Steve Riley : Les avantages de SSE ou de Security Service Edge et d'un parcours SASE sont très clairs. Pour moi, c'est la première fois, c'est la remise à zéro parfaite pour la sécurité. Ils peuvent rapprocher la majorité de leurs points d'inspection de l'utilisateur, des données. Ils peuvent le déplacer du centre de données vers le nuage, n'est-ce pas ? Là où il peut être appliqué, partout les données vont partout l'utilisateur.
Producteur : Bonjour et bienvenue sur le site Security Visionaries de Jason Clark, directeur de la sécurité chez Netskope. Nous sommes actuellement au cœur de l'une des plus grandes évolutions en matière de cybersécurité, tant au cours des dix dernières années que dans la décennie à venir. C'est le sentiment qui anime l'épisode très spécial d'aujourd'hui sur la publication du tout premier Magic Quadrant de Gartner pour le Security Service Edge, qui établit le cadre de la manière dont la sécurité devra être assurée dans l'informatique dématérialisée et les entreprises les mieux équipées pour le faire, dont Netskope. Dans cet épisode, nous vous proposons une conversation avec Steve Riley, ancien analyste de Gartner et actuel directeur technique chez Netskope, qui a joué un rôle majeur dans de nombreux quadrants magiques précédents. Steve s'est entretenu avec Jason sur le récent Magic Quadrant pour SSE qui fournit des détails sur le pourquoi, le quoi et le comment de SSE et souligne pourquoi il est si important pour l'avenir de la sécurité. Il s'agit des Visionnaires de la sécurité. Avant de nous plonger dans l'interview de Steve, voici un bref mot de notre sponsor.
Annonce : Le podcast Security Visionaries est alimenté par l'équipe de Netskope. Netskope est le leader de la SASE, offrant tout ce dont vous avez besoin pour fournir une expérience utilisateur rapide, centrée sur les données et compatible avec le cloud, à la vitesse de l'entreprise d'aujourd'hui. Apprenez
[email protected] Producteur : Sans plus attendre, voici un épisode spécial de Security Visionaries avec Steve Riley, directeur technique chez Netskope et votre hôte. Jason Clark.
Jason Clark : Bienvenue chez les visionnaires de la sécurité. Je suis votre hôte, Jason Clark, CMO, directeur de la stratégie et directeur de la sécurité chez Netskope. Aujourd'hui, je suis accompagné d'un invité très spécial. Steve Riley, Steve, comment allez-vous ?
Steve Riley : Très bien, Jason. Merci. Qu'en est-il de vous ?
Jason Clark : Je suis super fantastique. Aujourd'hui est une journée amusante, car nous allons parler d'une grande nouvelle qui vient de tomber. Mais commençons par vous présenter et vous décrire, car vous êtes surtout connu pour être un analyste de Gartner, n'est-ce pas ? Il est également à l'origine du premier Magic Quadrant pour CASB, qui a fait grand bruit. Peut-être pourriez-vous nous parler de votre vie, de votre rôle d'analyste chez Gartner et de la création du Magic Quadrant, et nous donner quelques informations sur vous.
Steve Riley : Lorsque j'étais chez Gartner, je couvrais à peu près tout ce qui concernait la sécurité des clouds publics. J'ai donc reçu des questions sur la façon de sécuriser les environnements IAS, AWS, Azure, un peu de GCP, des environnements SASE, principalement Office 365, et quelques autres. Et bien sûr, lorsque les travaux du CASB MQ ont commencé, j'ai commencé à me renseigner sur ce sujet également. Une journée typique pour moi se compose donc de cinq heures de conversations avec les clients. Et le reste de ma journée, je le partageais entre l'écriture, la recherche, la lecture, d'autres choses, pour formuler de nouvelles idées, mener une analyse des éléments que j'avais collectés. L'examen par les pairs en est un élément important. Aucune étude de Gartner n'est publiée sans qu'une autre série d'yeux, plusieurs séries d'yeux, ne l'examinent pour s'assurer que les opinions sont fondées et qu'il y a une certaine cohérence.
Jason Clark : Quelles étaient vos zones de couverture ?
Steve Riley : Tout ce qui concerne la sécurité du cloud public, beaucoup de choses sur la sécurité d'AWS et d'Azure. Je n'ai pas reçu beaucoup de questions sur la sécurité de GCP. Je ne sais pas si les clients de Gartner utilisent beaucoup le cloud de Google. J'ai eu beaucoup de questions sur la sécurité d'Office 365. En fait, la première note que j'ai rédigée portait sur la manière d'assurer la sécurité dans Office 365. Et puis, bien sûr, l'enquête du CASB et de la ZTA a commencé à s'intensifier après que j'ai écrit les premiers documents sur ces deux marchés.
Jason Clark : J'ai l'impression que l'aspect GCP évolue rapidement. Je vois beaucoup de discussions autour de GCP, de manière assez importante, je dirais au cours des 12 derniers mois, plus rapidement que je ne l'ai jamais vu. Vous m'avez dit un jour que votre femme disait qu'elle pouvait faire votre travail parce que vous disiez toujours la même chose, et je me suis dit, d'accord, comment gérez-vous l'ennui alors ?
