Le CISO en pleine évolution

mais ils ne l'ont pas vraiment, ils ne sont pas en mesure de le voir d'aussi près, si vous le dirigez simplement en tant que chef d'entreprise, c'est en quelque sorte superficiel. Vous ne serez pas en mesure de vraiment comprendre ce qui se passe. Vous le gérez donc en tant qu'entreprise plutôt que en tant que CISO ou en tant que praticien. Mais pour répondre à votre question précise, je pense que grâce à ma profonde empathie, je suis capable de diriger les deux côtés.

10:28 Vishal Salvi : Ainsi, lorsque nous innovons et que nous innovons beaucoup en interne pour essayer d'être à la pointe de l'innovation en matière de cybersécurité, par exemple, il y a cinq ou six ans, nous avons géré un programme de mesure métrique complètement différent au sein d'Infosys, et nous avons fait de l'hyper-automatisation pour cela, et nous avons construit beaucoup d'IP autour de cela et après l'avoir géré avec succès pendant quatre ans, nous avons pensé que c'était... nous étions arrivés à un stade où nous pouvions le proposer à nos clients, et nous avons en quelque sorte procédé à une ingénierie inverse au cours de laquelle nous a migré l'intégralité de ce code et de cette solution vers notre équipe de pratique. Maintenant, l'équipe du cabinet l'a étendue et soutient les forces de l'ordre pour toutes les innovations et les changements qui se produisent, car elle a pu le ressentir de la part de nos clients et obtenir leurs commentaires.

11:16 Vishal Salvi : Et cela se produit en grande partie pour d'autres choses, par exemple, lorsque nous incubons un cabinet, nous pouvons utiliser certaines ressources de notre équipe en interne pour les utiliser pour les incuber, l'amener à un certain niveau de maturité, puis les réutiliser pour les redonner à nos clients. Cela crée donc de nombreuses possibilités et avantages pour nous, ainsi que le fait que nous sommes en mesure de révéler ce qui se passe avec tous nos clients. Étant donné la nature sensible de la capacité à détecter et à comprendre, nous pouvons évidemment utiliser ces connaissances pour mieux comprendre ce qui se passe dans le paysage des menaces et les utiliser également en interne pour Infosys.

11:57 Raghu Nandakumara : J'adore la façon dont vous l'exprimez, car il s'agit presque à la fois d'incubateurs d'améliorations et de cette boucle de feedback très riche que vous avez. Passons maintenant à la vitesse supérieure et revenons à ce que signifie Zero Trust pour le CISO d'Infosys.

12:14 Vishal Salvi : Oui, alors, je pense, prenons du recul. La cybersécurité est une question de risques, de vulnérabilités et de menaces, et si vous voulez simplement l'étendre, vous pouvez également parler d'incidents. En fin de compte, nous sommes toujours confrontés à des incidents. Nous faisons face à des vulnérabilités, à des menaces et à des risques. Ce sont les quatre seules choses auxquelles nous avons affaire. Maintenant, c'est irréversible, c'est-à-dire que cela ne changera jamais avant des décennies. C'est comme ça que ça a commencé, et c'est comme ça que ça va rester. Ce que nous faisons en termes de méthodologie... nous avons donc eu la norme BS 7799, puis la norme ISO 27001, et puis nous avons tellement de normes différentes. Ensuite, nous avons diverses méthodologies de mesure des risques comme le NIST, le FISMA, etc. Ensuite, nous avons tellement de normes différentes, tout cela constitue une évolution de la façon dont nous cherchons à résoudre ce problème. Mais en fin de compte, il s'agit toujours de risques, de vulnérabilités, d'incidents et de menaces. Les principes fondamentaux de la sécurité de l'information sont donc toujours intacts et les principes fondamentaux continueront de l'être.

13:16 Vishal Salvi : Donc, alors, quand on regarde quelque chose comme un Zero Trust, qu'est-ce que cela signifie réellement ? Nous appelions cette profession « sécurité de l'information » jusqu'en 2008 et 2007. Tout à coup, c'est devenu de la cybersécurité et tout le monde en parle aujourd'hui comme de cybersécurité. Demain, nous commencerons à l'appeler sécurité numérique. Les nomenclatures peuvent donc changer, mais la profession progresse mais les bases restent les mêmes. Les principes fondamentaux restent les mêmes, et je dirais donc que Zero Trust est l'évolution de cette même chose, dans laquelle nous avons évolué vers cela. Zero Trust est un nouveau concept ; demain, quelque chose d'autre sera proposé. C'est juste que, tout comme le mot cybersécurité est resté bloqué au cours de la dernière décennie, Zero Trust sera peut-être bloqué pendant encore un certain temps avant qu'autre chose, quelque chose de plus attrayant n'apparaisse. Mais il ne s'agit pas que de marketing. Je pense que c'est en train de devenir une philosophie et que la philosophie de la clandestinité consiste à se demander : « D'accord, alors pourquoi parlons-nous de... »

