Emily Wearmouth [00:00:01] Bonjour et bienvenue dans cette nouvelle édition du podcast des visionnaires de la sécurité. Stimulation audio pour tous ceux qui travaillent dans le domaine de la cybernétique, des données ou des industries connexes. Je vous remplace aujourd'hui car on m'a demandé d'animer cette conversation pour mon coprésentateur Max, qui a été frappé par un virus. Pour plus de clarté, je ne parle pas de logiciels malveillants et Max n'est pas une IA. C'est un vrai garçon. Et aussi un bon rétablissement. Je dois dire que je suis très heureux de m'être glissé dans ce dossier, car aujourd'hui nous sortons nos boules de cristal dans le cadre de la tradition annuelle qui consiste à faire des prédictions pour l'année à venir. J'ai deux invités sur la sellette, tous deux prêts à s'exprimer et à faire des prédictions pour nous. Tout d'abord, nous avons Shamla Naidoo. C'est le cas. Shamla a été RSSI pour des entreprises telles que Starwood Resorts et IBM, et elle est également professeur adjoint de droit à l'université de l'Illinois. Elle siège à plusieurs conseils d'administration et est également responsable de la stratégie et de l'innovation en matière d'informatique dématérialisée chez Netskope. Bienvenue. Shamla.
Shamla Naidoo [00:00:54] Merci, Emily. Je suis heureux d'être ici.
Emily Wearmouth [00:00:56] Mon deuxième invité est Sherron Burgess, également CSO dans une très grande organisation et membre du conseil d'administration. Sharon est peut-être connue des auditeurs pour le travail qu'elle accomplit en faveur de la diversité dans notre secteur. Elle siège d'ailleurs au conseil d'administration de Cyversity, une organisation à but non lucratif qui se consacre au renforcement de la présence des minorités sous-représentées dans le domaine de la cybersécurité. Un travail très important. Bienvenue, Sherron.
Sherron Brugess [00:01:19] Merci, Emily. Je suis heureux d'être ici.
Emily Wearmouth [00:01:21] Sans plus attendre, nous allons nous plonger dans le vif du sujet. Polissez votre boule de cristal. Shamla nous a proposé une prédiction pour nous mettre sur les rails. Qu'est-ce qui nous attend en 2024 ?
Shamla Naidoo [00:01:30] Vous savez, Emily, pendant de nombreuses années, les RSSI ont été rattachés aux conseils d'administration. Mais je pense que nous allons assister à un changement dans cette relation. Jusqu'à présent, les RSSI sont entrés dans la salle du conseil d'administration principalement, pas tout le temps, mais surtout en tant qu'experts en la matière. La relation était largement prise en charge par d'autres cadres, comme le DSI ou le responsable des risques, voire l'auditeur général. La relation a donc été prise en charge par ces dirigeants, tandis que le sujet était traité par le CISO. Ces derniers mois, nous constatons que la SEC n'est qu'un catalyseur parmi d'autres. Mais d'une manière générale, je pense que les conseils d'administration commencent à comprendre que leur rôle est très différent de celui du directeur financier. Le RSSI est un leader opérationnel sur le terrain. Je pense donc que les conseils d'administration s'appuieront davantage sur le RSSI. Ils voudront établir cette relation parce que le RSSI est la personne qui dispose des informations, des mises à jour, des connaissances et aussi d'un bon état de santé et de bien-être de l'organisation en ce qui concerne la cybersécurité. Ainsi, vous savez, en y réfléchissant, un changement connexe que nous allons observer dans le secteur est que les conseils d'administration sont couverts par une assurance administrateurs et dirigeants pour le travail qu'ils effectuent dans le cadre de leur rôle. Et ce que nous voyons actuellement, c'est que les RSSI commencent à demander une couverture, une assurance et d'autres protections comme une indemnité pour faire leur travail, parce que nous pensons que les RSSI font l'objet d'une enquête pour les résultats de leur organisation. Je pense que vous verrez que les conseils d'administration comprendront cette demande du CSO parce qu'ils l'ont déjà. Et lorsque le RSSI n'est pas automatiquement un agent, ils voudront avoir une sorte d'approbation de leur politique pour les inclure dans les enquêtes lorsqu'ils font leur travail. Je pense donc que ces deux éléments vont s'associer de manière très positive et que le conseil d'administration souhaitera établir cette relation. Ils comprennent également que le RSSI leur demande une couverture d'assurance et une indemnité pour faire leur travail, c'est ce que je vois qui est imminent en ce qui concerne ces relations.