Steve Riley : C'est vrai. Beaucoup de mes conversations se ressembleraient si l'on n'entendait que ma moitié, et c'est ce qu'elle entendrait, n'est-ce pas ? Ma moitié. Et peu importe ce que dit l'autre personne. Je dirai juste la première chose, pause, je dirai la chose suivante, pause, je dirai la chose suivante comme, eh bien, ce n'est pas tout à fait comme ça. Ce qui était intéressant, c'était d'entendre l'autre personne, le client, ce qu'il voulait apprendre. Que cherchaient-ils à résoudre ? Quelles sont les questions épineuses qui les empêchent d'avancer ? Il est donc vrai que la plupart des gens sont confrontés à des problèmes essentiellement similaires, mais il y avait toujours un contexte différent ou quelque chose d'unique qui me permettait de m'asseoir devant mon ordinateur pendant cinq, parfois six heures par jour et d'avoir ce qui aurait pu ressembler à la même conversation, mais d'en tirer toujours quelque chose de nouveau. C'est ainsi que j'évite de m'ennuyer, car j'apprends toujours quelque chose.
Jason Clark : Quel est le pourcentage de clients auxquels vous vous adressez ? Wow [inaudible 00:05:42]
Steve Riley : Pas grand-chose. Je me souviens de quelques cas où j'ai pu constater que je parlais à un client qui avait déjà beaucoup réfléchi à la sécurité du cloud et qui essayait d'optimiser ce qu'il faisait. Cependant, la plupart de mes conversations ont eu lieu avec des personnes qui commençaient tout juste à utiliser le "cloud". Alors, comment passer d'une logique d'appareil sur site à une logique d'abonnement où les contrôles de sécurité proviennent des personnes qui me fournissent également le reste de l'infrastructure. Je ne veux donc pas dire que les gens intelligents n'ont pas besoin de Gartner et que seuls les gens stupides utilisent Gartner. Ce n'est pas tout à fait vrai, mais du point de vue de ma zone de couverture, étant donné qu'elle était uniquement consacrée à la sécurité des nuages, qui était encore nouvelle pour un grand nombre de personnes, la plupart de mes interactions avaient tendance à se situer à un niveau débutant ou intermédiaire. Et j'étais tout à fait d'accord avec cela. Cela ne m'a pas dérangé du tout.
Jason Clark : J'étais à Londres pour vous voir sur scène. Il y a une chose que vous avez dite qui m'a marqué depuis. La grande différence en matière de sécurité réside dans le fait que les données ne se trouvent plus sur une unité centrale que vous possédez ou contrôlez. Et je me suis dit, wow, c'est la façon la plus simple de le dire en une phrase, cela change tout. Et quand vous y pensez, et c'est là que CASB et pourquoi votre amour pour la sécurité dans le nuage, n'est-ce pas ? En tant que moteur de ce changement, combien de temps aviez-vous prévu que le CASB MQ resterait en place avant que le marché n'exige une convergence ou un changement ?
Steve Riley : La première itération du MQ a eu lieu à la fin de l'année 2017, à l'occasion d'Halloween, lors du sommet 2018 sur la gestion des risques de sécurité. Je faisais une présentation théâtrale sur le Magic Quadrant. Il s'agit donc d'une quinzaine de minutes pendant lesquelles vous expliquez ce qu'est le marché et pourquoi les vendeurs ont atterri, où ils ont réussi et où vous pensez qu'il pourrait aller. Quelqu'un m'a posé la question : combien de temps pensez-vous que ce marché va durer ? Je me suis dit que nous allions probablement faire trois itérations supplémentaires de ce MQ avant que le marché [plus 00:07:52] ne nous envoie autre chose et que nous devions écrire un autre MQ. Et le manager de mon directeur se tenait à l'arrière, les bras croisés, secouant la tête, non, non, non. Parce que les MQ sont des éléments générateurs de revenus pour Gartner, mais il s'est avéré que c'était une bonne chose.
Jason Clark : Donc, d'accord. Passons donc directement à la grande nouvelle. Aujourd'hui, le Gartner a annoncé un nouveau MQ, appelé Security Service Edge, qui fait partie du cadre ou du parcours SASE, n'est-ce pas ? Et ce qu'il fait, c'est s'effondrer et dire, regardez, il n'y a pas d'application plus sûre que la passerelle MQ, n'est-ce pas ? Il n'y a plus de CASB. Il prend en compte tous les ZTNA, ainsi qu'un certain nombre d'autres aspects, de sorte qu'il s'agit désormais d'une seule plate-forme, d'un seul QM. Pour moi, il s'agit probablement de la plus grande évolution de la cybersécurité au cours des dix dernières années, et certainement pour les dix prochaines, c'est vraiment la plus grande transformation que j'ai jamais vue. Et vous avez joué un rôle important dans ce domaine. Pouvez-vous nous parler un peu de SSE, de votre participation à la création de cette chose et de son promoteur, et aussi de la raison d'être d'un nouveau MQ et de la disparition des autres ?
