Harvey Ewing : Lorsque vous dites que la sécurité est un sport d'équipe, vous mettez le doigt sur l'essentiel. C'est un point sur lequel nous devons être vigilants avec nos opérateurs, nos cliniciens, les personnes qui soutiennent le processus, à l'avant, au milieu et à l'arrière, en plus de nos technologues. Nous nous concentrons sur l'ensemble de ce spectre. Je ne pense pas qu'il y ait de meilleure façon de l'exprimer aujourd'hui en disant qu'il doit s'agir d'un sport d'équipe car, comme vous le savez, le périmètre a pratiquement disparu à l'époque actuelle. Nous devons nous concentrer sur l'aspect humain jusqu'au niveau le plus bas de la pile technologique dont nous disposons.
Annonceur 1 : Bonjour et bienvenue aux Visionnaires de la sécurité. Travailler dans le secteur des soins de santé présente de nombreux défis, mais les données des patients sont une priorité absolue. Des médecins aux opérateurs et aux techniciens, ces données doivent rester sécurisées et privées. Harvey Ewing, directeur de l'information chez R1 RCM, veille à ce que chaque membre de son organisation agisse comme un pare-feu humain. Harvey a plus de 25 ans d'expérience dans les domaines de la cybersécurité, de la gouvernance, du risque et de la conformité. Chez R1 RCM, il est responsable de la sécurité, de la fourniture et de l'amélioration de la technologie d'entreprise. Le podcast Security Visionaries est alimenté par l'équipe de Netskope. Sur Netskope, nous redéfinissons la sécurité des nuages, des données et des réseaux avec une plateforme qui fournit un accès optimisé et une sécurité zéro confiance pour les personnes, le périphérique et les données, où qu'ils aillent. Pour en savoir plus sur la façon dont Netskope aide les clients à être Prêt à tout dans leur voyage insolent, visitez N-E-T-S-K-O-P-E.com. Veuillez apprécier cet entretien entre Harvey Ewing et votre hôte Mike Anderson.
Mike Anderson : Bienvenue dans l'épisode d'aujourd'hui de Security Visionaries. Je suis votre hôte, Mike Anderson. Je suis notre Chief Digital and Information Officer chez Netskope. Aujourd'hui, nous sommes rejoints par Harvey Ewing. Harvey a une histoire étonnante : il a commencé sa carrière en tant que responsable de la sécurité, puis il est devenu DSI. Alors que nous parlons de notre thème, la sécurité en tant que sport d'équipe, j'ai le sentiment que Harvey serait le meilleur invité pour nous parler de ce voyage. Alors Harvey, comment allez-vous ? Parlez-nous un peu de votre parcours et de ce passage de RSSI à CIO.
Harvey Ewing : Tout à fait. Tout va bien, Mike. C'est un plaisir d'être ici. Merci de m'avoir accueillie. Une histoire très intéressante. En fait, j'ai commencé il y a de nombreuses années dans le domaine des affaires, et je suis donc titulaire d'un diplôme de commerce. Au milieu des années 90, je me suis rapidement tourné vers la sécurité de l'information, un domaine qui me passionne encore aujourd'hui. Dans mon dernier poste chez MoneyGram International, j'ai été embauché en tant que responsable de la sécurité de l'information. Environ huit mois après le début de mon mandat, ma patronne de l'époque, Camilla Chittle, est venue me voir et m'a dit : "Nous aimerions vous confier le rôle de DSI, ce qui, à mon avis, est une excellente occasion de rassembler les équipes." J'étais un peu réticent au début et je me suis dit qu'il s'agissait d'un changement important. Cependant, une chose m'est restée à l'esprit : je peux réunir deux groupes de technologues qui, traditionnellement, n'ont pas l'habitude de travailler ensemble. C'est ce qui m'a poussé à accepter le poste de directeur informatique de MoneyGram. J'ai également conservé la fonction de RSSI, ce qui a été une expérience unique. Il est évident que le fait d'effectuer deux travaux pour le prix d'un a été une bonne chose pour MoneyGram, mais cela a également été bénéfique pour moi.
Mike Anderson : C'est très bien. Aujourd'hui, vous avez pivoté vers R1, vous avez donc quitté le secteur des services financiers. Je sais que vous avez passé du temps dans le secteur de l'énergie et dans diverses industries. Beaucoup de personnes qui nous écoutent ne connaissent peut-être pas R1, alors parlez-nous un peu de R1, de l'entreprise dans laquelle vous travaillez aujourd'hui. Nous allons nous plonger davantage dans le sport d'équipe.
Harvey Ewing : Oui, absolument. Vous avez donc raison, il s'agit d'une transition importante des services financiers vers les soins de santé. R1 est une société de gestion du cycle des revenus, ce qui signifie qu'elle aide les organismes de soins de santé à optimiser la façon dont ils gèrent le flux de revenus pour leurs patients. Nous allons donc essentiellement permettre aux prestataires de soins de santé de se concentrer sur ce qui compte le plus pour eux, leurs patients et les soins qu'ils leur prodiguent. R1 participera à l'accueil des patients, à leur prise en charge tout au long du processus de paiement et de demande de remboursement, jusqu'à la fin des soins dans certains cas également. Nous venons donc d'acquérir une société qui se consacrera également à l'intelligence économique. Ainsi, R1, les entités combinées, se concentrent vraiment sur la possibilité pour les prestataires de soins de santé d'être payés pour les services rendus, ce qui leur permet de se concentrer sur ce qui compte le plus, c'est-à-dire les soins de santé à leurs patients.
Mike Anderson : Si j'ai bien compris, lorsque je paie ma facture médicale, je mets ma carte de crédit, c'est en fait vous qui traitez ma carte de crédit et qui vous occupez des recouvrements pour eux.
Harvey Ewing : C'est tout à fait exact. La R1 est donc utile à cet égard. C'est exact.
Mike Anderson : C'est très bien. J'imagine donc que la sécurité sera d'une importance capitale lorsque vous parlerez de soins de santé et que vous percevrez les paiements des patients qui s'y présentent. Je connais votre RSSI, Cecil, et nous avons beaucoup de bonnes conversations. Parlez-nous de la sécurité et de l'importance que vous lui accordez dans le cadre des activités de R1, et de la manière dont vous la hiérarchisez par rapport aux autres domaines d'investissement de votre organisation.
