[ Steve Riley : Je dirais qu'il y a beaucoup de pouvoir dans les simples, le cadre politique unique, la console unique, l'agent unique. J'ai parlé à de nombreuses personnes qui se plaignent d'avoir à se connecter à plusieurs consoles, à plusieurs classes uniques, comme certains pourraient le dire, et elles adorent le fait que lorsqu'elles viennent sur Netskope, il n'y a qu'un seul endroit. Les célibataires nous aident à éliminer tous ces acronymes et toutes les façons... Penser différemment les différentes destinations, avoir un état d'esprit politique unifié.
Producteur 1 : Bonjour et bienvenue aux Visionnaires de la sécurité. Vous venez d'entendre l'invité d'aujourd'hui, Steve Riley, directeur technique de terrain chez Netskope. Avec la publication du Magic Quadrant de Gartner pour les services de sécurité de pointe, les leaders du secteur s'efforcent de faire partie de la révolution, qu'il s'agisse d'automatiser leurs environnements, d'investir dans de nouvelles compétences pour leur personnel ou de prendre en compte le climat économique. Ce ne sont là que quelques-uns des défis auxquels ils sont confrontés au cours de leur voyage. Avant de nous plonger dans l'interview de Steve, voici un bref mot de notre sponsor.
Producteur 2 : Le podcast des visionnaires de la sécurité est alimenté par l'équipe de Netskope. Chez Netskope, nous redéfinissons la sécurité des nuages, des données et des réseaux grâce à une plateforme qui offre un accès optimisé et une sécurité sans confiance pour les personnes, les appareils et les données, où qu'ils se trouvent. Pour en savoir plus sur la façon dont Netskope aide ses clients à être prêts à tout au cours de leur parcours SASE, visitez N-E-T-S-K-O-P-E dot com.
Producteur 1 : Sans plus attendre, voici un épisode bonus de Security Visionaries avec Steve Riley, directeur technique chez Netskope, et votre hôte, Mike Anderson.
Mike Anderson : Bienvenue dans cet épisode du Podcast des Visionnaires de la Sécurité. Voici votre hôte, Mike Anderson. Je suis le Chief Digital and Information Officer chez Netskope. Je suis accompagné aujourd'hui par une légende dans le domaine de la sécurité, Steve Riley, ancien analyste de Gartner et actuel directeur technique de Netskope. Steve, comment allez-vous aujourd'hui ?
Steve Riley : Je vais bien. Merci, Mike. Comment vous sentez-vous ?
Mike Anderson : Je vais bien. Je vais bien. J'apprécie toujours nos conversations et toute l'histoire. Vous avez tant de belles histoires à raconter.
[ Steve Riley : Je dois maintenant le dire à certains d'entre eux. Oh, de quoi vais-je me souvenir ?
Mike Anderson : L'une des anecdotes toujours amusantes, Steve, c'est quand vous étiez à, je crois que c'était l'une des grandes conférences de Microsoft, peut-être la tech ed ou la conférence des développeurs, vous vous êtes levé et vous avez parlé de la sécurité et vous avez enthousiasmé tout le monde pour la sécurité chez Microsoft, ce qui était une sorte d'oxymore à l'époque. Mais peut-être pourriez-vous raconter à nouveau cette histoire.
Steve Riley : Oui. Ce n'était peut-être pas la première fois que je parlais de technologie, mais la deuxième. J'ai dû faire une présentation dans la grande salle sur les nouveautés en matière de sécurité de Windows XP. Je me tenais sous la douche ce matin-là, essayant de penser, "Comment vais-je dire à cette foule géante de gens pour qu'ils prêtent au moins attention à cette personne aléatoire ?" et cela m'est finalement apparu. Je suis donc monté sur scène et j'ai dit : "Très bien, je vais diviser la salle en deux. Tout le monde de ce côté, quand je lève mon bras gauche, je veux que vous criiez Windows, et tout le monde de l'autre côté, quand je lève ma main droite, je veux que vous criiez sécurité. Très bien, maintenant pratiquons." "Fenêtres." "Sécurité." Alors, vous savez, moquez-vous de la partie droite parce qu'elle était un peu anémique. "Ah, vous êtes nuls. Essayons encore une fois, alors faites-le trois fois, d'accord ? "Fenêtres." "Sécurité." "Fenêtres." "Sécurité." Puis j'ai dit : "Vous voyez ? À force de le répéter, on finit par croire que c'est la vérité, n'est-ce pas ?" Lorsque 9 000 personnes rient de ce que vous venez de dire, c'est comme si "Ok, je veux faire ça pour le reste de ma vie." [rires]
Mike Anderson : Absolument. Nous allons donc entamer la conversation aujourd'hui. La nouvelle est tombée. Le nouveau Magic Quadrant de Gartner a été publié pour Security Service Edge, et il est évident que nous, qui travaillons tous deux chez Netskope, sommes très enthousiastes à propos des résultats.
Steve Riley : Oh oui. J'en suis certain.
Mike Anderson : Avant de nous plonger dans ce sujet, j'aimerais revenir sur le sujet. Et vous avez travaillé chez Gartner pendant un certain temps. Ensuite, vous avez été en quelque sorte, je dirais, l'un des parents de tout le Security Service Edge, si l'on pense au Zero Trust Network Access. Je sais que vous aimez l'acronyme que vous avez créé, ZTNA, parce qu'il contient le mot réseau. Ce sera mon sarcasme de la journée. Je veux commencer par là. Parlons un peu de votre parcours avant d'entrer dans le vif du sujet, juste pour que les gens comprennent le contexte de votre expertise dans ce domaine spécifique.
Steve Riley : C'est vrai. J'ai été embauché par Gartner dans le domaine de la gestion des risques de sécurité, en me concentrant spécifiquement sur la sécurité des nuages publics. C'est donc sur ce point que j'ai conseillé et guidé nos clients pendant toute la durée de mon mandat, soit environ cinq ans et demi, sur la manière de sécuriser les nuages IaaS comme AWS et Azure. Un peu de GCP. Ce n'est pas très populaire parmi les clients de Gartner. Mais il y a aussi beaucoup de conversations sur la façon de sécuriser les applications SAS comme Office 365 et d'autres applications populaires. En fait, à l'époque où je passais un entretien chez Gartner, l'un des processus d'entretien consistait à se présenter dans un bureau, à se faire enfermer dans une pièce et à disposer de 90 minutes pour rédiger une note de recherche à partir de son cerveau. Vous n'avez pas de connectivité internet, rien du tout, et le sujet que j'ai reçu était, comment être sécurisé dans Office 365. J'ai donc utilisé tout ce dont je me souvenais à ce sujet et j'ai rédigé une note d'environ trois pages, et j'ai décidé que ma première note réelle chez Gartner serait une version plus complète de cette même chose, et je pense que cela a toujours été l'une de mes notes les plus rouges, parce que les gens ne savaient tout simplement pas comment ils pouvaient être sécurisés dans les applications SaaS, ce qui est intéressant quand vous y réfléchissez, parce que dans les services IaaS, ils ont généralement tendance à avoir des paramètres sécurisés par défaut. Vous entendez parler de ces seaux qui fuient et ce sera toujours le cas. C'est parce que quelqu'un a changé la valeur par défaut pour quelque chose de plus faible.
