Marene Allison : Dans le domaine de la cybernétique, tout change tous les six mois, il y a un nouvel objectif et il y a toute une série de nouvelles technologies qui vont apparaître. En tant que RSSI, je dois prendre en compte la nouvelle menace, mon environnement informatique qui n'évolue pas aussi rapidement que l'environnement de sécurité, puis l'envelopper à nouveau et examiner ce qui fonctionne. Je pense que nous avons un travail formidable parce que nous bénéficions de toutes ces nouvelles technologies. Nous avons l'occasion d'examiner toutes les façons dont un adversaire peut s'en prendre à nous. Ensuite, il faut voir comment nous allons le sécuriser.
Speaker 2 : Bonjour et bienvenue à l'émission Security Visionaries, animée par Jason Clark, CISO chez Netskope. Vous venez d'entendre l'invitée d'aujourd'hui, Marene Allison, responsable de la sécurité de l'information chez Johnson & Johnson. À l'âge de 17 ans, Marene a prêté serment à l'Académie militaire américaine de West Point de défendre son pays contre tous les ennemis, étrangers et nationaux. Aujourd'hui, Marene respecte un autre serment, celui de protéger son entreprise contre les envahisseurs qui tentent de voler ses données. Dans le monde en constante évolution de la cybersécurité, les menaces peuvent surgir à tout moment. En tant que responsables de la sécurité, il est de notre devoir de traduire ces menaces en informations exploitables pour les dirigeants. Et avec une équipe talentueuse, vous serez toujours prêt à protéger votre entreprise contre les attaques. Avant de nous plonger dans l'interview de Marene, voici un bref mot de notre sponsor.
Intervenant 3 : Le podcast des visionnaires de la sécurité est alimenté par l'équipe de Netskope. Netskope est le leader de la SASE, offrant tout ce dont vous avez besoin pour fournir une expérience utilisateur rapide, centrée sur les données et compatible avec le cloud, à la vitesse de l'entreprise d'aujourd'hui. Pour en savoir plus, consultez le site N-E-T-S-K-O-P-E.com.
Speaker 2 : Sans plus attendre, voici l'épisode 10 de Security Visionaries avec Marene Allison, CISO chez Johnson & Johnson et votre hôte, Jason Clark.
Jason Clark : Bienvenue à Security Visionaries. Je suis votre hôte, Jason Clark. Aujourd'hui, je suis accompagné d'une collègue extraordinaire, Marene Allison. Marene, comment allez-vous ?
Marene Allison : Je vais très bien Jason, merci de m'avoir invitée. Il s'agit d'un excellent programme.
Jason Clark : Merci. Je suis impatient de vous présenter certaines des choses qui, je pense, intéresseront vraiment la communauté à votre sujet. Vous avez un parcours vraiment étonnant. Pour être honnête, je suis jaloux de votre parcours. J'aurais aimé aller à West Point. J'aurais aimé rejoindre le FBI. Et vous avez suivi cette voie unique qui est la vôtre. J'ai fait l'armée, mais c'est une grande différence par rapport à West Point, où beaucoup de membres de ma famille sont allés. Peut-être pourrions-nous commencer par parler du fait que vous avez été la première promotion de femmes à être diplômée de West Point, et de ce que cela signifie encore pour vous aujourd'hui.
Marene Allison : Oui, en fait je n'ai jamais voulu aller à West Point. Je voulais aller à l'Académie de l'armée de l'air. Et la première personne qui m'a parrainée et aidée à orienter ma vie, avant même que l'on ne connaisse le mot "parrain", a probablement été Margaret Heckler, membre du Congrès de l'État du Massachusetts. Elle m'a donné sa nomination principale à West Point. J'y suis allé à vue, je n'avais jamais vu l'endroit, j'y suis entré et j'en suis ressorti quatre ans plus tard, avec le grade de sous-lieutenant. Et oui, cela a été déterminant pour la vie. Je viens du Massachusetts, donc l'idée que les femmes ne peuvent pas faire ce qu'un homme peut faire, et certaines de ces idées préconçues, je suppose que c'est la vision du monde des années 70. Je ne savais pas ce que c'était. Je suis entré dans cet environnement et j'ai bien réussi, j'ai obtenu mon diplôme et j'ai été commissionné dans la police militaire, mais c'est là que je me suis orienté vers l'ingénierie électrique. Bien sûr, à l'époque, il n'y avait pas d'informatique ni de diplômes en cybersécurité. J'ai donc choisi l'ingénierie électrique et c'est devenu ma matière principale à West Point, ce qui a certainement fait toute la différence, n'est-ce pas ? C'est énorme. Je suis aujourd'hui présidente de West Point Women et je représente les plus de 6 000 femmes et diplômés de West Point, ainsi que tout ce qui a été accompli.
