A logo with accompanying text "Listen on Spotify"A logo with accompanying text "Listen on Apple Podcasts"
Transformer le risque en résilience
Season Two
· Episode
7

Transformer le risque en résilience

Dans cet épisode, l'animateur Raghu Nandakumara s'entretient avec Indy Dhami, associée chez KPMG UK, pour explorer l'évolution de la sécurité informatique traditionnelle vers la cyberrésilience. Ils discutent de la mise en œuvre stratégique de Zero Trust, de l'impact des pressions réglementaires et des défis posés par l'IA. Indy souligne le rôle essentiel de la cybersécurité fondamentale

Transcription

00:16 Raghu Nandakumara

Bonjour à tous. Bienvenue dans un nouvel épisode de The Segment : A Zero Trust Leadership Podcast. Aujourd'hui, j'ai le grand plaisir d'être rejointe par Indy Dhami, cyberpartenaire des services financiers chez KPMG UK, qui a de nombreuses années d'expérience en aidant certaines des plus grandes organisations de services financiers à élaborer leur stratégie et leur pratique en matière de cybersécurité. Je suis donc très heureuse de lui parler aujourd'hui et de tirer des leçons de ses expériences. Indy, bienvenue sur The Segment.

00:48 Indy Dhami

Merci. Merci de m'avoir invitée. C'est un réel plaisir et un véritable honneur. Je suis l'histoire d'Illumio depuis de très nombreuses années. Alors oui, j'ai envie de m'impliquer et de contribuer à certains de mes apprentissages.

1:01 Raghu Nandakumara

Eh bien, nous sommes certainement là pour entendre ton histoire aujourd'hui, Indy. Sur ce, pourquoi ne pas commencer par nous parler de votre parcours dans le domaine de la cybersécurité et des expériences qui vous ont permis d'en arriver là où vous en êtes aujourd'hui dans votre carrière ?

1:13 Indy Dhami

Oui, bien sûr. Je travaille donc dans le secteur de la sécurité depuis 21 ans, où j'ai occupé différents postes. J'ai donc commencé ma carrière en dirigeant le département informatique d'un cabinet d'architecte. Et cela impliquait tout, de la gestion du réseau à l'exécution de sauvegardes, en passant par la tentative d'éliminer tous ces virus et logiciels malveillants embêtants qui proliféraient en quelque sorte sur l'ensemble du réseau. Et maintenant, nous sommes au début des années 2000. Vous pouvez donc imaginer que, vous savez, la sécurité n'était pas une priorité. Mais ce qui m'a vraiment touché, c'est d'être capable de gérer ces choses. Mais aussi, le fait que de nombreuses organisations n'étaient pas préparées au pire qui pourrait se produire si elles venaient à perdre leur réseau, l'ensemble de leur réseau ; elles n'avaient aucun plan d'urgence en place. Cela m'a vraiment intéressé à la sécurité. J'ai étudié un peu à l'université certains des principes fondamentaux de l'InfoSec, à l'époque, puis, après avoir quitté ce poste, j'ai fini par rejoindre Mercedes Benz à Milton Keynes, ce qui a probablement marqué un tournant dans ma carrière, car j'ai fini par travailler avec un type qui connaissait très bien tout ce que l'on peut penser, à savoir la sécurité, la continuité des activités, l'entreprise, la gestion des risques, la sécurité physique, etc. Et c'est là que cela a vraiment donné le coup d'envoi à ma carrière dans le monde de la sécurité.

Nous avons créé un système de gestion de la sécurité de l'information. Elle est devenue la première Mercedes Benz au monde à être certifiée ISO 27001, et nous avions un système de gestion de la qualité certifié ISO 9000. Et c'était génial, nous faisions un travail vraiment intéressant. Aux alentours de 2004 et 2005, la société mère, Daimler, a vu ce que nous avions créé et a demandé à mon équipe de reproduire ce que nous avions construit en Allemagne. J'ai donc passé deux ans et demi à voyager à destination et en provenance de Stuttgart et j'y ai passé du temps. Donc, une excellente expérience dans le cadre d'un programme de transformation du modèle opérationnel mondial, fondamentalement, et il y avait un élément de sécurité là-dedans. Mais il s'agit d'une transformation de processus à grande échelle. Sur la base de l'excellent travail que nous avons accompli au Royaume-Uni et à mes amis allemands, je leur rappelle toujours que, vous savez, c'est à cette époque que les Allemands demandent aux Britanniques de sortir et de leur enseigner les processus. Ils détestent que je le dise.

03:34 Indy Dhami

Alors oui, j'ai quitté Mercedes pour rejoindre Accenture. Et j'ai passé un an à La Haye. Il s'agissait d'un projet vraiment intéressant, à grande échelle, d'une violation par un État-nation d'une importante organisation basée là-bas. Je ne dirai pas de qui il s'agit, car beaucoup de gens peuvent probablement le deviner. Et notre rôle était d'aider, en essayant d'identifier ce que faisait cet État-nation dans le réseau. Et curieusement, tout a commencé par regarder des fichiers Excel CSV pour essayer de comprendre, vous regardez les journaux pour voir ce qui se passait réellement. En fin de compte, passez à une solution SIEM. Cela nous a permis de commencer à intégrer davantage de sources de journaux, en cassant la plateforme à quelques reprises, parce que vous n'étiez tout simplement pas préparés à la taille et à l'échelle des journaux. Mais super expérience. J'ai ensuite rejoint PwC et j'ai passé deux ans à Copenhague, où j'ai travaillé pour un grand conglomérat maritime, dans le cadre d'un vaste programme de transformation de la sécurité qui couvrait tout ce à quoi vous pouvez penser, de l'élaboration de politiques à de véritables exercices de simulation de crise, en passant par un programme complet de transformation de la sécurité de bout en bout, puis j'ai dirigé ma propre entreprise. J'ai créé ma propre entreprise, en gérant essentiellement une organisation de type matriciel, qu'il s'agisse de fournir des services de conseil ou de test de stylet. Une très bonne expérience de travail avec quelques organisations de services financiers au Royaume-Uni et à Paris.

Après mon passage chez IBM, j'y ai passé quatre ans à diriger l'équipe de transformation de FS, principalement impliquée dans les services de sécurité gérés à grande échelle, les engagements, des tâches telles que la gestion du SOC de bout en bout, mais également la réalisation d'évaluations de sécurité et de travaux de type conseil. Par la suite, j'ai passé un an dans une société appelée Historic Global, qui a été financée par le gouvernement singapourien pour investir dans d'autres cyberentreprises. Donc, une super expérience là-bas. J'ai ensuite rejoint KPMG en janvier de l'année dernière avec pour mission de sélectionner les clients du secteur bancaire, principalement, mais mon mandat s'est encore élargi pour gérer notre capacité de cyber-résilience, qui couvre ensuite un certain nombre de secteurs différents.

05:49 Raghu Nandakumara

Je veux dire, je pense que nous... vous méritez un épisode de podcast pour chacune de ces expériences, n'est-ce pas ?

5:55 Indy Dhami

Chacune a sa propre histoire intéressante. Je pourrais probablement écrire un livre sur certaines des choses que j'ai vues et qui inciteront les gens à lever les yeux au ciel et à dire que j'ai vécu quelque chose de similaire.

6:06 Raghu Nandakumara

Eh bien, je pense que la troisième saison du segment, Indy, ne comportera que 12 épisodes dans lesquels tu racontes ton histoire. C'est génial. Et j'essaie de décider par où nous devrions commencer pour démêler les choses parce que je pense que toutes ces choses ont vraiment contribué, d'une manière ou d'une autre, à ne pas vous contenter du rôle que vous jouez aujourd'hui. Mais en réalité, vous avez dit dès le début que l'accent était mis sur l'InfoSec. C'est vrai. Et c'était comme ça que c'était content. Et maintenant, cela a vraiment évolué vers une sorte de cybersécurité. Et maintenant, le terme « cyber-résilience ». Et j'essaie de relier ce que vous avez dit dès le début, c'est-à-dire que c'était comme si vous y étiez, non ? Vous faisiez une sorte de support informatique sous toutes ses formes et vous essayiez d'empêcher, disons, qu'un virus qui traverse le réseau tombe en panne ; il n'y a aucune éventualité. Et aujourd'hui, la résilience, et pas seulement la cyber-résilience, mais aussi la résilience opérationnelle, consiste à savoir comment je peux continuer à fonctionner même lorsque toutes ces choses inattendues se produisent. À quel moment pensez-vous que ce changement s'est produit et que nous devons vraiment nous concentrer sur la résilience ; il ne s'agit pas simplement de pouvoir régler le problème ; il s'agit de pouvoir fonctionner pendant que nous réglons le problème ?

