0:00:01.5 Bailey Harmon : Bonjour et bienvenue dans ce nouvel épisode du podcast Security Visionaries, une émission dans laquelle nous nous entretenons avec des leaders de la sécurité et des réseaux sur la manière dont ils réussissent à naviguer dans le paysage changeant d'aujourd'hui au sein de leurs organisations respectives. Je suis votre hôte, Bailey Harmon, et aujourd'hui je suis accompagné de Dan Whittingham, architecte de la sécurité d'entreprise pour le cyber-outil chez Rolls-Royce. Dan vous en dira un peu plus tout à l'heure, mais pour ceux qui ne le savent pas, Rolls-Royce développe et fournit des solutions complexes de puissance et de propulsion pour des applications critiques en matière de sécurité dans l'air, en mer et sur terre. Aujourd'hui, Dan me rejoint pour partager son point de vue sur les tendances du secteur et les observations qu'il a faites en ce qui concerne les nombreuses normes de conformité mondiales qui sont en constante évolution. Bienvenue, Dan, et entrons dans le vif du sujet. Parlez-moi un peu de vous et de votre parcours.
0:00:56.1 Dan Whittingham : Oui, merci Bailey. Oui, je suis Dan Whittingham. Cela fait maintenant 12 ans que je travaille chez Rolls-Royce. L'une des premières questions que l'on me pose est de savoir si vous bénéficiez d'une voiture de fonction, mais vous avez déjà répondu à cette question dans l'introduction. Le fait que nous soyons une entreprise de défense opérant à l'échelle mondiale, la défense et l'aérospatiale civile, ainsi que les systèmes d'alimentation, nous fabriquons de gros moteurs à gaz et diesel pour la terre et la mer. Comme je l'ai dit, j'ai commencé chez Rolls-Royce il y a 12 ans. J'ai donc commencé comme administrateur de la sécurité informatique, puis je suis devenu spécialiste de la sécurité informatique, travaillant sur des projets, etc. Ensuite, j'ai pris le rôle d'assurance de l'information, en m'intéressant à la gouvernance des données, entre autres. J'ai ensuite abandonné cette activité pour me lancer dans l'architecture de solutions. Récemment, j'ai pris le rôle d'architecte d'entreprise pour les outils cybernétiques.
0:01:41.0 Bailey Harmon : Wow. Dans le domaine de la sécurité et de l'architecture, vous avez donc porté de nombreuses casquettes. Je suis sûr qu'avec toutes ces casquettes différentes, il y a eu beaucoup de réglementations différentes que vous avez dû gérer au fil des ans. Je sais que j'ai personnellement mal à la tête en pensant au nombre croissant d'acronymes de conformité, par exemple, qui semblent se multiplier. Je sais qu'ils sont mis en place pour de bonnes raisons, mais ils causent quelques difficultés aux équipes de sécurité comme la vôtre. Alors dites-moi, quelles sont les principales réglementations mondiales dans lesquelles vous vous débattez en ce moment ?
0:02:14.1 Dan Whittingham : Oui, je suis tout à fait d'accord avec l'idée de donner des maux de tête, c'est vraiment différent chaque jour. Pour moi, travailler dans une organisation de défense est un véritable défi. Et ce que je veux dire par défi, c'est que je travaille dans une organisation mondiale, que nous travaillons avec différents gouvernements, ce qui signifie que nous avons des lois locales et régionales différentes, et que nous travaillons à l'obtention d'accréditations pour garantir que nous pourrons répondre à des appels d'offres à l'avenir. L'objectif final est évidemment de faire en sorte que nous soyons une entreprise durable en pleine croissance pour les années à venir. Nous revenons donc à votre question concernant les principales réglementations que nous examinons et auxquelles nous nous attaquons actuellement. Pour le Royaume-Uni, nous avons Cyber Essentials Plus, c'est-à-dire le gouvernement britannique, nous avons NIST 2, ERSA, CMMC, c'est-à-dire une certification du modèle de maturité de la cybersécurité, et il y a trois niveaux, dont je parlerai plus tard. Mais le cadre CMMC est basé sur la norme NIST 800-171. Il s'agit donc d'un bon ensemble de lignes directrices, sur lesquelles ils s'appuient. Vous avez ensuite trois niveaux, le niveau 1, le niveau 2 et le niveau 3. En ce qui nous concerne, nous travaillons sur le niveau 3, pardon, le niveau 2, qui concerne les informations contrôlées et identifiées, car nous travaillons avec l'armée et la défense américaines.
