L'avenir du Zero Trust et du SASE, dès aujourd'hui ! Inscription

fermer
fermer
La plateforme du futur est Netskope

Intelligent Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG), et Private Access for ZTNA intégrés nativement dans une solution unique pour aider chaque entreprise dans son cheminement vers l'architecture Secure Access Service Edge (SASE).

Présentation des produits
Vidéo Netskope
Next Gen SASE Branch est hybride - connectée, sécurisée et automatisée

Netskope Next Gen SASE Branch fait converger Context-Aware SASE Fabric, Zero-Trust Hybrid Security et SkopeAI-Powered Cloud Orchestrator dans une offre cloud unifiée, ouvrant la voie à une expérience de succursale entièrement modernisée pour l'entreprise sans frontières.

En savoir plus Next Gen SASE Branch
Personnes au bureau de l'espace ouvert
La conception d'une architecture SASE pour les nuls

Obtenez votre exemplaire gratuit du seul guide consacré à la conception d'une architecture SASE dont vous aurez jamais besoin.

Obtenir l'EBook
Adopter une architecture SASE (Secure Access Service Edge)

Netskope NewEdge est le nuage privé de sécurité le plus grand et le plus performant au monde. Il offre aux clients une couverture de service, des performances et une résilience inégalées.

Découvrez NewEdge
NewEdge
Votre réseau de demain

Planifiez votre chemin vers un réseau plus rapide, plus sûr et plus résilient, conçu pour les applications et les utilisateurs que vous prenez en charge.

Obtenir le livre blanc
Votre réseau de demain
Netskope Cloud Exchange

Le Netskope Cloud Exchange (CE) fournit aux clients des outils d'intégration puissants pour optimiser les investissements dans l'ensemble de leur infrastructure de sécurité.

En savoir plus sur Cloud Exchange
Vidéo Netskope
Optez pour les meilleurs services de sécurité cloud du marché, avec un temps de latence minimum et une fiabilité élevée.

Découvrez NewEdge
Lighted highway through mountainside switchbacks
Permettez en toute sécurité l'utilisation d'applications d'IA générative grâce au contrôle d'accès aux applications, à l'accompagnement des utilisateurs en temps réel et à une protection des données de premier ordre.

Découvrez comment nous sécurisons l'utilisation de l'IA générative
Autorisez ChatGPT et l’IA générative en toute sécurité
Solutions Zero Trust pour les déploiements du SSE et du SASE

En savoir plus sur la confiance zéro
Boat driving through open sea
Netskope obtient l'autorisation FedRAMP High Authorization

Choisissez Netskope GovCloud pour accélérer la transformation de votre agence.

En savoir plus sur Netskope GovCloud
Netskope GovCloud
  • Ressources signe chevron

    Découvrez comment Netskope peut vous aider à sécuriser votre migration vers le Cloud.

  • Blog signe chevron

    Découvrez comment Netskope permet de transformer la sécurité et les réseaux à l'aide du Security Service Edge (SSE).

  • Événements et ateliers signe chevron

    Restez à l'affût des dernières tendances en matière de sécurité et créez des liens avec vos pairs.

  • Définition de la sécurité signe chevron

    Tout ce que vous devez savoir dans notre encyclopédie de la cybersécurité.

Podcast Security Visionaries

Des cookies, pas des biscuits
L'animatrice Emily Wearmouth rencontre les experts David Fairman et Zohar Hod pour discuter du passé, du présent et de l'avenir des cookies sur Internet.

Écouter le podcast
Podcast : Des cookies, pas des biscuits
Derniers blogs

Comment Netskope peut faciliter le parcours Zero Trust et SASE grâce aux capacités des services de sécurité en périphérie (SSE).

Lire le blog
Sunrise and cloudy sky
SASE Week 2023 : Votre voyage SASE commence maintenant !

Retrouvez les sessions de la quatrième édition annuelle de SASE Week.

Explorer les sessions
SASE Week 2023
Qu'est-ce que le Security Service Edge ?

Découvrez le côté sécurité de SASE, l'avenir du réseau et de la protection dans le cloud.

En savoir plus sur Security Service Edge
Four-way roundabout
  • Nos clients signe chevron

    Netskope sert plus de 2 000 clients dans le monde, dont plus de 25 des entreprises du classement Fortune 100

  • Solutions pour les clients signe chevron

    Nous sommes là pour vous et avec vous à chaque étape, pour assurer votre succès avec Netskope.

  • Communauté Netskope signe chevron

    Apprenez d'autres professionnels des réseaux, des données et de la sécurité.

  • Formation et certification signe chevron

    Avec Netskope, devenez un expert de la sécurité du cloud.

Nous parons nos clients à l'avenir, quel qu'il soit

Voir nos clients
Woman smiling with glasses looking out window
L’équipe de services professionnels talentueuse et expérimentée de Netskope propose une approche prescriptive pour une mise en œuvre réussie.

En savoir plus sur les services professionnels
Services professionnels Netskope
La communauté Netskope peut vous aider, vous et votre équipe, à tirer le meilleur parti des produits et des pratiques.

Accéder à la communauté Netskope
La communauté Netskope
Sécurisez votre parcours de transformation numérique et tirez le meilleur parti de vos applications cloud, Web et privées grâce à la formation Netskope.

En savoir plus sur les formations et les certifications
Group of young professionals working
  • Entreprise signe chevron

    Nous vous aidons à conserver une longueur d'avance sur les défis posés par le cloud, les données et les réseaux en matière de sécurité.

  • Pourquoi Netskope signe chevron

    La transformation du cloud et le travail à distance ont révolutionné le fonctionnement de la sécurité.

  • Équipe de direction signe chevron

    Nos dirigeants sont déterminés à faciliter la réussite de nos clients.

  • Partenaires signe chevron

    Nous collaborons avec des leaders de la sécurité pour vous aider à sécuriser votre transition vers le cloud.

Soutenir le développement durable par la sécurité des données

Netskope est fière de participer à Vision 2045 : une initiative visant à sensibiliser au rôle de l'industrie privée dans le développement durable.

En savoir plus
Soutenir le développement durable grâce à la sécurité des données
Meilleure capacité d'exécution. Le plus loin dans sa vision.

Netskope nommé leader dans le rapport Magic QuadrantTM 2023 pour SSE de Gartner®.

Recevoir le rapport
Netskope nommé leader dans le rapport Magic QuadrantTM 2023 pour SSE de Gartner®.
Penseurs, concepteurs, rêveurs, innovateurs. Ensemble, nous fournissons le nec plus ultra des solutions de sécurité cloud afin d'aider nos clients à protéger leurs données et leurs collaborateurs.

Rencontrez notre équipe
Group of hikers scaling a snowy mountain
La stratégie de commercialisation de Netskope privilégie ses partenaires, ce qui leur permet de maximiser leur croissance et leur rentabilité, tout en transformant la sécurité des entreprises.

En savoir plus sur les partenaires de Netskope
Group of diverse young professionals smiling
Vignette du message

Cet épisode propose un entretien avec Andreas Rohr, directeur fondateur et directeur technique de l'Organisation allemande de cybersécurité (DCSO). Chez DCSO, Andreas est responsable de l'innovation et de l'ingénierie de sécurité, ainsi que des services de cyberdéfense gérés. Il a plus de 15 ans d'expérience dans le domaine des technologies de l'information et de la cybersécurité et a occupé des postes de direction dans les secteurs de l'énergie et de l'automobile.

Dans cet épisode, Mike et Andreas discutent de l'alignement sur les comités d'entreprise, de l'établissement de relations commerciales grâce à la transparence et de l'intégration de la sécurité dans les flux de valeur.

La transparence est essentielle pour travailler avec le comité d'entreprise, qui n'est pas là pour empêcher la sécurité ou l'entreprise de faire ce qu'il faut, mais pour s'assurer que les données ne sont pas utilisées à l'encontre des employés. C'est leur mission, leur tâche, et elle est valable.

-Andreas Rohr, directeur technique de l'Organisation allemande de cybersécurité (DCSO)

 

Horodatage

*(02:06) : Andreas explique ce qu'est DCSO*(23:34) : Conseils d'Andreas pour déterminer le budget de la sécurité
*(09:18) : Principes directeurs Le DCSO aide les entreprises à s'aligner sur*(27:30) : Comment Andreas conseille les entreprises pour qu'elles intègrent la sécurité dans le tissu de leur organisation.
*(15:45) : Comment Andreas aide les entreprises à s'y retrouver dans le comité d'entreprise allemand*(34:29) : Lunettes de protection 2030
*(19:27) : Le parcours d'Andreas de CISO à CTO*(43:01) : Les succès rapides

 

Autres façons d'écouter :

vert plus

Dans cet épisode

Andreas Rohr
Directeur technique de DCSO

signe chevron

Andreas Rohr

Andreas Rohr est directeur fondateur et directeur technique de l'Organisation allemande de cybersécurité (DCSO), une coentreprise créée par Allianz, Bayer, BASF et Volkswagen. Au sein du conseil d'administration de DCSO, M. Rohr est responsable de l'innovation et de l'ingénierie de sécurité, ainsi que des services de cyberdéfense gérés.