Steve Riley : Dans les applications SaaS, c'est très différent. La plupart des dispositifs de sécurité sont désactivés. Vous devez l'activer. Vous voudrez peut-être savoir : "Pourquoi ?" De nombreuses applications SaaS facilitent la collaboration et la sécurité y fait parfois obstacle, c'est pourquoi la plupart des contrôles sont désactivés. Mais si vous réfléchissez à la sécurité des applications SaaS, seule une poignée d'entre elles disposent d'une sécurité intégrée décente. La plupart d'entre eux n'ont rien du tout, et c'est ce qui a donné naissance à tout le marché des courtiers en sécurité d'accès au nuage, où Netskope a commencé, car c'est peut-être le meilleur exemple que vous puissiez imaginer où la sécurité bolt-on fonctionne réellement. Vous en entendez parler tout le temps, vous ne pouvez pas boulonner la sécurité, vous devez l'intégrer. C'est vrai si vous écrivez vos propres applications, mais pour le SaaS, vous n'êtes pas propriétaire de l'application. Si vous voulez le sécuriser, la seule option qui s'offre à vous est de boulonner quelque chose, et c'est ce que font très bien les CASB.
Steve Riley : J'ai appris à apprécier cette technologie. Il existait déjà un guide de marketing pour CASB lorsque je suis arrivé, mais je me suis dit : "Nous devons faire un Magic Quadrant pour ce produit." Le premier a eu lieu en 2017 et Craig Lawson et moi-même en étions les co-auteurs. En 2018, nous avons ajouté la note sur les capacités critiques et nous avons poursuivi dans cette voie. C'est à la fin du cycle 2020 que Craig et moi avons commencé à remarquer qu'il y avait beaucoup de chevauchements entre les fournisseurs de CASB et de SWG, et nous avons commencé à nous dire : "Hey, ces marchés ont l'air de vouloir converger." Nous avons réuni d'autres analystes lors d'une conférence téléphonique et nous avons plaidé en faveur de la suppression des deux quadrants magiques distincts pour CASB et SWG et du lancement d'un nouveau quadrant. Certains voulaient simplement retirer le CASB et renommer le SWG, mais Craig et moi avons pensé qu'il était important d'indiquer aux acheteurs que ces marchés, tous deux, ne sont plus utiles en tant que marchés autonomes. Nous retirons donc les deux MQ et nous avons un nouveau MQ avec un nouveau nom, et cela s'est produit juste avant mon départ.
Mike Anderson : C'est très bien. Et si nous regardons l'année dernière, le Magic Quadrant a été publié, c'était un grand début, et évidemment c'est un... Le Secure Access Service Edge, les guides qui ont été publiés à ce sujet et les études de Gartner, la pile de sécurité a toujours été une sorte de Security Service Edge dans ce contexte. Expliquez-nous donc pourquoi le SSE MQ de l'année dernière était si important, et en particulier comment il contribue à renforcer le concept de Secure Access Service, Edge ou SASE ?
Steve Riley : Si vous repensez à certains des diagrammes originaux que Gartner avait produits avec SASE, il y avait un tas d'éléments de réseau sur le côté gauche ; le routage et la commutation, le SD-WAN, l'optimisation WAN et le DNS. Toutes ces choses sont responsables de l'acheminement des paquets d'un endroit à un autre. Le côté droit était constitué d'un ensemble d'éléments de sécurité : CASB, SWG, VPN, DLP et IAM, ainsi que tous les éléments qui permettent de s'assurer que les bons éléments parviennent à la bonne destination et que les mauvais éléments n'y parviennent pas. Au fil du temps, ils ont commencé à s'effondrer, et nous avons vu récemment un diagramme simplifié de Gartner, où le côté gauche ne représentait que le SD-WAN. Et qu'est-ce que cela dit ? Cela dit, une grande partie des fonctions de mise en réseau qui étaient formellement séparées, peut-être des boîtes séparées, parfois des fournisseurs séparés, ont été regroupées autour du SD-WAN. Le SD-WAN était le mécanisme global que les gens utilisaient pour faire circuler les bits, et les autres fonctions sont devenues des caractéristiques du SD-WAN.
Steve Riley : L'émergence de SSE fait pour la sécurité ce que SD-WAN a fait pour le réseau. Il a pris tous les mécanismes utilisés par les gens pour accéder aux données et les a regroupés en une seule plateforme. Parfois, il peut s'agir d'un simple portefeuille, mais les plus efficaces sont les plates-formes uniques avec une seule politique, un seul agent. J'aime toujours penser que la montée en puissance de SSE signifie que nous n'avons plus besoin de réfléchir à des outils distincts pour régir l'accès au SaaS, au Web ou aux applications privées. Nous voulons régir l'accès et utiliser la même méthodologie de protection des données quelle que soit la destination, alors pourquoi avons-nous tous ces outils différents ? Je veux m'en débarrasser. Je veux un seul outil pour gérer l'accès à toutes les destinations afin que mes politiques soient cohérentes et que l'expérience de l'utilisateur soit beaucoup plus agréable.
Mike Anderson : C'est une excellente remarque. Je vois certainement beaucoup de choses autour de chacun de ces outils qui ont aussi, souvent, leur propre agent, leur propre matériel qui se trouve en ligne dans les organisations, et la personne qui a des problèmes de connexion appelle un service d'assistance et c'est, "Ok, quel est le problème ?" "Tout d'abord, à quelle application essayez-vous de vous connecter ?" Il s'agit d'un ensemble de problèmes tout à fait différent, qui va au-delà de la politique, et qui a des effets en aval sur le reste de l'organisation, en créant une expérience extraordinaire pour les employés. Je constate donc qu'elle prend de l'ampleur. Je serais curieux de savoir, d'après votre point de vue et les conversations que vous avez, ce qui est différent aujourd'hui par rapport à il y a un an en ce qui concerne l'acceptation de Security Service Edge dans le contexte de SASE ?
Steve Riley : Je dirais que la notoriété de ces marchés a légèrement augmenté. On a encore parfois l'impression que lorsque l'on évoque ces acronymes, les gens sont un peu perdus. Tout le monde sait ce qu'est un GDS, certains savent ce qu'est la ZTNA. Encore moins de gens savent ce qu'est le CASB. Je viens de voir un récent rapport de Gartner sur l'adoption des technologies qui, curieusement, semblait positionner le CASB comme quelque chose que les gens étaient encore en train de piloter. Je ne suis pas sûr d'être d'accord avec cette affirmation, je pense que c'est bien plus que cela aujourd'hui, surtout si vous regardez où en est le cycle de l'engouement pour la sécurité dans les nuages. Lorsque je m'adresse aux gens, je veux mettre de côté les acronymes et m'assurer que les données vont là où elles sont censées aller et ne vont pas là où elles ne sont pas censées aller, et que les bonnes personnes ont accès aux bonnes données au bon moment et pour les bonnes raisons. Lorsque j'utilise ce type de cadre et que je ne mentionne même pas les noms des marchés, les gens disent : "Oh oui, j'ai vraiment besoin de cela," ou, plus intéressant encore, ils disent : "Oh oui, je fais déjà cela," et ensuite : "Oh bien, comment faites-vous cela ?" Et ils disent : "J'ai acheté ce produit à ce vendeur," et ils ne savent même pas [petit rire] comment s'appelle le marché. Je pense donc que j'aimerais beaucoup que nous trouvions un moyen de mettre de côté les noms des marchés et de parler des fonctions offertes, pour nous concentrer sur la valeur qu'ils en retirent.