Emily Wearmouth [00:03:44] On dirait Sherron, j'aimerais avoir votre avis. Il semble qu'il y ait presque un point de tension où les RSSI veulent peut-être plus de relations directes avec le conseil d'administration, mais peut-être qu'ils sont freinés à la mine parce qu'ils ne bénéficient pas des mêmes protections que les autres membres du conseil d'administration dans le cadre de ces assurances. Est-ce que c'est quelque chose que vous avez rencontré ou des conversations que vous avez eues avec vos pairs pour savoir si c'est un facteur qui entre en ligne de compte ?
Sherron Brugess [00:04:05] Oui, je pense vraiment que c'est le cas. Je pense que ce que nous voyons depuis un an, un an et demi, c'est que les RSSI sont maintenant sur la sellette à cause des piratages et des brèches. Ainsi, dans de nombreux cas, ce n'est pas nécessairement la négligence du RSSI qui est en cause, mais plutôt la prise de décision du conseil d'administration dans son ensemble en ce qui concerne les risques encourus par l'entreprise. Les RSSI ont donc besoin d'avoir, vous savez, au sein de la communauté des RSSI, des discussions sur la façon dont nous faisons notre travail, comment nous conseillons et consultons nos entreprises, nos conseils d'administration, etc. tout en faisant de la place pour ce que l'entreprise veut faire et en maintenant notre intégrité en tant que professionnels. C'est pourquoi je pense qu'au lieu d'essayer de réduire les conseils que nous fournissons pour que les professionnels puissent travailler pleinement, il faut un peu plus de protection. Devrait être en place. Donc, oui, c'est ce que je constate. Et vous savez, évidemment, la situation de Joe Sullivan et le fait de voir ce qui se passe dans tous les cas, les RSSI sont très sensibilisés à ce sujet.
Emily Wearmouth [00:05:13] Y a-t-il des étapes importantes que nous devrions surveiller et qui montrent que nous progressons vers ce que vous prédisez ici ? Y aura-t-il des mouvements importants de la part de certaines compagnies d'assurance ? Y aura-t-il des changements dans la réglementation concernant la manière dont les gouvernements exigent des conseils d'administration qu'ils organisent et protègent leurs membres ? Ou est-ce que c'est juste quelque chose que nous allons voir s'infiltrer lentement de manière moins tangible ?
Shamla Naidoo [00:05:33] Vous savez, je pense que les grandes étapes que nous allons voir sont, d'une part, les RSSI qui commencent à poser des questions sur le fait de savoir si je suis un dirigeant et si je suis couvert par l'assurance des administrateurs et dirigeants de l'entreprise et d'autres types de protections. Si vous n'êtes pas officier, vous allez le découvrir. Et si vous êtes policier, vous découvrirez également que vous êtes couvert pour faire votre travail. Dès que vous sortez des limites de votre travail, vous risquez d'avoir des ennuis, car la couverture ne vous protégera pas si vous faites des choses qui ne sont pas légales ou qui sortent du cadre de vos fonctions. Les RSSI vont donc se poser la question suivante : suis-je un agent ? Ils vont également poser des questions telles que : quelle est l'étendue de mon pouvoir de décision ? Et si cela ne relève pas de mon pouvoir de décision et que quelqu'un d'autre doit prendre la décision, parce que je ne suis pas couvert pour les décisions que je prends en dehors du cadre de mes fonctions. Je pense donc que vous verrez beaucoup plus de clarté sur les RSSI, leurs rôles, leurs droits de décision. Vous obtiendrez alors un peu plus de clarté sur ce qui est couvert, ce qui est inclus, ce qui est exclu, quelles compagnies d'assurance excluent l'enquête du CSO et ne couvrent que l'atteinte à la cybersécurité, les analyses médico-légales et l'intervention. Je pense donc que vous verrez des changements dans la manière dont les dirigeants d'entreprise abordent cette question. Vous allez assister à un changement dans le secteur, en particulier dans le secteur de l'assurance, en clarifiant ce qui est accepté et ce qui ne l'est pas. Et je pense que les RSSI seront les bénéficiaires de ces changements. Les jalons seront donc les suivants : les RSSI ont-ils l'impression d'être correctement soutenus ? Et ils ont l'impression que leur santé mentale est prise en charge parce qu'ils ont cette clarté, qu'ils sont protégés et qu'ils ont la possibilité et l'espace de faire leur travail et de faire un très bon travail. Par rapport à aujourd'hui, vous constatez qu'il y a beaucoup d'anxiété. Il y a une bonne dose de stress au sein de l'organisation parce que beaucoup de choses sont inconnues.
