Démêler le concept Zero Trust dans l'enseignement supérieur

0:00:03 Raghu Nandakumara : Bienvenue sur The Segment : A Zero Trust Leadership Podcast. Je suis votre hôte, Raghu Nandakumara, responsable des solutions industrielles chez Illumio, la société de segmentation Zero Trust. Aujourd'hui, je suis rejoint par George Finney, directeur de la sécurité de la Southern Methodist University. À la SMU, George supervise tous les aspects de la cybersécurité et de la sécurité physique, en trouvant des moyens créatifs d'améliorer les protections nouvelles et existantes. George est également l'auteur à succès de plusieurs livres sur la cybersécurité, dont Project Zero Trust et Well Aware : Master the Nine Cybersecurity Habits to Protect Your Future. George se joint à nous pour parler de ses expériences avec Zero Trust dans l'enseignement supérieur. Aujourd'hui, nous examinons les éléments culturels de la cybersécurité, ce que Zero Trust n'est pas et les raisons pour lesquelles les projets Zero Trust échouent. George, c'est un réel plaisir de t'avoir en tant qu'invité sur notre podcast. La première chose que je voudrais vous demander est la suivante : comment un diplômé en droit peut-il passer de l'obtention de son diplôme en droit à un stage en droit, puis à un poste d'ingénieur réseau, puis de directeur de la sécurité à la SMU ? Cela représente un certain nombre de changements de direction.

0:01:16 George Finney : En fait, j'ai étudié les arts libéraux pendant mes études de premier cycle, ce qui signifie que j'ai beaucoup étudié la philosophie et les mathématiques, différentes choses, les langues. J'ai appris à parler le grec ancien. Une expérience vraiment géniale. Et quand je suis sortie de l'université, j'ai pensé que j'allais devenir agent de change. En fait, j'ai passé un entretien à Wall Street et je me suis dit : « Oui, je n'aurais absolument pas envie de faire ça ». En fait, j'ai trouvé un travail chez GTE. J'ai commencé par travailler sur leurs lignes DSL, leur département. Je suis devenu ingénieur réseau à partir de là, et en fait, j'ai travaillé dans plusieurs startups différentes, l'une à Denver, puis l'autre à Dallas. Et j'ai réalisé que j'adore les startups, j'adore l'open source, et c'est pourquoi je suis allée à la faculté de droit en disant : « Hé, il y a ce truc, le GPO, je veux vraiment m'y intéresser ». Il existe de nombreuses licences open source. Lorsque j'étais à la faculté de droit, la version 3 de la GPL est sortie, j'ai en fait fait fait une recherche dirigée à ce sujet. Encore une fois, j'ai pensé que j'allais devenir avocate, je ne m'attendais pas à travailler pour la SMU pendant 20 ans, mais notre CIO m'a répondu : « Hé, nous avons vraiment besoin d'un directeur de la sécurité ». L'écriture est accrochée au mur, tous les responsables de la sécurité de l'époque se sont adressés à notre service des réseaux d'infrastructure. Et j'ai eu cette expérience en tant qu'administrateur du CIS, l'une de mes startups s'occupant du support Linux ou autre, en plus d'être ingénieur réseau.

0:02:35 George Finney : J'avais donc une formation juridique complètement dingue, sécurité du réseau et administrateur du CIS, il était donc logique de regrouper tout cela et nous avons réuni l'équipe sous mes ordres. Et bon sang, c'était juste marrant. Être dans l'enseignement supérieur, c'est comme le Far West. C'est vraiment gratifiant et c'est ce qui m'a vraiment permis d'écrire certains de ces livres. C'est simplement d'être dans un environnement vraiment attentionné à notre façon de faire les choses. Je suis là depuis si longtemps que j'ai eu la chance de développer l'ensemble du programme et de participer à tous les aspects, alors que si j'étais dans une grande organisation, je serais beaucoup plus spécialisée. Bon sang, ça a été un voyage tellement génial et incroyable.

0:03:15 Raghu Nandakumara : Oh, c'est fantastique. Et je pense que la perte de Wall Street et la perte du Barreau ont profité à la communauté InfoSec. Vous parlez donc de votre rôle en tant que CSO chez SMU, de son intérêt et de sa diversité. Je pense simplement que le rôle d'un responsable de la sécurité dans un établissement d'enseignement doit être si varié et exigeant pour de nombreuses raisons. Parce que je lisais certains des articles de blog que vous avez écrits et que vous avez expliqué comment, lorsqu'il s'est agi de parler de renforcement de la sécurité, je pense que l'un des chercheurs occupant un poste assez haut placé dans l'organisation a déclaré : « Oh, pas question, la recherche devrait être ouverte et gratuite ». Et encore une fois, une sorte de liberté universitaire. Comment parvenez-vous à concilier tous ces éléments dans votre rôle ?

0:04:01 George Finney : C'est donc intéressant. Je ne m'en étais pas rendu compte quand j'ai commencé, bien sûr. L'enseignement supérieur est vraiment très réglementé. Si, par exemple, vous travailliez dans une banque ou dans un magasin de détail, vous auriez de bonnes garanties dans ce que vous faites, alors que dans l'enseignement supérieur, nous faisons tout cela. Nous avons des prêts étudiants, ce qui nous permet de respecter les mêmes obligations qu'une banque. En même temps, nous avons un centre de santé et nous avons la loi HIPAA, nous traitons les cartes de crédit, nous avons des dossiers étudiants, nous avons des citoyens européens. Donc, en ce qui concerne les lois sur la protection de la vie privée et tout le reste, la variété est vraiment difficile. Et c'est d'ailleurs ce qui me plaît, et je pense que d'une manière générale, dans le monde de la sécurité, nous devons rester à la pointe de la technologie. Nous devons toujours trouver la prochaine nouveauté. OK, les conteneurs arrivent, comment s'y prendre ? Comment assurer la sécurité dans ce tout nouveau jeu de balle ? Et franchement, je m'ennuie très facilement. Et je pense que si j'avais fait le même travail pendant 30, 40, 50 ans, pas de problème à ceux qui font encore de la programmation en COBOL, mais bon sang, j'aurais été complètement épuisé en faisant la même chose aussi longtemps. Je dois me tenir au courant des dernières nouveautés, et la sécurité est la carrière qui m'apporte cela.

