Nouvelle étude : étude sur le coût mondial des rançongiciels. Découvrez ce que les breaches vous coûtent.
Télécharger le rapport

Vous avez été victime d'une Breach ?

|
Nous contacter
|
+1 855 426 3983
A logo with accompanying text "Listen on Spotify"A logo with accompanying text "Listen on Apple Podcasts"
L'histoire de Zero Trust Origin
Season Two
· Episode
1

L'histoire de Zero Trust Origin

Bienvenue sur The Segment ! Lors de la première de la saison 2, l'animateur Raghu Nandakumara s'entretient avec John Kindervag, évangéliste en chef d'Illumio et « parrain de Zero Trust », pour découvrir l'histoire de John sur les origines de Zero Trust, où les gens se trompent dans leur parcours Zero Trust, la dynamique fédérale Zero Trust, et bien plus encore.

Transcription

0:00:00.0 Raghu Nandakumara : J'ai dit que toutes les interfaces devraient avoir la même confiance et qu'elle devrait être nulle. Et c'est vraiment de là que vient Zero Trust. Il s'agit simplement d'une opposition à la façon dont nous construisions des pare-feux, ce qui a eu une incidence sur la politique et cela n'avait aucune raison.

0:00:18.5 Raghu Nandakumara : Nous sommes de retour avec une nouvelle saison de The Segment, un podcast sur le leadership de Zero Trust. Je suis votre hôte Raghu Nandakumara, responsable des solutions industrielles chez Illumio, la société de segmentation Zero Trust. Pour lancer la deuxième saison, je suis rejoint par John Kindervag, un homme qui n'a pas besoin d'être présenté dans le monde de Zero Trust. John est largement considéré comme l'un des meilleurs experts mondiaux en cybersécurité. Avec plus de 25 ans d'expérience en tant que praticien et analyste du secteur, il est surtout connu pour avoir créé le modèle révolutionnaire Zero Trust en matière de cybersécurité. Aujourd'hui, en tant qu'évangéliste en chef chez Illumio, John est chargé d'accélérer la sensibilisation et de favoriser l'adoption de la segmentation Zero Trust. Aujourd'hui, John se joint à nous pour parler de l'histoire des origines de Zero Trust, des erreurs commises lors de leur parcours Zero Trust, de ce que l'IA et le ML signifient pour l'avenir de la sécurité, et bien plus encore.

0:01:18.1 Raghu Nandakumara : C'est The Segment. Il s'agit d'un podcast sur le leadership de Zero Trust. Et pour lancer la deuxième saison, je pense qu'il est normal que nous ayons comme invité d'ouverture, le parrain de Zero Trust. Je dirais que la raison pour laquelle nous avons même cette conversation dans ce podcast est due à M. John Kindervag, évangéliste en chef d'Illumio. John, bienvenue.

0:01:45.2 John Kindervag : Bonjour, Raghu. C'est toujours un plaisir de discuter avec vous et j'ai hâte de participer à ce podcast en particulier. Il s'agit du podcast le plus important sur Internet.

0:01:54.5 Raghu Nandakumara : Absolument Et je pense que son importance vient de monter d'un cran, John, avec votre présence. Bien entendu, nous parlerons de Zero Trust dès que vous travailliez chez Forrester en temps voulu. Mais avant cela, tout le monde aime une bonne histoire d'origine et vous avez, je dirais, un surnom ou un titre génial en tant que parrain de Zero Trust. Alors, comment le parrain de Zero Trust est-il devenu le parrain de Zero Trust ?

0:02:25.1 John Kindervag : Accidentellement, ce n'était qu'un pur accident. Je veux dire, j'ai eu beaucoup d'emplois. J'ai grandi dans une ferme et je travaille donc depuis que je suis tout petit. Et mon premier emploi rémunéré, parce que quand tu travailles quand tu vis dans une ferme, tu as beaucoup d'emplois, mais tu n'es pas payé, tu es nourri. Mais mon premier vrai travail a été celui de nettoyeur de machines à écrire et d'apprenti réparateur. C'est une carrière que je suis heureuse de ne pas avoir retenue parce qu'elle n'existe plus. Hein ? Une personne au monde a besoin d'un réparateur de machines à écrire, et c'est Tom Hanks. Il a en fait son propre réparateur de machines à écrire car il collectionne toutes sortes de machines à écrire vintage. Donc, je pense que la vie est l'une de ces choses où si vous partez en voyage, vous finissez par aller dans des endroits différents. J'ai donc longtemps été ingénieur de diffusion parce que j'aimais la technologie et c'était la chose la plus technologique de la planète.

0:03:20.4 John Kindervag : En ce qui concerne les liaisons par satellite, j'ai diffusé les émissions par satellite de l'attentat d'Oklahoma City pour Reuters et tous les fils d'actualité internationaux. À Londres, j'ai diffusé les chaînes Sky et tout ce genre de choses. Et vous commencez à vous impliquer de plus en plus dans la technologie, puis le monde informatique est apparu. Et j'ai commencé à faire de l'animation par ordinateur. Et ce qui était amusant, c'était de construire des ordinateurs plutôt que de les animer. J'ai donc commencé à construire moi-même des ordinateurs vraiment haut de gamme. Et puis ce truc appelé Doom est sorti. Tu te souviens du jeu vidéo Doom ?

0:04:03.9 Raghu Nandakumara : J'ai perdu de nombreux après-midi au lycée à jouer à Doom, puis je suis tombée malade à cause du mal des transports lié aux graphismes 3D de l'époque.

0:04:13.2 John Kindervag : Oui, c'était donc le premier jeu à prendre en charge les fonctionnalités multijoueurs sur un réseau. J'ai donc convaincu mes supérieurs que nous avions besoin d'un réseau pour transférer des fichiers pour l'animation vidéo. Mais en réalité, les fichiers étaient encore trop volumineux, nous avons dû les transférer sur des disques durs. Il ne l'a jamais su. Mais j'ai appris à créer des réseaux Ethernet pour pouvoir jouer à Doom. Je dois donc tout mon succès, je suppose, aux gens de Grand Prairie d'id Software qui ont créé Doom et découvert comment faire du jeu multijoueur. Ce n'était pas en ligne, bien sûr, la fonctionnalité en ligne est arrivée plus tard. Mais il y aurait des fêtes foncières où les gens se réuniraient, apporteraient des ordinateurs et joueraient à Doom, puis à Quake et à d'autres choses. Vous voyez donc comment la technologie fait avancer les choses d'une manière ou d'une autre. En fait, je discutais avec un gars de la vieille école de Cisco et il m'a dit : « Vous n'imaginez pas la quantité de code que nous avons dû mettre dans iOS juste pour soutenir les Doom parties qui se déroulaient après le travail dans des entreprises du monde entier. » Nous pouvons donc remercier Doom pour les nombreuses avancées en matière d'ordinateurs et de réseaux et, en fin de compte, de cybersécurité.

0:05:32.7 Raghu Nandakumara : Alors, comment êtes-vous passé à la mise en réseau et ensuite, quelle a été la progression entre le passage à la mise en réseau et à la sécurité des réseaux ?

0:05:41.7 John Kindervag : Lorsque j'ai commencé à passer de l'ingénierie de diffusion à la mise en réseau, personne ne voulait faire de la sécurité. Cela a été pensé non seulement après coup, mais pourquoi voudriez-vous le faire ? L'avenir réside dans le routage et la commutation. C'est là que se passent toutes les choses passionnantes. Et je n'ai pas trouvé cela particulièrement excitant. Et quelqu'un a dit : « Nous ne pouvons trouver personne pour prendre notre poste de sécurité, installer des pare-feux, etc. » Les gens pensaient que c'était stupide. Pourquoi en aurais-tu besoin ? Eh bien, je vais essayer ça. Il s'agit donc simplement d'être là, de trouver une opportunité et de simplement dire oui quand quelqu'un avait besoin de faire quelque chose. J'essaie toujours de dire oui, sauf si c'est impossible à cause du temps ou pour quelque chose comme ça. Mais vous voulez essayer les choses et voir où cela va fonctionner et être curieux. J'étais donc très intéressée par ce qu'on appelle la sécurité, qui comportait en fait quelques produits dotés d'un antivirus et de pare-feux.

