Netskope est nommé un leader du Gartner® Magic Quadrant™ 2024 pour le Security Service Edge. Recevoir le rapport

fermer
fermer
  • Pourquoi Netskope signe chevron

    Changer la façon dont le réseau et la sécurité fonctionnent ensemble.

  • Nos clients signe chevron

    Netskope sert plus de 3 000 clients dans le monde entier, dont plus de 25 entreprises du classement Fortune 100

  • Nos partenaires signe chevron

    Nous collaborons avec des leaders de la sécurité pour vous aider à sécuriser votre transition vers le cloud.

La Capacité d'Exécution la plus élevée, une fois de plus.
La Vision la plus complète, une fois de plus.

Découvrez pourquoi le Magic Quadrant™ 2024 de Gartner® a désigné Netskope comme leader pour la sécurité en périphérie des services pour la troisième année consécutive.

Recevoir le rapport
Netskope nommé leader dans le Magic Quadrant™ 2024 de Gartner® pour le graphique de la périphérie des services de sécurité
Nous parons nos clients à l'avenir, quel qu'il soit

Voir nos clients
Woman smiling with glasses looking out window
La stratégie de commercialisation de Netskope privilégie ses partenaires, ce qui leur permet de maximiser leur croissance et leur rentabilité, tout en transformant la sécurité des entreprises.

En savoir plus sur les partenaires de Netskope
Group of diverse young professionals smiling
Votre réseau de demain

Planifiez votre chemin vers un réseau plus rapide, plus sûr et plus résilient, conçu pour les applications et les utilisateurs que vous prenez en charge.

Obtenir le livre blanc
Votre réseau de demain
Présentation de la plate-forme Netskope One

Netskope One est une plate-forme cloud native qui offre des services de sécurité et de mise en réseau convergents pour faciliter votre transformation SASE et Zero Trust.

En savoir plus sur Netskope One
Abstrait avec éclairage bleu
Adopter une architecture SASE (Secure Access Service Edge)

Netskope NewEdge est le nuage privé de sécurité le plus grand et le plus performant au monde. Il offre aux clients une couverture de service, des performances et une résilience inégalées.

Découvrez NewEdge
NewEdge
Netskope Cloud Exchange

Le Netskope Cloud Exchange (CE) fournit aux clients des outils d'intégration puissants pour optimiser les investissements dans l'ensemble de leur infrastructure de sécurité.

En savoir plus sur Cloud Exchange
Vidéo Netskope
La plateforme du futur est Netskope

Intelligent Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG), et Private Access for ZTNA intégrés nativement dans une solution unique pour aider chaque entreprise dans son cheminement vers l'architecture Secure Access Service Edge (SASE).

Présentation des produits
Vidéo Netskope
Next Gen SASE Branch est hybride - connectée, sécurisée et automatisée

Netskope Next Gen SASE Branch fait converger Context-Aware SASE Fabric, Zero-Trust Hybrid Security et SkopeAI-Powered Cloud Orchestrator dans une offre cloud unifiée, ouvrant la voie à une expérience de succursale entièrement modernisée pour l'entreprise sans frontières.

En savoir plus Next Gen SASE Branch
Personnes au bureau de l'espace ouvert
La conception d'une architecture SASE pour les nuls

Obtenez votre exemplaire gratuit du seul guide consacré à la conception d'une architecture SASE dont vous aurez jamais besoin.

Obtenir l'EBook
Optez pour les meilleurs services de sécurité cloud du marché, avec un temps de latence minimum et une fiabilité élevée.

Découvrez NewEdge
Lighted highway through mountainside switchbacks
Permettez en toute sécurité l'utilisation d'applications d'IA générative grâce au contrôle d'accès aux applications, à l'accompagnement des utilisateurs en temps réel et à une protection des données de premier ordre.

Découvrez comment nous sécurisons l'utilisation de l'IA générative
Autorisez ChatGPT et l’IA générative en toute sécurité
Solutions Zero Trust pour les déploiements du SSE et du SASE

En savoir plus sur la confiance zéro
Boat driving through open sea
Netskope obtient l'autorisation FedRAMP High Authorization

Choisissez Netskope GovCloud pour accélérer la transformation de votre agence.

En savoir plus sur Netskope GovCloud
Netskope GovCloud
  • Ressources signe chevron

    Découvrez comment Netskope peut vous aider à sécuriser votre migration vers le Cloud.

  • Blog signe chevron

    Découvrez comment Netskope permet la transformation de la sécurité et de la mise en réseau grâce à la périphérie des services de sécurité (SSE)

  • Événements et ateliers signe chevron

    Restez à l'affût des dernières tendances en matière de sécurité et créez des liens avec vos pairs.

  • Définition de la sécurité signe chevron

    Tout ce que vous devez savoir dans notre encyclopédie de la cybersécurité.

Podcast Security Visionaries

L’intersection du Zero Trust et de la sécurité nationale
On the latest episode of Security Visionaries, co-hosts Max Havey and Emily Wearmouth sit down for a conversation with guest Chase Cunningham (AKA Dr. Zero Trust) about zero trust and national security.

Écouter le podcast
L’intersection du Zero Trust et de la sécurité nationale
Derniers blogs

Découvrez comment Netskope peut faciliter la transition vers le Zero Trust et le SASE grâce aux fonctionnalités de sécurité en périphérie des services (SSE).

Lire le blog
Sunrise and cloudy sky
SASE Week 2023 : Votre voyage SASE commence maintenant !

Retrouvez les sessions de la quatrième édition annuelle de SASE Week.

Explorer les sessions
SASE Week 2023
Qu'est-ce que SASE ?

Découvrez la future convergence des outils réseau et sécurité dans le modèle économique actuel, dominé par le cloud.

En savoir plus sur SASE
  • Entreprise signe chevron

    Nous vous aidons à conserver une longueur d'avance sur les défis posés par le cloud, les données et les réseaux en matière de sécurité.

  • Équipe de direction signe chevron

    Nos dirigeants sont déterminés à faciliter la réussite de nos clients.

  • Solutions pour les clients signe chevron

    Nous sommes là pour vous et avec vous à chaque étape, pour assurer votre succès avec Netskope.

  • Formation et certification signe chevron

    Avec Netskope, devenez un expert de la sécurité du cloud.

Soutenir le développement durable par la sécurité des données

Netskope est fière de participer à Vision 2045 : une initiative visant à sensibiliser au rôle de l'industrie privée dans le développement durable.

En savoir plus
Soutenir le développement durable grâce à la sécurité des données
Penseurs, concepteurs, rêveurs, innovateurs. Ensemble, nous fournissons le nec plus ultra des solutions de sécurité cloud afin d'aider nos clients à protéger leurs données et leurs collaborateurs.

Rencontrez notre équipe
Group of hikers scaling a snowy mountain
L’équipe de services professionnels talentueuse et expérimentée de Netskope propose une approche prescriptive pour une mise en œuvre réussie.