0:05:12 Raghu Nandakumara : Tout à fait. Je suis fasciné par les nouvelles choses intéressantes que soulève la sécurité et la cybersécurité sous toutes ses formes. Et en fait, vous l'avez décrit de telle sorte que nous ne pensons souvent pas aux organisations éducatives, aux institutions universitaires comme cela... C'est presque comme un conglomérat regroupant de nombreuses industries différentes. Alors, comment réunir tous ces différents départements qui ont tous des priorités et des défis différents, comment s'y prendre pour établir une culture de sécurité unifiée ?

0:05:48 George Finney : C'est vraiment difficile. Et certaines personnes disent que c'est du haut vers le bas, d'autres disent que c'est du bas vers le haut, c'est les deux. Et ce qui est vraiment unique à propos de SMU, et je n'avais rien à voir là-dedans, c'était bien avant mon époque. Mais ce que la plupart des gens savent à propos de la Southern Methodist University, c'est que nous avons obtenu la peine de mort de la NCAA, nous sommes la seule université. Donc, en 1988, vous vous souvenez du grand scandale du football où nous payions les joueurs avant que ce ne soit cool de payer les joueurs ? Tout le monde l'a bien fait, c'est nous qui nous sommes fait prendre. C'est fascinant de faire partie de l'université 15 ans plus tard, et ce n'est pas quelque chose que George a fait en tant que CSO, j'en ai hérité. Mais le fait de penser, oh mon dieu, à chaque décision que nous prenons, à chaque nouveau fournisseur, à la façon dont nous gérons les décisions financières, tout cela est influencé par cet incident. Et de nombreuses organisations ont connu des violations ou des incidents de moindre envergure. Il existe ce célèbre dicton selon lequel « il ne faut jamais gâcher une bonne crise ». Encore une fois, je pense que ce sont ces choses qui ressortent de la mémoire des gens et qui, collectivement, sont le moteur de la culture. Je voulais donc trouver des moyens d'être proactive plutôt que réactive.

0:06:56 George Finney : Ce sont donc de belles opportunités, et vous pouvez également créer ces opportunités et vous pouvez également établir des relations avec votre équipe de direction, encore une fois, cela prend du temps, mais je me souviens que lorsque j'ai lancé mon programme de phishing simulé — cela fait huit ans maintenant — et lors de la première campagne que j'ai envoyée, j'ai attrapé mon président, je ne me suis pas fait crier dessus, je n'ai pas été puni. Mais c'est fascinant parce que je connais d'autres RSSI qui ont lancé des campagnes de phishing simulées qui ont permis d'attraper leur PDG ou autre, et ils ne font plus de campagnes de phishing simulées. Vous devez donc avoir la certitude que tout le monde travaillera ensemble pour atteindre un objectif commun. Et encore une fois, lorsque vous pouvez aligner cela sur la mission de l'organisation, nous devons protéger notre communauté, nous sommes là pour protéger nos étudiants vulnérables, qui grandissent et apprennent, c'est magique. Tirer parti de cela pour contribuer à dynamiser la culture est encore une fois quelque chose de tellement incroyable que nous puissions en faire partie dans le monde de la sécurité.

0:07:50 Raghu Nandakumara : Et je pense que sur ce dernier point, on dit régulièrement que pour faire son travail en tant que professionnel de la sécurité, la première chose à faire est de comprendre l'organisation que vous protégez, et essentiellement son élément de valeur, puis le vôtre qui y est lié. Pouvez-vous donc exprimer la manière dont vous exprimez votre valeur ajoutée à votre conseil d'administration ?

0:08:15. George Finney : Oui, donc je ne sais pas si vous avez déjà vu le film de Charlton Heston, Soylent Green. Dans les années 1970, c'était un truc de science-fiction.

0:08:23 Raghu Nandakumara : Non, j'adorerais en savoir plus.

0:08:24 George Finney : Je vais gâcher la fin, mais en gros, le monde s'est tellement développé, il n'y a plus de nourriture, et il y a donc cette nourriture spéciale, appelée « Soylent Green » que les gens adorent et qui a sauvé le monde, parce que nous pouvons nourrir tout le monde maintenant, et il s'avère que... Le célèbre dicton dit que Charlton Heston n'en a plus lorsqu'il découvre ce qui se passe. Il dit : « Soylent Green, c'est des gens ! » Vous redonnez les gens à la population, mais oh mon dieu, en matière de sécurité, la sécurité, ce sont les personnes. Lorsque je discute avec notre conseil d'administration ou avec notre équipe de direction, je raconte des histoires sur les humains et sur l'impact humain sur notre organisation. Quand j'ai commencé à faire cela, j'avais un rapport de sécurité mensuel, entièrement axé sur les indicateurs, et d'accord, « Combien de blocs de pare-feu avons-nous vus » ou quoi que ce soit d'autre, ce n'était pas humain. Ce n'étaient que des chiffres. Mais d'accord, cool, ça veut dire quoi ? Quand on peut le relier à « OK, nous avons eu une personne victime d'un vol d'identité, voici l'impact sur elle », alors j'en ai fait des choses plus axées sur les articles et les histoires, et encore une fois, cela a changé le public.