0:03:27.1 Bailey Harmon : Oui. En parlant du CMMC, vous avez participé à un atelier assez lourd et intense l'autre semaine, n'est-ce pas ? Parlez-moi un peu de cela. Comment cela a-t-il joué un rôle dans ce que vous faites aujourd'hui et comment cela a-t-il contribué à renforcer le moral de l'équipe alors que vous travaillez sur ces règlements ?
0:03:42.7 Dan Whittingham : Les défis sont très nombreux, mais pour citer quelques exemples, je dirais que nous essayons de répondre aux exigences de conformité. Nous avons donc des solutions existantes. Nous sommes déjà très présents aux États-Unis et à Indianapolis, mais comme nous avons des solutions existantes, nous devons vraiment réévaluer notre mode de fonctionnement et ce qui fonctionne. En outre, ce qui fonctionne pour un gouvernement peut ne pas fonctionner pour l'autre. Et c'est ce que nous constatons. C'est donc cet équilibre et cette compréhension de ce que nous devons réellement satisfaire du point de vue des exigences, comme je l'ai mentionné, nous, CMMC niveau 2. Et aussi quel est le compromis. Nous devons séparer les systèmes. Nous avons mis en place un soutien supplémentaire. Nous avons d'autres coûts. Dans certains cas, nous avons de nouveaux produits et de nouvelles solutions qui nécessitent des investissements supplémentaires. Ensuite, nous devons avoir ces conversations avec les responsables informatiques, avec les comités d'investissement. Il s'agit donc d'un équilibre délicat et d'un véritable défi. Et comme je l'ai dit, pour revenir à votre analogie avec le mal de tête, il y a des semaines où vous êtes heureux de poser le téléphone et de passer à autre chose, parce que si c'était facile, tout le monde le ferait, c'est clair. Mais il est évident que cela se répercute sur les coûts opérationnels et que ses responsables informatiques souhaitent obtenir des avantages financiers plus importants. Il est évident que l'investissement dans les technologies de l'information est nécessaire pour garantir cette croissance future.
0:05:00.5 Bailey Harmon : Oui, c'est toujours un équilibre. Et j'aime que vous parliez de compromis, car je sais qu'il est très difficile de faire des compromis dans ma propre vie et que c'est encore plus difficile dans le monde professionnel. Il faut donc avoir beaucoup de compétences techniques, comme vous le dites, mais aussi de l'empathie et un esprit stratégique pour répondre aux besoins de l'entreprise. Je pense que sur cette note, vous savez, de l'intérieur, quel est le conseil que vous donneriez à un autre responsable de la sécurité qui est sur le chemin de la conformité mondiale comme vous l'êtes ?
0:05:30.0 Dan Whittingham : Il m'est très difficile de me limiter à un seul élément, mais je peux vous donner trois points qui m'ont aidé dans ma carrière et dans les programmes de travail dont nous avons discuté aujourd'hui autour du CMMC. La première chose que je dirais, c'est que le savoir, c'est le pouvoir. Vous devez vraiment comprendre ce vers quoi vous travaillez et ce avec quoi vous travaillez. J'ai donc mentionné la norme NIST 800-171, lisez-la. Vous devez en comprendre l'interprétation, car votre interprétation et celle de quelqu'un d'autre peuvent être très éloignées l'une de l'autre. Comprenez donc ce avec quoi vous travaillez et ce que vous cherchez à atteindre, ainsi que l'ampleur du projet sur lequel vous travaillez. Et deuxièmement, cela nous amène en quelque sorte à ceci. Je dois dire qu'il faut s'équiper en connaissance de cause. La confiance que l'on acquiert en comprenant soi-même, en parlant à ses pairs et à ses collègues et en disant simplement : "Que pensez-vous de ceci ? Est-ce exact ? Ou simplement pour échanger des idées. Encore une fois, il s'agit simplement de vous donner la confiance nécessaire pour que, lorsque vous entrez dans une salle ou que vous vous adressez à des évaluateurs ou à d'autres pairs, vous soyez sûr que ce que vous dites est factuel et correct.
