


Les défis de la modernisation en matière de sécurité
Dans cet épisode, l'animateur Raghu Nandakumara s'entretient avec Stephen J. White, PDG de Viking Technology Advisors, pour discuter du rôle essentiel de l'accès réseau Zero Trust (ZTNA), de l'adoption du cloud et de l'IA dans la modernisation de la sécurité des réseaux. Il souligne l'importance de la visibilité, de l'automatisation et des approches holistiques pour améliorer l'efficacité opérationnelle et la sécurité.
Transcription
00:00 Raghu Nanadakumara
Bonjour à tous, dans cet épisode de The Segment, je suis très heureuse d'être rejoint par Steve White, un ingénieur et architecte des réseaux et de la sécurité très réputé. Il a passé de nombreuses années, notamment dans le secteur des services financiers, à développer des réseaux et des infrastructures de sécurité pour certaines des plus grandes banques du monde. Aujourd'hui, en tant que fondateur et PDG de Viking Technology Advisors, il met toutes ces années d'expérience au service de ses clients dans leurs efforts de transformation numérique. Alors, Steve, bienvenue sur The Segment. C'est super de t'avoir.
00:36 Steve White
C'est super d'être ici. Raghu, merci beaucoup de m'avoir donné l'occasion d'avoir cette conversation passionnante avec vous aujourd'hui.
00:43 Raghu Nanadakumara
Ça me fait plaisir. C'est toujours un plaisir de parler à quelqu'un qui a autant d'expérience en tant que praticien. Je pense donc que rien qu'en regardant votre parcours, et la longue carrière que vous avez eue dans le domaine de l'ingénierie des réseaux et de la sécurité, si vous regardez où nous en sommes aujourd'hui en matière de sécurité des réseaux, et si vous regardez en arrière, vous devez être très heureuse de constater que nous sommes en train de résoudre des problèmes que vous souhaitez probablement résoudre depuis de nombreuses années.
01:08 Steve White
Oui, tu sais, c'est drôle que tu dises ça. Mon plan d'affaires de commercialisation pour Viking Technology Advisors a évolué au cours des sept derniers mois depuis la création de l'entreprise. Et l'une des choses intéressantes que j'ai faites est d'examiner cette période historique qui s'est produite dans le passé, croyez-le ou non, au cours des 30 dernières années. Et il y a eu d'importantes injections de nouvelles technologies, qui ont eu un impact sur les entreprises au cours de ces 30 années. Donc, à mon avis, la transformation numérique n'est pas vraiment une nouveauté. C'est quelque chose que nous vivons depuis de très nombreuses années. Et chacune de ces nouvelles technologies a en fait un point commun : une pression et une demande accrues sur les réseaux et la cybersécurité. Et cela a également entraîné une prolifération massive de solutions ponctuelles et une complexité accrue. Il est donc très difficile pour les informations, les réseaux et la cybersécurité de garder une longueur d'avance sur la demande des entreprises. Et cela ne fait qu'augmenter aujourd'hui. En ce qui concerne le cloud, même s'il n'est pas vraiment nouveau, il existe depuis presque 20 ans, c'est incroyable, mais il semble vraiment que les entreprises s'y intéressent sérieusement au cours des cinq à huit dernières années. Et maintenant, grâce à l'IA et à l'IA générative, le rythme est désormais uniforme et s'accélère encore plus. Et il existe de très nouvelles technologies intéressantes dans le domaine des réseaux et des contrôles de sécurité basés sur le cloud qui vont radicalement changer la façon dont les entreprises doivent envisager leurs périmètres. Leurs périmètres seront très différents de ceux que nous examinons traditionnellement. Et traditionnellement, ce que nous considérions comme les principaux points de contrôle. Donc, de ce point de vue, ce sont les personnes, les processus et la technologie qui doivent tous être réunis pour effectuer cette transition. Et j'ai beaucoup aimé le mot « modernisation » que nous utilisons aujourd'hui dans nos supports marketing, car il ne s'agit pas nécessairement de transformation ; il doit vraiment être modernisé pour aujourd'hui et pour demain. Et c'est le défi. Comment répondre aux besoins actuels des clients ou à ceux de votre entreprise, tout en étant en mesure de répondre aux besoins de demain ? J'ai construit cette entreprise sur le modèle suivant : si je devais travailler pour une grande entreprise, c'est ainsi que j'aborderais la gestion de cette entreprise. Et c'est vraiment la proposition de valeur que nous apportons à tous nos clients, c'est que nous avons parcouru un kilomètre et demi à votre place, nous savons exactement où vous vous trouvez. Et nous mettons en place les meilleurs partenariats et automatisons pour vous aider à atteindre cet objectif de modernisation ?
03:53 Raghu Nanadakumara
Eh bien, je pense, je pense à cela, pour paraphraser votre propre expression selon laquelle vous avez parcouru un kilomètre à pied, j'espère que la plupart de nos auditeurs sont à la place, n'est-ce pas ? Ils écouteront donc avec impatience les informations que vous allez leur fournir. Je ne reviendrai pas sur ce que vous avez dit à propos de la façon dont vous avez choisi les mots, qu'il s'agisse de transformation numérique ou de modernisation, mais vous avez dit que chacune de ces étapes entraîne en fait de nouveaux défis en matière de réseau et de cybersécurité. La première question est donc de savoir si, selon vous, nous entamons cette étape de chaque étape de cette modernisation ? Pensez-vous que nous sommes suffisamment conscients de ces défis en matière de cybersécurité ? Ou est-ce simplement que le recul est une chose merveilleuse ?
04:37 Steve White
On dirait vraiment que tout se fait avec le recul. J'ai l'impression que les feuilles de route et les stratégies sont toutes basées sur l'adoption du cloud. L'une des choses intéressantes, et ce qui est vraiment passionnant à propos du cloud, ce sont les capacités d'automatisation, les fonctionnalités natives du cloud et les normes. Pensez à l'ampleur de la standardisation qui existe dans le cloud. Les charges de travail ne peuvent pas être exécutées dans le cloud à moins de répondre aux normes structurées qui existent dans les environnements sur site et existants ou si les environnements d'infrastructure traditionnels ont tous été conçus sur mesure pour répondre aux besoins spécifiques des applications. Cela inclut également les composants de cybersécurité. Ces composants de cybersécurité sont donc tous des solutions basées sur des points. Et lorsque vous ajoutez ces nouvelles applications ou ces nouvelles exigences commerciales à cela, la première chose que doivent faire les dirigeants d'entreprise ou les responsables des opérations d'infrastructure et les partenaires en cybersécurité est d'évaluer le portefeuille actuel d'outils et de technologies. Souvent, vous finissez par essayer d'enfoncer une cheville carrée dans un trou rond pour essayer de faire fonctionner quelque chose. Et ce n'est pas nécessairement le cas ; c'est peut-être suffisant. Mais parfois, il ne suffit pas d'être assez bon. Et il y a les aspects liés aux risques et à la réglementation de ces décisions qui finissent par jouer un rôle important à cet égard. Donc, si vous ne le faites pas dès le départ, vous vous retrouvez avec un risque et une gueule de bois réglementaires liés au fait que nous avons accepté des risques ou des risques non gérés. Ils constituent ensuite un frein permanent à la capacité de l'organisation à réussir.