M. Rohr a plus de 15 ans d'expérience dans divers domaines de l'informatique et de la cybersécurité. Il a précédemment occupé des postes de direction dans les secteurs de l'énergie et de l'automobile. Depuis plus de dix ans, il est très impliqué dans la scène des start-ups spécialisées dans les technologies de cybersécurité, où il joue souvent le rôle de conseiller en apportant une perspective européenne unique aux entreprises naissantes. Auparavant, il a été officier dans l'armée de l'air allemande et a occupé le poste de RSSI adjoint au sein du ministère fédéral allemand de la défense.

Mike Anderson
Chief Digital & Information Officer chez Netskope

signe chevron

Mike Anderson

Mike Anderson est Chief Digital and Information Officer pour Netskope. Au cours des 25 dernières années, il a constitué et dirigé des équipes performantes dans diverses disciplines, notamment les ventes, les opérations, le développement commercial et les technologies de l'information. Il a rejoint Netskope après avoir travaillé pour Schneider Electric, une société internationale classée dans les 500 premières entreprises mondiales, en tant que vice-président directeur et leader numérique pour l'Amérique du Nord. En 2020, Constellation Research l'a nommé membre du Business Transformation 150, une liste d'élite qui reconnaît les meilleurs dirigeants mondiaux menant des efforts de transformation dans leurs organisations. Le Conseil national de la diversité l'a également reconnu comme l'un des 50 meilleurs DSI pour la diversité et l'inclusion en 2020 et 2021. Avant Schneider Electric, Mike a été DSI de CROSSMARK, où il a transformé numériquement les capacités commerciales de ce fournisseur de services aux 40 000 employés du secteur de la vente au détail et des biens de consommation. Il a également occupé des postes de direction chez Enterprise Mobile, une coentreprise de Microsoft qui fait maintenant partie de Honeywell, Insight, Software Spectrum et InVerge, un pionnier des services web qu'il a cofondé en 1999. Mike siège à de nombreux conseils consultatifs technologiques et industriels et travaille bénévolement avec des organisations à but non lucratif axées sur la santé mentale et la prévention du suicide, ainsi que sur le développement de notre future main-d'œuvre dans les domaines des sciences, de la technologie, de l'ingénierie et des mathématiques.

Andreas Rohr

Andreas Rohr est directeur fondateur et directeur technique de l'Organisation allemande de cybersécurité (DCSO), une coentreprise créée par Allianz, Bayer, BASF et Volkswagen. Au sein du conseil d'administration de DCSO, M. Rohr est responsable de l'innovation et de l'ingénierie de sécurité, ainsi que des services de cyberdéfense gérés.

M. Rohr a plus de 15 ans d'expérience dans divers domaines de l'informatique et de la cybersécurité. Il a précédemment occupé des postes de direction dans les secteurs de l'énergie et de l'automobile. Depuis plus de dix ans, il est très impliqué dans la scène des start-ups spécialisées dans les technologies de cybersécurité, où il joue souvent le rôle de conseiller en apportant une perspective européenne unique aux entreprises naissantes. Auparavant, il a été officier dans l'armée de l'air allemande et a occupé le poste de RSSI adjoint au sein du ministère fédéral allemand de la défense.

Mike Anderson

Mike Anderson est Chief Digital and Information Officer pour Netskope. Au cours des 25 dernières années, il a constitué et dirigé des équipes performantes dans diverses disciplines, notamment les ventes, les opérations, le développement commercial et les technologies de l'information. Il a rejoint Netskope après avoir travaillé pour Schneider Electric, une société internationale classée dans les 500 premières entreprises mondiales, en tant que vice-président directeur et leader numérique pour l'Amérique du Nord. En 2020, Constellation Research l'a nommé membre du Business Transformation 150, une liste d'élite qui reconnaît les meilleurs dirigeants mondiaux menant des efforts de transformation dans leurs organisations. Le Conseil national de la diversité l'a également reconnu comme l'un des 50 meilleurs DSI pour la diversité et l'inclusion en 2020 et 2021. Avant Schneider Electric, Mike a été DSI de CROSSMARK, où il a transformé numériquement les capacités commerciales de ce fournisseur de services aux 40 000 employés du secteur de la vente au détail et des biens de consommation. Il a également occupé des postes de direction chez Enterprise Mobile, une coentreprise de Microsoft qui fait maintenant partie de Honeywell, Insight, Software Spectrum et InVerge, un pionnier des services web qu'il a cofondé en 1999. Mike siège à de nombreux conseils consultatifs technologiques et industriels et travaille bénévolement avec des organisations à but non lucratif axées sur la santé mentale et la prévention du suicide, ainsi que sur le développement de notre future main-d'œuvre dans les domaines des sciences, de la technologie, de l'ingénierie et des mathématiques.

Transcription de l'épisode

Ouvert à la transcription

Andreas Rohr : L'histoire la plus convaincante est celle des comités d'entreprise qui ne sont pas là pour empêcher la sécurité ou l'entreprise de faire ce qu'il faut, mais pour s'assurer que les données ne sont pas utilisées à l'encontre des droits des employés. C'est leur mission, leur tâche, et elle est valable. Lorsque j'occupais un poste de RSSI dans des entreprises dotées d'un comité d'entreprise solide, la meilleure relation est celle qui consiste à être vraiment transparent sur ce que vous faites, sur les raisons qui vous poussent à le faire.

Intervenant 2 : Bonjour et bienvenue aux Visionnaires de la sécurité. Vous venez d'entendre l'invité d'aujourd'hui, Andreas Rohr, directeur technique de DCSO. L'alignement des organisations sur la sécurité nécessite de nombreuses compétences, dont la plus importante est la transparence. De l'établissement d'une communication descendante à la collaboration avec les comités d'entreprise, la transparence répond à de nombreuses questions en cours de route. Par exemple, qui a accès aux informations sensibles ? Quelle est l'appétence d'une organisation pour le risque ? Et comment les données des employés sont-elles protégées ? Avant de nous plonger dans l'interview d'Andreas, voici un bref mot de notre sponsor. Ce podcast sur les visionnaires de la sécurité est alimenté par l'équipe de Netskope. Chez Netskope, nous redéfinissons la sécurité des nuages, des données et des réseaux grâce à une plateforme qui offre un accès optimisé et une sécurité sans confiance pour les personnes, les appareils et les données, où qu'ils se trouvent. Pour en savoir plus sur la façon dont Netskope aide ses clients à être prêts à tout au cours de leur voyage insolent, visitez N-E-T-S-K-O-P-E.com. Sans plus attendre, voici l'épisode 20 de Security Visionaries avec Andreas Rohr, directeur technique de DCSO, et votre hôte, Mike Anderson.

Mike Anderson : Bienvenue dans l'épisode d'aujourd'hui de Security Visionaries. Je suis votre hôte, Mike Anderson. Je suis le Chief Digital and Information Officer chez Netskcope. Aujourd'hui, nous sommes rejoints par Andreas Rohr, qui nous rejoint depuis l'Allemagne. Comment allez-vous aujourd'hui, Andreas ?

Andreas Rohr : Très bien. Merci d'avoir bien prononcé le nom.

Mike Anderson : Je suis très enthousiaste à l'idée d'avoir cette conversation aujourd'hui parce que lorsque nous pensons à la cybersécurité, vous avez fait des choses très intéressantes en rassemblant des gens dans la région DACH et en pensant à des entreprises de toutes tailles lorsque vous réfléchissez au sujet de la cybersécurité. Pouvez-vous nous en dire plus sur le DCSO, son origine, sa mission, ce que vous essayez d'accomplir et comment vous travaillez avec les entreprises ?

Andreas Rohr : DCSO signifie German Cyber Security Organization (Organisation allemande pour la cybersécurité). Le D est donc pour Deutsche, pour ceux qui sont peut-être familiers avec la langue. Quatre entreprises de la région DACH, Allianz, BASF, Volkswagen et Bayer, dont vous avez peut-être entendu parler et qui comptent parmi les plus grandes entreprises d'Europe, ont décidé d'unir leurs forces et d'échanger des idées avec d'autres entreprises afin de ne pas réinventer les thèmes de la sécurité en réunissant leurs experts. Parce qu'ils ont une chose en commun, à savoir que 90 %, 80 % de leurs défis et de leur sécurité sont plus ou moins les mêmes, même s'ils sont en concurrence sur le marché. Ensuite, les talents ne sont pas assez nombreux sur le marché. Les réunir sous un même toit et leur confier des tâches qui les intéressent tous améliorerait encore les choses. Les ressources ont permis de tester de nouvelles idées. C'est donc l'une des choses à faire. Deuxièmement, ils dépendent tous de leur chaîne d'approvisionnement. C'était il y a sept ans, le terme "attaque de la chaîne d'approvisionnement" n'existait donc pas encore à l'époque, mais les entreprises avaient déjà compris que le maillon faible n'était pas leur sécurité, leur équipe de sécurité et leur maturité, mais les maillons de leur chaîne d'approvisionnement, dont elles dépendent le plus.