14:26 Vishal Salvi : C'est presque comme un oxymore. Parce que lorsque nous considérons Zero Trust et que nous sommes des professionnels de la cybersécurité dans le domaine de la confiance, pourquoi parlons-nous de Zero Trust ? Cela signifie donc que, étant donné que le périmètre n'est plus le périmètre traditionnel que nous avions, que nous avons adopté le cloud et que tous les points de terminaison sont dispersés, nous parlons maintenant de n'importe quel endroit, n'importe quand, d'accès à n'importe quel appareil, 24 heures sur 24, 7 jours sur 7. Je pense que la façon dont nous connectons les ordinateurs a fondamentalement changé, et pour que nous puissions vraiment avoir confiance en ces connexions dans l'environnement actuel, vous devez adopter Zero Trust. Je mettrai en place des freins et contrepoids supplémentaires aux bonnes portes de ces connexions afin que je pense que ces connexions sont fiables. Donc, de mon point de vue, quand quelqu'un arrive, je lui fais confiance jusqu'à ce que je sois convaincu que ces connexions sont fiables, puis vous construisez différents modèles autour de cela pour que cela fonctionne. Je pense donc que c'est la manière la plus simple d'expliquer ce que signifie réellement Zero Trust.

15:45 Raghu Nandakumara : J'adore l'écouter dans son intégralité. Tout d'abord, merci et, dans tout cela, je pense que le message vraiment puissant que vous avez transmis est que chaque époque apporte sa propre approche et sa nouvelle stratégie. Mais je pense que ce qui m'a le plus marqué, c'est quand vous avez dit : « Mais les fondamentaux restent les mêmes », et je pense que c'est une leçon très importante. Et je pense que Zero Trust le dit littéralement. C'est vraiment une question de base, et je voudrais m'en servir comme tremplin vers certains des éléments dont vous avez parlé dans votre bulletin mensuel, qui est une excellente lecture et j'encourage tout le monde à y aller et à y jeter un coup d'œil. Vous parlez de l'importance de l'hygiène en matière de sécurité et si je dis que j'assimile Zero Trust aux fondamentaux, c'est parce que je dis qu'une bonne hygiène de sécurité est la même chose qu'une bonne sécurité, et l'un des principes fondamentaux à cet égard devrait être que rien ne doit bénéficier d'une confiance implicite, comme le dit vraiment Zero Trust. L'hygiène de sécurité est donc si importante. Tu l'as articulé avec brio. Mais pourquoi est-ce que c'est souvent la même chose ? Chaque fois que je lis un article sur une nouvelle attaque de rançongiciel, une nouvelle faille de quelque nature que ce soit, vous vous penchez sur le sujet et la cause première en est souvent le manque d'hygiène en matière de sécurité. Pourquoi est-ce toujours un tel défi pour les organisations, grandes et petites ?

17:11 Vishal Salvi : J'appelle cela « faire des choses ennuyeuses », et je pense que si cela ne suscite pas autant d'attention, c'est parce que c'est tellement ennuyeux. Mais ce n'est pas seulement ennuyeux, c'est aussi ingrat. Donc, je pense que l'autre partie, et la troisième partie, c'est que c'est un problème difficile. Vous pouvez donc imaginer pourquoi la plupart des organisations se trompent à cause de ces trois problèmes. Je pense que nous devons faire quelque chose pour que les gens comprennent que nous devons glorifier les choses ennuyeuses. Ce sont des éléments fondamentaux. Deuxièmement, nous devons trouver un moyen d'inciter les gens pour qu'ils ne deviennent pas ingrats et de récompenser et reconnaître les sentinelles. Et ce n'est pas l'équipe informatique, mais l'équipe technologique, les équipes informatiques qui travaillent constamment, car devinez quoi ? Nous publions des vulnérabilités et des correctifs comme jamais auparavant. Et il faut bien faire les choses, et c'est une guerre asymétrique. Vous devez toujours faire les choses correctement, et les méchants n'ont à le faire qu'une seule fois. Nous avons donc une asymétrie importante dans la façon dont cela se produit. Et la troisième chose, c'est que le moment est venu, tout comme vous parlez de Zero Trust, d'appliquer une tolérance zéro à l'égard de l'hygiène technologique de base.

18:29 Vishal Salvi : Par exemple, quelle que soit la dynamique de votre environnement informatique, vous devez savoir exactement combien d'actifs y a-t-il dans votre organisation, combien d'applications y a-t-il dans votre organisation, quelle quantité de données fantômes et quelle part de Shadow IT vous possédez ? Combien de changements sont en train de se produire, où ils se produisent dans le cadre d'un processus de gestion du changement, et dans combien de domaines avez-vous les moyens de gérer ces changements ? Au fur et à mesure de l'évolution de la technologie, nous avons dû abandonner ce contrôle et ces liens qui étaient traditionnellement très importants au sein des équipes technologiques et informatiques, car l'ensemble de l'équipe et des unités commerciales de l'entreprise ont été habilitées à gérer leur propre infrastructure technologique. Mais ce faisant, nous avons l'impression d'être incapables de contrôler, car elle devient une hydre à plusieurs pattes.

