Rehman Khan : Je pense que ce sera la conception, la conception de la sécurité. Comme je l'ai dit, il s'agit de se concentrer sur la conception de la sécurité et de s'assurer que notre approche de la sécurité ne se limite pas à un ensemble d'outils, mais que nous prenons du recul et que nous intégrons la sécurité dans l'ensemble de l'organisation et du processus.
Producteur : Bonjour et bienvenue dans l'émission Security Visionaries, animée par Jason Clark, CSO chez Netskope. Vous venez d'entendre l'invité d'aujourd'hui, Rehman Khan, directeur de la stratégie de sécurité, de la recherche & Design chez Charles Schwab. Avec plus de 20 ans d'expérience dans le domaine de la sécurité, M. Rehman a travaillé avec toutes sortes de personnes. Avec une telle expérience, ce n'est pas pour rien que l'une de ses principales recommandations est de doubler le nombre de personnes. Les responsables de la sécurité qui choisissent les bons membres de l'équipe ont un effet d'entraînement profond. L'importance de ces décisions est déterminante pour les carrières dans le domaine de la sécurité. Faites donc un choix judicieux. Avant de nous plonger dans l'interview, voici un bref mot de notre sponsor.
Annonce : Le podcast Security Visionaries est alimenté par l'équipe de Netskope. Netskope est le leader impertinent qui offre tout ce dont vous avez besoin pour fournir une expérience utilisateur rapide, centrée sur les données et compatible avec le cloud, à la vitesse de l'entreprise d'aujourd'hui. Pour en savoir plus, consultez le site Netskope.com
Producteur : Sans plus attendre, voici le huitième épisode de Security Visionaries avec Rehman Khan, directeur de la stratégie de sécurité, de la recherche & Design chez Charles Schwab, et votre hôte, Jason Clark.
Jason Clark : Bienvenue à Security Visionaries. Je suis votre hôte, Jason Clark, directeur scientifique de Netskope. Aujourd'hui, j'accueille un nouvel invité, Rehman Khan. Rehman, parlez-nous un peu de vous.
Rehman Khan : Bonjour, Jason. Oui, je suis heureux d'être ici. Je dirige essentiellement l'organisation Charles Schwab Security Strategy, Research & Design. Louis, dans le Missouri, et j'y vis depuis presque huit ans. Avant cela, j'étais à Minneapolis, où j'ai travaillé dans le domaine de la cybersécurité pendant environ 12 à 15 ans, et j'ai fait d'autres choses en cours de route. C'est donc moi.
Jason Clark : Oui, depuis que je vous connais, vous avez été architecte, responsable de l'architecture pour de très grandes entreprises, des entreprises mondiales. Vous avez eu un impact important dans les organisations dans lesquelles vous avez travaillé. Mais je viens de remarquer que vos cheveux sont beaucoup plus courts que la dernière fois que je vous ai vue. S'agit-il d'une conséquence de la pandémie, puis d'une sorte de sortie où, je ne sais même pas combien de centimètres vous avez coupé à l'instant.
Rehman Khan : Oui, en effet. Je pense que nous sommes tous en train de bricoler nos petits besoins et nos petites envies. Oui, je dirais probablement que j'ai perdu cinq centimètres il y a quelques semaines. Je me suis dit que je devais faire le ménage pour la nouvelle année. Cette pandémie nous a donné l'occasion de nous laisser pousser les cheveux.
Jason Clark : Comment votre famille ou votre travail ont-ils réagi le mieux ou le moins bien au fait que vous ayez tout arrêté ?
Rehman Khan : Je pense qu'ils m'ont pris tel que je me présentais. Je suppose qu'il se passe toujours quelque chose avec moi. Je veux dire que j'aurai un bouc, puis tout d'un coup, quelques années plus tard, j'aurai une barbe. Je pense donc que les gens sont habitués à la façon dont les choses changent à propos de mon, je suppose, look. Mais, je vais vous dire, je pense que les gens en général étaient très élogieux, mais il m'est arrivé quelques fois, je crois que c'était l'un des présidents de Wash U, de me regarder et de me dire : "Wow, étiez-vous à l'émission Survivor ?" Je veux dire, c'était littéralement, leur réaction était comme, "Où étiez-vous ?" Et donc, oui, je pense qu'il y a une sorte de mélange, mais la plupart des gens étaient gentils et comprenaient cela.
Intervenant 5 : Plongée en profondeur. Plongée. Plongée. Plongée. Plongée.
Jason Clark : Vous parlez donc six langues. Expliquez-nous un peu en quoi ils consistent et en quoi ils vous ont été utiles.
