L'avenir du Zero Trust et du SASE, dès aujourd'hui ! Inscription

fermer
fermer
La plateforme du futur est Netskope

Intelligent Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG), et Private Access for ZTNA intégrés nativement dans une solution unique pour aider chaque entreprise dans son cheminement vers l'architecture Secure Access Service Edge (SASE).

Présentation des produits
Vidéo Netskope
Next Gen SASE Branch est hybride - connectée, sécurisée et automatisée

Netskope Next Gen SASE Branch fait converger Context-Aware SASE Fabric, Zero-Trust Hybrid Security et SkopeAI-Powered Cloud Orchestrator dans une offre cloud unifiée, ouvrant la voie à une expérience de succursale entièrement modernisée pour l'entreprise sans frontières.

En savoir plus Next Gen SASE Branch
Personnes au bureau de l'espace ouvert
La conception d'une architecture SASE pour les nuls

Obtenez votre exemplaire gratuit du seul guide consacré à la conception d'une architecture SASE dont vous aurez jamais besoin.

Obtenir l'EBook
Adopter une architecture SASE (Secure Access Service Edge)

Netskope NewEdge est le nuage privé de sécurité le plus grand et le plus performant au monde. Il offre aux clients une couverture de service, des performances et une résilience inégalées.

Découvrez NewEdge
NewEdge
Votre réseau de demain

Planifiez votre chemin vers un réseau plus rapide, plus sûr et plus résilient, conçu pour les applications et les utilisateurs que vous prenez en charge.

Obtenir le livre blanc
Votre réseau de demain
Netskope Cloud Exchange

Le Netskope Cloud Exchange (CE) fournit aux clients des outils d'intégration puissants pour optimiser les investissements dans l'ensemble de leur infrastructure de sécurité.

En savoir plus sur Cloud Exchange
Vidéo Netskope
Optez pour les meilleurs services de sécurité cloud du marché, avec un temps de latence minimum et une fiabilité élevée.

Découvrez NewEdge
Lighted highway through mountainside switchbacks
Permettez en toute sécurité l'utilisation d'applications d'IA générative grâce au contrôle d'accès aux applications, à l'accompagnement des utilisateurs en temps réel et à une protection des données de premier ordre.

Découvrez comment nous sécurisons l'utilisation de l'IA générative
Autorisez ChatGPT et l’IA générative en toute sécurité
Solutions Zero Trust pour les déploiements du SSE et du SASE

En savoir plus sur la confiance zéro
Boat driving through open sea
Netskope obtient l'autorisation FedRAMP High Authorization

Choisissez Netskope GovCloud pour accélérer la transformation de votre agence.

En savoir plus sur Netskope GovCloud
Netskope GovCloud
  • Ressources signe chevron

    Découvrez comment Netskope peut vous aider à sécuriser votre migration vers le Cloud.

  • Blog signe chevron

    Découvrez comment Netskope permet de transformer la sécurité et les réseaux à l'aide du Security Service Edge (SSE).

  • Événements et ateliers signe chevron

    Restez à l'affût des dernières tendances en matière de sécurité et créez des liens avec vos pairs.

  • Définition de la sécurité signe chevron

    Tout ce que vous devez savoir dans notre encyclopédie de la cybersécurité.

Podcast Security Visionaries

Des cookies, pas des biscuits
L'animatrice Emily Wearmouth rencontre les experts David Fairman et Zohar Hod pour discuter du passé, du présent et de l'avenir des cookies sur Internet.

Écouter le podcast
Podcast : Des cookies, pas des biscuits
Derniers blogs

Comment Netskope peut faciliter le parcours Zero Trust et SASE grâce aux capacités des services de sécurité en périphérie (SSE).

Lire le blog
Sunrise and cloudy sky
SASE Week 2023 : Votre voyage SASE commence maintenant !

Retrouvez les sessions de la quatrième édition annuelle de SASE Week.

Explorer les sessions
SASE Week 2023
Qu'est-ce que le Security Service Edge ?

Découvrez le côté sécurité de SASE, l'avenir du réseau et de la protection dans le cloud.

En savoir plus sur Security Service Edge
Four-way roundabout
  • Nos clients signe chevron

    Netskope sert plus de 2 000 clients dans le monde, dont plus de 25 des entreprises du classement Fortune 100

  • Solutions pour les clients signe chevron

    Nous sommes là pour vous et avec vous à chaque étape, pour assurer votre succès avec Netskope.

  • Communauté Netskope signe chevron

    Apprenez d'autres professionnels des réseaux, des données et de la sécurité.