19:19 Vishal Salvi : Si vous commencez à adopter une approche de tolérance zéro, nous devons commencer à avoir le sentiment d'une meilleure gouvernance autour de la question « Comment gérer cela ? » Bien que nous souhaitions responsabiliser les personnes, tout en garantissant rapidité et agilité, cela ne peut pas se faire au détriment de l'hygiène informatique et, par conséquent, du risque de violation. Je pense donc que ce sont là certains des éléments importants à prendre en compte lorsque nous le faisons, et je pense, comme vous l'avez dit, et comme je l'ai déjà dit par le passé, que la majorité des violations et des attaques que nous avons observées ne se produisent pas parce que les attaquants utilisent un mécanisme d'attaque très technologique ou très sophistiqué. Ils sont... En fait, certaines attaques se produisent en fait à la vue de tous. Ils n'ont même pas besoin d'aller exploiter quelque chose. Ils ont déjà les informations d'identification d'un autre endroit, il leur suffit de se connecter et de faire le mouvement latéral.

20:13 Raghu Nandakumara : Oui, absolument. D'ailleurs, pour revenir à l'époque où vous disiez que l'hygiène de sécurité était ennuyeuse, ingrate et difficile. Cela me rappelle le fait d'essayer d'amener mes enfants à faire leurs devoirs parce qu'ils associent les devoirs à ces trois choses et qu'il faut les rendre intéressants. Vous devez leur faire comprendre la valeur et vous devez les inciter. Mais, comme vous le dites, les attaquants, en fin de compte, sont là pour eux, c'est une activité pour eux, alors ils veulent... Idéalement, ils veulent faire peu d'efforts et obtenir un rendement élevé. C'est pourquoi ils s'attaquent toujours aux fruits les plus faciles à saisir. Mais je pense que tu étais vraiment... Dans votre réponse, vous avez vraiment introduit quelque chose de très actuel, car vous dites qu'aujourd'hui, de plus en plus d'équipes commerciales gèrent leur propre infrastructure technologique. Il ne s'agit donc pas de dire : « OK, informatique, c'est vous qui gérez l'infrastructure, vous allez appliquer les correctifs ». Vous devez faire participer tout le monde à ce voyage. Je sais que l'un de vos principaux domaines d'intérêt est la démocratisation de la sécurité. Alors, comment, en tant que CISO et en tant que responsable de la pratique, comment mettre en place ce modèle de démocratisation de la sécurité afin que tous ces groupes divers qui ont des intérêts, ou des parties prenantes en matière de sécurité, dans leurs applications, puissent tous s'unir autour d'une approche commune de la cybersécurité ?

21:38 Vishal Salvi : Oui, je pense que... C'est une question de culture. Il s'agit de créer une culture dans laquelle nous sommes en mesure de faire comprendre à chaque partie prenante son rôle en termes de responsabilité et de responsabilité en matière de cybersécurité. En tant que profession, nous n'avons pas fait un excellent travail de promotion de cette profession, car lorsque nous nous désignons comme les équipes de cybersécurité, on a généralement l'impression et l'attente que c'est comme par magie... cette équipe va résoudre et gérer mes risques, et je n'ai rien à faire. Alors qu'en réalité, la vérité est exactement le contraire. Les équipes de cybersécurité sont le catalyseur actif de ce changement, mais le véritable changement concerne les parties prenantes, les chefs d'entreprise, le conseil d'administration, la direction de l'organisation, le personnel, les employés, les équipes technologiques, les équipes informatiques et toutes les autres parties prenantes présentes. Chacune d'entre elles doit comprendre son rôle et ses responsabilités, puis le faire. L'inconvénient de la sécurité, c'est qu'elle n'est visible que lorsqu'elle ne fonctionne pas et qu'elle est invisible lorsqu'elle fonctionne.