Rehman Khan : Oui. En fait, si j'ai grandi, je suis né au Koweït. J'ai grandi là-bas, puis je suis allé à Abu Dhabi. Mon père travaillait pour Lufthansa, ce qui nous a permis de voyager dans le monde entier. J'ai ensuite quitté Abu Dhabi pour m'installer à Minneapolis, ce qui a constitué un énorme changement. Mais pour en revenir à votre question, je dirais qu'Abu Dhabi est une ville où j'ai pu apprendre et interagir avec une foule internationale. Et j'ai appris l'allemand. L'arabe existait déjà, l'ourdou aussi, et cela n'a pas cessé. Je pense que cela résonne en moi, et j'ai continué à enrichir ma palette.
Jason Clark : J'y pense. J'ai donc grandi dans le monde entier, en tant que fils de militaire. Et je me demande comment je peux donner la même exposition à mes enfants. Je veux qu'ils deviennent des citoyens du monde et qu'ils ne restent pas toute leur vie dans une seule ville. Et ce que j'ai décidé, c'est qu'à partir de deux ans, chaque été, nous passerons l'été dans un pays différent. C'est ainsi que je ferai d'eux, autant que possible, des citoyens du monde.
Rehman Khan : Oui. Non, je pense que c'est une excellente idée. Je pense que nous avons, je veux dire, espéré qu'avec la pandémie, dans les deux prochaines années, nous pourrons avoir ce genre de chance de nous mobiliser librement. En effet, il ne s'agit pas seulement de s'asseoir chez soi et d'apprendre toutes ces langues, mais aussi de faire la même chose avec la cybersécurité, etc. Mais il s'agit en partie d'une question d'interaction. Et lorsque vous interagissez avec les gens, que ce soit dans votre vie personnelle ou dans votre vie privée, vous apprenez. Et je pense qu'en voyageant, on apprend. Vous inculquez la confiance à vos enfants. Et je pense que c'est un excellent plan. Moi-même, je veux le faire, mais je pense qu'il s'agit d'aller dans un environnement où vous devez faire face à la situation et ensuite vous commencez...
Jason Clark : C'est la culture.
Rehman Khan : Oui.
Jason Clark : C'est comme s'il y avait deux types de personnes, celles qui vont quelque part et disent, "Très bien. Voici les 10 sites. Je veux aller les voir," que vous pouvez voir en tapant sur Google, ou les personnes qui disent, "Je veux embrasser la culture. Je veux goûter à la nourriture. Je veux rencontrer les gens. Je veux aller dans les bars locaux." Il s'agit d'une essence très, très différente de ce que vous essayez d'accomplir. Normalement, je pose cette question un peu plus tard, mais je suis curieux de savoir quel est votre domaine de prédilection en matière de sécurité. Vous dirigez l'architecture, et vous l'avez fait à maintes reprises, ce qui signifie que vous supervisez, comme un CSO, tous les domaines de la sécurité. Quel est votre domaine préféré ?
Rehman Khan : C'est une question difficile. Puis-je vous en donner deux ?
Jason Clark : Oui. Donnez-moi votre premier, puis votre second.
Rehman Khan : D'accord. Je le répète. La gestion des identités et des accès est le domaine dans lequel j'ai grandi et que j'ai appris, et je continue à le voir évoluer. Je crois que c'est mon premier. C'est en quelque sorte la voie à suivre, suivie de près par la sécurité des données. Ces deux-là ont toujours été là. Oui, c'est vrai. Je veux dire que je pense qu'ils vont en quelque sorte de pair. Vous pouvez l'envisager du point de vue de la sécurité des applications. Mais oui, je pense qu'il s'agit là des domaines les plus importants.
Jason Clark : Ce sont d'excellents domaines. Et si je devais vous demander, quel est celui que vous détestez le plus ?
Rehman Khan : Et cela peut s'appliquer à tout ce qui précède, mais il s'agit en quelque sorte des opérations de sécurité, si vous voulez. C'est un aspect tellement important, mais j'ai aussi l'impression que, je pense aux opérations de sécurité et peut-être que je peux vous dire pourquoi.
Jason Clark : C'est un autre type de stress. Dites-nous pourquoi vous détestez les opérations.
Rehman Khan : Je suis designer. J'ai toujours été un designer. Je recherche l'esthétique. Je suis à la recherche de la conception proprement dite. Je pense que la raison pour laquelle les opérations sont dans leur état actuel est que nous ne nous concentrons pas sur la conception. Nous ne concevons pas de solutions de sécurité, d'applications, etc. en pensant à la sécurité. Et bien, il y a un risque résiduel et un effet de cela. C'est ce que sont aujourd'hui les opérations de sécurité. Je veux dire, je pense que c'est ce qui me fait rester à l'écart, parce que pourquoi devons-nous être si stressés à ce sujet ? Pourquoi ne pourrait-il pas en être de même pour d'autres domaines opérationnels qui sont automatisés. Ils travaillent, fonctionnent, fabriquent. Je veux dire, vous prenez n'importe quel autre domaine d'activité, alors...
Jason Clark : Vous ne voulez pas être le résultat des mauvaises conceptions des autres. Vous ne voulez pas être la queue. Vous voulez réparer les choses et les concevoir correctement.
Rehman Khan : Oui.