0:06:48.2 John Kindervag : Et c'est tout. Et le lancement du processus d'installation de pare-feux a vraiment conduit à Zero Trust. Parce que dans la technologie des pare-feux, il existait un concept de modèle de confiance dans lequel Internet se trouvait sur une interface non fiable et l'interface allant au réseau interne était fiable. En raison de cette relation de confiance, vous n'aviez pas besoin d'une déclaration de politique pour déplacer le trafic du réseau interne ou sécurisé vers le réseau externe ou non fiable. Et j'ai dit : « C'est insensé. Les gens vont exiler des données d'ici. » Et ils ont dit : « Non, ils ne le feront pas. Tu ne peux pas. » Donc, je le publiais par règle et j'aurais alors des problèmes. Enlevez-le. Ce n'est pas ainsi que le vendeur dit que c'est censé se faire. Et j'essaie d'expliquer ce que nous essayons d'arrêter. Et j'ai dit que toutes les interfaces devraient avoir la même confiance et qu'elle devrait être nulle.

0:07:40.8 John Kindervag : Et c'est vraiment de là que vient Zero Trust ; il s'agit simplement d'une réaction à la façon dont nous construisions des pare-feux, ce qui a eu une incidence sur les politiques. Et il n'y avait aucune raison à cela. Je connais la personne qui a créé ce modèle de confiance et il était arbitraire. Il vient de choisir le terme confiance dans son garage lorsqu'il a construit une NAT Box, non ? Donc, les gens ne pensent plus à Nating parce que c'est tellement automatisé. Mais à l'époque, transformer une adresse RFC 1918 en adresse routable était une tâche incroyablement complexe. Et un gars que je connais sur la côte ouest a créé un logiciel et il l'a donné à un de ses amis qui a créé une technologie pour NAT. Puis ce type l'a vendu à une grande entreprise et il est devenu l'un des premiers pare-feux. Et c'est ce modèle de confiance que nous combattons toujours 25 ou 30 ans plus tard, car il s'agit de l'un de nos plus gros problèmes.

0:08:42.5 Raghu Nandakumara : J'adore la façon dont tu décris ça, non ? Et ce genre de moment où l'on dit presque une ampoule, ou un moment de bon sens qui nous dit : pourquoi faisons-nous implicitement confiance à ce qui se trouve d'un côté du pare-feu au lieu de dire que l'autre n'est pas arbitrairement fiable ? Je voudrais te poser une question. Toute cette sorte d'approche de sécurité qui consiste à faire confiance, mais à vérifier, ou en quelque sorte comme vous voulez le résumer, n'est-ce pas ? C'est en quelque sorte le fondement de l'évolution de nombreuses stratégies de sécurité, du moins jusqu'à ce que Zero Trust soit conceptualisé et adopté. Mais quel était le fondement de cette approche « faire confiance mais vérifier » et le montant des investissements qui y ont été consacrés pour la maintenir ?

0:09:28.4 John Kindervag : Eh bien, la réalité, aussi étrange soit-elle, est que dans les années 1980, le grand expert en cybersécurité Ronald Reagan a utilisé ce terme dans son discours avec Mikhaïl Gorbatchev. Il a dit qu'ils signaient, je crois, un traité de prolifération nucléaire ou quelque chose comme ça. Et il a dit que nous allons nous conformer à ce vieux proverbe russe. Et puis il prononce le proverbe russe en russe. Et je suis... Mon russe, je n'arrive jamais à le prononcer correctement, mais c'est quelque chose comme prouveur et je sais que prouveur et moi. Et il a dit, et cela signifie bien sûr faire confiance mais vérifier quelle en est la traduction littérale. Mais en russe, l'essentiel est que nous n'allons pas vous faire confiance dans la mesure du possible. Et c'est ce qu'il disait à Gorbatchev. Il a dit : « Très bien, oui. Nous sommes en train de signer ce traité, mais je ne vais pas te faire confiance dans la mesure où je peux te faire confiance. » Mais les gens n'ont pas regardé la trame de fond. Ils savaient : « Eh bien, Ronald Reagan l'a dit, nous devons donc le faire. »

0:10:19.5 John Kindervag : Et je me dis : « Pourquoi ? Les gens me le disaient tout le temps. Je le fais parce que Ronald Reagan m'a dit de le faire. Quoi ? Que connaît-il de la technologie ? Rien. Hein ? Et ainsi, et les choses se passent tout simplement. Et parce que personne ne l'est plus, n'est curieux, intellectuellement curieux et ne se demande pourquoi nous faisons cela ? Qui a dit ça ? Eh bien, laisse-moi regarder ce qui s'est réellement passé. Il y a un clip YouTube dessus. Tu regardes ça et tu te dis qu'il ne pense pas ce que tu penses vouloir dire. C'est donc de là que cela vient. Mais il y a tellement de choses qui deviennent sacro-saintes sans aucune raison, simplement parce que personne ne sait d'où elles viennent. Quelqu'un l'a dit une fois et personne ne le remet en question. Nous manquons vraiment de curiosité intellectuelle à l'égard de ce monde. Et cela vaut pour tout ce que j'ai dit, dont je ne me souviens probablement pas de la moitié.

0:11:15.6 John Kindervag : Mais oui, vous devez valider les choses que tout le monde dit et voir si elles sont vraies. C'est vrai. J'étais le seul à me demander : quelle est la définition de la confiance ? Et c'est très difficile à définir, car jusque dans les années 50, il n'était utilisé que dans les conversations philosophiques ou religieuses. Il s'agissait d'un terme technique pour ces deux domaines. Et j'ai dit il y a quelques années que la confiance est une vulnérabilité qui est devenue mon dicton. Et puis j'ai découvert plus tard, parce que d'autres informations ont été publiées sur Internet, qu'il y avait un certain Morton Deutsch, qui était un théoricien du travail. Et en 1958, il a dit la même chose. Je ne le savais pas quand j'ai dit que la confiance est une vulnérabilité, mais il a défini la confiance spécifiquement comme la volonté d'une personne d'être vulnérable vis-à-vis d'une autre personne. C'est ce qu'est la confiance. C'est ainsi qu'il l'a défini sur le lieu de travail.

0:12:19.6 John Kindervag : Et je pense que c'est une très bonne définition. Et cela correspond exactement à ce que j'ai essayé de dire. Je pense donc à une faille technique, selon laquelle la confiance est une vulnérabilité au même titre que le fait de ne pas avoir mis à jour votre machine. C'est comme si vous faisiez confiance à quelque chose était insensé parce que c'est un système numérique et qu'il n'a pas besoin d'une émotion humaine, de confiance, non ? C'est une émotion humaine que nous avons injectée dans les systèmes numériques parce que nous essayons de les comprendre d'un point de vue humain. Nous anthropomorphisons beaucoup de choses. Nous disons des choses comme : John est sur le réseau, Raghu et John parlent sur le réseau et ils sont tous les deux sur le réseau. Et aucun de nous n'est connecté au réseau. Nous ne sommes pas réduits en particules subatomiques, et nous n'avons pas été envoyés sur Internet public pour que nous puissions avoir cette conversation.

0:13:07.5 John Kindervag : Cette conversation est plutôt miraculeuse, non ? Je me souviens de la sortie du film 2001 is Space Odyssey, encore une fois, bien avant ta naissance. Nous regardons ça quand nous étions enfants et ils passaient un appel vidéo de l'espace à la Terre et se demandaient « Waouh, est-ce encore possible ? Un appel vidéo ? Comment cela serait-il possible ? C'était donc impossible pendant des années. Et maintenant, l'impossible, c'est notre vie de tous les jours. Et c'est insensé pendant si longtemps que nous avons assisté à autant de progrès technologiques.

0:13:44.7 Raghu Nandakumara : Alors, avant de passer à Zero Trust, n'est-ce pas ? Je voudrais juste consacrer quelques minutes de plus à la confiance. Au fil du temps, les organisations ont donc consacré beaucoup de temps et d'efforts à la création et à la maintenance d'une infrastructure fiable, n'est-ce pas ? Qu'il s'agisse du type de câblage qu'ils installent dans leurs centres de données, des périphériques réseau, de l'ordinateur qui y est connecté, du système d'exploitation et des applications qui s'y exécutent, n'est-ce pas ? Donc, essentiellement, puis les utilisateurs qui y accèdent en fin de compte. Pensez-vous que cette obsession d'essayer de maintenir la confiance a réellement entravé à la fois la productivité et la cybersécurité ?

