Survivre aux mauvais jours dans le cloud

00:03 Raghu Nandakumara: Bienvenue sur The Segment : A Zero Trust Leadership Podcast. Je suis votre hôte, Raghu Nandakumara, responsable des solutions industrielles chez Illumio, la société Zero Trust Segmentation. Aujourd'hui, je suis rejoint par Shawn Kirk, responsable mondial de la commercialisation de la sécurité chez Amazon Web Services. Chez AWS, Shawn est chargé de diriger l'équipe mondiale de spécialistes de la sécurité et de la conformité. Avant d'occuper ses fonctions actuelles, Shawn a passé 20 ans dans le secteur de la sécurité, dans des entreprises de réseaux et en démarrage, où il a occupé divers postes de développement commercial et de vente. Aujourd'hui, Shawn se joint à nous pour discuter du modèle de responsabilité partagée, de l'amélioration progressive du Zero Trust dans le cloud et de la compréhension de l'économie et du retour sur investissement du cloud. Salut Shawn, merci beaucoup de nous avoir rejoint sur The Segment, c'est un plaisir de t'avoir parmi nous.

00:52 Shawn Kirk: Absolument, Raghu, j'apprécie que tu m'aies invité.

00:54 Raghu Nandakumara: Je sais que vous travaillez dans le secteur de la sécurité depuis environ 20 ans. Expliquez-nous comment vous en êtes aujourd'hui chez AWS.

01h02 Shawn Kirk : Si nous remontons au début des années 2000, je sortais tout juste de l'armée de l'air où j'étais instructeur de survie en tout genre. Donc, enseigner aux gens quels insectes manger et quels insectes ne pas manger, et ce genre de choses. Et je me suis rendu compte que je n'allais probablement pas passer 20 ans à prendre ma retraite dans l'armée, que je devais réfléchir à une carrière, et qu'il n'y avait pas beaucoup de demande, du moins à cette époque, pour des personnes ayant des compétences en matière de survie.

01h23 Shawn Kirk : J'ai donc dû commencer à réfléchir à des alternatives et, pour une raison ou une autre, je me suis également retrouvée en tant qu'expert résident en MS-DOS au sein de notre escadron de chasse dont je relevais. J'ai donc mis deux et deux ensemble et je me suis dit : « Eh bien, si je m'en vais, peut-être que je ferai quelque chose dans le domaine de la technologie. » J'ai fini par me séparer, m'en aller, et je suis passée à l'approvisionnement technologique. J'ai été responsable des achats pendant un certain temps, puis cela m'a vraiment ouvert l'appétit pour la technologie. Je suis donc passé à un poste d'administrateur réseau, puis à un poste d'administrateur système. Finalement, j'ai été choisi par Cisco en tant qu'architecte de solutions ou certains l'appellent ingénieur système. Je l'ai donc fait pendant un bon moment. Ce faisant, encore une fois, très tôt, la sécurité n'en était qu'à ses balbutiements et a été intégrée à des projets clients vraiment intéressants sur lesquels je travaillais, si vous vous souvenez de Cisco PIX et des directeurs locaux.

02:09 Raghu Nandakumara: Ouais, ouais.

02:10 Shawn Kirk: Alors j'étais en train de travailler sur ces sujets et puis, du jour au lendemain, je me suis retrouvée experte en matière de sécurité, car cela arrive parfois. À partir de là, je suis passée de l'ingénierie des systèmes à la vente et à la commercialisation, ce que je recevais d'innombrables saloperies de la part de mes pairs SE, qui me demandaient constamment pourquoi je ferais quelque chose comme ça. Et c'est drôle, ma réponse était invariablement : vous vous souvenez qu'il y a eu un braqueur de banque dans les années 1950. C'était un gars qui s'appelait Willie Sutton. Et quand ils ont finalement attrapé Willie Sutton, ils l'ont fait asseoir et ils lui ont dit : « Hé, pourquoi cambrioles-tu des banques ? » Et Willie répond : « Parce que c'est là qu'ils gardent l'argent. » Hein ? C'est donc généralement la raison pour laquelle je suis passée du statut de SE à celui de vendeur.

