[00:00:00] James Christiansen : Je pense qu'il faut être un innovateur pour être un leader. Vous devez continuer à remettre en question le statu quo. Vous devez continuer à remettre en question les pensées d'hier. C'est ce que nous avons fait lorsque nous nous sommes assis en équipe, que nous avons commencé à écouter nos collègues et que nous avons pris en compte leurs commentaires ainsi que leurs propres coûts pour élaborer ces principes, en remettant en question la façon dont nous faisions les choses et en réfléchissant vraiment à la façon dont la numérisation nous change, nous et notre organisation.
[00:00:34] Producteur : Bonjour et bienvenue à l'émission Security Visionaries, animée par Jason Clark, responsable de la sécurité et de la stratégie chez Netskope. Vous venez d'entendre James Christianson, vice-président et responsable de la sécurité des informations chez Netskope. Vous entendrez des praticiens de classe mondiale et des leaders d'opinion comme James vous expliquer comment ils restent à la pointe du progrès en matière de sécurité des réseaux et des nuages. Vous êtes sur le point d'écouter la deuxième partie d'une discussion en deux parties sur les principes de la transformation de la sécurité. Dans cette partie, Jason et Erick sont rejoints par leur collègue James Christianson, vice-président et responsable de la sécurité de l'information chez Netskope. James Robinson, directeur adjoint de la sécurité de l'information chez Netskope et Lamont Orange, directeur de la sécurité de l'information chez Netskope. La discussion qui suit et le podcast sur les visionnaires de la sécurité font partie du Security Transformation Playbook, un ensemble de ressources New provenant de Netskope et de certains des leaders les plus avant-gardistes de l'industrie qui examinent les questions les plus importantes en matière de sécurité aujourd'hui, avant de nous y plonger, voici un bref mot de nos sponsors.
[00:01:38] Sponsor : Le podcast Visionnaires de la sécurité est alimenté par l'équipe de Netskope. Netskope est le leader de la SASE. Offrant tout ce dont vous avez besoin pour fournir une expérience utilisateur rapide, centrée sur les données et compatible avec le cloud, à la vitesse de l'entreprise d'aujourd'hui. Pour en savoir plus, consultez le site Netskope.com
[00:01:57] Producteur : sans plus attendre, voici le deuxième épisode des visionnaires de la sécurité avec votre hôte, Jason Clark.
[Jason Clark : Dans le dernier épisode, Erick et moi avons parlé de la genèse du projet de transformation de la sécurité et expliqué qu'il y a plusieurs principes pour l'avenir sur lesquels nous devrions travailler, n'est-ce pas ? 10 principes que nous allons approfondir aujourd'hui. Je suis d'abord rejointe par Erick, Rudiak, Erick, comment allez-vous ?
[00:02:24] Erickk Rudiak : Bonjour Jason. Heureux d'être de retour. Merci beaucoup de m'avoir invité.
[00:02:29] Jason Clark : Heureux de vous recevoir. Et Lamont Orange.
[00:02:31] Lamont Orange : Jason, merci de m'avoir invité à l'émission. Je me réjouis de cette conversation.
[00:02:36] Jason Clark : Et James Robinson.
James Robinson : Bonjour, je suis heureux d'être ici. Merci.
Jason Clark : Et James Christiansen.
James Christiansen : C'est parti pour le rock and roll !
Jason Clark : Bienvenue, les gars. Bienvenue dans la conversation. Comment allez-vous ? Êtes-vous prêt ?
James Robinson : Je suis prêt. C'est parti.
Jason Clark : Génial. Lamont, je sais que vous avez dû, euh, ce matin, euh, vous étiez déjà sur scène dans un panel de discussion. Vous deviez participer à cette conversation. Merci pour ça, mais ça va, c'est probablement facile et agréable de le faire à la suite l'un de l'autre.
[00:03:06] Lamont Orange : Tout à fait. Le plaisir est donc pour moi.
[00:03:09] Jason Clark : Nous avons donc tous ensemble, vous savez, au cours des deux dernières années, travaillé sur... [00:03:09] Jason Clark : Nous avons donc tous ensemble, vous savez, au cours des deux dernières années, travaillé sur... Vraiment avec l'industrie, n'est-ce pas ? Passer du temps à des centaines de tables rondes, d'ateliers, d'enquêtes et de conversations individuelles, d'accord ? Essayer de collecter. À quoi ressemble l'avenir de la sécurité ? Et dans ce monde New, une sorte de transformation numérique est en train de se produire. C'est vrai. Pour chaque organisation. Et la sécurité se trouve en quelque sorte dans ce monde à l'envers où nous essayons de, vous savez, les équipes de sécurité sont étirées au-delà de l'imaginable. C'est vrai. Et, et en essayant de suivre. Alors, comment vont-ils pouvoir être performants et obtenir un effet de levier. Dans ce modèle New, n'est-ce pas ? Parce qu'ils sont manifestement stressés et, hum, ils regardent les architectures technologiques héritées et, et en fin de compte, ces, ces anciennes façons de faire les choses depuis 25 ans, depuis que nous travaillons tous dans cette industrie ou plus, nous avons passé du temps ensemble sur 10 principes pour l'avenir. C'est vrai. Et puis, évidemment, le reste du manuel de transformation de la sécurité dans le cadre de ce que je dois faire, si je dois arriver à 20, 25 et au-delà. Vous avez donc tous apporté une aide considérable, n'est-ce pas ? J'attends donc de chacun d'entre vous qu'il donne, vous savez, son contexte à chaque principe, au fur et à mesure que nous parlons avec eux et les expériences que vous avez eues dans ces conversations, lorsque ces, vous savez, je dirais plus, bon sang, probablement bien plus d'un millier de conversations CISOs et CIOs que nous. Sur ce point. C'est vrai. Mais aussi dans vos expériences en tant que RSSI dans vos vies antérieures, en tant que dirigeant d'autres organisations, en tant que RSSI, en écrivant sur le passé, en se tournant vers l'avenir. Je vais donc commencer par le principe de base, d'accord ? Le premier principe est de remettre en question tous vos principes existants, n'est-ce pas ? Quels sont donc les principes qui, selon vous, doivent être remis en question par rapport au passé ?
[00:05:04] James Christiansen : Oui, vous savez, je le pense vraiment. Je remets toujours tout en question. J'y pense tous les jours. Je pense qu'il faut être innovateur pour être leader. Vous devez continuer à remettre en question le statu quo. Vous devez continuer à remettre en question les pensées d'hier. Et je pense que c'est ce que nous avons vraiment fait lorsque nous nous sommes assis. En tant qu'équipe, nous avons commencé à écouter nos collègues et à tenir compte de leurs commentaires, ainsi que de nos propres idées, pour élaborer ces principes, ce qui revenait à remettre en question le statu quo. Il s'agit de remettre en question la façon dont nous avons fait les choses et de réfléchir à la manière dont la numérisation des entreprises nous change, nous et nos organisations, et certainement à l'évolution rapide du travail à partir de n'importe quel endroit et à ce que cela implique pour les choses que nous devons faire dans le cadre de notre recherche.
