0:00:05 Max Havey : Bonjour et bienvenue sur Security Visionaries, un podcast consacré au monde des cyberdonnées et des infrastructures technologiques, qui réunit des experts du monde entier et de différents domaines. Je suis votre hôte, Max Havey, et aujourd'hui nous avons un épisode très spécial ici au RSAC 2026 où nous allons parler avec Netskope, RSSI, James Robinson. James, bonjour et merci d'avoir pris le temps. Je me réjouis de votre présence.
0:00:24 James Robinson : Merci, Max.
0:00:25 Max Havey : James, j'espère que vous m'entendez. Je sais qu'il se passe beaucoup de choses ici, alors tout se passe bien de votre côté ?
0:00:31 James Robinson : Oui, tout va bien de mon côté.
0:00:32 Max Havey : D'accord, excellent. Heureux de l'apprendre, heureux de l'apprendre. D'habitude, nous parlons à travers des écrans d'ordinateur, c'est donc passionnant de le faire.
0:00:38 James Robinson : Annulation du bruit, pas de bruit de fond. Toutes sortes de choses.
0:00:40 Max Havey : Nous ne pouvons pas faire cela ici. Nous ne pouvons pas faire cela ici à l'ASR. Nous avons pu le faire en direct et en personne, ce qui
0:00:44 James Robinson : C'est toujours mieux ainsi.
0:00:46 Max Havey : Absolument, et je suis d'accord. James, pour aller droit au but, RSA est toujours un lieu d'effervescence pour l'IA. Quelle est donc la tendance que vous avez le plus entendue jusqu'à présent lors de la conférence ? Oui,
0:00:55 James Robinson : Je pense que cette année, l'IA, évidemment le buzz de l'année dernière était genAI. Cette année, l'agentic, l'agentic dans tous les sens, les garde-fous lourds, beaucoup de conversations à ce sujet et on en revient toujours aux données, à l'accès et aux données, à l'accès et aux données, peu importe ce que c'est. Ce sont probablement les deux thèmes les plus importants que l'on retrouve partout. Ensuite, vous commencez à parler un peu de tests d'intrusion et d'autres domaines de ce genre, mais il s'agit surtout d'accès, et les données auxquelles ils ont accès sont une plateforme et un système agentiques, et comment les gens les activent. Il y a également eu des conversations au cours desquelles les gens essayaient encore d'appréhender la situation. Ils sont encore du côté de la gouvernance de l'équation, mais pour ceux qui, je dirais, progressent et se poussent vraiment vers l'avant, il s'agit de l'agentic.
0:01:42 Max Havey : Tout à fait. Un autre terme revient souvent dans les conversations que j'ai ici à la conférence : la souveraineté des données. Où se situe la souveraineté des données dans cette conversation sur l'IA, l'IA agentique ?
0:01:53 James Robinson : Oui, la souveraineté est évoquée dans de nombreux domaines. Il y a donc l'aspect de la souveraineté des données, mais il faut aussi penser à la souveraineté numérique. Vous devez penser à la souveraineté de l'IA, à la souveraineté du nuage, à tous ces différents éléments, et ils se rejoignent tous à la fin de la journée, et lorsqu'ils se rejoignent, les données restent souvent l'élément clé et la souveraineté des données repose sur le fait que de nombreuses données doivent être rassemblées pour que l'IA fonctionne, mais comment les garder là où elles doivent être ? Comment conserver ces données dans la région où elles doivent être traitées ? Gardez-les là et si vous pouvez les garder là, vous serez dans une bien meilleure position pour soutenir la souveraineté des données, de nombreuses organisations diraient, eh bien, nous avons une fuite de données, alors nous pompons toutes les données ensemble. La souveraineté des données rompt avec ce modèle. Vous voulez donc essayer de continuer à faire de l'IA et vous voulez toujours pouvoir utiliser toutes ces données et ces informations, mais vous ne pouvez pas nécessairement toujours tirer parti des mêmes approches qu'auparavant.
0:02:47 Max Havey : Tout à fait. Eh bien, c'est ce que vous avez dit tout à l'heure, en parlant de garde-fous, c'est en quelque sorte un élément clé, pour garder les gens dans le droit chemin et s'assurer que personne ne partage des choses qu'il ne devrait pas partager, en laissant des données sensibles dans le monde.