Jason Clark : C'est très logique. Je comprends. Vous êtes donc frustrés dans les opérations lorsque vous voyez de mauvaises conceptions.
Rehman Khan : Oui. Oui, c'est vrai. Et vous les voyez encore et encore. Je veux dire que nous le voyons avec Log4j. C'est un paysage intéressant, si vous voulez.
Jason Clark : Je pense que cette fois-ci, le mois de décembre de beaucoup de gens a été perturbé. Elle a fait du tort à un grand nombre de vacances de personnes. Toutes les personnes à qui j'ai parlé pendant au moins 45 jours m'ont dit : "Oh, qu'est-ce qui se passe ?" "Yep. Log4j. Voilà ce qui se passe. C'est la raison pour laquelle nous sommes en train de nous débrouiller." Vous enseignez donc dans quelques universités, ce que je salue toujours, afin d'aider la prochaine génération. L'un d'entre eux est Wash U, où j'ai obtenu mon MBA, et j'aime, j'aime voir cela dans votre parcours et ce sur quoi vous travaillez. Alors, pourquoi le faites-vous ? Que pensez-vous de la prochaine génération et de l'importance de lui enseigner la cybersécurité ? Et que leur enseignez-vous ?
Rehman Khan : Oui. Je considère cela comme un processus d'apprentissage. En enseignant, j'apprends. Je pense que c'est la seule chose sur laquelle je me concentre vraiment, parce que vous avez cette interaction avec les étudiants et que vous recevez des questions. Parfois, j'ai les réponses, parfois non. C'est une question tellement différente que je ne m'y attendais pas. Il s'agit donc en partie d'une sorte de prophétie qui se réalise d'elle-même. J'essaie de prendre de l'avance.
Rehman Khan : Qu'est-ce que j'enseigne ? Ainsi, à Wash U, lorsque j'ai été contacté pour la première fois au sujet du programme, il n'y avait pas de cours sur la gestion de l'identité et de l'accès. Joe et moi nous sommes donc rencontrés et nous en avons discuté. Et j'ai dit : "J'ai passé pas mal de temps sur la gestion des identités et des accès, et je pense que c'est un domaine auquel nous ne consacrons pas plus de temps, en ce qui concerne les certificats et les programmes de cybersécurité. Faisons donc quelque chose avec cela, mais n'en faisons pas seulement une question théorique. Mettons en place des laboratoires et travaillons sur ce type de projet." J'ai donc créé tout le programme de ce cours. Après avoir suivi quelques cours, j'ai commencé à constater qu'il y avait beaucoup de travail à faire dans le domaine de la gestion des identités et des accès. Même s'il s'agit d'un phénomène très relatif par rapport à d'autres régions, je dirais qu'il existe depuis longtemps. Il existe depuis...
Jason Clark : Il est vieux, mais c'est le moins mature. Je dirais d'ailleurs la même chose pour la sécurité des données. Il s'agit dans les deux cas de vieilles industries ou de vieilles régions, avec le moins de maturité possible et le plus de fragmentation possible.
Rehman Khan : Oui. C'est donc ce qui continue à m'étonner et c'est formidable. L'autre chose qui a été transformée, si vous voulez, c'est un cours sur la sécurité des réseaux d'entreprise, que j'ai co-enseigné avec d'autres instructeurs et que j'ai davantage observé. Et j'ai commencé à observer que nous n'abordions pas les réseaux ou les concepts de confiance zéro. Et nous parlions encore du pare-feu traditionnel et de concepts presque obsolètes. J'ai donc pris ce cours et je l'ai transformé. Et maintenant, nous nous concentrons sur les réseaux de confiance zéro. Cela fait maintenant deux ans que je l'enseigne. Je me suis très bien débrouillé avec le cours, et oui.
Jason Clark : Y a-t-il un cours sur la confiance zéro ou simplement un réseau de confiance zéro ?
Rehman Khan : C'est une bonne question. Comme il s'agissait d'un cours sur la sécurité des réseaux d'entreprise, nous avons conservé les aspects de sécurité des réseaux dans le cours, mais nous avons également introduit les concepts d'identité de la personne et de l'appareil, et nous avons commencé à dresser le tableau en disant : "Regardez, il y a un réseau sous-jacent sur lequel ces informations circulent, mais vous devez également savoir qui est cette personne, quel appareil elle utilise". Je dirais donc qu'il s'agit d'une confiance zéro, mais qu'elle est surtout axée sur les aspects de mise en réseau. Le plan de contrôle et le plan de données dont je parle dans le cours et sur lesquels je travaille avec les étudiants sont vraiment axés sur la question suivante : d'où vient ce trafic ? Comment savoir s'il s'agit d'un bon trafic ?
Jason Clark : Quelle est l'une des questions les plus difficiles qu'un étudiant vous ait posée ?