Andreas Rohr : Et digérer ou rendre les choses digestes à partir de leurs connaissances et apprentissages en matière de sécurité, c'est ce que le DCSO, en tant qu'échange dirigé par la communauté, vise à rendre opérationnelles ces connaissances et technologies, ce pour quoi nous avons également été fondés, afin de trouver des moyens de les rendre plus faciles à utiliser et à appliquer pour les entreprises qui ne disposent pas d'une grande équipe de sécurité ou même d'une quelconque connaissance. L'opérationnalisation des services de sécurité a donc été la deuxième tâche, essentiellement lors de la création de l'entreprise.

Mike Anderson : Non, c'est très bien. Et je sais qu'il existe aujourd'hui un grand nombre de postes à pourvoir dans le domaine de la cybernétique. Tout ce que vous pouvez faire pour aider les entreprises à lutter contre les mauvais acteurs qui veulent leur nuire. Comme vous l'avez dit, il s'agit dans certains cas de concurrents qui se réunissent autour d'une table pour déterminer comment ils peuvent se protéger des adversaires qui vivent dans la nature. Il s'agit donc d'une mission forte. D'autres entreprises se sont-elles jointes à vous dans le cadre de ce projet ? Vous avez parlé des quatre personnes qui nous ont rejoints à l'origine, mais d'autres personnes se sont-elles jointes à cette mission ?

Andreas Rohr : C'est une bonne question. Il n'y a donc pas que les quatre. Nous avons commencé très tôt avec environ 16 entreprises fiscales et nous en sommes aujourd'hui à environ 20, 21 entreprises similaires et quelques entreprises familiales de même taille. Ils dirigent essentiellement le développement du portefeuille du DCSO, ce dont nous devrions parler et ce que vous devriez rechercher en termes de sujets et d'orientations, et ils nous aident, en tant que conseillers pour ainsi dire, à déterminer ce qu'il faut développer. Deuxièmement, ce que nous aimons et parvenons à mettre en œuvre, c'est un format très régulier où ils apprennent non seulement de nouveaux sujets, mais aussi les choses existantes où ils ont échoué ou comment ils ont résolu certains défis et ce qui n'a pas fonctionné. Il est donc d'autant plus important de raccourcir les courbes d'apprentissage. Et cela ne concerne pas seulement les entreprises moins matures, mais aussi les entreprises matures. Cela prouve qu'il est utile et efficace de réunir des gens, même s'ils sont en concurrence sur un marché, et que cela ne devrait pas se limiter aux entreprises elles-mêmes, mais aussi aux relations avec les autorités et peut-être même avec les instituts de recherche. Il s'agit donc de jeter un pont entre les différents domaines d'expertise et de connaissances, en particulier pour les services de renseignement. Il est logique, dans les deux cas, d'avoir un flux, mais de ne pas le rendre visible aux preneurs ou aux adversaires, comme vous l'avez dit.

Mike Anderson : Je suis convaincu de la nécessité d'un partenariat public-privé pour l'échange de renseignements et l'étude des menaces. Une fois de plus, cela revient à dire que la sécurité est un sport d'équipe. Il ne s'agit pas seulement des quatre murs de mon organisation, mais de l'ensemble de l'écosystème qui travaille ensemble. Je suis curieux de savoir si vous avez pu influencer la politique ou les changements qui aideraient les entreprises à avoir de meilleurs guides ou des éléments sur lesquels s'aligner ?

Andreas Rohr : Oui, sans aucun doute. C'est l'une des choses que j'ai apprises des États-Unis. J'ai donc vu le NCFTA, où le FBI et d'autres forces de l'ordre et l'industrie travaillaient ensemble. Je pense que dans les premières années, dans les années 2000 et aussi dans d'autres formats pour lesquels quelque chose est piloté par l'État. Mais en général, j'aime beaucoup l'idée qu'il existe une relation fluide dans laquelle les éléments nécessaires pour s'aider mutuellement sont effectivement échangés. En fait, nous entretenons de très bonnes relations avec le ministère de l'intérieur, qui est en fait responsable de la fonction consultative et de la supervision de la police fédérale du BSI, le bureau fédéral pour la sécurité de l'information, ainsi que de la protection de la constitution. Je ne suis pas sûr que cela se traduise en anglais. Il faut donc que ces autorités aient leur propre vision des choses [0:07:13.7] ____, de leurs pairs du FBI par exemple, ou d'autres services d'application de la loi ou de renseignement, et de s'assurer que les informations sont transmises via le DCSO en tant que centre d'échange de confiance, si vous voulez, où ils peuvent être sûrs qu'il n'y aura pas de fuite vers le public, en particulier vers les attaquants.

Andreas Rohr : Mais aider les entreprises à trouver certaines choses lorsqu'elles n'ont pas d'indication claire que telle ou telle entreprise est menacée par tel ou tel acteur. Mais en général, aider à identifier si ces attaquants sont actifs dans ces réseaux s'est avéré très précieux car nous avons aussi aidé les autorités à découvrir qu'un groupe particulier était actif en rendant opérationnelles les informations qu'ils nous ont données de manière fiable. Et nous pourrions leur répondre : "Bon, écoutez, cette chose que vous nous avez donnée, nous n'avons aucune idée d'où elle vient, mais nous l'avons vue ici." Nous aidons donc les forces de l'ordre et les services de renseignement à mieux surveiller leurs cibles lorsqu'ils ne disposent pas de capteurs, car les autorités nationales sont limitées dans leurs actions, contrairement à ce qui se passe à l'extérieur de l'Allemagne. De même, les entreprises qui sont parfois très conservatrices lorsqu'il s'agit de permettre aux autorités d'accéder à leurs réseaux pourraient faire appel à nous pour s'assurer que seules les informations réellement nécessaires à l'accomplissement de la mission de chacun sont transmises. Et le fait que nous ayons servi de passerelle nous a également permis de couvrir le fait que nous n'avons pas toujours accordé notre confiance au début.

Andreas Rohr : Il s'est donc développé un échange plus confiant, où les craintes initiales n'ont pas disparu, mais sont nettement moins fortes qu'auparavant. Cela aide donc tout le monde en fin de compte. Il ne s'agit pas d'être pathétique, mais de contribuer à une meilleure protection de la démocratie elle-même lorsque des partis influents sont en présence.

Mike Anderson : Il semble que vous ayez parlé d'absence de confiance, ce qui revient à dire que la confiance est nulle. Il semble donc que ce soit un thème commun à tous les pays. Je vois beaucoup d'organisations qui essaient de s'y aligner. Aux États-Unis et même au-delà, nous voyons parfois des gens s'aligner sur les contrôles NIST existants parce que les compagnies d'assurance, dont nous parlerons un peu plus tard, s'en servent comme d'un point de repère. Les auditeurs l'utilisent comme point de repère. Quel est, selon vous, le fil conducteur pour les entreprises avec lesquelles vous travaillez aujourd'hui ? Quel est le point de repère sur lequel ils essaient de s'aligner ?

Andreas Rohr : Ce n'est donc pas tant une question de NIST, c'est juste une question de nature, puisque nous sommes en Europe et que nous essayons parfois d'inventer la roue nous-mêmes au lieu d'unir nos forces. Quoi qu'il en soit, le point de repère ici est plutôt l'ISO 27000 ou quelque chose de similaire. C'est une version très allemande. Ils cherchent tous à s'assurer que vous gérez correctement votre sécurité. Et encore plus dans ce domaine, le développeur de ces dernières années, le niveau de maturité de ces mises en œuvre de contrôle importe plus que la conformité réelle de ces dernières. Pensez donc qu'il faut d'abord mettre en place des mesures de conformité, puis qu'il y a peut-être dix ans, ils ont commencé à mettre en œuvre ces mesures, et c'est leur efficacité qui compte. Il y a donc un changement, et ce que j'aime avec le NIST et d'autres cadres, c'est qu'ils essaient de s'orienter davantage vers l'efficacité de votre protection et pas nécessairement vers la gestion de vos risques et la mise en place de contrôles. Et c'est là que les choses devraient évoluer. La conformité est donc nécessaire, mais elle n'est qu'une condition nécessaire, pas une condition suffisante, car une condition suffisante est d'être efficace. Et l'efficacité est plus importante que la conformité totale. Mais cela pourrait ne pas être cité à un régulateur, s'il vous plaît.