06:19 Raghu Nanadakumara
Pensez-vous donc que la transformation de la modernisation permet de renforcer la sécurité, non seulement d'améliorer la sécurité, mais aussi de manière plus simple, parce que lorsque je lis les défis liés à la sécurité dans les médias populaires ou spécialisés, je constate en grande partie que « la sécurité est vraiment complexe lorsqu'on passe au cloud »... « La sécurité est un élément très complexe de votre parcours de transformation numérique. » Quel est votre point de vue là-dessus ?
06:53 Steve White
Eh bien, c'est intéressant dans le paysage industriel. L'une des données importantes que j'aimerais partager avec le public est que je suis conseillère CXO pour Netskope. Et je suis très, très attachée à la technologie que Netskope essayait de mettre sur le marché pour aider à résoudre ce problème. Il y a évidemment d'autres concurrents dans ce domaine. Mais la véritable adoption du cloud, le télétravail, tous les impacts de la COVID, l'adoption de ZTNA, Zero Trust Network Access, et l'abandon des contrôles de sécurité périmétriques, mais le faire sur la base de l'identité et de sept paramètres différents pour prendre une décision intelligente quant à savoir si l'accès doit être autorisé, bloqué, coaché ou reprovisionné, sont des choses vraiment intéressantes car c'est maintenant l'opportunité de fournir les capacités d'aujourd'hui, mais aussi d'évoluer pour soutenir futur, est juste à nos portes. Hein ? Et, vous savez, pensez à l'introduction de l'IA par le passé, et je ne vais pas embellir le calendrier à ce sujet, mais des technologies de ce type sont proposées par des entreprises comme Netskope pour résoudre ce problème avant même qu'il n'existe, n'est-ce pas ? Parce qu'ils disposent des fonctionnalités d'accès Zero Trust nécessaires pour fournir des fonctionnalités commerciales basées sur l'intelligence de l'identité et d'autres contrôles. C'est super puissant, car dans le domaine des réseaux et de la cybersécurité, il y avait toujours une autorisation ou un blocage, nous n'avions jamais la possibilité de dire : « Eh bien, quels autres renseignements pouvons-nous apporter à cette prise de décision ? » Il s'agit de capacités révolutionnaires que les entreprises doivent vraiment examiner sérieusement. Et cela permet de réduire la pression sur votre architecture de sécurité périmétrique. Maintenant que vous transférez ces contrôles dans le cloud, vous vous rapprochez davantage des applications sur lesquelles ils sont hébergés, améliorant ainsi l'expérience client au niveau de l'expérience des collègues. Et cette expérience entre collègues est très importante parce que vous voulez qu'ils ressentent exactement la même chose, qu'ils soient au bureau, à distance, à l'aéroport, où qu'ils soient pour exercer leurs activités, d'accord, parce que nous travaillons partout maintenant. Nous ne travaillons pas à un seul endroit ; nous travaillons partout et nous sommes en mesure de mettre en place une politique unique et cohérente. Je repense souvent aux anciennes approches basées sur les pare-feux, et j'essayais toujours de trouver des moyens de tirer parti d'Illumio et de combiner Illumio avec toutes les politiques de la SEC afin d'apporter de la transparence aux stratégies de segmentation et de déterminer si le niveau de maturité et de segmentation au sein d'une entreprise en particulier et de quelques-unes des entreprises pour lesquelles j'ai travaillé impliquait un contrôle réglementaire important que nous devions mettre en place. Mais la gestion des politiques est tellement draconienne par rapport à ce qu'elle était il y a 20 ans. Accès au port de destination, port de destination et port IP source et port IP de destination. Ce n'est tout simplement pas le cas. Il n'est pas assez précis pour maintenir le rythme, car les entreprises tentent d'adopter leur migration ou leur transformation vers le cloud et leur modernisation vers le cloud.
10:06 Raghu Nanadakumara
Oui, absolument. Et je pense que c'est une excellente perspective, car ce que vous voulez vraiment dire, c'est que pour vraiment accélérer la modernisation, vous devez non seulement que les technologies qui font partie intégrante de la modernisation soient en quelque sorte dynamiques, évolutives et automatisées et autant que vous en avez besoin, mais vous devez également disposer des capacités de sécurité, des technologies de sécurité qui les soutiennent qui doivent également être les mêmes. Parce qu'une fois que vous disposez d'un ensemble de fonctionnalités de sécurité, vous pouvez soudainement atteindre le point où ce genre de cliché selon lequel la sécurité devient un facilitateur, alors que la sécurité devient quelque chose qui ralentit réellement vos progrès. Et je pense que vous avez tout à fait raison de dire qu'essayer de transférer des capacités de sécurité qui fonctionnaient essentiellement pour les meilleurs il y a 25 ans, et s'attendre à ce qu'elles soient toujours capables de faire ce dont nous avons besoin aujourd'hui est, je veux dire, je dirais que c'est de la folie de s'y attendre. Mais c'est intéressant parce que tu parlais de ZTNA. Et donc, en quelque sorte, au niveau supérieur. Parlons de Zero Trust et inscrivons-le dans le cadre de la discussion sur la modernisation. Tout d'abord, en tant que praticien de longue date, quand avez-vous découvert Zero Trust pour la première fois ? Et quelle a été votre réaction ?