  • Formation et certification signe chevron

    Avec Netskope, devenez un expert de la sécurité du cloud.

Nous parons nos clients à l'avenir, quel qu'il soit

Voir nos clients
Woman smiling with glasses looking out window
L’équipe de services professionnels talentueuse et expérimentée de Netskope propose une approche prescriptive pour une mise en œuvre réussie.

En savoir plus sur les services professionnels
Services professionnels Netskope
La communauté Netskope peut vous aider, vous et votre équipe, à tirer le meilleur parti des produits et des pratiques.

Accéder à la communauté Netskope
La communauté Netskope
Sécurisez votre parcours de transformation numérique et tirez le meilleur parti de vos applications cloud, Web et privées grâce à la formation Netskope.

En savoir plus sur les formations et les certifications
Group of young professionals working
  • Entreprise signe chevron

    Nous vous aidons à conserver une longueur d'avance sur les défis posés par le cloud, les données et les réseaux en matière de sécurité.

  • Pourquoi Netskope signe chevron

    La transformation du cloud et le travail à distance ont révolutionné le fonctionnement de la sécurité.

  • Équipe de direction signe chevron

    Nos dirigeants sont déterminés à faciliter la réussite de nos clients.

  • Partenaires signe chevron

    Nous collaborons avec des leaders de la sécurité pour vous aider à sécuriser votre transition vers le cloud.

Soutenir le développement durable par la sécurité des données

Netskope est fière de participer à Vision 2045 : une initiative visant à sensibiliser au rôle de l'industrie privée dans le développement durable.

En savoir plus
Soutenir le développement durable grâce à la sécurité des données
Meilleure capacité d'exécution. Le plus loin dans sa vision.

Netskope nommé leader dans le rapport Magic QuadrantTM 2023 pour SSE de Gartner®.

Recevoir le rapport
Netskope nommé leader dans le rapport Magic QuadrantTM 2023 pour SSE de Gartner®.
Penseurs, concepteurs, rêveurs, innovateurs. Ensemble, nous fournissons le nec plus ultra des solutions de sécurité cloud afin d'aider nos clients à protéger leurs données et leurs collaborateurs.

Rencontrez notre équipe
Group of hikers scaling a snowy mountain
La stratégie de commercialisation de Netskope privilégie ses partenaires, ce qui leur permet de maximiser leur croissance et leur rentabilité, tout en transformant la sécurité des entreprises.

En savoir plus sur les partenaires de Netskope
Group of diverse young professionals smiling
Vignette du message

Dans le dernier épisode du podcast Security Visionaries, l’animateur Max Havey s’entretient avec Rich Davis, directeur du marketing des solutions produits chez Netskope, pour une plongée en profondeur dans le sujet crucial de la cyber-hygiène. Plus précisément, ils évaluent l'impact des journées de sensibilisation à la cybersécurité et révèlent les défis auxquels les entreprises sont confrontées pour inculquer des habitudes d'hygiène informatique tout au long de l'année. Découvrez comment l'authentification multifactorielle et les principes Zero Trust peuvent améliorer votre cyberhygiène. Qu'il s'agisse de personnaliser la cybersécurité ou d'en faire une initiative commerciale, cet épisode regorge de conseils utiles pour améliorer la cybersécurité dans votre organisation et votre vie personnelle.

En fin de compte, cela dépend de cet utilisateur. Nous devons faciliter les choses pour les utilisateurs. Nous devons expliquer aux gens pourquoi c'est si important, et nous devons mettre en place des outils qui les aideront réellement à prendre la bonne décision et à ne pas retomber dans ces mauvaises pratiques.

—Rich Davis, directeur du marketing des solutions produits
Rich Davis

 

Horodatage

*00:01 - Introduction* 09:50 - Authentification multifactorielle et principes Zero Trust
* 00:21 - Évaluation de la contribution des journées de sensibilisation à la cybersécurité*10 :12 - Minimisez les surfaces d’attaque et empêchez la perte de données grâce à la confiance adaptative
* 01:05 - Les difficultés liées à la mise en œuvre de la cyberhygiène tout au long de l'année*12 :55 - Traiter le risque d’exposition des données et renforcer l’éducation des utilisateurs
* 02:16 - La durée de la formation à la sécurité et l'approbation de la formation continue*13 :45 - Erreurs de configuration et risque associé d’exposition des données
* 03:12 - Malentendus et défis liés au maintien de la cyberhygiène* 15:59 - Faire de la cyberhygiène une initiative commerciale
* 04:30 - Stratégies visant à encourager des pratiques plus saines en matière de cybersécurité au sein des entreprises* 18:24 - Conclusions
* 07:00 - Exemples pratiques montrant comment associer la cyberhygiène à des situations personnelles

 

Autres façons d'écouter :

vert plus

Dans cet épisode

Rich Davis
Directeur Marketing des Solutions Produits chez Netskope

signe chevron

Rich Davi

Richard Davis est directeur de la stratégie de solutions chez Netskope. Il fournit des informations et une expertise, pays par pays, sur la cyber-résilience et les défenses telles que la sécurité du cloud, les services de sécurité Edge et la gestion des risques, tout en supervisant la stratégie des produits et des solutions pour la région EMEA.