7:26 Indy Dhami

Oui, je veux dire, il y a une question très intéressante parce que pour en revenir à cette première expérience que j'ai eue, alors que je parcourais certains de mes documents récemment, on utilisait en fait le terme « aider l'organisation à devenir plus résiliente ». Et c'était probablement bien avant que quiconque ne pense à la résilience opérationnelle ou à la cyberrésilience. Passons ensuite à l'exemple de Mercedes, vous savez, nous parlions de toutes ces choses en matière de gestion des identités et des accès, en matière de résilience des entreprises, de rapprochement de tous ces éléments. Qu'il s'agisse de sécurité, de sécurité physique et environnementale, de fraude. Et malheureusement, cela n'est pas arrivé à ce moment-là, il est probablement apparu il y a cinq ou six ans, disons. Et cela peut être dû à un certain nombre de choses. Il peut s'agir d'une augmentation du nombre de cyberattaques ou de pannes. Vous savez, si vous pensez à certains des grands incidents que nous avons vus au Royaume-Uni, Buncefield vous vient à l'esprit. Vous savez, il y a eu une grosse explosion, ou c'est l'éruption du volcan en Islande.

Ce genre de choses n'était donc souvent jamais envisagé, et je me souviens avoir organisé un exercice de simulation de crise à bord. Et ils m'ont dit : « Indy, cela ne nous arriverait jamais. » Et le scénario que j'ai construit tournait autour de la grippe aviaire, la grippe aviaire de combat qui se produisait, n'est-ce pas ? Maintenant que les gens sont plus conscients que ces incidents de type opérationnel sont plus fréquents, alors vous avez des cyberattaques qui augmentent. Vous savez, cette prise de conscience s'est considérablement accrue parce que si vous ne pensez qu'à l'actualité, en ce moment, vous pouvez voir des cyberattaques une, deux ou trois fois plus nombreuses dans les actualités, et cela devient de plus en plus fréquent, et les gens posent des questions de plus en plus difficiles à ce sujet aux responsables de la sécurité.

9h14 Raghu Nandakumara

Juste en passant, vous avez dit que nous voyons de plus en plus de cyberattaques dans l'actualité. Hein ? Et avez-vous eu l'impression que lorsque cette nouvelle est diffusée, c'est à peu près la même chose ? Donc, en tant que personne qui n'est pas aussi informée que vous, que les personnes qui aiment regarder les actualités disent : « Oh, juste une cyberattaque de plus ». Alors que les conséquences réelles, lorsque vous pensez à la résilience, et pourquoi nous nous concentrons sur la résilience, nous allons passer à des choses comme DORA, parce que l'effet d'entraînement, disons, d'une grande banque est important, n'est-ce pas ? Ces informations ne sont pas suffisamment signalées, de sorte que le public normal, mais uniquement le grand public, n'ait toujours pas le moment idéal pour comprendre pourquoi la cybersécurité est si importante.

10:09 Indy Dhami

Oui, c'est vraiment une bonne remarque. Et, vous savez, j'ai essayé de démêler ces questions difficiles et de me demander pourquoi. Et jusqu'à ce que cela touche personnellement de nombreuses personnes, vous savez, elles ne sont généralement pas conscientes de la cybersécurité et de son importance. Je me rappelle avoir eu cette conversation avec elle lors d'un événement familial, d'une fête de famille, alors que je parlais à un médecin. Et vous savez, il a en quelque sorte eu une conversation ici : « Alors, qu'est-ce que c'est, que faites-vous ? » Et j'ai expliqué un peu le type de travail que je fais. Et vous pouvez voir ce moment de panique lui traverser l'esprit en pensant : « Eh bien, en fait, nous avons beaucoup de données sensibles, nous sommes très exposés, je n'ai aucune idée de la façon dont mon cabinet gère toutes ces informations sensibles que nous avons. Et je ne sais pas si nous pourrions nous en remettre. Et curieusement, environ un an plus tard, nous avons vu l'incident de WannaCry et NotPetya avoir eu un impact sur le NHS. Et je pense que c'était, pendant un certain temps, c'était assez courant, les gens étaient vraiment inquiets à ce sujet. Mais ensuite, ça s'en va. Tout redevient normal. Et encore une fois, les gens ne sont peut-être pas très intéressés, comme je l'ai dit, jusqu'à ce que quelque chose se répercute et que leur compte bancaire soit piraté et que de l'argent soit transféré. Donc, il semble que c'est toujours l'une de ces zones qui est peut-être considérée comme absente, vous savez, ce sont les gens assis dans des pièces sombres avec des sweats à capuche en train de pirater des objets. Mais en réalité, il existe un large éventail d'acteurs de la menace, qu'ils soient originaires. Oui, vous pouvez laisser ce gamin très intelligent stéréotypé assis à la maison pirater des entreprises commerciales hautement organisées, très organisées et très rentables. Au point où, vous savez, certaines de ces organisations sont très frustrées par le fait que les scripts kiddies nuisent à leur réputation, parce que vous savez, elles ont la réputation d'être connues pour avoir attaqué une organisation avec leur ransomware. Ils le savent, ils vous restitueront les clés de déchiffrement s'ils payent. Alors que d'autres organisations ne sont peut-être pas aussi éthiques, n'est-ce pas ? C'est fou d'y penser. Mais c'est ce monde souterrain obscur dont beaucoup de gens ne sont pas vraiment conscients et qui fonctionne à la lumière du jour.

12:23 Raghu Nandakumara

Oui, absolument. Et je pense à l'éthique des rançongiciels, ou des acteurs malveillants, et certains acteurs malveillants sont en quelque sorte très fiers de l'éthique dont ils font preuve. Alors que d'autres, vous ne connaissez tout simplement pas ce concept selon lequel, si vous payez la rançon, nous divulguerons vos données. Ce qui m'inquiète, c'est que s'ils ont vos données, Dieu seul sait ce qu'ils vont en faire, que vous payiez la rançon ou non. Passons donc en quelque sorte à votre rôle aujourd'hui. C'est vrai. Et lorsque vous êtes engagé par vos clients, c'est vrai. Et c'est une question très générale. Quelle est généralement la première question qu'ils vous posent ?

13:09 Indy Dhami

En général, la première question qu'ils m'ont posée, en fonction de différents scénarios, mais vous savez, je peux en penser à une qui me tient à cœur en ce moment est la suivante : vous savez, nous avons, nous pensons que nous n'avons plus envie de prendre des risques, en matière de cybersécurité, n'est-ce pas ? Peux-tu nous aider à revenir à la tolérance ? Maintenant, souvent, la première question que je pose est la suivante : comment définissez-vous votre appétit pour le risque ? Ensuite, quels sont les points de données qui vous permettent de déterminer si vous vous situez à l'intérieur ou à l'extérieur de ce niveau de tolérance ? Mais ce que je constate, c'est que dans de nombreuses organisations, et pas seulement dans le secteur des services financiers, une déclaration quelque peu controversée est que des données médiocres entraînent des réponses fondamentalement erronées à cette question, que nous soyons à la hauteur ou non de notre appétit. Et il y a plusieurs raisons à cela. Du moins du point de vue de la cybersécurité, il s'agit généralement de la couverture des contrôles et des sources de journalisation. Vous pourriez avoir un SOC ou un SIEM qui gère et surveille votre parc. Mais ce que vous lisez, ce que beaucoup de personnes âgées ne réalisent pas, c'est qu'en fait, vous n'avez qu'un faible pourcentage de couverture parce que vous n'avez pas accès à certaines technologies. Certaines de vos applications critiques ont été développées il y a si longtemps qu'elles ne produisent peut-être pas les journaux dont vous avez besoin pour vous donner cette visibilité claire, à savoir si quelqu'un peut entrer dans votre réseau puis le traverser latéralement. Ainsi, la gestion des risques s'applique également du point de vue de la résilience opérationnelle. Mais si vous ne comprenez pas votre patrimoine, vous ne disposez pas des données correctes pour vous donner une idée plus claire de tout ce que vous avez au sein de votre entreprise, ainsi que de vos tiers et quatrièmes parties. Comment pouvez-vous alors prendre les décisions appropriées en matière de gestion des risques ? Il est fondamentalement imparfait.