Rehman Khan : Je pense que la question la plus difficile est de savoir comment nous pouvons prendre nos environnements actuels et les faire évoluer vers une pensée et une mise en œuvre de la confiance zéro. Comment y parvenir ? C'est une question difficile, car je pense que nous n'en sommes pas encore à la confiance zéro. Il y a encore beaucoup de travail à faire. Par exemple, il existe une notion selon laquelle nous devons connaître tous les appareils, toutes les configurations dans nos environnements, afin de pouvoir certifier que cet appareil est légitime, qu'il est autorisé à accéder à l'environnement. Combien d'organisations disposent réellement de ces informations, de manière à ce que nous puissions nous y fier et que la qualité des données ne soit pas un problème ? Il est donc difficile de l'expliquer, car cela varie d'une organisation à l'autre. Je pense que c'est ce qui est le plus difficile.
Jason Clark : Le travail de sécurité est très difficile. De nombreuses personnes ont écrit qu'il s'agit de l'un des postes les plus difficiles au niveau C, si ce n'est le plus difficile après celui de PDG, en raison de la grande complexité qui l'entoure. Mais en regardant cela, comment faites-vous pour suivre personnellement ? En tant que responsable des nouvelles technologies et de l'architecture d'une très grande entreprise, comment faites-vous pour rester au courant de tout cela ?
Rehman Khan : Je pense que c'est une excellente question. Et c'est une lutte. Je pense que, pour moi... Je me concentre, comme je l'ai dit, sur quelques domaines en particulier. Ensuite, l'idée est que, grâce à l'interaction avec nos pairs, vous restez à jour. Il est évident que je lis beaucoup, donc je lis toujours toutes sortes d'articles différents.
Jason Clark : Avez-vous un favori ?
Rehman Khan : Je dirais que non. Je pense simplement qu'il y a... Le traditionnel [Bruce Dyer 00:17:04] et ce type de...
Jason Clark : Oui, oui. Dark Reading, CSO Online, et...
Rehman Khan : Oui.
Jason Clark : Il n'y a pas de nouvelle étonnante... Il n'y a pas de version du Wall Street Journal et du New York Times en matière de cybersécurité.
Rehman Khan : Oui, non. Il s'agit en fait de recueillir des informations provenant de différentes sources. L'un des segments que je propose à mes étudiants consiste à parler de l'actualité du jour, du point de vue de la cybersécurité. Et je vais être très honnête. Je veux dire que c'est probablement l'endroit où je vais, presque quotidiennement, et où je recueille ces informations, puis ils parlent vraiment des raisons, pourquoi les choses se passent comme elles le font et ce qui peut être fait pour gérer le risque. En dehors de cela, je lis surtout des livres sur l'intelligence artificielle. Je lirai certains rapports du type de ceux des Gartner, etc. Mais oui, c'est un peu [inaudible 00:18:18].
Jason Clark : D'accord. Vous venez de parler d'intelligence artificielle. Parlons-en. Vous avez lu des articles à ce sujet, et c'est manifestement un sujet qui vous intéresse. Parlez-nous de l'impact de cette situation, du point de vue de la cybersécurité.
Rehman Khan : Je pense, comme vous l'avez mentionné, que la complexité de notre environnement, qui ne cesse de croître, nous oblige à trouver un moyen de faire évoluer la cybersécurité. Et, dans notre modèle actuel, nos modèles actuels ne vont tout simplement pas s'adapter à la quantité d'informations générées. Et je pense que l'épuisement que nous pouvons créer dans les organisations de sécurité est le fait que les professionnels de la sécurité se concentrent sur les bons problèmes. Travaillent-ils sur le raisonnement ou sur la réaction ? Je pense donc que l'intelligence artificielle peut entrer en jeu si nous commençons à nous intéresser à notre domaine étroit de la sécurité, la cybersécurité, et à certaines tâches étroites, et si nous commençons vraiment à automatiser et à prendre des décisions sur ces tâches étroites. Ainsi, par exemple, il existe des moyens de classer les événements qui se déroulent. Avons-nous besoin d'un analyste qui surveille ces événements toute la journée ? Pourquoi ne pouvons-nous pas utiliser l'apprentissage automatique pour cataloguer les événements, utiliser un certain niveau d'intention, le faire correspondre au résultat, et examiner le résultat pour voir si c'était l'intention que nous avions en utilisant l'apprentissage automatique.
Rehman Khan : Je pense donc que l'apprentissage automatique peut nous aider de ce point de vue, en nous permettant de déplacer une partie de la charge de travail vers des algorithmes d'intelligence artificielle ciblés, capables de filtrer et d'évaluer certains points de décision.
Jason Clark : Avez-vous vu beaucoup... Qui est le meilleur dans ce domaine, en tant qu'architecte ? Qui avez-vous vu faire un très bon travail dans ce domaine, en tant que vendeur ?
