un certificat dessus, elle était liée à nous en tant qu'individu, pour la verrouiller et essayer de se concentrer sur cette pièce d'identité. Ensuite, nous avons capitalisé sur ces pièces d'identité dans les systèmes de l'ensemble de l'armée. D'accord, maintenant que nous savons que c'est censé être Gary parce que c'est la carte physique qu'il a en main, il a saisi le code PIN que lui seul connaît, maintenant nous avons une authentification basée sur un certificat qui nous permet, avec un certain niveau de garantie, de dire : « C'est Gary ». Nous pouvons maintenant l'utiliser pour accéder aux systèmes de l'armée.

11 h 23 Gary Barlet : C'était donc... Dans le monde d'aujourd'hui, cela est considéré comme Zero Trust. Encore une fois, cela ne s'appelait pas vraiment Zero Trust lorsque nous faisions ces choses, mais je pense que ce type d'approche est essentiel lorsque vous réfléchissez à ces choses. Et puis des projets visant à migrer vers le cloud et à essayer d'adopter les mécanismes de sécurité que le cloud peut vous apporter. Et surtout lorsque nous avons commencé à nous lancer dans des activités telles que l'évaluation de l'endroit depuis lequel les utilisateurs se connectent ou l'utilisation de Comply-to-Connect sur les ordinateurs portables. J'ai participé à un projet de déploiement de Compl-to-Connect, dans le cadre duquel nous avons examiné de très près l'état de l'appareil que quelqu'un essayait d'utiliser pour accéder à l'entreprise, puis que faisions-nous en fonction de cet état de point final. Voici donc quelques exemples de projets qui... Encore une fois, s'appelaient-ils nécessairement Zero Trust à l'époque ? Parfois, oui, parfois non, selon le calendrier du projet, mais dans la perspective d'essayer de mettre en œuvre certains des principaux tenants de Zero Trust, nous avons essayé...

12 h 24 Gary Barlet : Je dois vous dire que nous avons essayé... J'étais dans une agence. Nous avons essayé une très grande implémentation du 802.1X et des VLAN dynamiques pour essayer de procéder à la segmentation. Et je dois vous dire que cela n'a pas eu beaucoup de succès. Parfois, vous essayez quelque chose et cela ne fonctionne tout simplement pas. C'était l'un de ces projets qui n'a pas été une mise en œuvre réussie en essayant de faire une implémentation Zero Trust pour moi.

12h48 Raghu Nandakumara : Oui, c'est très intéressant parce que je pense que parfois le défi, en particulier avec quelque chose comme la segmentation, n'est pas cette segmentation et tout ce que vous voulez ajouter comme préfixe, segmentation du réseau, macro, micro, etc. C'est quelque chose que nous voulons faire en tant que professionnels de la sécurité des réseaux depuis, je dois dire, des temps immémoriaux. Mais la technologie qui nous permet de le faire à l'échelle des réseaux d'entreprise actuels vient tout juste d'être disponible et réellement utilisable. C'est pourquoi nous voyons encore de nombreux réseaux plats, car les organisations sont encore en train de rattraper leur retard. Est-ce là, en fait, le défi que vous rencontrez ?

13 h 32 Gary Barlet : Absolument Je veux dire, juste au moment où vous essayez de réaliser quelque chose comme un projet de segmentation à grande échelle, vous vous heurtez à deux obstacles principaux, le premier étant le volume. Si vous voulez vraiment le faire correctement, vous devez vraiment l'implémenter sur tous les principaux appareils de votre entreprise. Et si vous avez une grande entreprise, vous essayez de suivre des milliers et des milliers d'adresses IP. Et puis il n'y a que la dynamique d'une entreprise, surtout si vous vous lancez dans le monde des machines virtuelles et que vous développez rapidement des choses dans le cloud et les environnements multicloud, sans parler de la complexité que cela implique. Maintenant que vous amplifiez votre problème, vous n'essayez pas simplement de suivre toutes ces instances, toutes ces différentes adresses IP, mais elles se trouvent à différents endroits.