Sherron Brugess [00:07:45] Et peut-être puis-je ajouter quelque chose ? Parce que, vous savez, c'est comme la santé mentale. C'est drôle. Lorsque nous parlons de santé mentale pour un RSSI, c'est comme si cela n'existait pas, n'est-ce pas, lorsque vous vous posez cette question. Les vendeurs me posent toujours des questions amusantes : qu'est-ce qui vous empêche de dormir ? C'est comme si tout m'empêchait de dormir parce qu'il se passe tellement de choses. Vous savez, je pense que ce qui se passe ici, c'est aussi l'espace autour de certains jalons. Oui, je pense que l'assurance des dirigeants et le fait d'être nommé en tant que dirigeant et d'être couvert par cette assurance. Mais je pense que d'autres nuances peuvent inclure le fait de s'assurer que vous avez le droit d'avoir votre propre représentation juridique. Dans de nombreux cas, lorsque vous avez une assurance pour les dirigeants, elle vous couvre tant que vous respectez la ligne de conduite de votre entreprise. Je pense donc que ces nuances supplémentaires seront importantes. Je pense également que vous commencerez à voir plus de contrats et plus de contrats avec, vous savez, des sortes de contrats de travail, est-ce que ces choses sont explicitement décrites dans le contrat ? C'est une chose d'être nommé dans l'assurance, mais je pense que l'autre partie, vous savez, en tant que praticiens, demander des copies de cette assurance et avoir cela explicitement écrit dans votre contrat de travail est également très important. J'apprécie également la façon dont vous avez mentionné l'autorité décisionnelle. Je pense que c'est très important. Vous savez, si cela ne relève pas de mon pouvoir de décision, alors, vous savez, je ne suis pas couvert ici, donc je ne vais pas prendre cette décision. Je pense qu'il faut aussi avoir la capacité d'escalader, vous savez, dans le cas où, vous savez, il y a une sorte de législation et des règles de la SEC qui disent, eh bien, vous avez le droit ou vous êtes obligé de rapporter des événements, même si ce n'est pas exigé par votre conseil ou votre entreprise qui dit que ce n'est pas quelque chose que vous devriez faire. Ces capacités d'escalade sans dégâts ou sans pénalité vont également être très intéressantes.
Emily Wearmouth [00:09:40] Je ne savais pas, lorsque nous allions parler des prédictions, qu'elles seraient si immédiatement utiles à nos auditeurs. Je pense que cette question a été abordée de manière très intéressante. Un grand. Shana, et maintenant Sherron. Quelles sont vos prévisions pour 2024 ?
Sherron Brugess [00:09:54] Oui, ma prédiction serait qu'il y aura une course aux talents qualifiés et une croissance de la main-d'œuvre cybernétique. Au cours de l'année écoulée, la Maison Blanche a mis en place une stratégie de développement de la main-d'œuvre. Il existe un appel aux partenariats public-privé pour développer les talents dans le domaine de la cybernétique. Et maintenant, ce qui est vraiment intéressant, c'est l'idée que chaque individu, et je dirais même l'Amérique, mais chaque individu doit avoir des connaissances de base en matière de cybersécurité ou de sécurité. Je pense que cela va être très intéressant dans la mesure où les universités et les écoles, même les établissements de la maternelle à la terminale, sont désormais informées que les étudiants doivent être sensibilisés à la cybernétique afin de pouvoir contribuer à la société dans son ensemble.