Mike Anderson : C'est intéressant, car ce que je vois souvent, c'est que les gens acquièrent des outils parce que les auditeurs disent qu'il faut avoir cet outil. Mais comme vous l'avez dit, l'efficacité est en fait de savoir si vous utilisez l'outil pour atteindre l'objectif que vous voulez atteindre ou pour obtenir un résultat commercial. Il s'agit souvent d'un chaînon manquant, car les gens collectent des outils pour satisfaire les auditeurs, mais ils n'obtiennent pas l'efficacité dont ils ont besoin. Ils s'exposent ainsi à une interruption de leur activité, qu'il s'agisse d'un ransomware ou d'une violation de données au sein de leur organisation.

Andreas Rohr : Oui. C'est une chose que les auditeurs et les régulateurs devraient peut-être penser différemment à l'avenir, parce qu'ils sont à l'origine de ce développement par la manière dont ils mettent en place leur réglementation. Et il y a un bon changement, que j'ai vu être une directive de sécurité locale qui est entrée en vigueur ou qui entrera pleinement en vigueur le 1er mai en Allemagne, qui indique que vous devez avoir.... Comme dans la nouvelle version de la norme ISO 27000, vous devez disposer de systèmes de détection des attaques. C'est ainsi qu'on l'appelle. Il s'agit donc essentiellement de mécanismes de détection et de réponse de l'ISO. Et c'est bien à cela que vous faites référence. Il ne s'agit pas seulement d'un outil, mais aussi d'une organisation qui doit être capable d'analyser ces éléments, de les comprendre et de déterminer s'il s'agit de quelque chose de sérieux à poursuivre ou non. Et, plus important encore, être en mesure de réagir et disposer de moyens mis en œuvre à cet effet. Il s'agit donc également d'une question d'organisation pour laquelle vous devez avoir la capacité de faire quelque chose 24 heures sur 24, 7 jours sur 7. S'il y a une indication qu'un groupe de ransomware est à un stade précoce. Parce qu'il ne vous reste peut-être que quelques heures ou, au maximum, quelques jours pour éviter les dégâts les plus importants.

Andreas Rohr : Et le fait de disposer de ces éléments organisationnels en plus de l'outillage et de l'intégration et de les utiliser de manière efficace, c'est là que la réglementation devrait... Comme le font les compagnies d'assurance, elles cherchent plutôt à savoir si quelque chose est effectivement sécurisé ou non. Et c'est là qu'il doit évoluer. Mais pour le régulateur, il est plus facile de dire que vous devez avoir un SIM, que vous devez avoir un réseau de surveillance de la détection. Si vous disposez de votre propre centre de données, etc. Mais en fin de compte, ce serait un bon conseil pour le régulateur, et c'est peut-être l'une des prochaines missions de l'OSCD que d'influencer le régulateur pour qu'il soit plus pertinent d'un point de vue pratique dans ce qu'il lui dit. La loi sur la sécurité nationale publiée il y a deux ans en Allemagne en est un bon exemple.

Mike Anderson : Non, c'est très bien. Vous avez parlé de la gestion de l'impact. Je me souviens qu'un de mes collègues travaillant dans une entreprise internationale de biens de consommation a déclaré que lorsque NotPetya a frappé, il a infecté l'ensemble de son réseau et de ses systèmes en l'espace de 15 minutes, à l'échelle mondiale. C'est pourquoi je pense qu'il s'agit d'un raisonnement traditionnel, ". Comment faire passer les choses le plus rapidement possible du point A au point B, du point C au point D, et à travers le réseau de mon entreprise." Tout cela doit être repensé, car si un nœud est compromis, cela peut-il rapidement prendre le contrôle de l'ensemble de mon réseau et entraîner l'effondrement de toute mon entreprise ?

Andreas Rohr : Exactement. Et lorsque vous faites des recherches sur ce sujet, pensez que cette affaire NotPetya aurait pu être évitée par la plupart des gens en améliorant l'hygiène de leurs correctifs. Mais avant que ces choses ne se produisent, au moins avec les vecteurs de ransomware, ils font du bruit dans le réseau. Ainsi, dans presque 100 % des cas où nous avons été impliqués dans la réponse aux incidents, nous avons vu suffisamment de signaux qui auraient pu être analysés et déclencher une action pour arrêter l'attaque. Cela ne les obligerait pas nécessairement à remédier à ces systèmes et à tout reconstruire à partir de zéro, mais ils auraient pu prévenir l'ensemble des dommages qui se sont effectivement produits après quelques jours. Et c'est la même chose avec NotPetya, si vous avez pu patcher ces choses qui sont connues ou ont été connues pour être critiques, et quelques autres bonnes pratiques qui sont en fait mandatées dans ces normes, que vous avez mentionnées plus tôt, alors c'est le travail à la maison, la condition nécessaire. Il suffit ensuite de mettre en place un bon réseau de détection qui vous permettra de passer à l'action. Et je ne suis pas sûr que cela aurait pu être réglé en 15 minutes, mais en général, il y a un délai qui se réduit pour être juste.

Andreas Rohr : Mais il y a un délai dans lequel vous pouvez détecter des choses et vous pouvez supposer que toutes les mesures de protection ne vous protègent pas toujours à 100 %. Il s'agit soit d'un clic de l'utilisateur sur quelque chose, soit d'une absence de correctif, soit d'une configuration non sécurisée, soit de n'importe quoi d'autre. Mais si vous supposez que c'est le cas et que vous disposez d'une grille de détection par-dessus, celle-ci vous indiquera "Ok, il y a quelque chose que vous ne voulez pas avoir ici. Je vous invite à y jeter un coup d'œil et à agir." Peut-être même de manière très automatisée ou prédéfinie pour arrêter de telles attaques, c'est ce qu'il faut faire pour les entreprises vraiment performantes en termes de sécurité.

Mike Anderson : Oui, je suis tout à fait d'accord. S'il s'agit d'un système manuel, vous dépendez toujours de la personne qui occupe la chaise et, en cas d'écart de compétences, cela peut devenir problématique. Donc, exactement comme vous l'avez dit, l'automatisation. Il est essentiel que je puisse prendre des mesures préventives et jouer le plus rapidement possible. Pour en revenir à l'aspect sécurité, et je pense à la confidentialité des données, tout le monde parle du GDPR. Je rappelle toujours aux gens que si vous pensez que le GDPR est difficile, attendez de devoir vous présenter devant le comité d'entreprise allemand et de parler de la confidentialité des données pour les citoyens allemands. Pour beaucoup d'outils de sécurité, il s'agit d'inspecter ce que font les gens. Comment aidez-vous les entreprises à s'y retrouver dans le comité d'entreprise allemand pour s'assurer qu'elles peuvent mettre en place les bonnes protections, tout en préservant la vie privée des citoyens allemands ?

Andreas Rohr : C'est une question délicate. Il n'y a pas de solution miracle pour y parvenir. Ce comité d'entreprise est satisfait de ce qui se passe lorsque des quantités massives de données sont inspectées, ce qui est nécessaire pour la détection, pour être juste. Mais l'histoire la plus convaincante pour les comités d'entreprise qui ne sont pas là pour empêcher la sécurité ou l'entreprise de faire ce qu'il faut, mais pour s'assurer que les données ne sont pas utilisées à l'encontre de leurs employés. C'est leur mission, leur tâche, et elle est valable. Et pour s'entendre avec les comités d'entreprise... Et lorsque j'occupais un poste de RSSI dans des entreprises où il y avait un comité d'entreprise fort, la meilleure relation est celle où vous êtes vraiment transparent sur ce que vous faites, sur les raisons pour lesquelles vous le faites. J'étais donc assez jeune à l'époque. Je n'étais pas très doué pour argumenter potentiellement, essentiellement sur leur mission parce qu'ils ont également pour mission de protéger les employés contre les préjudices. Cela comprend également les cyberattaques ou les violations de la confidentialité des données, les atteintes à la vie privée, etc. À l'époque, j'aurais donc dû faire valoir, comme je le fais aujourd'hui, qu'aider à prévenir les attaques en inspectant certains trafics ou en acquérant certaines données aurait été la bonne voie à suivre. Et c'est l'une des choses qu'ils ne peuvent pas nier si vous connaissez le fonctionnement de la constitution.

Andreas Rohr : Si vous leur dites que le seul cas d'utilisation de ces données, lorsqu'elles sont valables, est la détection d'activités malveillantes et non le suivi des employés et autres, et si vous leur donnez cela par écrit, que c'est ce que vous faites et que vous adhérez à vos propres règles en ce sens, alors ils commenceront par vous mettre des bâtons dans les roues et verront si vous vous comportez bien ou non. Mais si vous faites cela en permanence de manière à n'utiliser le système que pour détecter les éléments malveillants et empêcher ainsi leurs constituants si vous le souhaitez, alors la prochaine fois, vous pourrez passer la porte plus facilement qu'auparavant. Au moins, je n'ai jamais échoué à faire passer des choses par le comité d'entreprise. C'est juste la façon dont vous présentez les choses et le fait que vous adhériez vraiment à la plupart des principes pour ne pas utiliser les données à d'autres fins que celles pour lesquelles vous les avez acquises.