0:09:34 George Finney : Je vais envoyer cette newsletter à tous les membres de l'organisation, y compris aux étudiants. Je vais le rendre accessible au public sur Internet ou le partager sur LinkedIn ou autre, et cette réponse, encore une fois, oh mon dieu, est très différente de la façon traditionnelle dont les gens font de la sécurité, où c'est une boîte noire : « Je vais jouer mes cartes près du coffre ; je ne vais pas parler de choses ». En écrivant d'autres livres que j'ai écrits, lorsque je parle à des gens, les gens veulent m'aider et ils disent : « Cela doit être confidentiel parce que je ne peux pas raconter ces histoires. Notre service des relations publiques ne veut pas que je le fasse ou j'ai un accord de confidentialité ou quoi que ce soit d'autre. » Et bon sang, si nous ne partageons pas nos histoires, la prochaine génération de responsables de la sécurité devra tout réapprendre à zéro, mais nous ne pouvons pas le faire. Nous devons garder une longueur d'avance sur les méchants et, encore une fois, raconter des histoires en tant qu'auteur, ils disent toujours « montrez, ne racontez pas ». Et je pense qu'il y a beaucoup de choses à dire lorsque nous donnons des conseils de sécurité au lieu de les montrer. C'est ce qui fait la différence.

0:10:38 Raghu Nandakumara : Absolument, et je pense que le fait d'appliquer cette sécurité totale dans l'obscurité n'est pas du tout une sécurité. Il en va de même pour les histoires. Si vous ne comprenez pas les problèmes que vous êtes là pour combattre, comment pouvez-vous comprendre comment vous allez les sécuriser ou quelle est la valeur de la sécurité en cours de construction ? Tout le monde ici est donc là pour en savoir plus sur Zero Trust et pour en savoir plus sur Zero Trust auprès de vous. Très bien, commençons par une question facile. Donne-moi ton analogie préférée avec Zero Trust.

0:11:06 George Finney : Eh bien, je vais vous donner la pire analogie, et nous partirons de là. Donc, ce que Zero Trust n'est pas... Évidemment, les deux mots impliquent un peu comme The X-Files, non ? C'est comme le « Trust No 1 » de Fox Mulder, et ce n'est pas ce qu'est Zero Trust. Donc Zero Trust... L'analogie... N'utilisez pas l'analogie X-Files. Vous devez réellement travailler avec d'autres êtres humains pour que Zero Trust devienne réalité. Bien que Zero Trust implique « ne fais pas confiance », n'adoptez pas l'approche cyniques qui consiste à dire « Bon sang, je ne peux faire confiance à personne », mais ce que nous faisons, c'est substituer le cynisme à un bon jugement. Zero Trust nécessite une analyse, un exercice réfléchi des pratiques de sécurité pour aider à protéger nos communautés. Mon analogie préférée est probablement juste un casse-tête. Ainsi, au lieu d'un M&M, qui est un extérieur croustillant et un intérieur doux et moelleux, un coupe-mâchoire est dur sur toute la surface. Donc, en termes de bonbons, si vous voulez faire du Zero Trust, faites de votre organisation une machine à couper le souffle et j'espère que les méchants se casseront les dents en essayant de le mordre.

0:12:17 Raghu Nandakumara : Cela vous ramène à la fin de l'école primaire, où vous vous rendiez dans ces magasins à sous et remplissiez votre sac de bonbons avec un tas de casses-mâchoires et de petites bouteilles colorées, etc., puis vous souhaiteriez faire attention à ces brise-mâchoires car vous avez mal aux dents à force de les mâcher. D'accord, j'adore la façon dont vous avez décrit ce qu'est Zero Trust et, plus important encore, ce qu'il n'est pas. Et certainement, le passage à propos de Zero Trust ne veut pas dire absence de confiance, et c'est souvent quelque chose que nous entendons lors de conférences, etc., presque des gens disent que je ne veux plus entendre parler de Zero Trust, et je n'aime pas le terme. Alors, quelle est la meilleure façon d'exprimer Zero Trust ?

0:12:57 George Finney : D'après ce que je pense de Zero Trust, il existe un livre phénoménal de Stephen Covey, qui est en fait le fils de Stephen Covey qui a écrit 7 Habits of Highly Effective People. Le fils Stephen Covey a également écrit un livre intitulé Speed of Trust. Et dans son livre, il soutient qu'il faut à la fois faire preuve de confiance et d'analyse pour avoir un bon jugement. Pensez donc à une matrice : sur l'axe X se trouve la confiance, ce n'est pas une chose binaire. Comme un spectre, que j'aie confiance ou non. Vous avez en fait un axe Y et l'axe Y représente l'analyse ou le scepticisme ou quel que soit le nom que vous voulez lui donner, mais vous devez avoir les deux en même temps. Si vous avez peu de confiance et peu de scepticisme, c'est une sorte de crédulité. Si vous avez peu de confiance et un grand scepticisme, vous serez indécis. Tu ne seras pas capable de faire quoi que ce soit. Covey parle d'une taxe sur les fiducies imposée à une organisation, selon laquelle si vous ne faites confiance à aucun des êtres humains qui vous entourent, vous n'arriverez à rien ou cela prendra très longtemps.

0:13:57 Raghu Nandakumara : Oui, absolument.