Jason Clark : Wow, c'est incroyable. Parlez-nous un peu de cette transition vers la cybernétique et du chemin parcouru.
Marene Allison : Eh bien, comme je l'ai dit. J'ai été promu sous-lieutenant dans la police militaire, puis je suis parti. Je dirais que le deuxième parrain de ma vie a été le général Sam Wetzel, qui siégeait au conseil d'administration de l'entreprise A&P Foods. Lui et une autre femme membre du conseil d'administration cherchaient un chef de la sécurité pour une femme diplômée de West Point en application de la loi (&P), et c'était moi. C'est moi qui étais agent du FBI à Newark. J'ai ensuite travaillé dans le domaine de la sécurité d'entreprise et de la sécurité physique. Puis, après avoir quitté A&P au bout d'une dizaine d'années, j'ai opté pour les télécommunications via. Pendant six semaines, j'ai été responsable de la sécurité physique et de la sécurité globale. Ils m'ont dit : "Marene, notre responsable de la sécurité informatique s'en va. Et... Oh, au fait, nous réalisons la Coupe du monde, et c'est la première fois que nous utilisons la voix sur IP dans la production. Et nous avons besoin de quelqu'un pour diriger notre centre d'opérations de sécurité." Je suis votre femme. Je suis là. Je vais le faire. C'est ainsi que je suis passé de l'incapacité d'épeler IT à la gestion de la chaussette pour la Coupe du monde en 2002.
Jason Clark : Vous êtes maintenant CISO chez J&J ou Johnson & Johnson, où vous travaillez depuis 2010. Ainsi, si l'on compare la situation en 2010 à celle de la sécurité en général et à celle du secteur aujourd'hui, on constate qu'il n'y a pas de différence significative entre l'état de la sécurité et celui de l'industrie. Comment analysez-vous ces différences au cours des onze dernières années ?
Marene Allison : En 2010, nous étions un client-serveur. Les gens commençaient à peine à se faire des doigts de pied. Bezos ne pouvait s'offrir qu'un dinging, pas un yacht de 540 millions de dollars, et Amazon ne gagnait pas d'argent. Nous étions donc un serveur client et nos réseaux constituaient le périmètre, et non l'internet tel qu'il est aujourd'hui, tel que nous le connaissons dans le monde numérique. J'étais chez Medco, une société qui s'appelait Medco et qui n'existe plus aujourd'hui. La prestation pharmaceutique. Le site web d'un de nos clients contenait les données de 65 millions d'Américains. En 2005, nous avons mis en place les normes HIPAA, Sarbanes-Oxley et PCI en même temps pour garantir la sécurité des données. Et cela nous a permis d'atteindre un certain niveau. J'utilise le terme, je l'utilise même aujourd'hui, de rester en avance sur l'ours, n'est-ce pas ? Vous avez une légère avance sur l'ours, mais vous vouliez que quelqu'un vous suive, mais vous ne vouliez pas être trop en avance parce que vous dépensiez trop d'argent dans l'espace. Cela a donc fait une énorme différence, mais cela a aussi changé la façon dont nous faisions de la sécurité informatique à cause de certains de ces cadres, c'était génial. Et [inaudible 00:07:03], puis NISS est apparu, et ISO 27001. Mais il ne s'agissait que de cadres destinés à aider les RSSI à s'améliorer dans leur travail.