11:39 Steve White
Nous sommes tombés sur la stratégie Zero Trust il y a quelques années alors que nous envisagions de passer d'un SWG traditionnel sur site à un accès basé sur le cloud. Et c'est ce qui est vraiment devenu la visibilité que cela nous a apportée. Il ne s'agit pas simplement de remplacer un composant de votre environnement. Il s'agit d'un changement global et d'un changement stratégique. Qu'il s'agisse de solutions ponctuelles fournissant certains contrôles d'accès, comme le VPN et le SWG pour l'accès Web, ou de la migration vers une stratégie cloud où ZTNA est un composant de sécurité superposé à cela, qui vous permet de fournir l'accès à des solutions sur site sans ces contrôles traditionnels, n'est-ce pas ? Parce que, et c'est un bon état de transition. Parce que cela vous permet de réellement déplacer les charges de travail sans que le client ne se rende nécessairement compte que quelque chose a changé, n'est-ce pas ? Ils ne savent même pas que les applications évoluent. Parce que ZTE traditionnel et un processus, ce sont les mêmes contrôleurs sur site, les mêmes que ceux utilisés dans le cloud. Je veux dire, l'un des défis que je vois dans les architectures existantes aujourd'hui est que tout a été répliqué dans le cloud sous la forme d'un essai distinct, d'un ensemble de processus distinct, d'un ensemble de contrôles distinct et d'un et séparé, et il y a sur site. Et c'est en quelque sorte le même fonctionnement qu'aujourd'hui. Mais si l'intégration du système sur site dans le cloud n'est pas complète, votre environnement sur site devient un obstacle à la réussite. Et en intégrant ZTNA, vous pouvez réellement commencer à réunir ces deux éléments, car vous pouvez désormais fournir des contrôles de microsegmentation avec Illumio sur site, offrant les mêmes fonctionnalités et contrôles dans le cloud. Et vous pouvez le faire avec la même politique. C'est comme si ce serait cool, non ? Et je sais qu'il existe un partenariat ; je ne sais pas s'il a encore été complètement annoncé, mais c'est un partenariat avec Netskope et Illumio, n'est-ce pas ? Je veux dire, il y a des choses passionnantes qui se passent là-bas, où ces deux technologies fonctionneraient très bien et se compléteraient parfaitement. Et en fin de compte, il s'agit de faire de la sécurité la priorité sur les règles. Comme vous venez de le dire, c'est le catalyseur, mais il le rend également invisible. Donc, la communauté des utilisateurs, afin qu'elle soit sécurisée, contrôlée, gérée, tout en leur permettant de faire leur travail de la même manière, où qu'ils se trouvent. Et c'est juste que nous traversons une période vraiment cruciale. Je me souviens que j'ai probablement vieilli un peu avec cette histoire, mais j'ai travaillé pour une société appelée International Network Services à la fin des années 1990. Et quand j'ai obtenu mon diplôme universitaire, les réseaux IP n'en étaient qu'à leurs balbutiements. Et je me souviens qu'INS, son modèle de services professionnels, a été conçu pour aider les clients à moderniser leurs environnements de réseaux IP, car tout le monde y réfléchissait. Ils essayaient de trouver comment le faire fonctionner. Ils ont eu du mal à comprendre les différents protocoles, et il devait y en avoir une myriade de protocoles différents. C'est pourquoi Cisco s'est vraiment hissée au premier rang des fournisseurs de réseaux, car elle proposait un support de régression pour tous ces éléments. Nous traversons actuellement une période très similaire en ce qui concerne l'adoption de nouvelles technologies, et en particulier la sécurité des réseaux basée sur le cloud, la ZTNA et la microsegmentation. C'est un changement par rapport à la pensée traditionnelle, comme le fait d'être un praticien de la pensée dans l'espace réseau et d'avoir grandi avec mes mains sur le clavier, puis d'évoluer vers des postes de haute direction, nous avons toujours été attirés par les pare-feux physiques, l'architecture du réseau axée sur l'isolation et la segmentation. Mais ce n'est tout simplement pas une réalité. Vous savez, la plupart des entreprises n'ont ni le temps ni les efforts nécessaires pour y parvenir. Et être capable d'utiliser des contrôles logiciels, de les fournir virtuellement et d'améliorer la posture de sécurité de l'entreprise, n'est-ce pas ? C'est une opportunité formidable. Je suis très enthousiaste à l'idée de savoir où il en est. Et c'est vraiment l'une des principales raisons pour lesquelles j'ai eu l'inspiration de lancer Viking Technology Advisors. C'est de commencer par la phase d'évaluation, de procéder à cette quatrième automatisation complète et de procéder à cette légère touche dans les 30, 60 ou 90 jours, et d'aider les clients à élaborer leur feuille de route et leur stratégie pour adopter ces technologies. Parce que tout cela est un effort en plusieurs étapes et sur plusieurs années. Mais il doit également être géré dans le respect du budget disponible et du risque d'intérêt ou de volonté du client pour le changement, n'est-ce pas ? La gestion des risques liés au changement est importante. Vous devez donc gérer ces deux aspects. Nous apportons ces deux éléments parce que c'est ce que j'ai fait au cours de ma carrière ; toute ma carrière a été consacrée aux aspects commerciaux de l'adoption de la technologie, mais en réalité, comment cela influence-t-il les résultats commerciaux ? Et ces fonctionnalités visent toutes à améliorer les résultats commerciaux. Et c'est vraiment ce que je pense : la transition vers une véritable ingénierie des plateformes d'infrastructure, est-ce le produit, n'est-ce pas ? Ce que tu sais, c'est l'une des choses auxquelles je me heurte également, Raghu, et j'y pense comme si tout le monde parlait d'ingénierie des plateformes. OK, c'est logique. Tout est une question de produits, non ? Je comprends. Mais quel est le produit en matière de réseau et de sécurité ? par exemple, pouvez-vous en faire un produit et comment faites-vous la transition vers l'ingénierie des plateformes d'infrastructure ? C'était un sujet de discussion important lors de la conférence Gartner en décembre dernier, à savoir la stratégie cloud en matière d'infrastructure et d'opérations.
17:05 Raghu Nanadakumara
Il y a tellement de choses que vous y avez partagées, et j'adorerais en découvrir des bribes. Commençons en fait par ce que vous avez dit à propos du fait d'être très axé sur les résultats. Parce que je pense que si je repense à mon parcours en tant qu'ingénieur en sécurité réseau, le résultat commercial n'était souvent pas ce à quoi vous vous intéressiez réellement. Vous êtes en quelque sorte très concentré sur, d'accord, quel est le résultat en matière de sécurité que vous essayez d'atteindre ? Hein ? Ou même si vous avez mentionné le fait que c'est en quelque sorte le cinq-tuple que je dois construire pour vous permettre de le faire. Mais pouvez-vous nous parler un peu de la manière dont vous pouvez améliorer la conversation avec vos clients, en commençant par les résultats commerciaux, puis en fin de compte, en passant au comment, du point de vue de la sécurité,
18:01 Steve White
Je pense que l'essentiel est de comprendre : nous rencontrons le client, nous le comprenons, nous commençons par comprendre où il en est dans son parcours, avoir cette visibilité et avoir une conversation détaillée avec ses parties prenantes. Mais ensuite, nous avons combiné la découverte automatique de leur environnement pour obtenir de véritables points de données en ce qui concerne l'infrastructure réseau, y compris l'inventaire, la configuration, les vulnérabilités, les correctifs, la topologie et les investissements actuels. Et nous le faisons également. Compte tenu de leurs performances en matière de gestion des dépenses de télécommunications, je ne peux pas perdre de vue le fait qu'une entreprise de télécommunications budgétisée et associée à une société de services financiers représente une grande partie du budget d'un réseau consacrée aux dépenses de télécommunications. Et puis la dernière pièce du puzzle, et j'ai également un nouveau partenariat récent, naissant sur lequel je travaille avec une société appelée X Analytics, qui apporte de la transparence aux données finales pour mesurer leur risque de cybersécurité, leur maturité et un score associé. Maintenant, vous pouvez avoir des conversations avec les cadres supérieurs pour savoir quel est réellement le statut de l'entreprise. Quel est le risque associé à la sécurité et quels sont les leviers qui peuvent réellement être utilisés pour améliorer réellement ce score de maturité ? En procédant ainsi maintenant, vous avez connecté les points à des données réelles liées à l'entreprise. Et l'autre chose que vous avez faite, c'est que vous pouvez maintenant avoir une discussion et élaborer un plan qui permettra d'atteindre ce résultat et de mesurer le succès de ce résultat. La mesure du succès est un élément extrêmement important. Vous avez demandé des millions de dollars pour le budget, quand est-ce terminé ? Bien, par exemple en accédant au programme d'adoption de la sécurité des réseaux cloud basé sur ZTNA, quand est-ce terminé ? Par exemple, si vous voulez présenter une analyse de rentabilisation, vous devez la présenter en tenant compte de l'ensemble du projet afin de pouvoir planifier le budget pour cela. L'autre chose que vous pouvez faire également, c'est d'examiner les opportunités de consolidation. Comme nous en avons parlé plus tôt dans notre conversation, c'est probablement quelque part dans la plupart des entreprises qu'il peut y avoir 30 ou 40 solutions différentes qui sont gérées et déployées. Vous avez donc des licences, du matériel, des connaissances et du personnel. Le pouvoir de tout cela est de consolider tout cela, d'améliorer l'efficacité de la fourniture des produits, de fournir des services en temps réel, et le résultat en est également de fournir un libre-service où ils n'ont pas besoin d'ouvrir un ticket ou d'appeler un membre de l'équipe du réseau, je n'y ai pas accès. Il s'agit de permettre ce libre-service. Si vous prenez les mesures du score de maturité du point de vue de la sécurité, et que vous les combinez à la manière dont les fonctionnalités d'automatisation du réseau et de la sécurité sont fournies pour permettre aux développeurs d'applications de s'acquitter de leurs tâches de manière plus fluide. C'est ainsi que nous le pensons. Et c'est ainsi que nous menons ces conversations, car c'est alors mesurable et déterministe.