0:13:58 George Finney : Même chose pour les partenaires au sein de vos différentes organisations ou en dehors de votre organisation. Donc, le fait d'avoir à la fois une compréhension fondamentale de la confiance est quelque chose dont on ne parle pas nécessairement beaucoup dans les organisations, et franchement, lorsque vous entrez dans Zero Trust, la vraie question est de savoir comment identifier la confiance ? Lorsque je regarde la configuration d'un routeur informatique ou d'un serveur pare-feu, quelle est la confiance ? Comment puis-je m'en débarrasser ? C'est le but de Zero Trust, il ne s'agit pas de ne pas faire confiance aux gens, il s'agit de trouver ces sources de confiance dans nos systèmes numériques et de les éliminer. Nous le faisons depuis des années, qu'il s'agisse de la périmétrisation en tant que tactique relevant de Zero Trust. Peut-être le renforcement des serveurs, tout simplement, en supprimant tous les bloatwares provenant de n'importe quel fournisseur de système d'exploitation et vous n'avez besoin que des éléments dont vous avez besoin pour fonctionner. C'est vraiment la raison d'être de Zero Trust : réunir toutes ces tactiques distinctes. Parce que c'est ce que nous faisions. Nous mettions en œuvre des tactiques à tous les niveaux pour supprimer les trusts. Zero Trust est la stratégie globale qui nous permet de nous mettre tous sur la même longueur d'onde et de nous faire avancer dans la même direction.

0:15:03 Raghu Nandakumara : Donc, sans être trop philosophique, que signifie la confiance dans le contexte du cyberespace ?

0:15:10 George Finney : Je pense que oui, qu'est-ce qu'un trust ? De nombreuses personnes parlent de confiance, et je pense qu'en termes de système numérique, il s'agit de facilité de connexion. C'est pourquoi nous avons fait confiance à : « Je vais mettre en place une règle de pare-feu pour me permettre de parler à n'importe quel serveur de mon centre de données » (ne le faites pas d'ailleurs, c'est un mauvais conseil). C'est ce qu'il ne faut pas faire, mais c'est une question de confiance. OK, cool. Maintenant, lorsque mon ordinateur ou mon appareil est compromis, c'est ce que les malfaiteurs exploitent pour accéder librement à une organisation, c'est ce qu'ils exploitent en termes d'authentification multifactorielle. J'ai fait confiance à cet appareil aussi longtemps que vous êtes autorisé à créer une confiance. C'est un défi, et nous devons trouver le juste équilibre, et je ne pense pas qu'il y ait un compromis entre facilité d'utilisation et sécurité, je pense que c'est un mythe. Mais c'est ainsi que beaucoup de gens pensent : « mon utilisateur final, ce sont mes clients qui vont se révolter si je ne le fais pas »... Et en fait, je pense que vous en avez parlé au début, lorsque le plus haut universitaire de mon université a dit : « Ne mettez pas de pare-feu entre moi et Internet ».

0:16:16 George Finney : OK, ce qu'ils disaient en arrière-plan, c'est : « Je ne veux pas ralentir mon organisation. Je veux pouvoir effectuer mes recherches sans restriction, quelle que soit la nature de mes recherches. » Et nous devons l'activer. Et je pense que Zero Trust nous aide réellement. Alors, à un moment donné, nos clients, ou à SMU, ce sont nos étudiants, qui ont commencé à se demander : « Pourquoi ne faites-vous pas X ? » Et je pense, bon sang, si vous vous inscrivez dans une banque aujourd'hui et qu'on ne vous propose pas d'authentification multifactorielle, attendez, maintenant je ne vais pas faire affaire avec cette banque, donc à un moment donné de notre histoire, c'est devenu le Tableau 6 pour des raisons de sécurité, et je pense que pour chaque secteur, pour chaque technologie, c'est la voie à suivre. Ils sont juste en train de découvrir comment tout ça fonctionne. Nous innovons et nous n'avons pas nécessairement pensé à la sécurité en disant : « Oh mec, nous allons fermer nos portes si nous ne faisons pas de sécurité ». Et je pense que le secret du métier de CISO aujourd'hui est de passer à ce modèle de maturité pour intégrer la sécurité dès le premier jour.

0:17:15 Raghu Nandakumara : Vous avez donc parlé de choses comme, pour vous citer, je pense que vous ne pensiez pas que la convivialité, la productivité et la sécurité soient contradictoires. Vous croyez fermement que tout cela va de pair, mais vous aussi, pour citer un extrait de votre livre, vous avez dit : « Les gens de DevOps sont tous comme Ricky Bobby. Ils veulent juste aller vite. » En tant que CSO, comment fournissez-vous le cadre de sécurité nécessaire pour permettre aux Ricky Bobby's d'aller vite, mais en toute sécurité ?

0:17:48 George Finney : Je pense, encore une fois, qu'il s'agit de comprendre les humains. J'adore la blague de Ricky Bobby en fait, je l'ai utilisée avec la permission de John Kindervag qui a créé Zero Trust. Alors merci, John, pour cela. Lorsque j'ai écrit le livre, j'ai eu l'énorme avantage d'avoir John Kindervag sur un fusil de chasse et de pouvoir échanger des idées, mais je me suis dit : « Je ne suis pas un expert dans tous les domaines de la sécurité, donc je ne suis pas nécessairement un expert en identité, je ne suis pas un expert en cloud ou DevOps ». J'ai donc essayé de trouver autant d'experts que possible, et j'ai rencontré des personnes vraiment douées en DevOps Ops, les développeurs, ce n'est pas qu'ils ne veulent pas faire de sécurité, c'est parce qu'ils sont incités à... Tous leurs chefs doivent obtenir le code par la porte. Encore une fois, c'est formidable, c'est vraiment nécessaire pour de nombreuses organisations, et c'est en fait un avantage... Zoom en est un excellent exemple. Zoom est une société DevOps, alors quand — je ne vais pas le qualifier de cybercriminel, mais de hacker, un ancien membre de la NSA — a dévoilé deux Zero Days, que font-ils ? Ils disent : « Cool, nous arrêtons tout le reste et nous allons consacrer tous nos cycles DevOps à résoudre ce problème. »