14 h 20 Gary Barlet : Et comment es-tu censé suivre tout ça ? Et puis en plus de ça, vous avez... La plupart des entreprises disposent d'un personnel informatique très limité pour tout le travail qu'elles ont à faire, juste pour leur travail quotidien qui consiste à essayer de faire fonctionner les choses, puis vous essayez de leur appliquer quelque chose comme ça et de leur dire : « Hé, je vais te choisir. C'est votre travail de vous assurer que chaque fois qu'un nouveau produit rejoint l'entreprise, vous devez identifier les centaines de sites que vous devez mettre à jour afin que cet élément se connecte de la manière dont il est censé se connecter, sans dépasser les limites qu'il n'est pas censé franchir. » C'est un défi impossible à lancer à quelqu'un.

14h53 Raghu Nandakumara : Oui, complètement. C'est pourquoi tu... Je pense que c'est quoi la solution de repli », mais c'est comme : « Eh bien, quelles commandes compensées ai-je ? » Ou le plus souvent, « Suis-je d'accord pour accepter ce risque et aller de l'avant ? » Et c'est souvent ce à quoi nous arrivons, c'est que nous l'ajoutons au registre des risques et que nous disons : « Oui, je suis au courant ».

15 h 15 Gary Barlet : Et c'est drôle. C'est ce qui finit généralement par se produire. Vous avez des gens qui disent : « D'accord, que va-t-il me falloir pour essayer d'atténuer ce risque ? Eh bien, si je triple la taille de mon personnel informatique et que je triple mon budget informatique, je pourrais peut-être l'atténuer dans une certaine mesure. » Et les décideurs disent : « Oui, où dois-je signer ? Parce que je ne peux pas... « C'est un investissement impossible pour toi. « Où dois-je signer ? Quel en sera l'impact si je ne le fais pas ? » Et ils... Les gens hésitent un peu, puis le responsable dit : « Je vais donner mon accord parce qu'il n'y a aucun moyen, Monsieur le CIO, de tripler votre personnel et votre budget pour faire ce que, honnêtement, j'ai du mal à comprendre de toute façon ». Parce que j'attends de vous que vous gardiez mon entreprise entourée de cette belle couche de défense, et que tout ce qui s'y trouve soit en sécurité. Alors pourquoi est-ce que je te caresse ce chèque ? »

16h04 Raghu Nandakumara : Pensez-vous donc que nous en sommes arrivés à un point, que ce soit au sein de la Fed ou dans les entreprises en général, où nous avons trop insisté sur l'acceptation des risques et où l'importance de l'atténuation des risques a en quelque sorte été mise de côté ?

16 h 23 Gary Barlet : Oui, en fait, c'est une question intéressante parce que je pense que la réponse est oui. Je pense que nous en sommes arrivés à un point où... C'était le problème inverse par le passé. Nous ne voulions prendre aucun risque. Nous voulions tout atténuer. Et puis quand les gens ont compris que c'était une approche ridicule, un objectif impossible à atteindre, les gens ont commencé à relâcher un peu les gaz, à relâcher les chaînes, et se sont retrouvés, je crois, au point où il n'y a presque plus de contrôles en place. Et les gens disent : « Tant qu'il s'agit de faire le travail, oui, peu importe que vous laissiez entrer des appareils personnels dans l'entreprise, car il s'agit de conserver... » Vous entendez beaucoup parler de « Eh bien, comment attirer les jeunes talents ? » Et les jeunes talents n'ont pas l'habitude d'être restreints. Nous devons donc faire des choses pour nous assurer de ne pas restreindre les talents que nous essayons de recruter. Alors maintenant, tout à coup, vous vous dites : « Je vais juste accepter tous les risques, croiser les doigts, fermer les yeux en espérant vraiment que rien de mal ne se produira ».