Jason Clark : Nous allons donc en parler un peu plus, car je pense qu'il y a eu beaucoup de changements au cours des onze dernières années. Mais je pense que même à l'heure actuelle, la quantité de changements est assez importante lorsque nous nous asseyons et réfléchissons à la direction que prennent les choses, mais il suffit de prendre les deux dernières années, qui ont été difficiles pour tout le monde. Mais quand je pense à vos chaussures, vous sortez l'un des premiers vaccins et vous devez également faire face à un crachat. Diriez-vous qu'il y a dix ans, les acquisitions étaient beaucoup plus difficiles sur le plan technologique, parce que vous vouliez allumer une nouvelle ligne de location ou vous envoyiez un nouvel équipement en dropship et nous devions l'acheminer en Afrique du Sud, au Brésil et en Russie, ce qui représentait un projet de six mois à lui tout seul, ne serait-ce que pour acheminer le matériel, alors qu'aujourd'hui, dans un monde en nuage, vous pouvez mettre les choses en place beaucoup plus rapidement. Vous pouvez livrer le logiciel, n'est-ce pas ? Pour être en mesure de le faire. Pensez-vous qu'il est devenu beaucoup plus facile, du point de vue de la sécurité, de procéder à des acquisitions au cours des dix dernières années ?
Marene Allison : D'une manière générale, il est beaucoup plus facile de procéder à des acquisitions et à des cessions aujourd'hui. Si vous vous en souvenez, combien de temps nous a-t-il fallu il y a dix ans pour mettre en place un serveur ? Ensuite, il faut configurer le tout et le faire passer à tout le monde. C'était des mois, des jours. Cela n'a pas duré des heures, n'est-ce pas ? Les fournisseurs d'informatique dématérialisée nous ont aidés à changer, même si vous le faites en interne, ils nous ont aidés parce que si nous voulions être viables, une valeur commerciale dans l'informatique, nous devions changer notre façon de faire et nous devions devenir automatisés, n'est-ce pas ? Si je peux obtenir un serveur auprès d'un fournisseur de services en ligne en quelques minutes et qu'il me faut trois mois pour le faire en interne, devinez où vous irez ? Ce qui s'est passé, c'est le passage à l'informatique dématérialisée. Et le fait de pouvoir pivoter et de tout transférer dans un environnement en nuage rend les choses bien plus faciles que de les placer sur un serveur client si vous travaillez en interne, quelle que soit la rapidité de l'opération.
Jason Clark : Pensez donc à votre étonnante formation en histoire. Quelle a été l'une de vos plus grandes expériences d'apprentissage dans le domaine de la cybernétique ?
Marene Allison : Je pense que le moment le plus déterminant pour moi a été celui de juin 2016 avec notPetya. Je pense qu'en tant que RSSI, nous pouvons nous défendre contre cela. Des modes plus importants, des pare-feux plus importants. Je peux le faire et je vais bien. J'obtiendrai plus de détection et la protection sera bonne. Ce sera bien. Lorsque notPetya est apparu, on s'est rendu compte qu'il fallait une cyber-résilience. Si vous ne disposez pas d'une cyber-résilience, vous ne pourrez pas survivre dans le nouvel environnement de menaces. Et je sais que j'ai de très bons amis qui, à l'époque, m'ont dit : "Marene, je me retire, je m'en vais. Je quitte le cyberespace. Je vais rentrer dans un capital-risque. Je vais faire autre chose," parce que le RSSI doit comprendre où une entreprise doit aller dans sa réflexion sur la cybernétique. Et la résilience n'est pas entièrement au cœur du domaine du RSSI. C'est vraiment l'entreprise, n'est-ce pas ? Et nous l'avons encore vu avec la montée en puissance des ransomwares. Très peu de RSSI que je connais faisaient des sauvegardes et des restaurations, mais tout tournait autour de la façon dont vous configuriez votre sauvegarde et votre restauration, et de votre haute disponibilité. Et comment les ransomwares arrivent et se propagent dans un environnement et chez l'adversaire, en regardant les choses que nous avons faites pour l'efficacité, toute cette automatisation et cette double redondance, et les sauvegardes automatisées peuvent aussi être votre talon d'Achille dans un événement de ransomware. Et c'est là que je pense que l'événement notPetya a été pour moi le moment où l'on s'est dit : "Bon, maintenant, que faisons-nous ? Et ensuite, comment aller de l'avant ?" Il s'agissait moins de sécurité informatique que de gestion des risques liés à la sécurité de l'information et de cyber-résilience.