Steve Riley : Je suis co-auteur du CASB Magic Quadrant et des capacités critiques. Nous sommes au milieu de l'année 2020, nous avons commencé à penser que les fournisseurs de CASB MQ et de SWG MQ se chevauchaient beaucoup et nous avons également constaté que les fournisseurs eux-mêmes commençaient à se chevaucher. Nous avons donc proposé au reste de la communauté des analystes de faire en sorte que la recherche reflète ce qui se passe sur le marché. Et plus important encore, ce que les gens voulaient acheter, les gens cherchaient à consolider, la consolidation des fournisseurs est réelle. Nos recherches doivent donc évidemment refléter ce qui se passe sur le marché et ce que nous pensons qu'il va devenir. Au départ, lorsque nous avons fait cette proposition, tout le monde n'était pas d'accord. D'autres personnes étaient à l'aise avec ce qu'elles faisaient. Ils ne pensaient pas que le CASB allait être si important que cela et que la sécurité des locaux allait encore être très importante. Mais en réalité, si vous regardez les notes prévisionnelles publiées par Gartner, il est vrai que la valeur monétaire dépensée pour la sécurité de l'informatique en nuage au cours des prochaines années ne sera pas aussi élevée que celle des systèmes sur site. La croissance est beaucoup plus élevée. Ainsi, la sécurité sur site va tourner au ralenti, tandis que la sécurité dans le nuage est dépensée et monte en flèche. Nous avons donc dû créer ce nouveau Magic Quadrant qui représentait la consolidation. Au départ, certains pensaient qu'il suffisait de retirer la QM CASB et de pousser la QM SWG pour qu'elle soit à la fois une QM CASB et une QM SWG. Craig et moi n'aimions pas cela. Nous voulions envoyer le bon message, à savoir que ces deux marchés, en tant qu'entités autonomes, ont atteint la fin de leur vie. Pour ce faire, vous retirez les deux QM, vous créez un nouveau QM portant un nouveau nom et vous indiquez où se trouve l'historique. Mais ce qui est vraiment intéressant, c'est que je ne m'y attendais pas, cette décision a été prise après que j'ai quitté Gartner en mars de l'année dernière, que le MQ SSE inclurait également ZTNA, je pense que c'est absolument la bonne chose à faire. Il n'y aura donc probablement plus de guides de marché ZTNA, mais il est tout à fait logique de disposer d'un mécanisme unique, d'une plateforme qui offre une visibilité et un contrôle sur toutes vos données, quel que soit le canal dans lequel elles se trouvent.
Jason Clark : Je pense qu'il y a un utilisateur qui va sur une application, et nous avons toujours ajouté de nouvelles technologies en fonction du type d'application sur laquelle l'utilisateur va, ou de l'endroit où l'application ou l'utilisateur se trouve. Nous essayions constamment de résoudre ce problème à partir de la sécurité sur site et de l'extension de la sécurité, ce qui créait des frictions au niveau de l'entreprise, de l'équipe de sécurité, etc. Mais je suppose qu'en termes simples, disons que beaucoup de gens ont un proxy cloud pour protéger le trafic cloud, un proxy web pour protéger le trafic web, et ensuite une solution VPN slash zéro confiance pour les applications privées, n'est-ce pas ? Accès d'un utilisateur à distance à une application au centre de données. Il s'agit de trois technologies différentes. Alors qu'en réalité, vous essayez de résoudre le même problème. Il s'agit d'arrêter les menaces, de protéger les données, de gérer l'accès, n'est-ce pas ? Je veux dire que c'est un peu fou quand on se demande pourquoi on a fait ça. C'est tout à fait logique, Steve, la consolidation des fournisseurs et c'est le même problème. Vous devriez avoir un point d'inspection unique pour tout ce qui concerne l'utilisation de l'app, mais quel a été le moment qui a permis d'orienter la réflexion ? Parce qu'il y a évidemment des gens qui disent, non, c'est juste un transfert vers SWG alors que ça devrait aussi être un transfert vers CASB, n'est-ce pas ? Alors, votre proxy cloud et votre proxy web, quel a été le point de données majeur ou la chose qui s'est produite, qui a convaincu tout le monde que le cloud était en fait un peu plus important ou beaucoup plus important et qu'il devrait être un nouveau MQ ?