Davis est un professionnel chevronné de la cybersécurité avec plus de 20 ans d’expérience et est passionné par l’idée d’aider les organisations à protéger leurs employés et leurs données. Avant de rejoindre Netskope, Davis a occupé les postes d’architecte principal de solutions, de responsable des produits et des solutions pour la région EMEA, puis de stratège en cybersécurité chez Proofpoint.

Logo LinkedIn

Max Havey
Spécialiste principal du contenu chez Netskope

signe chevron

Max Havey

Max Havey est spécialiste principal du contenu au sein de l'équipe de communication d'entreprise de Netskope. Il est diplômé de l'école de journalisme de l'université du Missouri, où il a obtenu une licence et une maîtrise en journalisme de magazine. Max a travaillé comme rédacteur de contenu pour des startups dans les secteurs du logiciel et de l'assurance-vie, ainsi que comme rédacteur fantôme dans de nombreux secteurs.

Logo LinkedIn

Rich Davi

Richard Davis est directeur de la stratégie de solutions chez Netskope. Il fournit des informations et une expertise, pays par pays, sur la cyber-résilience et les défenses telles que la sécurité du cloud, les services de sécurité Edge et la gestion des risques, tout en supervisant la stratégie des produits et des solutions pour la région EMEA.

Davis est un professionnel chevronné de la cybersécurité avec plus de 20 ans d’expérience et est passionné par l’idée d’aider les organisations à protéger leurs employés et leurs données. Avant de rejoindre Netskope, Davis a occupé les postes d’architecte principal de solutions, de responsable des produits et des solutions pour la région EMEA, puis de stratège en cybersécurité chez Proofpoint.

Logo LinkedIn

Max Havey

Max Havey est spécialiste principal du contenu au sein de l'équipe de communication d'entreprise de Netskope. Il est diplômé de l'école de journalisme de l'université du Missouri, où il a obtenu une licence et une maîtrise en journalisme de magazine. Max a travaillé comme rédacteur de contenu pour des startups dans les secteurs du logiciel et de l'assurance-vie, ainsi que comme rédacteur fantôme dans de nombreux secteurs.

Logo LinkedIn

Transcription de l'épisode

Ouvert à la transcription

Max Havey [00 :00 :02] Bonjour et bienvenue à une nouvelle édition du balado Security Visionaries, un balado sur le monde des cyberdonnées et de l’infrastructure technologique, qui rassemble des experts du monde entier dans tous les domaines. Je suis votre hôte aujourd’hui, Max Havey, et aujourd’hui, nous parlons de cyberhygiène avec notre invité, Rich Davis, directeur du marketing des solutions produits chez Netskope. Comment ça va aujourd'hui, Rich ?

Rich Davis [00:00:21] Oui. Salut, Max. C'est super d'être ici. J'ai hâte de suivre la conversation d'aujourd'hui. C'est certainement une question qui me tient à cœur, car j'ai déjà abordé de manière très détaillée le facteur humain et la façon dont les humains peuvent influencer les choses. Et le sujet d'aujourd'hui va certainement dans ce sens.

Max Havey [00:00:36] Sans aucun doute. Alors oui, allons-y. Au début de l'année, nous avons tendance à assister à de nombreuses journées de sensibilisation à la cybersécurité. Des choses comme la Journée nationale du changement de votre mot de passe, qui aura lieu le 1er février ou aujourd'hui, c'est la Journée pour un Internet plus sûr. Mais d'après votre expérience, avez-vous trouvé que ce type de journées de sensibilisation est vraiment si efficace ? Par exemple, qu'est-ce que, selon vous, ils sont à l'origine du changement que recherchent réellement les professionnels de la sécurité lorsqu'il s'agit de gérer cet élément humain ?