0:14:28.9 John Kindervag : Oui, parce qu'ils deviennent complaisants. Hein ? Alors eux, j'étais en Allemagne juste avant la pandémie. Allemagne, Suisse Un endroit où l'on parlait allemand, et ils discutaient longuement en allemand de la confiance, et ils essayaient de la définir. Et ils ont trouvé un mot. Et il dit : « Oh, ça veut juste dire paresseux ». Les gens sont paresseux et ne veulent rien faire de différent. Alors, ils vont y croire, non ? Si je pense qu'il s'agit d'un environnement de confiance, je n'ai rien à y faire. Je peux être paresseux à ce sujet. Et je me souviens avoir dit cela à un CISO lorsqu'il a dit qu'il faisait confiance à Verify. J'ai dit : OK, je comprends ce qu'est la confiance, cela signifie que tu ne vas rien faire. Mais que faites-vous pour vérifier quand il a dit « faire confiance » à « vérifier » ? Et il a dit : « Oh, rien, parce que ce sont des utilisateurs de confiance. Il serait donc impoli de vérifier. »

0:15:19.5 John Kindervag : D'accord, vous ne faites absolument rien en matière de cybersécurité. C'est merveilleux à entendre. Et je l'ai vu maintes et maintes fois, où il ne se passe pratiquement rien. Et pourtant, les gens pontifient sur toutes les choses importantes qu'ils font alors qu'en fait, ils ne font presque rien.

0:15:39.9 Raghu Nandakumara : J'adore la façon dont vous venez d'exprimer que la confiance engendre la complaisance. Et adopter cette approche ne constitue en fin de compte aucun progrès en matière de cybersécurité. En fait, il peut s'agir d'une régression. Alors, parlons un peu de Zero Trust maintenant. Et pour faire référence à deux articles, je dirais les articles fondamentaux que vous avez publiés lorsque vous étiez analyste chez Forrester. Fini les centres trop compliqués et intégrez la sécurité dans l'ADN de votre réseau, l'architecture réseau Zero Trust. Bien entendu, la motivation qui les sous-tendait ne se limitait pas à l'image d'un pare-feu doté d'une interface fiable et non fiable et au fait de dire que c'est vraiment stupide. Parlez-nous un peu plus de la motivation qui sous-tend ces articles et de ce que vous cherchiez à saisir lorsque vous les avez publiés.

0:16:24.5 John Kindervag : Eh bien, quand j'étais chez Forrester, à l'époque, il était très important de mener des recherches innovantes. Nous avions... Je me souviens de mon premier jour de cours de formation d'analyste, Ellen, la responsable, une personne magnifiquement brillante, une physicienne. Elle a écrit au tableau notre description de poste. Et il s'agissait de trois mots : « Ayez de grandes idées ». J'ai donc travaillé dans un endroit qui suscitait de grandes idées et des pensées perturbatrices. Et cela vous a donné l'occasion d'aller dans des endroits que vous auriez probablement eu peur d'aller dans d'autres organisations. On m'a donc posé une question : pourquoi la cybersécurité ne fonctionne-t-elle pas ? C'est vrai. Et cette question a été posée en 2008. Et après deux ans de recherches primaires, j'ai publié « No More Chewy Centers ». En me baladant, je me suis rendu compte que tous ces incidents de cybersécurité, ces violations de données, étaient tous causés par l'exploitation de ce modèle de confiance que je considère toujours comme le modèle de confiance défaillant.

0:17:31.5 John Kindervag : Parce que ce n'est pas un modèle de confiance, c'est une confiance brisée. Cela s'est terminé par deux ans passés à prononcer des discours et à animer des webinaires, à tester le marketing et à rencontrer des experts qui, je le sais, ont percé des trous à ce sujet. Beaucoup de gens ont dit : « Je n'aime pas l'idée, mais je n'y vois rien de mal. » Certaines personnes ont dit : « Waouh, c'est incroyable. » Il y a donc eu suffisamment d'encouragements pour y aller, d'accord, je vais continuer comme ça. Et c'est ainsi que se sont déroulées toutes les recherches menées par Forrester à l'époque. Et donc, tout est une question d'incitations dans la vie, n'est-ce pas ? Charlie Munger, qui était le partenaire de Warren Buffett, est le moins connu des deux, mais il est décédé il y a quelques semaines. Et il disait tout le temps que tout tournait autour de l'incitation. Dites-moi comment les gens sont incités et je vous dirai comment ils se comportent.

0:18:22.0 John Kindervag : Et nous avons de nombreuses incitations perverses en matière de cybersécurité. Nous avons tellement peur de casser des objets, non ? Nous avons ce triangle de la CIA. Vous connaissez le triangle de la CIA. Qu'est-ce que c'est ?

0:18:34.0 Raghu Nandakumara : Absolument

0:18:34.0 John Kindervag : Quelles sont les trois choses que je vais faire ? Vous allez être interrogé en retour.

0:18:39.0 Raghu Nandakumara : C'est du moins quelque chose que je sais, et c'est grâce à toutes les formations que j'ai suivies au fil des ans sur le CIS. C pour confidentialité, I pour intégrité, A pour disponibilité.

0:18:50.3 John Kindervag : C'est vrai. Et c'est censé être ce triangle équilatéral, non ? Sauf que ça ne l'est pas. Qu'est-ce qui est le plus important là-dedans ? Sont-ils tous égaux ?

0:18:58.5 Raghu Nandakumara : C'est une question intéressante. Donc, quand j'en parle, et que j'en parle aux clients et aux prospects, je dis : « Sont-ils égaux ? » Ils se soucient évidemment de la protection de leurs données, de leur intégrité, mais ils ont surtout peur de se demander : « Et si mon application tombe en panne ? » Ils sont donc obsédés par la disponibilité. Vous ne pouvez donc pas le mettre en sécurité à moins de pouvoir absolument m'assurer que la disponibilité ne sera pas compromise. Donc, selon que vous demandez au propriétaire de l'application, sa réponse sera : « Je tiens à ce que mon application fonctionne, puis je me soucie du reste ».

0:19:27.6 John Kindervag : Ouais. Donc, je dirais que la disponibilité est si importante que c'est maintenant, je ne sais pas, c'est quoi ça ? Un triangle isocèle ? Là où vous avez une très longue hypoténuse, c'est disponible, non ? Et puis l'intégrité. Je ne suis même plus sûr de ce que cela signifie à cause du hachage. Et il est assez facile de contrôler l'intégrité de vos données. Mais je plaisante en disant que le C représente désormais un compromis. Nous avons de nombreux réseaux compromis hautement disponibles. En raison du temps d'attente, nous avons eu cette conversation il y a quelques semaines, sur la question de savoir combien de temps d'attente ? Quelles sont les données sur le temps de séjour ? Combien de temps faut-il pour que les méchants de votre organisation se fassent prendre ? Hein ? Et c'est, que disiez-vous ? Les dernières données provenaient d'IBM.

0:20:11.6 Raghu Nandakumara : Selon le rapport sur les violations de données publié cette année par IBM, les entreprises mettent en moyenne 277 jours pour identifier puis contenir les cyberattaques.

0:20:23.0 John Kindervag : Et voilà. 277 jours. Donc si C signifie confidentialité, ce n'est pas un très, c'est un C minuscule, non ? En fait, ils y sont compromis pendant environ 200 jours. Cela fait presque un an pendant presque un an. Les méchants sont chez toi. Je plaisante en disant que c'est comme si le modèle de confiance était le suivant. Si je suis assise devant la télévision avec ma femme et que je vois un type sortir de la bière du frigo, je lui dis : « Chérie, tu connais cette personne qui sort de la bière du frigo ? » Et elle répond : « Non, je ne sais pas. » J'ai dit : « Eh bien, il est capable de sortir de la bière du réfrigérateur, donc je peux en déduire qu'il est censé être là. Nous devrions donc préparer la chambre d'hôtes. » Vas-tu chercher des draps propres et je vais changer le lit. C'est ce qui se passe dans ces organisations. Ce n'est pas la bonne inférence car vous pouvez accéder au réseau. Tu devrais être là, tu ne devrais pas être ici. Et si vous êtes là, nous vous mettrons sur le réseau. C'est le problème. Ainsi, tous les événements de sécurité importants et les violations de données à 100 % constituent une exploitation fonctionnelle de ce modèle de confiance défaillant.