02h51 Shawn Kirk : Bref, pour terminer, il y a quatre ans, j'ai reçu un appel du recruteur AWS disant : « Hé, nous sommes en train de faire de nouvelles choses ici. Voulez-vous prendre la direction de nos activités de commercialisation dans le domaine de la sécurité ? » Le reste appartient donc à l'histoire.

03:03 Raghu Nandakumara: J'adore l'histoire. Et je vais juste revenir à quelque chose au début. Vous êtes devenu l'expert MS-DOS résident. Ce doit être un titre assez spécialisé à détenir, en particulier au début des années 2000. Je me demande ce que vous êtes encore en train de faire en fouillant MS-DOS au début des années 2000.

03:16 Shawn Kirk: Ouais. Cela avait beaucoup à voir avec Edlin, mes talents d'Edlin, si tu t'en souviens.

03:22 Raghu Nandakumara : Ouais. Et c'est drôle, l'histoire raconte aussi comment vous avez dit à vos homologues de la SE, lorsque vous êtes passé à une approche plus axée sur la commercialisation, en leur disant : « Que faites-vous ? » Et je m'y associe parce que lorsque je suis passée du statut de client à celui de fournisseur, les commentaires que j'ai reçus de mes collègues me demandaient : « Allez-vous passer du côté obscur ? » Et j'ai dit que c'était pour la même raison. Je veux juste revenir à ce que vous avez dit à propos du fait d'être cet expert résident de MS-DOS. Et donc, à partir de là, au-delà d'aujourd'hui et de votre rôle au sein du plus grand hyperscaler au monde, pilotant GTM pour la sécurité. Quelles ont été vos observations sur l'évolution de ce que nous consommons du point de vue technologique, sur la façon dont nous le consommons, sur les tendances qui l'ont façonnée et sur la situation actuelle ?

04:08 Shawn Kirk: Nous venons d'assister à une telle évolution, en particulier dans le domaine de la sécurité en ce qui concerne la façon dont nous envisageons les modèles mentaux de sécurité, et nous aborderons certaines de ces questions, je pense, un peu plus tard, en ce qui concerne la sécurité qui vient d'être complètement bouleversée. Et puis, bien entendu, l'avènement de l'hyperscaling, du cloud privé et du cloud public vient d'apporter une transformation complète en permettant aux entreprises de mener leurs activités de manière transformatrice et de réfléchir à leurs stratégies de mise sur le marché. Mais en même temps, cela a créé de grandes opportunités pour les néophytes qui souhaiteraient tirer parti de l'étalement technologique et de technologies telles que le travail à domicile, ainsi que de l'avantage et de la couverture sans cesse croissants du réseau.

04:52 Raghu Nandakumara: Je regardais justement votre vidéo d'introduction sur votre rôle. Vous avez mentionné que vous aidez à sécuriser les migrations de vos clients vers le cloud. Vous constatez que les clients connaissent souvent très bien la manière dont ils sécurisent leur site, mais se posent de nombreuses questions quant à la manière dont ils sécurisent dans le cloud. Pouvez-vous donc expliquer comment vous articulez les principales similitudes et les principales différences et comment vous vous assurez qu'ils se concentrent sur les bonnes choses lorsqu'ils sécurisent le cloud ?

05:19 Shawn Kirk: Encore une fois, ce qu'il y a de mieux dans mon travail, ou l'aspect le plus intéressant de mon travail, c'est que nous aidons les clients à éviter ce que nous appelons « une mauvaise journée dans le cloud ». Dans vraiment tout, chaque programme, chaque initiative, tout ce que nous faisons, qu'il s'agisse de formation et d'éducation, de certification, ou d'aider les clients à comprendre les meilleures pratiques, l'introduction des technologies, qu'elles soient les nôtres ou celles de partenaires, tourne vraiment autour de cette idée d'aider les clients à ne pas passer une mauvaise journée.