[00:05:51] Jason Clark : Qu'en est-il du principe "si ce n'est pas cassé, ne le réparez pas" ?
[James Christiansen : Oui. Je ne sais pas. J'ai toujours été très doué pour casser les choses, donc je ne suis pas la bonne personne à qui demander.
[00:06:00] Lamont Orange : Et quand vous regardez la transformation digitale, honnêtement, vous êtes sans doute déjà poncé. Il est déjà cassé. De la manière dont vous voulez faire avancer l'organisation, vous devez dire qu'elle est déjà cassée et qu'elle a besoin d'être réparée parce que nous sommes toujours confrontés à une escalade d'attaques de la part d'attaquants. Ils continuent de réussir et le font à un rythme élevé. Nous devons donc revenir à, c'est déjà cassé. Il s'agit maintenant de savoir comment planter une graine et aller de l'avant.
[00:06:32] Jason Clark : James, vous êtes un expert en sécurité des produits et des applications. Et à mon avis, vous le faites depuis très longtemps pour de très grandes organisations. Comment les directeurs d'école changent-ils ? Du point de vue de la sécurité des applications, de la sécurité des produits ou du pipeline logiciel.
[00:06:50] James Robinson : Oui, un, celui qui m'est venu à l'esprit et qui, euh, je pense qu'il a aussi été repris dans un autre principe, c'est la confiance, mais vérifiez, un principe sur lequel nous nous sommes appuyés pendant très, très, très longtemps dans le domaine de la sécurité des produits AppSec. Et je pense qu'aujourd'hui, ce principe est souvent remis en question. C'est un principe qui était en fait très confortable. Hum, et un qui, sur lequel je me suis appuyé pendant de très nombreuses années, est maintenant totalement brisé, totalement remis en question et je sais qu'il y a beaucoup de conversations sur les principes de confiance zéro et qu'il a ses propres principes. Mais ce sont vraiment les architectures de confiance zéro
[00:07:24] Jason Clark : C'est un bon point. La confiance, mais vérifiée s'est transformée en confiance zéro. C'est vrai ? C'est un très bon point. Deuxième principe donc. Arrêtez d'acheter des solutions "boîte noire" et achetez des solutions ouvertes et intégrées. J'aimerais donc dire qu'en général, les vendeurs ont acheté beaucoup d'entreprises technologiques, c'est vrai, ils ont acheté beaucoup d'entreprises et les ont intégrées, ou ils prétendent les intégrer. Mais en général, l'intégration se fait à partir d'une liste de prix et d'un vendeur qui vous vend. Dans l'ensemble, quel est votre point de vue sur la façon dont l'industrie doit changer sa façon d'acquérir des technologies ?
[00:07:59] James Robinson : Je vais commencer par celui-ci, parce que c'est un exemple que j'ai vu et dont j'ai beaucoup parlé en interne avec Lamont. Hum, et c'est cette idée. J'aime l'idée d'ouverture, vous savez, NDR ouverte, XDR ouverte, nuage ouverte. Oui, ce genre de choses, nous devons pouvoir, vous savez, en faire presque une exigence numéro un. À bien des égards, vous savez, nous savons que la somme de plusieurs choses est meilleure que la somme d'une seule, si vous achetez la boîte noire, ce que vous obtenez est la somme d'une seule, ou peut-être la somme de quelques unes, hum, et vous devez, vous savez, construire cette intelligence en étant ouvert. C'est là que ça se joue. Je crois fermement que, parmi, euh, parmi certains d'entre eux, vous savez, je sais que nous n'avons parlé que de deux, mais pour l'instant celui-ci est probablement mieux classé pour moi que le principe dont nous, dont nous avons parlé avec le défi, tout, d'accord ? Celle-ci est, vous savez, celle-ci est, est centrale. Je pense que pour nous permettre de réussir à l'avenir,
[00:08:54] James Christiansen : Vous savez, je suis Jason, j'ai souvent acheté les meilleurs produits tout au long de ma carrière. Vous savez, nous, nous avons beaucoup cherché avec, euh, des entreprises très agressives comme celles, euh, pour lesquelles je travaillais, vous savez, mais dans le monde d'aujourd'hui, vous savez, je dois regarder les meilleures plates-formes de la race. Je ne peux tout simplement pas me permettre d'avoir la main-d'œuvre nécessaire pour gérer toutes ces différentes solutions. Et la complexité qu'elle apporte à l'organisation, vous savez, conduit à des erreurs humaines, à des correctifs qui ne sont pas appliqués, à des versions qui ne sont pas mises à jour. J'ai donc dû m'éloigner de l'idée de la meilleure solution et j'ai commencé à examiner les meilleures plates-formes. Maintenant, ce qui peut me donner l'intégration la plus étroite, comme vous l'avez dit dans votre conversation d'ouverture, ce n'est pas quelqu'un qui a beaucoup de chiffres biaisés, c'est une plateforme véritablement intégrée pour résoudre les vrais problèmes.
[00:09:50] Jason Clark : Erick, qu'avez-vous à dire sur les notions d'ouverture et d'intégration ? C'est pourquoi toutes les solutions que nous achèterons à partir de maintenant devraient faire davantage partie de l'écosystème que les boîtes noires que nous avons achetées par le passé.
[00:10:03] Erick Rudiak : Oui. Excellente question, Jason. Lorsque je pense aux notions d'ouverture et d'intégration et aux raisons pour lesquelles elles sont si importantes, je me dis que nos systèmes sont tellement interconnectés. S'il n'y a pas d'API pour créer de la visibilité, la complexité et l'interconnexion de nos systèmes exigent que le signal d'un système défensif soit disponible pour les autres afin qu'ils puissent orchestrer une réponse au plus près de l'endroit où se trouve l'attaquant, et aussi pour que l'expérience de l'utilisateur soit cohérente. Hum, et il devient très, vous savez, à la fois, euh, difficile pour les défenseurs de gérer cela. Et franchement, cela crée une fuite et exige un niveau de complexité pour tisser ces systèmes ensemble qui ouvrent un modèle intégré, euh, est tout simplement supérieur pour eux.
[00:10:51] Jason Clark : Excellente réponse. J'adore. Le troisième principe est donc axé sur les technologies fondamentales qui s'intègrent à l'ensemble de votre écosystème de sécurité. Je commencerai donc par Lamont, vous savez, vous avez eu l'occasion de mettre en place un programme de sécurité de type "Greenfield". Qu'est-ce que cela, vous savez, quand, quand vous regardez ce droit. Quelle est la première pile que vous avez construite ? Quelles étaient les cinq technologies fondamentales qui faisaient partie de cette infrastructure Greenfield ?