22:48 Vishal Salvi : Tant que personne n'exploite votre mauvaise sécurité, vous pouvez vivre dans l'illusion selon laquelle vous êtes en sécurité parce que personne ne vous attaque. C'est exactement ce qui s'est passé dans le cas des rançongiciels. Pour la première fois, lorsque le ransomware est arrivé avec WannaCry et NotPetya, nous avons constaté pour la première fois un impact indiscriminé d'une faille de sécurité dans tous les secteurs. Et tout à coup, toute l'insécurité qui régnait a été révélée alors qu'elle n'existait pas autrement. C'est pourquoi vous pouvez expliquer que le secteur financier est tellement réglementé et beaucoup plus mature, car c'est là que se produisaient la majeure partie des fraudes jusqu'à ce que nous commencions à voir des rançongiciels. Et les rançongiciels n'ont d'impact que sur tous ceux qui entrent en contact. Sur Internet, tout le monde entre en contact avec tout le monde. Donc, pour en revenir à votre point de vue, vous devez commencer à l'examiner de ce point de vue pour vous assurer que nous le démocratisons et que chaque partie prenante comprend très clairement son rôle. Cela doit être fait en tant que culture et chaque opportunité qui se présente, vous devez vous assurer qu'elle est motivée de manière à ce que cela devienne un problème culturel où...

24:01 Vishal Salvi : Et je dois te dire d'emblée, Raghu, que nous n'en sommes qu'à nos balbutiements lorsqu'il s'agit de comprendre que la cybersécurité est une question culturelle. Les gens, même aujourd'hui, alors que nous voyons la plupart des parties prenantes l'externaliser. Ils ne pensent pas que c'est leur problème, et nous sommes toujours confrontés à ce problème. La cybersécurité est perçue comme une science de pointe. C'est considéré comme quelque chose que seul un spécialiste peut faire. Ça ne l'est pas. Je pense que c'est une question de bon sens. Quiconque comprend les principes fondamentaux de la technologie ne met pas beaucoup de temps à comprendre les principes et les fondamentaux de la cybersécurité. En fait, la correction doit être effectuée par des personnes disposant d'un accès administrateur, mais pas par des professionnels de la cybersécurité. Ils peuvent au mieux découvrir ce risque et cette vulnérabilité et vous en informer. Mais ils ont besoin de... Les équipes qui ont accès sont celles qui devraient l'exercer et elles doivent savoir comment configurer les systèmes en toute sécurité. C'est donc le changement que nous devons apporter, et c'est ce que je veux dire par démocratiser le cyberespace.

25:06 Raghu Nandakumara : Il y a tellement de bon contenu dans ce que vous venez de couvrir. C'est tellement que je pourrais m'y plonger en profondeur... Je pense que nous pourrions faire un épisode de podcast sur chaque segment de ce que vous avez dit. Et je voudrais donc poser la question suivante : tout d'abord, la cybersécurité, si vous la résumez, c'est du bon sens. Faire preuve de bon sens à une variété de problèmes liés à la technologie et à l'information est vraiment l'essence fondamentale de la cybersécurité, en ce qui concerne ce changement de culture et la participation de toutes les personnes impliquées dans la cybersécurité. Et selon le cliché, votre première ligne de défense, ce sont vos employés, qui doivent participer à votre programme cybernétique. Pour les organisations qui adoptent une stratégie Zero Trust, la démocratisation de la sécurité constitue-t-elle un élément clé de toute adoption réussie de Zero Trust ? Qu'en penses-tu ?

26:06 Vishal Salvi : Non, absolument. Zero Trust est une méthodologie pour déployer votre architecture de sécurité et la seule façon de réussir à déployer une architecture de sécurité est de faire participer toutes les parties prenantes. Par exemple, lorsque vous parlez de Zero Trust, l'un des changements importants qui se produisent concerne...

26:29 Vishal Salvi : Une convergence est en train de se produire entre la sécurité et le réseau, et nous devons réunir l'équipe chargée du réseau pour être en mesure de réellement mettre en place l'architecture, car ce sera l'avenir de la sécurité et des réseaux. Les anciens modèles, les modèles traditionnels de connectivité, sont donc confrontés à de sérieux défis. Et à moins que nous ne puissions changer l'état d'esprit de l'équipe chargée du réseau pour adopter cette sécurité définie par logiciel et ce réseau défini par logiciel, cela deviendra difficile. Je pense donc que la collaboration et le partenariat sont importants. Ce n'est que s'ils le font au niveau architectural que nous pourrons vraiment réussir à en favoriser la mise en œuvre. Par conséquent, je pense que même si c'est technique, je pense que c'est aussi un aspect humain qui doit être abordé en conséquence. Je crois donc fermement que les deux choses doivent se produire ensemble pour que vous ayez un programme réussi.

27:21 Raghu Nandakumara : On me demande souvent : « D'accord, comment puis-je faire quelque chose très rapidement ? Comment puis-je accélérer la transformation ? J'ai cette nouvelle fonctionnalité que je souhaite déployer. » Et ce que je leur dis, c'est que nous pouvons toujours trouver une technologie et faire en sorte que la technologie fonctionne. Nous pouvons même créer un processus pour utiliser cette technologie. Mais vous ne pourrez favoriser une adoption rapide que si A) vous avez un mandat solide expliquant pourquoi cette adoption doit avoir lieu et B) si les parties prenantes sont toutes impliquées. Et qu'ils en voient la valeur. Sans ces deux éléments, le mandat et l'engagement des parties prenantes, vous n'obtiendrez jamais une adoption rapide. Et cela se retrouve partout. Mais je voudrais poser la question, car je tiens à faire le lien avec ce que vous avez dit tout à l'heure à propos du fait que la valeur d'un investissement dans la sécurité n'est jamais évidente.