17h18 Raghu Nandakumara : Oui, exactement. Et quand quelque chose de grave se produit, j'espère qu'ils n'iront pas consulter le registre des risques et ne se demanderont pas : « Avons-nous vraiment accepté ce risque ? » Et pourquoi et qui, etc. Revenons à la question du gouvernement fédéral et des défis de sécurité auxquels ils sont confrontés et aux raisons pour lesquelles ils adoptent Zero Trust. Nous avons donc toujours vu ça... Il s'agit d'une avancée majeure dans l'espace fédéral américain. Tout d'abord, quels sont les défis, quels sont les défis de sécurité auxquels le gouvernement fédéral est confronté aujourd'hui ? Et pourquoi doivent-ils adopter Zero Trust ?

17 h 53 Gary Barlet : Sûr. Donc, certains des défis auxquels ils sont confrontés, tout d'abord, et celui-ci... Cela ressemble en grande partie à ce que vous allez entendre... à ce que vous entendrez si vous posiez la même question sur le secteur privé. Mais dans l'espace fédéral, l'argent, les personnes, puis la flexibilité nécessaire pour faire avancer les choses. Vous commencez donc par le fait qu'ils sont constamment confrontés au cycle budgétaire fédéral, à la quantité d'argent qui leur est allouée. Et oh, d'ailleurs, les gens ne se rendent pas compte combien de temps à l'avance vous établissez votre budget d'un point de vue fédéral. Il ne s'agit pas de : « Hé, nous sommes en juillet et le prochain exercice budgétaire commence le 1er octobre. Voici combien d'argent je veux. » Hein, vous avez pris ces décisions il y a des années concernant le montant d'argent dont vous avez besoin pour un exercice financier donné. Vous essayez donc de faire des prévisions pour l'avenir d'un point de vue budgétaire, mais ils ne le font pas... Le système budgétaire fédéral n'est pas conçu pour dire : « Eh bien, n'hésitez pas à demander quelques millions de dollars sans pouvoir expliquer à quoi vous allez les dépenser. N'hésitez pas à demander un excédent de trésorerie au cas où quelque chose se présenterait dans le futur. » C'est donc un...

18:52 Gary Barlet: That whole cycle is a challenge for the federal government, and then just getting the right resources when you look at the landscape around globally, the shortage of IT staff and the shortage of IT expertise, and especially when you start getting to security, that's a smaller piece of the IT problem... How does the federal government compete for those resources? If you're a young wiz, at IT security, and you look and go, where am I going to go work?

19:19 Gary Barlet: Do I want to go work at the federal government, I'm going to be a GS whatever, and it's usually a lower GS rank rating making $40-50,000 a year? Or, I want to go work at some company somewhere making $140-150,000 a year? And the Federal government is got to figure out a way to try to attract that person to come work in the government and not go work for one of the 10,000 openings in their home state. That's not even worried about telework and anywhere in the world. But that is a huge challenge for the federal government and then the kind of the mindset, right. Trying to get hold people accountable. Right, so when you need to make shifts, and you need make changes in the federal government, trying to hold people accountable to make those changes can be a challenge in the government.

20:09 Gary Barlet: It's very hard to fire people. And so if somebody's not doing a good job, you spend a lot of time trying to kind of bring them along before we can get rid of them, and while that process is going on, they're filling a seat, supposed to be fulfilling a responsibility. And if that happens to be one of the key positions to protect your enterprise and the person is not cutting it, it can take a long time to get rid of that person, and now you're back to the challenge of how do you backfill that seat again?

20:35 Raghu Nandakumara: Yeah, so that then brings me to a question. So obviously there's been a huge push, there's President Biden’s Executive Order last year that sort of really accelerated adoption of the Zero Trust security approach amongst federal agencies. So you kind of talked about essentially a large people problem that the federal agencies face. Given that, do you think the adoption of Zero Trust and actually following through with this EO is going to be realistic?