0:21:35.6 Raghu Nandakumara : Absolument Et j'adore l'analogie que vous avez faite. Vous êtes donc chez Forrester, vous rédigez ces deux recherches fondamentales. Et je sais pertinemment que lorsque je concevais des contrôles de sécurité pour le cloud privé chez un employeur précédent, l'un de nos professionnels de la sécurité est littéralement venu me voir lors d'un atelier et m'a présenté un article en disant : « Raghu, c'est ce dont nous avons besoin dans notre environnement de cloud privé ». Donc, tu l'as écrit. À quoi vous attendiez-vous quant à ce que les praticiens feraient à la suite de cela ?

0:22:10.9 John Kindervag : Mes attentes étaient plutôt faibles. Je pense que vous vous rendez compte dans ce rôle que vous essayez simplement de vous faire connaître une idée qui pourrait peut-être se faire sentir. Je ne pensais pas que cette histoire de Zero Trust allait prendre son envol comme elle l'a fait. Il n'a certainement pas pris feu très tôt. Mais ensuite, il y a eu quelques personnes clés dont je ne peux pas vraiment parler, quelques designs clés sur lesquels j'ai travaillé, et je me suis rendu compte qu'il y a plus de personnes qui lisent ceci et écoutent ceci et qui veulent maintenant en parler que je ne le pensais. Finalement, j'ai assisté à une grande conférence pour l'un des plus grands fournisseurs de réseaux et de cybersécurité au monde, une conférence de grande envergure. Et le numéro deux de toute cette entreprise faisait une présentation sur Zero Trust. Et un de mes amis se tenait à côté de moi.

0:23:00.1 John Kindervag : Il a déclaré : « Vous réalisez que toute votre carrière à partir de maintenant est Zero Trust. » Et j'ai dit : « Non, ça ne l'est pas. » Je couvrais la carte SIM et je faisais de nombreuses recherches intéressantes sur l'avenir du cryptage et d'autres sujets. Et il a répondu : « Non, ça l'est. » Et il s'avère qu'il avait raison. Donc, je pense que je dois aussi lui accorder beaucoup de mérite. Il l'a vu avant moi, mais c'est quelque chose qui résonne vraiment au plus haut niveau de toute organisation. J'ai donc eu un appel plus tôt cette semaine avec un gouvernement étranger et quelqu'un... cela faisait partie d'un ministère lié à la cybersécurité. Et ils ont dit : « Oh, quand tu viendras ici, nous devons te présenter devant le Premier ministre. » C'était son commentaire, non ? Le fait que c'est une question sur laquelle le président des États-Unis a publié un décret. Des gouvernements tels que l'Australie et Singapour ont publié des directives pour aller dans cette direction. C'est complètement fou pour moi, un gamin d'une ferme du Nebraska, non ? Le but de toute ma vie en grandissant était de ne pas me lever à cinq heures du matin pour nourrir le bétail. La barre était donc très basse et je n'ai pas eu à me lever pour nourrir le bétail à cinq heures du matin depuis de nombreuses années. Donc, j'en suis très reconnaissante.

0:24:16.1 Raghu Nandakumara : Eh bien, je pense que c'est pour cette histoire que tu es le parrain. Hé, à partir de maintenant, votre carrière tournera autour de Zero Trust. La question que je me pose est donc la suivante : lorsque vous avez observé la situation après 2010 et les réactions suscitées par Zero Trust et certains commentaires connexes, étiez-vous frustrée par la lenteur de la hausse ? Mais dans une certaine mesure, de nombreux opposants ont également déclaré que ce n'était pas pratique.

0:24:49.8 John Kindervag : Non, je ne l'étais pas. Tout d'abord, j'ai apprécié le fait que la hausse soit lente, car pendant un certain temps, j'ai été la seule à le faire. J'ai donc dû faire toutes les erreurs moi-même, puis écrire à ce sujet et vous dire ce qu'elles allaient être, pour que vous n'ayez pas à les faire. Et j'ai pensé que c'était utile pour quelqu'un dans ma position de le faire. Donc, à la deuxième étape du modèle en cinq étapes, si vous lisez à ce sujet dans le rapport N stack ou quoi que ce soit d'autre, vous verrez que cela est dû à une grande catastrophe que nous avons connue parce que nous ne savions pas comment le système fonctionnait. Et quelqu'un a détruit un serveur parce qu'il disait qu'il était vieux. C'était le critère. Il était vieux et il a détruit tout un réseau. Donc, vous avez certaines de ces catastrophes et il vaut mieux que je les aie.

0:25:31.2 John Kindervag : Puis ils se produisent simultanément dans le monde entier et tout le monde dit, mec, tu as tout foiré. C'est donc très gratifiant d'être la personne qui dit : ne le faites pas parce que c'est dangereux, ou ne le faites pas parce que cela fonctionne. Et puis, il vous suffit de le chronométrer. C'est une entreprise tellement jeune, nous pensons que, oh, quelqu'un m'a dit une fois, j'ai 30 ans d'expérience en cybersécurité et je n'arrêtais pas de me dire, oh mon dieu, je parie que tout ce SNA (architecture de réseau de systèmes) est utile. Et je dis aux gens que j'ai six mois d'expérience en cybersécurité, non ? J'ai les six derniers mois, j'ai les six prochains mois, et puis tout le reste n'est que des histoires de guerre parce que cela change tellement de choses. Donc, si je fais les choses comme je le faisais il y a un an, c'est probablement faux, car tout a changé.

0:26:25.0 John Kindervag : Il y a un an, nous n'avions pas assisté à cette révolution de l'IA générative. Et nous ne voyions pas où cela allait, et nous ne pensions certainement pas à ses implications en matière de sécurité, pas plus qu'aux opportunités que nous pourrions utiliser ce matériel à des fins de sécurité. Nous avons maintenant une nouvelle technologie qui a totalement fait réfléchir tout le monde. Tout le monde. Je sais que c'est enregistré, mais hier soir, j'ai animé un panel sur l'IA et la cybersécurité. Et l'une des choses que j'ai soulignées est Henry Kissinger, décédé récemment à l'âge de 100 ans. Son dernier article sur tout ce qu'il a écrit portait sur l'IA et sa capacité à mettre fin à notre façon rationnelle de penser et de faire en était essentiellement l'essence. C'est dans l'Atlantique. Tout le monde devrait aller le lire. C'est une vue fascinante de la part de quelqu'un qui a vu le monde de près et qui est à la fois beau et laid. Et j'ai trouvé que c'était une lecture fascinante.

0:27:40.0 Raghu Nandakumara : Oui, et j'adore l'expression de mes expériences des six derniers mois et des six prochains mois. Et le reste, ce sont des histoires de guerre, non ? Cela nous permet de rester à jour et de rester pertinents. Avant de passer à autre chose, j'aimerais simplement parler, vous avez parlé d'apprentissage. Cela m'a permis de tirer les leçons de mon erreur afin que tout le monde n'ait pas à le faire. Quelles sont les autres erreurs importantes de la stratégie Zero Trust que vous avez constatées et que vous avez maintenant corrigées ou du moins rationalisées dans votre propre tête et qui, selon vous, s'est améliorée et l'a rendue plus acceptable et plus adoptable ?

0:28:22.6 John Kindervag : La plus grosse erreur que je vois, et c'était toujours tentant, a été d'aller trop gros trop vite. Tout le monde essaie maintenant de tout faire en même temps pour l'ensemble de son organisation et de réellement codifier le concept de surface protégée. Dans le modèle en cinq étapes. La première consiste à « définir votre surface de protection ». Et très tôt, cela s'appelait « définissez vos données ». Et il y a eu quelques problèmes, et c'est là que les gens ont dit : « Eh bien, je veux utiliser Zero Trust pour d'autres choses que la protection des données. » Son véritable objectif initial était de protéger les données et de faire du réseau un puissant point de contrôle de la sécurité des données. Alors, en y réfléchissant et en me rendant compte, oh, il se passe beaucoup de choses dans ce secteur qui sont un peu, je ne sais pas, spécieuses d'une certaine manière, comme l'atténuation de la surface d'attaque. Je regarde la surface d'attaque et je me dis : oh mec, c'est comme l'univers.