05:48 Shawn Kirk: Mais pour répondre plus précisément à votre question, l'un des domaines sur lesquels nous passons presque toujours beaucoup de temps avec nos clients est la notion de modèle de responsabilité partagée. Et même si, sur le plan conceptuel, beaucoup de nos clients comprennent l'idée qu'il s'agit d'un partenariat entre le fournisseur de services cloud et l'entité qui fonctionne sur cette plateforme, ce modèle comporte de nombreuses nuances. Et souvent, le client perd une grande partie de cette nuance. Ils ne savent pas exactement où se situe cette limite, d'où vient cette notion de sécurité du cloud, qui est, encore une fois, la responsabilité de l'hyperscaler ou du fournisseur de sécurité du cloud, qui consiste à assurer la sécurité physique, la sécurité du réseau et la sécurité des plateformes, mais il incombe ensuite au client ou à la personne qui utilise le cloud d'assurer la sécurité des données et des applications.

06:35 Shawn Kirk: Mais au fur et à mesure que vous commencez à les détailler un peu plus, c'est là que les choses commencent à devenir un peu floues pour nos clients. Nous devons intervenir et expliquer où se trouvent ces lignes. Et puis, si vous superposez cela à des services gérés, cela devient encore plus obscur. Comme je l'ai dit, nous passons donc beaucoup de temps à aider nos clients à comprendre les nuances de ce concept et à les familiariser à nouveau avec toutes les meilleures pratiques, les contrôles et les types de choses qui sont à leur disposition pour rendre leur environnement un peu plus résilient.

07:04 Raghu Nandakumara: Je suis heureuse que vous ayez évoqué le modèle de responsabilité partagée, car dans l'un de mes rôles précédents en tant que responsable de l'ingénierie de la sécurité du cloud, je me souviens avoir présenté ce modèle de responsabilité partagée à plusieurs reprises, alors que je regardais justement un rapport ESG sur l'état de la sécurité en 2022. Et pour refléter ce que vous venez de dire, quatre organisations interrogées sur cinq ont indiqué qu'elles trouvaient toujours une certaine confusion dans le modèle de sécurité partagé. Et puis vous avez fait allusion à certaines d'entre elles, dont les nuances n'étaient pas claires, en particulier en ce qui concerne les limites de ces responsabilités. Maintenant, si je repense à cela, je sais qu'AWS, par exemple, fait référence au modèle de responsabilité partagée dans ses meilleures pratiques depuis près de dix ans. Alors pourquoi y a-t-il encore un manque de clarté et de compréhension chez les clients ?

07:55 Shawn Kirk: Pour bien comprendre, le client doit modifier complètement son modèle mental en ce qui concerne les contrôles sur site par rapport aux contrôles basés sur le cloud. Et nous entamons fréquemment ces discussions avec des clients qui approfondissent immédiatement les contrôles. Donc, ce qu'ils veulent essayer de comprendre ou de mieux rationaliser, c'est l'environnement d'où je viens et j'ai besoin de comprendre l'environnement dans lequel je vais m'installer. Et ils veulent immédiatement se tourner vers des solutions analogues à leurs contrôles de sécurité sur site actuels et comprendre immédiatement : « D'accord, à quoi ressemble l'analogue pour le cloud, et puis-je simplement lever et déplacer mon pare-feu, mon proxy ou mon terminal ou quoi que ce soit d'autre du point de vue du contrôle ? » Et franchement, AWS, comme les autres hyperscalers, propose ses propres services de sécurité natifs et une grande partie du travail de mon équipe consiste à aider les clients à comprendre en quoi ils consistent et comment les utiliser. Encore une fois, rationalisez les contrôles sur site grâce à des contrôles désormais natifs dans le cloud. Encore une fois, cela devient nuancé et cela peut devenir complexe, mais le client doit simplement effectuer ce changement et comprendre et rationaliser les différences entre ces contrôles.