21:14 Raghu Nanadakumara
Donc, dans ce contexte, et dans l'ensemble, la mesurabilité est si importante. Être, avoir un chemin très déterministe vers le succès est très important. Comment envisagez-vous l'introduction de Zero Trust et l'adoption d'une stratégie Zero Trust ? Quand est-ce que cela entre dans la conversation ? Ou s'agit-il d'une conversation que vous, vos clients, vos clients ont déjà, et les projets étaient alors généralement alignés sur cette stratégie.
21:45 Steve White
La stratégie repose entièrement sur l'adoption de Zero Trust, car c'est le principal pivot, n'est-ce pas ? Et des technologies comme Illumio vous permettent de le faire de manière très fluide, à la fois sur site et dans le cloud. Et vous pouvez le faire en utilisant un processus itératif, non ? Le déploiement, que j'ai utilisé Illumio, dans deux entreprises différentes au cours des dix dernières années au moins, a connu un énorme succès. Le produit à lui seul n'a pas eu à modifier physiquement la topologie du réseau ou l'infrastructure nécessaire pour obtenir ces résultats est formidable. La visibilité qu'Illumio fournit, dans le cadre de la politique du moteur de calcul de tous les flux d'applications, vous en avez la base, puis vous pouvez y ajouter chacun de ces composants dans le cadre d'un parcours stratégique. Donc, selon moi, l'état final est Zero Trust. Il y a un chemin pour y parvenir. Le parcours ou la feuille de route pour ce voyage correspond exactement au temps que nous passons avec nos clients pour les aider à comprendre chacune des étapes de ce parcours. C'est exactement ainsi que nous l'abordons.
22:54 Raghu Nanadakumara
Bien, et je pourrais y revenir en fait, la façon dont vous décrivez en quelque sorte le fondement de l'ensemble de la stratégie Zero Trust est la visibilité. Ensuite, vous utilisez en quelque sorte cette visibilité pour identifier les contrôles que vous devez en quelque sorte superposer afin, par exemple, de supprimer la confiance implicite dans votre environnement afin de mieux le protéger. Mais le véritable type de décision d'adopter une stratégie Zero Trust, c'est à la suite de conversations, et vous avez parlé de types de services d'évaluation, n'est-ce pas, que vous offrez en quelque sorte à un client ? Ou est-ce que l'adoption d'une stratégie Zero Trust est une stratégie à laquelle ils sont déjà attachés ? Et maintenant, je me dis : « Hé, Steve, comment puis-je m'y prendre ? »
23:38 Steve White
Excellente question, Raghu. Donc, je dirais que c'est les deux, non ? Certains clients ont atteint un certain niveau de maturité. Ils ont peut-être déployé Illumio, ils ont peut-être déployé cette gamme, mais ils n'ont peut-être pas pleinement profité de la transition vers ZTNA. Ils auraient peut-être déployé un composant SWIG en pensant, vous savez, au remplacement du VPN. Mais quand vous pensez à VPN place, vous ne remplacez pas vraiment le VPN ; vous modifiez de manière globale votre méthodologie d'accès, et le résultat en est le remplacement du VPN, mais ce n'est pas un remplacement léger pour similaire. De même, au sein de l'espace Illumio, si un client possède déjà Illumio sur place, où en est-il dans son parcours ? Ont-ils mis en place des contrôles sur site ? Est-ce qu'ils font de la surveillance dans le cloud ? Mais quelle est la prochaine étape pour parvenir à une politique cohérente entre les environnements sur site et le cloud ? Maintenant, vous configurez l'accès, vous configurez l'accès, en tenant compte de l'ensemble des exigences d'accès, et pas seulement de chaque composant individuel. « Oh, j'ai besoin de changer le pare-feu de ma rampe d'accès au cloud. Et je vais avoir besoin que le contrôle d'accès soit modifié dans mon instance AWS. Et oh, au fait, je vais aussi devoir imposer un changement sur site », non ? Vous savez, il y a cinq ou six points différents là-dedans dans cet exemple. C'est vraiment la proposition de valeur. La sortie ici est cette ZTNA que vous pouvez approvisionner de manière omniprésente et la rendre fluide, dès le départ. Mais vous devez faire la planification à l'avance. Et vous devez intégrer tous les éléments dépendants pour être en mesure d'y parvenir. Cela prend parfois du temps. Parfois, il faut ralentir pour aller plus vite, il faut le faire. Mais l'une des choses sur lesquelles nous essayons de nous concentrer est d'aider les clients à continuer à maintenir leur tarif et leur rythme pendant qu'ils travaillent sur ce parcours. Parce que l'opportunité d'arrêter réellement de faire ce qu'ils font n'est pas une option. Donc oui, c'est vraiment la partie automatisation. Tout comme les réseaux, les gens ont parlé d'automatisation, et les réseaux et, en réalité, ils stagnent assez. Ils ne changent pas souvent. S'ils évoluent considérablement, il y a probablement un défi de conception ou d'architecture à relever qui est à l'origine de ce besoin, n'est-ce pas ? Parce que tu ne devrais vraiment pas avoir à faire ça.