14:53 Raghu Nandakumara

Oui, absolument. Et le simple fait de vous entendre dire que cette dernière partie est correcte, cela me relie en quelque sorte à des réglementations comme DORA qui viennent tout juste d'entrer en vigueur et qui seront en quelque sorte vraiment actives d'ici l'année prochaine ou au début de l'année prochaine, où je veux dire, vous êtes à peu près mot pour mot ce que vous venez de dire, n'est-ce pas ? Vous devez commencer par bien comprendre comment les éléments de votre environnement interagissent, mais aussi comment vos fournisseurs interagissent tous avec vous au niveau des systèmes, toutes vos dépendances en amont et en aval, n'est-ce pas ? Il ne s'agit pas simplement d'un niveau de processus métier, mais d'un niveau de système, afin que vous puissiez ensuite comprendre votre exposition, puis mettre en place les bons contrôles.

15:37 Indy Dhami

Ouais. Je veux dire, et aussi, tu as mentionné DORA. Il y en a beaucoup, non ? Et la seule chose que je constate, c'est que c'est presque là que les gens sont fatigués par l'énorme quantité de réglementations, qu'il s'agisse de cybersécurité ou de résilience opérationnelle, qu'il y a beaucoup de chevauchements. Et vous savez, c'est probablement à un point critique où, vous savez, certaines organisations disent, curieusement, que nous venons de le voir dans les journaux aujourd'hui. Une grande banque britannique a d'ailleurs déclaré qu'elle abandonnait une grande partie de sa fonction de gestion des risques parce que cela entravait sa capacité à innover, ce qui, pour moi, est une position très étrange. Si l'on tient compte de ce que je viens de dire ici, le grand nombre de menaces, le paysage des vulnérabilités, augmente de jour en jour, de façon exponentielle, n'est-ce pas ? Ce qui a ensuite un effet d'entraînement sur vos risques systémiques et vos risques de contagion. C'est donc une position vraiment intéressante dans laquelle nous nous trouvons en ce moment. Parce que nous assistons à de plus en plus d'attaques et que de plus en plus d'organisations sont confrontées à des pannes, comme nous l'avons vu il y a quelques semaines, si vous vous souvenez bien, un détaillant de grande rue et une poignée de détaillants rencontraient des problèmes avec certains de leurs traitements de paiement. Bien qu'il n'ait pas été confirmé s'il s'agissait d'une cyberattaque, cela souligne tout de même qu'il existe un risque systémique, le risque de contagion, selon lequel si un fournisseur d'infrastructures critiques qui fournit des services à un certain nombre d'organisations, en cas de panne, l'impact en est qu'en fin de compte, pour certaines organisations, il n'a pas de plan d'urgence.

17:08 Raghu Nandakumara

Oui, je n'ai pas pu acheter mon rouleau de saucisse végétalien chez Greg's il y a quelques semaines. C'était une dure journée, ce jour-là.

17:20 Indy Dhami

Tu dois opter pour le plat plein de matières grasses.

17:23 Raghu Nandakumara

Parlons donc de la réglementation. Et je pense que vous avez tout à fait raison, et j'ai travaillé dans le secteur des services financiers pendant un certain temps, avant mon poste actuel, et que ce défi constant, la pression réglementaire, le besoin de conformité, en particulier lorsque vous travaillez pour une organisation mondiale qui doit se conformer à tous ses régulateurs mondiaux est un défi de taille. Alors, voyez-vous la transformation ou l'évolution des réglementations qui tentent de devenir plus unificatrices, de sorte qu'elles utilisent peut-être des mots légèrement différents, mais que leur demande est à peu près la même ?

18h00 Indy Dhami

Oui, je suis totalement d'accord. Et j'ai eu cette conversation il y a quelques semaines avec un ami à propos de l'objectif de choses comme DORA, et je pense que la prémisse est correcte, non ? Il ne s'agit plus simplement de s'assurer que vous êtes en bonne santé financière, mais que vous avez maintenu un service opérationnel opérationnel et résilient. Malgré les perturbations causées par un problème informatique, une cyberattaque, quelle qu'elle soit, l'entreprise a été capable de résister et de s'en remettre, voire de poursuivre ses activités alors que vous subissez un stress important en raison d'une panne ou d'une cyberattaque. Et, vous savez, de la façon dont je vois les choses dans certaines de ces réglementations, il s'agit de changer l'orientation des approches très cloisonnées pour répondre aux exigences réglementaires pour en faire un sport d'équipe, à mon tour, vous devez avoir votre directeur de la sécurité informatique à la table de DORA. Cependant, vous devez également avoir la personne responsable de toutes les ressources humaines, ou la personne responsable de vos opérations commerciales, ou vous pour vos services commerciaux importants. Et les organisations les plus matures dans lesquelles je travaille, avec lesquelles je travaille, abordent les choses de cette façon. J'ai tous ces principaux intervenants autour de la table. Ils ont compris qu'il y a certains rôles à jouer pour chacune de ces fonctions, et ils travaillent ensemble. Je veux dire, c'est la plus grande réussite de la scène. Je veux dire, de nombreuses organisations considèrent la DORA et les autres réglementations comme une simple activité rotative à laquelle nous devons nous conformer. D'un point de vue culturel, je pense que cela a un impact bien plus positif. Eh bien, en janvier de l'année prochaine, nous verrons si c'est correct. Mais au moins, dans le cadre du travail que nous faisons actuellement en matière d'analyse des lacunes et de programmes de remédiation, vous savez, certaines de ces principales parties prenantes sont enfin à la table des négociations et comprennent et apprennent davantage sur ce que font leurs pairs dans votre fonction de sécurité ou même du point de vue cybernétique, certains des RSSI en apprennent davantage et interagissent davantage avec leurs clients, leurs parties prenantes commerciales à qui ils fournissent le service.

20:16 Raghu Nandakumara

J'adore le terme que vous venez d'utiliser pour décrire la façon dont DORA impose réellement, disons, la résilience opérationnelle, la cyberrésilience pour en faire un sport d'équipe, car en tant que praticiens de la sécurité, d'accord, je me souviens quand j'ai obtenu mon CISP, c'est vrai, comme le dit la théorie, Security InfoSec, à cette époque devait être un sport d'équipe, tout le monde devait être impliqué. Mais pendant trop longtemps, au sein des organisations, vous avez eu la fonction de sécurité, puis vous avez, disons, l'application, la fonction de développement commercial. Et je pense que vous avez cité l'exemple d'une grande banque disant qu'en fait, nous réduisons en quelque sorte notre équipe chargée des risques parce qu'elle fait obstacle à la transformation. C'est vrai. Donc. Je trouve donc que c'est formidable, la cybersécurité est désormais considérée comme un sport d'équipe et le fait que la réglementation le permette est probablement la première chose positive que l'on ait eu à dire à propos de la réglementation, n'est-ce pas ? Pour ce qui est de ce que cela permet. Donc je pense que c'est une aubaine.