0:06:33.2 Dan Whittingham : Et la troisième chose que je dirais, c'est de vous entourer des bonnes personnes dans votre organisation, des personnes qui ont les mêmes idées que vous, mais avec lesquelles vous pouvez être honnête. Beaucoup de personnes et d'organisations passent par le niveau 2 du CMMC ou par l'ensemble du processus d'accréditation. Des erreurs seront donc commises. Si nous pouvions parler à des entreprises partageant les mêmes idées, nous pourrions discuter de la manière dont vous avez abordé la question et avoir une idée de ce que nous essayons d'emprunter à l'océan ou de ce que nous devrions faire d'une manière différente. Cela vous donne l'assurance que nous sommes tous à l'autre bout, que nous sommes peut-être plus avancés que ce que nous pensions au départ, et il est certainement utile que les personnes qui vous entourent vous soutiennent dans cette démarche. Mais si nous décomposons la notion de savoir, c'est pouvoir, et si nous approfondissons les trois points que je viens d'évoquer. J'ai donc dit qu'il fallait lire les cadres. Comment interpréter les exigences ? Et il y aura des parties de leur document qu'ils ne comprendront pas entièrement. Et c'est là que vous devez vous appuyer sur 0.2, qui consiste à vous équiper des faits, et aussi sur 0.3, qui consiste à vous entourer des bonnes personnes.
0:07:43.9 Dan Whittingham : Un exemple, désolé, de ceci est que vous ne voulez pas entrer dans une réunion et qu'on vous dise quelque chose et qu'on vous tire les vers du nez. Ce n'est bon pour personne. Vous devez être compréhensif et clair quant à vos objectifs lors de cette réunion, afin de pouvoir rappeler les gens à l'ordre en cas d'erreur. Et pour en revenir au 0.2, équipez-vous des faits. J'ai dit : lisez, lisez, lisez. Malheureusement, il n'y a aucun moyen de contourner ce problème. Il suffit de lire, lire, lire et de comprendre. Et si quelqu'un peut faire, si quelqu'un écoute ceci et peut en faire un livre audio, je suis sûr qu'il y a un créneau pour ce marché. Parce que ce n'est pas une lecture divertissante, c'est plutôt ennuyeux. Mais plus sérieusement, vous devez connaître la matière, la comprendre de fond en comble, car cela vous donne la confiance nécessaire pour en parler, comme je l'ai mentionné précédemment. Et le troisième, comme je viens de le conclure, c'est de s'entourer des bonnes personnes.
0:08:43.5 Dan Whittingham : Parfois, je pense que nous tenons cela pour acquis parce que j'ai eu beaucoup de chance dans ma carrière d'avoir des managers et des pairs qui ont cru en moi et qui m'ont poussé à atteindre de nouveaux niveaux, mais qui ne m'ont pas non plus laissé stagner dans ce que je faisais. Au début de l'appel, j'ai donc mentionné les titres et les rôles que j'ai joués au sein de Rolls-Royce au cours des 12 dernières années. Et cela est dû aux personnes qui m'entourent et qui me poussent à m'assurer que je ne fais pas seulement ce que j'ai à faire, mais aussi que je poursuis mes objectifs de carrière et tout ce qui s'ensuit. Je sais que certaines personnes n'auront pas ce luxe dans leur carrière, mais avoir les bonnes personnes de soutien et le bon système autour de soi est la clé, je dirais, de la réussite.
0:09:28.1 Bailey Harmon : Je suis tout à fait d'accord avec vous sur l'angle du mentorat. Je pense que cela fait toute la différence lorsque vous pouvez compter sur un système de soutien, ou même depuis que vous êtes dans l'entreprise, sur une sorte de famille qui vous aide à atteindre vos objectifs, qui vous aide à soutenir l'entreprise, mais qui vous permet aussi d'échouer et d'échouer rapidement, d'apprendre et de vous donner les moyens de vous relever et d'essayer de nouvelles choses. Nous pourrions probablement consacrer un segment entier à ce sujet. J'ai le sentiment très fort d'avoir eu des dirigeants qui m'ont donné les moyens d'agir. J'aime donc entendre cela. Ce n'est pas facile quand vous essayez de communiquer au niveau C ce que vous faites, les progrès que vous faites, toutes les normes de conformité avec lesquelles vous travaillez à travers le monde, quelles sont les conversations importantes que vous pensez que les gens dans votre rôle devraient avoir ou ont peut-être déjà avec leur C-suite ?