Jason Clark : Vous venez de mettre le doigt sur un certain nombre de points très importants, que j'aimerais souligner. Nous allons commencer par le premier, le poste de RSSI, c'est un poste très compliqué et difficile parce que, d'une part, le niveau de stress est tel qu'il va se produire. Vous allez devoir faire face à un événement qui vous fera manquer les vacances ou les fêtes de Noël de votre famille, ou le mariage de votre meilleur ami, n'est-ce pas ? Cela arrive à tout le monde. Vous devez donc trouver un équilibre entre ces moments de stress et la façon dont vous les gérez, tout en essayant de ne pas créer de frictions dans l'entreprise, mais en ayant besoin d'un certain niveau de frictions pour qu'il y ait un peu de contrôle en place, parlez-nous peut-être de ce qui rend le travail du RSSI si stressant. La plupart des RSSI que je connais se disent, après avoir fait leur travail de RSSI trois fois, "Bon, je pense qu'il me reste peut-être encore un peu de temps ou que je dois aller dans une plus petite entreprise, ou encore que je dois passer à autre chose. Mais je ne peux pas recommencer à fond,", n'est-ce pas ? Que pensez-vous que cela signifie ?
Marene Allison : Sauf pour moi, Jason. Sauf moi, n'est-ce pas ?
Jason Clark : Je pense que vous vivez en Floride, n'est-ce pas ? Cela vous aidera peut-être à vous détendre un peu plus.
Marene Allison : Et je dirais qu'il y a deux types de RSSI. Il y a les RSSI qui travaillent sur une véritable mission de sécurité informatique, autour de la protection de l'informatique. Et puis il y a les RSSI qui sont vraiment des dirigeants d'entreprise. La sécurité informatique n'est qu'une petite partie de ce qu'ils font. Et puis il y a le cyber-risque. Ils s'intéressent à des aspects tels que le contrôle des technologies de l'information pour la loi Sarbanes-Oxley. Il s'agit d'un rôle très différent, car vous traduisez en permanence. Ce que je sais de ce qui se passe et ce que j'essaie de transmettre aux cadres supérieurs, c'est tout un art. C'est tout un art que nous devons pratiquer. Il est très important d'avoir des équipes de personnes très talentueuses qui ont travaillé pour le gouvernement, qui ont un sens technique ou un sens des affaires, et de réunir tout cela, plutôt que d'avoir une organisation composée principalement d'ingénieurs en sécurité. Et la donne a changé, n'est-ce pas ? C'est... Nous allons tous au conseil d'administration et nous parlons de cyber-risques et de mesures opérationnelles. Les personnes à qui vous avez parlé comprennent-elles vraiment le point de vue d'un RSSI ? Je pense que le jeu a changé et qu'il faut être capable de l'exprimer d'une manière qui ait du sens. À 17 ans, j'ai levé la main à West Point pour défendre notre pays contre tous les ennemis, étrangers et nationaux. Et je peux vous dire que même des années plus tard, je ne vous dirai pas combien d'années plus tard. Je pourrais encore lever la main et dire : "Je défends mon entreprise contre tous les intrus qui tentent de voler ou de défigurer nos données."