Harvey Ewing : Oui, c'est une excellente question et c'est un point sur lequel R1 se concentre énormément. Compte tenu de la quantité d'informations auxquelles R1 a accès sur la base des services que nous fournissons à nos clients, il s'agit de toutes les informations privées auxquelles vous pouvez penser, qu'il s'agisse d'informations confidentielles, d'informations privées sur la santé ou d'informations sur le paiement lorsque des services sont fournis. La sécurité est donc au premier plan, ce qui est une excellente chose. Le R01 apporte un soutien considérable à Cecil et à l'aspect cybersécurité. Il est évident que l'HIPAA est un élément très important de tout ce que nous faisons. La sécurité et la protection de la vie privée déterminent une grande partie de notre réponse. Mais je dirai que c'est quelque chose que nous ne pouvons pas faire seuls. Lorsque vous dites que la sécurité est un sport d'équipe, vous mettez le doigt sur l'essentiel. C'est un point sur lequel nous devons être vigilants avec nos opérateurs, nos cliniciens, les personnes qui soutiennent le processus, à l'avant, au milieu et à l'arrière, en plus de nos technologues. Nous nous concentrons sur l'ensemble de ce spectre et je ne pense pas qu'il y ait de meilleure façon de l'exprimer aujourd'hui en disant qu'il doit s'agir d'un sport d'équipe car, comme vous le savez, le périmètre a essentiellement disparu à l'époque actuelle et nous devons nous concentrer sur l'aspect humain jusqu'au niveau le plus bas de la pile technologique dont nous disposons.
Mike Anderson : Non, absolument. Vous avez dit tout à l'heure que les équipes de sécurité et peut-être les autres équipes avec lesquelles elles doivent travailler, il peut y avoir quelques frictions entre les deux. Cecil est responsable de la sécurité, l'équipe chargée de l'infrastructure est responsable d'une grande partie du réseau, et les équipes chargées des applications doivent évidemment faire partie intégrante de l'ensemble. Comment aidez-vous à rapprocher ces équipes pour vous assurer qu'elles collaborent bien ensemble afin que vous puissiez obtenir certains des résultats sûrs que vous essayez d'obtenir ?
Harvey Ewing : Absolument, et c'est une autre bonne question, Mike. La première étape, à l'instar de MoneyGram, a consisté à réunir les personnes compétentes en matière d'infrastructure, de sécurité et de réseau dans la même pièce pour s'assurer que nous collaborons et que nous partageons les informations et pour éliminer l'émotion d'un grand nombre de choses qui se produisent évidemment dans l'infrastructure traditionnelle et pour s'assurer que ces équipes agissent en tant qu'équipe. L'une des choses dont je parle dans le domaine des technologies de l'information est ce que j'appelle un conflit sain. Cela signifie que nous devons nous efforcer de donner le meilleur de nous-mêmes de manière positive. Je veux m'assurer que tous les membres de l'équipe, quel que soit leur niveau dans l'organisation, savent qu'ils doivent remettre en question le statu quo, s'assurer qu'ils comprennent que leur voix compte et le faire de manière positive, ce qui peut parfois être difficile. Tous les technologues semblent vouloir penser qu'ils sont les meilleurs et les plus intelligents dans la pièce, ce qui n'est pas toujours une mauvaise chose. Mais parfois, nous devons nous assurer que nous le faisons sans émotion et que les gens ne sont pas préoccupés par le fait que quelqu'un remette en question ce qu'ils ont fait ou la façon dont nous avons toujours fait les choses. Je pense que c'est une bonne chose et je déteste l'expression "Eh bien, c'est ainsi que nous avons toujours fait" et la contestation de cette expression est à la base de ce que nous faisons. L'autre aspect que vous avez mentionné est le rapprochement des développeurs d'applications. Beaucoup de gens parlent de passer à gauche, mais il ne s'agit pas vraiment de parler de passer à gauche, il s'agit en fait de passer à gauche. Cela peut s'avérer difficile car, à mesure que nous avançons dans le processus CICD, que les gens se déplacent vers le nuage, que l'infrastructure devient moins un défi pour l'organisation et n'est plus un chemin critique, nous devons nous concentrer sur la façon de créer un code qui soit vraiment sûr. J'ai également mis l'accent sur la nécessité de réunir les développeurs d'applications et les ingénieurs chargés de la sécurité des applications au sein d'une même équipe. Même ces deux groupes relèveront de personnes différentes. Les faire collaborer, s'assurer qu'ils travaillent ensemble, et au lieu que les ingénieurs en sécurité des applications soient simplement des personnes qui vont trouver des vulnérabilités ou trouver des problèmes dans le code et les transmettre au développeur pour qu'il dise, "Hey, vous devez corriger cela," ce qui peut être difficile. Il s'agit vraiment de s'assurer que les ingénieurs en sécurité des applications sont considérés comme des partenaires. Il s'agit donc d'embaucher des codeurs et de les intégrer dans l'équipe du point de vue de la sécurité, puis de fournir la solution aux développeurs. Vous déplacez donc réellement cette itération vers le côté gauche de l'équation. Une fois que les développeurs savent que les ingénieurs en sécurité des applications sont là pour collaborer à l'élaboration du code et à la production et au déploiement d'un code de qualité, vous itérez un peu plus à gauche, mais vous avez vraiment le vent en poupe à droite. Une fois que l'équipe est solide et qu'elle comprend que nous ne sommes pas là pour la montrer du doigt, que nous ne sommes pas là pour lui dire qu'elle a fait du mauvais travail. Nous sommes là pour résoudre le problème afin que l'entreprise puisse être assurée que nous déployons le meilleur code possible, les choses semblent très, très bien fonctionner. Il s'agit donc véritablement d'une approche collaborative combinée et les deux équipes s'efforcent de fournir le meilleur code possible. Donc, si vous mettez tous ces aspects ensemble, Mike, et je sais que c'est une réponse très longue à votre question, mais il s'agit vraiment de décomposer l'aspect émotionnel de la chose. Il s'agit également de former une équipe qui sait que nous allons vraiment travailler ensemble pour réussir en interne afin que l'entreprise puisse réussir à l'extérieur.