21:24 Indy Dhami

Mais vous devez considérer ces choses comme positives. C'est vrai. De nombreuses organisations avec lesquelles je travaille commencent à se rendre compte que, d'accord, il y a des choses dans ce que vous faites quand vous examinez certains de ces règlements, vous vous rendez compte que nous faisons déjà beaucoup de ces choses. Hein ? Il est simplement structuré différemment. Et il y a des recoupements avec d'autres réglementations. Tant que vous adoptez une approche intelligente, vous n'avez pas besoin de reproduire et de recréer quelque chose de nouveau pour répondre à certains de ces domaines clés. Et en fait, lorsque les lacunes sont identifiées, mettent en évidence les domaines dans lesquels ils peuvent avoir besoin d'investissements supplémentaires. Ainsi, par exemple, avec DORA, vous avez tout ce volet sur le partage d'informations, et c'est un sujet très brûlant en ce moment, car il s'agit de savoir comment, comment et quand partagez-vous des informations, si vous êtes victime d'une violation dans différentes juridictions, avec des réglementations différentes. Vous savez, si vous devez faire un rapport aux États-Unis, la SEC a des exigences différentes de celles qu'elle impose ici pour l'ICO. Gérer ces informations de manière sécurisée et en toute certitude de pouvoir fournir des informations factuelles est l'un des grands défis de DORA. Je veux dire, si nous pensons à d'autres domaines, l'élément des tests de résilience opérationnelle numérique, c'est vrai, qui est une déclaration très, très générale, qui pourrait inclure des tests de stylet, il pourrait s'agir d'examiner votre logiciel et votre code et de s'assurer qu'ils sont enregistrés et déconnectés et que les développeurs n'ont pas un accès incorrect. Ensuite, il aborde un certain nombre de domaines différents tels que la gestion des identités et des accès, la sécurité des réseaux, c'est très, très granulaire. Mais si vous travaillez dans l'industrie depuis assez longtemps, il n'y a rien de révolutionnaire dans la mesure où il s'agit simplement d'une harmonisation et d'une focalisation qui ont été mises en lumière grâce au niveau granulaire du texte des normes réglementaires qui figurent dans le règlement.

23:16 Raghu Nandakumara

Oui, je suis d'accord. Absolument C'est vrai. Et comme vous, j'ai passé quelques heures à me plonger dans les moindres détails de la réglementation. Et je suis d'accord pour dire qu'aucune des réglementations n'oblige les organisations à faire, et nous avons longuement parlé de la DORA, mais pour être honnête, nous pourrions remplacer la DORA par un certain nombre d'autres réglementations qui ont été adoptées à l'échelle mondiale au cours des deux dernières années, qui sont toujours ancrées dans le fait de supposer que l'inattendu va se produire, n'est-ce pas ? Qu'il s'agisse d'un événement environnemental, d'une éruption volcanique, d'une cyberattaque ou d'une attaque dans votre environnement ? Et que mettriez-vous en place pour vous assurer d'avoir la meilleure compréhension de votre environnement, n'est-ce pas, pour être en mesure de faire preuve de résilience face à ce droit, de limiter son impact, afin de pouvoir continuer à être productif tout en récupérant cette petite partie de celui-ci ? Et ce que je pense être mieux aujourd'hui avec ces réglementations, c'est que l'objectif global est beaucoup plus clair. Hein ? Les raisons pour lesquelles les organisations devraient le faire sont beaucoup plus claires. Es-tu d'accord ?

24:27 Indy Dhami

Ouaip Oui, tout à fait d'accord. Et, tu sais, nous avons passé beaucoup de temps sur Dora. Mais si vous prenez ces deux éléments, par exemple, vous savez qu'il y a d'énormes chevauchements en ce qui concerne la gestion des risques, la responsabilité des entreprises, les obligations de reporting, la continuité des activités, puis un ensemble de mesures minimales, les éléments qu'elles doivent mettre en place. J'ai regardé DORA et NIST2, puis je suis retourné en 2004 à 2005, alors que j'étais chez Mercedes, et nous mettions en œuvre la norme ISO 2700 1. Et pour être honnête, il n'y a rien de fondamentalement différent, et c'était le cas, c'est un article de la norme qui parle de responsabilité de la direction, qui, encore une fois, correspond exactement à ce que dit Nizza à propos de la responsabilité des entreprises. Il s'agit de donner le ton depuis le sommet, de mettre en place les mécanismes de leadership et de gouvernance appropriés, de former les personnes afin qu'elles sachent, vous savez, ce qu'il faut faire lorsque le pire se produit. Donc, je veux dire, c'en est une, c'est l'une de ces choses que nous sommes dans l'industrie depuis assez longtemps. Il s'agit simplement de différentes imprégnations de normes et de contrôles qui sont désormais au premier plan et qui font peur à certaines organisations face à ce nouveau risque potentiel d'amendes en cas de non-respect des nombreuses réglementations qui s'appliquent spécifiquement à leur secteur d'activité. Et je pense que cela a été passé sous silence pendant de nombreuses années. Vous savez, comme je l'ai dit, certaines organisations avec lesquelles j'ai travaillé disent, Indy, cela ne nous est jamais arrivé, vous savez, personne ne sera intéressé par les données que nous détenons tant que je ne commencerai pas à me poser des questions plus approfondies sur : « D'accord, rappelle-moi ce que fait ton entreprise, rappelle-moi qui sont tes clients et réfléchis aux personnes qui pourraient bénéficier de l'accès à ces informations, puis de leur utilisation à d'autres fins ». Donc, vous savez, je veux dire, cela tient compte du fait que cela ne fait pas si longtemps, et c'était probablement au cours des dix dernières années. Cependant, cela a changé. Et je dois dire que de nombreux membres du conseil d'administration et administrateurs non exécutifs sont devenus plus avertis en ce qui concerne les questions nécessaires et difficiles à poser aux RSSI. Donc, vous savez, il faut un processus un peu pénible pour y arriver. Mais je pense que nous y sommes maintenant. Mais cela met en évidence le fait que de nombreuses organisations ont tout simplement sous-investi dans la sécurité pendant de très nombreuses années, et qu'il n'est pas possible d'y remédier en disant : « D'accord, mettons en place un programme de remédiation et je retrouverais mon appétit pour le risque dans un délai de six à neuf mois ». Étant donné qu'il y a des années et des années d'infrastructure technologique dont certaines sont hors support dans de nombreuses organisations. Microsoft ne corrigera donc pas certains des serveurs dont disposent ces organisations. Il est donc presque impossible d'essayer de trouver des mesures correctives pour certains RSSI.

27:09 Raghu Nandakumara

Oui, je suis d'accord. C'est vrai. Et ça l'est, mais ça l'est, je trouve que c'est génial. Je pense que ce que vous avez évoqué, c'est que des cadres similaires sont bien plus ou bien mieux informés et commencent à se poser les bonnes questions, n'est-ce pas ? Et je pense que c'est ce changement. Si je me connectais, je passais d'une approche axée sur la conformité à une approche axée sur la résilience et la productivité à bien des égards, n'est-ce pas ? Et dire au CISO que ce que vous nous offrez nous permet d'être plus productifs, n'est-ce pas ? Ça ne l'est pas. Je veux dire que la conformité est importante, mais elle doit vraiment garantir que nous ne compromettons pas la productivité. J'ai donc réalisé qu'il s'agissait d'un podcast Zero Trust, et nous n'avons pas mentionné Zero Trust. Alors, parlons-en. Hein ? Fondamentalement, tout ce dont nous parlons tourne autour de l'objectif de Zero Trust, et cela figure également dans les règlements. Alors oui, empruntons cette voie.

28:02 Raghu Nandakumara

Allons-y, allons-y. Alors, commençons, non ? Nous en avons donc entendu beaucoup d'autres sur ce podcast et tout le monde partage en quelque sorte son interprétation de Zero Trust ou une analogie qu'il utilise. Alors, Indy, la scène est à toi. Alors, quelle est votre analogie avec Zero Trust ?