Emily Wearmouth [00:10:44] Quand vous dites de la maternelle à la terminale, c'est que nous avons des auditeurs internationaux. De quelle tranche d'âge s'agit-il ?
Sherron Brugess [00:10:48] Depuis l'école primaire jusqu'à l'université, en passant par les jeunes années. Nous verrons donc de plus en plus l'intégration des compétences liées à la sécurité dans le cadre de l'éducation, de l'enseignement formel à l'école primaire, etc. Mais aussi du côté des entreprises, ce qui va être intéressant, c'est que vous savez, historiquement, quand il y a cela, vous parlez de tous ces emplois qui sont disponibles. Vous dites, vous savez, que nous avons besoin de plus de talents pour occuper ces emplois. Historiquement, nous avons échangé des ressources. Vous voyez donc des individus passer d'une entreprise à l'autre, et les entreprises n'ont pas investi dans le développement de leur propre vivier de talents, cherchant souvent à délocaliser ou à rapprocher leurs ressources pour ne pas avoir à développer ces talents. Je pense que ce que nous allons commencer à voir, c'est qu'il va y avoir plus d'investissements pour, vous savez, amener des gens d'autres industries à la cybersécurité. Ainsi, ces personnes en transition de carrière cherchent également à se développer davantage à partir de ces filières universitaires et collégiales ou d'un âge plus jeune, et commencent également à faire appel à des talents issus de milieux non traditionnels. Vous verrez donc non seulement des formations diverses, mais aussi, je pense, une augmentation du nombre de jeunes diplômés de l'enseignement supérieur ou de ces formations de deux ans ou de l'enseignement technique qui commenceront à s'intégrer dans l'industrie.
Shamla Naidoo [00:12:28] Je pense que ce que Sharon a fait avec une prédiction, c'est qu'elle a créé un appel à l'action et qu'elle a fourni le contexte et certains des changements sectoriels qui vont se produire pour soutenir cette prédiction. C'est donc, je pense, très astucieux. Merci, Sharon, d'avoir fait cela, car nous devons parler de cette conversation sur les talents. Et franchement, cela fait longtemps que nous disons que la cybersécurité est un sport d'équipe. Nous utilisons des analogies comme, par exemple, l'équipe de direction de la cybersécurité n'est pas la seule concernée. Toute l'organisation doit être impliquée, etc. Mais je pense que votre prédiction est un appel à l'action pour l'opérationnalisation : comment allons-nous faire, vous savez, que vous soyez un jeune enfant qui commence l'école, que vous soyez à l'université, que vous soyez un professionnel précoce, un professionnel tardif, un cadre supérieur ? À tous les niveaux, il est nécessaire d'avoir une compréhension de base de ce sujet. Comme vous le savez, j'y réfléchis. Oui, il s'agit d'une prédiction, et d'une prédiction très astucieuse, mais c'est aussi un appel à l'action pour que nous nous mobilisions tous afin de concrétiser ce projet, car nous en avons absolument besoin. Il ne suffit plus de dire que nous allons supprimer 4 millions d'emplois d'ici à 2030. Ce type de mesures n'est pas utile, car nous disons que depuis cinq ans, voire plus près d'une décennie, nous n'avons pas fait d'énormes progrès. Nous devons donc changer de tactique pour nous en approcher.
Emily Wearmouth [00:14:03] Pour l'instant, j'ai fait mes devoirs. J'ai ici un sac à surprises un peu festif, rempli de prédictions de certains des experts en la matière des prochains groupes. Avant de tomber malade, Max, mon co-présentateur, arpentait les couloirs et hantait les canaux Slack, poussant les gens à prédire l'avenir. Permettez-moi donc de faire une petite fouille métaphorique. En voici une bonne. J'en ai choisi un de Neil Thacker, notre RSSI pour la région EMEA, et il prédit, je pense, assez bien. Tout d'abord, les réglementations proposées en matière d'IA seront examinées en 2024, et j'espère qu'il a raison sur ce point. Mais il est intéressant de noter qu'il se demande si un pays tentera de prendre de l'avance sur ses concurrents en retardant délibérément ses propres réglementations afin de prendre de l'avance dans cette course à l'armement en matière d'IA. Et je pense que c'est une question insolente parce que la moitié, comme je l'ai dit, n'est pas une prédiction, mais plutôt une réflexion. J'aimerais savoir ce que cela vous inspire et, plus précisément, si vous pouvez répondre à une question générale, mais si vous pouvez être plus précis, où vous attendez-vous à voir des mesures rapides de réglementation et quels sont les marchés qui, d'après vous, donnent des indications qu'ils pourraient être un peu plus lents ? Je vais d'abord vous poser la question, Sherron.