Mike Anderson : J'ai un ami qui s'appelle Matt LeMay et qui a écrit un livre intitulé Agile for Everybody, dans lequel il est question de briser les silos, et les gens se sentent à l'aise dans le silo dans lequel ils travaillent et, bien souvent, ils s'y concentrent. À moins que quelqu'un ne vous dise ", vous devez relever la tête et travailler avec d'autres personnes," vous n'obtiendrez pas l'agilité que vous recherchez vraiment. C'est donc une bonne chose que vous soyez à l'origine de cette initiative et il semble que vous ayez vraiment compris, ce que j'ai compris lorsque vous avez dit qu'il s'agissait vraiment d'accélérer la vitesse à laquelle vous pouviez publier les communiqués de presse. J'imagine que vous avez constaté une réduction du nombre de cas où la sécurité empêche la mise en production parce qu'elle est intégrée dès la conception, au lieu d'être une barrière à la toute fin qui renvoie souvent les choses, parfois au point de départ, pour qu'elles soient réarchitecturées ou repensées.
Harvey Ewing : C'est exactement cela, Mike. Vous l'avez fait en cinq paragraphes de moins que je ne l'ai fait. Mais c'est l'intention et exactement ce que nous voulons faire, et vous avez raison. Au lieu d'itérer et de revenir au début pour essayer d'obtenir une vélocité dédiée à la gestion des vulnérabilités, lorsque vous le faites dans le cadre du processus de développement, cela va vraiment vous permettre d'accélérer le passage des tests aux environnements supérieurs, puis à la production.
Mike Anderson : J'imagine que c'est intéressant, car vous avez les deux points de vue. Lorsque je discute avec des RSSI, ils me disent toujours que la sécurité, c'est comme ça, vous y consacrez toujours plus d'argent et vous essayez de comprendre, "D'accord, quand est-ce que ça va se stabiliser à un certain pourcentage que je peux prédire à l'opinion du directeur financier," d'accord ? Mais en même temps, vous avez, je crois que c'était le RSSI de McKesson qui a dit, je suis la génération de revenus parce que si nous n'avons pas un bon programme de sécurité, nous ne pouvons pas gagner des affaires New parce que les gens ne nous feront pas confiance avec leurs données. J'imagine qu'il s'agit d'une pièce importante pour vous. Comment l'avez-vous constaté ? Parce que je pense au sport d'équipe, ce n'est pas seulement au sein de l'informatique et de la sécurité, c'est l'ensemble de l'organisation qui a cet état d'esprit de sécurité parce que quelqu'un d'autre va vous confier ses données. Ils doivent avoir le sentiment que vous avez des contrôles de sécurité au moins aussi bons que les leurs, voire meilleurs.
Harvey Ewing : Oui, absolument. Encore une fois, Mike, c'est un bon point, et il est important que nous soyons associés aux équipes commerciales et de vente afin de répondre à ces questions précises. Il est évident que les informations que nous traitons sont les plus sensibles que nous allons traiter pour vous et ils veulent s'assurer que nous allons les traiter de manière appropriée et je peux certainement comprendre pourquoi. L'important est donc de s'asseoir et de garantir aux clients que nous faisons ce qu'il faut, que nous avons des conversations difficiles sur la manière dont nous abordons les risques aujourd'hui. Nous nous tournons vers l'horizon stratégique. Nous veillons à évoluer en fonction des menaces et des risques existants. Je pense qu'une fois que nous aurons surmonté cet obstacle d'un point de vue technologique, nous devrons également nous assurer que les chefs d'entreprise avec lesquels nous travaillons sont à l'aise avec la manière dont nous traitons leurs données, dont nous contrôlons leurs données, dont nous surveillons l'accès aux données, qui y a accès, quand y a t-il accès, où cela va t-il. Ce sont tous des aspects très importants et lorsque nous sommes capables de le faire, nous devenons un avantage concurrentiel pour l'équipe de vente. L'équipe de sécurité est en mesure d'intervenir et de s'assurer que nous répondons aux questions que le client peut avoir, puis nous faisons savoir à l'entreprise que nous sommes un facilitateur pour le processus global et que nous combinons nos efforts avec les autres équipes au sein de l'entreprise et en particulier les équipes de vente pour livrer ce qu'ils promettent et que nous pouvons le faire efficacement et s'assurer que nous protégeons les données qu'ils doivent garder protégées pour servir leurs clients. Nous pouvons accéder à ces données de manière appropriée. Nous pouvons faire notre travail pour qu'ils puissent mieux faire le leur, c'est-à-dire prendre soin de leurs patients.
Mike Anderson : C'est très bien. J'imagine que lorsque vous regardez votre conseil d'administration, comment gérez-vous ces informations ? Parce qu'ils font aussi partie de ce sport d'équipe. Vous devez obtenir l'accord du conseil d'administration sur le niveau de risque qu'il est prêt à accepter. Si vous vous adressez à vos pairs, compte tenu de votre expérience en tant que responsable de la sécurité et de l'informatique, quel type de conseil donneriez-vous ? A, comment gérez-vous cette conversation au sein du conseil d'administration ? Ensuite, quels conseils donneriez-vous à un pair lorsqu'il réfléchit à la manière dont il aborde la sécurité et aux questions que le conseil d'administration va poser. Cela fait deux questions. Peut-être les prendre tous les deux en partie.