28:22 Indy Dhami

Nous en avons parlé il y a quelques semaines, à la suite de conversations que j'ai eues avec des amis et des collègues, ceux qui travaillent sur le projet de néon en Arabie Saoudite. Et cela m'a sauté aux yeux : vous savez, si vous deviez construire une nouvelle ville, si vous aviez l'opportunité de la construire à partir de zéro, comment procéderiez-vous pour instaurer la confiance et la confidentialité, et appliquer presque cette analogie Zero Trust à la construction de la ville ? Et cela m'a fait penser que, vous savez, si vous pensez au Royaume-Uni, c'est un pays très traditionnel, construit de façon traditionnelle depuis de très nombreuses années. Mais si tu en avais l'occasion, que ferais-tu ? Et si vous pouviez vous concentrer, probablement plus sur le modèle de type américain, et j'ai passé du temps chez Mercedes, à Milton Keynes. Donc, utilisez légèrement ce modèle avec le système de réseau, mais vous considérez les pâtés de maisons comme des segments de charge de travail. Et dans notre ville imaginaire, vous savez, chaque bloc représenterait un segment de charge de travail différent. Maintenant, vous le savez peut-être, ces blocs seront des spécifications de logement. Il peut s'agir de services ou de charges de travail, mais tout comme les îlots comportent des zones industrielles résidentielles et commerciales, nos îlots auraient des objectifs différents. Il peut s'agir de serveurs Web, de bases de données ou de passerelles de paiement. Et puis pour cela, vous auriez aussi des rues, vous auriez aussi votre code de la route, n'est-ce pas ? Les rues relient donc ces blocs, comme un chemin de réseau. Ensuite, vous avez votre trafic, c'est-à-dire vos paquets de données. Vous êtes, ils circulent également entre les blocs. Alors vous pensez que nous aurions besoin d'une microsegmentation de Zero Trust pour mettre en place des règles spécifiques pour chaque rue. Certaines rues peuvent n'autoriser que certains types de véhicules et de données spécifiques, tandis que d'autres sont complètement fermées. Et puis vous avez probablement des points de contrôle de sécurité, à l'entrée de chacun de ces blocs, vous savez, il y a un point de contrôle de sécurité, considérez-le comme un gardien, avant d'autoriser quiconque à passer, ou ce paquet de données, maintenant cela doit être vérifié, la nécessité de faire vérifier cette identité et la raison pour laquelle ils traversent cette zone en particulier, puis seul le trafic autorisé est autorisé. Ensuite, j'ai pensé qu'il pourrait y avoir ces voies Zero Trust. Donc, dans la ville, vous avez des voies spéciales qui, vous savez, sont super sécurisées à chaque feu de signalisation qu'ils auraient besoin d'une autorisation explicite pour passer. Mais vous auriez également besoin de quelque chose en matière d'isolement et de confinement en cas d'incendie dans un bloc en particulier, cela pourrait être une cyberattaque, vous savez, avez-vous un moyen de segmenter qui puisse garantir qu'il ne se propage pas à votre autre bloc. Et puis ce sont les blocs qui ne sont pas affectés. Et vous gérez ça, cet incendie, cette brèche dans ce domaine en particulier ?

Et puis, pour votre ville, vous devrez également personnaliser la signalisation, chaque pâté de maisons ayant ses propres politiques de sécurité. Ils pourraient alors dicter qui entre, qui va, comment ils communiquent. Par exemple, vous savez, vous avez votre bloc de base de données, et le panneau peut indiquer que seules les requêtes de base de données autorisées sont autorisées, n'est-ce pas ? Donc, de mon point de vue, vous devez également être dynamique. Au fur et à mesure de l'évolution d'une ville, les urbanistes ajustent ses rues, ses points de contrôle, puis votre microsegmentation permettrait d'adapter l'évolution des charges de travail, des applications, vous avez un nouveau cloud, de nouveaux contrôles cloud qui arrivent. Donc, en résumé, si vous deviez construire une ville et appliquer cette analogie Zero Trust, je pense que je m'y prendrais de cette façon. Maintenant, je ne suis pas urbaniste, je ne peux pas prétendre l'être. Mais vous savez, c'est peut-être une analogie intéressante. Cela m'est juste venu à l'esprit. Il n'y a pas si longtemps.

32:11 Raghu Nandakumara

J'imagine SimCity, l'édition Zero Trust, d'accord, sur la base de ce que vous venez de dire, et je pense que nous devrions inciter tous ceux qui s'intéressent à la cybersécurité, à la cybersécurité et à l'InfoSec à y jouer, et nous devrions établir un classement et voir qui peut concevoir la meilleure ville protégée Zero Trust. Qu'en penses-tu ?

32:31 Indy Dhami

Oui, c'est un très bon jeu. J'y jouais avant. Et aussi un parc à thème, si vous vous souvenez du parc à thème, et cela vous fait penser différemment. Et je pense que c'est un professionnel de la sécurité. Je pense que nous l'avons tous, tu sais. J'ai vu à de nombreuses reprises des dirigeants se présenter devant le conseil d'administration et commencer à parler dans un langage technique. Et il s'accroche presque à certains membres de la haute direction. Alors, comment le rendre plus facile à comprendre ? Comment faire en sorte que cela trouve un écho auprès d'eux et comment l'appliquer à ce qui les préoccupe ? L'une des choses essentielles que je fais toujours quand je parle aux cadres, c'est de me dire ce qui vous motive ? Qu'est-ce qui te motive ? Qu'est-ce qui t'occupe ? Et ce qui vous permet de vous concentrer sur votre rôle, car la responsabilité de l'équipe de sécurité est de vous permettre de vous assurer que nous ne sommes pas une fonction de police. Nous ne nous contentons pas de dire « Non, désolée, tu ne peux pas faire ça ». Nous pensons à cela comme si nous étions des personnes intelligentes qui s'y connaissent en matière de sécurité, d'un point de vue technique. Hein ? Alors, comment pouvons-nous contribuer à dynamiser l'entreprise ? Et comment communiquons-nous avec eux dans une langue qui leur tient à cœur ? Et je pense que c'est toujours l'un des grands défis que je vois, c'est que les forums reçoivent toujours des rapports d'analyse des vulnérabilités, ou non, voici un aperçu des contrôles techniques. Et beaucoup d'entre eux s'en soucient simplement, mais ils n'ont pas besoin de s'en soucier. Ils ont besoin de connaître les résultats commerciaux. Vous savez, en quoi cela nous aide-t-il à construire un nouveau centre de données dans un endroit différent ? Ou comment cela nous permet-il de créer une nouvelle application pour les appareils mobiles qui nous permettra de fournir de nouveaux services à nos clients ?

34:04 Raghu Nandakumara

Oui, je suis tout à fait d'accord. Hein ? Je pense que c'est très important en tant que professionnels de la sécurité, et maintenant que je travaille chez un fournisseur, en tant que fournisseur de sécurité, de pouvoir me connecter vraiment comme nous le faisons, n'est-ce pas ? Avec la raison pour laquelle il est important d'aimer l'objectif que nous essayons d'atteindre en fin de compte. Et dans une organisation, ce n'est pas grave, quel est l'objectif commercial ? Et ensuite, comment fonctionne quoi, comment fonctionne notre programme ? Quel est le lien entre cela et l'objectif commercial ? Et pensez-vous que, par exemple, la stratégie Zero Trust et les organisations qui adoptent une stratégie Zero Trust sont en mesure de mieux expliquer comment cette stratégie s'aligne sur les objectifs commerciaux, ou est-ce toujours le cas ?

34:52 Indy Dhami

Je pense qu'il y a deux, probablement deux types de personnes, celles qui peuvent bien raconter l'histoire et l'articuler dans un langage que le conseil d'administration peut comprendre et que les dirigeants comprennent, l'entreprise comprend. Et ceux qui se concentrent toujours sur les contrôles technologiques. Maintenant, j'en vois de plus en plus ; heureusement, je suis plus à gauche et j'explique ce que c'est que Zero Trust. Et il s'agit de planter ce décor. Si vous le définissez de la bonne manière, et si vous le faites résonner auprès de ces dirigeants, je pense que vous pouvez réussir à mettre en œuvre cette approche Zero Trust.

35:26 Raghu Nandakumara

Alors, que pensez-vous de l'adoption d'une stratégie Zero Trust ? Hein ? Est-ce que vous constatez que de plus en plus d'organisations ont réellement cette initiative de haut niveau qui fait l'objet d'un suivi, disons au niveau du CISO ? Ou est-ce quelque chose qui se répand dans chaque partie du programme CISO et qui n'est pas nécessairement dénoncé explicitement ?

35:49 Indy Dhami

Il s'agit probablement d'une combinaison des deux. Dans certaines organisations, cela fait partie intégrante de leur stratégie informatique, mais aussi de leur résilience opérationnelle, n'est-ce pas ? Parce qu'il a été positionné de manière tellement convaincante. C'est une évidence. Et puis il y a l'autre aspect, l'autre aspect, par osmose, ou simplement par pur hasard, qui se produit dans un certain nombre de ces programmes de transformation et qui est abordé à un stade précoce de la conception. Et les organisations le gèrent de cette façon. Ce n'est donc probablement pas à ce stade que tout le monde le comprend. Il est mis en œuvre pour les bonnes raisons.