Sherron Brugess [00:15:09] Oui, je suis d'accord. Je pense que cela va être intéressant, vraiment, parce que je pense que les gens essaient encore de comprendre ce que vous savez, les promesses de, vous savez, je pense qu'en ce moment c'est un mot très à la mode. Vous savez, les gens disent, oh, c'est comme si vous deviez prendre huit ans et que cela réglait tous vos problèmes et que tout allait bien se passer. C'est vrai. Je pense donc que, premièrement, il y a un manque de compréhension et de définition de ce qu'est l'IA. Et vous savez ce que les gens proposent de faire. Vous savez, je pense qu'il s'agit d'un point très intéressant : vont-ils retarder la réglementation pour voir si elle est vraiment appliquée ? Vous savez, il est également intéressant de constater que s'ils ont imposé une réglementation pour ralentir tout le monde, c'est pour qu'ils puissent garder le rythme. Ainsi, tout le monde développe, itère, en même temps. Ce que je constate, c'est qu'il y a beaucoup de groupes de travail qui apparaissent pour donner des idées et des réflexions sur ce qui se passe. Je pense que la Maison Blanche ou l'Office of Science and Technology and Policy ici aux États-Unis a présenté cette déclaration des droits de l'IA, et vous voyez beaucoup de praticiens existants, de RSSI, vous savez, développer ce type de politiques d'utilisation acceptable et, vous savez, simplement essayer de mettre des garde-fous autour d'elle. Mais je pense que la première fois, les gens vont essayer de faire tout ce qu'ils peuvent dans les limites fixées. Il se trouve que j'ai l'occasion de jouer le rôle d'un RSSI mondial et, vous savez, quels sont les domaines auxquels je m'attends ou les pays auxquels je m'attends d'un point de vue réglementaire ? Vous savez, bien sûr, dans le contexte du GDPR, je serais très intéressé de voir ce que l'Allemagne va faire. Ils sont généralement les premiers à respecter le droit à la vie privée, etc. Et je pense que cette idée d'IA et, vous savez, certains concepts autour des pratiques discriminatoires ou, vous savez, l'idée autour de la vie privée et les droits à l'oubli, il sera très intéressant de voir ce que certains de ces pays déjà réglementés vont faire dans cet espace. Mais je pense que la première chose à faire est d'essayer d'aller aussi vite que possible et de déterminer tous les cas d'utilisation respectifs avant d'imposer une réglementation qui ralentira tout le monde, je ne veux pas dire qu'elle ralentira tout le monde. Mais je pense qu'une fois qu'il sera utilisé à grande échelle, les gens essaieront d'itérer aussi vite que possible.
Emily Wearmouth [00:17:38] Et vous, Shamila ? Que pensez-vous de cette prédiction ?