0:18:59 George Finney : C'est incroyable. C'est l'une des raisons pour lesquelles DevOps contribue à la sécurité. Encore une fois, dans la communauté de la sécurité, nous avons certaines normes, et je pense que nous aimons d'abord les divulguer à une entreprise et lui donner du temps. Je ne pense pas que ce processus ait été suivi dans ce cas, donc vraiment, c'est totalement sans précédent pour une organisation de pouvoir résoudre un problème en 24 heures sans préavis. C'est une histoire incroyable, mais elle montre simplement à quel point la sécurité et le DevOps peuvent être harmonisés. Je pense que nous devons être en mesure de contacter nos partenaires, de travailler avec eux et de les rencontrer là où ils se trouvent. Une grande partie de ce que nous pouvons faire avec Zero Trust dans le monde DevOps, en particulier, c'est simplement faire partie de leur pipeline. Ils effectuent déjà des tests dans le cadre du pipeline, alors ajoutons simplement quelques tests. Pouvons-nous vérifier les secrets avant que le code ne soit envoyé ? En y réfléchissant bien, au lieu d'essayer de sécuriser le code à la fin du pipeline, Zero Trust est vraiment une question de gestion des problèmes. Éliminons des catégories entières de problèmes avant qu'ils ne deviennent un problème. Pensons à la prévention, mettons tout le monde sur la même longueur d'onde. En fait, cela permet aux directeurs techniques et aux équipes DevOps de ne pas avoir à effectuer ces correctifs à la fin du cycle ; c'est simplement intégré au processus.

0:20:14 Raghu Nandakumara : Je vais donc citer à nouveau votre livre. Je pense qu'au début du chapitre d'introduction, vous dites que le moyen le plus efficace dont nous disposons pour nous protéger en matière de sécurité interne est la prévention, et la stratégie de prévention la plus efficace est Zero Trust. Et je vais vous lancer un léger défi — alors soyez indulgents avec moi — si nous pensons dans son ensemble, l'ère de la sécurité périmétrique, disons que les années 1990 à 2000 étaient en quelque sorte l'ère de la prévention. Les mauvais acteurs se trouvaient à l'extérieur, on fait confiance à tout le monde à l'intérieur, donc tant que nous fermons la porte d'entrée ou que vous la fermez hermétiquement, tout va bien. Puis nous nous sommes rendu compte qu'en fait, cela échouait, qu'ils étaient toujours en train d'entrer, puis l'accent a été mis sur la détection et la réponse. D'accord, concentrons tous nos efforts ou la majeure partie de nos efforts sur la capacité de détecter, de réagir, de récupérer, et cela est devenu la force motrice des années 2010, je dirais. Et je dois dire également que l'ère actuelle est axée sur le confinement : en supposant que le mauvais acteur entre, nous ne serons peut-être pas en mesure de le détecter.

0:21:22 Raghu Nandakumara : L'objectif est donc de minimiser l'impact de cela, qu'en pensez-vous ? Sur l'idée que Zero Trust est vraiment une question de confinement, plus que de prévention. Qu'en penses-tu ?

0:21:34 George Finney : Techniquement, la définition que nous utilisons pour Zero Trust est celle de John Kindervag, et c'est ce que nous retrouvons dans le livre. Mais la définition du Zero Trust est à peu près comme une stratégie visant à prévenir ou à contenir les violations. Nous voulons supprimer la confiance dans les systèmes numériques et idéalement, nous allons l'empêcher. La prévention est possible, et je pense que beaucoup de gens y ont peut-être renoncé. Et l'un des principes de Zero Trust est de supposer une violation, et nous essaierons également de la contenir. Je pense donc qu'il s'agit des deux. « Une once de prévention vaut mieux que guérir », c'est vraiment vrai en matière de sécurité. Ils ont réalisé des études à ce sujet pour montrer, encore une fois, qu'il est beaucoup moins coûteux de démarrer votre pipeline de code que d'avoir à corriger les choses après coup. Je soutiens donc que Zero Trust est en fait la seule chose en matière de sécurité aujourd'hui qui répond réellement à la définition d'une stratégie. J'ai donc eu une discussion avec un autre CISO pour savoir si la défense en profondeur répondait à la définition d'une stratégie. Je soutiens que ce n'est pas le cas, mais quand on y pense, une stratégie doit comporter deux éléments. Vous devez avoir un objectif que vous essayez d'atteindre.

0:22:35.2 George Finney : Et tu dois avoir un plan pour y arriver. Et idéalement, avec une bonne stratégie, vous pouvez mesurer jusqu'où vous en êtes pour y parvenir, donc quand vous pensez à quelque chose... Encore une fois, je considère la défense en profondeur comme une tactique, mais quand on pense à la défense en profondeur, « OK, cool. Quel est l'objectif ? » Je pense que si vous examinez la définition technique de la défense en profondeur, l'objectif est d'avoir plusieurs couches afin d'éviter une défaillance dans l'une des couches. En fin de compte, s'il existe un objectif de défense en profondeur, il s'agit de faire face aux défaillances, et non de prévenir ou de contenir les violations. Avec la défense en profondeur, vous ne vous demandez pas vraiment pourquoi une couche en particulier a échoué, et beaucoup de personnes appelleront la défense en profondeur « dépenses en profondeur », car que faisons-nous ? Nous ajoutons simplement d'autres couches. C'est super. Pas efficace. Mais très bien, donc lorsque vous présentez votre planche sur quelque chose qui ressemble à « Nous allons juste ajouter un tas de couches ». « Comment sais-tu quand tu as terminé, George ? Eh bien, de combien d'argent avez-vous besoin ? » Honnêtement, si JP Morgan peut dépenser un milliard de dollars par an et se retrouver victime d'une faille, dans mon université, si je suivais la même approche, comment savez-vous qu'elle sera efficace ? Ce n'est pas une stratégie efficace.