0:02:58 James Robinson : Oui, c'est exactement cela. Il ne s'agit pas seulement de le diffuser dans le monde, mais aussi de savoir comment vous l'utilisez au sein de votre organisation. Si vous pensez à votre organisation, il se peut qu'une équipe veuille avoir accès à ces données, alors qu'elle ne devrait pas y avoir accès parce qu'elle doit les transférer d'une organisation ou d'une équipe, d'une fonction, d'un pays à un autre. C'est à ce moment-là que l'on commence à entrer dans les questions de souveraineté.
0:03:20 Max Havey : Tout à fait. Je suis donc curieux de savoir quels sont les grands défis auxquels sont confrontées les industries hautement réglementées, comme la banque, l'immobilier, la vente au détail, la fabrication, toutes ces industries qui traitent de gros volumes d'informations sensibles. Quels sont les principaux défis auxquels elles sont confrontées lorsqu'il s'agit de mettre en œuvre l'IA avec succès et en toute sécurité ?
0:03:49 James Robinson : Le plus grand défi que je vois est qu'il n'y a pas encore beaucoup de cadres en place à suivre. Parmi ces cadres, il s'agit toujours d'un espace et d'un domaine technologique en plein développement. Ainsi, bon nombre de ces organisations hautement réglementées sont en quelque sorte bloquées. Ils veulent permettre et tirer parti d'un grand nombre d'IA et d'un grand nombre d'IA modernisées, agentiques et genAI, mais en même temps, ils attendent toujours de voir ce qui est approuvé, ce qui est approprié, jusqu'où ils doivent aller et dans quelle mesure ils doivent le faire. Ainsi, dans certains domaines, des groupes d'essai, des groupes pilotes, des fonctions commencent à se pencher sur la question, tandis que dans d'autres domaines, ils se contentent de la suspendre, en fonction du type de réglementation à venir. C'est donc probablement la principale préoccupation des industries réglementées à l'heure actuelle. Ils essaient encore de trouver une solution en se frayant un chemin à travers la gouvernance et les différentes réglementations qui commencent à se mettre en place, et comment les appliquer concrètement ? Je dirais que des textes comme la loi européenne sur l'IA sont très, très clairs à bien des égards et qu'ils précisent des choses comme le fait que vous ne devriez pas fabriquer d'armes, etc. C'était donc très facile, très clair, mais lorsque vous commencez à démonter ou à ouvrir l'oignon de plus en plus et que vous commencez à vous demander, si vous êtes une organisation qui fait quelque chose comme ça, ou si vous êtes une organisation de services financiers, jusqu'où pouvez-vous aller ? Et puis, revenons en arrière : qu'est-ce que la souveraineté des données ? À quoi ressemble le règlement sur les données ? Quels sont ces différents éléments ? Tout cela, ce sont des choses qui ont besoin d'être jouées.
0:05:21 Max Havey : Et c'est intéressant aussi de penser à la souveraineté des données lorsque ces réglementations changent en fonction de l'endroit où vous vous trouvez dans le monde, ce qui amplifie en quelque sorte le problème. Si vous avez un problème dans l'UE, vous aurez un problème similaire mais différent au Moyen-Orient, en Amérique ou en Australie. C'est un jeu différent selon l'endroit où vous allez.
0:05:41 James Robinson : Jusqu'à ce point. En ce moment même, nous suivons des dizaines de réglementations en cours d'élaboration qui auront un impact sur nos clients et qui pourraient nous être appliquées également. Ainsi, à mesure que ces développeurs deviennent quelque chose que nous devons surveiller nous-mêmes, c'est quelque chose que nous cherchons à comprendre en interne et que nous essayons de suivre de près. En ce qui nous concerne, en tant qu'organisation de sécurité au sein d'une entreprise de sécurité, nous sommes souvent guidés par les demandes du marché et du secteur, ou par les demandes des vendeurs parce que nos clients le demandent. Nous devons ensuite lancer des initiatives en interne pour nous assurer que nous sommes en mesure d'établir une cartographie et de respecter ces réglementations.