Harvey Ewing : Oui, absolument. Je pense que c'est très, très important. Tout technologue qui se présente devant le conseil d'administration doit, à mon avis, faire une chose impérative. Il ne s'agit pas de parler un jargon technique mais de parler le langage des affaires. Lorsque vous parlez de risque, le risque est le facteur clé. Toutes les entreprises de la planète assument un certain niveau de risque. La R1 n'est pas différente. Il s'agit donc davantage de déterminer le niveau de risque que l'entreprise est prête à accepter. Ce qui peut être important de mon point de vue sur le plan cybernétique peut ne pas l'être pour le conseil d'administration en termes d'orientation, de niveau de risque qu'il est prêt à accepter. Il s'agit donc de créer une équation simple qui indique le niveau de risque que nous avons et qui peut, dans un domaine particulier, permettre de comprendre combien il en coûtera pour atténuer un niveau de risque spécifique en fonction du niveau de risque que le conseil d'administration souhaite prendre. Ils ne voudront pas dépenser un million de dollars pour réduire un risque de cent mille dollars. Je pense qu'une fois que vous avez eu la possibilité d'élaborer cet algorithme et de prendre réellement en compte les facteurs commerciaux, vous présentez une équation qui va intéresser le conseil d'administration pour lui permettre de prendre une décision sur "Bon, voici notre niveau de risque quantifiable, voici combien nous pensons devoir dépenser pour atténuer ce niveau de risque afin d'atteindre un niveau X de risque résiduel," qui lui conviendra ou non. S'ils ne sont pas satisfaits et qu'ils veulent réduire les risques, ils peuvent vous donner plus d'argent. Ils peuvent dire "Non, nous voulons réduire ce risque." Génial. Ils peuvent également dire "Non, nous sommes prêts à accepter le risque dans ces domaines particuliers, nous voulons donc que vous dépensiez moins pour l'instant et peut-être que nous reviendrons plus tard pour traiter d'autres niveaux de risque avec plus d'argent." Mais il s'agit surtout d'établir des relations avec les membres du conseil d'administration. Le conseil d'administration de R1 est très désireux de comprendre les différents niveaux de cyberrisques, la manière dont nous les abordons, la manière dont nous évoluons avec eux et ce qu'ils signifient réellement pour l'entreprise. Dans ce secteur, la marque et la réputation sont très, très importantes. Nous avons tous eu des défis à relever, y compris R1. Nous avons relevé ces défis, nous avons pris des virages, nous devons revenir en arrière et réévaluer certains des risques que nous courons en fonction de l'évolution du paysage des menaces. Il n'y a pas de mal à dire : "Non, je ne sais pas, laissez-moi vous apporter cette information." Mais il est impératif que vous n'accabliez pas les gens avec les vieilles peurs, incertitudes et doutes. Il s'agit de disposer d'informations quantifiables basées sur les risques qui préoccupent l'entreprise ou d'énumérer les risques dont elle doit être consciente de manière appropriée, puis d'élaborer une approche pragmatique : voici ce que nous pensons être le risque, voici ce que nous pensons être le coût de l'atténuation de ce risque. Est-ce acceptable ? Êtes-vous prêt à accepter plus ou moins de risques ? Quelle que soit la réponse, nous pouvons adapter notre solution en fonction du niveau de risque que l'entreprise est prête à accepter, et c'est ce qui détermine notre orientation en matière d'investissement.
Mike Anderson : Non, c'est tout à fait logique. Compte tenu de cette perspective unique, vous êtes manifestement très impliqué dans le domaine de la sécurité au sein de la R1. Pensez-vous que d'autres DSI et d'autres secteurs devraient avoir le même niveau d'implication ? Quels conseils donneriez-vous à vos pairs sur le niveau d'implication qu'ils devraient avoir et sur ce qu'ils devraient faire pour aider leurs équipes à devenir plus sûres dans leurs organisations et à faire partie de ce sport d'équipe.
Harvey Ewing : Oui, c'est une question très intéressante que vous posez, Mike, parce que je pense que de plus en plus de DSI et de CSO sont assis à la table, et c'est très important parce que le succès de la sécurité d'un point de vue technologique se fait toujours du haut vers le bas. Il ne s'agit pas d'une démarche ascendante. Il faut donc commencer au niveau du conseil d'administration pour s'assurer que vous avez le soutien dont vous avez besoin. L'erreur fatale que j'ai commise au début de ma carrière a été de me lancer à corps perdu dans un discours tellement technique que le conseil d'administration s'est dit : "Je ne comprends vraiment pas ce que nous essayons de résoudre ici." Je pense donc que l'une des choses qui m'a le plus aidé est de considérer la technologie et la sécurité du point de vue d'un membre de conseil d'administration. Quel est leur objectif ? Connaître son public, intégrer les questions technologiques dans une présentation commerciale, quelque chose de digeste, de facile à comprendre et, surtout, qui a un impact direct sur l'entreprise. C'est quelque chose que j'ai mis du temps à apprendre, très honnêtement au début de ma carrière. Lorsque vous le faites du point de vue d'un technologue, vous obtenez moins de retour de la part du conseil. Ils vous remercieront pour votre présentation, mais ne seront peut-être pas en mesure d'assimiler réellement les données que vous présentez. Il est important d'examiner ces défis particuliers du point de vue de l'entreprise, de vous présenter aux membres du conseil d'administration si vous n'en faites pas partie. Si vous le pouvez, demandez à rencontrer les membres du conseil d'administration. Lorsque vous avez un siège à la table, développez cette relation avec les membres du conseil d'administration. N'attendez pas la réunion du conseil d'administration pour tenter de définir votre relation au cours de cette brève présentation. Prenez contact avec les membres du conseil d'administration chargés d'évaluer vos demandes et les investissements de l'entreprise en matière de technologie et de sécurité, et organisez une série de réunions courtes et récurrentes. Une fois que vous aurez développé cette relation, que vous aurez fait preuve de transparence et que vous aurez présenté des informations pertinentes pour les décisions qu'ils essaient de prendre, ils vous solliciteront. D'après mon expérience, si je n'étais pas assis directement à la table, les membres du conseil d'administration me contactaient directement en dehors de ces réunions pour me demander des informations et me parler de problèmes spécifiques. Une fois qu'on leur a donné un siège à la table et qu'on a développé cette relation, cette confiance et cette transparence, ils vont l'apprécier énormément. Il y a toutes sortes de changements au niveau de la direction. Le CCN insiste sur le fait que les conseils d'administration doivent être plus conscients des questions liées à la cybernétique et que leurs membres doivent avoir une expérience et une expertise spécifiques dans ce domaine. Les opportunités vont donc se multiplier. Je pense qu'il est temps d'en tirer parti et de le faire d'une manière pragmatique qui aide l'entreprise et permet aux membres du conseil d'administration de prendre les décisions qu'ils doivent prendre et avec lesquelles ils sont à l'aise, en sachant qu'ils dirigent l'entreprise de la bonne manière, ce qui réduit leur risque, ce qui est impératif pour vous et incroyablement bénéfique pour eux.
Mike Anderson : Je vais donc changer de sujet un instant. Il y a toujours la possibilité d'avoir des idées sur le tableau et de dire, je veux dire, que c'est très précieux. En tant que DSI, vous savez toujours qu'il y a des domaines qui vous tiennent à cœur, comme par exemple le fait que je sois un spécialiste des applications. C'est donc comme si vous étiez toujours attiré par le côté application. Vous êtes un spécialiste de la sécurité de formation, alors imaginez que cela vous interpelle. Il est donc évident que la sécurité est assurée. Lorsque vous pensez à votre pile technologique ou aux domaines sur lesquels vous vous concentrez, quel est le domaine dans lequel vous aimez passer du temps ?