0:29:16.4 John Kindervag : Il est en constante expansion. Je veux dire, il y a eu un grand essor technologique et c'est la création de la puce informatique, non ? Et tout ce qui s'est passé en 1957, j'étais avec Jack Kilby qui a obtenu un prix Nobel pour avoir inventé le circuit intégré, qui en est le précurseur. J'étais avec lui le jour où il a remporté son prix Nobel. J'ai donc pu le rencontrer et lui parler de la façon dont cela s'est passé et de tout le reste. Et à partir de 1957, car Bob Noyce a également inventé une version différente du circuit intégré la même année. Et ils ont accepté de se considérer chacun comme co-inventeur de la puce informatique. Mais depuis ce jour de 1957, il n'y a pas si longtemps, nous avons assisté à ce big bang où tout est en expansion et en explosion. Ainsi, une fois que vous avez Internet, il grandit de plus en plus. Je suis assez âgé pour avoir rencontré l'un des gars qui a créé le domaine d'origine, je ne sais pas comment vous l'appelleriez quand vous... C'est un peu comme les bureaux d'enregistrement de domaines d'origine, je suppose que vous diriez.

0:30:22.4 John Kindervag : Mais il n'y avait que deux gars qui se baladaient avec un carnet physique et qui écrivaient : « Oh, tu veux être www, non ? » Internet était si petit qu'ils pouvaient le garder dans un carnet et l'écrire sur du papier. C'était un type qui s'appelait John Postel. Et il est mort maintenant, mais Rodney Joffe, qui est un vieil ami à moi, était en train de l'écrire tous les deux. Je veux dire, c'est dingue. Et c'était il n'y a pas si longtemps. Le premier mot de passe a été créé en 1961 au MIT, tout cela est très, très nouveau par rapport à l'histoire du monde. L'adoption de la roue a probablement pris plus de temps que la création du premier site Web. Donc, nous sommes un peu en retard. Et l'innovation est tellement passionnante que sa mise en œuvre est si loin d'être garantie. Il a fallu... Les bâtiments ont été construits pendant des milliers d'années jusqu'à ce que Hammourabi écrive dans son code comment, si un bâtiment tombe et tue quelqu'un, nous allons exécuter le constructeur et créer ce que nous considérons comme des codes d'ingénierie des structures et du bâtiment, n'est-ce pas ? C'est quelque chose que nous n'avons pas encore fait pour Internet et pour les réseaux, et nous avons tenu les gens responsables de ne pas faire les choses correctement. C'est Hammurabi qui l'a fait. Nous devons trouver notre Hammurabi d'une manière ou d'une autre.

0:31:41.0 Raghu Nandakumara : C'est vrai. Et donc, quand tu regardes... De nos jours, alors que je pense que nous sommes en quelque sorte passés de Zero Trust à une idée novatrice et que les commentaires étaient en fait, cela ne marchera pas vraiment. Ce n'est pas vraiment adaptable à l'heure actuelle, car ils conviennent que la stratégie Zero Trust est absolument la bonne chose à adopter, mais qu'elle est très difficile à adopter. Lorsque vous entendez cela aujourd'hui, quelle est votre réaction et quelle est votre réaction à cela ?

0:32:10.6 John Kindervag : Je pense que beaucoup de gens donnent l'impression que c'est plus difficile qu'il ne l'est et le rendent plus complexe. C'est très simple, non ? Il existe quatre principes de conception et un modèle en cinq étapes pour y parvenir. Donc, il y a neuf choses que tu dois savoir. Il est conçu pour être très, très simple à faire. J'ai reçu un appel plus tôt dans l'année d'un de mes amis, le général Greg Tohill, qui a été le premier. C'est un général de l'armée de l'air à la retraite. Il a été le premier CISO du gouvernement fédéral américain. Et il est au CERT en ce moment. Il dirige le CERT et nous savons tous ce qu'est le CERT, non ? À Carnegie Mellon. Mais il m'a appelé et m'a demandé, John, « Pourquoi les gens font-ils paraître Zero Trust si compliqué ? » Et j'ai dit, et nous l'appelons General Zero Trust. Alors j'ai dit : « Bon sang, général, je ne sais pas.

0:32:55.0 John Kindervag : Je ne sais pas pourquoi les gens donnent l'impression que c'est compliqué. » Parce que je lis des choses que d'autres personnes ont écrites à ce sujet. Et je me dis : Waouh, j'aurais peur de le faire moi aussi si je ne l'avais pas déjà fait. Hein ? Et j'ai eu des disputes avec des gens. J'ai eu une dispute avec un gars lors d'un événement de réseautage sur Zero Trust, et il savait qui j'étais, mais il voulait discuter parce qu'il est en train d'obtenir son doctorat en Zero Trust. Je suis du genre : « Quoi ? Pourquoi auriez-vous besoin d'un doctorat dans ce domaine ? Il suffit de sortir et de le faire. Hein ? Mais il se disputait avec moi à ce sujet à cause de choses qu'il avait entendues ou lues pendant ses cours. J'ai dit, non, non, non, non, non, non, non, ce n'est pas bien. Et non, mais, et j'ai dit, l'avez-vous déjà fait ? Eh bien, non. D'accord, alors tu devrais le faire.

0:33:37.4 John Kindervag : C'est de l'expérience. L'ensemble de notre activité est axé sur l'expérience. Nous ne sommes pas dans une entreprise universitaire. Si les paquets ne se déplacent pas d'un point A à un point B de manière sûre et efficace, c'est que nous avons échoué. Et peu importe ce que nous avons écrit sur ce que les paquets devraient ou ne devraient pas faire, le fait qu'ils l'aient fait ou ne l'aient pas fait est ce qui compte. Je pense donc que l'important est d'ouvrir votre ordinateur portable. L'idée d'un ordinateur portable me tient toujours à cœur, car mon premier ordinateur était un K Pro 484, qui était transportable, il était en métal et pesait environ 25 livres et vous pouvez le déplacer d'un endroit à l'autre. Et il y avait un modem 14,4 bods dedans, et il y avait un disque dur de 40 mégaoctets. 40 Mo. Waouh. C'était à la pointe de la technologie. Donc, tout cela est arrivé très, très vite, et il faut sortir et le faire. Vous ne voudriez pas qu'un mécanicien travaille sur votre voiture alors qu'il n'a jamais travaillé sur votre voiture auparavant, mais ils ont un doctorat en mécanique automobile, ce serait désastreux. Oh, mince, je pensais que les bougies d'allumage étaient censées être ici. Il est dit qu'ils sont ici, dans ce livre. Hein ? Et tu es du genre, alors oui, à te salir les mains.

0:35:02.3 Raghu Nandakumara : J'aime vraiment ça parce que c'est... Vous parlez de quelqu'un qui a non seulement élaboré la théorie de la confiance zéro, mais qui l'a ensuite affinée grâce à des années de pratique. Et comme vous l'avez dit, il faut en quelque sorte faire des erreurs et en tirer des leçons pour l'adopter, afin de développer un modèle plus raffiné qui facilite son adoption. Hein ? Et sans aucun doute, alors que de plus en plus de praticiens déploient une stratégie Zero Trust, n'est-ce pas ? Cela continuera d'évoluer au fil du temps. Et ce que nous considérons comme une stratégie aujourd'hui ne le sera peut-être pas demain. Alors, passons à autre chose.

0:35:41.5 John Kindervag : Eh bien, en fait, il y a un commentaire. Parce que n'oubliez pas que Zero Trust comprend deux grands domaines, la stratégie et la tactique. Et donc la stratégie de la grande idée qui la sous-tend. Je ne pense pas que cela va changer.

0:35:53.0 Raghu Nandakumara : Ouais.