0:06:19 Max Havey : Tout à fait. Je suis curieux de savoir comment les RSSI et les responsables de la sécurité qui travaillent dans des secteurs très réglementés peuvent passer d'un cas d'utilisation spéculatif de l'IA à l'application de ces technologies dans un environnement réel au sein de leur organisation. Quelles sont les questions qu'ils devraient poser à ce sujet ?
0:06:38 James Robinson : Je pense que la question la plus importante que nous ayons trouvée est une question qui ne se pose pas : "Apprenez-vous de mes données ? Et non seulement nos clients nous le demandent, mais nous le demandons aussi à nos fournisseurs. L'autre aspect concerne l'endroit où ils se trouvent dans le monde, l'IA qui leur est fournie se situe-t-elle dans une zone avec laquelle ils sont à l'aise, ou bien rassemblez-vous toutes ces informations lorsque vous commencez à opérer et à appliquer l'IA à cet ensemble de données ? L'autre question est de savoir s'il y a des menaces émergentes ou si vous ouvrez la porte ? De nombreuses technologies rapides sont encore en cours de développement. Nous avons assisté à l'avènement et à la vague de MCP et nous commençons maintenant à voir que MCP est remis en question à bien des égards et qu'un autre protocole pourrait voir le jour. Dans ce type de domaines, les industries réglementées ont en quelque sorte laissé passer les choses, les inondations et les tempêtes, et ont laissé les autres comprendre ce qu'il fallait faire, avant de commencer à l'adopter. Je pense donc que certaines des premières technologies qui ont été développées plus tôt, c'est-à-dire l'année dernière,
0:07:41 Max Havey : Oui, c'est la sécurité pour vous.
0:07:43 James Robinson : Certaines de ces technologies commencent à être examinées. En même temps, je vois que les organisations qui essaient de prendre leurs comités de gouvernance de l'IA qui sont en train d'être créés, n'en font pas seulement une équipe pour dire oui ou non, mais aussi une équipe d'habilitation, une équipe qui inclut les entreprises, pas seulement le service juridique, pas seulement la sécurité, pas seulement l'informatique, mais aussi d'autres partenaires et équipes de l'entreprise. Ce sont ces équipes qui avancent beaucoup plus vite que les équipes qui se regroupent pour essayer de dire non, ou j'ai besoin de savoir SAVOIR. Ce sont eux qui disent oui, mais comment y arriver ?
0:08:20 Max Havey : C'est une sorte de mentalité qui suit le courant. J'ai regardé beaucoup de mos de Bruce Lee. Je pense à "Be water," ce genre de mentalité lorsqu'il s'agit d'activer l'IA, de trouver des moyens de dire oui et de maintenir les choses activées sans être trop frictionnel avec tout cela.
0:08:36 James Robinson : Oui, c'est exact. Exactement.
0:08:38 Max Havey : Dans le même ordre d'idées, je sais qu'hier vous avez eu une séance d'information avec Ben Fellows, le RSSI d'Hitachi, une conversation très, très intéressante. Les personnes qui n'étaient pas là ont vraiment manqué quelque chose. Je voulais vraiment vous parler de l'idée de la gouvernance des données. C'est un sujet important dont vous avez parlé. Pouvez-vous m'expliquer pourquoi la gouvernance des données est quelque chose que les gens dans les industries hautement réglementées comme celle dans laquelle Ben travaille, pourquoi c'est une chose si importante qu'ils doivent garder à l'esprit lorsqu'ils cherchent à savoir comment activer l'IA comme ça ?