[00:11:16] Lamont Orange : Je pense que c'est une question très importante parce que lorsque vous parlez de la transformation que la sécurité doit passer par vous, vous devez l'examiner. Il ne s'agit pas seulement de savoir quels outils se trouvent dans ma pile, mais aussi quelles capacités nous voulons et comment les aligner davantage sur le résultat. Je dirais donc que c'est la première capacité que je voulais. Il s'agit de la visibilité. Je devais voir ce qui se passait afin d'affecter le niveau de risque de l'organisation et d'être en mesure de mettre en place des contrôles. Les outils qui vous aident à comprendre ce qui se passe seraient, par exemple, un outil qui examine votre utilisation des applications existantes, ainsi que des technologies SaaS, IaaS et PaaS, vous devez également prendre en compte vos identités. De nombreuses entreprises sont confrontées à des problèmes d'identité car elles comptent plusieurs personnes déplacées à l'intérieur de leur pays. Ils ont plusieurs gestionnaires de ces identités, qu'il s'agisse de systèmes de production ou de systèmes d'entreprise. Et ce que vous voulez faire, c'est mettre en place une sorte de gouvernance. L'identité est donc l'un des autres domaines sur lesquels je me suis concentré. Ensuite, vous vous penchez sur la protection des données. Nous sommes tous concernés par la protection de nos données. C'est le joyau de la couronne pour le mauvais acteur. Nous devons comprendre quelles sont les données précieuses dont nous disposons et quelles sont celles que nous souhaitons protéger. Ensuite, vous vous demandez où cela va aller. Vous voulez donc comprendre la protection des données depuis l'utilisateur jusqu'à l'application et au point final. Il faut donc revenir à un commentaire de James Robinson sur l'ouverture avec XDR NDR et tout ce que nous mettons en avant. Cette capacité DR, vous devez comprendre la configuration de ce périphérique et même les organisations qui peuvent utiliser ces données. Et puis il y a une autre capacité qui, à mon avis, est très importante pour aider les organisations à s'adapter. Lorsqu'il s'agit d'un projet Greenfield, vous avez besoin de quelque chose qui va gérer l'automatisation et l'orchestration de votre configuration. Je pense que ces solutions peuvent être maintenues dans un seul domaine, mais qu'elles doivent disposer des trois capacités suivantes pour être efficaces.
[00:13:29] Jason Clark : Erick, sur, sur ce, euh, principe autour des technologies fondamentales. Vous savez, ils ont atterri dans les autres organisations. Et maintenant, en tant que CTO, qu'en pensez-vous du point de vue de l'écosystème autour de la sécurité ?
[00:13:43] Erick Rudiak : Il y a plusieurs choses. L'identité est donc une. Hum, et vous savez, j'y pense en termes de différents niveaux d'affirmations que les personnes dans les systèmes peuvent faire sur l'identité de l'humain à l'autre bout de la ligne ou sur l'identité du système avec lequel un autre système travaille. Il englobe donc tout, du multi-facteur aux services d'annuaire, ce qui est absolument vital. Je suis d'accord avec Lamont pour dire qu'il faut protéger les données, avoir une visibilité sur les données au repos et les données en mouvement. C'est un autre, et puis, euh, aujourd'hui ce n'est pas particulièrement excitant, mais les, les bases du cryptage et de la gestion de la configuration et, vous savez, en pensant à la gestion de la configuration, d'incorporer à la fois, euh, une sorte de dérive config golden builds, vous savez, le durcissement du système ainsi que, euh, la gestion de la vulnérabilité, que je considère comme une instance de cette classe. Il s'agit en quelque sorte de tirer tout cela vers le haut. C'est l'une des premières choses que j'ai cherchées, le genre d'assurance que le blocage et le plaquage de base, que le facteur d'outrage de, euh, se tromper, est géré et minimisé pour toute organisation dont je fais partie.
[00:15:04] Jason Clark : D'accord. Le quatrième principe consiste donc à n'acheter que des technologies New basées sur l'informatique dématérialisée. C'est vrai ? Ainsi, tout ce que vous achetez devrait être alimenté par le cloud, activé par le cloud ou né du cloud. Vous savez, il existe un document de Gartner. C'est. L'avenir de la sécurité est dans le nuage, alors que nous faisions cette tournée, il y avait une phrase qui disait que, vous savez, le nuage est la réinitialisation parfaite pour les programmes de sécurité, n'est-ce pas ? Parce que vous avez la possibilité de repartir à zéro et de faire des choses, c'est vrai. Que pensez-vous de ce principe et de la raison pour laquelle nous l'avons écrit ?
[00:15:34] James Robinson : Je pense que le principe est bon. Je pense que pour tirer parti de et, et pour répondre, vous savez, l'une des choses que nous disons en interne est de répondre à votre client, là où il se trouve, vous savez, si le client est, est dans le nuage ou qu'il se déplace vers le nuage, d'accord, ce qui est encore mieux d'être là où il sera, vous devez adopter ce principe. Il s'agit d'un élément fondamental pour tout ce que vous envisagez. Vous connaissez ? Et, et si c'est, vous savez, assisté par le nuage, vous pouvez l'examiner. Par exemple, l'EDR assisté par l'informatique en nuage. D'accord, faites-le bien. Il doit y avoir quelque chose sur le point final. Il ne peut pas s'agir uniquement de l'informatique en nuage, mais vous savez, pour tout ce qui se trouve dans la pile réseau, pour tout ce qui se trouve dans la pile d'applications, pour tout ce qui se trouve dans la pile de serveurs, hum, vous savez, pour tout ce qui se trouve entre les deux, vous savez, il faut absolument, il faut respecter ce principe.
[00:16:17] James Christiansen : Vous savez, euh, Jason, c'est la troisième grande transformation que j'ai vécue dans ma carrière et, et, euh, la technologie et la sécurité par rapport au passage des ordinateurs centraux au serveur client. Puis du serveur client au système en nuage. Et maintenant, avec Digitas, la numérisation, vous savez, nous voyons ces transformations et je pense, vous savez, que plus vous y résistez et ne les reconnaissez pas, plus vous êtes à la traîne. Ainsi, lorsque vous commencez à penser au cloud et à l'activation du cloud, j'ai parlé à de nombreux RSSI chaque année, je veux dire, trois ou quatre cents. Et lorsque nous parlons de leurs projets, de ce qu'ils considèrent comme des SASE ou des Secure Service Edge, nous commençons à nous pencher sur les définitions. Lorsque je commence à travailler avec une organisation et que je regarde où elle en est, elle est déjà sur la bonne voie. Ils sont peut-être plus loin dans l'échelle, mais ils sont déjà sur cette voie, ce qui dit simplement que nous sommes les personnes les plus courantes en matière de sécurité qui reconnaissent que c'est le modèle à suivre. C'est la direction à suivre. Les seuls investissements New que je vois ne concernent que les énergies renouvelables. Parce qu'ils, ils ne peuvent pas passer assez vite aux technologies New. Mais je pense, vous savez, que du point de vue des processus humains et de la technologie, il s'agit dans les trois cas de former notre personnel à la manière de travailler avec ces technologies de l'informatique en nuage. Il s'agit de mettre en place les processus qui soutiennent ces personnes et ces choses, et enfin de mettre en œuvre la technologie, pour permettre à ces personnes et à ces processus de fournir le niveau de contrôle dont nous avons besoin aujourd'hui. Mais il est certain que les affaires vont dans ce sens. Nous avons constaté l'accélération de ce mouvement dans les entreprises et chez nous, en tant que professionnels de la sécurité.