Jason Clark : C'est ce qui est extraordinaire dans notre mission. Nous n'en sommes qu'au début. Le problème devient de plus en plus difficile et nous allons continuer à nous développer en matière de sécurité, ce dont je voudrais parler un peu. Je pense que votre réponse était parfaite sur... Je pense que le stress réside dans le fait qu'ils sont sollicités d'une certaine manière sur le plan technique, mais aussi d'une autre manière du point de vue du risque commercial et de la résilience. Et tout le monde n'est pas en mesure de gérer ces deux aspects en même temps. Et c'est là que les gens risquent de tomber, n'est-ce pas ? Ou l'organisation autour de l'entreprise les soutient, peut-être ont-ils un patron qui ne les soutient pas, n'est-ce pas ? Vous voyez, vous pouvez avoir un DSI qui ne vous soutient pas et qui passe une fois par mois avec le conseil d'administration, et il a rencontré le conseil d'administration. Cela arrive tout le temps, ou quelqu'un vous dit... et je l'ai vu bien trop souvent, "Hey, j'ai besoin que vous approuviez ce risque." Et bien, oui, je ne peux pas faire ça, c'est un risque énorme. Pourquoi ne pas le signer ? Et ils sont comme, "Eh bien, non, c'est votre travail." Et puis vous recevez le, "Si vous ne le signez pas, vous devriez peut-être passer la porte et nous trouverons quelqu'un d'autre qui le signera,", n'est-ce pas ? Vous vous retrouvez également avec ce type de stress.
Marene Allison : Cela m'est déjà arrivé, non pas chez J&J, mais dans une entreprise précédente où la personne n'avait pas de double redondance pour son centre d'appel. Je l'ai évoqué comme un risque de continuité de l'activité. Le président de cette unité commerciale devait donner son accord, ce qu'elle n'a pas voulu faire. J'ai donc dit : "D'accord, je vais juste écrire ici le mémo que vous avez refusé de signer, c'est d'accord ?" Oui. Ce n'est pas grave. Un an et demi plus tard, les inondations ont supprimé la seule liaison de données avec le centre d'appel, et nous avons tous les deux été conduits dans le bureau du directeur général, qui nous a posé la question. Et j'ai dit : "Voilà un cas où l'approbation n'était pas nécessaire, même si elle a été déclarée nécessaire." Et j'ai pu quitter le bureau.
Jason Clark : J'adore ça. Oui, c'est vrai.
Marene Allison : Oui. C'est la responsabilité et l'informatique qui sont mystérieuses, n'est-ce pas, Jason ? Vous savez qui fait quoi. Mais je pense que du côté de l'informatique, le monde de l'informatique serait ennuyeux pour moi, n'est-ce pas ? Dans le domaine de la cybernétique, tout change tous les six mois, il y a un nouvel objectif et il y a toute une série de nouvelles technologies qui vont apparaître. En tant que RSSI, je dois prendre en compte la nouvelle menace, mon environnement informatique qui n'évolue pas aussi rapidement que l'environnement de sécurité, puis l'envelopper à nouveau et examiner ce qui fonctionne. Je pense que nous avons un travail formidable parce que nous bénéficions de toutes ces nouvelles technologies. Nous avons l'occasion d'examiner toutes les façons dont un adversaire peut s'en prendre à nous. Ensuite, il faut voir comment nous allons le sécuriser.
Jason Clark : Je pense que c'est le seul endroit dans la technologie où vous avez un adversaire qui est constamment en train de pousser et d'innover, n'est-ce pas ? Il n'y a pas d'autre domaine technologique où vous... qui ait un adversaire direct, n'est-ce pas ? Il vous poursuit en permanence. À cela s'ajoute le fait que l'entreprise évolue et qu'il vous faut en même temps évoluer à la vitesse de l'entreprise. Vous avez donc ces deux forces massives qui vous poussent dans des directions opposées, n'est-ce pas ?
Marene Allison : C'est vrai. Et puis il y a aussi l'environnement réglementaire, quiconque travaille avec une loi chinoise sur la cybersécurité et la localisation des données en Chine, et la même chose avec la localisation en Russie. Nous devons continuellement adapter l'environnement de manière à ce que les entreprises puissent continuer à fonctionner dans l'environnement dans lequel elles se trouvent sans autant de frictions que nous le souhaiterions probablement, si nous n'étions que des spécialistes de la sécurité informatique.
&Jason Clark : Quel est le pourcentage de votre temps consacré à la sécurité informatique, par rapport aux régulateurs, par rapport à l'entreprise, d'un point de vue financier, juridique et RH ?