Mike Anderson : Je suis tout à fait d'accord. Vous et moi avons eu cette conversation depuis... En tant que DSI, lorsque je regarde les choses, je me demande quel est le problème que j'essaie de résoudre. La première question que je pose à mon équipe est la suivante : "D'accord, vous m'apportez une technologie. D'accord, dites-moi quel problème nous sommes en train de résoudre. Et si nous le résolvons, quelle valeur cela va-t-il créer pour notre organisation, et quel est le niveau d'effort requis pour obtenir cette valeur par rapport à d'autres choses que nous pourrions faire également ?" C'est donc toujours un... L'établissement impitoyable de priorités est un élément clé pour les dirigeants, car ils doivent s'assurer qu'ils font les bons investissements et qu'ils obtiennent les bons résultats pour leur organisation. Si l'on double-clique sur certaines de vos conversations, quelles sont les choses que vous entendez spécifiquement ? Y a-t-il des surprises ?
Steve Riley : Je dirais que de plus en plus d'organisations trouvent un intérêt à réunir les équipes d'infrastructure et de sécurité, mais ces silos ou ces cylindres d'excellence, comme nous pourrions les appeler, existent toujours.
Steve Riley : En fait, plus tôt dans la journée, j'ai eu un appel avec un client qui voulait savoir, "Comment pouvons-nous démonter ces cylindres d'excellence parce que c'est le plus grand défi que j'ai à relever pour tirer le maximum de valeur de SASE ?" Et je me dis : "Ils doivent juste trouver des raisons de travailler ensemble. Il s'agit de deux, voire parfois de trois groupes de personnes qui se donnent beaucoup de mal les uns les autres sur le plan professionnel et social. Cela ne marchera pas. Lorsque les outils se mélangent, lorsque les objectifs deviennent communs, vous devez trouver une raison, je pense, pour que ces équipes veuillent coopérer, et c'est une chose qui est plutôt cool à propos de ZTNA, si je veux ramener un nom de marché dans la conversation pendant une minute, c'est que... Je l'ai entendu à Gartner et j'ai un certain nombre de personnes ici à Netskope qui l'entendent aussi, les projets ZTNA s'avèrent souvent être l'une des premières choses qui s'affichent comme un exercice de collaboration. L'infrastructure et la sécurité travaillent ensemble et conçoivent une nouvelle façon de fournir un accès à distance aux applications. Il fonctionne vraiment très bien. En fait, le client que je mentionnais également a dit qu'il en avait eu un aperçu en essayant d'explorer certaines des possibilités offertes par l'accès privé de Netskope, et qu'il avait déjà vu des exemples de personnes chargées de la sécurité et de l'infrastructure qui, de leur propre chef, prenaient contact avec nous et avaient des conversations individuelles. Pas encore au niveau de l'équipe. Ils pensent que cela ne saurait tarder.
Mike Anderson : Vous soulevez un bon point, car je pense que l'une des choses que je dis toujours aux gens quand je leur parle de l'accès privé Netskope ou de l'accès au réseau sans confiance, c'est le terme pour lequel nous pouvons évidemment vous remercier. Lorsque je leur parle de cela, je leur dis que vous devez ajouter une étape supplémentaire dans votre processus de gestion du changement, alors qu'auparavant les propriétaires d'applications devaient fournir un accès à cet utilisateur dans cette application, pour qu'il ait la possibilité de se connecter. Je dois maintenant franchir une étape supplémentaire qui ne consiste pas à savoir si j'ai accès au réseau, mais si j'ai accès à l'application. Vous devez donc être explicite sur ces questions de création, ce qui nécessite une coordination. Vous soulevez donc un très bon point. Cela va au-delà de la simple mise en réseau, cela va jusqu'au... De nombreuses autres équipes sont impliquées dans ce processus pour s'assurer que l'accès se déroule comme il se doit.
Steve Riley : Une chose qui m'a surpris lorsque je repense à mes interactions avec les gens au cours de l'année dernière, c'est que les gens semblent comprendre facilement les principes de la confiance zéro, mais qu'ils ont du mal à savoir comment s'y prendre.
Steve Riley : En général, j'essaie d'expliquer qu'une bonne stratégie de confiance zéro ne fonctionne vraiment que lorsque vous disposez des bons instruments pour recueillir des signaux et évaluer le contexte de l'utilisateur, de l'appareil, de l'application, des données, la gamme normale, le qui, le quoi, l'où, le quand, le pourquoi. Comment faire ? Vous avez besoin d'un IAM, d'une protection des points finaux et d'un SSE. Ce qui est surprenant, c'est que les gens sont choqués d'apprendre qu'ils l'ont déjà ou qu'ils sont en train de l'acquérir, n'est-ce pas ? Il s'agit d'une technologie. Ils n'ont tout simplement pas changé d'état d'esprit. "Comment puis-je commencer à appliquer les principes de la confiance zéro ?" Un exemple que j'aime donner est celui de la mise en œuvre d'un projet d'accès au réseau sans confiance. Cela vous permettra de vous familiariser avec les principes, d'introduire une nouvelle technologie sans avoir à remplacer quoi que ce soit, et de cohabiter avec tout ce que vous utilisez pour l'accès à distance aux applications internes. Une fois que vous vous êtes familiarisé avec ce nouveau langage, avec la façon dont les outils fonctionnent, il n'est pas si difficile de penser que... Vous aviez déjà appliqué les principes de confiance zéro aux applications SaaS avec un CASB, même si personne n'avait encore associé ces mots, et ils se sont alors dit : "Oh, c'est vrai. Je ne l'ai pas fait." Il est donc agréable de constater que les gens reconnaissent maintenant que ce n'est peut-être pas aussi difficile qu'ils le pensaient il y a un an.
Mike Anderson : Oui, cela n'aide pas l'industrie... Vous et moi avons eu cette conversation ad nauseam, mais cela ne sert à rien lorsque tous les vendeurs du monde disent qu'ils sont un produit de confiance zéro. Parfois, vous dites que la confiance est nulle et vous voyez les DSI et les RSSI lever les yeux au ciel : "Oui, d'accord, vous êtes les milliers d'entreprises qui ont dit qu'elles résolvaient le problème de la confiance zéro pour moi." Mais je pense que vous soulevez un point important. Je pense que le point d'application de la politique entre les utilisateurs et les applications consiste à appliquer une posture de confiance zéro du point de vue de l'accès, et je pense que c'est quelque chose que je vois que les gens commencent à comprendre de plus en plus. Je pense que certaines entreprises vont jusqu'à dire : "Ecoutez, je vais faire en sorte que ce soit le seul moyen d'accès aux applications dans mon environnement, avec quelques cas de figure pour les personas qui ont vraiment besoin d'un accès au réseau, mais ils sont de moins en moins nombreux. Et donc les gens, les choses que vous avez évoquées plus tôt, le routage, la commutation, et certaines de ces choses qui existent, les tables d'écriture complexes, disent, "Vous savez quoi, nous avons vraiment besoin de toutes ces choses encore, ou avons-nous juste besoin d'un accès à l'Internet et laisser cette nouvelle plomberie faire le reste pour nous ?" C'est donc quelque chose que je commence à voir et à entendre sur le marché de la part des DSI et des RSSI.
Steve Riley : J'ai entendu beaucoup de choses similaires.