Steve Riley : Je dirais que c'est finalement la prise de conscience que la majeure partie du trafic critique d'une organisation s'est déplacée en dehors du centre de données. Vous passez ainsi d'un centre de données à plusieurs centres de données. Et si vous réfléchissez, en particulier avec SaaS, il peut s'agir de centaines ou de milliers de centres de données, et la plupart des applications SaaS n'ont que très peu, voire pas du tout, de contrôles de sécurité intégrés. Parfait. C'est ce qui a rendu le CASB si essentiel dans les premiers temps et qui l'est encore aujourd'hui. Je déteste presque dire cela, mais je vais le faire quand même. En fait, c'est peut-être le premier cas que nous avons vu où la sécurité intégrée fonctionne. Si tout votre trafic SaaS passe par le CASB, vous bénéficiez alors de toutes les fonctions d'inspection, de DLP et de neutralisation des menaces auxquelles vous étiez peut-être habitué avec votre SWG. Mais la seule chose que votre SWG connaissait, c'était la communication avec l'internet. Nous pouvons faire tout cela avec un seul produit CASB pour chaque application SaaS à laquelle quelqu'un peut s'abonner. Il est donc naturel de se demander pourquoi j'aurais besoin d'un produit pour Internet, d'un produit pour SaaS et d'un produit pour les applications internes, alors qu'ils font tous la même chose, et que je veux que la DLP s'applique à tous ces produits. Je veux que la menace soit neutralisée dans tous ces domaines. Je veux pouvoir exercer un contrôle granulaire sur les activités, peut-être en fonction du fait que l'appareil est géré ou non. Et pouvez-vous imaginer à quel point cela se compliquerait si vous aviez des politiques de dispositifs en double, des politiques DLP en double et des politiques d'accès en double dans trois catégories différentes avec trois consoles différentes et des gens qui se disputent pour savoir qui doit s'asseoir à quelle console, cela devenait une position presque impossible, c'est pourquoi beaucoup de clients ont répondu, oui, quand Gartner a fait une enquête il y a quelques années, demandant où vous en étiez dans votre parcours de consolidation des fournisseurs de sécurité, plus de 70% des répondants avaient commencé ou prévoyaient de le faire. Même s'ils pensaient que cela coûterait un peu plus cher à court terme, ils prévoyaient d'importantes économies à long terme grâce à la réduction des frais administratifs, etc.
Jason Clark : Oui. Les avantages du SSE (Security Service Edge) et de l'approche SaaS. C'est très clair, n'est-ce pas ? Comme c'est le cas la première fois, pour moi, c'est la réinitialisation parfaite pour la sécurité. Ils peuvent rapprocher la majorité de leurs points d'inspection de l'utilisateur, des données. Ils peuvent le déplacer du centre de données vers le nuage, n'est-ce pas ? Là où il peut être appliqué, partout où vont les données, partout où va l'utilisateur. Je veux dire que cela change la donne et la façon dont ils peuvent faire fonctionner l'entreprise, pour les M et A ou pour cesser de dire non à certaines choses, n'est-ce pas ? Je déteste ce terme lorsque les gens parlent d'informatique parallèle, je pense que c'est l'informatique de l'entreprise, c'est notre travail de la gérer et de l'aider à le faire en toute sécurité. C'est vrai, vous ne pouvez pas le faire dans le centre de données parce que la plupart des services sont en mode SaaS, n'est-ce pas ? La plupart des entreprises ont un millier d'applications SaaS et vous les consolidez, ce qui vous permet de bénéficier de la fonction coût-bénéfice, mais aussi à votre équipe de commencer à gérer les choses en tant que solution unique dans le nuage, sans avoir à appliquer toutes sortes de correctifs, ce que tout le monde faisait pratiquement tout au long du mois de décembre avec les nouvelles vulnérabilités qui sont apparues. C'est vrai ? Vous commencez donc à éliminer toute la complexité opérationnelle. Ce n'est que du bien, à tous points de vue, une meilleure expérience pour l'utilisateur, une meilleure sécurité pour les équipes de réseau, des cadres plus heureux. Il s'agit simplement des résultats commerciaux, qui s'additionnent, s'additionnent, s'additionnent.
Steve Riley : Cela fait des années que l'on réfléchit à la théorie de la politique. Ils parlent de points de décision politique et de points d'application politique. Vous pourriez revenir à certaines des anciennes formes de Jericho d'il y a 20 ans. Si vous pouvez encore le trouver en ligne et lire certaines de ces idées, SSE le rend réel, vous centralisez la décision politique et vous centralisez également la définition de la politique. Vous pourriez donc dire que vous surchargez la partie D, mais vous distribuez l'application de la politique aussi près que possible de l'endroit où les données sont accédées. Il entoure donc les données, il entoure les travailleurs et c'est quelque chose que les gens veulent obtenir de leurs produits de sécurité depuis des années. Mais avec SSE, nous pouvons enfin l'obtenir, n'est-ce pas ? La valeur commerciale provient d'une plateforme unique qui élimine la redondance. Nous en avons parlé il y a quelques secondes, un modèle unique d'application des politiques qui simplifie les rapports et la conformité. C'est très important, car toutes les organisations qui utilisent le cloud, en d'autres termes, toutes les organisations, vont devoir démontrer qu'elles maîtrisent le cloud. Voici donc comment procéder. SSE vous permet d'obtenir un laissez-passer unique pour toutes les voies de circulation et pour tous les types de trafic. Cela permet donc de maintenir les performances, et les utilisateurs ne le remarqueront pas si le SSE est mis en œuvre, n'est-ce pas ? Mais un seul agent, ce qui simplifie la gestion quotidienne et une seule console. Ce qui est vraiment important ici, c'est que certaines organisations peuvent encore vouloir déléguer différentes fonctions à différentes équipes. C'est donc une bonne chose que vous puissiez le faire dans la console.