25:50 Raghu Nanadakumara
Absolument Et ils sont juste là. Si vous avez regardé d'autres épisodes de podcast, je commence à sourire de plus en plus lorsque j'entends les invités dire des choses que j'ai l'impression de prêcher depuis longtemps. Et en quelque sorte, et ça me rend très heureuse. Alors, je voudrais revenir sur certaines choses que tu viens de dire, non ? Je pense que la première chose qu'il est vraiment important que les auditeurs comprennent, c'est que vous pouvez disposer de technologies qui vous aident à atteindre, essentiellement une posture Zero Trust. Mais ce n'est pas parce que vous les avez que vous êtes vraiment sur la voie du Zero Trust. Et je pense à ce que vous voulez dire à propos de « Oh, eh bien, j'ai remplacé mon VPN par une technologie ZTNA, non ? Donc, je dois le faire, je dois suivre cette voie Zero Trust. Parce que le nom de l'une de mes technologies porte le nom Zero Trust ou tout aussi bien, j'ai une technologie de microsegmentation, mais je ne fais pas vraiment de segmentation avec elle. Donc, je ne fais pas vraiment Zero Trust. » Je pense que ce que vous aimez, c'est qu'il ne s'agit pas seulement de disposer de technologies capables de le faire, mais aussi de vraiment les examiner de manière holistique et de se concentrer sur l'élaboration de politiques de sécurité qui réduisent réellement la confiance dans l'environnement. C'est vrai. Et l'autre chose que je pense, c'est que c'était vraiment important de l'envisager de manière holistique, n'est-ce pas ? Parce que cela ne peut pas être une stratégie si vous avez ensuite des stratégies différentes pour chaque petite poche de votre environnement, n'est-ce pas ? C'est vraiment votre opportunité. Je réfléchis à la manière dont je peux parvenir à une posture de sécurité beaucoup plus unifiée dans mon environnement, ce qui se fera par petits pas, d'accord, ce qui nécessitera des changements progressifs pour y parvenir, mais je dois réfléchir à la vision globale que je vise réellement. Est-ce un bon résumé ?
27:43 Steve White
Oui. 100 % ? Oui, absolument. Ce qui a été dit, l'architecture globale du réseau est un élément essentiel de cette transition entre les hubs traditionnels, les deux modèles, et vous savez, l'adoption du SD LAN. Mais en réalité, le SD LAN est activé par des services Internet de classe professionnelle. C'est la clé, non ? Vous devez, vous devez réunir ces deux éléments. Je tiens à souligner un point important concernant les personnes et les processus dont nous avons parlé tout à l'heure, Raghu ; pour ce qui est de réunir ces équipes, chacun de ces projets et initiatives autour de la ZTNA nécessite vraiment de multiples parties prenantes, vous avez le Chief Information Security Office, n'est-ce pas ? Vous avez l'équipe chargée de l'infrastructure réseau, vous avez les équipes d'ingénierie des terminaux et des ordinateurs de bureau, vous avez également les équipes cloud. Il y a plusieurs parties prenantes, chacune de ces parties prenantes ayant sa propre opinion sur la manière de résoudre le problème. Oui, mais en réalité, ils doivent tous se réunir et se mettre d'accord sur cette vision et cette stratégie. C'est vrai. Donc, je veux dire, j'ai récemment commencé à participer au groupe d'utilisateurs du réseau ouvert, ONUG. Lors de la session de l'ONUG en octobre dernier, cette question a fait l'objet d'une discussion importante : les équipes chargées de la cybersécurité et des réseaux devraient-elles se réunir et fusionner ? Ma réponse à cette question serait oui ; c'est le changement fondamental. Vous commencez à adopter une ZTNA et un modèle de prestation basé sur le principe selon lequel vous allez réunir ces équipes, elles ne peuvent plus fonctionner en silos. Et c'est presque l'aspect le plus difficile. Mais la technologie va le forcer, elle va faire en sorte que la conversation ait lieu. Et je pense que de plus en plus d'entreprises commencent à réfléchir à la transformation de leur organisation et à la modernisation de la façon dont elles sont structurées pour adopter ces technologies, car les modèles traditionnels ne fonctionneront pas. C'était en grande partie ce dont Gartner avait parlé lors de sa conférence de décembre dernier.
29:48 Raghu Nanadakumara
Oui, je trouve que c'est un excellent point parce que de nombreux autres invités ont écrit le livre de George Finney, Project Zero Trust. John Kindervag, qui est l'évangéliste en chef d'Illumio et qui est en quelque sorte l'un des pères fondateurs de Zero Trust, explique que lorsque cela est fait correctement, il ne s'agit pas simplement d'une transformation de la façon dont vous gérez la sécurité, mais aussi d'une véritable transformation de la façon dont vous vous organisez. C'est vrai. Et pour y parvenir, comme vous l'avez si éloquemment dit, tout le monde doit être impliqué dans ce processus. Hein ? Il ne s'agit pas seulement de l'équipe de sécurité, mais aussi de l'équipe réseau. Il s'agit de l'équipe chargée de l'infrastructure. C'est l'équipe chargée de la candidature, non ? C'est votre équipe de gestion des risques, comme tous les services de votre organisation d'une manière ou d'une autre, qui est impliquée dans cette affaire, disons que le RACI régit en quelque sorte la façon dont vous le faites. Et c'est la seule façon de mener une transformation durable. Mais c'est comme ça que tu vois les choses ?
30:47 Steve White
Oui, à 100 % ? Oui, exactement. Exactement Bon travail de résumé.
30:52 Raghu Nanadakumara
Donc, je pense que c'est comme passer à autre chose. Et vous avez parlé des possibilités qu'offrent l'IA et l'IA générative. En tant que professionnel de la sécurité des réseaux, n'est-ce pas, et si l'on met Zero Trust de côté pendant une seconde, quelles sont les choses passionnantes que l'IA va apporter à notre discipline ?