Mike Anderson : Oui, j'ai une prédiction pour vous, vous aimez les prédictions, je le sais, c'est qu'il va y avoir un nouveau titre, ce sera Chief Infrastructure Security Officer (responsable de la sécurité des infrastructures). Le I va donc devenir l'infrastructure, parce que j'ai parlé à quelques personnes au cours des deux derniers mois qui ont en fait déplacé non seulement la mise en réseau, mais toute l'équipe d'infrastructure et l'équipe de sécurité sous un seul chef, et je commence à voir une tendance à cet égard, parce que ce qui s'est passé, c'est que les querelles intestines ? Ce qui s'est passé, c'est que le budget de l'infrastructure a été réduit pour créer le financement de l'équipe de sécurité, et c'est là qu'il y a eu des frictions parce que le budget continue d'aller à la sécurité, parce qu'il doit bien venir de quelque part, parce que le PDG ne diminue pas ses prévisions de bénéfices par action pour couvrir l'investissement plus important dans la sécurité, donc ils déplacent les pièces, mais ensuite les exigences de l'équipe de sécurité reviennent à l'équipe d'infrastructure en disant, "Mettez ceci en place."
Mike Anderson : Et l'équipe chargée de l'infrastructure dit : "Vous venez de prendre tout mon personnel et mon budget. Comment suis-je censé faire cela ?" C'est donc une partie des frictions inhérentes que nous observons sur le marché. C'est pourquoi je pense que l'intégration de ces équipes est une bonne chose. Les DSI avec lesquels je m'entretiens affirment que cette approche est couronnée de succès.
Steve Riley : C'est très bien. Il s'agit là d'une autre représentation de la consolidation de ces deux domaines autrefois distincts. Cela me plaît.
Mike Anderson : Oui, c'est intéressant aussi, parce que souvent on obtient un alignement au plus haut niveau, mais là où les choses s'effondrent, c'est quand on arrive aux gens qui font le travail et qui mettent les doigts sur les claviers, parce que pour eux c'est, "Comment ce changement va-t-il impacter mes moyens de subsistance ?" La psychologie humaine et la hiérarchie des besoins de Maslow entrent donc en jeu pour les personnes qui font ce travail tous les jours, parce qu'il s'accompagne de changements, et je pense que c'est ce que les gens réalisent aussi, lorsqu'ils combinent ces équipes, quel est l'impact du changement qui va se produire, et comment ils accompagnent les gens dans ce changement. C'est l'une des choses que les gens commencent à comprendre. Si nous double-cliquons sur ce point, nous obtenons notre positionnement. Comment notre positionnement informe-t-il les clients lorsqu'ils réfléchissent à leur parcours SASE ? Comment aidons-nous les gens à cet égard en nous positionnant sur le marché ?
Steve Riley : Je dirais qu'il y a beaucoup de pouvoir dans les simples, le cadre politique unique, la console unique, l'agent unique. J'ai parlé à de nombreuses personnes qui se plaignent de devoir se connecter à de multiples consoles, à de multiples lunettes, comme certains voudraient le dire, et qui apprécient le fait que lorsqu'elles viennent à Netskope, elles n'ont qu'un seul point de contact. Les célibataires nous aident à éliminer tous ces acronymes et toutes les façons... Penser différemment les différentes destinations et avoir un état d'esprit politique unifié. Cependant, je pense que je serais négligent si je ne disais pas aussi que de temps en temps, pas souvent, mais occasionnellement, lorsque certaines personnes sont confrontées à une seule console, des disputes éclatent pour savoir qui doit s'asseoir devant cette console. [ "Sérieusement ?" Mais cela s'est produit, et c'est pourquoi nous signalons aux gens qu'il peut y avoir un accès basé sur les rôles et différentes tranches de la console pour différents rôles, si vous voulez faire quelque chose comme ça et aider à éliminer certaines de ces préoccupations. Mais je dirais que c'est l'une des choses que Gartner a vraiment appréciées, c'est la puissance des célibataires, qui nous a aidés à nous déplacer si loin vers la droite et vers le haut dans le MQ.
Steve Riley : Mais je dirais aussi que cela nous prépare très bien à une position tout aussi bonne s'il y a un jour un Magic Quadrant SASE. Si vous regardez le guide du marché des fournisseurs uniques de SASE publié précédemment, nous sommes le seul fournisseur de SSE répertorié parce que nous avons maintenant un SD-WAN. Les autres participants à ce guide du marché sont tous issus de l'espace SD-WAN et ajoutent des capacités de sécurité au fil du temps. Il y a un an et demi environ, nous avons été confrontés à une décision : ". Voulons-nous nous lancer à fond dans l'informatique dématérialisée ? Voulons-nous nous lancer à fond dans le SASE ?" L'acquisition d'Infiot a clairement montré que nous allions nous lancer à fond dans le SASE, et je pense que c'est peut-être l'une des meilleures décisions que Netskope ait jamais prises. Nous sommes bien positionnés pour capter, je pense, une grande partie des activités de SASE au fur et à mesure qu'elles se présentent.
Mike Anderson : Oui, c'est passionnant de voir le... En ce qui concerne l'intégration, la capacité à garantir la qualité du service au niveau de l'application de la sanction. Nous essayons de nous assurer que nous obtenons un bon étiquetage sur les applications sanctionnées et non sanctionnées. Désormais, les équipes qui contrôlent les tuyaux du réseau ou du SD-WAN et qui se trouvent devant cette partie de la console peuvent définir des contrôles de bande passante autour de ces applications sanctionnées pour dire : "Donnez plus de bande passante aux applications sanctionnées qu'à celles qui ne le sont pas," et il y a beaucoup d'autres cas d'utilisation que nous pouvons voir de ce côté-là. C'est intéressant, je dis toujours aux gens qu'il y a une grande différence entre une meilleure suite et une plateforme unique. Vous ne pouvez pas appeler un "best-of-suite" une suite de produits. Ce n'est pas parce qu'une entreprise achète quelqu'un et y appose son nom qu'elle est intégrée du point de vue du client. Veillez donc à investir dans vos propres plates-formes, car c'est là que vous obtiendrez le plus d'efficacité sur le plan organisationnel. Pour ce qui est de la politique WAN, c'est la capacité qu'elle vous offre si vous l'envisagez dans le bon contexte.
Steve Riley : Plus les clients peuvent envoyer de trafic vers Netskope, plus ils peuvent tirer profit de ce que nous sommes en mesure d'offrir. Et l'une des choses que j'aime dans le fait d'avoir une capacité SD-WAN dans notre plateforme, c'est que nous avons créé de nouveaux domaines où les clients peuvent nous envoyer du trafic qu'ils n'auraient peut-être pas pu nous envoyer auparavant, du trafic provenant d'appareils où vous ne pouvez peut-être pas installer un agent ou quelque chose comme ça, et maintenant ils peuvent nous l'envoyer et nous pouvons prendre des décisions de sécurité.... Eh bien, le client peut configurer des politiques afin que nous prenions des décisions de sécurité correctement pour cela. Je l'adore. C'est très bien.
Mike Anderson : Oui, c'est intéressant aussi, parce que vous réfléchissez, à cause de toute cette fragmentation et de tous ces outils, je me demande quel était le statut ? En moyenne, les entreprises disposent de 76 outils de sécurité discrets. Si vous ajoutez à cela toute l'infrastructure de réseau dont ils disposent, ils investissent dans des plates-formes SIM pour essayer de relier tous les points, ils peuvent déterminer où se trouvent les problèmes, et il y a eu beaucoup d'investissements de ce côté-là. Il sera intéressant de voir comment la consolidation des outils se répercutera ensuite. Si l'ensemble de mon trafic est inspecté d'une seule manière, je devrais obtenir une visibilité sur ces plateformes uniques, alors qu'aujourd'hui je dois compter sur d'autres outils pour le faire à ma place, et il sera donc intéressant de voir l'impact sur ce point. De gros investissements ont donc été réalisés dans l'espace SIM depuis un certain temps, ainsi que dans d'autres outils d'agrégation de données. Il sera donc intéressant de voir les impacts parallèles dans ce domaine.