09:14 Raghu Nandakumara: La sécurité du cloud est un sujet à part entière si vaste et en constante évolution. Pour en revenir à ce que vous avez dit, votre mission est essentiellement de vous assurer que vos clients ne passent pas une mauvaise journée. De votre point de vue, quel est le rôle de Zero Trust dans la sécurité du cloud ? Est-ce quelque chose dont vous discutez régulièrement avec vos prospects et vos clients ?

09:36 Shawn Kirk: Oui.

09:37 Raghu Nandakumara: Dieu merci.

09:38 Shawn Kirk: Oui, sans ambiguïté. Cela fait partie de toutes nos conversations et les clients essaient vraiment de comprendre ce qu'il faut faire pour y remédier. Et c'est différent selon les contextes, c'est pourquoi je pense qu'il y a encore beaucoup de confusion en raison de la diversité des cas d'utilisation auxquels cela peut être appliqué. Et les vendeurs aimeraient vous faire croire qu'il s'agit d'un produit clé en main prêt à l'emploi que vous pouvez simplement acheter, puis vous pouvez simplement acheter Zero Trust et vous êtes bon. Et ce n'est pas vraiment le cas, du moins pas encore. Vous devez réfléchir sérieusement aux cas d'utilisation. S'agit-il d'une machine à machine ? S'agit-il d'une application humint ? S'agit-il d'un véhicule connecté à l'IoT à contrôle transformateur, complètement hors de votre réseau ? Cela commence à devenir vraiment ésotérique, mais c'est le genre de discussions que nous avons tous les jours. Et ensuite, comment envisagez-vous cela du point de vue du cloud privé, du cloud public sur site et comment concilier tout cela ?

10:33 Raghu Nandakumara: Comme ce que vous avez dit à propos du fait de vous concentrer réellement sur les cas d'utilisation et de dire : « D'accord, c'est la meilleure façon de garantir la sécurité de ce cas d'utilisation ». Et puis, en reliant cela à une approche comme Zero Trust, je suppose que c'est un peu une question de poule et d'œuf. Avec vos clients, comment se pose la question du Zero Trust ? S'agit-il d'un client qui dit : « Oh, eh bien, nous voulons adopter AWS et, d'ailleurs, la sécurité doit s'inscrire dans une approche Zero Trust », ou est-ce plutôt le cas où vous commencez par le cas d'utilisation, puis vous lui montrez comment renforcer la sécurité autour de celui-ci, en suivant un modèle de moindre privilège qui correspond évidemment à Zero Trust ?

11:11 Shawn Kirk: Je pense qu'il est assez prudent de dire que lorsque nous avons de telles conversations avec des clients, ce qui arrive encore une fois tous les jours, nous sommes très réticents à l'idée de placer la technologie, la fonctionnalité ou le contrôle au début de la conversation. Parce que, en particulier avec quelque chose d'aussi nuancé que Zero Trust, vous devez vraiment avoir une compréhension beaucoup plus approfondie du problème qu'ils essaient de résoudre. C'est vraiment l'essentiel. Quel est le problème qu'ils essaient de résoudre et quels sont les cas d'utilisation très spécifiques ? Donc, une fois que vous avez compris, et c'est la façon dont Amazon voit les choses en général, c'est de partir du client et de son problème et de ce qu'il essaie de résoudre, ces types de conversations ne font pas exception.

11 h 56 Shawn Kirk : Et puis une fois que nous aurons surmonté cela et que nous aurons compris les problèmes qu'ils essaient de résoudre, nous ne sommes toujours pas prêts pour une conversation technologique. Ce à quoi nous devrions donc penser, c'est particulièrement dans cet environnement où les conditions macroéconomiques et les réserves examinent de très près leurs dépenses. Quelles sont donc les technologies existantes, qu'il s'agisse des technologies de réseau sur site ou d'un fournisseur de services cloud, des technologies telles que les VPC et autres technologies de ce type sont en place et peuvent ensuite être exploitées en augmentant simplement des capacités de contrôle d'identité plus granulaires. Et c'est par là que nous commençons. Et nous ne voulons pas que le client pense à résoudre 100 % du problème dès le départ parce qu'il est tout simplement trop important. Visons 80 %, puis apportons des améliorations progressives constantes au fur et à mesure. C'est ainsi que nous le pensons.