Shamla Naidoo [00:17:40] Je suis d'accord avec vous et avec tout ce qu'elle a dit. Et je pense que, vous savez, la prédiction de Neil est très solide. C'est pourquoi ces pays industrialisés qui sont également des défenseurs de la vie privée et, vous savez, des protectionnistes à bien des égards, je pense que ce que vous allez voir, c'est qu'ils vont en quelque sorte surestimer parce qu'ils veulent être les premiers à sortir de la porte avec la réglementation et nous regarder et regarder notre discipline et regarder notre structure, etc. Je pense que le revers de la médaille est ce que je pense, c'est-à-dire que vous savez, mais maintenant vous avez juste étouffé l'innovation. Vous avez également créé une opportunité de faire une pause dans votre propre société alors que d'autres pourraient, vous le savez, aller de l'avant très rapidement. Nous devons donc veiller à ne pas bloquer les grandes opportunités que l'IA pourrait nous offrir. Vous savez, j'aime le concept de ne pas nuire, et donc si nous pouvons créer une conscience sociale de ne pas nuire, même si votre solution est commercialement viable. Je pense que c'est probablement le point de départ. Et puis, vous savez, commencer à être trop nuancé avec vous pouvez faire ceci, mais vous ne pouvez pas faire cela créera cette concurrence de bon, eh bien, vous savez, pendant que le monde industrialisé commence à vaciller sur cette construction de la réglementation, d'autres commenceront à tirer parti de la technologie pour obtenir de meilleurs résultats, à la fois commerciaux et sociaux. Et nous risquons d'être laissés pour compte. Je crains donc qu'en réfléchissant à cette question, nous ne devions replacer la réglementation dans son contexte. Réglementer, c'est réglementer pour obtenir de mauvais résultats. Et franchement, nous ne connaissons pas encore les mauvais résultats. Nous avons vu des résultats inconfortables et gênants, mais nous n'avons pas vu de résultats catastrophiques. Ce qui me préoccupe, c'est que lorsque vous freinez avant de savoir que vous avez une pédale d'accélérateur, vous ne savez pas vraiment avec quelle force vous devez freiner. Nous devons réfléchir plus sérieusement à la question de savoir si nous étouffons toujours l'innovation, non seulement dans nos propres pays et communautés, mais si nous étouffons l'innovation pour la société.
Sherron Brugess [00:19:44] Je voudrais dire une chose, vous savez, il y a quelque chose sur l'IA que je trouve très intéressant. Récemment, une nouvelle définition a été ajoutée au dictionnaire, celle de l'hallucination. Et l'idée que l'IA tire des conclusions qui sont fausses, essentiellement. Il a inventé la réponse. C'est vrai. Je pense que l'IA l'a fait, il y a des aspects magnifiques. C'est vraiment génial quand on pense à l'innovation, à la vitesse et à toutes ces choses qui nécessiteraient, vous savez, beaucoup de personnes et beaucoup de puissance de calcul pour y parvenir. Ce qui me préoccupe toujours du point de vue de l'IA, ce sont les implications sociétales et ce que cela peut signifier. J'ai une adolescente et lorsqu'elle deviendra une adulte productive dans la société, les machines devront prendre de nombreuses décisions. Je crains donc que la société ne perde sa responsabilité de contrôler les machines et de comprendre ce qui est réel et ce qui ne l'est pas. Je pense donc qu'il s'agit là d'une sorte d'éthique à laquelle nous devons réfléchir alors que nous entrons dans ce nouveau monde et que nous découvrons les promesses de l'IA. Nous devons réfléchir à la manière dont nous pouvons éviter d'être accaparés par ces questions. Comment l'exploiter pour l'innovation et d'autres choses du même genre, mais aussi comment veiller à maintenir l'équilibre entre ce qui est réel et ce qui ne l'est pas, entre ce qui est vrai et ce qui ne l'est pas ? Je pense que ce genre d'idée d'exploration de ce côté, vous savez, personnellement, socialement, sera un facteur important ici. Je ne sais pas comment les pays ou les réglementations vont mesurer cela, mais je pense que ce sera très important lorsque nous examinerons ce que l'IA, les machines et toutes ces choses peuvent faire pour nous du point de vue de l'innovation.