En savoir plus sur les services professionnels
Services professionnels Netskope
Sécurisez votre parcours de transformation numérique et tirez le meilleur parti de vos applications cloud, Web et privées grâce à la formation Netskope.

En savoir plus sur les formations et les certifications
Group of young professionals working
Vignette du message

Cet épisode propose un entretien avec Andreas Rohr, directeur fondateur et directeur technique de l'Organisation allemande de cybersécurité (DCSO). Chez DCSO, Andreas est responsable de l'innovation et de l'ingénierie de sécurité, ainsi que des services de cyberdéfense gérés. Il a plus de 15 ans d'expérience dans le domaine des technologies de l'information et de la cybersécurité et a occupé des postes de direction dans les secteurs de l'énergie et de l'automobile.

Dans cet épisode, Mike et Andreas discutent de l'alignement sur les comités d'entreprise, de l'établissement de relations commerciales grâce à la transparence et de l'intégration de la sécurité dans les flux de valeur.

La transparence est essentielle pour travailler avec le comité d'entreprise, qui n'est pas là pour empêcher la sécurité ou l'entreprise de faire ce qu'il faut, mais pour s'assurer que les données ne sont pas utilisées à l'encontre des employés. C'est leur mission, leur tâche, et elle est valable.

-Andreas Rohr, directeur technique de l'Organisation allemande de cybersécurité (DCSO)

 

Horodatage

*(02:06) : Andreas explique ce qu'est DCSO*(23:34) : Conseils d'Andreas pour déterminer le budget de la sécurité
*(09:18) : Principes directeurs Le DCSO aide les entreprises à s'aligner sur*(27:30) : Comment Andreas conseille les entreprises pour qu'elles intègrent la sécurité dans le tissu de leur organisation.
*(15:45) : Comment Andreas aide les entreprises à s'y retrouver dans le comité d'entreprise allemand*(34:29) : Lunettes de protection 2030
*(19:27) : Le parcours d'Andreas de CISO à CTO*(43:01) : Les succès rapides

 

Autres façons d'écouter :

vert plus

Dans cet épisode

Andreas Rohr
Directeur technique de DCSO

signe chevron

Andreas Rohr

Andreas Rohr est directeur fondateur et directeur technique de l'Organisation allemande de cybersécurité (DCSO), une coentreprise créée par Allianz, Bayer, BASF et Volkswagen. Au sein du conseil d'administration de DCSO, M. Rohr est responsable de l'innovation et de l'ingénierie de sécurité, ainsi que des services de cyberdéfense gérés.

M. Rohr a plus de 15 ans d'expérience dans divers domaines de l'informatique et de la cybersécurité. Il a précédemment occupé des postes de direction dans les secteurs de l'énergie et de l'automobile. Depuis plus de dix ans, il est très impliqué dans la scène des start-ups spécialisées dans les technologies de cybersécurité, où il joue souvent le rôle de conseiller en apportant une perspective européenne unique aux entreprises naissantes. Auparavant, il a été officier dans l'armée de l'air allemande et a occupé le poste de RSSI adjoint au sein du ministère fédéral allemand de la défense.

Mike Anderson
Chief Digital & Information Officer chez Netskope

signe chevron

Mike Anderson

Mike Anderson est Chief Digital and Information Officer pour Netskope. Au cours des 25 dernières années, il a constitué et dirigé des équipes performantes dans diverses disciplines, notamment les ventes, les opérations, le développement commercial et les technologies de l'information. Il a rejoint Netskope après avoir travaillé pour Schneider Electric, une société internationale classée dans les 500 premières entreprises mondiales, en tant que vice-président directeur et leader numérique pour l'Amérique du Nord. En 2020, Constellation Research l'a nommé membre du Business Transformation 150, une liste d'élite qui reconnaît les meilleurs dirigeants mondiaux menant des efforts de transformation dans leurs organisations. Le Conseil national de la diversité l'a également reconnu comme l'un des 50 meilleurs DSI pour la diversité et l'inclusion en 2020 et 2021. Avant Schneider Electric, Mike a été DSI de CROSSMARK, où il a transformé numériquement les capacités commerciales de ce fournisseur de services aux 40 000 employés du secteur de la vente au détail et des biens de consommation. Il a également occupé des postes de direction chez Enterprise Mobile, une coentreprise de Microsoft qui fait maintenant partie de Honeywell, Insight, Software Spectrum et InVerge, un pionnier des services web qu'il a cofondé en 1999. Mike siège à de nombreux conseils consultatifs technologiques et industriels et travaille bénévolement avec des organisations à but non lucratif axées sur la santé mentale et la prévention du suicide, ainsi que sur le développement de notre future main-d'œuvre dans les domaines des sciences, de la technologie, de l'ingénierie et des mathématiques.

Andreas Rohr

Andreas Rohr est directeur fondateur et directeur technique de l'Organisation allemande de cybersécurité (DCSO), une coentreprise créée par Allianz, Bayer, BASF et Volkswagen. Au sein du conseil d'administration de DCSO, M. Rohr est responsable de l'innovation et de l'ingénierie de sécurité, ainsi que des services de cyberdéfense gérés.

M. Rohr a plus de 15 ans d'expérience dans divers domaines de l'informatique et de la cybersécurité. Il a précédemment occupé des postes de direction dans les secteurs de l'énergie et de l'automobile. Depuis plus de dix ans, il est très impliqué dans la scène des start-ups spécialisées dans les technologies de cybersécurité, où il joue souvent le rôle de conseiller en apportant une perspective européenne unique aux entreprises naissantes. Auparavant, il a été officier dans l'armée de l'air allemande et a occupé le poste de RSSI adjoint au sein du ministère fédéral allemand de la défense.

Mike Anderson

Mike Anderson est Chief Digital and Information Officer pour Netskope. Au cours des 25 dernières années, il a constitué et dirigé des équipes performantes dans diverses disciplines, notamment les ventes, les opérations, le développement commercial et les technologies de l'information. Il a rejoint Netskope après avoir travaillé pour Schneider Electric, une société internationale classée dans les 500 premières entreprises mondiales, en tant que vice-président directeur et leader numérique pour l'Amérique du Nord. En 2020, Constellation Research l'a nommé membre du Business Transformation 150, une liste d'élite qui reconnaît les meilleurs dirigeants mondiaux menant des efforts de transformation dans leurs organisations. Le Conseil national de la diversité l'a également reconnu comme l'un des 50 meilleurs DSI pour la diversité et l'inclusion en 2020 et 2021. Avant Schneider Electric, Mike a été DSI de CROSSMARK, où il a transformé numériquement les capacités commerciales de ce fournisseur de services aux 40 000 employés du secteur de la vente au détail et des biens de consommation. Il a également occupé des postes de direction chez Enterprise Mobile, une coentreprise de Microsoft qui fait maintenant partie de Honeywell, Insight, Software Spectrum et InVerge, un pionnier des services web qu'il a cofondé en 1999. Mike siège à de nombreux conseils consultatifs technologiques et industriels et travaille bénévolement avec des organisations à but non lucratif axées sur la santé mentale et la prévention du suicide, ainsi que sur le développement de notre future main-d'œuvre dans les domaines des sciences, de la technologie, de l'ingénierie et des mathématiques.