Mike Anderson : C'est très bien. J'espère qu'il s'agit d'une ligne de produits que vous proposez à DCSO.

Andreas Rohr : Chaque fois que vous achetez des services gérés à DCSO, cela est inclus. Nous aidons donc le client à franchir la porte du comité d'entreprise et je pense que nous avons une assez bonne réputation. Et comme j'ai déjà travaillé avec des comités d'entreprise dans le monde de Volkswagen, mais aussi dans le secteur des services publics où ils ont un comité d'entreprise très fort et que j'ai pu constater par le passé la qualité des relations avec eux, etc. Nous leur apportons donc notre expérience, ce qui leur plaît généralement, et nous leur facilitons la vie en les aidant à discuter avec leurs parents. En fin de compte, c'est une question de confiance, et non pas de confiance zéro, c'est plutôt l'inverse. Si vous créez un climat de confiance, vous pouvez faire la plupart des choses avec le comité d'entreprise. Et même si vous ne leur donnez qu'une petite indication, un compte en lecture seule pour la technologie que vous déployez, cela aide beaucoup. On leur laisse donc la transparence et on les aide à voir ce que vous regardez, ce que vous en faites, comment vous commentez les cas, etc. Il se peut donc qu'ils ne saisissent pas tout ce qu'ils voient, mais ils n'ont pas l'impression qu'il se passe quelque chose dans l'ombre, qui pourrait nuire à mon peuple. Il ne s'agit pas d'un ingrédient secret de réussite, mais d'un élément qui, si vous y adhérez, vous permettra probablement d'obtenir de bons résultats.

Mike Anderson : C'est très bien. Je suis tout à fait d'accord avec vous, la transparence est ce qui permet d'établir la confiance. En l'absence de transparence, les gens devinent et les devinettes n'engendrent pas la confiance. Il s'agit donc d'un excellent conseil pour les relations avec le comité d'entreprise allemand et, d'une manière générale, d'un principe commercial. C'est la transparence qui permet d'instaurer la confiance. Si je considère le rôle que vous occupez aujourd'hui, et vous avez parlé de certains de vos rôles, quels sont les enseignements que vous avez apportés au DCSO ? Vous avez mentionné que vous avez été CISO dans le passé et que vous êtes maintenant CTO pour DCSO. Parlez-nous un peu de ce parcours et comment les choses ont-elles évolué dans votre esprit au fur et à mesure de votre transition vers le rôle que vous occupez aujourd'hui par rapport aux rôles de praticien et de RSSI que vous avez occupés par le passé ?

Andreas Rohr : Lorsque j'étais RSSI, j'ai été confronté au même défi que la plupart des RSSI qui ont également des équipes techniques. J'ai donc eu la chance d'être non seulement responsable de la gouvernance et du système de gestion de la sécurité, mais aussi d'avoir ma propre équipe de sécurité opérationnelle et le luxe de pouvoir jouer avec la technologie, etc. J'ai donc commencé par constater que je disposais de tous les outils nécessaires pour faire un travail correct, voire agréable, mais qu'il n'existait aucun moyen cohérent d'utiliser ces outils pour l'ensemble d'une image. Et je ne veux pas dire qu'il s'agit d'une simple vitre. Je veux dire par là que c'est souvent utilisé, mais utiliser les forces des différentes technologies et les combiner, c'est ce qui m'a permis de réussir à être très rentable en tirant toute la valeur des différentes technologies que j'employais. J'ai également permis à mon équipe de l'époque de réaliser des choses intéressantes qui n'étaient pas dans la moyenne de ce que les équipes peuvent accomplir. Si l'on considère donc un ensemble d'outils, un couteau de l'armée suisse, l'équipe qui utilise ce couteau est en fait la plus importante. C'est pourquoi, lorsque nous avons développé le portefeuille, j'ai été motivé par le fait de les amener à traiter différents types de technologies d'entrée, de flux, d'idées, et d'opérationnaliser les différentes capacités et compétences des personnes afin de maximiser les résultats et d'aider à résoudre certains problèmes pour nos clients au sein du DCSO.

Andreas Rohr : L'une des choses que je n'ai pas mentionnées tout à l'heure, c'est que j'ai également été chargé de mettre au point un portefeuille de services de sécurité gérés il y a sept ans. À l'époque, il n'était pas très courant d'avoir un SARC externalisé, mais pas autant de services de sécurité gérés et de résoudre les problèmes de ces organisations afin qu'elles puissent se concentrer sur les problèmes les plus intéressants et les plus difficiles à résoudre, sans avoir à s'occuper du travail quotidien. Et en même temps, il n'y a pas de discours au client disant : "Nous faisons cela pour vous." Et comme vous priver de votre travail, ce qui suscite beaucoup de résistance de la part des équipes de sécurité avec lesquelles vous essayez de faire des affaires. Mais les aider, "Ecoutez, nous savons que vous devez le faire et que c'est parfois douloureux, et nous avons aussi été dans cette position auparavant, alors nous aimerions nous fondre dans votre équipe, et juste accepter que nous soyons ceux qui font les super devoirs tous les jours, 24/7 et pourquoi vous ne vous concentrez pas sur les choses intéressantes ?" Et nous vous donnons tous les ingrédients pour y parvenir. C'est donc l'une des choses qui nous a beaucoup aidés en tant que RSSI, mais aussi du point de vue de la peur de ces équipes matures et de l'espace client, à accepter que nous apportions une valeur ajoutée. Il ne s'agit donc pas d'une question technique, mais plutôt de la manière dont vous vous intégrez et complétez les compétences et les capacités de l'équipe. C'est à ce moment-là que vous pouvez convaincre les techniciens du côté du client.

Andreas Rohr : Et cela nous a beaucoup aidés à construire le portefeuille, comme nous le disons, et aussi à faire entrer dans le jeu la partie communautaire de chacun des services, où ils parlent et échangent avec leurs pairs, non seulement sur la façon dont ils nous apprécient, mais aussi sur la façon dont ils résolvent certains problèmes dans le monde réel, au jour le jour, sans avoir un consultant en place qui les aide à les résoudre dans l'une ou l'autre direction. Mais c'est en apprenant des autres qu'on nous facilite la tâche que nous pouvons réussir. Et c'est aussi un peu unique. Nous ne nous concentrons donc pas uniquement sur le nombre de clients pour le capital-risque, mais nous visons réellement à ce qu'ils puissent s'entraider et à ce que nous fassions leurs devoirs de la manière la plus innovante possible. C'est là que mon passé m'a aidé à mettre en place un portefeuille différent.

Mike Anderson : Non, c'est très bien. L'une des questions que l'on me pose toujours, et j'ai vu un débat en ligne hier sur LinkedIn entre RSSI, est la suivante : comment déterminez-vous le budget de la sécurité ? Le débat porte toujours sur la question de savoir s'il s'agit d'un pourcentage du chiffre d'affaires de l'entreprise. S'agit-il d'un pourcentage du budget informatique ? Est-elle basée sur la position de risque de l'organisation et sur ce qu'elle souhaite investir dans ce domaine ? Comment... J'imagine que c'est une question que les entreprises vous posent souvent. Comment répondez-vous à cette question ?

Andreas Rohr : Les RSSI devraient plutôt faire appel à un conseiller neutre et de confiance qui n'a pas d'intérêt personnel à vendre quelque chose. Il m'arrive de me retrouver dans des positions similaires. Nous sommes engagés par les conseils d'administration et nous examinons leur patrimoine, etc., et sachant que je vends également ces services, nous leur disons ce qui est nécessaire et ce qui... Je ne dis pas qu'il s'agit de déchets, mais qu'il s'agit de dépenses excessives. Il s'agit d'être vraiment franc et de ne pas se contenter de chercher des points de repère, mais de rechercher des solutions efficaces. Quelles sont donc les choses que vous souhaitez le plus protéger et qui permettent à votre entreprise de fonctionner ? Comme une analyse d'impact sur l'entreprise. Si vous savez que vous dépendez le plus de vos 10%, et si vous ajoutez à cela tous les rôles de sécurité efficaces et que vous faites un travail moyen pour le reste, c'est le meilleur conseil à suivre, plutôt que de chercher les chiffres purs. Et que vous souhaitiez ou non protéger votre entreprise, les 10 %. Et c'est ainsi que je leur parle, alors, d'accord, qu'est-ce qui est nécessaire pour cela ? La question suivante est évidemment la suivante. Quel est donc le montant approprié à dépenser ? Alors qu'ils s'attaquent d'abord aux processus de haut en bas, je m'occupais des processus commerciaux essentiels, puis des processus de bas en haut. Que faut-il pour cela ? Ensuite, vous pouvez dire : "D'accord, pour l'autre, je peux utiliser un point de référence." Voici donc comment j'aborderais la question.