0:35:54.8 John Kindervag : Je pense que ce que vous voulez dire, c'est la tactique, la façon dont nous procédons, non ? Et l'un de mes mentors, colonel de l'armée de l'air et stratège en chef de la première guerre du Golfe, qui m'a enseigné la stratégie et comment y penser, a déclaré que tout le monde confondait stratégie et tactique. Ils pensent qu'ils font preuve de stratégie, mais ils sont tactiques. Et il est important de comprendre ce qu'est la stratégie et qu'est-ce que la tactique ? Les tactiques sont des choses que vous faites, n'est-ce pas ? Donc, quand vous touchez à la technologie, c'est tactique, non ? C'est l'essentiel. C'est de la tactique. On le sent. Les stratégies sont ces idées qui ont des principes directeurs pour atteindre un objectif de mission ou une grande stratégie. Il est donc très important de comprendre cela. Et le succès de Zero Trust n'est pas lié à la tactique. J'utilisais simplement une technologie disponible dans le commerce, mais je l'utilisais de manière à ce que les dirigeants, qu'ils soient gouvernementaux, militaires ou commerciaux, puissent comprendre comment développer des systèmes de cybersécurité qui permettraient d'atteindre un objectif de mission ou un objectif stratégique ambitieux.

0:37:16.1 John Kindervag : Et un membre de l'armée a écrit un jour que l'élément le plus important que John avait apporté à la cybersécurité et à Zero Trust était le concept de grande stratégie, dont personne n'avait jamais parlé auparavant. Et c'est ce qui manque tout le temps aux gens. « Je fais ça depuis toujours. J'utilise l'authentification multifactorielle. » Bien sûr, mais vous ne saviez pas pourquoi vous l'utilisiez, non ? Il répond donc à cette question : « Pourquoi ? » Et pas seulement parce que je veux authentifier les gens, mais aussi parce que je veux que certains résultats commerciaux se produisent de manière à développer mon activité de manière spécifique.

0:37:52.4 Raghu Nandakumara : Oui, je suis d'accord. Et les mots sont importants. Tu as tout à fait raison. Je voulais dire que certaines tactiques peuvent évoluer au fil du temps, mais la stratégie globale est telle que vous l'avez définie, elle devrait être assez constante tout au long. Je voudrais donc passer à un point que vous avez abordé tout à l'heure, à savoir les préoccupations de divers gouvernements du monde entier, les États-Unis étant les plus importants, mais nous avons parlé, vous avez cité Singapour, l'Australie et le Royaume-Uni comme autres exemples. Alors tout d'abord, qu'est-ce qui a en quelque sorte déclenché ce mouvement visant à adopter une stratégie Zero Trust et à vraiment la codifier ? Nous sommes confrontés à ces cyberincidents massifs, à ces cyberviolations, depuis de nombreuses années. Alors, qu'est-ce qui a réellement obligé le gouvernement américain, par exemple, à prendre Zero Trust si au sérieux au cours des deux ou trois dernières années ?

0:38:51.8 John Kindervag : Eh bien, c'est la violation de données d'OPM, les attaques de Snowden, de Manning, de Texeira, qui ont été très dommageables. Et cela a incité le gouvernement à se réveiller et à se dire : « Oh, la cybersécurité, c'est aussi du contre-espionnage à bien des égards ». Nous avons donc vu ces scénarios d'intrigue de films, et maintenant ils se déroulent. Dans la vraie vie, et nous devons nous présenter devant eux, c'est en quelque sorte la façon dont ils voient les choses. Beaucoup de travail est en cours dans le domaine du chiffrement résistant aux phénomènes quantiques et de ce genre de technologie dans le but de détecter quelque chose qui n'existe pas vraiment, à savoir l'informatique quantique. Mais ils comprennent qu'une fois que cela se produira, cela sera extrêmement dommageable à court terme si nous n'y sommes pas préparés. Je pense donc que l'une des leçons de la technologie est d'essayer de se préparer au pire des scénarios le plus tôt possible, plutôt que beaucoup plus tard.

0:39:49.7 Raghu Nandakumara : Je sais donc que vous avez participé, ou très fortement, aux rapports de la CISA NSTAC, aux recommandations au président concernant le Zero Trust et l'identité. Et je voudrais tirer deux des conclusions des quatre conclusions. Je voudrais simplement discuter ou avoir vos commentaires sur deux de ces conclusions. Et l'une d'elles indique que le gouvernement américain risque que Zero Trust ne devienne une expérience incomplète, un ensemble de projets de sécurité technique décousus en années, plutôt que le fondement d'une stratégie durable, cohérente et transformatrice mesurée en décennies. Alors, quel est le défi posé par ce genre de petites poches d'expériences ? L'intention est-elle d'adopter ce type d'approche uniforme en matière de Zero Trust ?

0:40:31.6 John Kindervag : Je pense que l'intention est de faire avancer les gens dans cette direction. J'en parle comme si nous allions tous dans la même direction, ou si nous nous dirigions tous généralement vers le nord, à droite, vers l'étoile polaire, si vous vous trouvez dans l'hémisphère nord. Vous vous dirigez vers la Croix du Sud si vous êtes dans l'hémisphère sud. Mais si vous vous dirigez tous dans la même direction, même s'il peut y avoir beaucoup de parallélisation ici, vous vous retrouverez au même endroit, vous finirez par converger. Et c'est ce que je trouve passionnant, c'est que nous allons tous dans la même direction. Ce rapport du NSTAC est en quelque sorte l'étoile polaire de la direction que nous devrions prendre. Et en fait, nous n'assistons pas à autant de fragmentation que je le pensais. Nous avons remis ce rapport les 20 et 23 février 2022. Hein ?

0:41:18.6 John Kindervag : Et nous l'avions initialement livré le 22 février. On pourrait donc dire que c'était le 22 février 2022. Ensuite, il a fallu procéder à une révision. C'est donc devenu le 23/02/22. Quoi qu'il en soit, c'est juste une chose étrange que personne d'autre ne trouve intéressante. Mais moi, mais ce que nous avons découvert, c'est que depuis lors, chaque agence du gouvernement fédéral dispose d'un bureau de gestion du programme Zero Trust et d'un directeur du programme Zero Trust. C'est donc un énorme mouvement, vous avez quelqu'un qui est dévoué, qui fait son travail. Vous avez donc modifié la structure des incitations en un an environ. Et encore une fois, les incitations sont très importantes. Pour en revenir à Charlie Munger, les gens se comporteront en fonction de la manière dont ils sont incités. Et les mesures incitatives sont en place. Cela signifie donc que le résultat finira par se produire de la bonne manière. Cela prendra-t-il 10 ans ?

0:42:13.7 John Kindervag : Cela prendra-t-il trois ans ? Je ne sais pas Cela fait longtemps que je joue sur le long terme, car je me suis rendu compte que, du moins à mon avis, Internet existerait pendant un certain temps. Hein ? Donc ça ne va nulle part. Nous n'avons pas à nous dépêcher de le réparer avant qu'il ne meure ou quoi que ce soit d'autre. Ce n'est pas comme à mon âge où je devais me dépêcher pour arranger les choses. Parce que si je ne le fais pas, je ne serai peut-être pas là tôt. Internet va donc vivre plus longtemps que moi. Et Zero Trust va vivre plus longtemps que moi. Mais j'espère que cela donnera aux gens une étoile polaire vers laquelle ils pourront s'orienter et trouver des moyens de protéger leurs données, leurs actifs, leurs applications et leurs services. Il ne s'agit pas de la façon dont vous le faites en général, tant sur le plan conceptuel que sur le plan de l'architecture de référence.

0:43:00.4 John Kindervag : Il s'agit de la manière dont vous procédez spécifiquement pour ce type de données particulier dont vous disposez dans votre organisation. Vous passez ensuite au type de données suivant ou à l'application suivante. Et vous le faites progressivement, vous le faites de manière itérative. Et en le faisant par petits morceaux, en divisant la cybersécurité, qui est un gros problème, en petits morceaux consommables. Maintenant, vous avez également fait en sorte que ce ne soit pas perturbateur. Si tu te trompes, tu vas bousiller quelque chose de si petit que la plupart des gens ne s'en apercevront même pas. Et pour moi, l'avantage, c'est que tu n'as pas à en avoir peur. Tout au long de ma carrière, j'ai su que les premiers ateliers et discussions seraient couronnés de succès. Et il y aura toujours quelqu'un qui a eu envie de le haïr à fond, très fort, presque au point de vouloir provoquer une bataille.