Harvey Ewing : Oh, mon Dieu, encore une excellente question et vous avez raison. J'adore m'y replonger quand j'en ai l'occasion. Je ne le fais pas souvent ces jours-ci et l'équipe est assez effrayée lorsque je le fais. Il s'agit vraiment d'avoir des outils qui offrent une bonne visibilité. La prévention n'est pas toujours et ne sera jamais l'objectif. Nous savons que nous allons échouer et nous devons donc disposer d'outils capables non seulement de sécuriser l'être humain, mais aussi de sécuriser le périmètre qui s'effondre en raison de nombreux facteurs au sein de l'organisation. Mais vous devez disposer d'outils qui vous donnent une visibilité pour comprendre et réagir à ce qui se passe. Si vous n'avez pas cette visibilité, vous ne pouvez pas vous attaquer à ce que vous ne voyez pas. Ce sont donc les outils qui ont évolué au fil des ans que je consulte et qui me donnent la possibilité de retracer les paquets en profondeur. Au fur et à mesure que les choses évoluent, Mike, il s'agit vraiment de tirer parti des outils qui vont m'aider à assimiler les données. Il y a tellement de données et d'outils qui me permettent de comprendre les anomalies qui se produisent. Ainsi, si l'on considère certaines des violations qui se produisent et la façon dont certaines des menaces évoluent, nous devons savoir quand les utilisateurs font des choses qui sortent de leur comportement normal. Je pense qu'il est assez intéressant, en fait, de lire certains articles et d'entendre parler de la consternation que suscitent les entreprises chinoises qui achètent des terres agricoles. J'ai lu récemment un article dans lequel l'une de ces entreprises a placé des antennes 5G sur ces terres agricoles parce qu'elles se trouvaient à côté ou à portée d'un autre grand fournisseur. Si quelqu'un est en mesure de s'emparer de ces informations et de s'introduire dans les entreprises pour les utilisateurs autorisés, comment pouvons-nous savoir qu'il le fait ? Il s'agit vraiment d'avoir la visibilité et la capacité de disséquer ce qui se passe dans votre environnement et de savoir ce qui sort de la normale. Les outils qui me donnent cette possibilité sont vraiment ceux que j'aime regarder. Comment reconstituer le puzzle ? Que dois-je rechercher ? Comment déterminer si quelqu'un se fait passer pour un utilisateur expérimenté dans l'environnement ? C'est tout simplement fascinant. Il y a tellement d'endroits différents à visiter. Il y a toujours quelque chose à trouver et cette recherche est une chose qui me passionne et que j'ai faite avec différents outils tout au long de ma carrière.
Mike Anderson : Cette visibilité, où circulent les données ? Cette question nous est souvent posée en interne en raison de ce qui se passe en Russie et en Ukraine et de l'ensemble de l'environnement géopolitique actuel. C'est du genre : "Où vont mes données ? Qui l'a ? Je ne veux pas me tromper d'endroit." C'est donc tout à fait exact. Si l'on considère la pile technologique, il est évident qu'une partie de la question, lorsque l'on pense au processus d'entreprise, est souvent de savoir comment réduire les frictions dans le processus. En effet, plus vous mettez de frictions dans la sécurité, si la sécurité n'est pas correctement instrumentée, cela empêche les gens de faire leur travail et cela peut créer des frictions dans le processus. Quels sont les exemples où vous utilisez la technologie pour réduire les frictions dans votre entreprise, qu'il s'agisse de la sécurité, d'un processus commercial ou d'une application que vous êtes en train de mettre en place ? Quel est l'exemple d'une réduction des frictions dans votre entreprise ?
Harvey Ewing : Oui, c'est aussi une très bonne question, Mike. Je pense que cette évolution s'est vraiment accélérée grâce à COVID, au travail à distance et au travail à domicile. Je pense que COVID a vraiment changé le monde. Je pense donc que la réduction des frictions est double dans ce cas. Cela permet vraiment aux utilisateurs de travailler en toute sécurité depuis n'importe quel endroit. C'est un avantage considérable pour les entreprises. Il est évident que la rétention des talents est réellement modelée par la manière dont nous donnons aux utilisateurs la possibilité de travailler. Inversement, il s'agit de s'assurer que les entreprises peuvent avoir confiance dans le travail effectué, quel que soit le périphérique, quel que soit le lieu. C'est un défi. Il est évident que vous et votre entreprise vous y attachez chaque jour et que c'est important. C'est pourquoi la fourniture d'une connectivité sécurisée depuis n'importe quel endroit vers les systèmes auxquels vous avez besoin d'accéder 24 heures sur 24 et 7 jours sur 7 est vraiment l'un des moyens que nous utilisons pour réduire ces frictions. Encore une fois, cela fonctionne des deux côtés de l'équation, pour nos employés et pour l'entreprise. Je crois fermement que nous allons continuer à avoir besoin de cette capacité à mesure que le périmètre continue à s'éroder. Dans de nombreux cas, nous trouvons des talents dans le monde entier. Lorsque nous pouvons offrir cette flexibilité aux utilisateurs, ils seront plus heureux, plus productifs, ils voudront travailler pour l'entreprise, ils seront moins susceptibles de changer d'entreprise s'ils sont heureux et s'ils trouvent ce niveau d'équilibre, en étant capables de travailler depuis n'importe quel endroit approuvé, évidemment d'un point de vue R1 dans mon cas. Mais aussi de s'assurer qu'ils font ce qu'ils doivent faire. Ils n'ont accès qu'aux systèmes auxquels ils doivent avoir accès et ne peuvent pas sortir de ces limites. Cela doit être transparent. Nous ne pouvons pas avoir des utilisateurs qui doivent passer par toutes sortes d'étapes. La sécurité doit être aussi transparente que possible, toujours présente, mais, dans un monde parfait, l'utilisateur ne doit pas en être conscient. Ainsi, plus nous rendons la sécurité et l'accès transparents, mais sécurisés, mieux nous nous portons en tant qu'équipe.