Rich Davis [00:01:05] Oui, je veux dire, c'est bien sûr une arme à double tranchant. Tout d'abord, rien à reprocher à la publicité. Toute publicité, quelle qu'elle soit, est une bonne chose. Je pense que le problème, c'est que, comme pour tout ce genre de choses, cela peut devenir un peu... " OK, je vais le faire aujourd'hui et je l'oublierai un autre jour. " Et bien sûr, cela demande un effort tout au long de l'année. En ce qui concerne nos utilisateurs et ces personnes, ils constituent la première ligne de défense. Ils doivent donc y réfléchir, penser à la sécurité et à ce qu'ils font au jour le jour. Encore une fois, c'est super que nous nous concentrions là-dessus un jour en particulier. Pas si bien que ça, cela pourrait les amener à l'oublier une autre fois. Et cela se voit souvent dans les données. Si vous examinez certaines des données historiques sur le comportement des utilisateurs, vous constatez que si, vous savez, une semaine ou deux après, une formation de sensibilisation à la sécurité a lieu, vous obtenez un meilleur résultat, vous obtenez des taux de clics plus faibles grâce au contenu. Ils étaient plus susceptibles de faire ces choses. Ils se souviennent que des choses comme les alertes DLP (Prévention des pertes de données) diminuent également, mais qu’elles s’estompent ensuite. Et oui, c'est pourquoi ce genre de choses est plutôt efficace. Oui. Les organisations doivent vraiment penser que c'est une évolution constante. Jour après jour, semaine après semaine.

Max Havey [00:02:16] Absolument. La demi-durée de la formation à la sécurité est assez faible si l'on se fie à tout ce que m'ont dit les différents membres de l'équipe CSO ici présents. C'est donc une très bonne chose de trouver des moyens de garder cela dans la conscience tout au long de l'année. Mais une seule journée, cela semble globalement inefficace.

Rich Davis [00:02:32] Oui, très certainement. Et je pense que ces journées consacrées à la sécurité sur Internet et au changement de mot de passe devraient vraiment être résignées à cette corbeille d'antan. Et vraiment, nous devrions y réfléchir, vous savez, de manière bien plus globale.

Max Havey [00:02:47] Définitivement, il s'agit plutôt d'une conversation sur la cybersécurité qui dure toute l'année, au lieu de quelques jours où tout le monde est bien intentionné. Mais les résultats ne sont pas toujours exactement ceux que nous voulons.

Rich Davis [00:02:56] Nous devrions parler de vie plus sûre sur Internet. C'est vrai ?

Max Havey [00:02:59] Absolument. Et je suppose que cela nous amène à notre première grande question, qui est de penser à la cyberhygiène. Pourquoi trouvez-vous que la cyberhygiène peut être une tâche difficile, parfois fastidieuse, pour les organisations, qui doivent vraiment se fixer un objectif annuel ?

Rich Davis [00:03:12] Oui, je pense que cela tient en partie à un aspect historique. Donc, nous sommes tous passés par là, nous avons tous reçu ce mail que nous redoutons, et c'est cette période annuelle qui se passe avant votre entraînement et vous vous dites, oh, cela fait huit heures, je n'ai pas le temps pour ça. Et nous avons automatiquement cet avis négatif. Et je pense qu'en tant qu'individus, nous avons aussi ce sentiment intrinsèque que nous n'avons pas besoin de faire ça, que oui, nous avons du bon sens, nous savons ce que nous faisons. Je pense donc que cela joue certainement un rôle. Et je pense que c'est une partie du problème. Je pense aussi que trop souvent, tout est axé sur les avantages pour l'organisation et non sur les avantages pour l'individu. Et je pense qu'il y en a beaucoup et nous avons vu que cela fonctionne vraiment lorsqu'il est centré sur les membres de leur famille. Si vous pouvez l'étendre à, vous savez, comment assurer votre sécurité et celle de votre famille. Ensuite, je pense que les organisations ont plus d'impact parce que vous les rendez pertinentes pour chaque personne.

Max Havey [00:04:01] Faire appel à l'aspect personnel de l'utilisateur, c'est en quelque sorte le moyen de le rendre réel pour lui. Et il ne s’agit pas seulement, vous savez, de parler de données larges, abstraites et sensibles. C'est votre numéro de sécurité sociale. Il s'agit de s'assurer que vos mots de passe et vos informations bancaires sont sécurisés, comme s'il s'agissait d'informations personnelles identifiables pour une bonne raison. Dans le même ordre d'idées, dans le cadre de vos fonctions, comment avez-vous trouvé des moyens de promouvoir de meilleures pratiques en matière de cybersécurité au sein de votre organisation ? Peut-être vaut-il mieux mettre l'accent sur cet élément personnel qui fait partie de tout cela ?