Transcription de l'épisode

Ouvert à la transcription

Andreas Rohr : L'histoire la plus convaincante est celle des comités d'entreprise qui ne sont pas là pour empêcher la sécurité ou l'entreprise de faire ce qu'il faut, mais pour s'assurer que les données ne sont pas utilisées à l'encontre des droits des employés. C'est leur mission, leur tâche, et elle est valable. Lorsque j'occupais un poste de RSSI dans des entreprises dotées d'un comité d'entreprise solide, la meilleure relation est celle qui consiste à être vraiment transparent sur ce que vous faites, sur les raisons qui vous poussent à le faire.

Intervenant 2 : Bonjour et bienvenue aux Visionnaires de la sécurité. Vous venez d'entendre l'invité d'aujourd'hui, Andreas Rohr, directeur technique de DCSO. L'alignement des organisations sur la sécurité nécessite de nombreuses compétences, dont la plus importante est la transparence. De l'établissement d'une communication descendante à la collaboration avec les comités d'entreprise, la transparence répond à de nombreuses questions en cours de route. Par exemple, qui a accès aux informations sensibles ? Quelle est l'appétence d'une organisation pour le risque ? Et comment les données des employés sont-elles protégées ? Avant de nous plonger dans l'interview d'Andreas, voici un bref mot de notre sponsor. Ce podcast sur les visionnaires de la sécurité est alimenté par l'équipe de Netskope. Chez Netskope, nous redéfinissons la sécurité des nuages, des données et des réseaux grâce à une plateforme qui offre un accès optimisé et une sécurité sans confiance pour les personnes, les appareils et les données, où qu'ils se trouvent. Pour en savoir plus sur la façon dont Netskope aide ses clients à être prêts à tout au cours de leur voyage insolent, visitez N-E-T-S-K-O-P-E.com. Sans plus attendre, voici l'épisode 20 de Security Visionaries avec Andreas Rohr, directeur technique de DCSO, et votre hôte, Mike Anderson.

Mike Anderson : Bienvenue dans l'épisode d'aujourd'hui de Security Visionaries. Je suis votre hôte, Mike Anderson. Je suis le Chief Digital and Information Officer chez Netskcope. Aujourd'hui, nous sommes rejoints par Andreas Rohr, qui nous rejoint depuis l'Allemagne. Comment allez-vous aujourd'hui, Andreas ?

Andreas Rohr : Très bien. Merci d'avoir bien prononcé le nom.

Mike Anderson : Je suis très enthousiaste à l'idée d'avoir cette conversation aujourd'hui parce que lorsque nous pensons à la cybersécurité, vous avez fait des choses très intéressantes en rassemblant des gens dans la région DACH et en pensant à des entreprises de toutes tailles lorsque vous réfléchissez au sujet de la cybersécurité. Pouvez-vous nous en dire plus sur le DCSO, son origine, sa mission, ce que vous essayez d'accomplir et comment vous travaillez avec les entreprises ?

Andreas Rohr : DCSO signifie German Cyber Security Organization (Organisation allemande pour la cybersécurité). Le D est donc pour Deutsche, pour ceux qui sont peut-être familiers avec la langue. Quatre entreprises de la région DACH, Allianz, BASF, Volkswagen et Bayer, dont vous avez peut-être entendu parler et qui comptent parmi les plus grandes entreprises d'Europe, ont décidé d'unir leurs forces et d'échanger des idées avec d'autres entreprises afin de ne pas réinventer les thèmes de la sécurité en réunissant leurs experts. Parce qu'ils ont une chose en commun, à savoir que 90 %, 80 % de leurs défis et de leur sécurité sont plus ou moins les mêmes, même s'ils sont en concurrence sur le marché. Ensuite, les talents ne sont pas assez nombreux sur le marché. Les réunir sous un même toit et leur confier des tâches qui les intéressent tous améliorerait encore les choses. Les ressources ont permis de tester de nouvelles idées. C'est donc l'une des choses à faire. Deuxièmement, ils dépendent tous de leur chaîne d'approvisionnement. C'était il y a sept ans, le terme "attaque de la chaîne d'approvisionnement" n'existait donc pas encore à l'époque, mais les entreprises avaient déjà compris que le maillon faible n'était pas leur sécurité, leur équipe de sécurité et leur maturité, mais les maillons de leur chaîne d'approvisionnement, dont elles dépendent le plus.

Andreas Rohr : Et digérer ou rendre les choses digestes à partir de leurs connaissances et apprentissages en matière de sécurité, c'est ce que le DCSO, en tant qu'échange dirigé par la communauté, vise à rendre opérationnelles ces connaissances et technologies, ce pour quoi nous avons également été fondés, afin de trouver des moyens de les rendre plus faciles à utiliser et à appliquer pour les entreprises qui ne disposent pas d'une grande équipe de sécurité ou même d'une quelconque connaissance. L'opérationnalisation des services de sécurité a donc été la deuxième tâche, essentiellement lors de la création de l'entreprise.

Mike Anderson : Non, c'est très bien. Et je sais qu'il existe aujourd'hui un grand nombre de postes à pourvoir dans le domaine de la cybernétique. Tout ce que vous pouvez faire pour aider les entreprises à lutter contre les mauvais acteurs qui veulent leur nuire. Comme vous l'avez dit, il s'agit dans certains cas de concurrents qui se réunissent autour d'une table pour déterminer comment ils peuvent se protéger des adversaires qui vivent dans la nature. Il s'agit donc d'une mission forte. D'autres entreprises se sont-elles jointes à vous dans le cadre de ce projet ? Vous avez parlé des quatre personnes qui nous ont rejoints à l'origine, mais d'autres personnes se sont-elles jointes à cette mission ?