21:06 Gary Barlet: I think... I hope it'll eventually be realistic. It's not going to be realized in a short period of time. So when the Executive Order came out, here we go, right. Here comes another mandate from on high, is telling all these federal agencies it's something they got to go do, and there's no money that comes with it to go do it. IPv6 is, a perfect example. I lost track of how long ago the federal government was supposed to be migrated to IPv6, most agencies... don't even know how to spell IPv6 - much less have they implemented IPv6. And that was a federal mandate ages ago.

21:40 Gary Barlet: Now, I think where Zero Trust has a better chance at success is... I think there's a much more recognized need for implementing the principles of Zero Trust, then there is a... for again, something like IPv6. So I think there's some of the founding tenets and the core tenets of Zero Trust, I think resonate with people and they understand going back to that, Hey, you know, I realized that we have probably accepted a little bit too much risk and we've got to figure out a way to kind of minimize that risk structure that we've got in place here, and I think Zero Trust brings some of that to the forefront for agencies.

22:14 Raghu Nandakumara: I think just to the IPv6 comment, I think if anyone who's worked in networking or network security over the last 20 years, everyone has their own little funny IPv6 story. In my case, it was at a former employer, I think there was this thing called World IPv6 Day, probably about a decade ago, and we were all participating in it and... What did we have to do for that day? Just that for that one day. For that one moment, show that our external facing website could be accessed by IPv6. Just for that one moment. And after that, we're back on IPv4 everyone. Okay, so you say that Zero Trust because of the importance of it, to just the sort of the resiliency and the cybersecurity of federal agencies at large and the criticality of it, this is one that is going to get the traction, it's not going to be another sort of IPv6, to say that right?

23:11 Raghu Nandakumara: When I look at the mandate, and on one side as a Zero Trust practitioner, I'm excited about it. Like finally, we've got a government agency and that too the US Government mandating the... And this can only be good for both the public sector in other countries globally, but also then there trickling into the private sector. But on the other side, I kind of look at the timeline that has been laid out, and a part of me thinks that it's not aggressive enough. We're getting to the real risk reduction pieces, far too far down the line, and why can't we go deep, broad and sooner. Am I just being kind of just too greedy here and this is a good thing, and we would get on the train and to let that timeline map itself out?

23:54 Gary Barlet: So I think that I would love to wave a magic wand and have it done much faster. Having spent so much time in government, I will tell you the timelines that have been laid out are fairly aggressive for the government. And it is right, and again, I go back to, again, the whole budgeting conversation, right, and the fact that your budgeting multi-years in advance, the procurement process. And keep in mind, and this is one thing that I think some people lose sight of, federal agencies operate under the laws that have been passed by Congress. So the restrictions that they have, people ask, why does it take the government so long to buy something? Well, I'll tell you why, because there are so many rules in place to ensure fair competition, to ensure that you try to avoid single sourcing and getting vendor lock, so there's all these different things there.

24:41 Gary Barlet: And they all are very justifiable checks and balances to have put in place, but the ramifications of some of those checks and balances makes it very difficult for agencies to do procurement and can really drag out timelines. So it's not a matter of "Hey, lets just whip out your credit card and go buy something today and pick whoever you want," that doesn't work in the federal government. Private entities can for the most part, go buy what they want from whomever they want, whenever they want. The federal government and the DOD, they don't have that kind of luxury, so that in of itself automatically adds a huge amount of time to a timeline to try to implement something, just because of the sheer amount of rules that have to be followed and the checks and balances, and dealing with you know, people protesting, right? You do a major award, you get one protest, you may have just increased your procurement timeline by 50 or 100 percent.

25:33 Raghu Nandakumara: Okay, right. So then, how do you think organized federal agencies are going to be held accountable such that they are tracking against this plan and delivering against... And I understand, right, that these are government agencies, things take their own time, but like how is the accountability going to be enforced?