Mike Anderson : L'une des questions que j'ai à vous poser est la suivante : dans le climat économique actuel, il est évident que la réduction des coûts est toujours une priorité absolue pour les DSI, car ils doivent toujours trouver de l'argent pour payer les nouvelles choses qu'ils vont faire l'année suivante, parce que l'augmentation de leur budget couvre l'inflation dans la plupart des cas, sauf évidemment cette année, où il y a un trou. Nous annonçons la même pression du côté de la sécurité, où la réduction des coûts est une priorité, et cela se traduit par une consolidation des fournisseurs. Comment voyez-vous le climat actuel, en quoi cela va-t-il aider SASE ? Est-ce que cela va aider, est-ce que cela va nuire ? Qu'en pensez-vous ?
Steve Riley : Comme vous l'avez dit, les gens cherchent à réduire les coûts, à dépenser moins d'argent. Je pense que SASE représente une véritable opportunité dans ce domaine. Il y a quelques années, Gartner a mené une enquête... Je ne me souviens pas du nombre de personnes qui ont répondu. Je pense que près de 500 personnes ont répondu à cette enquête. Mais il était surtout question de consolidation, "Quels sont vos projets pour réduire le nombre de fournisseurs avec lesquels vous interagissez alors que vous devez mettre à niveau votre infrastructure et que vous investissez dans une sécurité accrue ?" Et 75 % des personnes interrogées ont déclaré qu'elles étaient en train d'élaborer un plan de consolidation ou qu'elles l'avaient déjà mis en œuvre et qu'elles s'attendaient à économiser entre des centaines de milliers et des dizaines de millions de dollars, même si la mise en œuvre du plan pouvait coûter un peu plus d'argent à court terme. Parce qu'ils ont fait des calculs économiques et se sont rendu compte que, sur une période de trois ou cinq ans, ils dépenseraient moins pour la maintenance, les mises à niveau et la formation du personnel. À l'époque, le désir n'était pas tant de se débarrasser des gens que de trouver des moyens de tirer parti des personnes déjà en place et de leur permettre de créer davantage de valeur pour l'organisation.
Steve Riley : J'ai vu quelques analyses de clients de Gartner, et il y avait à la fois le dollar fort et le dollar faible. Et même si l'on ne tient pas compte des économies de bouts de chandelle, les économies de bouts de chandelle sont apparues clairement au cours de la deuxième année et se sont amplifiées au fil des ans. Mais une fois que l'on a ajouté les dépenses indirectes en prenant des personnes qui ne faisaient peut-être pas quelque chose qui ajoutait beaucoup de valeur mais qui était nécessaire en raison du matériel, elles peuvent maintenant ajouter plus de valeur, ce qui a permis de réaliser des économies plus importantes.
Mike Anderson : C'est intéressant que vous disiez cela. L'une des choses que je regarde toujours est... Nos DSI me disent que lorsqu'ils pensent à SASE, ils se demandent : "Est-ce que c'est un scénario de remplacement ? Par où commencer ? Puis-je m'installer confortablement ?" Nous avons parlé du remplacement du VPN ou de l'accès au réseau de confiance zéro, une connexion logique étant un point de départ. Que pensez-vous de ce contexte ? Parce que c'est quelque chose que j'entends tout le temps. Je pense qu'ils veulent un point de départ et qu'ils veulent pouvoir retirer les choses au fur et à mesure qu'elles sortent du contrat, parce qu'ils ne veulent pas avoir une double bulle qui dure de 12 à 18 mois. Ils ne veulent pas prendre un investissement qu'ils ont fait l'année dernière et dire maintenant, "Oh, ce n'était pas le bon investissement. Laissez-moi remplacer cela." Qu'en pensez-vous et quels conseils avez-vous donnés aux gens dans ce contexte ?
Steve Riley : Si quelqu'un s'intéresse à la plate-forme Netskope, c'est le plus souvent parce qu'il dispose d'un vieux swig qui est de toute façon prêt à être mis hors service, d'un VPN qu'il n'a plus envie de maintenir ou d'étendre, et qu'il n'a probablement pas de CASB en place. Il est donc assez facile pour quelqu'un qui se trouve dans ce cas de figure d'examiner l'ancienne plate-forme en un seul achat. En fait, je dirais qu'au cours des 18 derniers mois passés chez Gartner, la plupart des offres de prix que j'ai vues pour Netskope concernaient l'ensemble de la plate-forme. J'ai trouvé cela très intéressant. Je ne peux pas dire que c'est le cas pour d'autres vendeurs dans des espaces similaires.
Steve Riley : Je pense donc que nous sommes souvent amenés à saisir des opportunités où nous sommes en adéquation avec la situation du client. Comme je l'ai dit, cette vieille gorgée, le VPN, ils ne veulent pas s'étendre. Toutefois, si ce n'est pas ce qui caractérise le client, il se peut qu'il soit plus intéressé par une partie seulement de notre offre, et c'est tout à fait normal. Rien ne vous oblige à utiliser Netskope dans son intégralité dès le départ. Si vos équipes sont toujours isolées les unes des autres, il est peut-être plus judicieux de commencer par un aspect de ce que nous faisons et, une fois que vous vous serez familiarisés avec celui-ci, d'encourager vos équipes à envisager de le mettre en œuvre dans son intégralité. Lorsqu'il s'agit de consolider l'infrastructure et la sécurité de ces domaines, il n'est pas déraisonnable de penser que la consolidation des outils peut contribuer, au moins en partie, au changement organisationnel global.
Mike Anderson : Il est intéressant de constater que lorsque je parle à de nombreux DSI, et j'ai fait part de ma propre expérience, nous faisons toujours appel à des consultants extérieurs, comme les grands intégrateurs de systèmes ou les sociétés de conseil, qui examinent notre organisation et nous disent où nous pouvons faire des économies. Souvent, étant donné un objectif, j'ai besoin que vous trouviez 100 millions de dollars d'économies, parce que si j'ai un budget de 750 millions de dollars, je ne peux pas vous aider.&L, trouvez-moi 100 millions de dollars que je peux obtenir et hiérarchisez-les en fonction de ce que je peux obtenir de façon réaliste à court terme et peut-être à moyen terme. Je pense donc que nous avons besoin d'opportunités, que nous avons besoin de ces consultants qui leur parlent de l'ensemble du parcours SASE, "Hé, cela peut en faire partie." Mais la gestion du changement organisationnel est... Comme vous l'avez souligné plus tôt, ce sera l'une des parties les plus difficiles, parce qu'encore une fois, c'est la psychologie humaine qui entre en jeu à ce niveau.
Steve Riley : Cela me rappelle l'histoire. Peu de temps après avoir commencé chez AWS, je donnais une conférence quelque part, et j'examinais spécifiquement le provisionnement des machines virtuelles, et quelqu'un au fond de la salle s'est levé et a crié : "Vous menacez mon emploi," et j'ai répondu : "Vraiment ? Quel est votre travail ?" "Mon travail consiste à sortir les serveurs de leur boîte et à les glisser dans des racks." Et je me suis dit : "Peut-être que je menace son emploi." Mais je ne l'ai pas dit à haute voix. C'est comme, "Ok, réfléchissez, réfléchissez, réfléchissez." "Oh, savez-vous quoi que ce soit sur ce qui va fonctionner sur ces services que vous êtes en train de déballer et de ranger ?" Et il a répondu : "Oui, j'ai quelques indications sur l'application qui va tourner et sur les caractéristiques de performance dont cette application a besoin, de sorte que je puisse sélectionner le bon serveur pour cette application."