Mike Anderson : C'est très bien. C'est intéressant, cela me ramène à un commentaire que vous avez fait plus tôt sur les gens et l'une des choses que nous avons organisées en interne et qui était passionnante, c'est que nous avons fait ces t-shirts et nous avons dit, "Vous êtes le pare-feu humain" pour nos gens. Je pense que si vous regardez votre organisation, vous avez parlé tout à l'heure d'habiliter les gens à travers la sécurité, n'est-ce pas ? L'informatique est un facilitateur, la sécurité est un facilitateur et non un obstacle. Quelles sont les choses que vous faites pour activer votre personnel à l'intérieur de R1 afin qu'il devienne un pare-feu humain pour votre entreprise et qu'il devienne un facilitateur ? Quels sont les exemples de ce que vous faites ?
Harvey Ewing : Nous nous concentrons vraiment sur ce pare-feu humain et je pense que c'est une excellente façon de le dire. Les utilisateurs doivent être formés, comme n'importe qui d'autre, à repérer les menaces potentielles et à comprendre que les attaques par courrier électronique sont à l'origine d'une grande partie des infiltrations dans les entreprises. Pourquoi ne devrais-je pas cliquer sur ce lien ? Que dois-je rechercher ? Pourquoi est-ce important pour l'entreprise ? Il s'agit d'inciter les utilisateurs de manière positive à comprendre qu'ils sont en première ligne de la sécurité de l'entreprise et qu'ils constituent une cible précieuse pour quiconque voudrait s'en prendre à R1 ou à toute entreprise pour laquelle ils travaillent. J'aime faire participer les utilisateurs autant que possible et m'assurer qu'ils comprennent pourquoi nous faisons cela. Pourquoi toutes ces questions de sécurité sont-elles importantes ? Qu'est-ce que cela a à voir avec moi ? Je veux juste faire mon travail. Il ne s'agit donc pas d'imposer une tonne de formation aux utilisateurs en même temps. À mon avis, c'est plutôt une méthode légère qui fonctionne le mieux. Lorsque nous transmettons la formation aux utilisateurs, nous le faisons de manière attrayante. J'aime bien donner une formation de sensibilisation à la sécurité par le biais d'une comédie. Il existe de nombreux outils qui vous permettent de le faire et je pense que cela fait vraiment mouche. Si nous pouvons nous moquer un peu de nous-mêmes pendant que nous le faisons et que les gens comprennent qu'ils y prennent plaisir, ils s'impliquent. Dans une entreprise précédente, j'ai utilisé un outil particulier qui comportait deux caractères. L'une s'appelait Erreur humaine, l'autre Jugement sain. La formation a été très, très efficace, à tel point que j'avais l'habitude de faire imprimer des t-shirts "Sound Judgment" et "Human Error", et les gens adorent le t-shirt "Human Error". Ils ont adoré porter la chemise de l'erreur humaine dans l'entreprise et c'est à ce moment-là que l'on peut dire que les choses ont fait leur chemin et qu'ils y prennent plaisir. Lorsque vous pouvez en rire, mais que la formation a un sens. Pourquoi ne veux-je pas utiliser le même mot de passe pour tous mes sites ? Pourquoi ne puis-je pas laisser mon système déverrouillé et m'en éloigner pendant une période prolongée ? Encore une fois, le fait de tourner certaines de ces situations en dérision et de les dédramatiser a remporté un franc succès. C'est la même chose que ce que nous faisons à R1 et cela incite vraiment les gens à comprendre que c'est important. Nous ne voulons pas vous effrayer, nous voulons simplement que vous mesuriez et compreniez à quel point c'est important et nous allons nous moquer un peu de nous-mêmes. Je pense que les utilisateurs normaux l'apprécient beaucoup. Mike Anderson : Oui, j'ai eu cette vision dans ma tête de l'époque où vous n'aviez pas de code d'accès à votre téléphone, vous laissiez votre téléphone sur la table et vous reveniez et ils envoyaient des messages texte à vos amis alors que vous ne vouliez vraiment pas qu'ils les envoient. J'ai juste eu cette vision dans ma tête.
Harvey Ewing : Absolument.
Mike Anderson : C'est toujours ça de pris.
Harvey Ewing : Absolument.
Mike Anderson : L'une des choses que j'ai essayé de défendre, c'est le concept d'une meilleure citoyenneté numérique. C'est comme si, en fin de compte, les gens ne cliquaient pas sur les choses sur lesquelles nous ne voulons pas qu'ils cliquent. Ils n'achèteraient pas les choses que nous ne voulons pas qu'ils achètent. Lorsqu'ils ont des idées en matière d'informatique, de technologie et de sécurité, ils nous les soumettent. Nous collaborons ensemble. Ce serait le parfait citoyen numérique. Il est évident que nous en sommes encore un peu loin. Quelles sont les mesures de sécurité, voire de non-sécurité, que vous prenez pour promouvoir une meilleure citoyenneté numérique au sein de la R1 ?
Harvey Ewing : Vous soulevez un autre point très intéressant concernant la citoyenneté numérique, et je pense que c'est une très bonne façon de l'exprimer. Parce que les données sont omniprésentes et qu'il faut s'assurer que les personnes qui ont un accès autorisé aux données font ce qu'il faut avec ces données. Veiller à ce qu'ils l'utilisent pour ce qu'ils doivent utiliser et uniquement pour ce qu'ils doivent utiliser. N'essayez pas de les stocker en dehors des zones approuvées, et comprenez comment nous traitons les données des patients. R1 est une entreprise qui évolue très, très rapidement. Nous évoluons très rapidement, nous avons des milliers d'utilisateurs internes et il est donc impératif que nos utilisateurs comprennent que nous avons accès à certaines des données les plus sensibles qui soient et qu'ils les traitent de manière appropriée. Nous y travaillons avec beaucoup de diligence. La gouvernance des données est un univers en soi. C'est une chose que R1 prend au sérieux. La façon dont nous construisons la culture d'entreprise autour d'une bonne gestion des données est de faire ce que je viens de dire. Nous créons des responsables des données dans l'ensemble de l'organisation. Nous formons ces gestionnaires de données. Ces gestionnaires de données sont responsables de la conservation des données dans leur domaine de contrôle et de responsabilité. Lorsque vous leur donnez les moyens de le faire et que vous leur expliquez pourquoi c'est important, les employés comprennent. Ils comprennent. Ils veulent faire ce qu'il faut et nous les encourageons à le faire, nous le célébrons. Lorsque nous faisons ce qu'il faut, nous reconnaissons les personnes qui prennent soin des données que les clients et les patients nous ont confiées. Lorsque nous le célébrons, les gens se joignent à nous. Nous ne nous fâchons donc pas contre les gens lorsqu'ils commettent des erreurs. Je dirais que la plupart des problèmes que nous traitons du point de vue des données ne sont pas le fait de personnes qui essaient de faire des choses malveillantes ou qui essaient d'être rapides et de faire leur travail. Nous travaillons vraiment avec les gens pour les éduquer et les aider à corriger certains des comportements qu'ils peuvent avoir et qui ne sont peut-être pas alignés sur la façon dont nous devrions protéger ces données en fin de compte. Mais lorsqu'ils le font, nous le célébrons et nous récompensons les personnes qui le font. Cela permet d'instaurer une véritable confiance dans l'environnement et un engagement envers nous, car nous n'allons pas venir et nous n'allons pas vous dire que vous avez des problèmes ou faire quelque chose qui rendra votre travail plus difficile. Nous nous réjouirons de ces victoires et les gens en seront encouragés et continueront à traiter les données comme il se doit. Il s'agit donc encore une fois de s'engager, de faire comprendre aux gens pourquoi nous faisons ce que nous faisons, en quoi c'est important, puis de récompenser ce succès et de créer un élan à partir de là.