25:57 Gary Barlet: So the accountability piece is the piece that I worry about the most, because if history is any judge and anything to measure by, accountability is always one of the things that doesn't seem to take effect when these kinds of things come down the pipe. You can see in a different setting, in a private company, if you told somebody, "Raghu I've given you a deadline, I expect you to meet that deadline," and if you don't meet that deadline, there's a pretty good chance they’re going to go... "Thanks for your service. You can leave now, and I'm going to try to bring somebody in there and the next time I give them a deadline, will meet that deadline." In the government, most people don't get fired because they didn't meet a deadline, they didn't meet a mandate. They don't... that's not why they get fired. And it's unfortunate that sometimes some of these... And I'm not saying Zero Trust is one of these, but sometimes mandates come down and it's really just about checking out box, so that somebody can say, "Hey, we did something," and then there's, "Hey, what's the next thing?”

26:52 Gary Barlet: “What's the next shiny object we're going to go chase and nobody ever bother to look backwards," that's of all the things that affect Zero Trust, it's that accountability. Because really it's going to be up to the agencies to hold themselves accountable, and probably the closest thing to accountability will be, most federal agencies have a Office of Inspector General, this is something close to my heart, since that's where I come from, they'll go in and they’ll write audits and say, "Hey, federal agency, you were supposed to do x by this time, we're going to write you up you haven't done that." Right, and then that'll get published, that could get observed by noticed by Congress. Congress, may ask the head of the federal agency, "Hey, I've got to report my hand that says ‘We the Congress, the President told you to do something by a certain timeline, you didn't do it.’ What are you going to do about it?” And their answer may be, "We're sorry, we're going to go do it today, or... Yeah, we'll see what the write-up looks like two years from now when we get re-looked at again."

27:45 Raghu Nandakumara: Yeah, well, who doesn't love an audit or being on C-SPAN. I think there's lots that other governments globally can learn from the US’s sort of approach to adopting Zero Trust, but moving away from the public sector, what do you think the lessons are for the private sector? And we don't need to take it as the private sector at large, but maybe specific verticals within the private sector, what can they learn from the sort of the approach that the federal government is taking?

28:17 Gary Barlet: I think that, again, we talked about some of the inefficiencies of the parts of federal government taken, however, that high level widespread focus. So within verticals, when you look at whether it's in the banking vertical, whether it's in the medical vertical, trying to take something to make it become the de facto standard, and “Hey, if you're not doing this, you're seriously lagging.” And in the private sector, right... you've got competition. So I can see if competition starts going, "Hey, well, we do this and they don't... My competitors don't do this, but I'm doing this, I've adopted Zero Trust, I've adopted these security practices, I'm protecting your information, my competitors aren't protecting information.” Right, I think that adoption of a standard, happens faster in the private sector because of the fact that you're competing for dollars. Anything you can use as a differentiator is key, so I can imagine a private sector company going, "Hey, the President thought something was so important that he issued his mandate to the government."..

29:18 Gary Barlet: “We're already doing that, right? Look how good we are, right.” So within different verticals, I could easily see some of these things become a kind of de facto standards, it's no different than when they start trying to compete with each other on, “Hey, what benefits do we offer? What capabilities do we offer?” I think that that's critical and if you can get that security mindset to say, "Hey, this is another one of those things that we should be comparing ourselves against each other,” that can become that thing that I can point to and say, I do this, you don't... So I would encourage, right in the private sector, think about some of these things and go, How can I use it to my advantage? But you better be doing it, because the last thing you want to do is pretend like you're doing it and then you know have something happen and have to explain to your customer base why you weren't doing it.

30:00 Raghu Nandakumara: So essentially almost using Zero Trust for security as a differentiator, and as a competitive sort of differentiator between you and your competition... Right.

30:08 Gary Barlet: Absolutely. Its interesting right... Because you look right when a private company, and I think you're going to start slowly, you're seeing this change. When a private company gets breached right, what happens... It's a big splash in the news. Then they go, okay, usually if the answer is, “Oh, we're going to pay for free credit monitoring for you for a year.” In the worst case scenario, maybe somebody files a class action law suit and you get the letter in the mail and then you end up getting a buck 50 as part of the settlement. But I think that you're starting to see companies that are starting to really take hits now, when these things happen, right. Because if suddenly as a customer, you start feeling like I can't trust company X with my credit card information...