Mike Anderson : Oui, c'est un bon conseil si je pense à l'ensemble de l'entreprise. Vous avez parlé des risques liés à la chaîne d'approvisionnement au début de la conversation. Lorsque je travaillais chez Schneider Electric, je demandais à notre responsable de la chaîne d'approvisionnement quel était le niveau de sécurité de nos fournisseurs. Comment cela s'intègre-t-il dans notre stratégie d'approvisionnement ? Tout cela s'inscrit dans le cadre d'une conversation sur le risque d'entreprise, pas seulement sur le plan cybernétique, mais aussi sur la stabilité financière de l'entreprise avec laquelle je travaille. La sécurité devient alors une autre question qui se pose en parallèle, car si je ne peux pas obtenir d'acier, il est difficile de fabriquer des produits sans acier. En regardant cela, je pense que vous avez raison. J'espère que cela conviendra à la plupart des entreprises qui participent au sommet de l'industrie manufacturière et aux 10 % sur lesquels elles se concentrent vraiment et qu'elles veulent protéger.

Andreas Rohr : Absolument. Nous avons appris à perturber la chaîne d'approvisionnement avec le canal de Suez, qui est un événement très physique, nous avons maintenant eu cette pandémie, nous avons peut-être cette guerre commerciale et d'autres choses connexes, et nous avons ensuite cette pénurie de ressources due à la crise en Europe avec la guerre et aussi avec la Chine qui n'est peut-être pas en mesure de faire fonctionner ses usines parce qu'elle ne peut pas ou qu'elle ne veut pas le faire. Quoi qu'il en soit. Ainsi, le fait de savoir exactement où se trouvent vos maillons faibles et de les gérer réinitialisera fondamentalement, ou a déjà réinitialisé, notre façon de mesurer le risque. Nous devons également tenir compte du fait que les adversaires n'agissent pas toujours de manière rationnelle, c'est l'un des enseignements de l'année dernière. La gestion et l'évaluation des risques fondées sur le comportement rationnel d'autrui peuvent donc s'appliquer à la plupart des domaines, comme le marché financier et d'autres, mais pas nécessairement à des États tels que la Russie. Nous devrions également supposer qu'il existe un moyen d'action perturbateur sans récompense évidente pour ceux qui agissent de la sorte, ce qui serait rationnel. C'est l'une des choses pour lesquelles vous devriez être plus conservateur en termes d'évaluation de ces risques, plutôt que de dire : "Oui, c'est tellement improbable que cela n'arrivera pas." C'est aussi un élément que nous devons prendre en compte.

Mike Anderson : Tout à fait. Je vais pivoter un peu, comme vous avez parlé du travail avec le conseil d'administration et d'autres, quand vous pensez à la sécurité comme un sport d'équipe, souvent le RSSI est celui qui prend toutes les... C'est probablement l'un des emplois les plus difficiles au monde, parce qu'il n'y a pas de montant que vous pouvez dépenser pour vous protéger à 100 %. C'est probablement l'un des emplois les plus difficiles au monde, parce qu'il n'y a pas de montant en dollars que vous pouvez dépenser pour vous protéger à 100 %, et c'est donc toujours un compromis risque-récompense. Mais ce n'est pas seulement le travail du RSSI. Comment voyez-vous et comment aidez-vous les entreprises à conseiller sur la manière d'intégrer la sécurité dans le tissu de leur organisation et de leur personnel dans toutes les unités, les unités commerciales et les fonctions ? Comment conduisez-vous cette évolution et la voyez-vous se produire au rythme que vous attendez d'elle ?

Andreas Rohr : Le conseil est donc de le diviser en deux disciplines différentes. L'une d'entre elles se situe davantage dans une perspective de conformité et de mise en place d'un cadre, ainsi que de soutien du conseil d'administration pour les questions les plus générales, qui ne sont pas liées à l'activité en elle-même. La deuxième consiste à responsabiliser les équipes de bout en bout. L'équipe DevOps est donc le moyen moderne de développer et d'exploiter des applications. Cela s'est avéré être la meilleure configuration pour la plupart des choses. L'ajout de la sécurité, et c'est le mot à la mode, DevSecOps, signifie en fait que vous intégrez la sécurité pour les opérations, mais aussi pour les développeurs dans une boucle très étroite. C'est ainsi que vous pouvez faire prendre conscience à chacun de ce qu'il fait, de son impact et de ce qui devrait être mis en œuvre dans le meilleur des cas, au lieu d'un cycle de développement centré sur la passerelle. Vous pouvez ainsi réagir beaucoup plus rapidement aux vulnérabilités, aux informations, aux abus des attaquants, alors qu'il s'agit d'une fonction normale. Il s'agit de la configuration la plus moderne que vous souhaitiez avoir dans le domaine des technologies de l'information, à laquelle s'ajoute la sécurité. Et par là même, développer les développeurs et les responsables des opérations pour qu'ils sachent ce qu'ils doivent faire, parce qu'ils n'ont pas été éduqués avec ces connaissances. Et la formation sur le terrain, pour ainsi dire, est le meilleur moyen de mettre cela en œuvre de la manière la plus efficace.

Andreas Rohr : Il ne faut pas minimiser leur capacité à faire les choses correctement. Mais s'il y a quelque chose à côté d'eux et qu'ils se soutiennent mutuellement sur certains aspects, c'est la façon la plus efficace de procéder. Il s'agit de la deuxième mesure qui devrait être mise en œuvre. Et le responsable fonctionnel ou le responsable de la tribu, pour ainsi dire, pour le sujet de la sécurité doit être le RSSI. Il faut donc disposer d'une matrice organisée pour la mettre en œuvre, mais elle doit être intégrée aux développeurs et aux responsables des opérations, comme le serait une sécurité normale. C'est donc, à mon avis, la meilleure façon de procéder. Il y a des secteurs où cela ne fonctionne pas et où nous devons agir différemment, mais pour les entreprises axées sur les technologies de l'information, c'est la meilleure façon de s'assurer que c'est le cas. Les responsables de la sécurité ne peuvent pas être présents à 100 % de leur temps en raison d'un manque de talents, comme nous le savons, mais le fait de disposer de ce système en général permettra de le mettre en œuvre, d'échanger les équipes et de faire en sorte qu'il soit efficace.s possible is the way how it should go.

Mike Anderson : C'est très bien. Et les choses que j'ai vues en ce qui concerne... Si je pense aux équipes informatiques et numériques, DevSecOps est sans aucun doute le plan directeur, pour utiliser ce mot à la mode, la voie à suivre. Si je pense à mes fonctions financières, mes fonctions RH, si je pense à mes différentes unités commerciales, quelles sont les choses que vous voyez fonctionner pour faire entrer la sécurité dans l'esprit des gens en dehors de l'organisation technologique et de l'entreprise ? Comment intégrer la sécurité dans le tissu de l'organisation ?

Andreas Rohr : Je ne suis pas sûr qu'il s'agisse d'une tâche active du RSSI uniquement, mais c'est le conseil d'administration qui commence à s'en occuper. Et ce n'est plus un défi, car l'impact des pairs, les cibles proches et les actions perturbatrices des attaquants de l'année dernière ont beaucoup aidé à sortir de l'improbable ce qui pourrait arriver à mon organisation pour en faire quelque chose de concret. D'accord, nous devons nous en occuper. Il ne s'agit pas d'un phénomène statistique, qui me touchera tous les dix ans, mais qui me touchera certainement au cours des deux prochaines années, et je dois donc m'en préoccuper. Et la sécurité n'est pas à mettre en œuvre à 100 % pour tout éviter, c'est bien connu. Cela vaut également pour les ressources humaines, les finances, etc. La différence, c'est qu'il faut leur donner un objectif [0:31:15.5]. ____ ce qu'ils doivent faire, ce qu'ils ne doivent pas faire, et comment et où demander s'ils ont des doutes sur certains points. Et il s'agit d'une prise de conscience en premier lieu, ou... Je pense que Netskope utilise également de temps en temps le terme de pare-feu humain pour cela. C'est bien de les conseiller et de leur enseigner, mais ce n'est pas aussi bien que de leur donner un coup de main s'ils en ont besoin, de leur indiquer ce qu'ils doivent faire s'ils sont incertains. C'est d'autant plus important qu'il peut y avoir quelque chose de suspect, mais s'ils obtiennent de l'aide au bout d'une heure ou de quelques minutes, c'est encore plus important.