Rehman Khan : Au niveau des fournisseurs ? Je dirais que je ne sais pas. Je ne sais pas. Je n'ai pas rencontré de vendeur qui puisse... Je pense qu'il y a certains aspects de la question. Certains algorithmes sont utilisés en coulisses. Mais à l'extérieur, au moins je ne vois pas de vendeur qui a complètement [inaudible 00:20:57]
Jason Clark : D'accord. Même un peu, y a-t-il eu quelqu'un dont vous vous êtes dit : "D'accord, ils sont sur la bonne voie. Ce qu'ils font est intéressant." Startup ou grande entreprise, peu importe.
Rehman Khan : Oui. Je dirais que vous avez des entreprises comme CrowdStrike et évidemment certaines de celles de Palo Alto. C'est un peu ce qui se passe ici. Je pense que de nombreuses recherches sont en cours. Mais je ne vois pas nécessairement une version produite de... Il y a deepwatch. Certaines entreprises tentent de le faire, mais je ne vois pas encore de vainqueur.
Jason Clark : D'accord. Vous êtes donc en panne d'inspiration. À ce stade, vous êtes en panne d'inspiration. Sur le plan technique, qu'est-ce qui vous enthousiasme ?
Rehman Khan : La complexité, les problèmes difficiles, je suppose. Je veux dire que j'aime résoudre les problèmes.
Jason Clark : Très bien. Nous nous intéressons donc à l'informatique dématérialisée. En ce qui concerne la sécurité dans les nuages, comment diriez-vous qu'elle modifie le paysage de la sécurité ? Je veux dire que l'adoption de l'informatique dématérialisée dans votre organisation, par exemple, modifie-t-elle la façon dont la sécurité s'exécute et fonctionne, pour tout, pour le CSO ?
Rehman Khan : Oui. Je pense que le nuage public est en fait une sorte de grâce salvatrice pour nous, parce que... Il y a deux aspects à cela, deux perspectives que j'ai. D'une part, l'informatique dématérialisée nous permet d'atteindre l'échelle que nous avons toujours voulue. Je peux tirer parti de cette échelle pour renforcer mes services de sécurité. D'ailleurs, ces services de sécurité n'ont pas besoin d'être un produit que j'achète auprès d'un vendeur ou d'un fournisseur. Il peut s'agir de notre propre produit de sécurité. Mais maintenant, je n'ai plus besoin de mettre en place cette infrastructure et ces capacités. Je peux en fait tirer parti de l'informatique dématérialisée pour renforcer mes capacités en matière de sécurité. Et je pense que c'est là que certains aspects de la science des données seront plus évolutifs pour les organisations qui se concentrent sur l'intelligence artificielle et la construction de leur propre univers, si vous voulez, du point de vue de la détection et de la prévention.
Rehman Khan : Je pense que le deuxième aspect du nuage public qui est difficile, pour répondre directement à votre question, est que, je pense, encore une fois, nous n'avons pas de professionnels de la sécurité ou suffisamment de professionnels de la sécurité, si vous voulez, avec l'expérience du nuage public. Le défi consiste donc à trouver des personnes capables de développer des solutions ou même d'évaluer des solutions et des applications en nuage qui sont en train d'être migrées. Nous devons donc pouvoir compter sur des personnes qualifiées. Nous devons être en mesure de comprendre l'état d'esprit, qui est une couche logique de l'architecture. Nous n'avons plus affaire à des dispositifs physiques, à des pare-feu ou à des appareils. Il s'agit d'un logiciel. Il s'agit d'un code. Et comment prendre une organisation, une organisation de sécurité, qui s'est principalement concentrée sur une approche d'évaluation des risques, une approche plus réactive de l'évaluation des risques, et en même temps, tirer parti de produits de sécurité prêts à l'emploi et mettre en œuvre ces produits. Vous devez donc être en mesure de faire pivoter cela.
Rehman Khan : D'après mon expérience, il faut une équipe de personnes qui maîtrisent bien le codage. Ils ont une bonne connaissance de la programmation des systèmes distribués. Et vous réunissez cette équipe au sein de l'organisation de la sécurité. Et je pense que c'est un grand pas en avant. Il existe d'autres mécanismes de distribution, tels que [inaudible 00:25:17], que vous pouvez automatiser. Vous pouvez créer des éléments tels que la politique en tant que code. Tous ces aspects sont en quelque sorte des sous-produits. Mais je pense qu'il faut, dans mon esprit, que ce soit les gens. Je pense qu'il faut commencer avec la bonne équipe.
Jason Clark : J'aime beaucoup ce que vous avez dit sur le fait que l'informatique dématérialisée est en quelque sorte la planche de salut de la sécurité, et je suis entièrement d'accord avec vous. En fait, je dirais que c'est la remise à zéro parfaite. C'est comme le reboot. C'est une nouvelle occasion d'obtenir un effet de levier que nous n'avons jamais eu auparavant. Le cloud est extrêmement bénéfique pour nous, si nous l'utilisons correctement.