0:09:07 James Robinson : Cela nous ramène en partie à la discussion sur la souveraineté des données que nous avons déjà eue, mais il y a un autre domaine que nous avons trouvé très intéressant. Je dirais que c'est un peu innovant, et c'est notre équipe chargée de la protection de la vie privée et des données qui a eu cette idée. Nous les mettions au défi et leur disions : "Comment pouvons-nous aller plus vite ?" De nombreuses personnes reviennent sur la classification des données. La classification des données consiste à classer les données dans deux catégories. S'agit-il d'un secret absolu, d'un sujet que l'on peut ouvrir à tous, d'un sujet que l'on doit traiter avec précaution ou d'un sujet que l'on doit aborder de la manière la plus appropriée ? En fait, nous sommes allés plus loin et l'équipe chargée de la protection de la vie privée et des données est allée encore plus loin et a commencé à proposer des catégories de données. Désormais, nous pouvons dire que le système d'IA que nous introduisons est acceptable et approuvé pour ces catégories, ce qui aide vraiment les équipes, et bien plus encore. Ils comprennent maintenant que lorsque j'ai parlé de données confidentielles, je voulais dire quelque chose comme du code et de la propriété intellectuelle ou quelque chose comme nos données financières. Maintenant, nous pouvons dire qu'il est approuvé pour les finances, mais qu'il ne l'est pas pour le code et la propriété intellectuelle. Nous pouvons aller plus loin. C'est une chose que je recommande à de très nombreuses équipes. La gouvernance des données concerne de nombreux domaines différents. Il s'agit également de savoir si vous pouvez découvrir où se trouvent les données. Pouvez-vous comprendre comment ces données sont utilisées à l'intérieur de quelque chose ? Utilisez-vous ces données pour créer vos propres modèles ? Prenez-vous ces informations et les traitez-vous différemment ? Le gérez-vous différemment ? La gouvernance des données s'étend donc à de très nombreux domaines, mais il s'agit en quelque sorte de s'appuyer sur l'habilitation des équipes. Je constate que l'élément le plus important est la décision que nous avons prise, que je recommanderais à tout le monde et que je serais heureux de partager avec tout le monde. La décision que nous avons prise de passer à la catégorisation des données nous a vraiment aidés.
0:10:48 Max Havey : Certainement. Il s'agit en quelque sorte de savoir ce à quoi les gens doivent faire attention. C'est comme si tout pouvait être considéré comme confidentiel en fonction de la personne qui le manipule et de l'usage que vous en faites, et le fait de pouvoir disposer de ces catégories est en fin de compte ce qui permet aux gens de comprendre plus facilement ce qu'ils mettent en danger et comment ils peuvent jouer un meilleur rôle pour ne pas le mettre en danger.
0:11:10 James Robinson : Oui, exactement. C'est exactement l'idée. Ils savent où se situent leurs limites et ce pour quoi la demande est approuvée ou ce pour quoi le vendeur est approuvé également.
0:11:18 Max Havey : Tout à fait. En tant que RSSI d'un fournisseur de solutions de sécurité, je pense que vous avez fait un petit geste dans ce sens. Quel a été votre moment décisif lorsqu'il s'est agi de trouver la meilleure façon d'activer l'IA au sein de l'organisation de Netskope ?
0:11:30 James Robinson : Oui, c'était vraiment une inondation et une vague, et c'était l'une d'entre elles. Nous sommes une entreprise technologique et, en tant que telle, nous devons nous pencher sur la question. New La technologie est toujours utile et une approche New est toujours utile, et je savais donc que cela devait être un facteur d'habilitation pour nous. En outre, les clients commençaient à demander davantage. L'industrie commençait à évoluer plus rapidement, et je pense que nous avons peut-être même franchi une étape supplémentaire. C'est presque le moment de vivre ce que nous appelons le moment FOMO, où beaucoup de gens me demandent tout le temps : "Puis-je utiliser cet outil ?" Et je dis : "Eh bien, que voulez-vous faire ?" "Je ne sais pas. J'ai l'impression de passer à côté de quelque chose," et dans certains cas, je ressens la même chose, n'est-ce pas ? Oui, je veux que mon laboratoire personnel utilise OpenClaw, mais je veux aussi protéger l'endroit où il fonctionne et ce qu'il fait.
0:12:16 Max Havey : Exactement.
0:12:17 James Robinson : C'est exactement ce que font beaucoup de gens, et je dirais que le moment décisif pour moi a été celui où j'ai commencé à voir le vol et la trajectoire et où j'ai commencé à courir avec la même chose. Il décolle, il vole maintenant, mais c'est aussi le moment de la FOMO. Je me suis dit qu'il fallait que je joue avec ça. Je dois le faire correctement. En même temps que le travail quotidien.