28:13 Raghu Nandakumara : Parce que c'est un peu comme si on ne disait jamais : « Nous n'avons pas été compromis parce que nous avions X. » C'est plutôt le cas de « Nous avons été compromis, nous avons été piratés parce que nous n'avions pas Y. » J'aimerais connaître votre point de vue, à la fois sur votre CISO et sur celui de votre chef de cabinet, sur la manière dont vous pouvez démontrer un retour sur investissement tangible grâce à vos investissements dans la sécurité ? À la fois avant d'obtenir l'engagement de votre conseil d'administration de réaliser l'investissement, mais aussi, disons six mois plus tard, 12 mois plus tard, lorsque quelqu'un demande : « D'accord, nous avons gagné, nous avons dépensé X, montrez-moi ce que je reçois en retour ». Comment fais-tu ça ?

28:55 Vishal Salvi : Je pense qu'il ne faut pas se donner la peine d'essayer de convaincre un responsable financier du retour sur investissement des produits de sécurité. Parce qu'on peut argumenter des deux côtés et qu'on ne peut jamais être d'accord. Si tu ne veux pas. Je pense donc que c'est un exercice futile. Je sais que les gens font ça, mais je ne pense pas que tu devrais le faire. Je pense que le modèle devrait fonctionner comme suit : vous devez décider en tant qu'organisation quel est le risque que la cybersécurité représente pour votre organisation et combien vous êtes prête à investir. C'est le numéro un. Et puis, dans mon esprit, la sécurité consiste à s'améliorer chaque jour. Donc, où nous en sommes aujourd'hui, vous devez vous améliorer demain et, jour après, ce sera mieux que demain. C'est donc vraiment ce que vous devez faire.

29:48 Vishal Salvi : Il n'est jamais possible qu'aujourd'hui tu sois zéro, demain tu auras cent ans, mais ça n'arrivera tout simplement pas. Il doit donc y avoir un certain niveau de confiance dans le fait qu'une fois que vous avez une équipe, une équipe professionnelle pour y parvenir, vous dites, vous savez quoi... comment vous devez dépenser cet argent. Vous allez livrer la valeur maximale et je vous en tiendrai responsable. Parce que seule l'équipe de sécurité doit alors réellement justifier la manière dont elle souhaite dépenser cet argent. Et ce sont eux qui sauraient le mieux, qu'il s'agisse d'apporter de la valeur ou non. Aucune autre personne extérieure ne peut vraiment comprendre ce qu'elle fait, en particulier dans le domaine de la finance. Je pense donc ceci : vous devez vraiment inverser la tendance et vous dire qu'il ne faut pas perdre de temps à essayer de calculer mathématiquement le retour sur investissement, mais donner aux équipes les moyens de générer leur propre retour sur investissement. Ainsi, au sein des équipes de sécurité, vous pouvez certainement réaliser un retour sur investissement. Vous pouvez savoir combien vous avez investi et comment ce contrôle est effectué, quelle est l'efficience et l'efficacité de ce contrôle. Tu peux le faire. Mais ne permettez pas à quelqu'un d'autre de venir remettre en question ce processus, car en fin de compte, vous passerez plus de temps à expliquer cela à la troisième personne au lieu de dire que le temps est bien consacré à la protection de votre organisation.

31:05 Raghu Nandakumara : Je ris parce que je ris parce que je suis sûr que de nombreux directeurs des ventes en ont tous entendu parler. Et je vais appuyer sur la cassette devant un acheteur économique et lui dire : regardez ce que dit le CISO Infosys à propos des efforts visant à vous convaincre de la valeur de cet investissement.

31:20 Vishal Salvi : J'ai eu, une fois de plus, le privilège de travailler dans des organisations matures qui nous ont laissé faire notre travail.

31:27 Raghu Nandakumara : Oui.

31:27 Vishal Salvi : Et ne passez pas trop de temps à vous demander où vous dépensez cet argent, pourquoi vous le dépensez ici. Et parce que ce qui se passera, c'est que si vous le faites, vous finirez par dépenser pour des contrôles qui ne sont pas prioritaires pour vous, parce que les responsables des finances en ont été convaincus par rapport à celui qui est le plus important pour vous. Hein ? Et c'est là que je pense que cela devient un problème. Il est donc préférable de procéder de cette façon.