31 h 15 Steve White
Je pense que c'est une période très excitante, très tôt, peut-être que certaines personnes pourraient en avoir peur, comme si cela remplacerait leur emploi, ou si elles allaient être remplacées, comme un véhicule autonome, n'est-ce pas ? Mais pensez au niveau d'administration nécessaire à la gestion de DevSecOps au sein de l'organisation ou au niveau d'effort nécessaire pour créer des modèles, des configurations et des normes et les mettre à la disposition de l'équipe NetSecOps, n'est-ce pas ? Grâce à l'automatisation de l'IA et de l'IA générative, vous automatiserez toutes les fonctions qui ne sont généralement jamais réalisées, n'est-ce pas ? Tout le monde parle de l'existence de SOP, de l'automatisation de la réactivité en cas d'incidents et d'événements et de l'amélioration de la disponibilité finale, car, avouons-le, en cas de défaillance informatique, elle échouera toujours immédiatement. Tout le monde s'attend à une disponibilité de cinq neuf. Mais l'essentiel est que lorsqu'un problème survient, il s'agit de la rapidité avec laquelle vous pouvez y répondre, de l'efficacité avec laquelle vous pouvez y répondre et de la manière dont vous minimisez l'impact commercial grâce à une conception appropriée de l'infrastructure. L'IA dans l'IA générative va entraîner des améliorations significatives dans ces domaines. Et cela permettra aux équipes qui s'enlisent et gèrent cette administration de se concentrer sur des tâches à plus forte valeur ajoutée. Et c'est comme des trucs super excitants. Et puis, vous savez, je suis au courant de quelques startups différentes qui ont vu le jour et de certains partenariats avec des amis à moi qui créent ces startups, et ils élaborent des modèles exacts autour de ce dont je parle, qui aident les grandes entreprises à améliorer leur efficacité dans ces domaines sans nécessairement avoir à les créer elles-mêmes. Bien, parce que l'autre élément que j'aimerais partager aussi, c'est que l'approche basée sur le bricolage pour certaines choses n'a tout simplement aucun sens, n'est-ce pas ? Donc, en tant que conseiller stratégique, je vais également y ajouter une autre entreprise pour laquelle je suis conseiller stratégique, Blue Air. Blue Air est la seule plateforme d'automatisation de réseau intelligente, low-code et no-code du marché, et elle élimine l'approche basée sur le bricolage. Améliore de manière significative l'efficacité d'une organisation. Et les réseaux sont plutôt stagnants, non ? Et ils sont également très complexes. Ce n'est pas comme automatiser un serveur ou une application. Et tu en as 6 000. Vous avez 3 à 4 000 composants individuels qui ont des attributs uniques. Les automatiser nécessite de la personnalisation et de la création de scripts ; si vous voulez le faire, le fait de le faire vous-même est le ciment qui élimine toute cette complexité. C'est comme l'une des premières étapes de votre parcours vers l'activation de l'IA et l'approbation de l'efficacité, car maintenant que vous avez recruté tous ces ingénieurs qui se concentrent sur l'administration quotidienne, vous avez éliminé cela en introduisant l'automatisation, vous pouvez désormais leur permettre de se concentrer réellement sur des tâches à plus forte valeur ajoutée. IA, IA générative, amélioration continue, nouvelles technologies, adoption du Zero Trust. Il s'agit de projets et d'initiatives de grande envergure. Et vos équipes actuelles sur le terrain n'aimeraient rien de plus que de participer à ces projets et initiatives. Ils n'aimeront rien de plus les apprendre, car cela deviendrait alors difficile pour l'entreprise dont ils font partie, car ils apprennent de nouvelles choses. Cela les aide à faire évoluer leur CV et à relever des défis, n'est-ce pas ? Personne ne veut continuer à faire la même chose encore et encore. Mais je pense que de nombreux responsables des opérations d'infrastructure éprouvent de grandes difficultés dans ce domaine parce qu'ils ont un pied, vous savez, sur le quai et un pied dans le bateau et ils sont sur le point de tomber à l'eau parce qu'il est impossible de les garder tous les deux. Je ne peux pas me maintenir à flot sur les deux en même temps.
35:10 Raghu Nanadakumara
Au moment où vous dites cela, je visualisais cette scène exacte, donc c'est vraiment drôle. Mais je suis d'accord. Et en fait, je pense que c'est l'élément clé des possibilités que l'IA de développement offre réellement, je pense, n'est-ce pas ? Je suis vraiment d'accord : « Comment est-ce que cela va me permettre de faire face à un grand nombre de ces tâches banales que je fais, essentiellement, pour garder les lumières allumées qui, en termes de valeur réelle, ne constituent pas une valeur ajoutée ? » Ils sont en quelque sorte en train de me ramener à zéro, non ? Comment puis-je m'occuper de ces tâches qui me ramènent à zéro et les déléguer, qu'il s'agisse de réduire les pannes sur mon infrastructure, simplement en faisant preuve de beaucoup plus de diligence en termes de déploiements de configuration, n'est-ce pas, ou en rendant ces domaines de défaillance beaucoup plus nombreux, beaucoup plus robustes, et d'une certaine manière, et j'espère que ce n'est pas un trop grand pas, n'est-ce pas ? Je pense en fait que zéro, comme l'adoption de Zero Trust, confère à bien des égards aux organisations le même niveau de résilience dans leur infrastructure, dans la mesure où vous essayez de créer le plus petit type de domaines de défaillance possible, mais de manière très dynamique, n'est-ce pas ? Donc, en gros, même si vous avez une panne après une panne, je veux dire, il peut s'agir d'une mauvaise configuration. Mais il pourrait s'agir d'un attaquant, non ? Je veux dire, en cas d'échec, il est parfois très difficile de faire la différence entre ces deux événements parce que l'inattendu se produit, mais en mettant en place une approche de sécurité, qui limite vraiment les limites, l'abus de privilèges, d'accord, vous êtes en mesure de contenir cela, ce qui signifie que votre équipe de sécurité, au lieu d'être submergée par un incident qui devient vraiment incontrôlable, peut se concentrer sur l'extinction d'un incendie beaucoup plus restreint, tout en continuant à trier ou s'occupent du reste de leurs tâches à valeur ajoutée. Et je pense, j'espère qu'il n'y aura pas d'analogies, non ? Mais je pense que ce type d'IA fournit, à bien des égards, la même chose que Zero Trust fournit du point de vue de la sécurité.
37:14 Steve White
C'est absolument le cas. Et vous avez ce qu'il y a de vraiment cool là-dedans, n'est-ce pas, l'IA, l'intelligence artificielle, la pensée humaine, l'utilisation des données. Pensez à tous les différents points de données qui existent, n'est-ce pas ? Vous avez Illumio, vous avez des journaux, vous avez Splunk et tous les journaux de tous ces différents systèmes. Pour pouvoir utiliser ces données dans le cadre d'une méthodologie traditionnelle, vous devez disposer d'un moyen de les transférer dans une base de données, puis de créer un script permettant d'extraire les données, et vous aurez besoin d'un expert en la matière pour le faire. Et c'est : « Oh mon dieu, ça va prendre des semaines pour le faire. » Vous savez, l'un des défis auxquels sont confrontés les responsables de l'infrastructure et des opérations est d'obtenir les données dont ils ont besoin pour prendre une décision sur la marche à suivre. L'IA élimine réellement la complexité de cette analyse et aide, vous savez, un ingénieur qui n'est peut-être pas en mesure de créer un script à obtenir les informations dont il a besoin pour prendre une décision quant à sa destination. C'est vrai. Il s'agit donc de l'ingénierie et de la fourniture de solutions. Toujours dans le domaine des opérations, nous ne parlons que des opérations de développement de la SEC, avec des SOP bien définies pour différents incidents, mais il est impossible d'avoir une facture de SOP pour chaque incident. Un rançongiciel de cybersécurité Oh, mon Dieu. Lors d'un événement comme celui-ci, nous faisions souvent des exercices sur table, nous nous testons et nous nous préparions. Mais il y a toujours des nuances ici. L'IA contribue à apporter une transparence totale aux points de données nécessaires pour comprendre exactement ce qui s'est passé et y réagir, réduisant ainsi le temps nécessaire pour réagir car, comme je l'ai mentionné plus tôt, il s'agit de réduire les risques, de réduire l'impact et de maintenir l'activité. C'est vrai. Ces éléments dépendent donc de la façon dont vous réagissez et l'IA jouera un rôle très, très important à cet égard. Et puis l'IA générative, plus spécifiquement adaptée à l'environnement de votre entreprise, bénéficiera également d'une plus grande transparence.