Rehman Khan : Il est évident que chez Netskope, vous voyez cela, n'est-ce pas ? Vous observez l'utilisation de l'informatique dématérialisée, la façon dont votre organisation est capable de s'adapter. Je pense que pour les entreprises, c'est une opportunité, et je pense que c'est une opportunité unique de pouvoir prendre vos applications actuelles, et de vraiment les déployer d'une manière, et de les concevoir, de les redessiner, de manière à ce qu'elles puissent tirer parti de l'évolutivité du nuage public, mais aussi d'être sécurisées. Je pense qu'il s'agit d'une occasion unique, car je pense que si nous ne faisons pas les choses correctement, nous finirons par nous retrouver dans la même situation. Maintenant, nous aurons simplement plus de code et nous n'aurons peut-être pas de structure autour de ce code. Je pense donc qu'il faut voir les choses sous cet angle.
Jason Clark : Quand vous regardez votre carrière, quelle est la meilleure décision que vous ayez prise, et pourquoi ?
Rehman Khan : Eh bien, il y en a plusieurs, mais la première chose que je dirais, c'est qu'en fait, lorsque j'étais à l'université, j'ai commencé mon parcours dans le domaine de l'ingénierie électrique. En suivant des cours d'ingénierie électrique, j'ai commencé à m'intéresser aux logiciels utilisés, aux logiciels de dessin et à d'autres choses. Je regarde tout cela et je me dis : "D'accord, mais pourquoi ne suis-je pas orienté vers l'informatique ? Où est-ce que je veux aller avec ça ?" Et je dirais que c'est la meilleure décision que j'ai prise. J'ai quitté l'ingénierie électrique. En fait, j'étais à mi-chemin, et j'ai changé pour l'informatique, parce que j'ai toujours été fasciné par les ordinateurs.
Rehman Khan : Et ce qui est intéressant, c'est que je dois partager cette histoire avec vous. En fait, j'ai commencé ma carrière dans la programmation embarquée. J'ai donc travaillé à Minneapolis. J'ai travaillé pour une entreprise de matériel médical. Nous travaillions dans le domaine des pompes à perfusion, qui permettent d'administrer de l'insuline ou des médicaments contre la douleur. J'y ai commencé ma carrière en écrivant une interface pour les pompes à perfusion. En gros, vous mettez la pompe du patient en mode de contrôle, où le médecin se connecte à la pompe et la reprogramme en fonction de vos symptômes. Donc vous [inaudible 00:28:16]
Jason Clark : Combien de lignes de code contient l'une d'entre elles ?
Rehman Khan : Je ne m'en souviens même pas. Il s'agit de centaines de lignes de code et, à l'époque, il s'agissait de communications en série, puis d'un processus de connectivité. Quoi qu'il en soit, j'ai commencé dans le monde des systèmes embarqués. En fait, j'ai dû rédiger un protocole, car il fallait s'assurer que cette connectivité était sécurisée et fiable, car vous ne voulez pas que le patient souffre et que la connectivité soit interrompue et que vous ne puissiez pas reprogrammer sa pompe. J'ai donc commencé dans ce domaine et, une fois de plus, en faisant cela et en examinant les logiciels, j'ai commencé à voir la puissance des logiciels et je me suis dit : "Wow, c'est génial. Je veux dire, c'est là que..." Je pense que c'était le point d'inflexion, lorsque j'ai obtenu mon diplôme, que j'ai changé pour l'informatique et que j'ai continué sur ma lancée. Et puis, je dirais que le deuxième point, pardon, est le passage de ces applications aux applications d'entreprise. C'était en quelque sorte la deuxième étape.
Jason Clark : Où cela s'est-il produit ?
Rehman Khan : C'est arrivé quand j'ai quitté les systèmes embarqués. En fait, j'ai fréquenté les entreprises Carlson. J'y ai commencé en tant que développeur d'applications et j'ai passé du temps à développer des applications, puis j'ai commencé à voir des opportunités. Elle se concentrait principalement sur les applications J2EE et a commencé à voir des opportunités du point de vue de la sécurité. Je veux dire par là que nous devons écrire le code de manière plus sûre. Nous devons réfléchir à l'accès des utilisateurs. Nous devons réfléchir au fonctionnement de la gestion des certificats. Je veux dire que tous ces aspects ont commencé à devenir une réalité. Alors oui, c'était un peu mon...
Jason Clark : Avance rapide, allez cinq ou dix ans dans le futur.
Intervenant 6 : Futur. Votre avenir.
Intervenant 7 : Futur. L'avenir. L'avenir.
Jason Clark : Selon vous, dans quoi les gens regretteront-ils de ne pas avoir investi aujourd'hui ? Du point de vue de l'architecture, de la stratégie et des technologies, quels sont les investissements à réaliser ? Quels seront les changements les plus importants que vous pensez... Utilisez votre organisation ou n'importe quelle organisation, qui va voir.