[00:17:59] Jason Clark : Je veux dire qu'en fin de compte, n'est-ce pas, il y a autant d'entreprises qui y vont et donc votre sécurité doit être là où se trouvent les données et là où se trouvent les entreprises. De plus, lorsque vous avez une main-d'œuvre mobile, vous devez tirer parti de l'informatique dématérialisée pour sécuriser cette main-d'œuvre, car vous ne pouvez pas le faire à partir de votre centre de données, n'est-ce pas ? Dans sa forme la plus simple, vous changez simplement un point de levier dans votre échelle.
[00:18:18] James Robinson : J'adore ce que James a dit, parce que lorsque vous avez parlé du passage de l'ordinateur central au serveur client, nous avons assisté à ce changement majeur. Si quelqu'un en fait partie, je l'ai vu et j'en ai fait partie aussi. En regardant cela, je ne pouvais pas imaginer que vous ne fassiez pas ce changement, ou que vous le fassiez et que vous essayiez encore de maintenir, rappelez-vous combien il était difficile de maintenir dans le serveur client, ces contrôles que vous aviez et, et de les fournir via l'ordinateur central. C'était presque impossible à faire. En fait, c'était impossible, c'est pourquoi tout le monde a changé et vous avez vu le marché changer.
[00:18:49] Jason Clark : Le prochain principe est le cinquième et... Il a potentiellement plus de poids que beaucoup d'autres. Il s'agit de protéger les données de l'entreprise à l'aide de contrôles de sécurité qui suivent les données partout. C'est vrai. Pour moi, c'est la grande stratégie de la sécurité, c'est la raison d'être de la sécurité pour beaucoup d'entreprises ou d'organisations. C'est vrai. Il s'agit simplement de protéger les informations. Parlons donc un peu de ce que nous avons appelé un principe pour une bonne raison, n'est-ce pas ? Je pense que nous avons eu le sentiment que les gens n'étaient pas assez mûrs en matière de protection des données. Erick, que pensez-vous de la raison pour laquelle nous avons établi ce principe et de la façon dont les gens doivent transformer leur vision de la sécurité ou de la protection des données ?
[Erick Rudiak : Oui, je pense qu'il y a deux éléments, Jason. D'une part, l'industrie de la sécurité a toujours négocié contre elle-même. En ce qui concerne les contrôles de ce type, il s'agit de dire que ces données se trouvaient auparavant dans notre centre de données, protégées par des contrôles périmétriques, mais que nous voulons les transférer dans le nuage et que celui-ci n'offre pas tout à fait la même chose, mais que le nuage est si convaincant que nous acceptons moins de choses. Euh, et donc, euh, une façon de considérer ce principe et ils ne s'excluent pas mutuellement. C'est ne jamais accepter moins, comme ne pas faire de compromis sur, vous savez, euh, sur cette sorte d'idée très fondamentale que peu importe où vos données vont, Vos contrôles sont importants, euh, parce qu'ils certainement, euh, le, vous savez, l'attaquant ne regarde pas le monde de cette façon. Cela fait donc partie du coût de l'activité. Cela fait partie de l'économie du traitement des données sensibles. L'obligation envers la personne dont vous trafiquez les données ne change donc pas. Si vous avez permis aux données de passer d'un environnement à l'autre. Je pense qu'une autre façon de voir les choses est de dire qu'il s'agit d'un projet extrêmement ambitieux. Je pense donc que tous ceux d'entre nous qui ont fait de la modélisation des menaces regarderont ce principe directeur et diront, oh, Jason, euh, sûrement, euh, sûrement vous ne pouvez pas protéger les données quand je fais ceci, quand j'utilise la stéganographie ou quand j'utilise des canaux secrets ou quand je, vous savez, quand je tire parti de, vous savez, choisissez votre ligne et votre colonne préférées dans le cadre d'attaque de MITRE. Hum, et je pense qu'en termes d'aspirations, c'est un défi pour nous de dire non à la parole. Nous allons mettre en place des contrôles qui réaffirment en quelque sorte nos obligations en tant que gardiens, c'est-à-dire que, où que les données aillent, nous en aurons connaissance. Nous allons affirmer nos contrôles, que vous savez, que l'attaquant ne gagne pas en utilisant ces modèles communs.
[00:21:42] Jason Clark : Oui. C'est euh, c'est, euh, vous savez, juste. Si nous pouvons faire en sorte que les contrôles suivent l'utilisateur et les données, c'est le Nirvana, surtout lorsque nous n'avons pas besoin d'investir massivement pour y parvenir, mais de l'amour. Sixième principe : donnez la priorité à votre entreprise et aux risques et récompenses lorsque vous décidez d'adopter une bonne stratégie de sécurité. Ou des décisions. C'est vrai. Et construire votre tactique, etc. C'est vrai. Donc, essentiellement en raison de l'évolution constante de l'activité, n'est-ce pas ? Il s'agit donc d'un compromis constant et nous devons être à l'écoute de l'entreprise pour pouvoir prendre cette décision. C'est vrai. Mais donnez-leur les moyens d'agir. Et j'adore, vous savez, le dicton. Il ne s'agit pas d'éliminer les frictions, n'est-ce pas ? C'est la bonne dose de friction pour l'entreprise. Je suis donc curieux de savoir ce que chacun d'entre vous, James, commencera peut-être par vous, euh, Christiansen sur, vous savez, vos pensées sur, sur ce principe.