Mike Anderson : Oui. Vous aviez évoqué le pare-feu humain. Cela a été une grande campagne de notre CISO ici à Lamont en interne, parce que nous considérons toujours que le maillon le plus faible de tout programme de sécurité est le personnel en place qui fait son travail tous les jours. Nous disposons de tous les outils nécessaires pour trouver les personnes qui veulent faire du mal intentionnellement. Ce sont les personnes qui causent des dommages accidentels chaque jour en cliquant sur des liens qu'elles ne devraient pas faire. Ils introduisent des applications qu'ils ne devraient pas utiliser. Ils introduisent dans ces applications des données qui ne devraient pas s'y trouver. C'est ce que nous essayons de faire. L'une des questions qui me tient le plus à cœur est de savoir comment créer de meilleurs citoyens numériques. Vous entendez parler de l'informatique fantôme comme d'un concept qui existe aujourd'hui. Et si vous interrogez le PDG, vous constaterez qu'aujourd'hui, c'est davantage l'entreprise qui dirige l'informatique, car nous avons une nouvelle génération de travailleurs qui sont des natifs du numérique. Comment leur permettre de résoudre les problèmes en toute sécurité ? C'est ma nouvelle mission en tant que DSI d'une entreprise de sécurité : comment permettre à la personne assise dans le fauteuil de résoudre le problème de manière sécurisée afin de débloquer cet état d'esprit de natif numérique ? Comment les gens évoluent-ils dans ce domaine ? L'informatique fantôme a toujours été la grande affaire, mais si vous regardez les usines d'approvisionnement que vous avez mentionnées, le dirigeant de l'usine engagera quelqu'un pour construire un tableau de bord pour lui. Comment voyez-vous l'évolution de cette pensée ?

Andreas Rohr : L'informatique fantôme découle du fait que vous ne bénéficiez pas d'une assistance flexible pour votre appareil personnel ou votre serveur, quel qu'il soit. Obtenir en premier lieu un moyen plus agile et plus fiable d'obtenir des ressources de calcul et de stockage aiderait beaucoup cette informatique fantôme, parce qu'ils ne veulent pas avoir un serveur sous leur bureau. Personne ne veut donc de cela. Ils ne le font que parce qu'ils ne reçoivent pas l'aide dont ils ont besoin. Il s'agit donc de résoudre ce problème de manière progressive et d'accepter le risque que ces personnes ne soient pas les meilleures pour administrer un serveur, mais c'est toujours mieux que d'avoir un système informatique fantôme. C'est la première chose à faire. La seconde est destinée aux utilisateurs, par exemple en les laissant apporter leurs propres affaires et en construisant autour d'eux un petit mur qui permet de résoudre les problèmes d'hygiène les plus importants, sans pour autant avoir un appareil géré à 100 %. Cela pourrait donc également vous aider. Et puis il y a des indices, vous recevez un courriel provenant d'un fuseau horaire ou d'un lieu, ce centre avec lequel vous avez interféré précédemment n'est pas correct ou aussi différent, puis vous pouvez obtenir une petite chose, "Ouais, ce courriel ne provient pas de votre organisation ou il a été envoyé à une heure inhabituelle." Le hinting permet donc aux utilisateurs de surveiller de plus près ce qu'ils sont en train de faire et de prendre de meilleures décisions en fin de compte.

Mike Anderson : Non. C'est un excellent conseil. J'aimerais donc passer un peu à ce que nous appellerons les questions futuristes. Alors que nous regardons vers l'avenir, je suis sûr que vous avez appris que si vous regardez les cinq dernières années, il y a probablement un tas de choses que vous auriez dites, "Si je pouvais faire cela différemment, je l'aurais fait de cette manière." Si je me projette dans cinq ou dix ans, disons en 2030, dans quoi les responsables de la sécurité et de l'informatique regretteront-ils de ne pas avoir investi aujourd'hui lorsqu'ils regarderont en arrière, en 2030 ?

Andreas Rohr : 2030 est une période assez longue, mais disons les cinq prochaines années. Cela reste assez difficile à faire, mais je pense que ce qui aurait été important, c'est de s'adapter à l'écosystème de partenaires dans lequel vous agissez, ce qui permet d'intégrer des ressources non contrôlées. Le fait d'être soit des flux de données, soit des services, etc., était une manière très souple de les brancher sur une connexion et d'appliquer, sur cette couche très abstraite, certaines politiques et certaines choses que vous pourriez vouloir changer, si vous changez de partenaire, si vous changez de plateforme, etc. Cela conduit à un principe de confiance zéro et, deuxièmement, à une sorte de tissu que vous contrôlez, mais qui est suffisamment souple pour ne pas être un monolithe au fil du temps et vous permettre d'utiliser différents services en nuage, différents réseaux de partenaires, etc. Et si vous n'investissez pas dans la capacité de rendre ces éléments enfichables, vous aurez beaucoup plus de temps à consacrer à la commercialisation de nouvelles installations. Et cela se traduira en fin de compte par un avantage concurrentiel, voire pas du tout, si vous ne le faites pas. C'est pourquoi vous devez investir dans des solutions pluggables et des points d'application pour vous assurer que vos décisions sont régies de la bonne manière. Et en fin de compte, c'est, dans une certaine mesure, une confiance zéro.

Mike Anderson : C'est très bien. Puisque vous avez parlé de la confiance zéro, nous pensons souvent à la cybernétique, pourquoi investir dans la cybernétique ? Il s'agit d'éviter les violations et les interruptions d'activité. Comment voyez-vous l'évolution de la confiance zéro ? Comment cela se répercute-t-il sur la façon dont les entreprises envisagent la protection de leurs données ? Car c'est évidemment l'essentiel de ce que nous essayons de protéger du point de vue de la violation des données.

Andreas Rohr : Je pense que la confiance zéro apporte une aide différente de celle à laquelle la plupart des gens pensent en termes de prévention des violations et d'amélioration de la gouvernance autour des clôtures de données, si vous voulez. Il s'agit plutôt d'être plus flexible lorsque vous modifiez votre architecture, votre paysage applicatif, vos partenaires, vos acquisitions, etc. et de pouvoir ainsi réagir plus rapidement aux changements. C'est la raison pour laquelle il n'est pas souhaitable de formuler beaucoup d'hypothèses dans votre architecture et vos flux de données. Ainsi, la confiance zéro et les approches de flux de travail très centrées sur les données vous permettent de rester plus flexible. Et le meilleur avantage pour le site est que, si vous êtes très bon dans ce domaine et que vous contrôlez qui peut utiliser quel service de données, à partir de quel endroit, de quel type d'appareil et de quel niveau d'authentification, il est probable que vous fassiez également un meilleur travail de protection pour éviter une grande brèche. Vous pouvez perdre l'un ou l'autre système ou l'une ou l'autre donnée, mais pas l'ensemble, si vous avez cette façon micro segmentée de gouverner les différentes parties, si vous le souhaitez. Et la capacité de le faire vous procurera des avantages concurrentiels, si vous me demandez sous le côté, si vous le mettez en œuvre correctement avec une bonne gouvernance et des opérations de sécurité, alors vous aurez également l'effet secondaire de mieux protéger vos données.

Mike Anderson : Non, c'est bien. C'est un excellent conseil. Et si je réfléchis un instant, toutes les entreprises avec lesquelles vous travaillez aujourd'hui, la confiance zéro est évidemment un sujet brûlant, parce que vous allez à RSA et tous les vendeurs l'ont sur leur stand. Je suis sûr qu'il en sera de même cette année. Quelles sont les deux ou trois choses les plus importantes que vous entendez de la part des DSI, des RSSI et des conseils d'administration avec lesquels vous travaillez aujourd'hui ? Quels sont les sujets d'actualité dont vous entendez parler aujourd'hui ?

Andreas Rohr : Le plus urgent, c'est que nous savons que personne ne peut se protéger à 100 %. C'est vraiment [0:38:05.0] ____ par des personnes qui craignent de ne pas voir les signaux suffisamment tôt et d'avoir un temps d'arrêt moyen faible et de perdre des millions, voire des milliards, pendant ce temps d'arrêt, sans parler du fait qu'elles ne peuvent pas faire de nouvelles affaires, etc. Il s'agit donc véritablement du risque numéro un, pour lequel ils ont également du mal à obtenir une couverture d'assurance, ce qui perturbe leur activité principale et les empêche d'agir suffisamment en termes de devoir de diligence. La plupart des directeurs savent donc qu'ils ne peuvent pas négliger ce type de risque statistique, mais qu'ils doivent s'en préoccuper. Ils veulent également s'assurer que ce qu'ils font n'est pas quelque chose qu'ils auraient pu éviter avec un peu plus d'attention ou de budget. Et la deuxième chose, également liée à cela, c'est qu'ils veulent s'assurer que leurs partenaires les plus importants de la chaîne d'approvisionnement sont dans la même situation qu'eux. Il s'agit donc d'une perturbation des activités, pas nécessairement pour leurs propres systèmes et environnement, mais pour ceux de leur chaîne d'approvisionnement, qu'elle soit en amont ou en aval. Il faut également veiller à ce qu'ils ne perdent pas de flux de revenus. C'est en fait ce que j'entends le plus souvent et la sécurité est le dénominateur commun de tout cela.