30:46 Gary Barlet: What are you going to do? You're going to stop shopping there. And I think that as the populus becomes more and more savvy about the stuff, and I think there's... We're reaching this tipping point where people are tired of hearing "Oh, it happened again. And it just happens," right? I really think the populus is getting tired of that and they're going to start holding people accountable, and it maybe it’ll just be with their feet and their check books. They're going to take their dollars somewhere else because they're tired of hearing about, "Oh, here we go again, my stuff got compromised again."

31:13 Raghu Nandakumara: And that's a really interesting point, right? The end there, because I think that the general public now has a much better basic understanding of security breaches. They have a much better basic understanding of a ransomware attack. So it's not that organizations can kind of just sort of dust it off under the carpet and forget about it. When it happens, people have very much like a, “Oh my God, not yet again. I’m not safe there” type reaction now.  

31:44 Gary Barlet: Absolutely, I know things have changed when I get a phone call from my 70-plus-year-old mother who says, "Hey, this happened at this company, I'm pretty upset about this," and my response is, "take your money somewhere else." And she says "that’s probably a good idea." When you're to the point where customers are asking those types of questions, I really think that we have crossed a threshold of... And I don't know that we'll go back, and I think people are really just starting to get tired of this, and companies are having to start taking this more and more seriously, because some of these breaches, they've gone past their embarrassing breaches. But they're starting to become really financially impacting breaches because customers are starting to lose confidence in companies.

32:29 Raghu Nandakumara: Absolutely, but also I think the concerning thing is that when you unpack the details of what caused those breaches, the root causes are typically always the same. It's kind of like when we are often not learning, and I think that's the frustration.

32:48 Gary Barlet: Yeah, that is definitely the frustration, and I can think of the last time there was something that... Again, I'll go back to my mother. We were talking about something that had happened with a company that she was doing business with, and she had enough understanding of the problem to say to me, “My understanding was somebody had a weak administrator password. How dumb is that?” And that was coming from my mother. If it's got to the level of my mother, who is the most un-IT savvy person you want to meet, can say something like that and ask a question like that, something has shifted in the environment.

33:24 Raghu Nandakumara: It looks like she should be given a job in cybersecurity, right. She’d have the skills, she'd have the awareness for it. So just coming back to sort of Zero Trust adoption very quickly, do you see a difference in approach between how the private sector is going to adopt Zero Trust and how the public sector is going to adopt Zero Trust?

33:43 Gary Barlet: So first of all, I think that the private sector is already much further down the path of Zero Trust than the public sector is... You can just see that with different entities and some of the things that they've deployed and implemented, the government is just now starting to talk about, so I think they're already further down... And I think that they've got a couple of different things. So we talked about this competition thing, right. So take any vertical you want, and there's multiple companies in that vertical, that if I as a customer feel like you're not doing something safely, I will go somewhere else. But now, let's compare that to the public sector.

34:15 Gary Barlet: There's only one Social Security Administration, there's only one IRS, there's only one VA. I can't take my money and go somewhere else because the services I'm being provided, there is only one of those. Right, so there's not as much of driving incentive in the public sector as there is in the private sector, because the customer base is stuck. There's no competition in government, there's nowhere else to go, so they don't necessarily have the same things hanging over their head on the government side, as they do in the private sector, because in the government sector, you know your customer base isn't going anywhere. Whereas in a private sector, you have to be flexible and you have to be adaptive because you don't want to lose your customers and its revenue base and you can't afford to lose customers.

34:58 Gary Barlet: So that's why I think that's one of the other reasons why I think things take a little bit longer in the public, in the government, is because of that, the fact that there is no competition, there's nowhere else for your customers to go.

35:09 Raghu Nandakumara: Yeah. Awesome, no, that's such a great observation, sort of the driving factor behind why the private sector is going to take this probably... It's not about taking it more seriously, but it's actually going to be more aggressive and do something about it. So kind of just to sort of wrap up on this point, what does the future of Zero Trust look like from your perspective?