Rehman Khan : Je pense qu'il y a plusieurs choses. J'ai l'impression que les gens. Je pense que le fait de choisir les bons membres de l'équipe et de prendre ces décisions maintenant portera ses fruits. Je pense que nous sommes tous confrontés à ce problème, à savoir que nous n'avons pas assez de talents. Et nous devons être en mesure d'investir dans les talents. Je pense donc qu'avec le recul, nous aurions dû investir encore plus dans notre personnel, dans le domaine de la cybersécurité, si vous voulez. Je pense qu'il y a encore beaucoup d'opportunités, que les gens regarderont en arrière et diront : "Nous aurions dû nous intéresser à des personnes ayant une formation plus poussée en informatique, ou peut-être les amener à cette formation."
Rehman Khan : Je pense que la deuxième chose que je dirais, c'est qu'il s'agira de la conception, de la conception de la sécurité. Comme je l'ai dit, il s'agit de se concentrer sur la conception de la sécurité et de s'assurer que notre approche de la sécurité ne se limite pas à un ensemble d'outils, mais que nous prenons du recul et que nous intégrons la sécurité dans l'ensemble de l'organisation et du processus. Je pense qu'il s'agit là de deux choses pour lesquelles je pense que, lorsque les organisations regarderont en arrière, je pense qu'elles auraient manqué ces opportunités. Je pense que c'est la raison pour laquelle on assiste actuellement à une véritable ruée sur les talents. Toutes les organisations technologiques ont tendance à recruter davantage de personnes dans le domaine de la cybersécurité parce qu'elles en voient l'intérêt.
Jason Clark : Dernier segment, un peu personnel.
Intervenant 8 : Vite, vite, vite.
Intervenant 9 : Allez-y. Il faut agir vite.
Intervenant 10 : Je veux aller vite.
Jason Clark : Vous connaissez tous les domaines de la sécurité. Vous avez été responsable de l'architecture de plusieurs grandes entreprises du classement Fortune. Quand voulez-vous devenir CSO ? Voulez-vous un jour devenir RSSI ? Ou bien vous regardez le travail et vous dites : "Oui, non."
Rehman Khan : Je pense que nous en avons parlé, n'est-ce pas ? Je pense que nous disons qu'il s'agit d'un rôle stratégique, mais je ne sais pas si nous en sommes encore là. Je pense qu'il s'agit toujours d'un rôle qui est considéré comme opérationnel par nature : "Protégeons nos biens et faisons-le rapidement." Et oui, il y aura un moment où je poursuivrai dans cette voie. Mais pour moi, il y a encore beaucoup de travail à faire, Jason. Il y a encore tellement de travail à faire du point de vue de la conception et de l'architecture des bonnes solutions de sécurité que j'ai l'impression que c'est là que je devrais apporter ma contribution. Et je pense que c'est là que je veux pouvoir influencer l'organisation.
Jason Clark : J'adore ça. Vous prendrez ce poste un jour, j'en suis sûr. Dans les dix prochaines années, nous en reparlerons. Je pense que vous en ferez partie. Si vous ne vous occupez pas de sécurité, que feriez-vous si la sécurité n'existait pas ?
Rehman Khan : Je serais chef cuisinier quelque part.
Jason Clark : J'adore ça. Quel type de nourriture ?
Rehman Khan : Eh bien, c'est surtout de la nourriture indienne et pakistanaise. C'est mon parcours. Mais j'aime fusionner. J'aime la fusion. Alors...
Jason Clark : Qu'est-ce que vous feriez avec ça ? Si vous preniez de la nourriture indienne et pakistanaise, avec quoi la fusionneriez-vous ?
Rehman Khan : Je vais vous donner un exemple. Les Américains adorent le steak. Ainsi, la façon dont je prépare mon steak, et bien sûr, je vais m'en vanter, mes filles adorent le steak que j'ai préparé. Ils pensent que c'est le meilleur au monde. Mais j'utilise des épices pakistanaises. J'ai certains frottements que je n'obtiens pas sur le terrain. Il s'agit de ma propre concoction d'épices. Et je veux être capable de créer un steak américain, mais avec une touche pakistanaise.
Jason Clark : Oui. Oui, c'est vrai. Je l'adore. C'est incroyable. Il faudra bien que nous nous rencontrions un jour.
Rehman Khan : Oui.
Jason Clark : Oui, dans cette confusion. Quelle est donc la compétence, ou vous pouvez faire les deux, la compétence ou le hobby qui ne figure pas sur votre CV ? Que vous souhaitiez mettre l'accent sur un hobby que la plupart des gens ignorent ou sur une compétence, vous avez le choix. Qu'est-ce que c'est que les gens, et ça pourrait être de la cuisine ?
Rehman Khan : Eh bien, je veux dire que la cuisine en est une. Mais la cuisine est aussi une activité spirituelle pour moi. D'une certaine manière, cela m'aide vraiment à me détendre. En fait, c'est plutôt agréable. Je dirais que j'avais l'habitude de remixer de la musique, et c'était de la musique house. J'adore cela. Et j'aime la musique en général, mais oui, je pense que remixer de la musique quelque part, je...