Steve Riley : Comme, "Haha. Ok, vous ne vous contentez pas d'unboxer à l'aveugle, vous faites une sélection d'une certaine boîte en vous basant sur les exigences de ce qu'il y aura dans cette boîte ?" "Oui, c'est ce que je fais." "Haha. C'est donc votre valeur. Votre valeur n'est pas dans l'unboxing, votre valeur est dans la sélection. Permettez-moi donc de vous proposer ceci. Vous pouvez apporter la valeur que vous possédez déjà au monde virtuel. Vous allez toujours sélectionner la bonne taille et la bonne capacité d'un serveur virtuel au lieu d'un serveur physique, vous allez le provisionner dans un VPC, vous allez appliquer une certaine connectivité pour que le propriétaire de l'application puisse ensuite l'installer et être opérationnel," et il est comme, "Oh, je n'y avais pas pensé de cette façon." "D'accord, tant pis." Puis il s'est rassis. C'était en 2009, et cette histoire est restée gravée dans ma mémoire. Je pense qu'il est important, lorsque nous parlons de l'aspect humain de tous ces changements, d'aider nos clients et nos prospects à s'assurer qu'ils peuvent faire de leur mieux pour garder les personnes qu'ils ont déjà et les aider à trouver des moyens d'apporter de la valeur en se basant sur les compétences qu'ils ont acquises au cours des dernières années. La pire chose que nous puissions faire est d'arriver et de donner aux gens l'impression que nous en avons après leur travail.
Mike Anderson : 100%. D'après mon expérience personnelle, j'ai constaté que lorsque j'introduisais de nouvelles technologies de l'informatique en nuage, il n'y avait pas de problème. Je faisais de la transformation en 2015 lorsque j'étais DSI de Crossmark, et nous avons amené Salesforce et j'ai dit, "Hey, nous allons commencer à construire des applications sur la plateforme Salesforce. Nous disposons d'une salle pour 25 personnes dans la classe de formation que nous n'organisons que sur place. Qui veut s'inscrire ?" Nous avons été sursouscrits. Et la plus grande inquiétude que j'ai eue, c'est que les gens vont se dire : "Je suis un développeur dot NET. Je ne vais pas m'occuper de Salesforce," et cela fonctionne bien pour beaucoup de gens. Vous soulevez un point important : 80 % des gens veulent apprendre les nouvelles technologies parce qu'elles les rendent plus commercialisables ou plus utiles à l'avenir. Vous avez les 20 %. Une fois, une personne qui gère mon système téléphonique, et nous utilisions le système téléphonique TDM, m'a dit : "Hey, nous passons à cette nouvelle chose, Skype for voice ou Skype for business," et c'était cool quand c'est sorti, et donc nous sommes passés à cela, et j'ai dit : "Hey, je vais investir dans vous pour obtenir la formation pour cela parce que nous allons passer de ce système téléphonique, mais vous devez être prêt à suivre la formation." C'est la seule fois dans ma carrière où j'ai vu quelqu'un dire, "Vous savez quoi, je ne veux pas apprendre cette nouvelle compétence, ce nouvel outil qui arrive." Et ils sont allés travailler pour quelqu'un d'autre qui avait encore un vieux système téléphonique obsolète.
Mike Anderson : Il y a donc des gens comme ça, mais je pense qu'il est important d'améliorer les compétences des gens que nous avons, parce qu'il est souvent plus difficile d'apprendre à connaître l'entreprise que d'apprendre une nouvelle compétence. Et je pense que la navigation dans une entreprise est ce qui prend le plus de temps aux gens par rapport à l'acquisition d'un nouvel ensemble de compétences, en supposant qu'ils aient une bonne compréhension de base de ce domaine technologique. J'aimerais donc faire un petit détour. L'un des thèmes de cette saison du podcast a été le travail interfonctionnel. La sécurité est considérée comme un sport d'équipe. Si l'on fait abstraction du battage marketing autour de SASE, parce que tout le monde n'y est pas attaché, nous avons vu tous les grands acteurs de l'espace s'y attacher parce que les gens en parlent. Qu'avons-nous vraiment besoin de savoir ? Quels sont les résultats clés sur lesquels les gens doivent se concentrer lorsqu'ils réfléchissent à la SASE afin de bien faire les choses ?
Steve Riley : Je dirais qu'une bonne application de SASE... En fait, la façon dont SASE fonctionne le mieux, c'est lorsque les principes de confiance zéro font partie de l'architecture. Je dirais donc que pour obtenir un SASE correct, il faut une base solide dans les principes de la confiance zéro. Et comme je l'ai mentionné plus tôt, ce qui m'a surpris, c'est que les gens peuvent avoir les bons éléments en place, mais qu'ils n'ont pas réfléchi à la manière d'utiliser ces éléments pour recueillir des signaux et du contexte. Donc, si je devais essayer de résumer cela en un seul conseil sur le travail interfonctionnel, il s'agirait de penser intentionnellement au contexte. Comme je l'ai déjà mentionné, ces informations vont provenir de différents endroits et, dans les organisations cloisonnées, ce sont peut-être différentes équipes qui sont responsables de la gestion des éléments qui génèrent tout ce contexte, mais la synthèse de ces informations pour prendre les bonnes décisions d'accès au moment où ces décisions doivent être prises ne fonctionnera que lorsque les cylindres d'excellence se dissoudront et que les gens se rassembleront autour d'objectifs communs. Ils peuvent avoir des motivations différentes, mais les objectifs doivent être communs, à savoir un accès juste à ce qu'il faut par les bonnes personnes, au bon moment et pour les bonnes raisons. Je crois que je l'ai déjà dit une ou deux fois, mais je pense que cela résonne très bien.
Mike Anderson : Non, je suis tout à fait d'accord. C'est également intéressant. Et je me demande quels sont les problèmes que tout le monde au sein d'une organisation informatique et de sécurité, d'ailleurs, se soucie de résoudre et que SASE peut résoudre, car je pense que je suis entièrement d'accord avec vous parce que SASE vous fournit ce point unique d'application de la politique qui est un élément clé d'une architecture de confiance zéro parce que vous avez besoin de quelque chose qui se situe entre les utilisateurs et les appareils et les ressources, les applications et les données auxquelles ils veulent accéder. Le problème qui me vient à l'esprit et dont j'ai beaucoup entendu parler récemment est celui de la prolifération des nuages publics, c'est-à-dire que de plus en plus d'argent y est investi, les entreprises sont aux prises avec des gens qui créent des instances malhonnêtes d'AWS ou d'Azure, et ces environnements ne sont pas liés aux engagements qu'ils ont pris avec ces fournisseurs, et donc ils ont ces engagements contractuels avec des structures de rabais, mais ensuite les gens jettent une carte d'entreprise ou créent de nouveaux comptes, peut-être sous le nom d'une acquisition.
Mike Anderson : Et donc la capacité d'identifier ces instances et de mettre en place des contrôles pour empêcher les gens de le faire est quelque chose dont les équipes de sécurité se soucient, c'est quelque chose dont les équipes d'infrastructure se soucient parce qu'elles investissent de l'argent dans des outils, et la pire chose qu'elles veuillent avoir dans l'organisation, c'est des investissements et des outils dupliqués, des choses qui ne comptent pas pour leurs commits, et puis finalement ces choses ne sont pas migrées, ils finissent par devoir acheter plus de plomberie pour connecter cela à leurs environnements existants, ce qui devient un investissement supplémentaire, c'est un coût qui doit maintenant être supporté du point de vue des coûts d'exécution au sein de ces organisations. Je pense donc qu'il sera intéressant de voir comment SASE s'inscrit dans ce contexte et tire de plus en plus parti de cette conversion. Si vous deviez le dire simplement, vous êtes dans l'ascenseur et on vous donne le discours de l'ascenseur au DSI de l'organisation, pourquoi diriez-vous que SASE est le bon pari à faire pour eux ?