12:49 Raghu Nandakumara: Je pense que c'est une approche vraiment géniale et tellement pratique, et je pense que plus nous entendons cela et que beaucoup de mes autres invités partagent la même chose, c'est que plus nous espérons que les clients aborderont leur adoption de la même manière, plutôt que de procéder à une transformation massive dès le départ, en faisant ces petits pas. Lorsque j'ai commencé à m'intéresser spécifiquement à AWS, j'ai examiné l'approche de gestion des identités et des accès que vous aviez intégrée à tous vos services. Et en gros, chaque service a presque été conçu avec le moindre privilège dès le départ. Et j'ai pensé... que cela inculquait de véritables meilleures pratiques en matière de sécurité dès l'instant où vous les adoptez. Compte tenu de cela et de toutes les meilleures pratiques, etc. que vous avez publiées et qui sont disponibles, pourquoi voyons-nous encore des exemples de compartiments S3 lisibles en monde ouvert ou de compartiments S3 inscriptibles dans le monde entier, parce que cela donne simplement l'impression que les clients ne tirent pas parti des outils dont ils disposent pour faire mieux ?

13:53 Shawn Kirk: Je pense que d'un point de vue philosophique, AWS est sur la bonne voie, c'est-à-dire que cette notion de moindre privilège, cette notion de sécurité par défaut est une voie que nous allons continuer à suivre, car quelle que soit la raison pour laquelle les clients n'adhèrent pas aux meilleures pratiques ou quoi que ce soit d'autre, les CSP devraient faire tout ce qui est en leur pouvoir pour rendre ces fonctionnalités plus intrinsèques, pour les sécuriser par défaut, ce qui ne supprime pas la nécessité d'un partage modèle de responsabilité, ce n'est pas ce que je dis. Mais nous devons faire tout ce qui est en notre pouvoir pour réduire la taxe que nos clients doivent payer sur la sécurité et intégrer ces fonctionnalités au tissu de l'architecture. C'est ainsi que nous le concevons intrinsèquement.

14 h 37 Shawn Kirk : Les clients commettent-ils encore parfois des erreurs ? Sûr. Mais nous devrions être en mesure de les aider à corriger ces erreurs en identifiant rapidement l'impact, puis en les aidant à y remédier rapidement et à reprendre leurs activités. En tant que secteur, je pense que nous faisons peser trop de tâches indifférenciées sur les épaules du client pour essayer de gérer son informatique et de sécuriser son environnement. Encore une fois, en tant qu'industrie, nous devrions faire davantage pour nous débarrasser de cette lourde charge de travail indifférenciée et intégrer un grand nombre de ces capacités par défaut.

15h07 Raghu Nandakumara : Absolument Je pense que c'est vraiment intéressant de permettre aux clients d'adopter ces fonctionnalités plus facilement au lieu d'essayer de se différencier. Alors, selon vous, quelle part de cette responsabilité incombe aux fournisseurs de services cloud de fournir ces fonctionnalités de manière native afin que les clients puissent en faire le plus possible grâce à... Je vais parler de la plate-forme unique avec laquelle ils interagissent par rapport à la part de fournisseurs tiers chargés de développer des services à valeur ajoutée ? Où voyez-vous l'équilibre entre cela ?

15 h 45 Shawn Kirk : Oui, je ne pense pas que ce soit l'un ou l'autre, mais en raison de la nature de ce secteur et de la sécurité en général, il évolue tous les jours. C'est juste une communauté qui évolue constamment et très rapidement. Donc, pour un fournisseur de services cloud ou un fournisseur de sécurité, affirmer qu'il possède toutes les réponses à ses questions, c'est un moment. Attendez 10 minutes et le problème sera différent ou aura évolué. Donc oui, ce que je veux dire, c'est que si le CSP doit jouer un rôle important pour aider le client à sécuriser son environnement à l'aide d'outils et de fonctionnalités natifs, je pense encore une fois qu'en tant que secteur, étant donné que c'est une cible mouvante, nous devrions tous travailler davantage ensemble au sein d'une équipe. Le fournisseur de services cloud ne sera pas en mesure de résoudre tous les problèmes liés à tous les contrôles dont un client pourrait avoir besoin, et c'est le cas pour nous comme pour d'autres. Nous avons besoin de partenaires capables d'intervenir et soit de résoudre un problème que nous ne sommes tout simplement pas en train de résoudre, soit d'intervenir et de résoudre un problème mieux que nous ne le résolvons.