[James Christiansen : Oui. Pour moi, il s'agit d'un point important, car les RSSI les plus performants sont ceux qui ont le plus de succès. Ils ne se concentrent pas sur la protection des données. Ils se concentrent sur le soutien à l'entreprise et comprennent le rôle de cette dernière dans la recherche d'un juste équilibre entre le risque et la récompense. C'est vrai. Il ne faut pas trop pencher d'un côté ou de l'autre, sinon vous ne valorisez pas l'entreprise et l'actionnaire. Vous devez être à la hauteur de votre rôle, mais il s'agit de permettre à l'entreprise de fonctionner. Et quand je pense à cela, en termes de changement et de rapidité d'évolution. Je pense vraiment, vous savez, aux sept forces qui font partie d'une stratégie de sécurité et ces forces sont vraiment quelque chose que vous devez examiner parce qu'elles sont en constante évolution. Au fur et à mesure qu'ils changent, vous devez vous adapter à ce changement et vous demander comment cela affecte mon stress. Est-ce que cela a vraiment fait une différence entre ce que je prévoyais de faire et ce que je devrais faire maintenant ? Nous avons récemment publié un livre blanc sur les sept forces, que je vous encourage à lire, mais il semble que la culture de l'entreprise puisse changer à l'occasion d'une fusion et d'une acquisition. La culture pourrait changer à bien des égards. En quoi cela modifie-t-il la façon dont vous envisagez l'économie et les forces économiques, les forces gouvernementales, les conflits, des éléments qui ne sont pas directement liés, mais qui ont un impact sur votre stratégie de sécurité globale. Et au fur et à mesure qu'ils évoluent, vous devez faire preuve d'agilité en tant qu'organisation. Vous devez être en mesure de changer rapidement et efficacement pour rester en phase avec l'entreprise, car rappelez-vous ce que nous avons dit au début, à savoir qu'il s'agit d'habiliter. L'entreprise et c'est ce que vous devez toujours garder à l'esprit.
[00:24:16] Jason Clark : Quelqu'un d'autre, vous savez James, Erick et Lamont pour ajouter à cela la priorisation du risque et de la récompense de l'entreprise.
[00:24:23] Erick Rudiak : Quand je pense à ce qui s'est passé depuis un an et demi, vous savez, nous nous sommes tous réveillés le 13 mars de l'année dernière et toutes nos courbes d'espérance de perte annualisées étaient des ordures. Comme s'ils, euh, ils étaient fondamentalement défectueux parce qu'il y avait eu cette injection d'un risque complètement New et des besoins de récompense du risque totalement New en termes d'ALE. Quand je pense à la situation de notre secteur il y a dix ans, beaucoup d'entre nous, praticiens, diront qu'il ne faut pas dépenser mille dollars pour en protéger dix. Et je pense que ce qui s'est passé depuis, c'est que nos homologues de la suite C, les conseils qui nous gouvernent sont devenus beaucoup plus sophistiqués. Ils attendent donc de nous, praticiens de la sécurité, que nous comprenions la tolérance au risque des entreprises. Et d'arriver avec un discours qui dit, regardez en tant que RSSI, voici à quel point nos courbes d'espérance de perte correspondent à notre tolérance au risque. Et voici ce qu'il faut, vous savez, ce que nous devons faire : dans certains endroits, nous pouvons avoir besoin d'investir, dans d'autres, nous avons tellement de contrôle que nous pouvons nous permettre de prendre un peu plus de risques, hum, et vous savez, de nous adapter et d'être positifs sur le plan commercial et de soutenir des capacités supplémentaires afin d'améliorer la productivité. Nous avons donc tous dû apprendre cette compétence très rapidement au cours de l'année et demie qui vient de s'écouler, et le bon côté des choses pour nous, en tant que praticiens de la sécurité, c'est que cette compétence va nous être très utile. Lorsque nous retournerons devant nos conseils d'administration, lorsque nous retournerons, euh, dans la suite C et que nous discuterons avec nos pairs autour de la table. Il ne s'agit pas de savoir pourquoi nous disons oui ou non à tel ou tel contrôle, mais comment l'ensemble de notre environnement de contrôle correspond à notre tolérance au risque. Et c'est, vous savez, euh, juste une maturation du dialogue dans lequel nous nous engageons et c'est, vous savez, c'est vraiment passionnant. Il nous donne un siège à la table.
[00:26:29] Jason Clark : Oui, je pense que c'est le cas, nous l'examinons. Nous devons y réfléchir à nouveau. C'est juste, nous le disons toujours, mais en tant que chefs d'entreprise et, et comment cela, ce que cette activité, l'entreprise essaie de faire, va, pour les entreprises qui se concentrent sur, vous savez, l'acquisition, la rétention de clients rentables, n'est-ce pas ? C'est-à-dire tout moyen de gagner de l'argent. Et comment les activités, l'entreprise, vont-elles accélérer ce processus ? Et jusqu'à quel point, jusqu'à quel point dois-je les protéger ? Ou est-ce que je peux les laisser partir et appliquer des protections et, simplement, comprendre vraiment les choses qui peuvent faire bouger l'aiguille pour l'entreprise. Et je veux dire que, personnellement, j'y suis confronté tous les jours. Il s'agit également d'étudier les questions de marketing et de sécurité. Lamont et moi avons des conversations quotidiennes, n'est-ce pas ? Ou sur, sur ce qui est, euh, vouloir ouvrir quelque chose que nous voulons faire par rapport à l'équilibre de la sécurité. C'est vrai. L'équipe marketing veut toujours aller de l'avant, mais nous voulons nous assurer que le partenaire auquel nous donnons accès à nos informations Salesforce est sécurisé. C'est vrai. Et ce qui compte, ce sont les résultats. Et combien de temps devons-nous encore attendre ? Pour appliquer les contrôles de sécurité. Je pense donc que ce n'est pas quelque chose que toutes les équipes de sécurité utilisent aujourd'hui, elles pensent aussi à d'autres choses. Il doit y avoir une exception. Qui va approuver le risque plutôt que de le rationaliser. Comme vous venez de le dire, Erick. Le septième principe consiste donc à élaborer des modèles de menace et à les utiliser dans toutes les décisions d'architecture que vous prenez. Erick, vous savez, lorsque vous avez entendu James Robinson parler pour la première fois des modèles de menace. A un moment donné, je crois que vous êtes venu me voir et que vous m'avez dit, euh, Jason Knight, je veux engager James Robinson loin de vous.
[00:28:08] Erick Rudiak : Ça me ressemble. Comme je l'aurais fait sans hésiter en disant "aucun pour vous, tous pour moi". C'est tout à fait conforme à la marque,
[00:28:16] Jason Clark : Mais nous aimerions avoir votre avis sur le principe sept ici.
[00:28:21] Erick Rudiak : Non, je veux dire, je pense que, euh, bon sang, il est difficile de se défendre contre quelque chose que vous n'avez jamais vu ou auquel vous n'avez jamais pensé. Et donc, tout le monde aime utiliser des analogies militaires pour cela, mais je pense à un enfant qui aime aller sur les courts de tennis du quartier avec moi et, vous savez, frapper la balle autour, euh, dans le garçon, euh, la première fois que j'ai lancé un revers slicé à cet enfant, c'était hilarant comme on pouvait s'y attendre. Comme s'ils n'avaient jamais vu qu'un coup de tête et qu'ils se contentaient de se balancer et de rater dès que la balle atterrissait et partait en dérapage. Je pense donc qu'il s'agit là d'une pratique pour nos défenseurs, et nos défenseurs sont tout le monde. C'est vrai ? Il s'agit de notre infrastructure. C'est notre nuage, euh, l'ingénierie. Il s'agit de nos, euh, ingénieurs en logiciel et de tous ceux qui se trouvent entre les deux. Les spécialistes de l'expérience utilisateur, les spécialistes des bases de données et des logiciels intermédiaires. Ils doivent avoir vu le top spin et le back spin pour être en mesure de le faire efficacement. C'est pourquoi le red teaming et la simulation d'attaques sont des éléments essentiels de toute organisation de protection de l'information de classe mondiale, car cette pratique est tout simplement très importante.