35:33 Gary Barlet: So I think that the future of Zero Trust is going to be about, again, going back to this whole assume breach. I think trying to get things down to the smallest piece possible. You talk about securing data, at the data element level. You're talking about securing applications at the application level, and at the individual piece, we get into microsegmentation of the individual pieces of an application. Trying to draw that ring of defense as small and as close to the source as possible, as opposed to the traditional, let's just draw big circles and try to prevent anybody from getting through the big circle, right. And doing it in such a way that it's layered, so that it really makes it difficult for advisories to get in. And then the last piece is, is I think as artificial intelligence and machine learning and those types of things really start to get themselves more ingrained in the security world, and having those things be adaptive and not have to have as much involvement, human interaction. I think that that's going to be critical in really trying to isolate things at a much faster pace, then they're able to be isolated now. And also just deployed...

36:36 Gary Barlet: Right? Just set up in the beginning, right? Just looking at how do we deploy these tools in the first place, if you got to rely on people to do all that work, then by definition it's going to take a while going back to the limit of resources. But as more and more things become automated, more and more things become with machine learning and artificial intelligence, not just with the implementation, but the deployment of the capability right up front. I really have a lot of high confidence that security’s got nowhere to go, but up, right? It's always an uphill battle, so it's got nowhere to go but up. And I think that there's a lot of room for growth and improvement when it comes to the deployment of Zero Trust, and I think as technology adapts, it's just going to allow security to adapt faster.

37:18 Raghu Nandakumara: So I think like what you're saying here is, is that you're optimistic, you're one of those people who believe that like going forward, Zero Trust, and particularly if I think back to the original formulation of it, and those rings that are around sort of continuous monitoring and automation orchestration, sort of looking forward, we will end up with Zero Trust architecture, Zero Trust ecosystems where you do have that sort of secure by design, a continuous feedback loop where data is coming in from your sensors, that your policy engine, etc., is processing to then adapt that security policy to maintain that least privileged state, and that is something that you see as being realistic in the future... Right.

38:05 Gary Barlet: Absolutely. Yeah, no, I think it's well within... And you're already seeing a little bit of that, right? You see it, you see some of that, it is already in play today, I just think that's going to become more the norm. The security is going to be rapidly adaptive, we're going to get out of the world of waiting for, "Hey, what's the latest signature update, what's the latest update that's coming in." We're going to get better and better at handling zero-day exploits and taking care of unique situations with our users, I really believe that technology is going to lead us there.

38:37 Raghu Nandakumara: So just moving off of Zero Trust for a brief few minutes. Outside Zero Trust, what else do you love about cybersecurity? What are the trends that you follow?

38 h 47 Gary Barlet : Il y a plusieurs choses différentes, non ? Tout d'abord, j'adore le défi permanent, constant et sans fin. J'adore le fait que certaines personnes détestent ça, le fait qu'il n'y ait pas de ligne d'arrivée, qu'il n'y ait pas de fin au contraire. J'adore le fait que ce soit constamment difficile. J'adore le fait que cela vous donne continuellement quelque chose à faire, n'est-ce pas ? Chaque matin, vous vous réveillez, vous avez quelque chose sur quoi vous concentrer et vous savez qu'un nouveau défi vous attend au coin de la rue. Alors j'adore jouer aux échecs. Les échecs sont une question de stratégies. Les échecs, c'est essayer de surpasser son adversaire, de regarder vers l'avenir, et c'est là que devrait se situer la sécurité informatique, si ce n'est pour personne, c'est le fait qu'elle doit être une question d'anticipation, de vision d'avenir, et je suis vraiment impatiente de voir... Je suis à la fois inquiète et enthousiaste à l'idée de voir les avancées et les choses qui se passent lorsque vous passez simplement à l'augmentation des capacités de l'intelligence artificielle et que vous commencez... De plus en plus de personnes parlent d'informatique quantique. L'informatique quantique pourrait être la plus grande aubaine de tous les temps en matière de sécurité informatique, ou elle pourrait également constituer la plus grande menace pour la sécurité informatique de tous les temps.