Jason Clark : J'adore ça. Et vous le fusionnez aussi.
Rehman Khan : Oui.
Jason Clark : Je suis sûr que vous faites de la fusion musicale. Tout à fait. Je me souviens de jours où je passais cinq ou six heures à télécharger de la musique et à essayer de [CatGrab 00:36:29] saisir tous les petits MP3 que je pouvais de n'importe quelle chanson. C'est donc une bonne réponse. Dernière question, quel serait votre principal conseil à quelqu'un qui voudrait aspirer à exercer votre fonction ? Que leur diriez-vous de faire ?
Rehman Khan : Si vous êtes un leader humain, je pense que vous voulez donner du pouvoir aux gens qui vous entourent et obtenir la meilleure équipe possible, la meilleure équipe que vous pouvez rassembler, l'équipe avec laquelle vous pouvez établir une relation de confiance. Je pense que c'est la mesure du succès. Et si nous pouvons construire cela avec les gens qui nous entourent, je pense que les problèmes, il devient si facile de résoudre les problèmes. Je ne peux même pas stresser.
Jason Clark : Oui. Et toutes sortes de personnes. Je pense que l'on peut facilement dire qu'en fin de compte, la population est absolument la chose la plus importante que vous puissiez faire. Et surtout dans votre rôle, celui de chef d'orchestre de l'architecture, votre tâche consiste à inspirer les gens. C'est pour les motiver. Parce que vous avez une petite équipe, mais vous devez obtenir, je ne sais même pas combien d'employés technologiques existent dans votre organisation, mais je suis sûr que c'est 5 000, 10 000 personnes, vous devez les motiver tous à faire quelque chose pour vous, pour la sécurité. Et ce n'est pas la politique qui permet d'y parvenir. C'est en les inspirant. Il s'agit de les motiver à vouloir le faire, à s'en préoccuper. Et ce que vous dites, c'est que votre équipe, vos subordonnés directs, doivent faire la même chose. Ils doivent inciter le reste de l'organisation à s'en préoccuper.
Rehman Khan : Oui, non, je veux dire qu'en tant que dirigeant, cela apporte une grande confiance dans l'organisation. Vous voulez aussi qu'ils puissent faire des erreurs, c'est-à-dire que vous les laissiez essayer quelque chose. Et je pense qu'il faut les soutenir. Et je pense que c'est très important. Si quelqu'un veut diriger une équipe d'architectes et d'ingénieurs, vous devez vous fier à ses compétences. Vous devez les écouter.
Jason Clark : C'est tout ce que nous avons le temps de faire aujourd'hui. Mais si quelqu'un rencontre Rehman et souhaite le contacter, vous pouvez le trouver sur LinkedIn. C'est un homme formidable, qui adore parler de tout ce qui touche à la sécurité, en particulier de l'architecture, des changements à venir, de tout. Si vous le rencontrez, demandez-lui quelles sont les épices qu'il met sur son steak. Je vais certainement le faire.
Rehman Khan : Oui, c'est une recette secrète. Mes filles le protègent comme vous ne le croiriez pas. Et ils se disent : "C'est la recette secrète de papa." Et je me suis dit : "C'est une petite recette. Je fais tout, mais..."
Jason Clark : Ils veulent créer un restaurant. Ils veulent créer un restaurant.
Rehman Khan : Oui.
Jason Clark : Mais non, c'était génial. Merci beaucoup de nous avoir accordé votre temps et d'avoir partagé votre vie personnelle, vos amours et beaucoup de choses sur la cybersécurité. Tout ce que nous voulons, c'est aider ce secteur à s'améliorer et, comme vous l'avez dit, il s'agit de... Vous l'avez dit une cinquantaine de fois, je pense, dans cette conversation, tout tourne autour des personnes, et c'est la clé, et c'est ce que nous essayons de faire ici, c'est d'aider les gens. Je vous remercie de votre attention.
Rehman Khan : Oui. Nous vous remercions. Merci beaucoup, Jason, de m'avoir donné l'occasion de m'exprimer.
Jason Clark : Génial.
Annonce : Le podcast Security Visionaries est alimenté par l'équipe de Netskope. Vous êtes à la recherche de la bonne plateforme de sécurité dans le cloud pour vous aider dans votre démarche de transformation numérique ? Le Netskope Security Cloud vous aide à connecter rapidement et en toute sécurité les utilisateurs directement à Internet, à partir de n'importe quel appareil et de n'importe quelle application. Pour en savoir plus, consultez le site Netskope.com.
Producteur : Merci d'avoir écouté les Visionnaires de la sécurité. Veuillez prendre un moment pour évaluer et commenter l'émission, et la partager avec quelqu'un que vous connaissez et qui pourrait l'apprécier. Restez à l'écoute des épisodes qui paraîtront toutes les deux semaines, et nous vous donnons rendez-vous pour le prochain.
Pourquoi Netskope 
){kind=icon}