[00:29:34] Jason Clark : Principal eight expand security operations automation. C'est vrai ? En fin de compte, il s'agit de se concentrer sur l'automatisation de vos opérations. Lamont, pourriez-vous nous expliquer un peu pourquoi cette chanson de principe.
[00:29:46] Lamont Orange : Je pense que c'est un principe très important étant donné que je pense avoir parlé plus tôt de la vitesse accrue des attaques que nous constatons. Je pense qu'il a également été question de certaines des complexités que nous avons dans notre organisation. Lorsque vous pensez à tout cela, et que vous pensez à nos équipes, à nos compétences, à la qualité de nos équipes, vous vous rendez compte qu'il s'agit d'une question d'argent. Et rien que les ressources d'outillage dont nous disposons, nous devons nous adapter à la vitesse de notre attaquant. Et d'une certaine manière. Nous devons aller et nous propulser plus loin et plus vite que la vitesse de notre attaquant est une meilleure façon de le dire. Et je pense que l'automatisation est le meilleur moyen d'y parvenir. Nous avons passé beaucoup de temps, je pense, dans l'industrie de la sécurité, à travailler avec l'automatisation de la sécurité, les outils et les ressources, anciennement connus sous le nom de SOAR. Nous avons passé un certain temps avec, euh, des outils d'orchestration et nous les avons confondus avec des outils SOAR. Je pense que nous devons prendre du recul et nous dire que l'automatisation est une chose sur laquelle nous devrions nous concentrer lorsque nous recherchons l'échelle et la flexibilité. Cela permettra de réduire la vitesse et le rapport signal/bruit. Nous pouvons ensuite réagir aux alertes qui nous parviennent. Certaines de ces choses se présentent sous la forme d'une construction de certains des composants fondamentaux, tels que les runbooks. Et comprendre comment vous devez exécuter un processus standard dans l'ensemble de votre SOC. C'est quelque chose que vous pouvez automatiser du point de vue de la maturité, mais vous pouvez orchestrer une réponse dès le début, en comprenant comment vous faites le triage. Le triage est quelque chose qui peut être orchestré, puis vous pouvez automatiser la réponse et le contrôle. Lorsque vous parlez d'automatisation et d'utilisation de l'orchestration au sein de votre SOC, vous mettez également à jour vos procédures de gestion et de réponse aux incidents. Les pratiques de gestion des incidents que nous avons utilisées par le passé ne sont pas nécessairement adaptées à l'attaque, au type de menaces que nous avons, au type d'interaction que nous avons, et nous devons avoir ce que j'appelle notre force de travail, notre soutien.liers and vendors. We've extended our attack surface, which I know we'll talk about in a different principle, but the extension of that attack surface is really something that we have to look at when we're thinking about how automation helps us again, achieve that scale and flexibility. I think there's another piece of this that we can't always run through our teams and say, well, it's contained into security. As long as security says, it's good, then we're fine. We also have to communicate what we're doing to our team members so that once they understand why we do some of the things we do, they will also be a willing person. And that's part of that transparency that I, that I believe that's part of automating and building out that, that SOC. And that's why it becomes the heartbeat of your security and response programs.
[00:32:54] Jason Clark : Oui. C'est drôle quand on regarde ces principes, n'est-ce pas ? Ils sont tous tellement liés les uns aux autres, n'est-ce pas ? Et dépendent les uns des autres pour être vraiment, vraiment bons. Avant de passer au neuvième principe, quelqu'un souhaite-t-il ajouter quelque chose sur les opérations de sécurité que Lamont.
[00:33:11] James Robinson : J'en ai une qui, euh, est plus une question pour elle ou pour tout le monde. L'une des choses auxquelles je pense de plus en plus, et je regarde certains de mes, euh, constructeurs, développeurs, ingénieurs, ingénieurs logiciels, frères, et j'ai travaillé avec tous les jeux et l'idée de runbooks et de playbooks et, et ainsi de suite, vous savez, en dehors de l'architecture et de la conception, vous savez, ou, ou l'une de ces choses, Je me demande si, où en êtes-vous en ce qui concerne l'automatisation, est-ce que vous exigez toujours que votre équipe construise les runbooks, les playbooks et ces différentes choses, et c'est ce qui régit et met en place l'automatisation pour la mise à l'échelle, ou est-ce que vous adoptez une approche différente ?
[00:33:52] Lamont Orange : C'est un débat intéressant. Honnêtement, je pense que très, très peu de programmes sont passés à l'automatisation et à l'automatisation fidèle. Pour revenir à ce que j'ai dit à propos de l'orchestration, je pense que l'orchestration sera l'exécution des tâches qui doivent se produire. Je pense que les runbooks, et j'utilise ce terme de manière très large, sont des outils de travail. Il peut s'agir d'un processus standard que vous utilisez pour répondre à un certain type d'incident. Ou un certain type de question posée à l'équipe de sécurité, une certaine exigence posée dans le cadre du développement ou avec n'importe laquelle de vos équipes auxquelles vous imposeriez des exigences si elles traitent certains types de données ou si elles ont certains types d'interactions avec le système, je pense qu'il est possible d'orchestrer ces réponses. Nous devons encore mûrir sur le plan de l'automatisation, car je ne suis pas sûr que tous les programmes fassent encore confiance à l'action automatisée. C'est là que réside le défi.
