Disrupt or Defend? An AI Grudge Match

0:00:05 Emily Wearmouth : Bonjour et bienvenue sur le podcast Security Visionaries, un endroit où nous réunissons des experts pour parler de cyberdonnées, de sécurité, d'infrastructure et de toutes sortes de bonnes choses. Je suis l'une de vos animatrices, Emily Wearmouth. Et aujourd'hui, j'espère lancer un petit combat. Permettez-moi de m'expliquer. J'ai récemment réfléchi à la manière dont les DSI et les RSSI semblent avoir un mandat presque contradictoire en matière d'IA lorsqu'ils s'adressent à leur PDG et qu'on leur confie leurs tâches pour la journée. Vous avez donc un DSI à qui l'on demande spécifiquement, me semble-t-il, de parcourir les couloirs d'une organisation pour perturber les choses, trouver des gains d'efficacité, des opportunités de productivité, des flux de revenus New, mais on lui demande littéralement d'aller démonter les choses et de les reconstruire avec l'IA dans le cadre de ce processus, ce qui semble très bien. Mais que se passe-t-il lorsque, dans ces mêmes couloirs, un RSSI est mandaté par le PDG pour défendre l'organisation, en particulier contre les menaces émergentes susceptibles de concerner l'IA ? C'est donc de cela que je veux que nous parlions dans le podcast d'aujourd'hui, et j'ai deux excellents invités qui, je l'espère, nous aideront à naviguer dans ce petit guêpier. Je vais commencer par vous présenter notre premier invité, Mike Anderson, qui représente le coin des DSI sur le ring de boxe. Mike, bienvenue dans le podcast.

0:01:19 Mike Anderson : C'est un plaisir d'être ici. J'attends avec impatience la conversation. J'espère que nous pourrons en faire un sparadrap amusant.

0:01:24 Emily Wearmouth : Oui, j'espère. Mike est donc Chief données and Information Officer chez Netskope, la société de sécurité et de mise en réseau sur laquelle je mettrai mes lecteurs. Il a rejoint Netskope après avoir travaillé pour Schneider Electric et a également joué de nombreux rôles dans des conseils consultatifs. Lorsque je cherche des invités pour le podcast, j'essaie de remonter dans les profondeurs de leur CV et de voir ce qu'ils ont fait au début de leur carrière pour essayer de me faire une idée de la manière dont ils pourraient aborder la conversation. Et Mike, j'ai repéré très tôt, je peux voir les légères perles de sueur et de peur quant à ce qui figure sur votre CV. Mike, j'ai remarqué que, très tôt, vous avez beaucoup travaillé avec les fournisseurs de services d'application sur l'intégration des données. Je pense donc que vous abordez probablement l'idée des intégrations de données et de l'IA sans aucune crainte. Est-ce que c'est juste, Mike ?

0:02:08 Mike Anderson : Oui, pas de peur du tout, sauf la peur elle-même.

0:02:13 Emily Wearmouth : Bienvenue dans le podcast. Permettez-moi de vous présenter notre autre invité, car j'ai pensé que ce serait bien d'inviter un DPI et un RSSI quelconque, mais que ce serait encore plus amusant si c'était le RSSI qui travaille au quotidien avec Mike, car il ne parlera pas de théorie et il pourrait venir avec un peu de viande déjà dans le combat. Notre autre invité est James Robinson, RSSI chez Netskope. Bienvenue dans le podcast, James.

0:02:36 James Robinson : Oui, je suis ici pour défendre.

0:02:41 Emily Wearmouth : Le CV de James porte sur les applications de données et la sécurité dans le nuage. Il a commencé par occuper des postes d'analyste technique et d'ingénieur système, et j'ai remarqué que James avait travaillé très tôt dans votre carrière chez un grand brasseur. Nous pourrions peut-être avoir une conversation hors ligne sur les avantages de ce travail.

0:02:59 James Robinson : Quand vous voulez. Seulement si nous pouvons le faire autour d'un verre.