Jason Clark : Oui. J'ai certainement vu des équipes - disons l'équipe VPN - dire, non, je veux ma propre solution VPN où les autres équipes ne peuvent pas gérer ma console, n'est-ce pas ? Et c'est comme, et donc vous avez parfois des cas où les gens veulent conduire leurs propres opinions, leur propre contrôle, ou même leur propre produit, ce qui n'est pas efficace pour leur organisation, mais certainement la délégation des droits, n'est-ce pas ? Et ce qu'ils gèrent, c'est, et c'est pourquoi je pense... Donc, beaucoup de ces décisions, alors que nous parlons de consolidation, doivent être prises à un niveau plus élevé dans les organisations, par le CISO et le CIO, afin que les gens ne prennent pas des décisions basées sur les besoins d'une organisation en particulier, mais globalement, n'est-ce pas ? Le tout dans son ensemble. Ainsi, lorsque nous pensons à quelque chose de semblable à ce que nous avons dit à propos de SSE par rapport à la facture SASE, nous nous rendons compte qu'il s'agit là d'un problème de taille. SASE a donc été un sujet très important et très rapide. Quelle est la différence entre Security Service Edge ou SSE et Secure Access Service Edge ?
Steve Riley : Service Edge ? SASE, même dans les premiers temps, il y a eu des discussions sur la question de savoir s'il s'agissait d'une architecture. S'agit-il d'un produit ? S'agit-il d'un voyage ? Je pense que la plupart des gens se sont habitués à l'idée que SASE est une architecture et qu'elle représente un voyage, mais c'est un effort pour illustrer la consolidation en cours entre les réseaux et la sécurité, des groupes autrefois séparés qui ont probablement essayé de faire tout ce qu'ils pouvaient pour éviter d'interagir les uns avec les autres, à la fois professionnellement et socialement, ne fonctionnait tout simplement plus et les organisations avant-gardistes mélangeaient déjà les fonctions ensemble. Il était donc logique de commencer à réfléchir à une architecture qui les réunirait. Dans les premiers temps de SASE, il existait un joli diagramme en deux parties. Il y avait un côté gauche et un côté droit. Sur la gauche se trouvaient toutes les fonctions de mise en réseau, mais elles allaient être fournies en tant que service plutôt que d'acheter 18 boîtes différentes, SD-WAN, optimisation WAN, DNS. Plusieurs autres choses sur la gauche, la droite étant la sécurité en tant que service. Il y avait CASB, SWG et ZTNA. Ce qui s'est passé, c'est que SASE est peut-être devenu trop grand. Et en fait, Gartner a modifié sa définition de SASE, la présentation de Lawrence Orange au sommet de la sécurité et de la gestion des risques à la fin de 2021, a montré une version simplifiée de SASE où le côté gauche, rappelez-vous le côté réseau avait un élément SD-WAN, tous les autres éléments qu'il avait enlevés. Nous pouvons donc en déduire que la seule fonction de réseau raisonnable à fournir en tant que service serait le SD-WAN, les autres n'étant peut-être tout simplement plus nécessaires. Jason Clark : En gros, vous dites que SASE est SSE plus SD-WAN.
Steve Riley : Oui, vous m'avez devancé.
Jason Clark : Oui, donc, tant que vous avez une solution SSE, vous pouvez la combiner avec n'importe quelle solution SD-WAN, les intégrer et vous l'avez, votre SASE complet.
Steve Riley : Oui. Ce qui est bien avec SSE, c'est qu'il s'agit du côté droit de SASE et qu'il a maintenant son propre MQ. Il est donc en quelque sorte en ligne avec le côté gauche, les éléments de réseau, mais il n'est pas nécessaire qu'ils proviennent du même fournisseur, SSE est indépendant du réseau sous-jacent. Cela n'a pas d'importance. Comment allez-vous acheminer les bits vers le SSE, si vous voulez y acheminer tout votre trafic ? Absolument. Mais comment allez-vous l'acheminer ? SD-WAN, MPLS, Metro ethernet, IP over Avian Carrier. Cela n'a pas vraiment d'importance. SSE s'en moque. Le plus utile est donc que le fournisseur SSE que vous choisissez dispose de bons moyens d'intégration avec un partenaire SD-WAN, mais il n'est pas nécessaire qu'ils proviennent du même fournisseur. Non.
Jason Clark : D'accord. Qu'il est vraiment bon. Je pense que cela sera très utile pour nos auditeurs, car il y a beaucoup de confusion à ce sujet. Parlons donc de SSE. Revenons-y, car il s'agit d'un sujet très important, n'est-ce pas ? Il s'agit clairement d'une course à deux chevaux. Et je pense que vous considérez essentiellement les deux organisations basées sur le cloud, Zscaler et Netskope, comme les leaders, puis vous en avez une troisième, qui est McAfee, proche de la ligne de fond, en quelque sorte leur technologie héritée, n'est-ce pas ? Vous essayez de faire du cloud en même temps, ce qui est très difficile, et vous êtes un fonds d'investissement privé, n'est-ce pas ? C'est donc très difficile, mais vous avez ces trois-là, et j'imagine que la plupart des nouveaux venus qui s'engagent dans cette voie choisiraient probablement quelque chose entre Netskope et Zscaler. Selon vous, quels seront les conseils de Gartner ? Existe-t-il une vocation et une recherche dans laquelle vous avez fait ? Je veux dire, combien d'enquêtes avez-vous faites dans votre vie ?