[00:34:53] Erick Rudiak : Je vais vous donner un point de vue d'ingénieur logiciel sur cette question. Lorsque je pense aux caractéristiques de performance d'un logiciel, c'est vrai. Il y a une sorte de, vous savez, en comp, comp sci, nous pouvons tous avoir appris sur, O , la notation, d'accord. Ou notation O ou N. J'ai donc eu récemment une excellente conversation avec notre RSSI qui m'a posé la question. Pour passer en revue certaines de nos vitesses et de nos flux, par exemple combien de dépôts GitHub avons-nous ? Combien d'opérations de validation sont effectuées par jour ? Vous savez, combien de fois, vous savez, combien de fois lançons-nous nos pipelines par jour ? Nous avons eu une grande conversation sur la question de savoir si nous étions capables d'adapter notre sécurité à O de N ou à O de log N. Et c'est là que l'automatisation est absolument vitale, vous savez, elle répond au défi du talent et à certains défis de la diversité dans la sécurité de l'information et l'automatisation est le meilleur moyen pour nous d'avancer. Pour faire passer nos contrôles d'un O de N à un O de log N ou même quelque chose de plus petit. La capacité à supprimer l'élément humain ou à le canaliser vers la résolution de problèmes plus complexes et plus intéressants est donc vitale. Je ne sais pas comment une entreprise peut faire face à l'ampleur de la demande. Tant du côté des attaquants, avec de nouvelles techniques et l'évolution des logiciels malveillants, des ransomwares, euh, des techniques d'attaque, etc., que de la capacité d'une organisation à étendre sa surface d'attaque grâce à des services en nuage faciles à fournir, etc. Dans le livre, nous parlons de l'idée qu'à l'époque, pour certains d'entre nous, nous connaissions nos serveurs par leur nom. C'est vrai. Ils étaient traités comme des animaux de compagnie. Ils étaient aimés. On s'attendait à ce qu'ils aient une très longue durée de vie, contrairement à l'idée que les serveurs d'aujourd'hui sont comme des briques de Lego, produites en masse et dont la durée de vie est, volontairement ou non, extrêmement courte. Et il n'y a tout simplement pas de moyen vraiment efficace de mettre en place une organisation de la sécurité qui réponde aux besoins actuels. qui n'ont pas d'automatismes, un principe de base
[00:37:10] Jason Clark : J'adore l'analogie, Erick. Et, euh, c'est une grande section du livre que tout le monde devrait, euh, devrait absolument lire. Je commencerai par James Christiania, puis je m'adresserai à Erick, car j'ai eu les meilleures conversations sur les risques avec vous deux. Mais le neuvième principe est d'exiger une visibilité et une évaluation des risques permanentes et chaque contrôle de sécurité, essentiellement en temps réel. L'évaluation des risques et les contrôles s'opposent à ces évaluations ponctuelles, une fois par an, des risques. James commence par vous.
[00:37:43] James Christiansen : Oui. Merci. Vous savez, c'est toujours un sujet brûlant pour moi et vous savez, je vais prendre quelques directions, mais je serai bref. Vous savez, l'idée d'une visibilité continue. Oui, c'est vrai. Le premier principe en matière de risque est que vous ne pouvez pas gérer les risques que vous ne connaissez pas, vous devez donc absolument obtenir ce risque ou cette visibilité. Et ce que nous avons vu, c'est un changement : nous sommes passés du client-serveur au nuage, puis à ce nouveau monde, et nous avons perdu cette visibilité. Nous avons perdu les capacités dont nous disposions auparavant. Et nous devons les récupérer. La visibilité est absolument essentielle, vous savez, et l'autre aspect de cette visibilité est la continuité. Nous entendons souvent parler de confiance zéro, mais c'est un terme dont je ne suis pas vraiment fan, principalement parce que, vous savez, avec les équipes de direction, il évoque la mauvaise connotation de Oh, vous êtes le responsable de la sécurité. Vous ne faites confiance à personne. Et il y avait un, vous savez, les gens de la sécurité, ils pensent à, vous savez, des jetons. Je m'en suis occupé. Eh bien, je préfère penser qu'il s'agit d'une confiance adaptative continue. Ou un programme de sécurité en constante adaptation qui examine automatiquement les risques et qui est capable de mesurer les différentes télémétries de risque et d'ajuster la réaction à ces risques. Vous savez, pourquoi avons-nous besoin du même niveau de contrôle ? Si, si quelqu'un va sur ESPN et, et vérifie leur, hum, sécurité ou leurs scores de football, comme ce serait le cas, s'ils vont regarder. Vous savez, le matériel pour le conseil d'administration avant la publication, vous savez, évidemment des niveaux de risque très, très différents. De nombreuses données télémétriques sont transmises par l'appareil, l'application, la localisation de l'individu, le trafic, et tout cela peut désormais être mesuré. Et c'est là l'essentiel pour les auditeurs. Il y a la capacité. Pouvoir le faire maintenant et prendre ces décisions adaptatives en temps réel sur le niveau de risque, cette voie de contrôle et être en mesure d'adapter ces contrôles. Je pense donc qu'il s'agit d'une période très stimulante pour pouvoir examiner ces risques et s'adapter au fur et à mesure que nous avançons. Oui, c'est vrai. Il y a toute une autre conversation sur les risques de tierce partie et les risques de quatrième partie que nous devrons garder pour un autre jour, mais c'est un autre grand sujet. Je vous laisse la parole, Jason,
[00:39:59] Erick Rudiak : J'essaie de trouver un moyen d'argumenter contre la visibilité constante. Et je n'arrive pas à en trouver un, euh, vous savez, euh, comme si je préférais avoir plus d'informations ou moins, si je préférais attraper les attaques et progresser plus tôt ou plus lentement ? Euh, est-ce que je préférerais un temps d'attente long ou un temps d'attente court ? Oui, c'est vrai. Je préférerais gagner. Et donc, vous savez, je pense à cette idée de visibilité continue, euh, peut, cela me ramène à Peter Sandman et aux communications de crise. Hum, et Peter, le marchand de sable donne une définition non orthodoxe du risque, qui est la somme du danger et de l'outrage. Et donc le facteur d'indignation de ne pas savoir. À l'ère moderne, nous avons la capacité de surveiller quelque chose en permanence et de ne pas choisir, de ne pas savoir qu'un contrôle est défaillant, de ne pas savoir qu'une configuration a changé, de ne pas savoir qu'un mauvais acteur s'est introduit dans nos systèmes. Le facteur d'indignation est tout simplement, hum, insoutenable
[00:41:09] Jason Clark : Donc, dernier, euh, dernier principe, nous savons ce que c'est. Il s'agit, encore une fois, des 10 qui nous ont semblé les plus importants pour préparer les gens à l'avenir. Nous pourrions probablement, vous savez, nous avons commencé par un certain nombre d'entre eux, nous en avions 20 au départ et nous les avons ramenés à 10, mais le 10ème est de réduire la surface d'attaque en utilisant les principes de la confiance zéro.
[00:41:31] Erick Rudiak : ] Je viens d'entendre que nous n'aimons pas la confiance zéro. Nous allons devoir le modifier.
[00:41:36] Jason Clark : Je pense que le secteur est confus en ce qui concerne la confiance zéro. N'est-ce pas ? Qu'est-ce que la confiance zéro ?