0:10:16.6 Dan Whittingham : Comme je l'ai dit, beaucoup d'entreprises de la taille de Rolls-Royce vivent la même chose. Les organisations investissent donc dans ces grandes entreprises technologiques pour fournir des solutions de sécurité, et il ne s'agit pas de quelques centimes ou de milliers de dollars, mais littéralement de centaines de milliers de dollars. Pour moi, la conversation porte sur la valeur des produits. Quel est donc ce retour sur investissement ? Le rapport qualité-prix est-il satisfaisant ? En tant qu'architecte, c'est donc votre pain et votre beurre. C'est pour cela que vous êtes employé, pour parler aux vendeurs, comprendre le produit de fond en comble et le rincer pour tout. Il possède toutes les caractéristiques et tout ce qu'il faut. À titre personnel, j'ai constaté un changement dans l'approche de certains vendeurs, qui ne se préoccupent pas toujours de la prochaine vente. Il s'agit littéralement de se concentrer sur l'investissement dont vous disposez et sur la manière dont nous pouvons vous aider à tirer le meilleur parti du produit. Il faut donc s'adresser à des entreprises comme Netskope et d'autres, faire des recherches et comprendre quelle est la feuille de route.
0:11:15.7 Dan Whittingham : Et pour moi et d'autres architectes, c'est cette analyse de l'horizon de ce qui va arriver dans le pipeline de l'entreprise, tout investissement ou toute nouveauté sur laquelle ils travaillent en matière d'IA. Désolé, nous ne pouvions pas passer un podcast sans parler de l'IA. C'est donc la finalité pour l'instant, mais à ce stade, il s'agit littéralement de comprendre ce qu'il y a sur le marché et il suffit de se lancer et de nouer ces relations. Je pense que les relations sont essentielles dans toute entreprise, mais la relation client-fournisseur joue un rôle déterminant à cet égard.
0:11:49.0 Bailey Harmon : Oui, je suis tout à fait d'accord. Cette relation est aussi essentielle que la mission.
0:11:53.2 Dan Whittingham : Oui, tout à fait. Deuxièmement, je dirais que la solution répond aux besoins de l'entreprise et satisfait aux exigences de conformité pour être acceptée. Nous parlons beaucoup du CMMC. Nous parlons donc de l'accréditation d'une tierce partie. La question est donc de savoir si c'est le cas. Vous avez fait tout le travail de base pour comprendre ce que veut l'entreprise, quels sont ses besoins réels. Quelle est la situation dans son ensemble ? Quels sont les objectifs de l'entreprise à court et à long terme ? Et nous devons vraiment comprendre quelles sont les aspirations des entreprises. Il ne sert donc à rien de proposer une solution pour laquelle le fournisseur ne souhaite pas passer au cloud, alors que l'entreprise veut passer au cloud l'année prochaine ou plus tard.
0:12:31.8 Bailey Harmon : C'est comme si vous alliez à l'épicerie et que vous vouliez acheter des pommes, mais que le vendeur s'approche de vous et vous dise, oh, nous avons des oranges en solde. Ce n'est pas la même chose. Vous avez besoin de quelqu'un qui vous donne ce que vous recherchez. J'ai également aimé ce que vous avez dit sur le fait d'être un défenseur de vous-même et de votre programme, afin de vous assurer que vous mettez en place les bonnes solutions pour répondre aux besoins réels de l'entreprise et d'être cet expert dans votre rôle spécifique afin de pouvoir revenir vers l'entreprise et lui dire, voici comment nous créons de la valeur. Et vous êtes en mesure de communiquer, comme nous l'avons mentionné plus tôt, avec votre équipe de direction. Lorsque vous êtes dans cette salle, quels sont vos conseils, ou peut-être une anecdote sur la façon dont vous avez réussi à montrer tout l'excellent travail que vous faites, mais d'une manière digeste ? Parce que c'est beaucoup.