0:12:38 Max Havey : Tout à fait. J'ai l'impression que chaque semaine, il y a une application New que tout le monde veut utiliser. C'est la chose que nous voulons tous, vous voulez rester en tête. C'est, c'est ce genre de moment de FOMO, et j'ai ressenti cela lorsque ChatGPT est apparu pour la première fois en 2023 ou non, 2022, c'était le 22 novembre. C'était réel. C'était comme un changement de cap. On se dit qu'on ne veut pas être à la traîne avec tout ça.
0:13:00 James Robinson : Qu'avez-vous demandé ? Quelle a été votre première question ?
0:13:01 Max Havey : Oh, je crois que j'ai fait un truc débile du genre 2001 l'Odyssée de l'espace. Par exemple, pouvez-vous ouvrir les portes de la soute à pods ?
0:13:07 James Robinson : Le mien, je viens de gaspiller des jetons. J'ai dit : "Bonjour, comment allez-vous ?
0:13:11 Max Havey : Ce n'est pas terrible. Je pense qu'aujourd'hui ils diraient que c'est horrible, mais à l'époque, nous devions trouver une solution d'une manière ou d'une autre.
0:13:17 James Robinson : Il fallait bien commencer quelque part, non ?
0:13:19 Max Havey : Exactement. James, pour en finir avec les questions, quel conseil donneriez-vous aux responsables de la sécurité, aux RSSI et aux responsables de la technologie, même dans les secteurs hautement réglementés de la finance, de la banque, de l'immobilier, de la vente au détail, etc. Quel est le conseil que vous leur donneriez s'ils cherchaient à mieux activer l'IA de cette manière ?
0:13:42 James Robinson : Oui, puisque je pense que j'ai parlé du côté ambassadeur la dernière fois.
0:13:47 Max Havey : Oui, je crois que vous l'avez fait dans un épisode récent. Allez l'écouter.
0:13:50 James Robinson : Nous continuons à en faire bon usage. Nous avons permis à un plus grand nombre d'équipes de l'utiliser. Ensuite, nous avons beaucoup insisté en interne et je recommanderais à nouveau à tout le monde, comme je l'ai déjà dit à d'autres, de commencer à former des équipes rouges. Commencez à trouver un partenaire. Ils peuvent commencer à faire des choses, mais permettez à votre équipe de commencer aussi à faire de la défense, demandez-lui de commencer à enquêter. L'autre jour, nous avons trouvé une injection rapide en interne qui nous a conduits à une injection SQL. À partir de là, j'ai demandé à l'équipe du CSIRT, l'équipe d'enquête, d'aller jeter un coup d'œil et de voir s'ils pouvaient le remettre en place. Peuvent-ils comprendre ce qui s'est passé ? C'est vrai. C'était dans le cadre des tests que nous faisions sur un produit New que nous étions en train de mettre sur le marché. Nous avons pu les trouver, mais nous voulions aussi pouvoir revenir en arrière et les rassembler pour voir si nous pouvions réellement y répondre, et à partir de là, comment permettre aux équipes opérationnelles de les voir la prochaine fois que cela se produira ? Non pas que nous voulions un jour publier quelque chose avec une injection rapide, bien sûr que non, mais cela pourrait arriver, et comme nous le savons avec la défense en profondeur, vous devez être préparé, vous devez être prêt et vous devez être en mesure de répondre, et donc je recommanderais à tout le monde de préparer vos équipes. Ne gaspillez jamais un incident. Nous le savons, alors utilisez-les et commencez à vous mettre en position de pouvoir y répondre.
0:15:01 Max Havey : Oui, absolument. En tant qu'Eagle Scout moi-même, c'est toujours cette mentalité de préparation qu'il faut apporter à chaque facette du travail que l'on fait.
0:15:09 James Robinson : Oui. J'ai donc un cadeau spécial pour vous.
0:15:12 Max Havey : Ah oui ? Oui, c'est vrai. C'est incroyable.
0:15:14 James Robinson : Vous êtes maintenant le RSSI.
0:15:15 Max Havey : Oh, mon Dieu.
0:15:16 James Robinson : Sur ce, je peux maintenant vous poser des questions.
0:15:18 Max Havey : Oh mon Dieu. Oui, c'est vrai. James, frappez-moi.
0:15:19 James Robinson : Quelle est la chose la plus étonnante que vous ayez vue ici ?