0:23:38 George Finney : Je pense que c'est plutôt une tactique. Zero Trust est cette stratégie qui vise à impliquer toutes les équipes de la bonne manière. Nous pouvons utiliser les bonnes tactiques au bon moment afin de ne pas avoir besoin de 50 ou 100 outils pour accomplir ce que nous pouvons faire avec trois ou quatre.

0:24:00 Raghu Nandakumara : Bien sûr, je suis d'accord avec cela, mais vous avez dit quelques choses vraiment intéressantes. Vous avez parlé des coûts associés au fait de poursuivre une approche de défense approfondie sans vraiment avoir de stratégie en la matière. Aujourd'hui, en particulier en ce qui concerne les conditions macroéconomiques, il y a toute une sorte de focalisation sur le retour sur investissement, si jamais nous avons vraiment mis l'accent sur le retour sur investissement, c'est ce que nous avons en ce moment. Alors, comment la mise en œuvre d'une stratégie Zero Trust peut-elle réellement apporter non seulement des avantages en termes de sécurité, mais aussi un retour sur investissement, des coûts, une efficacité opérationnelle et une simplicité des architectures ? Comment une stratégie Zero Trust permet-elle d'atteindre ces objectifs ?

0:24:40 George Finney : Oui, donc dans le livre, nous avons utilisé la méthodologie de conception de John Kindervag pour Zero Trust. Il existe donc un processus en cinq étapes, et le fondement de ce processus en cinq étapes est le concept de surface protégée. Une surface de protection est donc l'opposé d'une surface d'attaque, et je crois savoir que Gartner a créé un mot à la mode, tel que « gestion de la surface d'attaque », dans son Hype Cycle ou son Magic Quadrant. La gestion de la surface d'attaque est un mensonge. C'est un terme marketing qui vous donne l'idée que si seulement vous pouviez réduire votre surface d'attaque, vous seriez plus en sécurité et vous ne pourrez pas réduire votre surface d'attaque. Votre surface d'attaque est celle de n'importe quel appareil du monde. Alors, lorsque vous examinez les violations de Peloton ou de Parler, que font-elles ? Les deux organisations disposaient d'une API pour accéder aux téléphones portables, d'une autre pour accéder aux tapis de course, aux vélos d'appartement ou autre.

0:25:27 George Finney : Eh bien, devinez quoi ? Les méchants viennent de rétroconcevoir cette API. Ces organisations avaient un angle mort. Ils ne l'ont pas vu et n'ont pas eu de contrôle pour détecter quoi que ce soit via l'API. Et les méchants exportateurs ont échangé toutes les données de manière utile via l'API fournie par l'entreprise. C'est la gestion de la surface d'attaque. Si vous avez une application mobile, n'importe quel téléphone mobile du monde est votre surface d'attaque. Au contraire, Zero Trust utilise ce concept de « surface de protection ». Qu'est-ce que j'essaie de protéger ? Cela nécessite de comprendre le fonctionnement de l'entreprise, de disposer d'un inventaire, de savoir quelles sont mes principales applications ou où se trouvent mes données critiques. Je vais donc contourner ce que j'essaie de protéger à l'intérieur d'une surface de protection. Et je vais suivre un processus reproductible pour protéger cela.

0:26:09 George Finney : Quand je pense au déploiement d'outils en tant que CISO, je me disais autrefois : « D'accord, je dois déployer des pare-feux partout. Je dois déployer l'EDR partout. » En fait, quand je pense à une simple surface de protection, je vais fournir des commandes sur mesure pour cette surface de protection. Ainsi, au lieu de concéder des licences pour l'ensemble de mon organisation, pour tous ces différents outils, je vais utiliser uniquement ceux qui sont nécessaires à l'intérieur d'une surface de protection donnée. Donc, si j'ai une surface de protection dotée d'une API, par exemple, je vais m'adresser à l'une de ces entreprises géniales qui intègrent la sécurité des API. Je vais mettre ça là-dedans. S'il est orienté vers le Web, je vais avoir un pare-feu pour les applications Web. S'il s'agit d'un appareil, j'ai évidemment besoin d'Endpoint EDR. Je vais avoir un pare-feu, mais je vais le préparer et le personnaliser, si vous voulez, pour protéger cette surface de protection individuelle comme elle le doit.

0:26:59 George Finney : Encore une fois, j'ai plusieurs surfaces de protection. C'est le concept de microsegmentation, une autre tactique qui relève de Zero Trust. Je vais rassembler des actifs similaires. Je vais donc limiter cet incident à cette seule surface de protection. Et comprenez comment ces autres surfaces de protection interagissent et j'espère avoir limité cela à une seule surface de protection. La véritable force de cette méthodologie de conception Zero Trust réside dans le fait de disposer de contrôles sur mesure. Et encore une fois, tout itérer, tout surveiller, tout enregistrer. Encore une fois, un autre des tenants de la méthodologie de conception. Mais avec cette boucle de rétroaction, il s'agit de : « Maintenant que j'ai ma surface de protection, comment puis-je repérer les marques de confiance ? Comment puis-je les supprimer ? » Cela passe parfois par le biais d'une architecture proactive. Je peux penser à l'avenir. Parfois, c'est par le biais de tests au stylo, d'exercices de type tableau ou d'autres choses qui m'aident à trouver mes propres angles morts. Et j'espère être proactive et le faire avant que les méchants ne me les trouvent.