36:26 Raghu Nandakumara

Et qu'est-ce qui entre en ligne de compte lorsque vous vous adressez à vos clients et que vous les aidez à établir une stratégie Zero Trust, n'est-ce pas ? Quel est le type de chemin généralement emprunté ?

36:43 Indy Dhami

En général, ma façon d'aborder les choses est de toujours commencer par ce que vous essayez de faire en tant qu'entreprise. C'est vrai. Et il y a de très nombreuses années, on m'a enseigné cela, et je ne vois toujours pas beaucoup de professionnels le faire, qu'il s'agisse de choisir votre stratégie commerciale, de consulter le rapport annuel, de comprendre ce que l'entreprise essaie de faire, puis de superposer le sien. Voici comment la sécurité et comment Zero Trust peut nous aider sur ces quatre piliers stratégiques. Et si vous pouvez décrire cela d'une manière assez simple, c'est toujours le meilleur point de départ, car vous pouvez ensuite commencer à entrer dans les contrôles technologiques que nous devons mettre en œuvre sur chacun de ces points. Et il s'agit de le décomposer de manière consommable.

37:29 Raghu Nandakumara

Et pensez-vous que, je veux dire, d'après ce que nous entendons, ce type de Zero Trust, c'est toujours qu'il a été surcommercialisé ? Et je suis d'accord, non ? Je pense que, dans une certaine mesure, il est surcommercialisé. Mais y a-t-il une véritable reconnaissance ? Maintenant, je fais généralement partie d'une sorte de communauté de praticiens qui, en tant que stratégie, est absolument robuste, et vous devez réfléchir, pour prendre le train, correctement, et réfléchir à la manière dont vous allez la mettre en œuvre.

38:03 Indy Dhami

Malheureusement, c'est comme de nombreux autres mots à la mode, probablement trop commercialisé, et pour de nombreuses organisations prétendant fournir des fonctionnalités Zero Trust. Ils ne le font pas. Ils peuvent le faire sous certaines formes. Mais, tu sais, c'est malheureusement devenu l'un de ces mots à la mode. Encore une fois, si vous avez quelqu'un qui peut l'articuler, vous savez, si c'est vraiment ciblé, vous vérifiez explicitement, ou si vous vous authentifiez et autorisez toujours en fonction des informations disponibles dont vous disposez, concentrez-vous sur l'accès le moins privilégié. Mais il y en a un autre, un autre terme, qui n'est probablement pas utilisé tant que ça, c'est aussi un principe de moindre fonctionnalité. Alors oui, tu as le moindre privilège. Mais aussi, si vous avez, vous savez, des personnes dotées de droits d'accès spécifiques et que vous souhaitez limiter le nombre de fonctionnalités qu'elles peuvent avoir avec leurs informations d'identification particulières. De plus, je pense que de nombreuses organisations ont commencé à accepter un état de compromis, elles commencent, vous savez, parce qu'elles commencent à le voir et, malheureusement, plus nous cherchons à identifier notre domaine, plus vous vous rendez compte du problème que vous avez sous la main, à savoir son arme à double tranchant.

39:24 Raghu Nandakumara

C'est une excellente citation, non ? Plus vous partez à la découverte de votre domaine, plus vous vous rendez compte du problème que vous avez, que vous n'avez jamais eu. Et je pense que c'est aussi assez effrayant, car cela indique simplement à quel point nous en savons peu sur notre domaine. C'est vrai. Et je pense que c'est la prise de conscience à laquelle de nombreuses organisations se rendent compte lorsqu'elles lancent cela, c'est que je ne sais pas vraiment ce que je fais, n'est-ce pas ? Alors, comment surmonter cette bosse ?

40h00 Indy Dhami

Je veux dire, c'est probablement parfois un moment difficile, beaucoup de gens essaient d'éviter de savoir, vous savez, j'ai eu, des RSSI qui m'ont dit que je préférais ne pas soulever cette dalle de pavage, à cause de toutes les bestioles effrayantes qui vont en sortir en courant. Et il atterrira ensuite sur mon bureau pour essayer d'y remédier. Et j'ai rejoint celui-ci. Un de mes clients a déclaré : « J'ai rejoint l'organisation il y a deux ans, mais je ne peux pas être responsable du sous-investissement et de la mauvaise conception technologique des 20 dernières années ». Donc, comme je l'ai dit, c'est une arme à double tranchant, mais en nous y prenant de la bonne façon, en nous concentrant sur, d'accord, comprenons ce que nous avons, allons-y et commençons à découvrir notre entreprise, l'État. Et c'est un vaste bol de spaghettis. Maintenant, soyons honnêtes, ce n'est pas une tâche facile d'identifier tous vos composants technologiques, vous savez, et à l'époque de l'ITIL, peut-être encore l'idéal, avec votre CI comme éléments de configuration. Vous comprenez, et vous disposez d'une carte documentée et d'un inventaire de chaque élément de configuration que vous avez dans votre État, la plupart des organisations diront probablement non.

Mais alors, dans quelle mesure auriez-vous vraiment besoin d'en savoir, n'est-ce pas ? Pour vous assurer de votre résilience ? Peut-être 80 à 90 %, vous pourriez vous en tirer avec, vous savez, un écart. Malheureusement, de nombreuses organisations n'atteignent probablement même pas ces 80 % de visibilité sur l'ensemble de leur patrimoine, surtout si vous en avez peut-être plus avec les organisations qui sont nées principalement dans le cloud, c'est probablement plus simple pour elles. Mais ce n'est pas chose faite, car ils ont ensuite leurs tiers, puis leurs quatrièmes. Et certaines réglementations vont fournir un niveau de détail si précis quant aux attentes quant à la visibilité de ce que vous connectez aux parties et aux fournisseurs de services en matière de connectivité à votre patrimoine. Encore une fois, c'est quelque chose de quelque peu nouveau pour de nombreuses organisations, qui ont ensuite la capacité de sortir et d'avoir cette conversation avec les fournitures essentielles.

41:57 Raghu Nandakumara

Je dirais que le cloud vous fournit les outils nécessaires pour vous faciliter la tâche. Mais si vous ne suivez pas les meilleures pratiques, vous risquez de créer un problème encore plus grave, simplement à cause de la capacité à générer si rapidement toutes sortes de ressources, n'est-ce pas, au moins en tant que fonction de verrouillage dans votre centre de données, à savoir : « Ah, vous voulez un nouveau serveur dans le centre de données, cela prendra six semaines ».

42:23 Indy Dhami

Mais il est intéressant de noter que si vous pensez à certaines des violations importantes que nous avons constatées ces dernières années, certaines d'entre elles se sont produites dans le cloud en raison de l'absence d'accès et de droits d'accès à un utilisateur privilégié qui est devenu orphelin. Ensuite, un acteur de la menace accède à ces informations et les utilise pour se déplacer dans l'organisation. Et il est intéressant de noter que je ne suis pas sûre que vous ayez vu cela. Certaines organisations discutent de la question de savoir si c'est moins cher pour moi de ne plus utiliser le cloud, car les coûts augmentent en flèche. Et en particulier, certaines des nouvelles réglementations qui ont un impact sur les coûts supportés par les fournisseurs de cloud, car ils sont désormais également sous le feu des projecteurs en matière de réglementation. Et la question qui se pose est de savoir qui sera responsable. Et qui en assume les coûts, qui les absorbe ? Et il est fort probable que ce ne seront pas les fournisseurs de cloud qui auront des répercussions sur leurs clients. Et est-ce moins cher que de rester dans le cloud ou de construire à nouveau leurs propres centres de données, ce qui est vraiment une situation étrange, car nous revenons à ce que nous étions il y a de nombreuses années. Et cela dépend peut-être de la taille et de l'envergure de l'organisation. Mais pour une petite ou moyenne entreprise, ce n'est peut-être pas aussi rentable qu'il nous l'a dit il y a de très nombreuses années.

43:45 Raghu Nandakumara

Oui, j'ai certainement lu beaucoup de ces études, et tout se résume à ceci : pour tirer parti des avantages de l'économie du cloud qui sont commercialisés, vous devez être très précis quant au type d'applications que vous y exécutez, à la façon dont vous les concevez, afin de bénéficier de tout ce type de fonctionnalités, par exemple, à la demande pour une véritable optimisation.