0:15:22 Max Havey : Le plus étonnant, c'est que j'ai pu interviewer une chèvre hier, une marionnette de chèvre en feutre. C'était vraiment le point culminant.
0:15:29 James Robinson : Ils avaient du bleu.
0:15:30 Max Havey : Oui,
0:15:31 James Robinson : C'était juste à côté de la session.
0:15:32 Max Havey : Oui. Oui, c'est vrai. Oui, c'est vrai. Il traînait. C'est un petit bouc à lunettes habillé comme un spationaute. C'est vrai. Je n'ai jamais été aussi enthousiaste.
0:15:39 James Robinson : Je pense que le GOAT s'est accidentellement cogné dans le Bailey.
0:15:40 Max Havey : Oui, je pense que c'est exact. C'est un vrai régal. Cela m'a rendu très heureux. En ce qui concerne la sécurité proprement dite. J'ai assisté à de nombreuses conversations très intéressantes. J'ai assisté à une bonne session avec Steve Riley et quelqu'un d'Illumio qui ont parlé de l'IA et de la perspective humaine et de ce qui doit être pris en compte dans tout cela alors que nous voyons les choses devenir plus robustes en ce qui concerne l'âge, l'IA agentique et générative et d'autres choses de ce genre. Donc oui, nous continuons à avoir beaucoup de conversations sur l'IA, mais le genre de choses que je viens de dire, c'est Trevor d'Illumio, c'est le gars à qui Steve parlait. Vraiment, vraiment une bonne conversation. C'est impressionnant. Oui, c'est vrai. Avez-vous d'autres questions à me poser ? Maintenant que j'ai le micro tourné vers moi ?
0:16:22 James Robinson : J'ai entendu un point lors du cercle AWS RSSI, et il s'agissait de cette idée New, de ce concept New: nous savons que les gens traitent la technologie, mais qu'en est-il de l'idée d'aller vers une technologie traitée par un agent ?
0:16:37 Max Havey : Oh
0:16:37 James Robinson : Qu'en pensez-vous ? Oh,
0:16:38 Max Havey : La technologie du processus d'agent. Ainsi, comme les agents qui utilisent la technologie, ils utilisent eux-mêmes ces outils.
0:16:44 James Robinson : Remplacer les gens.
0:16:45 Max Havey : Oui, oui. Agents en attente. Je veux dire que cela semble être la chose à laquelle de nombreux responsables de la sécurité à qui j'ai parlé ont dit que c'était en train d'arriver. C'est une chose que nous allons voir. Je pense que vous et moi en avons parlé dans un autre contexte, à propos de l'idée que les agents parlent aux agents et que ces miroirs se reflètent l'un l'autre. Ce sera certainement intéressant. Je serai très intéressé et il y a de fortes chances que nous ayons une conversation à ce sujet dans un avenir très proche, si je devais deviner.
0:17:07 James Robinson : Nous commençons à le faire en interne jusqu'à ce que nous nous amusions beaucoup.
0:17:09 Max Havey : Incroyable
0:17:10 Max Havey : J'ai hâte de voir ce que cela va donner.
0:17:11 James Robinson : Génial. Génial.
0:17:12 Max Havey : Eh bien, James, merci beaucoup d'avoir pris le temps de venir ici. Je sais que vous êtes très occupé lorsqu'il s'agit de cette conférence. Une si bonne conversation. J'espère que tout le monde aura autant de plaisir que moi.
0:17:07 James Robinson : Moi aussi. Je vous remercie.
0:17:21 Max Havey : Fantastique. Sur ce, vous avez écouté et probablement regardé le podcast Security Visionaries, et j'ai été votre hôte, max. Si vous avez aimé cet épisode, partagez-le avec un ami et n'oubliez pas de nous laisser un "like", un commentaire ou un "share". Vraiment, chaque petit geste compte. Vous pouvez trouver New épisodes de notre émission publiés chaque semaine sur votre plateforme de podcast préférée, Apple Music, Spotify, ou nos versions vidéo New sur YouTube. Vous pouvez trouver nos épisodes publiés toutes les deux semaines, animés soit par moi-même, soit par mes merveilleuses co-animatrices, Emily Wearmouth et Bailey Popp. Sur ce, nous vous donnons rendez-vous pour le prochain épisode.
){kind=icon}