0:03:03 Emily Wearmouth : Génial. D'accord, allons-nous plonger dans le vif du sujet ? Je voulais donc commencer par vous poser une question, Mike. Lorsque vous parcourez ces couloirs et que vous avez une vue d'ensemble de l'organisation, comment déterminez-vous ce à quoi vous et votre équipe devriez consacrer votre temps pour vous assurer que vous ne vous contentez pas de faire du bricolage et que vous trouvez vraiment les projets d'IA qui ont le plus grand impact potentiel pour l'organisation ? Où allez-vous chercher ?

0:03:29 Mike Anderson : Eh bien, la première est celle où nous avons un processus vraiment bien défini parce que si vous lancez une technologie, quelle qu'elle soit, sur un mauvais processus, elle ne fait qu'aboutir au même résultat plus rapidement. La première chose à faire est donc de s'assurer que nous disposons d'un processus solide. Et l'une des choses que je dis toujours aux équipes, c'est de s'assurer que nous suivons les recettes. Comment gagnons-nous de l'argent en tant qu'organisation et où se situent les frictions dans ce processus ? Et comment pouvons-nous utiliser la technologie pour réduire ces frictions ? L'IA n'est donc pas différente de l'automatisation des processus robotiques ou de tout autre type d'outil utilisé dans ce domaine au cours des 20 dernières années. Il s'agit simplement de savoir comment s'assurer que nous l'appliquons de manière appropriée. Et l'IA n'est pas une approche unique. Il se peut qu'il n'y ait pas de bon cas d'utilisation de l'IA dans des domaines spécifiques et que l'IA soit utilisée avec d'autres outils de la panoplie.

0:04:20 Emily Wearmouth : James, lorsque vous débutez ou que vous observez l'équipe de Mike créer le chaos, comment vous y prenez-vous pour vous familiariser avec l'IA ? Quel est votre point de départ ?

0:04:31 James Robinson : Oui, je pense que l'une des choses qui, pour aller à l'encontre, je dirais de ce sujet, Mike et moi avons en fait trouvé un terrain d'entente en matière d'alphabétisation. Nous avons donc commencé à constater que les gens ne savaient pas quelles étaient leurs limites, combien ils devaient partager, ce qui était approuvé, ce qui ne l'était pas, et ce genre de choses. Je pense que le Promptathon est un très bon exemple où j'aurais dû porter cette chemise plutôt que celle-ci. Mais

0:05:00 Emily Wearmouth : Expliquez-nous ce que vous entendez par "prompteur en marche" ? Je vois, pour les besoins de l'auditeur, que vous portez un Hackathon, mais vous venez de dire Promptathon. De quoi s'agit-il ?

0:05:09 James Robinson : L'idée était donc d'essayer d'amener des gens à faire circuler des idées, à utiliser des outils d'IA approuvés pour nous, c'était Gemini en interne, à les utiliser et à commencer à créer des idées et différentes choses qu'ils pourraient faire. Il a également commencé à définir très clairement certaines des limites que les gens pouvaient ou ne devaient pas franchir pour que nous puissions utiliser les données de Netskope, etc. Cela a permis d'élever le niveau de connaissances de chacun parce qu'ils réalisaient des projets, qu'ils utilisaient l'IA au quotidien et qu'ils s'en servaient pour s'amuser. Il s'agissait donc d'un élément de sensibilisation à l'éducation. C'est à partir de là qu'a commencé à s'imposer non seulement le développement de l'éducation et des connaissances en matière de sécurité, mais aussi l'éducation générale sur l'espace. Nous sommes une entreprise de technologie, donc pour nous, il y avait beaucoup de projets différents autour de l'IA et de la genAI, mais avec cela, nous avons en quelque sorte ciblé les choses et fixé les limites de ce qui est approprié et de ce qui ne l'est pas. C'est l'un des domaines concernés. L'autre aspect que je commence à examiner est la surface d'attaque. Je pense que l'espace a très bien défini ce qu'est la gestion de la surface d'attaque en ce qui concerne les réseaux, les systèmes et les éléments susceptibles d'être exposés. Mais la surface d'attaque peut également se présenter sous la forme d'une IA fictive et peut même provenir de l'utilisation d'une application d'enregistrement pour la réalisation de ce podcast. Que se passe-t-il si l'IA y est intégrée ? Personne ne le savait vraiment. Nous ne l'avons pas examiné, nous ne l'avons pas soumis à la sécurité, nous ne l'avons pas freiné, nous n'avons pas ralenti les projets dans le sens traditionnel de la sécurité, mais nous nous sommes simplement assurés que l'IA est sûre et qu'elle n'apprend pas à partir des données que nous téléchargeons parce que nous ne voulons pas étendre la portée des données internes ou si nous avons un cas d'utilisation où nous essayons de faire quelque chose et de construire un produit pour les données d'un client ou quelque chose comme ça et que nous commençons à enseigner l'IA, c'est là que nous nous retrouvons vraiment dans des conversations difficiles dans des endroits difficiles. Le cas d'utilisation et l'avantage, même bien documentés, peuvent exister, mais si nous ne savons pas s'ils utilisent les informations que nous téléchargeons, s'ils ne savent pas que nous les utilisons pour enseigner à leur IA, c'est un problème. C'est donc sur ce point qu'il faut freiner. C'est à ce moment-là que SAVOIR devient non, nous ne pouvons pas faire cela et fixer cette limite. Mais encore une fois, il s'agit de relever la barre de l'éducation, afin de disposer d'un terrain d'entente et d'une surface sur laquelle nous pourrons tous discuter. Ensuite, commencez à examiner les domaines de l'intelligence artificielle dans lesquels nous devons intervenir, identifiez-les et pivotez à partir de là.