Andreas Rohr : Il s'agit donc de rendre le flux de données des flux de valeur résistant à de telles attaques. Les autres éléments en découlent. C'est ce que j'entends le plus souvent et la confiance zéro est, malheureusement, un sujet qui n'est pas artificiel parce qu'il s'agit d'une chose plus stratégique pour s'améliorer, ce qui est un second agenda par rapport à ce qui les préoccupe réellement aujourd'hui. Cela résoudra donc le problème dans 3 à 5 ans, mais pas nécessairement aujourd'hui, car la confiance zéro n'est pas un produit. Ils commencent à le comprendre. Et puis je leur dis aussi : "Ne vous faites pas avoir par ceux qui vous disent que c'est un produit." C'est simplement que Greenfield était une nouveauté, que vous avez appris, que vous avez adapté à vos besoins et qu'au fil du temps, vous avez essayé de migrer et d'accepter que 20 % de la population n'ait jamais une confiance zéro. Il suffit de laisser l'héritage en l'état et de construire de plus grandes clôtures autour de celui-ci, de s'assurer que ces choses sont sous contrôle et de ne pas trop réfléchir.

Mike Anderson : Non. C'est un excellent conseil. Et il y a trop d'entreprises qui disent : "Achetez mon produit et vous n'aurez plus aucune confiance." Et cela, comme vous l'avez dit, n'existe pas. C'est donc un excellent conseil. Vous avez parlé un peu de l'assurance et si je pense à la base de l'assurance, je commence à voir beaucoup de gens dire : "Vous savez quoi ? Nous allons nous auto-assurer ou nous allons prendre les dollars que nous dépensons pour l'assurance et les investir dans notre programme de sécurité." Parce qu'ils ont l'impression qu'il y a tellement de façons pour les compagnies d'assurance de ne pas payer, en évitant par exemple de parler d'attaque d'un État-nation, que cela ne s'applique pas. Comment voyez-vous la pensée des gens ? Voyez-vous le même genre de situation où les gens se disent : "Vous savez quoi, pourquoi ne pas nous auto-assurer et investir cet argent dans notre programme de sécurité ?" Voyez-vous cela ? Quel est l'avenir de l'assurance dans le cyberespace ?

Andreas Rohr : De grandes compagnies d'assurance ont déclaré que les risques cybernétiques ne sont pas... Nous ne pouvons plus assurer ces risques parce que, du point de vue des compagnies d'assurance, elles ne peuvent pas vraiment mesurer l'état de maturité. Quelle est donc la probabilité qu'une entreprise soit victime d'une attaque ? La seconde est que les conditions à remplir sont parfois arbitraires, page les compagnies d'assurance. C'est différent et c'est en fait un cauchemar de remplir ces questionnaires et parfois nous les aidons à faire la croix stratégiquement au bon endroit et aussi à ne pas dire des choses fausses, mais la chose réelle, de sorte que ce sont les choix que l'on ne peut pas dire par la suite. "Oui, vous l'avez déclaré ici et vous n'y avez pas adhéré ou ne l'avez pas mis en œuvre." Ainsi, si vous dépensez un dollar pour votre propre sécurité au lieu de l'assurer, dans le cadre d'une bonne gestion des risques, vous devez toujours avoir recours à une compagnie d'assurance, ce qui est une pratique de gestion classique. Je vous conseille donc de ne pas le faire du tout. Il est donc raisonnable de prévoir également une couverture si les choses tournent mal, afin de couvrir certains coûts ou l'interruption des activités, ce qui est tout à fait logique.

Andreas Rohr : Si le coût est ridiculement élevé, on peut se dire : "Je ferais mieux de l'affecter à ma capacité de réaction et de détection." Et peut-être donner un coup de fouet à certaines initiatives en matière de sécurité, mais je n'échangerais pas l'un pour l'autre. Vous devez faire preuve de stratégie en faisant confiance à l'architecture et en vous assurant que vous faites vous-même les bons travaux à domicile, l'hygiène complète, et que vous essayez de convaincre les compagnies d'assurance que vous faites du bon travail en matière de sécurité et que vous obtiendrez toujours ce qu'elles demandent. Mais avec le temps, je pense que le marché de l'assurance ne proposera pas de polices très lucratives pour s'assurer contre les cyber-risques. C'est mon intuition. Je ne peux pas le prouver. Mais ce que je vois et ce que j'entends et la manière dont nous pourrions mesurer cela d'un point de vue statistique et de masse, qui était l'une de mes études avant de commencer ma carrière professionnelle, je ne vois pas comment nous pourrions calculer avec des modèles qui décrivent correctement avec, parce que ce n'est pas un élément statistique fondamental.

Mike Anderson : Je vais maintenant passer à une partie amusante de notre podcast, que nous appelons les quick hits. Je vais vous poser quelques questions, à brûle-pourpoint, et nous verrons quelles sont vos réponses. Tout d'abord, quel est le meilleur conseil que vous ayez jamais reçu en matière de leadership ?

Andreas Rohr : C'était très tôt dans ma carrière professionnelle. Le PDG m'a dit : "Même si vous êtes le meilleur expert en la matière dans ce que vous essayez de résoudre ici dans le monde, vous préférez écouter votre équipe et vous dire que vous serez surpris par les réponses qu'ils vous donneront." Cela ne sera peut-être pas aussi bien ou aussi valable que ce que vous auriez pu faire vous-même, mais le plus important, c'est que leur contribution garantira la durabilité du projet et vous permettra de mieux dormir et de relever le prochain défi. Et c'est tout à fait vrai. Et 90% de ce que vous percevez comme étant la meilleure solution est basé sur votre propre expérience et d'autres expériences. Il en va de même pour la diversité. Ils ont donc écouté et ont été surpris, et je l'ai été très souvent, ce que j'aime le plus. J'encourage donc vraiment tout le monde à l'essayer et à lui donner une chance.

Mike Anderson : C'est un très bon conseil. Très bien. Quel serait votre dernier repas ?

Andreas Rohr : J'ai passé quelque temps en Inde, à Mumbai, tous les deux mois pendant deux ou trois semaines. Et je pense que j'aimerais avoir, et ils mangent très épicé là-bas. Ce que j'ai préféré, c'est le poulet masala épicé et le pain naan à l'ail. Cela me manque donc beaucoup. C'est donc peut-être celui que je commanderais.

Mike Anderson : Très bien, c'est la dernière. Quel est votre livre préféré cette année ?

Andreas Rohr : J'ai lu un livre d'Ellis Miller qui est en fait déjà assez ancien, je pense qu'il date d'une trentaine d'années. Il s'intitule "Le drame de l'enfant surdoué". Il s'agit d'élever un enfant de manière à ce qu'il n'adhère pas aux attentes qui l'entourent, qu'il s'adapte et fasse ce qu'il veut, mais plutôt qu'il trouve ce qui le passionne vraiment et qu'il le développe. C'est donc un très bon livre à lire pour aider votre enfant à trouver son chemin. J'aime donc beaucoup cela.

Mike Anderson : Il faudra que je mette cela sur ma liste de lecture, en tant que père de quatre enfants, il y a probablement de bonnes choses à retenir. Merci Andreas. C'est à peu près tout le temps dont nous disposons aujourd'hui et j'apprécie vraiment la conversation. Nous avons donc eu une grande conversation avec Andreas aujourd'hui. Les trois choses que j'ai retenues, d'abord et avant tout, et Andreas en a parlé à plusieurs reprises, c'est de travailler au sein de notre organisation, d'observer notre environnement, de tirer parti des personnes qui nous entourent dans l'écosystème, parce que cela nous aidera à avoir beaucoup plus de succès. La deuxième chose à laquelle je pense, c'est que lorsque nous examinons les outils, il ne suffit pas de les rassembler, mais de s'assurer qu'ils sont intégrés et alignés sur les résultats que je veux obtenir dans mon organisation, ce qui vous aidera à être plus efficace et plus efficient en même temps. Et la dernière chose que j'ai retenue de notre conversation, c'est qu'il faut réfléchir aux flux de valeur de votre organisation et à la manière d'y intégrer la sécurité afin d'avoir la bonne posture de risque liée à ce flux de valeur particulier dans mon organisation. J'espère que vous avez apprécié cette conversation très instructive. Ne manquez pas notre prochain épisode qui sera bientôt diffusé sur le Podcast des Visionnaires de la Sécurité.

Speaker 2 : Le Podcast des Visionnaires de la Sécurité est alimenté par l'équipe de Netskope, rapide et facile à utiliser. La plateforme Netskope offre un accès optimisé et une sécurité sans faille pour les personnes, les appareils et les données, où qu'ils se trouvent. Aider les clients à réduire les risques, à accélérer les performances et à obtenir une visibilité inégalée sur l'activité de n'importe quelle application cloud, web ou privée. Pour en savoir plus sur la façon dont Netskope aide ses clients à être prêts à tout au cours de leur voyage insolent, visitez le site N-E-T-S-K-O-P-E.com.

Intervenant 4 : Merci d'avoir écouté les visionnaires de la sécurité. Veuillez prendre un moment pour évaluer et commenter l'émission et la partager avec quelqu'un que vous connaissez et qui pourrait l'apprécier. Restez à l'écoute des épisodes qui paraîtront toutes les deux semaines et nous vous donnons rendez-vous pour le prochain.