Je voudrais revenir à ce que vous avez dit, c'est vrai, vous parlez de la quantité de données, de la quantité d'informations dont vous avez besoin pour pouvoir progresser. C'est vrai. Et les organisations éprouvent des difficultés. Et souvent, ils ne savent même pas nécessairement à 80 % ce qu'ils ont dans leur succession. Alors, comment, quelle quantité d'informations est suffisante pour commencer à progresser, n'est-ce pas, parce que je pense que c'est l'obstacle à l'adoption de Zero Trust. L'un des obstacles est que je ne pense pas disposer de tous les bons points de données. Je vais donc attendre, alors quelle est votre réponse ?

45h00 Indy Dhami

Oui, je veux dire, c'est un très bon point que vous avez soulevé parce que, dans de nombreux cas, c'est maintenant le moment où il est normal de ne pas avoir toutes les données, n'est-ce pas ? Nous pouvons prendre des décisions éclairées, non ? Nous pouvons utiliser les points de données dont nous disposons et, vous savez, créer un tableau de bord par le passé ou créer un tableau de bord pour qu'une équipe de direction puisse dire que nous répondons à ces quatre questions que vous nous avez posées, vous savez, dans quelle mesure sommes-nous sécurisés, vous savez, que recherchons-nous ? Quels sont nos principaux domaines d'intérêt ? Et quand et le tableau de bord reposaient fondamentalement sur le degré de confiance que nous avons dans les points de données que nous avons un statut rouge, orange et vert. Nous pouvons répondre à cette question car je dispose de tous les points de données et de tous les journaux qui me permettent de répondre en toute confiance à cette question sur notre niveau de sécurité. Cependant, en ce qui concerne certains des autres points que vous pourriez avoir, vous pourriez avoir tous les points qui vous intéressent ; nous ne répondons qu'à 50 % parce que le statut est orange ; nous n'avons que partiellement les informations nécessaires pour être en mesure de répondre à cette question. Et c'est là que des choses comme la quantification des cyberrisques entrent réellement en jeu. En ce moment. Beaucoup de nos clients viennent nous demander cela. Alors, comment appliquer la quantification des cyberrisques si nous ne disposons pas de tous les points de données ? car il s'agit certainement d'un exercice où nous avons besoin de tout pour pouvoir vraiment le quantifier. Et ce n'est pas la bonne approche. Il s'agit de prendre ce que nous avons, d'utiliser nos connaissances existantes, de faire appel à un jugement subjectif, jusqu'à un certain point. Mais vous savez, passer à ce modèle de quantification des risques, qui repose fondamentalement sur ce que le secteur financier utilise depuis des années, n'est-ce pas, lorsqu'il s'agit de prédire l'évolution du marché, vous savez, et appliquer cette logique, qui vous permet ensuite de parler le langage des affaires dans le monde de la finance, mais son application à la cybersécurité a eu un impact vraiment important pour le moment.

46:47 Raghu Nandakumara

Oui, et je pense que c'est tout à fait juste, parce que vous devez être capable de progresser avec autant d'inconnues, d'accord, cela et souvent des inconnues que vous avez et sur lesquelles vous n'avez aucun contrôle. C'est vrai, et pas autrement, ça va généralement stagner et la perfection est en quelque sorte l'ennemie du progrès.

Donc, un peu comme si j'avais hâte, non ? En fait, avant de nous tourner vers l'avenir, je voudrais revenir à la nouvelle que vous avez mentionnée au sujet d'une organisation de services financiers qui réduit essentiellement ses cyberrisques pour certains. Désolée si je l'ai mal cité, c'est juste leur fonction de risque, non ? L'objectif, comme la réduction de leur fonction de risque afin de réduire leur capacité à se transformer. C'est vrai, et innove. Et il ne fait aucun doute que l'approche que les organisations devraient adopter consiste à rapprocher ces fonctions. Pour que l'innovation puisse se produire de manière sûre, correcte, sécurisée dès sa conception, et tout ça. Ainsi, pour que vous soyez en quelque sorte ce que vous construisez, la sécurité soit impliquée très tôt, de sorte que vous sachiez qu'ils sont sécurisés au moment de la construction. Ce n'est pas le cas. Vous n'allez pas demander d'approbation plus tard. Je veux dire, qu'en penses-tu ? Est-ce que cela a été pris, parce que cela va certainement à l'encontre de ce que nous sommes en train de prêcher en tant que meilleure pratique.

48:26 Indy Dhami

Ça l'est. Et je pense qu'il y a une opportunité d'harmonisation. Et c'est quelque chose que je prêche depuis de nombreuses années. Et en fait, l'un des livres blancs que j'ai écrits il y a des années disait que le moment était venu de faire converger le risque, la sécurité et la fraude, du point de vue des services financiers. Et malheureusement, ces fonctions, je constate toujours que le risque et la sécurité se rejoignent de plus en plus souvent. Mais la fraude reste une activité cloisonnée. Ce qui, vous savez, n'a pas beaucoup de sens, car les éléments que vous surveilleriez recouperaient ceux surveillés par les équipes de cybersécurité. Mais ils ont investi dans un outillage important. Et cela tient probablement en partie au fait que l'approche cloisonnée a entraîné des dépenses importantes pour un certain nombre d'outils. Vous savez, du jour au lendemain, un client m'a dit que si vous pensez à tous les outils du marché de la cybersécurité, j'en ai probablement un de chaque. Hein ? Oui, le budget, est-ce que c'est si important ? Mais s'ils en tirent vraiment le meilleur parti, ils n'optimisent pas. Certaines organisations avec lesquelles j'ai travaillé disposaient de près de 20 outils SIEM différents à travers le monde, car une organisation en Allemagne avait choisi d'acheter des outils pour développer ses propres opérations, et quelqu'un aux États-Unis avait fait de même. Et c'est probablement toujours l'état dans lequel nous nous trouvons. Et ce qui, vous savez, ne sera pas le cas pour l'entreprise, comme le pensent les chefs d'entreprise, car c'est fondamentalement assez cher. La réponse était donc de supprimer une partie de cette équipe chargée des risques. Vous savez, cela réduira certains coûts et nous permettra d'innover, mais cela les exposera ensuite à un certain nombre d'autres domaines qu'ils n'ont probablement pas encore envisagés ou qu'ils ont peut-être déjà envisagés, car certaines organisations sont prêtes à faire face à une réserve d'urgence en cas de violation ou d'une amende liée au RGPD. Et c'est parfois une décision commerciale qui permet d'accepter que le pire va nous arriver. Et nous devrons y faire face au fur et à mesure, quand cela se produira, si jamais cela se produit. Parce que cela m'a déjà été dit, mais vous savez : « Toutes ces affaires cybernétiques, c'est vraiment une sorte de police d'assurance, n'est-ce pas ? Parce que cela ne nous arrivera peut-être pas. Nous ne tirons pas notre argent de notre investissement. »

50:31 Raghu Nandakumara

Mais cela vous aide à gagner de l'argent en sachant que vous êtes protégé du mieux possible.

50:40 Indy Dhami

Parfois, cela ne suffit pas.

50h45 Raghu Nandakumara

Parfois, cela ne suffit pas. Alors d'accord, regardons le futur. Le diseur regardera dans sa boule de cristal. Hein ? Quels sont, selon vous, les défis auxquels le secteur des services financiers sera confronté au cours des prochaines années, du point de vue de la cybersécurité ?

51:00 Indy Dhami

Donc, pour moi, vous ne serez probablement pas surpris de l'utilisation de l'IA, à la fois du point de vue de la détection et du contrôle, mais aussi pour les acteurs de la menace qui utilisent un certain nombre d'outils d'IA différents, l'apprentissage automatique pour automatiser fondamentalement certaines de leurs attaques, ce qui leur permet de réduire le coût d'entrée. Parce que certains d'entre eux, comme je l'ai mentionné, certains de ces acteurs de la menace hautement organisés ont des personnes qui travaillent manuellement. Cela réduit leur coût mais augmente également la surface d'attaque, ce qui leur permet d'attaquer en continu pendant leur sommeil. Donc, l'IA ne fait qu'un, et l'émergence de l'informatique quantique, qui aura un effet d'entraînement sur tout, car elle le peut, elle peut alors neutraliser toutes les mesures de cryptage et tout ce que vous avez mis en place. Donc, pour moi, ce n'est probablement pas seulement pour FS. C'est l'industrie pour tous les secteurs.