Andreas Rohr : C'est une bonne question. Il n'y a donc pas que les quatre. Nous avons commencé très tôt avec environ 16 entreprises fiscales et nous en sommes aujourd'hui à environ 20, 21 entreprises similaires et quelques entreprises familiales de même taille. Ils dirigent essentiellement le développement du portefeuille du DCSO, ce dont nous devrions parler et ce que vous devriez rechercher en termes de sujets et d'orientations, et ils nous aident, en tant que conseillers pour ainsi dire, à déterminer ce qu'il faut développer. Deuxièmement, ce que nous aimons et parvenons à mettre en œuvre, c'est un format très régulier où ils apprennent non seulement de nouveaux sujets, mais aussi les choses existantes où ils ont échoué ou comment ils ont résolu certains défis et ce qui n'a pas fonctionné. Il est donc d'autant plus important de raccourcir les courbes d'apprentissage. Et cela ne concerne pas seulement les entreprises moins matures, mais aussi les entreprises matures. Cela prouve qu'il est utile et efficace de réunir des gens, même s'ils sont en concurrence sur un marché, et que cela ne devrait pas se limiter aux entreprises elles-mêmes, mais aussi aux relations avec les autorités et peut-être même avec les instituts de recherche. Il s'agit donc de jeter un pont entre les différents domaines d'expertise et de connaissances, en particulier pour les services de renseignement. Il est logique, dans les deux cas, d'avoir un flux, mais de ne pas le rendre visible aux preneurs ou aux adversaires, comme vous l'avez dit.

Mike Anderson : Je suis convaincu de la nécessité d'un partenariat public-privé pour l'échange de renseignements et l'étude des menaces. Une fois de plus, cela revient à dire que la sécurité est un sport d'équipe. Il ne s'agit pas seulement des quatre murs de mon organisation, mais de l'ensemble de l'écosystème qui travaille ensemble. Je suis curieux de savoir si vous avez pu influencer la politique ou les changements qui aideraient les entreprises à avoir de meilleurs guides ou des éléments sur lesquels s'aligner ?

Andreas Rohr : Oui, sans aucun doute. C'est l'une des choses que j'ai apprises des États-Unis. J'ai donc vu le NCFTA, où le FBI et d'autres forces de l'ordre et l'industrie travaillaient ensemble. Je pense que dans les premières années, dans les années 2000 et aussi dans d'autres formats pour lesquels quelque chose est piloté par l'État. Mais en général, j'aime beaucoup l'idée qu'il existe une relation fluide dans laquelle les éléments nécessaires pour s'aider mutuellement sont effectivement échangés. En fait, nous entretenons de très bonnes relations avec le ministère de l'intérieur, qui est en fait responsable de la fonction consultative et de la supervision de la police fédérale du BSI, le bureau fédéral pour la sécurité de l'information, ainsi que de la protection de la constitution. Je ne suis pas sûr que cela se traduise en anglais. Il faut donc que ces autorités aient leur propre vision des choses [0:07:13.7] ____, de leurs pairs du FBI par exemple, ou d'autres services d'application de la loi ou de renseignement, et de s'assurer que les informations sont transmises via le DCSO en tant que centre d'échange de confiance, si vous voulez, où ils peuvent être sûrs qu'il n'y aura pas de fuite vers le public, en particulier vers les attaquants.

Andreas Rohr : Mais aider les entreprises à trouver certaines choses lorsqu'elles n'ont pas d'indication claire que telle ou telle entreprise est menacée par tel ou tel acteur. Mais en général, aider à identifier si ces attaquants sont actifs dans ces réseaux s'est avéré très précieux car nous avons aussi aidé les autorités à découvrir qu'un groupe particulier était actif en rendant opérationnelles les informations qu'ils nous ont données de manière fiable. Et nous pourrions leur répondre : "Bon, écoutez, cette chose que vous nous avez donnée, nous n'avons aucune idée d'où elle vient, mais nous l'avons vue ici." Nous aidons donc les forces de l'ordre et les services de renseignement à mieux surveiller leurs cibles lorsqu'ils ne disposent pas de capteurs, car les autorités nationales sont limitées dans leurs actions, contrairement à ce qui se passe à l'extérieur de l'Allemagne. De même, les entreprises qui sont parfois très conservatrices lorsqu'il s'agit de permettre aux autorités d'accéder à leurs réseaux pourraient faire appel à nous pour s'assurer que seules les informations réellement nécessaires à l'accomplissement de la mission de chacun sont transmises. Et le fait que nous ayons servi de passerelle nous a également permis de couvrir le fait que nous n'avons pas toujours accordé notre confiance au début.

Andreas Rohr : Il s'est donc développé un échange plus confiant, où les craintes initiales n'ont pas disparu, mais sont nettement moins fortes qu'auparavant. Cela aide donc tout le monde en fin de compte. Il ne s'agit pas d'être pathétique, mais de contribuer à une meilleure protection de la démocratie elle-même lorsque des partis influents sont en présence.

Mike Anderson : Il semble que vous ayez parlé d'absence de confiance, ce qui revient à dire que la confiance est nulle. Il semble donc que ce soit un thème commun à tous les pays. Je vois beaucoup d'organisations qui essaient de s'y aligner. Aux États-Unis et même au-delà, nous voyons parfois des gens s'aligner sur les contrôles NIST existants parce que les compagnies d'assurance, dont nous parlerons un peu plus tard, s'en servent comme d'un point de repère. Les auditeurs l'utilisent comme point de repère. Quel est, selon vous, le fil conducteur pour les entreprises avec lesquelles vous travaillez aujourd'hui ? Quel est le point de repère sur lequel ils essaient de s'aligner ?

Andreas Rohr : Ce n'est donc pas tant une question de NIST, c'est juste une question de nature, puisque nous sommes en Europe et que nous essayons parfois d'inventer la roue nous-mêmes au lieu d'unir nos forces. Quoi qu'il en soit, le point de repère ici est plutôt l'ISO 27000 ou quelque chose de similaire. C'est une version très allemande. Ils cherchent tous à s'assurer que vous gérez correctement votre sécurité. Et encore plus dans ce domaine, le développeur de ces dernières années, le niveau de maturité de ces mises en œuvre de contrôle importe plus que la conformité réelle de ces dernières. Pensez donc qu'il faut d'abord mettre en place des mesures de conformité, puis qu'il y a peut-être dix ans, ils ont commencé à mettre en œuvre ces mesures, et c'est leur efficacité qui compte. Il y a donc un changement, et ce que j'aime avec le NIST et d'autres cadres, c'est qu'ils essaient de s'orienter davantage vers l'efficacité de votre protection et pas nécessairement vers la gestion de vos risques et la mise en place de contrôles. Et c'est là que les choses devraient évoluer. La conformité est donc nécessaire, mais elle n'est qu'une condition nécessaire, pas une condition suffisante, car une condition suffisante est d'être efficace. Et l'efficacité est plus importante que la conformité totale. Mais cela pourrait ne pas être cité à un régulateur, s'il vous plaît.

Mike Anderson : C'est intéressant, car ce que je vois souvent, c'est que les gens acquièrent des outils parce que les auditeurs disent qu'il faut avoir cet outil. Mais comme vous l'avez dit, l'efficacité est en fait de savoir si vous utilisez l'outil pour atteindre l'objectif que vous voulez atteindre ou pour obtenir un résultat commercial. Il s'agit souvent d'un chaînon manquant, car les gens collectent des outils pour satisfaire les auditeurs, mais ils n'obtiennent pas l'efficacité dont ils ont besoin. Ils s'exposent ainsi à une interruption de leur activité, qu'il s'agisse d'un ransomware ou d'une violation de données au sein de leur organisation.