Shamla Naidoo [00:21:39] Et vous savez, Emily, j'ai envie d'ajouter quelque chose à cette conversation, et ce n'est pas nécessairement une prédiction, mais je pense que c'est encore une fois un appel à l'action. J'ai vu de très nombreuses réglementations sur l'IA qui se concentrent sur les résultats. J'aimerais que les régulateurs se concentrent sur les données d'entrée, car le seul endroit où il existe encore un certain contrôle réglementaire ou autre est le point d'origine : quelles données ai-je utilisées pour former mes modèles de base ? Quelles données vais-je utiliser pour faire de l'auto-apprentissage dans ma propre organisation ? Et, vous savez, je ne veux pas que les gens, et les régulateurs en particulier, essaient de me dire comment je dois utiliser mes propres données. Mais je veux m'assurer que les modèles de base ont été conservés. Ceux-ci ont été enseignés. Ils ont été créés à partir de données intègres et authentiques. Les données qui ont un point d'origine avec quelqu'un en sont responsables, de sorte que nous savons d'où elles viennent et que nous savons qu'elles sont réelles. C'est pourquoi je constate que les régulateurs s'empressent de réglementer les résultats : "Ne faites pas ceci". Ne faites pas cela. Mais rares sont ceux qui parlent de réglementer au point d'origine. Dans un monde d'IA, c'est vous qui avez le plus de contrôle. Dès qu'il est entré dans un modèle, il n'est plus sous votre contrôle. Et tous ceux d'entre nous qui l'utilisent seront en infraction avec le règlement parce que nous n'avons pas formé le modèle original et que le biais est donc déjà présent. Les hallucinations sont déjà présentes. C'est pourquoi j'aimerais que les régulateurs repensent le lieu où ils réglementent, et non ce qu'ils réglementent.
Emily Wearmouth [00:23:21] Vous ne pouvez pas vous en empêcher. Vous prenez une prédiction et vous la transformez en appel à l'action.
Sherron Brugess [00:23:26], c'est un excellent point.
Emily Wearmouth [00:23:28] Bien, alors. D'accord. Je retourne à mon sac de cadeaux, et j'ai l'impression que je devrais faire un bruit de papier froissé pendant que je le fais. La prochaine est de James Christiansen, et il postule que nous verrons les organisations interroger les promesses de ce que zéro signifie dans la confiance zéro, qu'elles chercheront des moyens de mettre en œuvre la confiance zéro adaptative continue de manière beaucoup plus granulaire. Alors, par où commencer ? Mais qu'entend-il par "confiance adaptative continue" ? Pouvez-vous nous aider, Shamla ? Aidez-nous à comprendre la prédiction.
Shamla Naidoo [00:23:56] Oui. Vous savez, commençons par dire que la société ne peut pas fonctionner avec une confiance nulle. Nous devons, à un moment donné, faire confiance à quelqu'un pour quelque chose afin de pouvoir fonctionner. Cette idée de confiance zéro n'est donc pas un objectif. C'est le point de départ de notre réflexion sur la manière dont nous interagissons avec la technologie. Nous ne voulons pas faire confiance à quoi que ce soit par défaut. Nous ne voulons pas lui faire confiance pour toujours, à tout moment et en tout lieu. L'idée de la confiance zéro est donc le point de départ. En règle générale, nous faisons confiance à l'utilisateur qui souhaite se connecter à un réseau. Il s'agissait donc d'un appareil se connectant au réseau. Nous vous dirons alors que nous avons confiance en votre ordinateur portable et que nous vous laisserons donc vous connecter au réseau. Une fois que vous êtes un utilisateur de confiance avec les bonnes informations d'identification et que vous êtes un appareil de confiance, vous êtes connecté au réseau et vous pouvez faire tout ce que vous voulez pendant la durée de la session ou pendant la journée, la semaine ou le mois, selon ce que vous autorisez. Je pense que James parle de l'idée que si vous commencez par là et que vous faites confiance à l'appareil et à la personne pour faire ce qu'ils veulent faire. Vous risquez d'avoir de mauvais résultats plus tard, car nous ne vivons pas dans un monde où tout est si bien défini. L'idée de la confiance adaptative est donc de faire confiance au moment présent, dans les circonstances. Puis, plus tard, je veux rétablir ma confiance et recommencer tout le processus. Avec le flux de travail. Je vais adapter la confiance que je vous accorde. Je pense donc que l'idée n'est pas de laisser les choses se dérouler d'un seul coup et de les poursuivre indéfiniment, mais plutôt de prévoir une certaine ponctuation en cours de route.
Emily Wearmouth [00:25:40] Très bien. D'accord. Je le comprends maintenant. Je suis donc tenté par l'idée que nous pourrions cesser d'être obsédés par cette étiquette "confiance zéro" en 2024, ou du moins que nous pourrions la nuancer. Sherron, que pensez-vous de cette prédiction ?