Steve Riley : Oh, 1000 par an, pendant cinq ans et demi.
Jason Clark : Très bien. Donc, 5 000 demandes, c'est maintenant que je sais pourquoi votre femme dit que vous venez de répéter la même chose encore et encore. Que dirait probablement un analyste de Gartner si quelqu'un l'appelait, n'est-ce pas ? Et j'ai dit : "Très bien, regardez, il y a ce nouveau site SSE, vous m'avez dit pourquoi le faire, mais quand je regarde cela, comment me guidez-vous ? Par exemple, est-ce que je prends deux de ces vendeurs ou trois de ces vendeurs, ou en quoi sont-ils différents ?
Steve Riley : Il y a certaines choses auxquelles les entreprises devraient penser lorsqu'elles envisagent de passer à SSE: n'en faites pas un projet isolé, capitalisez sur ce que vous faites déjà pour la transformation du travail à distance et des succursales et intégrez SSE dans la portée de ce projet. Nous avons vu de nombreux déploiements de SSE réussir. Lorsque vous adoptez cette attitude, en ce qui concerne les personnes que vous allez examiner, j'ai quelques suggestions à vous faire : assurez-vous que la consolidation est réelle. C'est ainsi que vous pouvez réduire la complexité tout en restant sécurisé et en vous protégeant contre les menaces contemporaines courantes, par opposition aux menaces démodées de l'époque où tout se trouvait dans le centre de données, assurez-vous que tous les composants du site SSE suivent une configuration commune, une gestion des politiques et un modèle de rapport, c'est la preuve que vous devez rechercher pour savoir que ce que vous évaluez est vraiment une plateforme intégrée. Il élimine également le risque que des composants disjoints puissent présenter, comme des lacunes ou des incohérences. En parlant d'incohérences, assurez-vous qu'il n'y a pas de contrôles qui se chevauchent. Par exemple, vous voulez une console DLP pour tous les composants plutôt qu'une DLP séparée pour SWG, pour le proxy CASB, pour l'API CASB et pour ZTNA. Je vous garantis qu'une DLP disjointe et séparée comme celle-là va donner lieu à des politiques qui ne correspondent pas ou à un comportement incohérent. Et il va être très difficile d'essayer de trouver une solution à ce problème. D'autre part, recherchez un agent unique. Il est ainsi plus facile de gérer l'ensemble de votre patrimoine. Lorsque vous examinez la console, assurez-vous que différentes parties peuvent être déléguées à différentes équipes. Il se peut que tout le monde ne veuille pas regarder la même console. Vous pourriez donc simplifier les choses. Assurez-vous maintenant que l'évaluation de SSE fonctionne indépendamment de tout type d'architecture ou d'infrastructure de réseau spécifique. Il ne devrait pas y avoir de dépendance entre les deux. Et la dernière chose que je voudrais vous demander est de ne pas négliger la performance et la disponibilité. Si vous envoyez l'ensemble de votre trafic à un fournisseur SSE, celui-ci aura besoin d'un réseau rapide avec des points de présence partout où vos collaborateurs se trouvent ou pourraient être amenés à se rendre. Il y a deux choses à surveiller. Un fournisseur qui vous permet de vous connecter de n'importe où à son réseau, sans payer de supplément pour ce privilège, et un fournisseur qui offre un niveau de service performant. Je suis réticent à l'idée de penser que tout d'un coup la question sera de m'aider à choisir une SSE. SSE est tout nouveau, personne n'était au courant avant la sortie du MQ, n'est-ce pas ? Ce n'est pas comme si Gartner faisait des annonces sur ces sujets habituellement. Les gens ne sauront donc pas qu'il faut demander une adresse SSE, mais il est fort probable qu'ils continueront à se dire qu'ils doivent mieux gérer et protéger leur SaaS, qu'ils doivent obtenir un accès à distance à des applications privées ou qu'ils doivent filtrer les sites web. Peut-être qu'ils continueront à parler de filtrage du web. [crosstalk 00:28:14].
Jason Clark : Ils apportent donc un problème.
Steve Riley : Ils vont soulever le problème. Oui. Dans le cadre d'une enquête, je dirais donc que le marché de ces produits individuels s'est consolidé et que nous avons créé un nouveau MQ pour un SSE, l'avez-vous vu ? Non. D'accord. Je l'évoquais donc et le partageais sur l'écran avec le client. Je leur explique ce qu'est le marché et pourquoi les différents vendeurs sont là où ils sont. Certaines personnes se présentent à une enquête en sachant déjà quels vendeurs elles souhaitent. D'autres ne savent peut-être rien du tout et utilisent le MQ pour faciliter leur décision.
Jason Clark : Ils choisissaient généralement deux ou trois fournisseurs pour le POC.