0:13:18.3 Dan Whittingham : Oui, c'est beaucoup. Ma réponse à cette question est la suivante : restez simple. J'ai donc une histoire à vous raconter. Il y a deux ans, j'ai participé à une journée portes ouvertes pour les apprentis, où l'on m'a demandé de prendre la parole, ce qui était une première pour moi. Les nerfs étaient donc à fleur de peau, mais c'était extraordinaire. J'ai vraiment apprécié. Cela m'a vraiment fait sortir de ma zone de confort et m'a poussé dans ce domaine. J'ai donc commencé à parler un peu comme cela. Je me suis ouvert et j'ai parlé de ma carrière dans la sécurité informatique. Et c'était bon. C'était vraiment bien. Les personnes présentes dans la salle ont été très réceptives. Ils ont posé pas mal de questions, mais ce n'était pas nécessairement celles que l'on me posait. C'est lorsque je me suis rassis que j'ai écouté les autres orateurs et l'un d'entre eux, dont je ne me souviens plus du nom, m'a dit qu'il n'y avait pas de problème. Mais j'ai beaucoup appris au cours de ces deux heures d'observation. C'est ainsi que nous nous sommes présentés. Il allait droit au but, il apportait de la clarté, les graphiques peignaient un millier de mots, mais il était vraiment simple. Après cette journée, je me suis efforcé de mieux communiquer la solution ou le scénario que je devais rapporter à la direction.
0:14:24.1 Dan Whittingham : J'ai donc parlé à mes pairs et nous avons établi un scénario, non pas comme un spectacle d'acteur, cela semble un peu bizarre, mais un scénario du type : je suis venu présenter ceci, pouvez-vous me donner un retour d'information ? C'est aussi bizarre que cela puisse paraître, mais aussi productif que cela puisse être, c'était vraiment bénéfique pour passer à travers les étapes de la création de certains tweets et de la critique de certains domaines où il ne faut pas dire ceci ou ajouter cela. Et si vous parlez face à face, où mettez-vous vos mains et tout le reste ? Il est bon d'être mal à l'aise, surtout dans ce domaine, car la sécurité informatique évolue à un rythme effréné. Il est donc très difficile de rester au courant de tout et d'obtenir cela. Mais ne cessez jamais d'apprendre.
0:15:11.9 Bailey Harmon : N'arrêtez jamais d'apprendre. C'est un peu comme si vous étiez sur le terrain de football, que vous aviez cet iPad devant vous et que vous regardiez la cassette pour savoir comment vous allez présenter ou comment vous allez faire ceci ou cela ou comment vous allez communiquer l'histoire. On a l'impression qu'il s'agit d'une petite tactique sur laquelle on travaille en arrière-plan, mais lorsqu'il s'agit de présenter une image complète, cela fait vraiment une différence dans la façon dont elle est perçue. Et je ne saurais trop insister sur le fait qu'il ne faut jamais cesser d'apprendre. J'adore ce point. Chez Rolls-Royce, vous êtes manifestement chargé de répondre à d'énormes demandes commerciales, mais certaines des exigences dont nous parlons sont assez floues. Vous devez donc non seulement vous concentrer sur les exigences, mais aussi réfléchir à votre stratégie globale de protection des données. Qu'aimeriez-vous que les régulateurs comprennent mieux la position dans laquelle vous vous trouvez, avec l'équilibre de tous ces différents aspects ?
0:16:00.5 Dan Whittingham : Oui, comme je vis et respire ce travail de conformité mondiale depuis 18 mois, je dirais que j'aimerais que les régulateurs fassent preuve d'une meilleure compréhension. Il n'est pas vraiment possible de donner un exemple dans des cas spécifiques de ce qu'ils demandent réellement, car cela dépend de l'environnement et du contexte dans lequel le contrôle est appliqué. Il ne s'agit donc pas, pour ne pas être évident, d'une rigueur excessive, comme si l'on mettait une cheville carrée dans un trou rond. Le deuxième point concerne donc la terminologie. Ainsi, lorsque vous lisez les cadres, je me sens peu qualifié. Il suffit de les lire. C'est comme si vous deviez littéralement être un avocat ou quelqu'un avec un diplôme de haut niveau pour comprendre comment et interpréter, je suppose, le langage commun de ce que cela signifie réellement. Je ne dis pas qu'il faut l'écrire avec l'accent des Midlands, mais j'ai l'impression qu'ils se cachent derrière un texte invitant à ces différentes interprétations et qu'ils ne sont pas 100% clairs sur ce qu'ils demandent réellement. Et parce que, comme je l'ai dit plus tôt, en fonction de la personne qui le lit, elle peut avoir une interprétation différente. Et je pense que c'est là que nous entrons dans les zones grises de ce que cela signifie réellement. Parce que, oui, une entreprise peut dire, eh bien, nous avons interprété de cette façon et c'est ainsi que nous l'avons fait.