Mike Anderson : Oui, la carotte fonctionne toujours mieux que le bâton. Lorsque vous pouvez reconnaître les comportements que vous souhaitez voir chez les gens et les mettre en évidence, cela incite les autres à faire de même. C'est donc une excellente chose que vous fassiez cela. C'est une excellente façon de procéder. Cela fonctionne dans tous les domaines de la vie. J'essaie de faire en sorte que mes enfants fassent de même. "C'est un très bon travail. Je vais vous récompenser pour ce bon comportement," contre "Vous n'auriez pas dû faire ça" et cela ne fonctionne jamais de la même manière. Cette même psychologie fonctionne avec notre personnel. Je vais passer à un autre sujet dans un instant. C'est intéressant. J'en avais entendu parler, mais au début de la pandémie, lorsque j'étais chez Schneider Electric, notre président a déclaré : "Ma boule de cristal est cassée et je n'arrive pas à savoir ce que l'avenir me réserve." Donc, si nous devions avancer dans le temps comme nous le faisons actuellement, si nous nous tournons vers l'avenir, dans quels domaines pensez-vous que les DSI et les responsables technologiques devraient investir aujourd'hui pour être prêts pour l'avenir ?
Harvey Ewing : Wow. C'est une question difficile, Mike. Je suis sûr que lorsque je reviendrai sur ce spectacle dans quelques années, je me moquerai de moi-même et dirai : "Wow, j'avais tellement tort." Mais je vais lui donner ma meilleure chance. Je pense qu'il s'agit d'une question de normalisation des comportements. Harvey fait-il ce qu'il doit faire normalement ? Va-t-il au-delà des limites de ce qu'il fait habituellement, de la manière dont il le fait lorsqu'il travaille ? Je pense que cela sera très important. Je pense également que l'IA et la ML vont constituer un défi vraiment intéressant et que la pile technologique traditionnelle que nous avons aujourd'hui va vraiment être bousculée non seulement par les technologies émergentes comme Quantum, mais aussi par les progrès de l'IA et de la ML. Lorsque vous êtes un humain et que vous vous battez contre un algorithme très complexe qui va penser un peu plus vite que vous, comment pouvez-vous suivre ? Nous aurons donc besoin d'outils, d'un cryptage capable de résister à l'énergie quantique. Nous allons avoir besoin d'outils capables d'évoluer avec les stratégies d'IA et de ML. Comment rester à la hauteur de l'IA et de la ML qui sont destinées à des fins malveillantes ? Je pense que cela va être fascinant. Si je pouvais me projeter dans l'avenir, ce serait pour comprendre, "Comment suivre les progrès de la technologie malveillante ? Comment protéger des systèmes qui seront facilement cassés à l'avenir ?" Je pense donc que c'est dans ces domaines que je voudrais vraiment disposer d'outils et me concentrer.
Mike Anderson : Je pense que vous avez raison, et c'est juste que cela devient une partie évolutive de notre paysage de menaces. Un sujet qui revient souvent. La presse en parle partout. Je sais que vous et moi en avons déjà parlé, mais la question de la confiance zéro revient souvent. La confiance zéro sera-t-elle un sujet dont nous continuerons à parler dans trois ou cinq ans ? Comment cela s'articule-t-il avec la manière dont les entreprises élaborent des stratégies de protection des données ? Que pensez-vous de la question de la confiance zéro dans son ensemble et comment pensez-vous qu'elle va évoluer dans notre réflexion sur la protection des données ?
Harvey Ewing : Oui, je pense que c'est impératif, Mike. La confiance zéro est une chose qu'il faut absolument faire à l'avenir pour un grand nombre de raisons que nous avons évoquées ces dernières minutes. Les gens auront toujours besoin d'accéder à des informations sensibles pour faire leur travail, mais comment savoir si nous avons autorisé la bonne personne, si nous avons une main-d'œuvre à distance ou une partie hybride de celle-ci, comment puis-je vraiment savoir si je donne l'autorité aux bonnes personnes ? La confiance zéro, c'est bien, c'est facile à dire, mais c'est très difficile à faire. Je pense qu'il faudra un écosystème d'outils pour nous aider à y parvenir. Je pense qu'un grand nombre des protections sur lesquelles travaille Netskope seront vraiment impératives. Je pense qu'il faudra vraiment une stratégie pour permettre une confiance zéro à long terme. Nous allons devoir continuer à pivoter pour comprendre comment nous autorisons de manière appropriée. Je pense que c'est la seule façon de donner accès aux données sensibles, à la propriété intellectuelle ou à d'autres types de systèmes nécessitant une autorisation. Il n'y a pas vraiment d'autre solution puisque le périmètre disparaît à terme.
Mike Anderson : Je vous remercie de m'avoir accordé votre temps. J'ai donc quelques brèves informations à vous communiquer en guise de conclusion. Cela va donc être amusant. Je me suis inspirée de Brene Brown, car je suis une grande fan de son podcast. Nous allons donc essayer de faire le tour de la question. J'ai donc quelques questions à vous poser. Quel est le meilleur conseil que vous ayez reçu en matière de leadership ?