Sherron Brugess [00:25:54] Je pense aussi qu'il s'agit de ce que vous pouvez contrôler. Il y a tant de choses qui échappent à votre contrôle. C'est vrai. Ainsi, lorsque vous réfléchissez à ces idées, vous savez, vous faites confiance à travers des systèmes fédérés dans la mesure où vous faites confiance soit en utilisant certains de vos, vous savez, vous savez, en tirant certains de vos aspects sociaux dans votre vie professionnelle. Vous trouverez plus d'informations sur ce mélange ici. Vous savez, combien pouvez-vous utiliser ou que pouvez-vous utiliser pour dire, oui, c'est la personne, oui, elle devrait avoir cet accès et oui, elle peut avoir accès à ces ressources. Je pense donc qu'il s'agira d'une manière différente d'utiliser différents types de modalités pour soutenir cette confiance, ce type de discussion sur la confiance. Je pense que c'est ce que nous allons commencer à voir. Il devrait donc être très intéressant de voir ce qui se passe dans cet espace. Mais oui, je veux dire que nous nous sommes rendus fous avec cette idée de confiance zéro. Et encore une fois, une autre conversation avec le conseil d'administration. Oui, c'est vrai. Vous voulez faire, nous allons faire zéro confiance comme si nous voulions vraiment faire cela. Je pense donc qu'il y aura d'autres conversations et d'autres façons d'aborder la question de la confiance à l'avenir.
Emily Wearmouth [00:26:59] D'accord. La confiance zéro sera donc maintenue, mais elle sera moins binaire et nous allons mieux comprendre les éléments qui conduisent à la décision de confiance. Est-ce une bonne façon de voir les choses ?
Shamla Naidoo [00:27:11] Oui, je pense que oui, parce que, vous savez, cela ne disparaît pas. Mais ce que cela démontre, c'est que pour un RSSI en particulier, vous savez, vous ne commencez pas par faire confiance à tout le monde tout le temps. Vous devez, vous savez, commencer par ne faire confiance à personne, où que ce soit, quel que soit l'appareil, parce que le monde est tellement intégré. Pour renforcer la confiance, il faut multiplier les étapes, les décisions, les contrôles et les solutions. Et si vous ajoutez tous ces éléments, vous augmenterez la confiance. Et nous savons que la confiance accélère les affaires. Notre objectif est donc de faire en sorte que le système bénéficie de la plus grande confiance possible. Mais nous ne pouvons y parvenir que si nous disposons de tous ces niveaux, couches et lieux de contrôle différents que nous pouvons valider, vérifier et équilibrer, etc. Mais l'objectif est d'accroître la confiance en partant d'une confiance nulle.
Emily Wearmouth [00:28:08] C'est vrai. Je l'apprécie tout autant. Une façon plus positive de voir les choses, n'est-ce pas ? Je crois voir que notre producteur me fait signe que nous nous dirigeons vers l'heure. Je pense donc que je vais me rendre cet après-midi à un endroit si vous pariez. Il s'agit là d'informations très utiles pour l'année à venir. Et lorsque cet épisode sera diffusé, je pense aussi que je le regarderai sur LinkedIn, car j'ai l'intuition que les masses d'opinion des médias sociaux auront des idées sur ce avec quoi elles sont d'accord, ce avec quoi elles ne sont pas d'accord, et qu'elles nous reprocheront peut-être d'avoir oublié la chose la plus importante dont nous aurions dû parler, j'en suis sûr. Je vous remercie donc tous les deux d'avoir pris le temps de m'écouter aujourd'hui.
Sherron Brugess [00:28:38] Merci.
Shamla Naidoo [00:28:39] Merci. Emily, c'est formidable.
Emily Wearmouth [00:28:41] Vous avez écouté le podcast Security Visionaries, et j'ai été votre animatrice remplaçante, Emily Weymouth. Si vous avez apprécié cet épisode, n'hésitez pas à le partager et à vous abonner sur votre plateforme de podcast préférée. Vous trouverez de nombreux autres épisodes intéressants déjà disponibles, et nous en publions un nouveau toutes les deux semaines, certains animés par moi et d'autres par Max. Nous vous retrouverons la prochaine fois.
Pourquoi Netskope 
){kind=icon}