52:01 Raghu Nandakumara

Oui, et pour ceux qui regardent la vidéo et qui se demandent ce que je faisais, c'est ma fille qui a débranché mon chargeur, alors j'ai dû le brancher avant de me couper. Donc oui, et je pense que nous entendons parler à la fois des effets de l'IA et du type de potentiel qu'offre l'informatique quantique, en particulier en ce qui concerne la façon dont elle peut potentiellement rendre les algorithmes cryptographiques actuels essentiellement, non pas inutiles, mais très vulnérables, juste pour être en mesure de le faire, d'être en quelque sorte piratés en un temps mesurable. Mais pour ce qui est de l'IA, bien sûr, très d'actualité, pas surprenant que vous y soyez allé, en termes d'utilisation réelle des attaques par les attaquants de l'IA, c'est vrai, nous entendons évidemment, disons, d'accord, ils pourraient créer de profonds faux, ils pourraient créer de géniaux e-mails de phishing que vous, cela, vous et moi serions susceptibles, d'accord, d'oublier en quelque sorte que mon père clique sur tout ce qu'il reçoit, mais qu'en est-il de la menace de, comme un ransomware qui se trouve dans votre organisation et qui a accès à une sorte d'IA de génération ? Afin de vous adapter en temps réel ? Est-ce que tu vois ça ? Par exemple, nous en avons vu des exemples dans le cadre de recherches, mais dans quelle mesure pensez-vous que cela va être réel ? C'est ça ?

53:22 Indy Dhami

Je pense que ce sera réel, vous savez, cela fait plusieurs années que je pense à l'IA et j'ai écrit un article de blog sur, vous savez, si cela ouvre un job de Pandore, plutôt qu'une boîte ? Parce que techniquement, c'était un travail. Et je pense que nous en sommes à ce stade où, vous savez, en fait, l'un de mes bons amis et collègues a parlé, vous savez, de l'utilisation de l'IA ? Selon lui, c'est comme si vous invitez un vampire chez vous. Et il est trop tard. Il s'agit donc potentiellement d'une menace pour vos acteurs malveillants. Il s'agit de votre propre utilisation interne de l'IA. Comment peux-tu lui faire confiance ? Est-ce qu'il produit les résultats que vous attendez ? Peut-il être altéré ? Hein ? Le modèle crée-t-il alors quelque chose de complètement inattendu, qui a ensuite un effet d'entraînement sur un certain nombre d'autres composantes de votre entreprise ? Cette érosion de la confiance est donc une source de préoccupation majeure pour de nombreuses organisations. Vous avez évoqué le deepfake et l'élément. Nous voyons des deepfakes très, très sophistiqués qui, comme vous l'avez dit, seront facilement dupés par les professionnels de la sécurité.

C'est donc une époque très inquiétante dans laquelle nous vivons actuellement. Parce que c'est, vous savez, comment faites-vous vraiment confiance, et comment pouvez-vous ensuite vérifier si la personne à qui vous parlez, à l'autre bout de ce podcast, par exemple, est la personne à laquelle vous vous attendez ?

54:54 Raghu Nandakumara

Exactement, je veux dire, je ne suis peut-être pas du tout Raghu, non ? Juste une version deepfake. Je parle d'une version deepfake d'Indy. Donc, alors que nous terminons. Vous, vous êtes évidemment très concentré sur un secteur hautement réglementé, sur les bons services financiers parmi les plus réglementés, sinon les plus réglementés au monde. Qu'est-ce qui vous excite, mais aussi qu'est-ce qui vous fait peur dans un futur proche ?

55:21 Indy Dhami

Donc, ce qui m'excite, c'est, en fait, ses gens. Les personnes avec qui je travaille, les clients avec qui je travaille, et vous faites des choses vraiment intéressantes, il y a beaucoup d'innovation. Comme si le monde avait beaucoup changé. Si vous revenez à la façon dont nous interagissons avec tout au quotidien, la technologie est omniprésente, à des fins vraiment intelligentes, pour des cas d'utilisation vraiment intéressants et pour certains avantages pour la santé, également. Donc, vous savez, l'ingéniosité et l'innovation de l'homme, vous savez, c'est formidable. J'adore lire sur les nouvelles technologies, et j'adore aussi lire sur certaines technologies qui nous permettent de voir de plus en plus loin dans l'espace. Je suis époustouflé quand ils découvrent certaines de ces planètes dont la taille est inimaginable. Mais ce qui me fait peur, c'est que je vois parfois des organisations faire la même chose encore et encore et s'attendre à un résultat différent. Et c'est, pour moi, la définition de la folie.

56:18 Raghu Nandakumara

Oui, totalement. Je veux dire, je suis tout à fait d'accord. Et c'est là que je pense qu'en fait, lorsque nous réfléchissons à la manière dont nous protégeons notre avenir, il ne s'agit pas nécessairement de devoir faire de nouvelles choses. Il s'agit vraiment de faire preuve de fermeté dans la façon dont nous abordons un grand nombre des bases qui sous-tendent, disons, la cybersécurité depuis si longtemps, n'est-ce pas ? En tant que praticien, je pense que c'est ce qui me préoccupe toujours. Chaque fois que je vois la prochaine technologie, je trouve que c'est formidable. Mais il y a encore tant de choses qu'il nous reste à corriger.

56:57 Indy Dhami

Les bases, les éléments de base, vous savez, et je vais revenir sur ce que j'ai dit à une époque chez Mercedes. Nous avons construit ce système de gestion de la qualité qui intégrait tous les processus, la sécurité était intégrée, certains de mes collègues n'y travaillent plus, nous les avons recrutés Indy. « Ce que nous faisions là-bas à l'époque était tellement en avance, vous savez, nous ne le voyons toujours pas maintenant ». Parfois, vous vous rendez dans des organisations pour me montrer vos processus documentés. Et vous avez, vous savez, tout un tas de systèmes différents qui sont probablement obsolètes, la politique n'a pas été mise à jour depuis de très nombreuses années. Maintenant, et je pense qu'il s'agit de bien établir vos bases avant de commencer à essayer d'acheter la nouvelle technologie brillante et géniale. C'est vrai. Mais si vous ne parvenez pas à établir les bonnes bases, réfléchissez à la manière dont vous pouvez atténuer vos risques et mettre en place vos contrôles de gestion des risques. Et cela revient fondamentalement à ce qu'est la cyberrésilience et à la résilience opérationnelle. Disposez de ces éléments fondamentaux qui vous permettent de continuer à fonctionner si vous êtes attaqué, si vous perdez votre espace de bureau pour une raison quelconque, vous pouvez toujours exercer vos activités en tant qu'entreprise, car tout revient à la question suivante : quel est votre objectif principal de toute entreprise ? C'est vrai. Et si nous pouvons les soutenir dans notre parcours en tant que leader de la sécurité, c'est fantastique, et c'est ce qui me motive.

58:15 Raghu Nandakumara

Oui, tout à fait raison. Ayez de bonnes bases pour continuer à fonctionner et à innover.


58:25 Indy Dhami

Exactement.

58:29 Raghu Nandakumara

Oh, Indy, ce fut un réel plaisir de discuter avec toi. Je pense que nous avons tout prévu pour pouvoir continuer encore quelques heures, assez facilement pendant quelques heures. Comme je l'ai dit, non ? Je pense que nous pourrions vous donner une saison 3 ou 12 épisodes rien que pour vous. Bien, désélectionnez Mercedes, désélectionnez votre temps chez KPMG, Accenture, etc. Mais merci beaucoup.

À nos auditeurs, consultez les notes de l'émission pour obtenir un lien vers les ressources de conformité DORA d'Illumio, où vous trouverez tout ce que vous devez savoir sur cette importante ordonnance. La sécurité Zero Trust contribue à la mise en conformité avec la DORA, qui a un impact sur toutes les entités bancaires, de services financiers et d'assurance opérant au sein de l'UE. Restez à l'affût du prochain épisode consacré à l'exploration détaillée de la réglementation DORA de l'UE.