Steve Riley : Je dirais qu'il y avait un juste milieu, la moitié du temps c'était deux et l'autre moitié c'était trois. Je n'ai jamais vu quelqu'un présélectionner quatre candidats.
Jason Clark : Oui. C'est logique.
Steve Riley : Je voudrais dire que les analystes de Gartner créent des opinions qui deviennent des positions de Gartner. Ainsi, tout ce qui figure dans les droits des analystes de Gartner est une opinion étayée. Aujourd'hui, nous essayons de nous baser sur des faits, bien sûr. Ainsi, lorsque nous écrivons les points forts et les mises en garde, et lorsque nous mettons un point à un endroit, ceux-ci sont basés sur des faits que nous rassemblons à partir de diverses sources, non seulement la démo, mais aussi une RFI où nous posons plusieurs questions et où nous pouvons examiner les réponses à ces questions qui ont une influence sur le placement du point MQ. Nous examinions également les idées de nos pairs, nous avions peut-être des conversations avec certains fournisseurs ou clients, bien que COVID ait rendu cela plus difficile. Nous avons donc cessé de le faire ces deux dernières années. Pendant un certain temps, les vendeurs peuvent procéder à une vérification des faits et se demander si nous avons mal interprété quelque chose et si nous nous sommes trompés sur un fait. Il y a du travail supplémentaire. Il existe une fonction de Gartner appelée "ombudsman". Le travail du médiateur consiste à s'assurer que les analystes respectent la méthodologie et que leurs opinions ne se substituent pas aux faits.
Jason Clark : C'est un nom bizarre pour un médiateur.
Steve Riley : Oui. Mais les journaux en ont aussi. Oui, c'est vrai. Et c'est un peu la même fonction. Quoi qu'il en soit, l'escalade serait difficile si un vendeur était vraiment mécontent et voulait faire pression. Ainsi, Craig et moi devrions créer plus de preuves pour montrer pourquoi nous avons fait un score, mais de la manière dont nous l'avons fait et à chaque fois que nous avons dû le faire, nous avons réussi.
Jason Clark : Oui. Mais il ne semble pas que ce soit un processus amusant. Nous avons donc parlé de l'orientation de SSE, de son évolution, n'est-ce pas ? Nous avons donc constaté que 65 à 80 % de la circulation est maintenant déneigée, n'est-ce pas ? Ce ne sont pas des gens qui vont au NewYorktimes.com pour travailler, n'est-ce pas ? Ce ZTNA va s'appliquer et vous aurez besoin d'un CASB à l'envers, n'est-ce pas ? Vous souhaitez contrôler l'application comme vous le faites avec l'application SASE. Tout cela est donc logique, n'est-ce pas ? Nous avons vu cela se produire. SSE Je pense également qu'un élément important de SSE, que je considère comme un système nerveux, c'est que vous entendez votre odeur, votre goût, n'est-ce pas ? Votre toucher, tous ces sens, la vue, tout cela est réuni dans un cerveau. Et ce cerveau est en fait comme un commun, c'est vraiment une protection des données, c'est notre raison d'être et c'est la grande stratégie de la sécurité, protéger les données. Il s'agit donc d'un tout, mais en y réfléchissant, quel est l'avenir de SSE? Comment vont-ils continuer à évoluer et à ajouter des composants ? À quelle vitesse Steve pense-t-il que les gens vont cesser d'acheter des GTS et des CASB individuels pour se tourner vers le site SSE, n'est-ce pas ? Il s'agit donc d'une question à deux volets. À quelle vitesse les gens achèteront-ils vraiment SSE en tant que produit et non en tant qu'individu, et quel est l'avenir ?
Steve Riley : Les principaux composants, le CASB et le SWG, sont arrivés à maturité. Lorsque je possédais ce profil, le point CASB se déplaçait très rapidement sur le cycle de la hype. ZTNA est encore récent, mais je pense qu'il est peu probable qu'il émerge en tant que marché autonome maintenant que nous voyons tant d'intérêt de la part des fournisseurs de CASB et de SWG pour ajouter ZTNA et cela est tout à fait logique pour ce que vous venez de dire, Jason, vous avez comparé ZTNA à un CASB à l'envers. C'est vraiment intéressant de vous entendre dire cela, car c'est l'un des mécanismes que j'utilisais parfois pour décrire ZTNA aux clients, ils savent déjà ce qu'est un CASB. Si vous pouviez prendre votre CASB et le tourner pour qu'il pointe vers vos applications internes, au lieu d'une application SaaS, vous obtiendriez fondamentalement la même fonctionnalité et la même ampoule qui fonctionnerait pour les gens. Mais aucun marché n'est statique. Au moins, aucun bon marché n'est statique. J'imagine donc que l'évolution de SSE se caractérise par l'assemblage d'un [Creedy 00:33:19] acquérant le verbe que vous voulez utiliser. Toutes les capacités nécessaires pour garantir une utilisation continue, bien gouvernée et sûre de l'informatique en nuage. Ainsi, des choses comme la gestion de la posture, la gestion des droits, ce que j'aime appeler le risque de la partie finale parce que l'application SaaS que vous pourriez utiliser pourrait en fait être tout comme un produit force.com. Vous vous abonnez donc à cette application force.com, qui s'exécute alors dans une instance Salesforce. Enfin, pas dans le cas de Salesforce, mais dans celui d'une autre application SaaS, qui fonctionne probablement sur un nuage privé, pardon, sur un nuage public. Vous pouvez donc vous demander à quoi ressemble une chaîne de risques. Comment vous assurer que, quel que soit l'endroit où vous stockez vos données sensibles, qui pourraient inclure les données sensibles de vos clients, quels sont tous les points de contact potentiels où ces données pourraient être exposées par inadvertance ? Et je pense que c'est l'une des choses pour lesquelles SSE va devenir très bon, c'est-à-dire éclairer tous ces risques pour les parties finales afin que les gens puissent prendre des décisions bien informées sur le stockage de leurs données.