Steve Riley : Peut-être parce que vous n'avez plus le choix. Oh non, je plaisante. [Secure Access Service Edge, le A est peut-être le mot le plus important de cet acronyme. Les entreprises passent d'un centre de données à de nombreux centres de données. Si les données sont éparpillées parce que les applications sont éparpillées, les travailleurs s'éparpillent eux aussi, n'est-ce pas ? Parce que personne ne veut retourner au bureau. Et comment pouvez-vous avoir une gouvernance efficace sur l'accès aux applications et aux données, comment pouvez-vous contrôler efficacement le mouvement d'informations particulièrement sensibles dans ce monde hautement distribué ? Vous devez disposer d'un outil qui vous permette de contrôler tous les accès et tous les mouvements de données.
Steve Riley : Est-ce que cela devrait être une seule boîte dans un centre de données quelque part ? Oui, si vous aimez vivre dans la peur, peut-être. En fait, cela ne devrait pas être le cas. Vous voulez un service basé sur l'informatique en nuage qui puisse distribuer la sécurité au plus près des personnes, des données et des applications. Mais il faut un cadre politique unique pour ne pas avoir à prendre de multiples décisions en fonction de la destination, pour harmoniser l'expérience de l'utilisateur afin que, quelle que soit la destination, la façon dont il s'y rend soit la même. C'est ce que SASE fait pour vous. Il offre une expérience utilisateur harmonisée, un cadre politique consolidé pour l'accès à ces gigantesques centres de données que les gens sont en train de construire.
Mike Anderson : Essentiellement, mon slogan pour mes organisations a toujours été "La simplicité est la sophistication ultime", citation de Da Vinci. Il semble donc que SASE puisse être le moyen de simplifier votre organisation et d'améliorer l'expérience des employés lorsqu'ils essaient d'accéder aux applications et de les utiliser.
Steve Riley : Et il élimine la complexité, et comme nous le savons, la complexité est l'ennemie de la sécurité.
Mike Anderson : C'est le cas. En effet. Il ne nous reste donc qu'un peu de temps, et nous avons toujours une section sur les prédictions, et je sais que vous adorez les prédictions parce que vous venez de Gartner et que vous en avez fait beaucoup vous-même. Si vous deviez avancer de cinq ans et qu'il existe un domaine dans lequel les gens auraient dû investir, que diriez-vous que dans cinq ans les gens regardent en arrière et se disent : "Vous savez quoi, j'aurais vraiment dû accorder plus d'attention à ce domaine ?" Il n'est pas nécessaire d'envoyer un SASE, car il s'agit de... Il peut tout faire. Mais selon vous, à quoi les gens devraient-ils penser aujourd'hui, et dans quoi souhaiteraient-ils avoir investi s'ils pouvaient se projeter dans cinq ans ?
Steve Riley : Voyons voir. Je peux penser à un certain nombre de choses, mais si je devais n'en choisir qu'une seule. Je vais être tactique. Il s'agit d'une classification automatisée efficace des données. Au cours de notre conversation, Mike, nous avons parlé à plusieurs reprises des signaux et du contexte. Je pense que l'un des signaux les plus utiles pour créer des politiques appropriées est le contexte des données, et plus particulièrement la classification des données. J'aime à penser que le rôle de la sécurité est en train de changer, passant du gardien qui dit le plus souvent non à l'entité qui permet une position par défaut : "Oui, vous pouvez, mais avec des conditions." Cela me semble être la meilleure façon de trouver l'équilibre entre la sécurité et le travail. Vous voulez faire les deux, et si la philosophie de la sécurité peut être oui avec des conditions par défaut, alors quelles sont ces conditions ? L'une des meilleures conditions est de comprendre à quoi servent les données et quel niveau de protection elles nécessitent. Si j'en parle, c'est parce que la classification des données est difficile. Les outils disponibles ne sont pas très performants, et en tant qu'employé d'Acne Corp, votre travail consiste à créer des widgets ou autres, et non pas à rester assis à cliquer sur des boutons et des barres d'outils toute la journée et à réfléchir à la question suivante : "Est-ce que c'est public, privé ou confidentiel ?"
Steve Riley : Je pense donc qu'en essayant d'introduire l'automatisation... Eh bien, l'automatisation en général, d'accord ? Nous aurions donc une réponse plus large : "Investissons dans l'automatisation de la sécurité partout." L'exemple que je préfère est celui de la classification automatisée des données. Je pense que cela nous aidera à devenir beaucoup plus intelligents dans la poursuite de cet objectif d'un accès approprié au bon moment.
Mike Anderson : Eh bien, nous pouvons peut-être implémenter chatGPT au milieu et lui demander : "Est-ce que ce sont des données dont je devrais me préoccuper ?" Et cela peut aider. Si nous lui transmettons toutes nos données sensibles, il pourra alors nous le dire. C'est peut-être la solution, toute plaisanterie mise à part.
Steve Riley : Vous voulez donner toutes vos données sensibles à chatGPT ?
Mike Anderson : Non, pas encore, pas encore. Je pense qu'il existe un sujet de conversation tout à fait distinct sur l'utilisation éthique et gouvernée de certaines des nouvelles technologies de l'IA, dont nous pourrons parler dans de futurs épisodes.
Steve Riley : J'allais dire que j'en ai une autre, et je suis encore parfois frappé par la façon dont elle est perçue. Il m'arrive de demander à des personnes qui se débattent avec la manière de mettre en place un programme de sécurité. "Avez-vous réfléchi à votre actif le plus important et à ce qui se passerait si cet actif était compromis d'une manière ou d'une autre ?" Et je suis surpris de constater que très peu de gens se sont assis et ont eu cette conversation intentionnellement. Ils investissent de l'argent dans tel ou tel outil, mais ils ne pensent pas à ". Attendez une minute. Si l'un de nos actifs informationnels est endommagé au point de nous faire disparaître de la surface de la terre demain, quel est cet actif et comment le protéger au mieux ?" Je ne sais pas. Je ne sais pas si c'est une prédiction utile ou non, mais je suis surpris de voir combien de fois je rencontre des gens qui ne se sont pas organisés autour de quelque chose comme ça.
Mike Anderson : Oui, une question intéressante, si vous la reformulez : "Quels sont les joyaux de votre couronne ?" De nombreuses personnes ont identifié ce qu'elles sont. "Et quelles sont les données les plus importantes à protéger à l'intérieur de vos joyaux de la couronne ?" C'est peut-être une façon différente de formuler la question, et peut-être que les gens penseront différemment, parce qu'en général, l'annuaire actif de votre système ERP est toujours quelque chose qui est maintenu dans la zone du joyau de la couronne parce que ce sont les tentacules dans le reste du monde. Dans beaucoup d'organisations encore aujourd'hui, ce sont les tentacules qui s'étendent au reste de l'organisation. Encore une bonne prédiction. Comme à chaque fois que nous concluons un épisode, nous avons cette section, l'une de mes préférées, qui est notre " quick hit ". Je vais donc vous poser quelques questions, afin que vous réagissiez rapidement et que nous passions en revue quelques-unes d'entre elles pour nous amuser un peu. La première question que j'aime poser est donc la suivante : quel est le meilleur conseil que vous ayez jamais reçu en matière de leadership ?