16 h 47 Shawn Kirk : Et nous sommes tout aussi susceptibles de recommander à un client de se tourner vers une solution tierce que vers une solution AWS native, car la bonne réponse est de résoudre le problème. Hein ? La bonne réponse n'est pas de résoudre le problème uniquement avec un outil fourni par Amazon. Cela peut très bien être à l'aide d'un outil fourni par quelqu'un d'autre, mais nous devons résoudre le problème pour le client. Dans le même temps, nous nous efforçons de renforcer les capacités intrinsèques en interne et dans le tissu de la plateforme.

17h18 Raghu Nandakumara : Oui, absolument. Et je pense que cela nous amène à une autre question : vraiment, du point de vue de la sécurité, comment prenez-vous en compte les avantages de la sécurité du cloud en termes de retour sur investissement ? Est-ce un élément clé des conversations que vous avez ?

17:34 Shawn Kirk: Oui, ils le sont. Et je pense qu'ils sont de plus en plus au cœur de nos préoccupations. Encore une fois, revenons aux conditions macroéconomiques que nous connaissons aujourd'hui. De plus en plus de clients nous demandent de les aider à rationaliser leurs coûts. Et il ne s'agit pas seulement des coûts de sécurité, mais de l'ensemble de leurs coûts, du moins sur notre plateforme, et je suis sûr que d'autres plateformes constatent la même chose. Aidez-nous à comprendre où nous pouvons optimiser nos dépenses. Avons-nous des dépenses en double ? Avons-nous des dépenses superflues ? Et nous avons les mêmes conversations en matière de sécurité. Les clients disent : « Soit je dépense tout cet argent pour des technologies tierces et je veux réduire ce chiffre. AWS, pouvez-vous m'aider ? »

18:17 Shawn Kirk: Et encore une fois, ce couteau va dans les deux sens, ce qui signifie que nous savons également que les clients se tournent vers des tiers et disent : « Écoutez, je dépense, je pense que je dépense beaucoup pour mon fournisseur de services cloud. Pouvez-vous également m'aider à optimiser ces dépenses ? » Et c'est super. En fin de compte, nous voulons également dépenser, selon ce qui est le mieux pour le client, à la fois en termes d'efficacité et de réduction des risques. Comme je l'ai dit, ça va dans les deux sens. Encore une fois, nous voyons de plus en plus de clients poser des questions sur l'optimisation des coûts et les questions d'optimisation des coûts de sécurité dérivés.

18:50 Raghu Nandakumara: Ouais. Absolument, en fin de compte, ce qui est le mieux pour le client, c'est d'adopter la sécurité de manière à ce qu'il soit en mesure d'afficher les retours sur investissement de la même manière qu'il peut afficher les retours sur investissement lors de la migration vers le cloud. Pour en revenir à cela et à votre travail quotidien, lorsque vous discutez avec des clients et que vous les aidez à migrer vers le cloud, quels sont les trois principaux défis de sécurité qu'ils soulèvent par rapport à ceux que vous leur communiquez ou à ceux que vous observez chez vos clients ?