[00:41:43] Erick Rudiak : Pour moi, le truc, vous savez, le truc avec la confiance zéro, c'est que la confiance se dégrade avec le temps. Et donc, quand je pense à, euh, l'exemple le plus classique de cela pour moi est le délai d'inactivité de l'écran, comme le contrôle classique, il fait partie de PCI. Cela faisait partie du NIST et de pratiquement tous les cadres de sécurité depuis des décennies, où l'on faisait une approximation qui disait, oh, eh bien, si quelqu'un connaissait le mot de passe de Jason. Il l'a entré dans le terminal de Jason, puis dans le PC ou l'ordinateur portable de Jason et enfin dans le téléphone de Jason. Ensuite, on suppose que pendant un certain temps, il s'agit probablement encore de Jasonn. Euh, et, euh, cela défie la logique, euh, surtout quand on pense, vous savez, aux facteurs humains et à la conception et à la façon dont les gens travaillent réellement que, vous savez, 14,9 minutes après que ce mot de passe a été saisi, nous devrions avoir le même degré de confiance dans les données provenant de ce terminal, de ce PC, de ce téléphone, qu'au moment où Jason a saisi son mot de passe. Et donc, quand je pense à la confiance zéro et pourquoi. Pour moi, c'est parce qu'il reconnaît ce mensonge que l'industrie de la sécurité a toléré pendant des années, parce que la technologie était trop difficile, parce qu'elle était trop chère et que nous avons fait ce compromis. Nous avons répondu par l'affirmative. Nous faisons confiance à ce terme. Pendant 15 minutes au maximum, nous attribuons le même niveau de confiance aux données, aux paquets que l'appareil génère à la neuvième minute qu'à la première. Il est donc temps de passer à autre chose.
[00:43:23] Jason Clark : Vous savez, le débat sur la confiance zéro, c'est que, vous savez, il y a évidemment des vendeurs qui diront, oh, c'est tout ce qu'il y a à dire. C'est vrai, ou c'est une question de point final, ou je pense que ce n'est pas une chose binaire, ce n'est pas "on" ou "off". C'est vrai. Il y a des gens qui prétendent que la confiance est activée ou désactivée. Pour moi, c'est comme si vous pouviez entrer dans ma maison par la porte d'entrée et que je vous laissais entrer, mais cela ne veut pas dire que vous pouvez aller dans toutes les pièces. Cela ne veut pas dire que vous pouvez entrer dans mon coffre-fort.
[00:43:44] Erick Rudiak : Ooh, il va falloir qu'on parle de la dernière fois que je suis venu chez vous, Jason.
[00:43:49] Jason Clark : Et, vous savez, juste en fonction de votre comportement, n'est-ce pas ? Comme vous l'avez dit, depuis combien de temps vous êtes là, etc. Plus vous êtes ici depuis longtemps, plus je vous fais confiance parce que j'ai observé votre comportement. C'est vrai. Je pourrais donc dire le contraire, peut-être du point de vue de l'authentification, mais plus vous êtes ici, plus je vois votre comportement, plus je vous fréquente. Plus je vous laisse aller dans d'autres pièces. Je pense que ce que j'essaie de dire, c'est que pour moi, il y a une confiance dans un dispositif. Dois-je faire confiance à votre appareil et dans quelle mesure ? Et à ce moment précis, il s'agit en quelque sorte d'une évaluation des risques en temps réel. Est-ce que j'ai confiance dans le réseau que vous utilisez ? Le réseau Iran. Est-ce que je vous fais confiance en tant que personne à ce moment précis, sur la base de votre comportement, est-ce que je fais confiance à l'application que vous allez faire ? Parce que ce n'est pas seulement vous, c'est l'application, votre acte avec lequel vous interagissez et qui est potentiellement compromis ? Les données que vous essayez de télécharger, quel est leur impact ? C'est vrai. Pour moi, il s'agit d'une sorte de décision de contrôle conditionnel en temps réel, basée sur le risque, qui nous convient. Comme le Nirvana de la confiance zéro dans mon esprit, je vais soit vous donner zéro. C'est vrai. Je ne vous donne aucun accès ou je vous fais entièrement confiance. Appelons cela le niveau zéro et le niveau cinq, et ensuite il y a 1, 2, 3, 4, 5, d'accord. Pour moi, trois au milieu signifie que je vous donne accès aux données, mais qu'il s'agit d'une édition en ligne uniquement, et non d'une édition en ligne. C'est vrai. Il peut s'agir de plusieurs sauts supplémentaires au cours desquels vous rédigez un paragraphe expliquant pourquoi vous avez besoin de ces données et qu'il s'agit d'une urgence ou autre. Je considère donc cela comme une confiance zéro, comme l'endroit où nous devons nous rendre pour réduire la surface d'attaque, tout en permettant aux gens d'obtenir plus de confiance par leur comportement, si nécessaire. Ainsi, nous n'exerçons pas de pression sur les personnes occupées. Mais Lamont. Je sais que je suis curieux, car nous avons beaucoup parlé de la confiance zéro, mais la première partie de ce principe consistait à réduire la surface d'attaque en utilisant la confiance zéro. C'est vrai. Donc, vous savez, vous défendez votre organisation, n'est-ce pas ? Chaque jour, comment appliquez-vous ce principe ? Réduisons-nous les attaques ?
[00:45:46] Lamont Orange : Je pense que le premier point sur lequel nous devrions nous pencher, c'est la visibilité et l'analyse, la visibilité. Je suis désolé, l'analyse, parce que si vous ne pouvez pas la voir, il est difficile de l'appliquer et de la contrôler ou de la protéger, et ce sera la visibilité pour votre utilisateur, la visibilité pour votre infrastructure, pour vos données. Ensuite, vous pouvez commencer à faire le lien entre ces cas d'utilisation et ce qui est le plus important pour l'organisation à ce moment-là. J'aime les niveaux et la façon dont vous les avez décrits. Mais nous devons aussi comprendre quel est l'actif le plus important et nous, nous pouvons nous mettre d'accord et dire que ce sont les données, mais quelles données, quel ensemble de données et vous regardez ces contrôles à travers cette visibilité et cette capacité d'analyse pour appliquer ces contrôles à ce jour.
[00:46:32] Jason Clark : Je pense que nous avons également couvert les 10 principes. Merci d'avoir écouté les Visionnaires de la sécurité et soyez à l'affût des nouveaux épisodes qui paraîtront chaque semaine avec des professionnels de la sécurité de l'ensemble du secteur. Merci donc à Erick Lamont et à James pour le temps qu'ils nous ont accordé. Et, euh, c'était amusant
[00:46:50] Sponsor : Le podcast des visionnaires de la sécurité est alimenté par l'équipe de Netskope à la recherche de la bonne plateforme de sécurité dans le nuage pour faciliter votre parcours de transformation numérique. Le nuage de sécurité Netskope vous aide à connecter rapidement et en toute sécurité les utilisateurs directement à l'internet, à partir de n'importe quel appareil et de n'importe quelle application. Pour en savoir plus, consultez le site Netskope.com.
[00:47:11] Producteur : Merci d'avoir écouté Visionnaires de la sécurité. Prenez le temps d'évaluer l'émission et de la partager avec quelqu'un. Restez à l'écoute pour découvrir les nouveaux épisodes qui paraîtront toutes les deux semaines. Nous vous donnons rendez-vous au prochain épisode.
){kind=icon}