0:27:51 Raghu Nandakumara : J'ai eu le plaisir d'avoir quelques conversations avec John à propos du concept de surface de protection. De toute évidence, il ne cesse de le souligner à nouveau, et c'est tout à fait logique, car je pense que certains des défis liés à l'adoption du Zero Trust sont liés à l'adoption du Zero Trust lorsque les organisations disent : « D'accord, il est vraiment difficile pour nous de suivre la stratégie Zero Trust, car comment vais-je l'appliquer à absolument tout ? » Et tu dis, en fait, non. Vous devez presque le retourner et lui dire : « Qu'est-ce que j'ai le plus besoin de protéger et de me concentrer là-dessus ? Pourquoi sommes-nous toujours confrontés à ce défi ? » Parce que, encore une fois, pour moi, il s'agit d'une stratégie Zero Trust qui relève du bon sens. Penser à la protection de la surface est une question de bon sens. Quant à savoir par où commencer. Et puis, au fur et à mesure que vous répétez, vous vous demandez constamment quelle est la prochaine étape à suivre, mais pourquoi cet obstacle à l'adoption persiste-t-il ?

0:28:42 George Finney : Oui, c'est fascinant. J'ai parlé à de nombreux RSSI avant et après la sortie du livre, et honnêtement, le dénominateur commun des personnes qui ont lancé leurs initiatives Zero Trust et qui ont échoué est à cause des personnes. Ce n'est pas la technologie, ni le fait qu'ils ne disposaient pas de tous les outils dont ils avaient besoin ou quoi que ce soit d'autre, c'était une question de politique. C'était parce que les gens ne savaient pas quoi faire. Ils ne savaient pas par où commencer. Et encore une fois, je m'en prends aux gens d'ici, mais bon sang, si la sécurité, Zero Trust est juste pour nous, les nerds de sécurité, nous allons échouer. Parce que ce ne sont pas les agents de sécurité qui doivent tout faire. Vous avez des équipes d'infrastructure, vous avez des équipes DevOps, vous avez du personnel du service d'assistance ou de l'assistance informatique. Tous les professionnels de l'informatique doivent donc être en mesure de comprendre Zero Trust.

0:29:30 George Finney : Et si, en tant que CISO, je n'arrive pas à comprendre Zero Trust à cause de tout ce battage marketing ou quoi que ce soit d'autre et qu'il y a tant de choses similaires à la concurrence, si je n'arrive pas à le comprendre, comment puis-je m'attendre à ce qu'un nouvel ingénieur réseau au sein de mon organisation soit capable de mettre en œuvre Zero Trust ? C'est vrai, oh mon dieu. Évidemment, la bonne réponse est maintenant d'acheter le livre de George, Project Zero Trust, disponible sur Amazon et Audible et de leur demander de faire tomber les barrières. Ou nous pouvons simplement le rendre très simple. Mais encore une fois, tout le monde doit comprendre Zero Trust pour que nos projets autour de Zero Trust soient couronnés de succès.

0:30:03 Raghu Nandakumara : Oui, je suis d'accord. Et je pense que ce que j'aime dans le livre, il y a beaucoup de raisons d'aimer, mais ce que j'ai aimé, c'est la validation des progrès, l'exercice sur table qu'ils proposent. Et ceux d'entre vous qui n'ont pas encore lu le livre ou ne l'ont pas encore écouté, vous en aurez la référence quand vous l'aurez lu. La validation est si importante que je pense qu'en tant que professionnels de la sécurité, nous ne faisons pas assez de véritable validation. Alors pourquoi est-ce particulièrement important de montrer le retour sur investissement de votre type de programme Zero Trust, mais également d'obtenir la confirmation que vous faites des progrès ?

0:30:40 George Finney : Oui, et encore une fois, c'est une autre des raisons pour lesquelles les projets Zero Trust échouent. Lorsque j'ai discuté avec d'autres RSSI, le temps moyen nécessaire pour une transformation Zero Trust est de 3 à 5 ans, selon votre point de départ, mais cela peut varier de quelques années. Mais oh mon dieu, pensez à la rotation des cadres, à la rotation des RSSI et au cycle budgétaire. Donc, si vous ne constatez pas de progrès d'année en année, comment continuez-vous à le justifier ? Comment continuez-vous à obtenir de l'aide ? En tant que CISO, vous devriez être là pour développer des relations et renforcer la confiance, mais cela consiste en partie à diviser Project Zero Trust en petits morceaux. Dans le livre, nous avons donc suggéré que leur voyage durait six mois et qu'il était motivé par la sortie d'un nouveau projet de produit.

0:31:26 George Finney : Ils ont donc dû le terminer avant une certaine date. Je pense que cela correspondait vraiment bien à l'entreprise. Tous les chefs d'entreprise se sont rendu compte que oui, nous avons lancé ce nouveau projet ou produit, nous avons eu quelques incidents de sécurité, nous voulons que les gens y participent et soient convaincus que nous allons fournir une bonne sécurité et de bons produits. Si nous ne le faisons pas, nous pensons [rires] que le nouveau produit ne sera pas compétitif sur le marché. Et encore une fois, il s'agit de s'aligner sur l'entreprise, de relier les points. Cela ne veut pas dire : « Nous savons que nous avons ce nouveau projet, un produit qui sortira dans six mois. Nous en aurons fini avec Zero Trust dans cinq ans. » Non, encore une fois, il existe un modèle de maturité Zero Trust. Il y en a un dans un livre qui a été béni par Kindervag lui-même. Il y en a également un maintenant de la CISA.

0:32:08 George Finney : Je fais donc partie du groupe de travail de la Cloud Security Alliance sur Zero Trust et Kindervag. Chase Cunningham et d'autres collaborent avec la CISA pour obtenir le bon document. Mais ouah, je pense que nous travaillons ensemble. Oh mon dieu, la communauté de la sécurité travaille ensemble ! — avoir une définition cohérente du Zero Trust. Quelque chose pour commencer au lieu de dire « Je dois aller voir Forrester et Gartner et accepter le paywall » et j'entends toutes ces startups me lancer des produits Zero Trust. D'accord, passons à une définition cohérente que nous pouvons tous accepter. Et parlez de, d'accord, j'ai un outil qui peut vous aider dans votre parcours Zero Trust. Non, j'ai l'outil qui répond à tous vos besoins en matière de Zero Trust. C'est ce que nous voulons vraiment. Encore une fois, nous devons simplifier les choses et réunir tout le monde autour de la table.