0:07:41 Mike Anderson : Je sais que nous avons enregistré suffisamment de vidéos de vous à l'instant, James, pour créer une fausse image de vous, et je vous en suis reconnaissant. Donc, en parlant de l'endroit où nous allons télécharger cette vidéo, je dis simplement que j'approuve, j'approuve, j'approuve. Nous l'avons fait.

0:07:56 Emily Wearmouth : D'accord, j'aurais peut-être dû inviter quelqu'un d'autre dans le podcast, une sorte d'utilisateur anonyme, parce qu'il semble que vous deux, avec votre promptathon, marchiez plus au pas que je ne l'avais peut-être prévu au début de cette conversation et que ce sont peut-être ces cas d'utilisation fantômes émergeant d'unités commerciales aléatoires qui pourraient être le problème ici et moins l'approche organisationnelle centralisée de l'intelligence artificielle.

0:08:20 James Robinson : Je vais vous dire où le conflit intervient, c'est simplement la capacité d'aller aussi vite du point de vue de l'examen de la sécurité. Mike et moi discutons tout le temps de ce qui a été bloqué, de ce qui n'avance pas assez vite ou de ce cas d'utilisation qui n'avance pas et qui n'a pas bougé depuis deux semaines. Pouvez-vous demander à l'équipe de l'examiner ? Et je pense que c'est là que le conflit commence à s'enraciner pour la plupart des équipes. Évidemment, le mandat d'accroître l'efficacité et d'opérationnaliser l'IA et de faire toutes ces choses, nous voulons que cela se produise aussi du côté de la sécurité, mais nous essayons de tirer parti de nos processus et procédures et parfois, honnêtement, ils ne sont tout simplement pas assez rapides pour l'entreprise. C'est donc l'une des choses qu'en tant que dirigeant, j'essaie toujours de chercher et de comprendre comment nous pouvons utiliser l'IA nous-mêmes pour accélérer les choses. Pourquoi ne pas utiliser l'efficacité de l'IA pour accélérer les choses nous-mêmes ? Nous essayons donc de faire de même, mais nous n'agissons pas aussi vite que les entreprises le souhaiteraient. Et c'est là que nous commençons à entrer en conflit, dans ces scénarios ou nous ne sommes pas d'accord, et c'est," sans parler pour Mike, mais ce serait quelque chose comme, Hey, c'est un cas d'utilisation simple et facile. Je ne comprends pas pourquoi il se bloque ou pourquoi il est si lent." Ce n'est pas parce que l'un d'entre eux raccroche ou est lent. C'est que nous en recevons beaucoup de la part d'unités et d'équipes multiples et que le carnet de commandes est très chargé. Plus de 1 200 évaluations