Rich Davis [00:04:30] Oui. Et je pense que cela tient vraiment à deux choses. Tout d'abord, la façon dont vous concevez cette formation. Et oui, nous nous concentrons, vous savez, spécifiquement sur l'identité et les mots de passe dans une certaine mesure, mais bien sûr, de manière beaucoup plus large que cela. Je pense qu'il s'agit de ça, comme vous le dites, de le personnaliser. Et cela implique de donner des exemples concrets qui peuvent vous arriver à tous les deux sur le plan commercial, puis de les transmettre à quelque chose qu'ils peuvent comprendre, peut-être sur le plan personnel. Donc, relier le vol de vos cartes de crédit personnelles au vol du PIA de l'entreprise ou de la propriété intellectuelle. Et l'effet que cela peut avoir. Parce que encore une fois, vous le personnalisez, vous le rendez réel et vous le faites en sorte qu'il soit en quelque sorte lié à ce à quoi ils pensent jour après jour et à ce qui pourrait les intéresser personnellement. Je pense que si nous y pensons en termes de « l'autre côté », c'est le moment. Et quand on fait ça, je pense qu'il s'agit vraiment de l'alimenter au goutte-à-goutte tout au long de l'année. Je pense que les organisations n'ont qu'un certain temps à consacrer à la formation de leurs utilisateurs en un an, et trop d'organisations opteront pour " OK. Exact. Huit heures. Nous allons faire ou une fois pour vous à cette date. " Et en fait, un moyen bien plus efficace est de le décomposer. Oui, pour des raisons de conformité, vous pourriez avoir besoin de suivre certaines formations chaque année parce que vous devez répondre à ces exigences, mais en dehors de cela, il vaut mieux utiliser le temps. Il s'agit de l'alimenter au goutte-à-goutte et de suivre une formation juste à temps, mais aussi de l'adapter aux situations auxquelles l'entreprise est confrontée. Si vous le pouvez réellement, informez l'utilisateur et vos collaborateurs des types de menaces qui concernent votre organisation au lieu de les rendre trop génériques. Encore une fois, cela vous donne ce lien vers l'organisation. Ils peuvent comprendre pourquoi on leur demande de suivre certaines formations. Vous allez donc obtenir une meilleure réponse globale à cette formation. Et je l'ai vu de mes propres yeux dans ma vie passée en travaillant pour des organisations et en essayant de suivre l'évolution des comportements, en passant de ce type de programme une fois par an à un programme de formation beaucoup plus ciblé qui se déroule sur la période de l'année où vous diffusez du contenu au goutte à goutte, vous vous formez simplement, et vous élargissez les choses, beaucoup plus que cela, un apprentissage en ligne qui a lieu une fois par an sur ce portail.

Max Havey [00:06:44] Absolument. Et juste pour approfondir un peu plus, comme vous l'avez dit, vous savez, trouver des moyens d'adapter ce type de formations à chaque utilisateur de sa famille, dans sa vie quotidienne. Eh bien, pouvez-vous nous donner quelques exemples de ce à quoi cela ressemble et de la façon dont cela se déroule ?