31:49 Raghu Nandakumara : J'aime beaucoup la façon dont vous l'avez exprimé, mais permettez-moi de vous poser une question connexe. En tant que professionnel de la sécurité : vous avez effectué une évaluation des risques. Vous l'avez fait, vous avez modélisé les menaces de votre environnement et vous avez identifié vos lacunes. Où dites-vous maintenant : « D'accord, j'ai beaucoup d'argent. Et oui, c'est à moi de décider où je l'investirai. » Qu'est-ce qui motive l'investissement, en disant « capacité X » ou « capacité Y » ? Et ensuite, comment mesurez-vous que vous en tirez de la valeur ?

32:22 Vishal Salvi : Oui, je pense que tout est une question de méthodologie pour examiner votre évaluation des risques et nous le faisons évidemment chaque année, et vous le faites... La meilleure façon d'y parvenir est de vous baser sur l'évaluation des risques de votre entreprise, en examinant tous les risques et en examinant quels sont ceux qui présentent un risque élevé, et comment vous souhaitez hiérarchiser les mesures correctives.

32:43 Vishal Salvi : Ensuite, vous regardez, d'accord, ce qui existe, ce que je dois faire et quels sont les éléments importants que je dois examiner. Et puis vous dites, d'accord, vous faites une classification, puis vous dites, d'accord, ce sont celles dont j'ai vraiment besoin, et bien sûr, vous devez examiner l'abordabilité parce que vous ne pouvez pas même si, par exemple, vous obtenez tout l'argent nécessaire pour chacune d'entre elles, ce n'est même pas pratique pour vous de les exécuter. Vous aurez alors du mal à dépenser cet argent. Vous devez donc être en mesure de trouver un équilibre entre le niveau pratique que vous serez en mesure de mettre en œuvre et le caractère abordable de votre organisation, compte tenu du contexte de votre organisation et de votre contexte commercial, et vous devez être réaliste à cet égard. Vous ne pouvez pas demander une situation sans fond.

33:24 Vishal Salvi : Je pense donc que si vous êtes capable de faire ces deux choses et de bien le calibrer, vous gagnez de l'argent et, évidemment, vous définissez le programme, le donnez à votre équipe et vous dites, d'accord, maintenant que vous l'avez, assurez-vous de l'exécuter. Mais plus important encore, je pense que vous devez vous assurer de procéder à un examen de cet investissement après la mise en œuvre et de transmettre ce feedback aux équipes afin qu'elles puissent avoir l'assurance que nous avons été en mesure d'exécuter nos programmes tels que définis en temps opportun et d'atteindre nos objectifs. Cela renforce donc la confiance.

34:01 Raghu Nandakumara : Oui, 100 %, 100 %. Dans ce contexte, quels sont, selon vous, les taux de réussite des clients qui adoptent une stratégie Zero Trust ? Ceux qui ont emprunté cette voie et qui empruntent cette voie sont susceptibles de les aider vous-même. Quels sont, selon vous, les réussites et les échecs ?

34:21 Vishal Salvi : Le défi de son adoption est que nous nous trouvons actuellement dans un monde architectural très complexe. Où nous avons des solutions complètes et de multiples outils. Certains d'entre eux sont intégrés, beaucoup d'entre eux fonctionnent en silos et cela ressemble à un assemblage très compliqué de différentes technologies. Et il est nécessaire de les consolider. Il est nécessaire d'intégrer. Il est nécessaire de l'examiner en profondeur en ce qui concerne l'intégration à la pile technologique. Et je pense que nous en sommes loin. Il s'agit donc d'un défi très important et l'une des raisons pour lesquelles la mise en œuvre n'a pas été couronnée de succès est pour cette raison. D'autre part, en termes d'héritage, quelles sont mes priorités et comment puis-je me moderniser ? Et dois-je faire une chirurgie à cœur ouvert ou dois-je prendre des médicaments ?

35:08 Vishal Salvi : Je pense que ces questions sont très critiques et, très souvent, en raison de l'énorme héritage, il n'est pas très facile de changer et de passer à une nouvelle façon de faire les choses. Certaines organisations tournées vers l'avenir adoptent une approche complètement différente pour effectuer des transformations majeures et moderniser en profondeur leur technologie ainsi que leur infrastructure de sécurité. Une fois qu'elles l'ont considéré comme un programme et l'ont piloté de manière holistique, je pense que ces organisations ont de meilleures chances de réussir, plutôt que de le faire de cette façon, n'est-ce pas ? Surtout parce que nous sommes en train de passer à un monde hybride et à l'adoption du cloud, ce qui n'est pas un changement anodin. Il s'agit d'une transformation majeure et vous ne pouvez pas souligner l'importance du changement d'architecture de sécurité.

36:00 Raghu Nandakumara : Oui. Pensez-vous qu'une transformation, tout ce type de changement architectural, de changement de modèle de consommation et même la manière dont nous créons les applications, doivent-ils être mûrs pour que la transformation de la sécurité puisse se produire ? Ou considérez-vous cela comme des pistes parallèles qui doivent se produire ensemble de manière synchronisée ?