Andreas Rohr : Oui. C'est une chose que les auditeurs et les régulateurs devraient peut-être penser différemment à l'avenir, parce qu'ils sont à l'origine de ce développement par la manière dont ils mettent en place leur réglementation. Et il y a un bon changement, que j'ai vu être une directive de sécurité locale qui est entrée en vigueur ou qui entrera pleinement en vigueur le 1er mai en Allemagne, qui indique que vous devez avoir.... Comme dans la nouvelle version de la norme ISO 27000, vous devez disposer de systèmes de détection des attaques. C'est ainsi qu'on l'appelle. Il s'agit donc essentiellement de mécanismes de détection et de réponse de l'ISO. Et c'est bien à cela que vous faites référence. Il ne s'agit pas seulement d'un outil, mais aussi d'une organisation qui doit être capable d'analyser ces éléments, de les comprendre et de déterminer s'il s'agit de quelque chose de sérieux à poursuivre ou non. Et, plus important encore, être en mesure de réagir et disposer de moyens mis en œuvre à cet effet. Il s'agit donc également d'une question d'organisation pour laquelle vous devez avoir la capacité de faire quelque chose 24 heures sur 24, 7 jours sur 7. S'il y a une indication qu'un groupe de ransomware est à un stade précoce. Parce qu'il ne vous reste peut-être que quelques heures ou, au maximum, quelques jours pour éviter les dégâts les plus importants.

Andreas Rohr : Et le fait de disposer de ces éléments organisationnels en plus de l'outillage et de l'intégration et de les utiliser de manière efficace, c'est là que la réglementation devrait... Comme le font les compagnies d'assurance, elles cherchent plutôt à savoir si quelque chose est effectivement sécurisé ou non. Et c'est là qu'il doit évoluer. Mais pour le régulateur, il est plus facile de dire que vous devez avoir un SIM, que vous devez avoir un réseau de surveillance de la détection. Si vous disposez de votre propre centre de données, etc. Mais en fin de compte, ce serait un bon conseil pour le régulateur, et c'est peut-être l'une des prochaines missions de l'OSCD que d'influencer le régulateur pour qu'il soit plus pertinent d'un point de vue pratique dans ce qu'il lui dit. La loi sur la sécurité nationale publiée il y a deux ans en Allemagne en est un bon exemple.

Mike Anderson : Non, c'est très bien. Vous avez parlé de la gestion de l'impact. Je me souviens qu'un de mes collègues travaillant dans une entreprise internationale de biens de consommation a déclaré que lorsque NotPetya a frappé, il a infecté l'ensemble de son réseau et de ses systèmes en l'espace de 15 minutes, à l'échelle mondiale. C'est pourquoi je pense qu'il s'agit d'un raisonnement traditionnel, ". Comment faire passer les choses le plus rapidement possible du point A au point B, du point C au point D, et à travers le réseau de mon entreprise." Tout cela doit être repensé, car si un nœud est compromis, cela peut-il rapidement prendre le contrôle de l'ensemble de mon réseau et entraîner l'effondrement de toute mon entreprise ?

Andreas Rohr : Exactement. Et lorsque vous faites des recherches sur ce sujet, pensez que cette affaire NotPetya aurait pu être évitée par la plupart des gens en améliorant l'hygiène de leurs correctifs. Mais avant que ces choses ne se produisent, au moins avec les vecteurs de ransomware, ils font du bruit dans le réseau. Ainsi, dans presque 100 % des cas où nous avons été impliqués dans la réponse aux incidents, nous avons vu suffisamment de signaux qui auraient pu être analysés et déclencher une action pour arrêter l'attaque. Cela ne les obligerait pas nécessairement à remédier à ces systèmes et à tout reconstruire à partir de zéro, mais ils auraient pu prévenir l'ensemble des dommages qui se sont effectivement produits après quelques jours. Et c'est la même chose avec NotPetya, si vous avez pu patcher ces choses qui sont connues ou ont été connues pour être critiques, et quelques autres bonnes pratiques qui sont en fait mandatées dans ces normes, que vous avez mentionnées plus tôt, alors c'est le travail à la maison, la condition nécessaire. Il suffit ensuite de mettre en place un bon réseau de détection qui vous permettra de passer à l'action. Et je ne suis pas sûr que cela aurait pu être réglé en 15 minutes, mais en général, il y a un délai qui se réduit pour être juste.

Andreas Rohr : Mais il y a un délai dans lequel vous pouvez détecter des choses et vous pouvez supposer que toutes les mesures de protection ne vous protègent pas toujours à 100 %. Il s'agit soit d'un clic de l'utilisateur sur quelque chose, soit d'une absence de correctif, soit d'une configuration non sécurisée, soit de n'importe quoi d'autre. Mais si vous supposez que c'est le cas et que vous disposez d'une grille de détection par-dessus, celle-ci vous indiquera "Ok, il y a quelque chose que vous ne voulez pas avoir ici. Je vous invite à y jeter un coup d'œil et à agir." Peut-être même de manière très automatisée ou prédéfinie pour arrêter de telles attaques, c'est ce qu'il faut faire pour les entreprises vraiment performantes en termes de sécurité.

Mike Anderson : Oui, je suis tout à fait d'accord. S'il s'agit d'un système manuel, vous dépendez toujours de la personne qui occupe la chaise et, en cas d'écart de compétences, cela peut devenir problématique. Donc, exactement comme vous l'avez dit, l'automatisation. Il est essentiel que je puisse prendre des mesures préventives et jouer le plus rapidement possible. Pour en revenir à l'aspect sécurité, et je pense à la confidentialité des données, tout le monde parle du GDPR. Je rappelle toujours aux gens que si vous pensez que le GDPR est difficile, attendez de devoir vous présenter devant le comité d'entreprise allemand et de parler de la confidentialité des données pour les citoyens allemands. Pour beaucoup d'outils de sécurité, il s'agit d'inspecter ce que font les gens. Comment aidez-vous les entreprises à s'y retrouver dans le comité d'entreprise allemand pour s'assurer qu'elles peuvent mettre en place les bonnes protections, tout en préservant la vie privée des citoyens allemands ?