0:32:52 Raghu Nandakumara : Oui, absolument, comme tout ce truc de pouvoir presque le regarder en six mois, par blocs à la fois. Et s'aligner sur un modèle de maturité et être capable de dire que dans six mois, nous voulons être ici, dans 12 mois, nous voulons être là, est une façon tellement plus digeste de pouvoir adopter et de corriger le cap, sinon c'est en quelque sorte : « Financez ce programme quinquennal, mais ne venez pas nous demander où que ce soit d'ici cinq ans ce que nous avons fait ».

0:33:22 George Finney : Encore une fois, dans deux ans, l'entreprise utilisera peut-être une technologie complètement différente ! Comment vous y prenez-vous en termes de Zero Trust ? Mince, ouais. Vous devez en faire une approche étape par étape. Ainsi, la devise de l'entreprise fictive dans le livre, le nom de l'entreprise est March Fit, et la devise de leur entreprise est « chaque étape compte ». Et chaque étape est importante car vous devez effectuer une étape pour activer l'étape suivante. Il n'est pas nécessaire qu'il s'agisse de grandes étapes. Vous n'avez pas besoin de courir, vous pouvez marcher, les petits pas comptent, et je pense que c'est l'approche du Zero Trust. Nous nous améliorons toujours étape par étape. Tout le monde peut venir marcher avec nous et faire en sorte que ce soit inclusif. C'est vraiment ce qui va changer.

0:33:53 Raghu Nandakumara : Oui. 100 %. Alors, regardons vers l'avenir, tournons-nous vers 2023. En tant que CSO, qu'est-ce qui vous inquiète le plus ?

0:34:02 George Finney : Bon sang, tout le monde. Je pense honnêtement qu'il y a eu beaucoup d'épuisement professionnel pendant la pandémie. Je pense que le recrutement est évidemment le plus grand défi. Je pense que cette grande démission est très préoccupante, car cette bataille est menée au sein de nos équipes de direction de différentes organisations. Comment continuer à garantir la sécurité ? Comment pouvons-nous continuer à améliorer les organisations et chacune de nos transformations numériques uniques ? Je pense que nous devons continuer à investir dans les ressources humaines pour continuer à progresser. Et si nous cessons de le faire, encore une fois, la sécurité sera toujours à la pointe de la technologie. Donc, si nous ne nous consacrons pas à l'apprentissage continu, à l'apprentissage tout au long de la vie, nous finirons par prendre du retard. Et je pense que lorsque vous êtes surchargée et que vous êtes épuisée, la première chose à faire est de dire : « Je vais arrêter de lire, je vais arrêter d'écouter des livres sur cassette » ou quoi que ce soit d'autre.

0:34:47 George Finney : Cela va nous faire reculer de plusieurs années. Nous devons accueillir de nouvelles personnes au sein de la sécurité. Je n'arrête pas d'entendre que les gens sont rebutés par la sécurité parce que c'est du genre à faire peur à Fox Mulder. Je veux faire quelque chose qui aide les gens et la sécurité aide les gens, mais si nous refusons des personnes à la sécurité parce que nous n'investissons pas dans les ressources humaines, nous publions des descriptions de poste qui sont censées être des débutants mais qui nécessitent 20 ans d'expérience avec Zero Trust. Bien sûr, pensez à certaines descriptions de poste qui font état de 20 ans d'expérience avec Zero Trust. Devinez quoi ? Kindervag a inventé Zero Trust il y a 12 ans.

0:35:26 Raghu Nandakumara : Ouais. Excellent. Exactement.

0:35:28 George Finney : Bref, je vais aller chercher ma boîte à savon.

0:35:29 Raghu Nandakumara : Vous prêchez ici aux convertis. Je suis donc tout à fait d'accord. Je crois que j'ai presque l'impression que ce n'est pas loin de voir des institutions universitaires proposer des diplômes de premier cycle en Zero Trust. Alors George, ce fut un réel plaisir de m'adresser à vous aujourd'hui. J'ai vraiment apprécié la conversation et elle aurait pu durer éternellement. S'il vous plaît, allez consulter le dernier livre de George, Project Zero Trust : A Story About a Strategy for Aligning Security and the Business, sur Amazon, ou aimez-moi si vous préférez le lire par les oreilles plutôt que par les yeux, allez le consulter sur Audible. George sera très content d'apprendre que je suis presque sûr de détenir le record du monde pour la rapidité avec laquelle ce livre est terminé. Donc oui, j'ai en quelque sorte trouvé le temps entre hier et aujourd'hui pour me débrouiller. Je n'ai pas oublié un mot, à l'exception de l'annexe. Je dois avouer que je n'ai pas écouté l'annexe. C'est fantastique. J'ai l'impression qu'aujourd'hui, dans notre conversation, j'ai été le Dylan, ou le Luke Skywalker de l'histoire, et vous avez vraiment joué le rôle d'Obi-Wan. J'apprécie donc le temps passé, George, merci beaucoup de passer ce temps avec nous.

0:36:32 George Finney : Merci beaucoup de m'avoir invité.

0:36:37 Raghu Nandakumara : Merci d'avoir écouté l'épisode de The Segment de cette semaine. Pour encore plus d'informations et des ressources Zero Trust, consultez notre site web à l'adresse illumio.com. Vous pouvez également communiquer avec nous sur LinkedIn et Twitter à l'adresse Illumio. Et si vous souhaitez participer à la conversation d'aujourd'hui, vous pouvez retrouver nos autres épisodes partout où vous pouvez accéder à vos podcasts. Je suis votre hôte, Raghu Nandakumara, et nous reviendrons bientôt.