Steve Riley : Le meilleur conseil que j'aie jamais reçu en matière de leadership ? Je ne sais pas si je dirais qu'il s'agit d'un conseil en matière de leadership, parce que je n'ai pas structuré ma carrière pour être un gestionnaire de personnel, mais de manière générale, ma grand-mère m'a dit, il y a de nombreuses années, que si quelqu'un fait quelque chose pour vous ou vous donne quelque chose, remerciez-le. Ne dites pas "Oh, vous n'étiez pas obligé de faire ça," parce que cela minimise l'effort qu'ils ont fait pour vous. Soyez reconnaissants, souriez, soyez humbles et continuez. Elle m'a donné ce conseil lorsque j'avais 12 ans, et je m'en souviens encore aujourd'hui.
Mike Anderson : Oh, c'est un sage conseil, c'est certain. Question suivante : si vous pouviez manger un seul repas pour le reste de votre vie, quel serait-il ?
Steve Riley : Un des scrambles de légumes de ma femme. Elle fait un travail fantastique en prenant tout ce qui se trouve dans la maison, en y ajoutant des épices et des assaisonnements et en le cuisinant, et c'est délicieux. Ce n'est jamais la même chose, c'est toujours différent, mais c'est toujours savoureux. Donc des légumes brouillés.
Mike Anderson : C'est très bien. On dirait que chez nous, c'est le moment de partir. Elle va expirer, alors nous ferions mieux de faire quelque chose avec la liste, de la rassembler et de voir si nous pouvons faire quelque chose qui a du goût, et c'est vraiment très amusant. D'accord, le prochain, je vais l'adorer. Quelle est votre chanson préférée, et qu'est-ce que cela nous apprend sur vous ?
Steve Riley : J'écoute surtout de la musique électronique ou de la musique classique. Je dirais donc que mon œuvre musicale préférée est la troisième symphonie d'Aaron Copland ( ")." Je ne sais pas ce que cela vous apprend sur moi, si ce n'est que j'aime vraiment les structures harmoniques que Copland avait à son apogée. Il a créé des accords et des sons que personne d'autre n'avait, et cela m'attire vraiment. Je peux être hypnotisé en écoutant sa musique, et la troisième symphonie est peut-être, à mon avis, le meilleur morceau de musique qu'il ait jamais fait.
Mike Anderson : C'est très bien. Il va falloir que j'aille l'écouter. Je suis sûr de l'avoir entendue et je la reconnaîtrais probablement si je l'avais entendue, mais il faudra que je la revoie. Vous m'envoyez également par SMS le lien vers la chanson pour que je puisse la réécouter.
Steve Riley : Vous avez certainement entendu "Fanfare for the Common Man,". Vous n'en connaissez peut-être pas le nom, mais une fois que vous l'aurez entendue, vous la reconnaîtrez instantanément. C'est le quatrième mouvement d'une symphonie.
Mike Anderson : Oh, c'est génial. Steve, j'ai vraiment apprécié le temps que vous m'avez accordé aujourd'hui, et vous et moi pourrions parler pendant des heures, comme nous le faisons toujours hors ligne, alors j'apprécie vraiment que vous soyez notre invité aujourd'hui et que vous partagiez les conseils que vous avez et la richesse des connaissances que vous avez à partager. Y a-t-il quelque chose que vous aimeriez que nos auditeurs retiennent de cette conversation, un dernier conseil que vous donneriez alors que nous réfléchissons à la question des services de sécurité, des SASE impurs et libérés, ou à toute autre question dans ce contexte ? Qu'aimeriez-vous laisser à nos auditeurs ?
Steve Riley : Je voudrais revenir sur l'aspect humain, en terminant, et rappeler à tous nos auditeurs que vos collaborateurs ont de la valeur. Il se peut qu'ils aient besoin d'un petit coup de pouce pour trouver de nouveaux moyens de fournir cette valeur, mais écoutez-les, posez-leur des questions, découvrez ce qui les motive à faire ce qu'ils font, puis aidez-les à trouver des moyens de maintenir cette valeur face à l'évolution rapide de la technologie.
Mike Anderson : C'est un très bon conseil. Nous devons toujours penser... Ce sont toujours les gens qui priment. C'est de cela qu'il s'agit. C'est pourquoi nous devons toujours penser aux gens. L'aspect technologique est facile à mettre en œuvre. Le plus difficile est toujours d'obtenir l'adhésion des personnes concernées par le changement, c'est donc un bon conseil. Je sais que nos auditeurs ont reçu de très bons conseils de votre part aujourd'hui, et j'apprécie vraiment que vous ayez pris le temps de les écouter.
Steve Riley : Il n'y a pas de quoi. Et merci de m'avoir invitée. C'est très amusant, comme toujours.
Mike Anderson : J'espère que vous avez apprécié notre conversation d'aujourd'hui avec Steve Riley. Steve est, une fois encore, notre directeur technique sur le terrain chez Netskope, mais aussi un analyste de longue date de Gartner. Steve a partagé avec nous de nombreux conseils et une grande sagesse. Trois choses m'ont frappée, tout d'abord les gens. Ainsi, lorsque nous réfléchissons à toute technologie, à SASE, à Security Service Edge, nous commençons par penser aux personnes et à l'impact que cela aura sur elles au sein de l'organisation, et nous nous demandons comment aider ces personnes à traverser ce changement. Comment investir dans ces personnes pour qu'elles acquièrent les compétences dont elles ont besoin pour réussir dans ces nouveaux domaines ? Deuxièmement, lorsque vous envisagez le SASE, évaluez tout d'abord votre environnement pour savoir par où commencer, qu'il s'agisse de remplacer mon proxy sur site que j'utilise aujourd'hui et qui fait désormais partie de ce système, ou de remplacer le VPN que j'utilise pour l'accès aux applications. Il est évident, comme l'a dit Steve, que beaucoup d'entreprises peuvent commencer par "Comment puis-je envisager l'accès ?" et cela peut s'ajouter à ce que j'ai aujourd'hui et devenir mon courant principal à l'avenir. Et le dernier, qui est revenu souvent dans nos conversations cette année, concerne l'automatisation. Automatisez autant que possible votre environnement. En particulier lorsque vous pensez à la classification des données, il s'agit d'un domaine d'automatisation que nous étudions.
Steve Riley : Merci de nous retrouver aujourd'hui pour ce podcast sur les visionnaires de la sécurité de Netskope. Restez à l'écoute pour les prochains épisodes et passez une bonne journée.
[ Producteur 2 : Le Podcast des Visionnaires de la Sécurité est alimenté par l'équipe de Netskope. Rapide et facile à utiliser, la plateforme Netskope offre un accès optimisé et une sécurité zéro confiance pour les personnes, les appareils et les données où qu'ils aillent, aidant ainsi les clients à réduire les risques, à accélérer les performances et à obtenir une visibilité inégalée sur l'activité de toute application cloud, web ou privée. Pour en savoir plus sur la façon dont Netskope aide ses clients à être prêts à tout au cours de leur parcours SASE, visitez N-E-T-S-K-O-P-E dot com.
Producteur 1 : Merci d'avoir écouté les Visionnaires de la sécurité. Veuillez prendre un moment pour évaluer et commenter l'émission et la partager avec quelqu'un que vous connaissez et qui pourrait l'apprécier. Restez à l'écoute des épisodes qui paraîtront toutes les deux semaines, et nous vous donnons rendez-vous pour le prochain.
Pourquoi Netskope 
){kind=icon}