Andreas Rohr : C'est une question délicate. Il n'y a pas de solution miracle pour y parvenir. Ce comité d'entreprise est satisfait de ce qui se passe lorsque des quantités massives de données sont inspectées, ce qui est nécessaire pour la détection, pour être juste. Mais l'histoire la plus convaincante pour les comités d'entreprise qui ne sont pas là pour empêcher la sécurité ou l'entreprise de faire ce qu'il faut, mais pour s'assurer que les données ne sont pas utilisées à l'encontre de leurs employés. C'est leur mission, leur tâche, et elle est valable. Et pour s'entendre avec les comités d'entreprise... Et lorsque j'occupais un poste de RSSI dans des entreprises où il y avait un comité d'entreprise fort, la meilleure relation est celle où vous êtes vraiment transparent sur ce que vous faites, sur les raisons pour lesquelles vous le faites. J'étais donc assez jeune à l'époque. Je n'étais pas très doué pour argumenter potentiellement, essentiellement sur leur mission parce qu'ils ont également pour mission de protéger les employés contre les préjudices. Cela comprend également les cyberattaques ou les violations de la confidentialité des données, les atteintes à la vie privée, etc. À l'époque, j'aurais donc dû faire valoir, comme je le fais aujourd'hui, qu'aider à prévenir les attaques en inspectant certains trafics ou en acquérant certaines données aurait été la bonne voie à suivre. Et c'est l'une des choses qu'ils ne peuvent pas nier si vous connaissez le fonctionnement de la constitution.

Andreas Rohr : Si vous leur dites que le seul cas d'utilisation de ces données, lorsqu'elles sont valables, est la détection d'activités malveillantes et non le suivi des employés et autres, et si vous leur donnez cela par écrit, que c'est ce que vous faites et que vous adhérez à vos propres règles en ce sens, alors ils commenceront par vous mettre des bâtons dans les roues et verront si vous vous comportez bien ou non. Mais si vous faites cela en permanence de manière à n'utiliser le système que pour détecter les éléments malveillants et empêcher ainsi leurs constituants si vous le souhaitez, alors la prochaine fois, vous pourrez passer la porte plus facilement qu'auparavant. Au moins, je n'ai jamais échoué à faire passer des choses par le comité d'entreprise. C'est juste la façon dont vous présentez les choses et le fait que vous adhériez vraiment à la plupart des principes pour ne pas utiliser les données à d'autres fins que celles pour lesquelles vous les avez acquises.

Mike Anderson : C'est très bien. J'espère qu'il s'agit d'une ligne de produits que vous proposez à DCSO.

Andreas Rohr : Chaque fois que vous achetez des services gérés à DCSO, cela est inclus. Nous aidons donc le client à franchir la porte du comité d'entreprise et je pense que nous avons une assez bonne réputation. Et comme j'ai déjà travaillé avec des comités d'entreprise dans le monde de Volkswagen, mais aussi dans le secteur des services publics où ils ont un comité d'entreprise très fort et que j'ai pu constater par le passé la qualité des relations avec eux, etc. Nous leur apportons donc notre expérience, ce qui leur plaît généralement, et nous leur facilitons la vie en les aidant à discuter avec leurs parents. En fin de compte, c'est une question de confiance, et non pas de confiance zéro, c'est plutôt l'inverse. Si vous créez un climat de confiance, vous pouvez faire la plupart des choses avec le comité d'entreprise. Et même si vous ne leur donnez qu'une petite indication, un compte en lecture seule pour la technologie que vous déployez, cela aide beaucoup. On leur laisse donc la transparence et on les aide à voir ce que vous regardez, ce que vous en faites, comment vous commentez les cas, etc. Il se peut donc qu'ils ne saisissent pas tout ce qu'ils voient, mais ils n'ont pas l'impression qu'il se passe quelque chose dans l'ombre, qui pourrait nuire à mon peuple. Il ne s'agit pas d'un ingrédient secret de réussite, mais d'un élément qui, si vous y adhérez, vous permettra probablement d'obtenir de bons résultats.

Mike Anderson : C'est très bien. Je suis tout à fait d'accord avec vous, la transparence est ce qui permet d'établir la confiance. En l'absence de transparence, les gens devinent et les devinettes n'engendrent pas la confiance. Il s'agit donc d'un excellent conseil pour les relations avec le comité d'entreprise allemand et, d'une manière générale, d'un principe commercial. C'est la transparence qui permet d'instaurer la confiance. Si je considère le rôle que vous occupez aujourd'hui, et vous avez parlé de certains de vos rôles, quels sont les enseignements que vous avez apportés au DCSO ? Vous avez mentionné que vous avez été CISO dans le passé et que vous êtes maintenant CTO pour DCSO. Parlez-nous un peu de ce parcours et comment les choses ont-elles évolué dans votre esprit au fur et à mesure de votre transition vers le rôle que vous occupez aujourd'hui par rapport aux rôles de praticien et de RSSI que vous avez occupés par le passé ?

Andreas Rohr : Lorsque j'étais RSSI, j'ai été confronté au même défi que la plupart des RSSI qui ont également des équipes techniques. J'ai donc eu la chance d'être non seulement responsable de la gouvernance et du système de gestion de la sécurité, mais aussi d'avoir ma propre équipe de sécurité opérationnelle et le luxe de pouvoir jouer avec la technologie, etc. J'ai donc commencé par constater que je disposais de tous les outils nécessaires pour faire un travail correct, voire agréable, mais qu'il n'existait aucun moyen cohérent d'utiliser ces outils pour l'ensemble d'une image. Et je ne veux pas dire qu'il s'agit d'une simple vitre. Je veux dire par là que c'est souvent utilisé, mais utiliser les forces des différentes technologies et les combiner, c'est ce qui m'a permis de réussir à être très rentable en tirant toute la valeur des différentes technologies que j'employais. J'ai également permis à mon équipe de l'époque de réaliser des choses intéressantes qui n'étaient pas dans la moyenne de ce que les équipes peuvent accomplir. Si l'on considère donc un ensemble d'outils, un couteau de l'armée suisse, l'équipe qui utilise ce couteau est en fait la plus importante. C'est pourquoi, lorsque nous avons développé le portefeuille, j'ai été motivé par le fait de les amener à traiter différents types de technologies d'entrée, de flux, d'idées, et d'opérationnaliser les différentes capacités et compétences des personnes afin de maximiser les résultats et d'aider à résoudre certains problèmes pour nos clients au sein du DCSO.

Andreas Rohr : L'une des choses que je n'ai pas mentionnées tout à l'heure, c'est que j'ai également été chargé de mettre au point un portefeuille de services de sécurité gérés il y a sept ans. À l'époque, il n'était pas très courant d'avoir un SARC externalisé, mais pas autant de services de sécurité gérés et de résoudre les problèmes de ces organisations afin qu'elles puissent se concentrer sur les problèmes les plus intéressants et les plus difficiles à résoudre, sans avoir à s'occuper du travail quotidien. Et en même temps, il n'y a pas de discours au client disant : "Nous faisons cela pour vous." Et comme vous priver de votre travail, ce qui suscite beaucoup de résistance de la part des équipes de sécurité avec lesquelles vous essayez de faire des affaires. Mais les aider, "Ecoutez, nous savons que vous devez le faire et que c'est parfois douloureux, et nous avons aussi été dans cette position auparavant, alors nous aimerions nous fondre dans votre équipe, et juste accepter que nous soyons ceux qui font les super devoirs tous les jours, 24/7 et pourquoi vous ne vous concentrez pas sur les choses intéressantes ?" Et nous vous donnons tous les ingrédients pour y parvenir. C'est donc l'une des choses qui nous a beaucoup aidés en tant que RSSI, mais aussi du point de vue de la peur de ces équipes matures et de l'espace client, à accepter que nous apportions une valeur ajoutée. Il ne s'agit donc pas d'une question technique, mais plutôt de la manière dont vous vous intégrez et complétez les compétences et les capacités de l'équipe. C'est à ce moment-là que vous pouvez convaincre les techniciens du côté du client.