19 h 25 Shawn Kirk : Je pense que c'est d'abord et avant tout l'idée actuelle du modèle de responsabilité partagée. Qu'ils fassent appel à notre programme MAP pour les aider ou quoi que ce soit d'autre, la question de la sécurité se pose dès le départ et de la manière dont nous envisageons la sécurité aujourd'hui dans cet environnement hybride : sur site, puis dans le cloud, puis peut-être même hybride et multicloud. Ils veulent comprendre comment ils devraient y penser et à qui incombe la responsabilité. C'est la conversation que nous avons dès le départ. Ensuite, encore une fois, cette notion de portabilité des contrôles et j'ai fait tous ces investissements dans mon environnement de sécurité sur site et dans les contrôles. Combien puis-je en emporter avec moi ? Puis-je tous les apporter ? Puis-je apporter certains d'entre eux ? Nous devons donc nous asseoir et rationaliser leur façon de procéder et le nombre de contrôles qu'ils peuvent apporter. Il n'existe que des versions cloud de celles-ci, et c'est une question importante.

20h15 Shawn Kirk : Enfin, voici ce que j'ai à ma disposition pour visualiser et comprendre : « Maintenant que tous mes actifs ou une grande partie de mes actifs sont dans le cloud, mes contrôles ont été rationalisés. Maintenant, qu'avez-vous à ma disposition que je peux surveiller de manière continue et fournir à mon équipe SOC ou peut-être qu'elle sous-traite à un MSSP tiers pour leur faire savoir si le message passe du vert au rouge. » Ce sont généralement les trois choses que nous rencontrons dès le départ.

20:42 Raghu Nandakumara: Et en ce qui concerne les menaces qui préoccupent les clients entre le moment où ils commencent leur migration et le moment où ils atteignent un certain niveau de maturité, quelles sont les menaces qui les préoccupent et leur nature change-t-elle à mesure que leur migration vers le cloud arrive à maturité ?

20:59 Shawn Kirk: Les conversations que nous avons portent sur toute la gamme des sujets. De manière générale, nous allons essayer d'amener le client à réfléchir aux risques et à l'atténuation des risques le plus tôt possible dans le processus de migration. Et plus encore, franchement, si nous parvenons à le remettre dans une conversation DevSecOps et à les amener à réfléchir au SDLC et aux pratiques de codage sécurisées, ce genre de choses, mieux nous pourrons les y faire réfléchir. Ensuite, nous suivons des concepts-cadres très similaires, le NIST. Nous ferons souvent appel au NIST à différentes étapes du processus de migration vers le cloud, pour nous assurer qu'il dispose de contrôles d'identification et d'identité appropriés et pour examiner le contrôle d'accès. Ont-ils la capacité de détecter les menaces, de se protéger contre les menaces, de répondre aux menaces, de se rétablir en cas de menaces ? Tous les cadres standard que les clients connaissent bien.

21 h 55 Shawn Kirk : Encore une fois, nous nous efforçons de les aider à comprendre en quoi consiste l'analogue cloud de ces choses. Et encore une fois, pour essayer de faire de notre mieux, d'unifier ces contrôles s'ils se trouvent dans un environnement hybride. Nombre de nos clients sont natifs du cloud. Ils sont tout simplement nés dans le cloud. Ils peuvent donc utiliser les services cloud traditionnels. Mais encore une fois, de nombreux clients, la plupart d'entre eux, sont toujours hybrides et doivent au minimum rationaliser leurs activités sur site et AWS, mais souvent en faisant appel à plusieurs fournisseurs de cloud sur site. Ouaip

22:26 Raghu Nandakumara : Oui, absolument. En fait, cela m'amène à une question plus prospective. Lorsque vous examinez votre boule de cristal cloud, quelles sont selon vous les menaces évolutives susceptibles d'affecter les consommateurs du cloud et quelles sont, selon vous, les principales fonctionnalités de sécurité qui vont être développées pour aider à les atténuer ?

22 h 46 Shawn Kirk : C'est une question intéressante et c'est ce qui me motive à l'idée de me lever et de faire ce que je fais tous les jours, encore une fois, l'idée des menaces et du paysage des menaces n'en est qu'à ses débuts. Ce n'est pas une industrie statique, c'est un jeu constant du chat et de la souris, une histoire d'espion contre espion. Et je suppose que ma réponse ne surprendra personne, d'autant plus que le ChatGPT est omniprésent de nos jours. Mais l'idée que ces IA soient construites sur ces grands modèles de langage ne fait que devenir de plus en plus sophistiquées. Publiquement, nous voyons des preuves anecdotiques montrant que les malfaiteurs utilisent ces IA pilotées par de grands modèles de langage pour créer des logiciels malveillants ou des scripts d'ingénierie sociale plus efficaces. Et puis je pense que c'est une nécessité, vous allez commencer à voir les bonnes personnes commencer à adopter ce type de technologies pour atténuer les effets. C'est donc ce monde entre IA et IA qui se développe.