0:43:51.0 John Kindervag : Et j'ai dû apprendre à rester calme, à répondre calmement à leurs questions et à tout parcourir. Mais il y avait toujours un moment où je pouvais voir l'ampoule cliquer. Et soudain, cette personne en particulier est devenue le plus fervent défenseur de ce contre quoi elle se battait il y a quelques minutes. Je l'ai vu lors d'une conférence alors que je me tenais juste devant un tableau à feuilles mobiles et que je dessinais quelque chose pour quelqu'un d'autre. Et quelqu'un s'approche et s'en va, peu importe ce qu'il a dit, disons un commentaire méchant qu'il a fait. Et je lui dis : « D'accord, qu'en penses-tu ? » Et le gars pour qui je l'ai dessiné et qui venait de dire ça, il a dit, il a tourné la page, il a dit : « Non, tu ne comprends pas. » Et il est du genre, parce que je viens d'avoir la même conversation. C'est donc moi qui ai défendu Zero Trust et montré à cette personne pourquoi cela fonctionnait pour lui montrer à quelqu'un d'autre pourquoi cela fonctionnait. Hein ?

0:44:42.5 Raghu Nandakumara : Ouais.

0:44:44.8 John Kindervag : C'était donc voir ces petites ampoules s'allumer au fil du temps, encore et encore. Et j'ai réalisé que c'était en partie dû à la peur de devoir apprendre à faire autre chose. Mon travail va changer. Je n'aime pas le changement. En partie, c'était... Et j'entendais cela tout le temps : « Ce n'est pas comme ça que nous avons toujours fait. » Et ma réponse a été : « Bon sang, la façon dont nous l'avons toujours fait ne fonctionne pas vraiment très bien, n'est-ce pas ? » Et troisièmement, c'est « Je ne veux rien faire de nouveau ou plus, je ne veux pas travailler plus dur ». Et si je pouvais leur montrer que j'allais vous faciliter la tâche. Un gars m'a dit que nous avions discuté de Zero Trust pendant plus de temps qu'il ne m'en a fallu pour créer le premier réseau Zero Trust. Et il a déclaré : « C'est arrivé si vite.

0:45:33.3 John Kindervag : Et c'était tellement stable que je suis parti en vacances juste après. » C'est que les gens n'arrivaient pas à croire que je partais en vacances. J'ai dit : « Oui, je peux partir en vacances, ça marche. » Et s'il y a un problème, vous pouvez m'appeler, mais vous pouvez trouver intuitivement comment le résoudre. Et c'était un moment clé. Il y a juste quelques points sur une ligne où vous vous dites : Oh, le tableau commence à se dessiner à travers les expériences individuelles avec différentes organisations, qui ont chacune eu des problèmes différents, mais qui ont réussi à appliquer les principes aux problèmes commerciaux et à réussir.

0:46:08.8 Raghu Nandakumara : John, je vais juste... Je tiens simplement à dire que ces cinq dernières minutes environ, je pense que vous avez si bien résumé pourquoi la stratégie est importante et comment vous devez l'aborder d'un point de vue tactique pour réaliser des progrès réalistes dans ce sens. Et aussi, à peu près, une fois que vos adversaires ont eu ce moment d'ampoule, ils deviennent presque vos plus fervents défenseurs, n'est-ce pas ? Et je pense que si vous n'écoutez rien d'autre dans cet épisode, ce sont les cinq minutes qu'il vous faut digérer. Je voudrais donc passer à autre chose. Et vous, encore une fois, vous en avez parlé dans ce dernier article sur le type de culture.

0:46:48.2 Raghu Nandakumara : Et je connais votre ami, George Finney, qui a écrit un livre l'année dernière sur Zero Trust, que vous avez écrit plutôt en avant, il parle beaucoup de ce sujet à propos de la culture. Encore une fois, c'est l'une des autres conclusions du rapport du NSTAC, qui est de faire de Zero Trust une véritable stratégie qui transformera de manière significative les résultats en matière de cybersécurité au cours de la prochaine décennie et au-delà, le gouvernement américain doit prendre une série de mesures politiques dès maintenant pour institutionnaliser une culture de confiance zéro. Alors, que signifie une culture de confiance zéro ? Qu'est-ce que cela représente ?

0:47:20.8 John Kindervag : Eh bien, je pense que la première chose que cela signifie, c'est que cela rassemble les gens pour atteindre ce grand objectif stratégique en utilisant Zero Trust. Je me souviens donc que je participais à l'un des premiers ateliers Zero Trust pour une grande entreprise. J'avais 70 personnes provenant de 17 départements différents. Les 17 départements se détestaient. Ils étaient rivaux au sein de l'entreprise. Et ils me détestaient tous. Et ils détestaient devoir être là. À la fin, nous avions fait tomber bon nombre de ces obstacles. Et nous avions trouvé comment créer un outil collaboratif. Et je suggère toujours aux gens de créer quelque chose qui ressemble à un centre d'excellence Zero Trust, où ils font appel non seulement à des technologies, mais également à des leaders.

0:48:07.3 John Kindervag : Parce que ces leaders peuvent se dire : « D'accord, je sais que je suis censé le faire, mais j'ai peur, et si je le fais mal ? » Vais-je me faire virer ? Mais si vous avez un leader qui vient vous dire que vous devez le faire, cela vous soulage du fardeau et vous donne à nouveau la bonne motivation. Un jour, le directeur des affaires juridiques a participé à un atelier, et tout le monde s'est demandé : « Pourquoi cette personne est-elle ici ? » Eh bien, le travail de cette personne était de protéger la propriété intellectuelle de l'entreprise, les brevets qui généraient des centaines de millions de dollars de revenus. Et il ne savait pas comment s'y prendre. Alors, quand il a assisté à cet atelier de trois jours, il n'en reste plus qu'un jour maintenant. Mais à l'époque, j'étais un peu plus verbeux, je suppose, et j'essayais de comprendre, franchement.

0:48:44.4 John Kindervag : Et il a assisté à tout cela. Puis il a dit : « D'accord, je vais être le champion, je vais trouver les fonds, vous allez le faire. Et vous ne pouvez pas avoir de problèmes si vous faites quelque chose pour le directeur des affaires juridiques afin de protéger les brevets de votre entreprise. N'est-ce pas ? » Il s'agit donc de trouver cette couverture aérienne ou quoi que ce soit d'autre pour y parvenir. C'est donc ce que le décret présidentiel leur a donné. Comme le gouvernement fédéral américain, il existe la bourse interagences Zero Trust, qui est un groupe de RSSI aux États-Unis. Le gouvernement fédéral américain, qui s'est réuni pour partager les meilleures pratiques, a créé la culture lui-même, parce qu'il avait besoin de corriger, le fait d'avoir une étoile polaire commune, un objectif de mission commun signifiait qu'il devait comprendre la culture.

0:49:30.2 John Kindervag : Et nous le voyons encore et encore. Le document de stratégie de cybersécurité australien récemment publié fait mention de Zero Trust, mais il indique que nous devons nous orienter vers la création d'une culture de confiance zéro. C'est vrai. Cela provient donc en grande partie de la formation, de l'expérience, de certains travaux de laboratoire, de discussions avec d'autres personnes, puis de la détermination de ce que vous devez protéger. Cela crée donc des résultats transformationnels, car vous devez maintenant comprendre ce qui est important dans votre environnement, ce que vous devez protéger, afin de savoir pourquoi vous le faites, puis vous devez déterminer comment je vais protéger cet environnement une fois que je saurai quoi protéger.

0:50:16.5 John Kindervag : En général, nous avons toujours essayé d'utiliser le plus de technologie possible pour résoudre le problème en espérant trouver une solution, n'est-ce pas ? Si nous mettions tout en ligne, comme si j'avais un client, si j'avais un client, ou, je suppose, dans mon travail précédent, ils avaient effectué 11 sauts vers Internet, 11 sauts vers Internet, toutes des technologies de sécurité, en essayant de s'assurer que rien de grave ne se produise. Et le problème, c'est que c'était un environnement inutilisable. Savez-vous combien de temps il faut pour faire quoi que ce soit quand vous avez 11 sauts ? Vous êtes confronté à trois pare-feux, à deux adresses IP différentes et à deux filtrages de contenu Web différents. Et un WAF ici et là. C'est juste que c'était incroyable. Et ils savaient que c'était incroyable, mais ils ne savaient pas comment résoudre le problème. Parce qu'ils ne savaient pas ce qu'ils essayaient de protéger. Et ils ne savaient pas exactement pourquoi ils le faisaient. Ils ont juste pensé que s'ils pouvaient en avoir plus, ce serait mieux. Plus c'est toujours mieux. C'est vrai.