Andreas Rohr : Et cela nous a beaucoup aidés à construire le portefeuille, comme nous le disons, et aussi à faire entrer dans le jeu la partie communautaire de chacun des services, où ils parlent et échangent avec leurs pairs, non seulement sur la façon dont ils nous apprécient, mais aussi sur la façon dont ils résolvent certains problèmes dans le monde réel, au jour le jour, sans avoir un consultant en place qui les aide à les résoudre dans l'une ou l'autre direction. Mais c'est en apprenant des autres qu'on nous facilite la tâche que nous pouvons réussir. Et c'est aussi un peu unique. Nous ne nous concentrons donc pas uniquement sur le nombre de clients pour le capital-risque, mais nous visons réellement à ce qu'ils puissent s'entraider et à ce que nous fassions leurs devoirs de la manière la plus innovante possible. C'est là que mon passé m'a aidé à mettre en place un portefeuille différent.

Mike Anderson : Non, c'est très bien. L'une des questions que l'on me pose toujours, et j'ai vu un débat en ligne hier sur LinkedIn entre RSSI, est la suivante : comment déterminez-vous le budget de la sécurité ? Le débat porte toujours sur la question de savoir s'il s'agit d'un pourcentage du chiffre d'affaires de l'entreprise. S'agit-il d'un pourcentage du budget informatique ? Est-elle basée sur la position de risque de l'organisation et sur ce qu'elle souhaite investir dans ce domaine ? Comment... J'imagine que c'est une question que les entreprises vous posent souvent. Comment répondez-vous à cette question ?

Andreas Rohr : Les RSSI devraient plutôt faire appel à un conseiller neutre et de confiance qui n'a pas d'intérêt personnel à vendre quelque chose. Il m'arrive de me retrouver dans des positions similaires. Nous sommes engagés par les conseils d'administration et nous examinons leur patrimoine, etc., et sachant que je vends également ces services, nous leur disons ce qui est nécessaire et ce qui... Je ne dis pas qu'il s'agit de déchets, mais qu'il s'agit de dépenses excessives. Il s'agit d'être vraiment franc et de ne pas se contenter de chercher des points de repère, mais de rechercher des solutions efficaces. Quelles sont donc les choses que vous souhaitez le plus protéger et qui permettent à votre entreprise de fonctionner ? Comme une analyse d'impact sur l'entreprise. Si vous savez que vous dépendez le plus de vos 10%, et si vous ajoutez à cela tous les rôles de sécurité efficaces et que vous faites un travail moyen pour le reste, c'est le meilleur conseil à suivre, plutôt que de chercher les chiffres purs. Et que vous souhaitiez ou non protéger votre entreprise, les 10 %. Et c'est ainsi que je leur parle, alors, d'accord, qu'est-ce qui est nécessaire pour cela ? La question suivante est évidemment la suivante. Quel est donc le montant approprié à dépenser ? Alors qu'ils s'attaquent d'abord aux processus de haut en bas, je m'occupais des processus commerciaux essentiels, puis des processus de bas en haut. Que faut-il pour cela ? Ensuite, vous pouvez dire : "D'accord, pour l'autre, je peux utiliser un point de référence." Voici donc comment j'aborderais la question.

Mike Anderson : Oui, c'est un bon conseil si je pense à l'ensemble de l'entreprise. Vous avez parlé des risques liés à la chaîne d'approvisionnement au début de la conversation. Lorsque je travaillais chez Schneider Electric, je demandais à notre responsable de la chaîne d'approvisionnement quel était le niveau de sécurité de nos fournisseurs. Comment cela s'intègre-t-il dans notre stratégie d'approvisionnement ? Tout cela s'inscrit dans le cadre d'une conversation sur le risque d'entreprise, pas seulement sur le plan cybernétique, mais aussi sur la stabilité financière de l'entreprise avec laquelle je travaille. La sécurité devient alors une autre question qui se pose en parallèle, car si je ne peux pas obtenir d'acier, il est difficile de fabriquer des produits sans acier. En regardant cela, je pense que vous avez raison. J'espère que cela conviendra à la plupart des entreprises qui participent au sommet de l'industrie manufacturière et aux 10 % sur lesquels elles se concentrent vraiment et qu'elles veulent protéger.

Andreas Rohr : Absolument. Nous avons appris à perturber la chaîne d'approvisionnement avec le canal de Suez, qui est un événement très physique, nous avons maintenant eu cette pandémie, nous avons peut-être cette guerre commerciale et d'autres choses connexes, et nous avons ensuite cette pénurie de ressources due à la crise en Europe avec la guerre et aussi avec la Chine qui n'est peut-être pas en mesure de faire fonctionner ses usines parce qu'elle ne peut pas ou qu'elle ne veut pas le faire. Quoi qu'il en soit. Ainsi, le fait de savoir exactement où se trouvent vos maillons faibles et de les gérer réinitialisera fondamentalement, ou a déjà réinitialisé, notre façon de mesurer le risque. Nous devons également tenir compte du fait que les adversaires n'agissent pas toujours de manière rationnelle, c'est l'un des enseignements de l'année dernière. La gestion et l'évaluation des risques fondées sur le comportement rationnel d'autrui peuvent donc s'appliquer à la plupart des domaines, comme le marché financier et d'autres, mais pas nécessairement à des États tels que la Russie. Nous devrions également supposer qu'il existe un moyen d'action perturbateur sans récompense évidente pour ceux qui agissent de la sorte, ce qui serait rationnel. C'est l'une des choses pour lesquelles vous devriez être plus conservateur en termes d'évaluation de ces risques, plutôt que de dire : "Oui, c'est tellement improbable que cela n'arrivera pas." C'est aussi un élément que nous devons prendre en compte.

Mike Anderson : Tout à fait. Je vais pivoter un peu, comme vous avez parlé du travail avec le conseil d'administration et d'autres, quand vous pensez à la sécurité comme un sport d'équipe, souvent le RSSI est celui qui prend toutes les... C'est probablement l'un des emplois les plus difficiles au monde, parce qu'il n'y a pas de montant que vous pouvez dépenser pour vous protéger à 100 %. C'est probablement l'un des emplois les plus difficiles au monde, parce qu'il n'y a pas de montant en dollars que vous pouvez dépenser pour vous protéger à 100 %, et c'est donc toujours un compromis risque-récompense. Mais ce n'est pas seulement le travail du RSSI. Comment voyez-vous et comment aidez-vous les entreprises à conseiller sur la manière d'intégrer la sécurité dans le tissu de leur organisation et de leur personnel dans toutes les unités, les unités commerciales et les fonctions ? Comment conduisez-vous cette évolution et la voyez-vous se produire au rythme que vous attendez d'elle ?