36:23 Vishal Salvi : Je pense que ce qu'il faut, c'est un effort collaboratif. Par exemple, lorsque vous créez une nouvelle application, examinez la modélisation des menaces. Vous devez commencer à examiner, en plus de faire autre chose, vous devriez également commencer à examiner la sécurité des API, le SDLC sécurisé, le pipeline CI/CD sécurisé. Il y a tant de choses à faire. Je pense donc qu'il faut le faire. Je dirais qu'il serait irréaliste de s'attendre à ce que tout se passe en même temps. Je pense que ce qui est important, c'est un effort collaboratif et une approche visant à garantir la sécurité dès la conception. Donc, dans tout ce que vous faites, vous devez toujours tenir compte de considérations de sécurité. Ne négligez pas la sécurité, car vous ne pouvez imaginer aucun monde aujourd'hui sans le numérique. Et partout où il y a du numérique, la sécurité doit être présente. Je pense que c'est le fondement fondamental de la création d'une architecture à l'épreuve du temps. Et ce changement est important. Si quelqu'un utilise simplement une carte de crédit et achète une charge de travail dans le cloud, puis saisit un code métier et essaie de faire quelque chose et que c'est le cas, vous ignorez de manière flagrante tous les contrôles de sécurité, vous demandez simplement qu'un désastre se produise. C'est donc vraiment ce que je veux dire.

37:47 Raghu Nandakumara : Oui. Tu parles comme si tu l'avais vu plusieurs fois. J'ai lu l'un de vos articles très intéressants, et je crois qu'il était intitulé « Zero Trust with Zero Touch ». Et vous présentez l'idée de la façon dont le ML et peut-être, dans le futur, une sorte d'IA à usage général, bénéficieront réellement à la mise en œuvre des contrôles Zero Trust et de la sécurité permanente, je vais l'appeler sécurité permanente, ou sécurisée dès la conception, ou comme vous voulez l'appeler. Que pensez-vous de l'application de l'apprentissage automatique, et plus généralement de l'IA, vers le Zero Trust ? Qu'est-ce que c'est que c'est ?

38:30 Vishal Salvi : Oui, donc Raghu, en fait, « Zero Trust through Zero Touch » signifie vraiment une vision d'hyperautomatisation. C'est vraiment ce que cela signifie. Parce que les choses ne s'intensifient pas pour résoudre le problème des opérations de sécurité.

38:47 Vishal Salvi : Vous trouverez toujours des lacunes parce que nous n'arrivons tout simplement pas à les comprendre. Tout comme les voitures sont désormais entièrement automatisées et les robots fabriquent des voitures, vous avez besoin de robots qui doivent faire fonctionner les opérations de sécurité. C'est vraiment ce que cela signifie. Mais c'est la vision. C'est là que nous devons aller. Je ne pense pas que nous soyons prêts pour le moment. Je dirais que nous n'en serions pas arrivés là où nous en sommes en matière d'innovation en matière de sécurité sans l'utilisation du machine learning, car il y a une quantité importante de machine learning dans tout ce que nous faisons. Chaque aspect de la sécurité ou de la technologie d'aujourd'hui recèle de nombreux enseignements, car nous n'arrêterons pas 92 % des spams sans le machine learning. Je pense que l'utilisation de l'IA et la manière dont nous le ferons à l'avenir seront un aspect important à surveiller.

39:34 Vishal Salvi : Il existe de nombreux exemples de cas d'utilisation où nous pourrions le faire. Par exemple, lors des tests, en termes de surveillance, nous pourrions créer un algorithme d'IA pour tout cela, et ils deviendraient de plus en plus mûrs. Dans le même temps, nous examinerons également l'IA contradictoire et la manière dont nous pouvons commencer à l'atténuer et à mettre en place des contrôles pour y remédier. Et puis il y a une troisième chose. Tout comme nous avons la sécurité dès la conception, nous avons adopté la protection de la vie privée dès la conception, l'IA éthique dès la conception constituera un élément important de l'avenir.

40:00 Vishal Salvi : Nous devrons donc suivre de près son impact sur le monde de la cybersécurité. Je pense que ce sont les personnes qui le conçoivent et que tout le travail cognitif devrait être consacré à la réflexion plutôt qu'à des activités banales. C'est pourquoi nous utilisons actuellement une certaine bande passante cognitive pour faire des choses qui n'apportent aucune valeur ajoutée à l'être humain. Quoi qu'il en soit, nous sommes confrontés à un sérieux défi entre l'offre et la demande. Je pense donc que nous ne sortirons jamais de cette situation de chômage zéro pour les professionnels de la cybersécurité, malgré toute l'automatisation que nous allons faire. Je ne pense donc pas que ce soit un risque dont nous devons nous inquiéter. Je pense que nous devrions toujours nous efforcer de faire de plus en plus de travail cognitif et d'automatiser complètement tout ce qui n'apporte pas grand-chose.