Rich Davis [00:07:00] Oui. Permettez-moi de vous donner un exemple pertinent pour moi. J'ai des enfants qui viennent de devenir adolescents pour la première fois qui ont commencé à contrôler leurs propres comptes bancaires. Nous sommes passés de la prise en charge d’eux à l’accès à des applications sur leur téléphone et à la possibilité d’utiliser Apple Pay. Cela me concerne donc directement, mais cela se concentre ensuite sur la question de savoir comment protégez-vous cela ? Vous ne voulez pas que l'argent durement gagné, qui a pu être gagné grâce aux corvées ménagères, disparaisse du jour au lendemain parce que vous n'avez pas divulgué vos informations. C'est pourquoi, vous savez, très jeune, nous avons commencé à leur parler de la sécurité. Ils ont tous deux un gestionnaire de mots de passe dans lequel ils peuvent stocker leurs informations d'identification. J'ai expliqué pourquoi c'était nécessaire et j'ai essayé de l'adapter à la situation dans laquelle ils se trouvent. Je pense donc que c'est juste, vous savez, un excellent exemple de ce que vous pouvez essayer de faire pour que cela soit pertinent. Ils utilisent donc des gestionnaires de mots de passe jour après jour. Cela signifie qu'ils n'ont qu'un seul titre dont ils doivent se souvenir. Cela peut être complexe car il n'y a qu'une seule chose à retenir. Et il s'agit d'un enfant de 13 et 15 ans. Donc, s'ils peuvent le faire, vous savez, il n'y a aucune raison pour que tout le monde ne puisse pas faire la même chose d'un point de vue commercial. Ma fille me transmet maintenant, passe en revue et elle me dit : « Oh, papa, regardez comme c'est évident ». Et, vous savez, c'est juste un excellent exemple de ce que nous pouvons réellement constater, vous savez, les avantages de ce que nous faisons. Je pense qu'un autre bon exemple est de le rendre pertinent par rapport à ce que les gens comprennent au quotidien. Donc, si vous regardez YouTube, il y a eu une énorme série de piratages sur des chaînes YouTube très connues, y compris certaines des plus grandes chaînes technologiques et de sécurité du marché. Conseils techniques sur Linus. L'un des meilleurs conseils que beaucoup de monde regarde dans ce domaine. Leur compte YouTube a été piraté, et c'est vraiment quelqu'un qui applique les meilleures pratiques de sécurité, qui utilise des gestionnaires de mots de passe et utilise l'authentification à deux facteurs, mais il existe toujours un moyen de le contourner. Et c'est là que cet élément humain, encore une fois, doit entrer en jeu. Il ne s'agit pas simplement de protéger et d'empêcher les personnes d'y accéder, mais aussi de repérer et d'informer cette organisation très rapidement. Et dans ce cas précis, quelqu'un a remarqué un comportement inhabituel. Et au lieu d'essayer de le dissimuler en pensant qu'ils avaient fait quelque chose de mal, ils ont immédiatement contacté quelqu'un au sein de l'organisation et ils ont pu y faire face bien plus rapidement. Et encore une fois, cela revient à se demander quelle est votre exposition ? Même si quelqu'un a réussi à s'introduire dans une organisation, quels autres outils avez-vous mis en place ? Parce qu'il ne s'agit pas uniquement d'une question d'authentification. Et il est certain que lorsque nous parlons aux utilisateurs, il ne s'agit pas uniquement d'une question d'identité. Ils peuvent faire d'autres choses pour s'assurer de la protection des informations.

Max Havey [00:09:50] Absolument. Et pour double-cliquer sur ce que vous venez d'indiquer. Comment fonctionnent l'authentification multifactorielle et les principes Zero Trust, un autre terme que nous avons tendance à utiliser beaucoup dans cette émission et dans le monde entier dans les conversations sur la cybersécurité. Comment ce genre de choses joue-t-il un rôle en tant qu'outils que les organisations peuvent utiliser pour mieux promouvoir la cyberhygiène et poursuivre cette conversation ?

Rich Davis [00:10:12] Oui, de nombreuses initiatives ont été prises en faveur de l'authentification multifactorielle, et de nombreuses organisations l'utilisent aujourd'hui. Ils utilisent également la gestion des accès privilégiés pour adopter une approche encore plus approfondie de la plupart de ces accès privilégiés. Je pense qu'il y a toujours un moyen de contourner la situation. Lorsqu'un humain est impliqué, il y a toujours un moyen de contourner sa capacité à voler des jetons multifactoriels, en vous demandant de les saisir sur de fausses pages d'identification, puis en vous connectant immédiatement. Ensuite, ils peuvent, bien sûr, créer leur propre MFA. Il existe également un autre moyen de contourner la plupart de ces techniques. Ce n'est donc pas aussi simple que de mettre en place toutes ces meilleures pratiques. Les organisations doivent vraiment réfléchir au concept de prévention de la perte de données si le pire se produit. Je suppose qu'à un moment donné, l'un de mes utilisateurs va se faire voler ses informations d'identification. Quelqu'un va y accéder. Je dois limiter ce rayon de perte. Je dois limiter cette surface d'attaque. Et c'est là que des éléments tels que le principe Zero Trust entrent en jeu. Parce que si vous pensez à un utilisateur qui travaille jour après jour, dans un monde idéal, il devrait avoir le moins d'anxiété nécessaire pour faire son travail et rien de plus. Donc, si leur travail consiste à entrer dans une plateforme financière et à faire de la saisie de données. Ils devraient alors avoir accès à cette application uniquement. Vous devriez avoir mis en place des règles pour déterminer comment et quand ils peuvent y accéder. Mais surtout, ils peuvent effectuer toute une série d'actions. Ils n'ont pas besoin de consulter les rapports. Il n’est pas nécessaire qu’ils soient en mesure d’extraire des données et de les envoyer à des services publics de partage de fichiers, etc., ce qui, bien sûr, est exactement ce que cette attaque va obtenir lorsqu’ils essaient de voler cela, ils vont essayer d’extraire des informations, et ils vont essayer d’utiliser des services distants pour exfiltrer ces données. Et c'est là que réside tout ce concept de confiance réellement adaptative, je n'aime pas le terme Zero Trust. C'est fondé sur de bons principes, mais c'est vraiment une confiance adaptative continue. Il s'agit d'examiner la situation actuelle, d'examiner les actions, de prendre en compte différents critères, notamment l'authentification de l'utilisateur, sa localisation, ses actions, l'historique des actions par rapport aux actions en cours, pour prendre cette décision. Cela devrait-il se produire ou non ? Ainsi, en utilisant ce type d'approche, vous pouvez limiter votre surface d'attaque si le pire devait se produire. Vous pouvez également utiliser ce type de politiques pour déclencher des alertes lorsque les organisations commencent à constater une différence de comportement. Par exemple, l'analyse comportementale de l'UEBA ou des entités utilisateurs est un excellent outil, encore meilleur lorsqu'il est profondément intégré à de nombreux autres éléments de politique visant à piloter ce type de processus d'alerte et de réponse aux incidents.