Andreas Rohr : Le conseil est donc de le diviser en deux disciplines différentes. L'une d'entre elles se situe davantage dans une perspective de conformité et de mise en place d'un cadre, ainsi que de soutien du conseil d'administration pour les questions les plus générales, qui ne sont pas liées à l'activité en elle-même. La deuxième consiste à responsabiliser les équipes de bout en bout. L'équipe DevOps est donc le moyen moderne de développer et d'exploiter des applications. Cela s'est avéré être la meilleure configuration pour la plupart des choses. L'ajout de la sécurité, et c'est le mot à la mode, DevSecOps, signifie en fait que vous intégrez la sécurité pour les opérations, mais aussi pour les développeurs dans une boucle très étroite. C'est ainsi que vous pouvez faire prendre conscience à chacun de ce qu'il fait, de son impact et de ce qui devrait être mis en œuvre dans le meilleur des cas, au lieu d'un cycle de développement centré sur la passerelle. Vous pouvez ainsi réagir beaucoup plus rapidement aux vulnérabilités, aux informations, aux abus des attaquants, alors qu'il s'agit d'une fonction normale. Il s'agit de la configuration la plus moderne que vous souhaitiez avoir dans le domaine des technologies de l'information, à laquelle s'ajoute la sécurité. Et par là même, développer les développeurs et les responsables des opérations pour qu'ils sachent ce qu'ils doivent faire, parce qu'ils n'ont pas été éduqués avec ces connaissances. Et la formation sur le terrain, pour ainsi dire, est le meilleur moyen de mettre cela en œuvre de la manière la plus efficace.

Andreas Rohr : Il ne faut pas minimiser leur capacité à faire les choses correctement. Mais s'il y a quelque chose à côté d'eux et qu'ils se soutiennent mutuellement sur certains aspects, c'est la façon la plus efficace de procéder. Il s'agit de la deuxième mesure qui devrait être mise en œuvre. Et le responsable fonctionnel ou le responsable de la tribu, pour ainsi dire, pour le sujet de la sécurité doit être le RSSI. Il faut donc disposer d'une matrice organisée pour la mettre en œuvre, mais elle doit être intégrée aux développeurs et aux responsables des opérations, comme le serait une sécurité normale. C'est donc, à mon avis, la meilleure façon de procéder. Il y a des secteurs où cela ne fonctionne pas et où nous devons agir différemment, mais pour les entreprises axées sur les technologies de l'information, c'est la meilleure façon de s'assurer que c'est le cas. Les responsables de la sécurité ne peuvent pas être présents à 100 % de leur temps en raison d'un manque de talents, comme nous le savons, mais le fait de disposer de ce système en général permettra de le mettre en œuvre, d'échanger les équipes et de faire en sorte qu'il soit efficace.s possible is the way how it should go.

Mike Anderson : C'est très bien. Et les choses que j'ai vues en ce qui concerne... Si je pense aux équipes informatiques et numériques, DevSecOps est sans aucun doute le plan directeur, pour utiliser ce mot à la mode, la voie à suivre. Si je pense à mes fonctions financières, mes fonctions RH, si je pense à mes différentes unités commerciales, quelles sont les choses que vous voyez fonctionner pour faire entrer la sécurité dans l'esprit des gens en dehors de l'organisation technologique et de l'entreprise ? Comment intégrer la sécurité dans le tissu de l'organisation ?

Andreas Rohr : Je ne suis pas sûr qu'il s'agisse d'une tâche active du RSSI uniquement, mais c'est le conseil d'administration qui commence à s'en occuper. Et ce n'est plus un défi, car l'impact des pairs, les cibles proches et les actions perturbatrices des attaquants de l'année dernière ont beaucoup aidé à sortir de l'improbable ce qui pourrait arriver à mon organisation pour en faire quelque chose de concret. D'accord, nous devons nous en occuper. Il ne s'agit pas d'un phénomène statistique, qui me touchera tous les dix ans, mais qui me touchera certainement au cours des deux prochaines années, et je dois donc m'en préoccuper. Et la sécurité n'est pas à mettre en œuvre à 100 % pour tout éviter, c'est bien connu. Cela vaut également pour les ressources humaines, les finances, etc. La différence, c'est qu'il faut leur donner un objectif [0:31:15.5]. ____ ce qu'ils doivent faire, ce qu'ils ne doivent pas faire, et comment et où demander s'ils ont des doutes sur certains points. Et il s'agit d'une prise de conscience en premier lieu, ou... Je pense que Netskope utilise également de temps en temps le terme de pare-feu humain pour cela. C'est bien de les conseiller et de leur enseigner, mais ce n'est pas aussi bien que de leur donner un coup de main s'ils en ont besoin, de leur indiquer ce qu'ils doivent faire s'ils sont incertains. C'est d'autant plus important qu'il peut y avoir quelque chose de suspect, mais s'ils obtiennent de l'aide au bout d'une heure ou de quelques minutes, c'est encore plus important.

Mike Anderson : Oui. Vous aviez évoqué le pare-feu humain. Cela a été une grande campagne de notre CISO ici à Lamont en interne, parce que nous considérons toujours que le maillon le plus faible de tout programme de sécurité est le personnel en place qui fait son travail tous les jours. Nous disposons de tous les outils nécessaires pour trouver les personnes qui veulent faire du mal intentionnellement. Ce sont les personnes qui causent des dommages accidentels chaque jour en cliquant sur des liens qu'elles ne devraient pas faire. Ils introduisent des applications qu'ils ne devraient pas utiliser. Ils introduisent dans ces applications des données qui ne devraient pas s'y trouver. C'est ce que nous essayons de faire. L'une des questions qui me tient le plus à cœur est de savoir comment créer de meilleurs citoyens numériques. Vous entendez parler de l'informatique fantôme comme d'un concept qui existe aujourd'hui. Et si vous interrogez le PDG, vous constaterez qu'aujourd'hui, c'est davantage l'entreprise qui dirige l'informatique, car nous avons une nouvelle génération de travailleurs qui sont des natifs du numérique. Comment leur permettre de résoudre les problèmes en toute sécurité ? C'est ma nouvelle mission en tant que DSI d'une entreprise de sécurité : comment permettre à la personne assise dans le fauteuil de résoudre le problème de manière sécurisée afin de débloquer cet état d'esprit de natif numérique ? Comment les gens évoluent-ils dans ce domaine ? L'informatique fantôme a toujours été la grande affaire, mais si vous regardez les usines d'app