0:17:14.5 Dan Whittingham : Et pour une organisation de défense comme la nôtre, le risque est très élevé. Nous prenons donc la direction opposée et disons, oui, nous avons mis en place des pare-feu supplémentaires ou autre chose. Au cours de ce voyage, je pense qu'il serait bon que les régulateurs sortent dans le monde réel. Je ne suis pas là pour contrarier qui que ce soit, mais c'est juste mon expérience personnelle qui m'a permis d'aller sur le terrain et d'utiliser cette opportunité pour parler à des entreprises comme la nôtre et nous sommes en train de passer par ces processus de conformité. Personnellement, je pense que cela aiderait les entreprises, les organes directeurs et l'ensemble des relations, ce qui, à son tour, donnerait confiance aux entreprises et leur permettrait de ne pas avoir peur, car il est évident qu'elles craignent d'échouer et d'être accréditées, mais aussi de perdre des marchés. Ce n'est donc pas, ce n'est pas une minute, cette question. Je dirais qu'il est très important, simplement en raison de la non-conformité. Mais il suffit d'aider les entreprises et de les rassurer sur ce point. D'accord, ce n'est pas génial, mais c'est un chemin et c'est votre plan pour remédier à ce que vous devez faire. Il est évident que l'objectif final pour tout le monde est d'opérer en toute sécurité et de réussir.
0:18:19.8 Bailey Harmon : Tout à fait. Je ne sais pas, vous parliez de l'écrire avec l'accent des Midlands, mais cela nous ramène au livre audio. Vous pouvez tout assembler. Vous avez soulevé tout à l'heure un point intéressant sur lequel je voulais revenir. Vous avez parlé de l'IA et cela m'a fait réfléchir : comment concilier le besoin de conformité et la nécessité d'innover avec des outils comme GenAI ?
0:18:43.3 Dan Whittingham : Oui. L'IA est donc difficile. De toute évidence, il s'agit d'un mot à la mode, qui a fait son apparition et que tout le monde veut utiliser. La pression est donc forte. J'utiliserai l'analogie selon laquelle il s'agit de nous enfermer, de verrouiller les portes, de fermer les grilles jusqu'à ce que nous nous familiarisions avec lui et que nous le comprenions pour ce qu'il est réellement. Il est évident que les entreprises veulent s'engager dans cette voie et l'utiliser parce qu'il y a des avantages. Il y a évidemment des avantages et des inconvénients du point de vue de l'acteur de la menace. De notre point de vue, tout tourne autour des données et c'est là que se situe le risque, et c'est là que nous avons un risque élevé quant à la destination de nos données, car il s'agit de schémas de moteurs et d'autres choses de ce genre. Pour revenir à la question, c'est un défi parce que ce n'est pas aussi simple que oui, vous pouvez l'avoir. Voici ce que vous pouvez faire. Remplissez vos bottes. Nous devons être très prudents avec cela et comprendre ce que c'est réellement et où vont les données.
0:19:37.9 Bailey Harmon : Oui. Je veux dire, finissons-en avec cela. Comprenez de quoi il s'agit et où vont les données, et vous serez alors en mesure d'opérer avec succès et en toute sécurité pour revenir à votre autre point. Je pense que c'est ainsi que se terminent les questions que j'avais à poser pour la journée. Dan, merci beaucoup de nous avoir rejoints et d'avoir partagé vos points de vue et vos histoires. Nous apprécions vraiment votre présence. Vous avez écouté le podcast des Visionnaires de la sécurité. J'ai été votre hôte, Bailey Harmon. Si vous avez aimé cet épisode, n'hésitez pas à le partager avec un ami et à vous abonner pour ne jamais en manquer un autre. A la prochaine fois.
Pourquoi Netskope 
){kind=icon}