23h52 Shawn Kirk : Et je ne sais pas où cela mène, et je pense que l'une des statistiques que j'ai lues est que plus de 80 % des entreprises adopteront des contrôles de sécurité pilotés par l'IA au cours des deux prochaines années, ce qui en dit long sur la façon dont le secteur envisage l'IA. Je pense donc que ce sera un avenir et une période vraiment intéressants pour diverses raisons, que ce soit pour le fait de travailler dans ce secteur, de faire partie de l'équipe et de contribuer à la protection de nos clients.

24:27 Raghu Nandakumara: Absolument, et je pense qu'avec le développement d'un apprentissage automatique plus sophistiqué, puis d'une IA plus générale en cours de développement, il est très important d'être expert et de pouvoir communiquer la valeur réelle de ces informations aux clients, car je pense que l'ensemble de l'IA et du ML, les gens utilisent simplement ce terme sans vraiment comprendre quels sont les facteurs de différenciation et comment ils doivent être exploités. C'est donc un endroit fascinant de pouvoir exprimer cela et, en particulier, de sécuriser leur environnement.

24:58 Raghu Nandakumara: J'ai une dernière question. Lorsque nous parlons de sécurité, nous l'assimilons à la cyberrésilience et à la capacité de continuer à fonctionner dans l'adversité. Je voudrais donc revenir à l'époque où vous étiez dans les forces armées en tant que personne spécialisée dans l'entraînement à la survie. Quels sont les meilleurs insectes à manger pour assurer la survie et la résilience ? Et quelles sont les options végétaliennes et végétariennes disponibles, pour les végétaliens et les végétariens ?

25:24 Shawn Kirk: Oui, c'est une super question. La discussion sur les bugs est un peu plus longue que ce que nous avons probablement le temps de faire, mais à cette époque, il y avait la survie sur terre, la survie dans l'eau, la survie dans l'Arctique et la survie dans la jungle. Mais s'il vous arrive de vous retrouver coincé quelque part dans un canot au milieu de l'océan et que vous pêchez pour vous nourrir, je peux vous dire de ne pas manger le poisson à bec. Ne mangez pas le poisson à bec. Les poissons à bec mangent des coraux toxiques, différentes choses, et vous rendront gravement malade. C'est un conseil que je peux vous donner en ce qui concerne vos capacités de survie.

26:06 Raghu Nandakumara: C'est fantastique. Shawn, merci beaucoup. Ce fut un réel plaisir de vous avoir dans l'émission d'aujourd'hui. C'est une conversation merveilleuse. Et pour les auditeurs, si vous souhaitez en savoir plus sur la manière dont AWS et Illumio permettent aux organisations de réduire les risques et de gagner en résilience lors de leur migration vers le cloud, rendez-vous sur Illumio.com et découvrez les solutions AWS disponibles sur ce site. Alors Shawn, merci encore pour le temps que tu m'as accordé aujourd'hui. J'apprécie vraiment.

26:31 Shawn Kirk: Tu paries. Merci de m'avoir invité, Raghu.

26:33 Raghu Nandakumara: Merci d'avoir écouté l'épisode de cette semaine de The Segment. Pour encore plus d'informations et des ressources Zero Trust, consultez notre site Web à l'adresse Illumio.com. Vous pouvez également trouver Illumio sur AWS Marketplace. Et pour en savoir plus sur Illumio et notre partenariat avec AWS, n'oubliez pas de vous rendre sur notre stand à AWS Re:inforce plus tard cette année. Je suis votre hôte, Raghu Nandakumara, et nous reviendrons bientôt.

‍