0:51:17.7 Raghu Nandakumara : Oui, absolument à 100 %.

0:51:19.7 John Kindervag : C'est vrai pour le barbecue. Cela doit donc être vrai en matière de cybersécurité.

0:51:21.7 Raghu Nandakumara : Il est probablement plus facile de répondre à la question suivante : qu'est-ce qui ne pourrait pas mal tourner ? C'est probablement possible d'une part. Passons à John, avant de terminer, non ? Comment considérez-vous la pertinence de Zero Trust pour accélérer l'adoption du cloud, n'est-ce pas ? C'est un sujet brûlant. La sécurité du cloud est en quelque sorte le sujet brûlant de la cybersécurité. Et bien sûr, non ? L'autre point que vous avez déjà abordé plus tôt est la pertinence de Zero Trust pour l'IA générative, les grands modèles de langage utilisés par les deux organisations et potentiellement également par les attaquants. Quel est le rôle de Zero Trust dans tout cela ?

0:52:10.2 John Kindervag : Eh bien, je pense que plus important encore, dans le cloud, lorsque vous comprenez que le cloud contient des données, un actif ou quelque chose, une charge de travail, quel que soit le nom que vous voulez, qui est importante pour vous, qui est réglementée. Et il n'est généralement pas protégé. Vous entendez tout le temps que nous avons un modèle de responsabilité partagée. Mais chez Forrester, je pense que nous avons trouvé un meilleur terme, mon ami James Staten l'a inventé. Et il a dit que c'était une poignée de main irrégulière. Oui, ils nous fournissent une aide de base. Ils s'assurent que l'hyperviseur est corrigé. Et il existe certains outils que je pourrais utiliser manuellement pour sécuriser les choses. Mais en général, je ne transfère pas le risque de sécurité au fournisseur de cloud. Je ne fais que stocker les données là-bas. J'utilise leur hyperviseur à des fins économiques, principalement.

0:53:05.2 John Kindervag : Je suis donc toujours chargé de sécuriser cette charge de travail, quel que soit le contenu de cette charge de travail. Et beaucoup de gens commencent à le comprendre maintenant. Et nous avons été témoins d'importantes violations de données dans le cloud, généralement appelées erreurs de configuration. Et ce serait une autre discussion pour un autre jour. Mais les contrôles natifs dont vous disposez ne suffisent pas contre les attaques modernes, car j'ai parlé à des testeurs de stylos, dont certains sont très légendaires, mais ils n'ont aucun mal à passer les contrôles de sécurité natifs du cloud, et il est difficile de gérer ces contrôles de manière omniprésente dans les environnements multicloud, car chacun possède une structure de gestion différente. Donc, la gestion, c'est vrai, les soins et l'alimentation opérationnels, de tout ce que vous faites en matière de sécurité, constituent le coût le plus important que vous aurez à payer.

0:54:06.5 John Kindervag : Il ne s'agit pas d'acquérir de la technologie, mais de la transporter et de l'alimenter, n'est-ce pas ? Tu as des enfants, tu le sais. L'acquisition des enfants n'a pas coûté si cher. Les transporter et les nourrir pendant les soins de longue durée, et ça continue encore et encore. Et ce n'est jamais fait. Oui, c'est l'acquisition la plus coûteuse. L'acquisition a été facile. Les opérations, c'est difficile. Nous devons donc nous en rendre compte. C'est donc la première chose en ce qui concerne le cloud. Et puis l'IA, oui, peut être capable de créer des attaques très sophistiquées. Mais il existe de grandes barrières sur Internet appelées TCP/IP et le modèle OSI, n'est-ce pas ? Ils ne peuvent donc pas vraiment aller au-delà de ce qu'ils peuvent faire. C'est beaucoup plus dommageable, potentiellement sur le plan culturel, que cela ne l'est pour les réseaux, car en fait, nous serons en mesure d'utiliser des types de technologies basées sur l'IA.

0:55:05.0 John Kindervag : Et ma définition préférée de l'IA que j'ai entendue vient d'un ami mathématicien qui dit : « L'IA, c'est des statistiques plus des déclarations. » Et j'aime beaucoup celui-ci, parce qu'il est très précis. L'IA ne fonctionne donc que parce que nous avons des ordinateurs vraiment très rapides, et que nous pouvons en acquérir davantage ensemble, afin d'y parvenir. Et ça a l'air intelligent, alors qu'en fait, c'est juste informatique. Mais nous pouvons utiliser ces mêmes technologies pour découvrir ce que nous pouvons faire... Cela devrait être autorisé et réagir rapidement aux choses qui nous attaquent. Cela nous donne donc un avantage sur les attaquants, autant que cela donne aux attaquants un avantage sur nous. Et en particulier lorsque nous créons une politique Zero Trust, qui commence par le refus par défaut, puis que nous autorisons explicitement certains trafics à se produire.

0:56:00.9 John Kindervag : John ne peut donc accéder qu'aux ressources auxquelles je suis autorisé à accéder. Et il y a d'autres choses auxquelles je n'arrive pas à accéder. Et si je pense que je dois y accéder, je dois me rendre au service d'assistance et demander à y accéder. Je suis donc assez enfermé. Et c'est très bien. Il devrait en être ainsi. Mais nous donnons trop accès à un trop grand nombre de données, sans aucune raison. C'est pourquoi Snowden, Manning et Teixeira ont pu commettre ces violations de données volumineuses, et non pas parce que la sécurité était intrinsèquement mauvaise. Mais comme ils avaient accès à des ressources, ils n'auraient jamais dû être capables de toucher ou de voir. Et certainement, ils n'auraient jamais dû pouvoir télécharger un exfil.

0:56:42.9 Raghu Nandakumara : Alors, John, avant de terminer, la question la plus importante de ce podcast de cette conversation. Dans le film éponyme, Kindervag, le vrai parrain, qui t'incarne ? Et qui est le réalisateur ?

0:56:51.4 John Kindervag : Quoi ? Nous ne voulons pas ce film. Ce serait vraiment très ennuyeux. Demande à ma femme. Je pense qu'en fait, je ne veux pas que quelqu'un me joue dans un film. Ce serait bizarre. Je veux que les gens se concentrent sur les idées et non sur la personne. Hein ? Parfois, j'ai envie de m'en sortir. Je voulais que George Finney écrive le livre Project Zero Trust. Tout a commencé sur mon canapé. Et j'ai eu l'occasion d'écrire des livres. Mais en réalité, si tout vient de moi, le message n'est pas aussi important. Mais si un plus grand nombre de personnes adoptent le message qui n'est pas vous, le message devient plus puissant.

0:57:35.8 John Kindervag : Et c'est le message qui compte. J'aimerais donc qu'il y ait un documentaire sur le succès de Zero Trust, sur la lutte contre les rançongiciels ou quelque chose comme ça. Ce serait cool. Pour montrer tout ce que j'ai vu où des personnes m'ont envoyé des captures d'écran, regardez, ce camion de ransomware a essayé de se déplacer sur mon réseau, mais il n'est arrivé que sur une seule machine. Et puis il ne pouvait aller nulle part ailleurs. Et nous avons été trouvés et nous avons simplement examiné toute la télémétrie, tous les pings qui essayaient de passer au système de commande et de contrôle. Nous sommes en mesure de l'isoler immédiatement et de le nettoyer. C'est le documentaire. C'est le film que je veux voir.

0:58:13.6 Raghu Nandakumara : Eh bien, John, je connais peut-être quelqu'un sur Netflix qui commanderait ça.

0:58:17.4 John Kindervag : OK.

0:58:18.1 Raghu Nandakumara : Merci beaucoup, John. Cela a été un réel plaisir de discuter avec vous, car c'est toujours instructif, instructif et très amusant. Merci

0:58:23.1 John Kindervag : Merci, mon ami.

0:58:27.7 Raghu Nandakumara : Merci d'avoir écouté l'épisode de cette semaine. Nous reviendrons avec notre prochain épisode dans deux semaines. En attendant, pour plus de ressources sur Zero Trust, rendez-vous sur notre site Web, www.illumio.com et retrouvez-nous sur LinkedIn et X en utilisant les liens figurant dans nos notes d'émission. C'est tout pour aujourd'hui. Je suis votre hôte, Raghu Nandakumara, et nous vous recontacterons bientôt.

Retour en haut de page
En savoir plus