Max Havey [00:12:55] Absolument. Et je pense que le fait d’alerter les utilisateurs lorsqu’ils font quelque chose de risqué et d’attraper ce genre de choses, ce type de protection des données est si essentiel. Il y a eu une série d’articles que Steve Riley, de notre équipe CSO, a écrit il y a quelque temps pour parler des applications SAS qui fuient et que les gens utilisent, qu’il s’agisse de messagerie Web, de compartiments Amazon S3 ou d’objets blob Azure, comme le fait de ne pas avoir les autorisations appropriées configurées pour ces différents services que les gens utilisent jour après jour. jour après jour, en s’assurant qu’ils gardent les choses relativement verrouillées et qu’ils n’exposent pas accidentellement des données parce qu’ils ne se rendent pas compte qu’ils ont laissé cela ouvert à toute personne sur Internet qui a ce lien. Tous ceux qui entrent par la force brute ou qui ont trouvé un moyen de s'y retrouver. C'est très facile de se contenter de mal configurer quelque chose dans un sens sans même se rendre compte de ce que vous avez fait.

Rich Davis [00 :13 :45] Oui, et si nous regardons beaucoup d’incidents que nous avons eus au cours des deux dernières années, c’est simplement qu’il s’agit d’organisations qui n’ont pas nécessairement eu un compte compromis et un accès de cette façon, mais simplement des données qui se trouvaient au mauvais endroit auxquelles quelqu’un a accès et auxquelles il n’aurait pas dû avoir accès. Que ce soit public ou qu'il s'agisse d'un membre de votre organisation qui a accès à du contenu qu'il ne devrait peut-être pas consulter et qui le place ensuite à un endroit où il ne devrait pas le mettre, il ne devrait pas y avoir accès au départ, puis il est transféré à un endroit où il ne devrait pas le faire. Et c’est, bien sûr, l’autre aspect du facteur humain, qui consiste à former et à aider nos utilisateurs à comprendre la meilleure façon d’utiliser les systèmes et où ils devraient et ne devraient pas placer les données. Bien entendu, cela passe à un tout autre sujet dont nous pourrions parler tout au long de la journée avec les utilisateurs, à savoir si nous leur facilitons la tâche. Vous savez, les gens utilisent des outils parce que c'est facile, non ? Parce que c'est facile de faire avancer les choses. Et c'est tout un sujet en soi lié à la mise en place de solutions, de méthodologies d'accès qui permettent à l'utilisateur de faire son travail facilement. Si vous pouvez intégrer ces mécanismes, permettre à l'utilisateur de faire son travail facilement, tout en respectant les limites autorisées par cette entreprise et les contrôles de sécurité mis en place. Ils n'emprunteront pas ces autres voies pour essayer de contourner ces outils. Encore une fois, un sujet dont nous pourrions parler pendant des heures et des heures, mais qui est étroitement lié à cette philosophie selon laquelle l'authentification n'est qu'un aspect de ce concept de confiance adaptative continue.

Max Havey [00:15:14] Eh bien, cela nous introduit spécifiquement pour boucler la boucle. Vous savez, une journée pour changer de mot de passe est une bonne excuse pour changer leur mot de passe, mais beaucoup de personnes vont recevoir cette notification de changement de mot de passe, et ils vont la remettre au lendemain, au lendemain et au lendemain, puis ils ne changeront pas leur mot de passe tant qu'ils n'auront pas absolument à. Cela devient donc un peu frustrant pour certains utilisateurs. Et je pense que c'est une façon intéressante de réunir tout cela ici, où le fait d'avoir ce type de pratique de cyberhygiène tout au long de l'année, de faire en sorte que tout se poursuive, cela ne résoudra pas tous les problèmes, mais le fait de poursuivre cette conversation et de collaborer avec votre organisation signifie en fin de compte que vous n'avez pas que ces quelques jours. Vous savez, je ne pense à la cybersécurité qu'un jour par an où je dois absolument changer mes mots de passe.