Harvey Ewing : Oh, mon Dieu. C'est quelque chose que j'essaie d'ajouter chaque jour. J'échoue presque tous les jours, mais je n'ai plus d'émotion. Essayez de relever les défis difficiles avec le moins d'émotion et le plus de pragmatisme possible.
Mike Anderson : C'est un excellent conseil. Quel serait votre dernier repas ?
Harvey Ewing : Oh, mon Dieu. Je pense que je vais devoir dire le plus gros steak que j'ai pu trouver.
Mike Anderson : Vous savez quoi ? Il faudra bien qu'on aille manger un steak un jour. Merci d'avoir rejoint notre podcast aujourd'hui. Ce sera un amour.
Harvey Ewing : C'est une bonne idée.
Mike Anderson : Nous aurons des sueurs froides pendant des jours. Ce sera formidable.
Harvey Ewing : C'est très bien.
Mike Anderson : Celui-ci va vous surprendre. Quelle est votre chanson préférée et qu'est-ce qu'elle nous apprend sur vous ?
Harvey Ewing : Je crois que j'en ai deux. L'un d'eux est tiré de The Youth, Hank Williams Jr, Cowboy Can Survive. L'autre est Tears for Fears, Everyone Wants to Rule the World. So Country Boy Can Survive est révélateur de ma jeunesse. Je peux tout surmonter parce que je suis à l'épreuve des balles. Puis, lorsque j'ai commencé à m'intéresser à la cybernétique, aux infrastructures et à la distribution, j'ai publié Everyone Wants to Rule the World (Tout le monde veut dominer le monde).
Mike Anderson : C'est très bien. Très bien. Quel est le dernier livre que vous avez lu ?
Harvey Ewing : Servant Leadership est vraiment le dernier livre que j'ai lu sur le monde des affaires. La plupart des autres activités consistent à suivre l'évolution beaucoup plus rapide de la cybernétique. Je ne suis donc pas un grand lecteur, mais plutôt un consommateur d'informations qui évoluent rapidement. Il m'est donc difficile de répondre à cette question en ce qui concerne les entreprises. Le leadership au service des autres est un élément important pour moi.
Mike Anderson : C'est très bien. Très bien, dernière question. Qui admirez-vous le plus et pourquoi ?
Harvey Ewing : Il y a beaucoup de réponses à cette question. Cette fois-ci, je vais devoir donner raison à ma femme. Sans elle, je ne serais pas là où je suis aujourd'hui. Elle est mon plus grand soutien, celle qui me maintient dans le droit chemin et me permet vraiment de faire tout ce que je fais chaque jour. Nous n'aurions pas pu le faire sans elle.
Mike Anderson : Oh, c'est très bien. Harvey, j'apprécie vraiment que vous preniez le temps de parler à nos auditeurs aujourd'hui. Avant de partir, y a-t-il quelque chose, une dernière réflexion ou une chose que vous aimeriez partager avec nos auditeurs avant de conclure ?
Harvey Ewing : J'apprécie tout le monde, j'apprécie le temps que vous m'avez accordé, Mike. Je pense que du point de vue de la sécurité, il faut simplement garder la foi et continuer à avancer parce que sans tous les professionnels de la technologie et de la sécurité, il n'y aurait pas d'affaires aujourd'hui. Tout ce qu'ils font est donc important et j'apprécie leurs efforts.
Mike Anderson : Merci beaucoup. C'est un excellent conseil et nous apprécions que vous soyez notre invité.
Harvey Ewing : Merci, Mike. Je vous en remercie.
Mike Anderson : Merci d'avoir écouté le podcast Security Visionaries d'aujourd'hui avec mon invité spécial Harvey Ewing. J'aime toujours vous laisser sur quelques points clés de notre conversation. Les trois choses que j'ai retenues de la conversation d'aujourd'hui avec Harvey, c'est d'abord et avant tout de passer à gauche et nous passons à gauche, c'est-à-dire d'intégrer la sécurité dans le processus de conception, dans le processus de développement autour de la façon dont nous créons des applications. Car nous ne voulons pas que la sécurité soit un obstacle qui freine l'innovation et le rythme auquel nous pouvons déployer les capacités de New pour nos utilisateurs et nos clients. Deuxièmement, nous devons mettre le conseil en ligne en toute sécurité. Nous devons nous assurer qu'ils comprennent pourquoi la sécurité est importante et nous devons le faire d'une manière qu'ils puissent comprendre. Nous devons parler en termes simples. Dans le meilleur des cas, il est toujours bon d'utiliser des analogies. Comment présenter la sécurité en termes compréhensibles par le conseil d'administration, c'est-à-dire en fonction de mon appétit pour le risque ? Le dernier point à retenir est la transparence, honnêtement tout est essentiel. Nous devons être transparents avec nos employés sur la manière dont nous attendons d'eux qu'ils travaillent. S'agit-il d'un hybride ? Comment peut-on s'attendre à ce qu'ils fonctionnent du point de vue de la sécurité ? Nous devons définir des attentes et faire preuve de transparence à l'égard de nos employés. J'espère donc que notre entretien d'aujourd'hui avec Harvey Ewing vous a apporté quelque chose. Je sais que je l'ai fait, et j'ai hâte que vous nous rejoigniez pour écouter notre prochain épisode du podcast Security Visionaries.
Annonceur 2 : Le podcast Security Visionaries est alimenté par l'équipe de Netskope, rapide et facile à utiliser. La plateforme Netskope offre un accès optimisé et une sécurité Zero Trust pour les personnes, le périphérique et les données, où qu'ils se trouvent. Aider les clients à réduire les risques, à accélérer les performances et à obtenir une visibilité inégalée sur l'activité de n'importe quelle application cloud, web ou privée. Pour en savoir plus sur la façon dont Netskope aide les clients à être Prêt à tout dans leur voyage insolent, visitez N-E-T-S-K-O-P-E.com.
Annonceur 3 : Merci d'avoir écouté les visionnaires de la sécurité. Veuillez prendre un moment pour évaluer et commenter l'émission et la partager avec quelqu'un que vous connaissez et qui pourrait l'apprécier. Restez à l'écoute des épisodes qui paraîtront toutes les deux semaines, et nous vous donnons rendez-vous pour le prochain.
){kind=icon}