39:26 Raghu Nanadakumara
Oui, absolument. Je pense à une chose que vous venez de dire à propos de la réduction des risques, de la réduction de l'impact, de la réduction des coûts, n'est-ce pas ? Je pense que c'est très intéressant, parce que le changement que j'ai observé du point de vue de la hiérarchisation des priorités pour les organisations est, je pense, dû au fait que les cyberattaques ciblent de plus en plus la stabilité et la disponibilité des applications, des services et de l'infrastructure. Je pense qu'il y a certainement eu un changement dans notre façon de concevoir la triade de sécurité de l'AIC ou de la CIA, en accordant une grande importance au pilier de disponibilité de cette triade. C'est vrai. Et je pense que c'est en quelque sorte l'augmentation, je dirais que le terme cyber-résilience est désormais en quelque sorte omniprésent. Et je pense que c'est parce que je me concentre maintenant sur la façon dont je limite les dégâts, n'est-ce pas, et en donnant la priorité au fait que, bien entendu, l'intégrité et la confidentialité ne sont pas importantes. Mais la disponibilité, qui a toujours été un peu reléguée au second plan, passe aujourd'hui au premier plan en tant que priorité des cyberpraticiens.
40:44 Steve White
Et cela renforce vraiment, du moins dans mon esprit, l'importance de réunir ces deux équipes. Parce que nous entretenons peut-être toujours de solides relations de collaboration. C'est-à-dire que j'ai toujours entretenu de solides relations de collaboration au sein de mon entreprise et des entreprises précédentes dans le domaine de la cybersécurité. Et nous étions toujours tenus au courant de chaque incident majeur qui se produisait, car ils apportaient toujours leurs connaissances et leur expérience en la matière et étaient en mesure de contribuer à le contrôler ou à le contenir. Mais l'équipe du réseau a également joué un rôle déterminant à cet égard, car c'est elle qui pourrait savoir que c'est peut-être une meilleure façon d'implémenter ce contrôle dans l'environnement. Mais Zero Trust apporte ici un tout autre niveau de contrôle, à savoir la microsegmentation des stéroïdes. Hein ? Maintenant, vous n'êtes pas là ; vous ne pensez pas, vous savez, aux modèles de microsegmentation traditionnels ; notre objectif est de créer un fossé autour de la charge de travail. Maintenant, évidemment, vous aurez toujours ces commandes de base. Mais maintenant tu es avec Zero Trust. Il est uniquement basé sur un nombre limité d'utilisateurs ayant accès à ces charges de travail. Et c'est beaucoup plus facile à gérer, et vous ne recommencerez pas, en vous appuyant sur des approches basées sur l'isolement vieilles de 20 ans qui utilisent les aspects physiques du réseau et de la sécurité. De le faire vraiment dans le domaine des logiciels maintenant, ce qui est vraiment cool. Il semble que le réseau et la sécurité aient rattrapé leur retard par rapport à la situation d'origine de tous les autres. Oui, du point de vue des capacités.
42:16 Raghu Nanadakumara
Tout à fait exact. Et je pense qu'en fait, lorsque vous le faites, vous avez la capacité avec Zero Trust, et quel que soit le pilier sur lequel vous vous concentrez dans le cadre du type Zero Trust, vous avez la capacité d'instrumenter une politique nettement plus granulaire et plus dynamique d'une manière bien plus simple que ce que vous pourriez jamais faire avec les approches traditionnelles, ce qui semble contradictoire. Mais c'est vrai si tu le fais correctement.
42:52 Steve White
Les acteurs de la menace auront le même accès au droit, ils auront accès à l'IA, à l'IA générative, ils utiliseront l'automatisation pour améliorer leur efficacité. C'est grâce à un modèle basé sur Zero Trust que vous pouvez garder une longueur d'avance, n'est-ce pas ? Tout dépend de ce que nous faisons aujourd'hui. Et comment livrons-nous aujourd'hui ? Et ensuite, comment allons-nous ? Comment planifions-nous l'avenir ? Sommes-nous prêts à faire face à l'inconnu qui va se produire dans le futur ? C'est ce à quoi jouent réellement ces technologues. C'est pourquoi il est important pour les entreprises de l'examiner sous l'angle de la sécurité, de l'infrastructure physique et des applications qui l'entourent, et d'adopter une approche globale en matière de politiques, quel que soit l'emplacement des charges de travail. Parce que la plupart des entreprises vont se retrouver dans un modèle hybride où elles vont avoir des charges de travail sur site, vous allez avoir des charges de travail dans le cloud et, et une grande partie de la sélection de produits est un peu religieuse et politique, vos employés ont leurs, vous savez, ce qu'ils aiment, et d'autres ont des choses qu'ils aiment. En fin de compte, je pense que tout le monde est d'accord pour dire que la cohérence des politiques et de l'administration améliore l'efficacité des équipes chargées des opérations d'infrastructure et la sécurité, pour gérer cela. Et la disponibilité, c'est tout ce qui compte. C'est le résultat, non ? Parce qu'en fin de compte, si ce n'est pas fait correctement, c'est vraiment l'impact de la disponibilité.
44:19 Raghu Nanadakumara
Oui, absolument. Tu l'as si bien dit, non ? Parce qu'en fin de compte, en tant que propriétaire d'une application, peu m'importe où celle-ci est exécutée, n'est-ce pas ? Je veux juste être sûre que lorsque je veux l'exécuter, je suis capable de le faire fonctionner et qu'il est doté de toutes les mesures de sécurité nécessaires. Et je pense que c'est vraiment la raison d'être de Zero Trust. L'un des objectifs est de pouvoir garantir que vous êtes en mesure d'exécuter une application avec le bon niveau de sécurité, quel que soit l'environnement, en toute confiance et uniquement à ceux qui devraient pouvoir y accéder ou à des choses, comme les autres acteurs qui devraient pouvoir y accéder et qui peuvent y accéder. C'est en fin de compte ce qu'est Zero Trust. Il ne s'agit pas de l'infrastructure que vous gérez. Hein ? Il ne s'agit pas d'environnement ou de technologie ; il s'agit essentiellement de pouvoir le garantir au propriétaire de l'application.