Rich Davis [00:15:59] Et bien sûr, la seule chose que nous ne voulons pas qu'ils fassent, c'est qu'ils changent leur mot de passe pour un mot de passe facile à retenir, qui se trouve juste à la fin de leur livre. Ou ajoutez une feuille de calcul Excel. Quel est l'autre inconvénient du changement de mot de passe, non ? Et exiger des mots de passe sur plusieurs systèmes. Donc oui, c'est pourquoi je suis fervente en faveur d'un gestionnaire de mots de passe. vous n'avez qu'un mot de passe complexe dont vous pouvez vous souvenir. Vous faites une rotation régulière. Et bien sûr, nous changeons les mots de passe aussi parce que c'est une bonne pratique de bloquer quelqu'un. Donc, si quelqu'un y a accès, son compte est bloqué. Et c'est principalement l'une des raisons pour lesquelles nous le faisons. Mais en fin de compte, tout dépend de cet utilisateur. Nous devons faciliter les choses pour les utilisateurs. Nous devons expliquer aux gens pourquoi c'est si important, et nous devons mettre en place des outils qui les aideront réellement à prendre la bonne décision et à ne pas retomber dans ces mauvaises pratiques.

Max Havey [00:16:54] Absolument. Et amenez-nous à la fin de nos questions. Rich, si vous deviez donner un conseil aux professionnels de la sécurité en matière de cybersécurité et, vous savez, faciliter les choses et améliorer ces processus dans leur ensemble pour en faire un sujet de conversation tout au long de l'année, quel serait ce conseil ?

Rich Davis [00:17:10] Eh bien, j'ai parlé à de nombreux dirigeants, au-delà de la partie sécurité de l'organisation. Et là où je pense que les organisations ont la meilleure approche, c'est lorsqu'il s'agit d'une initiative commerciale. Beaucoup de personnes y voient une initiative de sécurité, mais il s'agit d'une initiative commerciale. Donc, obtenir l'adhésion de vos dirigeants, obtenir des sponsors, demander à un PDG de faire une petite vidéo expliquant pourquoi c'est important, faire en sorte que les chefs d'entreprise s'approprient leurs propres outils et les aident à les diffuser auprès de leur personnel sont essentiels pour y parvenir. Mon seul conseil est donc de réfléchir, si ce n'est pas déjà fait, à la manière dont vous pouvez passer d'une initiative de sécurité à une initiative commerciale de plus en plus large.

Max Havey [00:17:55] Absolument. La solution qui attirera le plus d'attention là-dessus, qui impliquera le plus de monde là-dedans. Cela ne prend donc pas une ampleur plus importante. Personne ne veut faire la une des journaux pour une faille de sécurité ou quoi que ce soit d'autre à cause d'un problème de cybersécurité. En fin de compte, c'est pour le bien de l'ensemble de l'organisation pour laquelle vous travaillez de faire cet effort.

Rich Davis [00:18:11] Oui, 100 %.

Max Havey [00:18:12] Excellent. Eh bien, Rich, j'imagine que vous et moi pourrions probablement continuer à en parler pendant environ une heure, mais je pense que nous arrivons à une heure. Merci beaucoup de vous être jointe à nous. C'était une super discussion, et vous avez eu beaucoup de points de vue à apporter ici.

Rich Davis [00:18:24] Max, je dois juste dire que c'était un plaisir de me joindre à vous aujourd'hui. J'espère que certains de nos auditeurs auront au moins, vous savez, une ou deux informations, qu'ils pourront extraire du podcast d'aujourd'hui et vous ramener dans leur organisation.

Max Havey [00:18:37] Excellent. Vous avez écouté le podcast Security Visionaries, et je suis votre animateur, Max Havey. Si vous avez aimé cet épisode, partagez-le avec un ami et abonnez-vous à Security Visionaries sur la plateforme de podcast de votre choix. Vous pouvez y écouter notre catalogue d'épisodes et rester à l'affût des nouveaux épisodes qui sortent toutes les deux semaines, animés par moi ou par ma co-animatrice, la merveilleuse Emily Wearmouth. Nous vous verrons dans le prochain épisode.

Abonnez-vous à l'avenir de la transformation de la sécurité

En soumettant ce formulaire, vous acceptez nos Conditions d'utilisation et reconnaissez avoir pris connaissance de notre Déclaration de confidentialité.