39:53 Gary Barlet : Et je pense que cette incertitude est plutôt amusante, pour être honnête avec vous... Je suis un cinglé quand il s'agit de ça.

40 h 00 Raghu Nandakumara : En quelque sorte pour... Il est toujours bon de demander aux OSC et au CIO, qui écoutent attentivement ce sujet, ils veulent tous savoir quelle est votre seule pépite de sagesse. Pour eux, la cybersécurité est donc au cœur de leurs préoccupations de nos jours. Si vous pouviez donner un petit conseil à vos collègues DSI et OSC, sur la manière de développer et d'optimiser la cyber-résilience, quel serait-il ?

40:08 Gary Barlet : Oui, donc je dirais que pour revenir à ce dont vous avez parlé tout à l'heure, si vous ne supposez pas une violation, vous devez supposer une violation. Si vous êtes toujours dans le camp « Je vais arrêter la brèche », c'est que votre camp est de plus en plus petit et obsolète. Vous devez être dans le camp de l'hypothèse d'une violation, puis vous devez examiner en interne vos entreprises et vous demander comment atténuer l'impact de cette violation, comment faire de mon mieux pour assurer le bon fonctionnement des services pour mes clients, au lieu de vous contenter de dire : « Je vais appuyer sur le gros bouton rouge et mettre l'ensemble du réseau hors ligne ». C'est l'une des choses que j'ai l'habitude de combattre contre certains de mes employés les moins avancés qui travaillaient pour moi lorsque j'étais directeur informatique au début, lorsqu'ils disaient : « Oh, nous devons tout mettre hors ligne ». Non, nous ne mettons pas tout hors ligne. Nous ne pouvons pas faire ça, notre métier est de fournir des services, n'est-ce pas ? Donc, avec cette approche, vous devez implémenter les choses en interne, dans votre réseau. Et évidemment, je crois fermement à la segmentation et à la microsegmentation, selon lesquelles vous devez avoir des éléments à tour de rôle sur votre réseau qui vous permettent d'isoler l'impact jusqu'au plus petit encombrement possible.

41 h 15 Gary Barlet : Pour que le reste de votre entreprise puisse continuer à fonctionner et que vous n'ayez pas à tout arrêter à cause d'un logiciel malveillant ou d'un ransomware, quelque chose peut s'installer, mais vous devez l'arrêter le plus près possible de la source d'origine et le plus rapidement possible, afin de pouvoir poursuivre vos opérations et vous concentrer sur un tout petit problème et ne pas avoir à vous concentrer sur un problème plus important parce que vous l'avez laissé se propager de manière incontrôlable.

41:39 Raghu Nandakumara : Oui, je pense que... J'adore la façon dont vous l'exprimez correctement, car je pense que le message clé pour les professionnels de la sécurité est que, mesdames et messieurs, il existe trois lettres de la triade AIC : et le A signifie Disponibilité, c'est tout aussi important que l'intégrité et la confidentialité. Eh bien, Gary, ce fut un réel plaisir, merci beaucoup de vous joindre à nous sur le podcast aujourd'hui.

42h01 Gary Barlet : Merci, merci et j'ai vraiment apprécié la conversation.

42:06 Raghu Nandakumara : Merci d'avoir écouté l'épisode de cette semaine de The Segment. Pour encore plus d'informations et des ressources Zero Trust, consultez notre site Web à l'adresse www.illumio.com. Vous pouvez également communiquer avec nous sur LinkedIn et Twitter, sur Illumio. Et si vous avez aimé la conversation d'aujourd'hui, vous pouvez retrouver nos autres épisodes partout où vous pouvez accéder à vos podcasts. Je suis votre hôte, Raghu Nandakumara, nous reviendrons bientôt.

‍

‍