45:11 Steve White
J'aime bien ce que tu viens de dire, je veux juste double-cliquer dessus pendant une seconde. L'élément clé ici est de créer la séparation entre l'infrastructure physique et le contrôle. Ouais. Parce que si tout dépendait de l'exécution ou de la livraison des modifications architecturales au sein de la topologie physique, des dépenses énormes, beaucoup de temps, et l'entreprise en a besoin dès maintenant. Hein ? Donc rien de tout cela ne marchera, non ? Cela crée donc vraiment cette couche d'abstraction entre votre lien entre les infrastructures traditionnelles traditionnelles en tant que superposition, si vous voulez. Je ne suis pas sûr de savoir ce qu'est une superposition, mais je ne sais pas si c'est le bon terme pour ce dont nous parlons. Je vais m'en servir quand même. Vous savez, c'est comme une superposition au-dessus de cet environnement au-dessus de l'environnement physique. Et c'est une solution rapide pour, vous savez, même pour les parties de votre environnement qui pourraient se trouver dans la vie, vous savez, de nombreuses entreprises sont aux prises avec la gestion des patchs de fin de vie, de nombreux défis. Et toutes ces choses prennent du temps, non ? Et vous ne pensez qu'au nombre de fenêtres de maintenance dont disposent les grandes entreprises. Et puis, si vous travaillez dans le secteur de la santé, vous n'avez même pas de fenêtres de maintenance, n'est-ce pas ? Par exemple, vous ne pouvez rien retirer parce que vous ne pouvez pas le dire, vous ne pouvez pas le dire à un médecin, il ne peut pas faire ce qu'il doit faire, parce que je fais de la maintenance là-dessus. Ça ne marchera pas.
46:34 Raghu Nanadakumara
Oui, j'aime bien ça. Parce que vous êtes en train de le recadrer, vous le redéfinissez du point de vue de savoir quoi, comment je peux appliquer cette approche et où elle va m'apporter des avantages. Il présente de véritables avantages, non seulement en termes de modernité en termes de transformation et de modernisation, mais également en termes de pertinence pour votre infrastructure existante. Et j'adore le mot que tu as utilisé, superposition. Et j'adore ça parce que vous faites abstraction de tout ce qui limite ce que vous pouvez faire, n'est-ce pas, à savoir l'infrastructure, les contraintes d'infrastructure, ce que vous pouvez faire. Et maintenant, si vous êtes capable de passer au niveau supérieur et de dire : « En fait, je ne vais pas m'inquiéter pour l'infrastructure. Il peut faire ce qu'il doit faire et utiliser n'importe quelle technologie, mais je vais améliorer cela et modifier mon contrôle pour me concentrer au plus près de ce que j'essaie de protéger, afin d'avoir beaucoup plus de flexibilité et de capacités pour être cohérent en matière de couverture et d'améliorer la posture de sécurité que j'ai toujours voulu adopter. »
47:43 Steve White
Oui, à 100 %, et juste une prise pour Illumio. Ils font ça depuis un moment, non ? Je veux dire, l'un des aspects les plus intéressants de cette technologie lorsque je l'ai découverte, il y a sept ou huit ans, c'est la simplicité de la déployer sur chaque charge de travail de l'environnement, d'établir un ensemble de balises qui créent de la visibilité sur les flux associés à ce passage à l'exécution des politiques, à la fois en termes de surveillance et de confinement. Et faites-le à grande échelle. Cette simplicité repose vraiment sur cette simplicité. Vous pouvez superposer le niveau de confinement et de contrôle suivant, à savoir du ZTNA sur le tissu déjà en place. C'est super cool, non ? Et c'est vraiment la vague du futur, à mon avis, qui vous éloigne fondamentalement du contrôle d'accès traditionnel avec pare-feu au profit d'un véritable accès basé sur des politiques. Et vous ne gérez pas cet autre pare-feu, n'est-ce pas ? Et c'est simplement le concept de pare-feux comme zéro qui vaut pour les réseaux sans frontières. J'entends ce terme depuis de très nombreuses années. Et je pense que pour la première fois que nous y sommes réellement, je pense que ce sont les technologies qui permettent réellement cela. Et je suis un apprenant visuel, quelqu'un qui pense aux choses de manière logique, et je peux le voir comme si dans mon esprit, je pouvais voir que ce véritable réseau sans frontières, dont une entreprise ne dispose pas vraiment, ne gère même plus son propre périmètre. Ce périmètre se trouve dans le cloud, il est contrôlé par l'application. Et peu importe la provenance des utilisateurs ; vous n'avez pas à vous soucier de créer une zone de confiance entre une instance cloud et une instance sur site et de gérer la politique de pare-feu entre les deux. C'est vraiment super excitant. Et la clé de tout ce succès est d'avoir le bon plan, d'avoir la bonne transparence dès le point de départ et de le structurer au fil du temps afin qu'il puisse être adopté en tenant compte de la volonté de prendre en compte les risques associés au changement et au fonds de capacité. Parce que c'est l'élément le plus important ici, ce sont les aspects financiers. La manière dont ces aspects liés aux coûts génèrent de la valeur commerciale, ce que cela signifiait en termes de transparence pour les dirigeants de la suite C sur ce qu'ils obtiennent pour leurs dépenses. C'est énorme, non ? Parce qu'en fin de compte, c'est pourquoi ils disposent d'équipes chargées de l'infrastructure et des opérations. C'est pourquoi ils ont des technologues, les technologues s'inquiètent à ce sujet, les dirigeants de la suite C s'inquiètent pour l'entreprise. Et tous ceux qui travaillent ensemble obtiennent ce résultat. C'est un truc plutôt cool. Je veux dire, c'est vraiment une période formidable dans l'industrie, et je suis très enthousiaste et passionnée par ce sujet. Et avoir beaucoup de plaisir en ce moment à avoir des conversations comme celle-ci, à faire partie de Executive Advisory et à passer du temps à discuter avec d'autres clients et à aider les clients à résoudre ces problèmes, c'est vraiment une bonne chose.
50:54 Raghu Nanadakumara
Eh bien, je veux dire, Steve, tu viens de nous donner une super phrase pour terminer. Zero Trust fournit à l'ensemble de l'organisation une transparence quant à sa posture de sécurité, à sa maturité et à ses dépenses. Ainsi, lorsqu'il est adopté et mis en œuvre correctement, il crée essentiellement de la valeur pour une organisation et facilite la modernisation. Je pense que c'est l'essentiel de votre message d'aujourd'hui.
51:28 Steve White
100 %. Ouaip Bien dit, bien dit.
51:32 Raghu Nanadakumara
Steve, cela a été un réel plaisir d'avoir cette conversation avec vous afin de vraiment tirer parti de votre expérience et de votre expérience technique réelle et pratique sur la façon dont vous transmettez cela à vos clients aujourd'hui. Et cette conversation a été tellement révélatrice. C'est formidable d'avoir des personnes très techniques comme vous sur ce podcast. Alors, merci beaucoup de vous joindre à nous.
51:58 Steve White
De rien, merci beaucoup. Merci beaucoup de m'avoir invitée. Et j'adorerais revenir pour une autre conversation dans le futur. Nous parlerons plus en détail de certains des résultats que nous sommes en train de réaliser.
52:09 Raghu Nanadakumara
Je suis sûr qu'avec tous les changements qui se produisent dans le paysage technologique, dans le paysage de la sécurité. Je suis sûr que nous en reparlerons dans des mois. Nous aurons bien d'autres sujets de conversation. Alors oui, j'adorerais ça.
52:22 Steve White
Fantastique. Super. Merci beaucoup pour le temps que vous m'avez accordé. J'apprécie vraiment.
52:25 Raghu Nanadakumara
Merci, Steve.