Jason Clark : C'est important, Steve, parce que c'est probablement le risque numéro un qui existe et que les gens ne maîtrisent pas. Mais une fois que vous savez à quoi vos utilisateurs envoient leurs données, quels appareils ils utilisent et quels sont les risques liés à l'infrastructure dans laquelle ils ont placé leurs données, puis où ces données passent de cette infrastructure à une autre infrastructure, à une autre application, et quels sont les risques liés à ces données, cela élimine tout, n'est-ce pas ? Et cela finit par ressembler au Nevada de la sécurité, où vos contrôles de sécurité suivent l'utilisateur et les données, ce qui n'est pas le cas aujourd'hui. C'est donc énorme. Si nous parvenons à faire en sorte que le site SSE le soit, alors qu'aujourd'hui, nous procédons en quelque sorte à des évaluations ponctuelles des risques. Beaucoup de mes interlocuteurs procèdent à des évaluations ponctuelles des risques, 365 ou deux fois par an, alors qu'en temps réel, vous savez à tout moment quel est le risque lié à chaque donnée que vous détenez.ave sitting anywhere, period. Right? And if one thing changes right? One the user or one network or one device or one app or one piece of data, anything changes, you know when that likelihood or impact just became unbearable, right? To the risk equation.
Steve Riley : J'irais même jusqu'à dire que des produits SSE bien développés dans un environnement bien géré pourraient donner à une organisation plus de visibilité et de contrôle qu'elle n'en a jamais eu lorsque tout était dans le centre de données, parce que c'était en fait assez facile. Je me souviens que dans certaines de mes premières carrières, je pouvais construire un serveur, le brancher sur la terre, personne ne le saurait, n'est-ce pas ? Et je pourrais en parler à ma communauté. Et le service informatique pourrait être en quelque sorte aveugle à ce genre de choses. Je me demande vraiment quelle est la part de l'informatique fantôme dans l'informatique de bureau par rapport au SaaS.
Jason Clark : Oh oui, quand j'ai commencé à travailler comme RSSI pour une entreprise de 140 000 personnes de la fortune 100, j'ai découvert que nous avions 1200...
Steve Riley : Et voilà.
Jason Clark : Une connexion internet sous le bureau.
Steve Riley : Et quelqu'un a apporté son propre petit Wi-Fi qu'il a acheté au meilleur prix. Et...
Jason Clark : Je veux dire, c'était... [crosstalk 00:37:28].
Steve Riley : [crosstalk 00:37:28] Sauvage, n'est-ce pas ? Mais...
Jason Clark : Alors écoutez, Steve, c'était incroyable. Il a été très instructif de partager votre expérience des hauts et des bas de la création d'un QM, d'être un analyste de ce nouveau QM de SSE, qui, je le répète, est probablement la chose la plus importante qui se produira dans le domaine de la cybersécurité au cours des 10 prochaines années. Et il est certain qu'au cours des dix dernières années, tout ce qui est comparable, c'est un marché tellement plus petit. Je me souviens de l'époque où les gens pensaient que l'EDR et l'AV étaient des marchés différents, et maintenant c'est l'XDR et cette convergence, c'est 10 fois plus grand parce que c'est tout le périmètre du réseau qui se déplace vers le nuage, n'est-ce pas ? C'est donc un grand moment. Et merci d'être ici le jour de la publication de ce MQ, de participer à cette discussion et d'aider tous nos auditeurs.
Steve Riley : Il n'y a pas de quoi. Je vous remercie de m'avoir donné l'occasion de m'entretenir avec vous.
Annonce : Le podcast des visionnaires de la sécurité est alimenté par l'équipe de Netskope, à la recherche de la bonne plateforme de sécurité en nuage pour permettre votre voyage de transformation numérique. Le nuage de sécurité Netskope vous aide à connecter rapidement et en toute sécurité les utilisateurs directement à l'internet, à partir de n'importe quel appareil et de n'importe quelle application, apprenez
[email protected].
Producteur : Merci d'avoir écouté Security Visionaries. Prenez le temps d'écrire et de commenter l'émission et de la partager avec quelqu'un que vous connaissez et qui pourrait l'apprécier. Nous vous donnons rendez-vous pour la prochaine édition.
Pourquoi Netskope 
){kind=icon}