40:46 Raghu Nandakumara : Oui. On dit que nous, les cyberprofessionnels, avons un emploi pour toujours. Alors, juste avant de terminer, qu'est-ce qui vous enthousiasme dans ce qui se profile à l'horizon en tant que leader en matière de cyberpratiques ? Qu'est-ce que vous voyez chez vos clients qui vous enthousiasme vraiment, en tant que professionnel de la sécurité ?

41:05 Vishal Salvi : D'un côté, j'espère toujours que nous serons en mesure de résoudre ce problème et que nous aurons moins de violations et d'incidents, car c'est le monde que nous voulons viser. Et nous ne voulons pas nous retrouver dans une situation où nous attendons que d'autres incidents se produisent pour améliorer la sécurité de l'emploi ou augmenter nos revenus. Du moins, je ne suis pas d'accord là-dessus. Je veux donc un monde où nous sommes plus en sécurité numérique, tout comme nous avons pu résoudre ce problème pour les voyages en avion et tant d'autres activités où la tolérance zéro à l'égard des risques est respectée.

41:40 Vishal Salvi : Je pense que la cybersécurité atteindra un point critique à un moment donné où tout le monde se réveillera et commencera à le prendre très au sérieux. Nous aurions véritablement démocratisé le cyberespace. Je pense que c'est à ce moment-là que ça va basculer puis commencer à baisser, et ça ne posera plus de problème. Finalement, ce ne sera plus une actualité et ce sera une façon de faire les choses, mais nous en sommes loin, peut-être des décennies en ce moment. À l'heure actuelle, c'est toujours quelqu'un qui fait les gros titres des journaux en ce moment. Je pense que nous devons... Nous espérons donc concevoir des systèmes plus sûrs dès la conception afin de ne pas en avoir... le défi de réparer et de mettre des pansements à chaque fois et de salir toute la tuyauterie.

42:18 Raghu Nandakumara : Oui. Et je pense que c'est très intéressant parce que cela correspond bien à cette véritable poussée que nous observons en matière de cyberrésilience. C'est presque comme si des violations allaient se produire. Si nous construisons notre infrastructure, nos contrôles, etc., de manière à nous permettre de continuer à fonctionner de manière aussi optimale que possible, ils deviennent essentiellement un inconvénient. Ils ne font pas la une des journaux chaque fois que la même chose se produit.

42:47 Vishal Salvi : Non, je pense que la cyberrésilience est un sujet très important dans le contexte actuel, car nous devons partir du principe que les violations vont se produire. Et vous devez découvrir que nous devons trouver un moyen qui permette à votre organisation de réagir calmement et calmement à cette violation en particulier, de manière à ne pas simplement la contenir et à s'en remettre, mais aussi à reprendre ses activités très rapidement, et de le faire de manière très professionnelle et calme. Et tout le monde comprend ses rôles et ses responsabilités et dispose d'un manuel approprié pour les exécuter.

43:18 Vishal Salvi : Je pense donc que c'est un sujet très important et la plupart des organisations s'y intéressent. Et je pense que c'est un élément très important de votre stratégie pour l'avenir.

43:27 Raghu Nandakumara : Oui, j'aime les mots calmement et froidement. La cyberrésilience consiste à être capable de continuer à fonctionner sereinement, même après une violation. Oui, c'est une bonne chose de laisser les auditeurs en bonne santé. Vishal, nous apprécions vraiment le temps que nous avons pris pour avoir cette conversation avec nous ici sur The Segment. Si vous écoutez bien, consultez la newsletter mensuelle de Vishal sur LinkedIn. C'est excellent ; des informations incroyables sur le CISO de la part de Vishal lui-même. Il s'intitule « CyberTalks : le point de vue d'un CISO sur tout ce qui touche à la cybersécurité ». Vishal, merci beaucoup. Cela a simplement été un plaisir.

44:03 Vishal Salvi : Merci. Et pareil ici. Merci beaucoup de m'avoir invité ici aujourd'hui, Raghu. C'était un plaisir de parler aujourd'hui et j'ai vraiment apprécié cette conversation.

44:13 Raghu Nandakumara : Merci d'avoir écouté l'épisode de cette semaine de The Segment. Pour encore plus d'informations et des ressources sur Zero Trusts, consultez notre site web à l'adresse illumio.com. Vous pouvez également communiquer avec nous sur LinkedIn et Twitter à l'adresse Illumio. Et si vous aimez la conversation d'aujourd'hui, vous pouvez retrouver nos autres épisodes partout où vous pouvez accéder à vos podcasts. Je suis votre hôte, Ragu Nandakumara, et nous reviendrons bientôt.