Marene Allison : Je dirais probablement que 10 à 15 % sont des trucs bizarres. Et pour être honnête avec vous, mon équipe souhaiterait probablement qu'il soit plus éloigné, même de 10 à 15 %, parce que je cherche et trouve des choses, j'en parle et je vois comment cela pourrait fonctionner. Et puis...
Jason Clark : C'est amusant aussi.
Marene Allison : Oui. C'est amusant. C'est très amusant, n'est-ce pas ? Et j'aime toujours me demander : "Qu'allons-nous faire maintenant ?" C'est vrai ? Ils adorent donc ces défis, j'en suis sûre. Si vous les interrogez, ils vous diront certainement autre chose. La partie commerciale représente probablement 20 à 25 %. Qu'est-ce que nous sommes ? 35, 40%. Ensuite, je m'occupe des contrôles informatiques, quelle que soit la réglementation, qu'il s'agisse d'une réglementation sur la protection de la vie privée, d'une loi Sarbanes-Oxley ou d'une loi HIPAA, ce qui représente la majeure partie du temps, car je dois littéralement travailler avec d'autres secteurs de l'entreprise dans le cadre d'une évaluation, d'un audit ou d'une autorité de réglementation tierce. À quoi ressemble le bien ?
Jason Clark : Ces 50% n'ont pas l'air aussi amusants.
Marene Allison : C'est intéressant. J'étais juste... Certains de nos auditeurs sont entrés dans le cyberespace. Et quel cadre utilisez-vous pour effectuer l'évaluation ? Et parce que c'est l'occasion de jouer les entraîneurs. J'adore les auditeurs informatiques, n'est-ce pas ? Je les aime parce que je vois quelqu'un qui travaillera un jour dans mon service ou dans le cyberespace. Il s'agit donc de s'intéresser à ces auditeurs informatiques et de les interpeller, de les questionner et de leur demander pourquoi nous nous intéressons à cette question. Cela me donne l'occasion d'entraîner et j'aime entraîner.
Jason Clark : Quel est votre domaine préféré dans la cybernétique ?
Marene Allison : Quel est mon... La police scientifique. L'informatique légale. Oui, ma pauvre chaussette, les gens qui dirigent ma chaussette et le directeur principal de ce côté-là, ils savent que je peux sauter en un battement de cœur. Je poserai un million de questions : pourquoi faisons-nous cela ? Devrions-nous le faire ? Ensuite, je l'associe à la technologie, à un événement aléatoire qui s'est produit il y a trois ans et dont je me souviendrai. Et ils adorent ça. Ils aiment beaucoup cela.
Jason Clark : J'en suis sûr. Mais... Revenons à nos moutons... Nous avons commencé à nous pencher sur l'innovation et je voulais l'évoquer dans les dernières minutes. Il y a donc beaucoup de changements en cours. Quels sont les domaines qui, selon vous, nécessitent le plus d'innovation sur le plan technique ? En ce qui concerne la cybersécurité, il pourrait s'agir d'une simple sécurité dans le nuage. Il pourrait s'agir de la sécurité des données. Il pourrait s'agir du SIMS. Il pourrait s'agir du périmètre de convergence vers SASE et SSE, mais la sécurité de l'API, c'est-à-dire tout ce qui précède. Curieux, quel est votre point de vue sur les domaines où l'innovation est nécessaire ? Si vous parliez à une centaine de CTO et d'entrepreneurs extraordinaires et que vous leur disiez : "Construisez ceci. Ce sont les choses dont nous avons besoin." Que diriez-vous ?
Marene Allison : La forme S des applications, le fait que nous devions gérer chaque ligne de code dans une application ne sera pas durable. Nous avons besoin de directeurs techniques et de technologies capables de conteneuriser ces applications et de les sortir de l'état de vulnérabilité dans lequel elles se trouvent aujourd'hui. Je n'étais pas un nouveau... comme, Ok, la partie sécurité des applications est importante mais jusqu'à Log4j, parce que Log4j est dans les applications et dans les serveurs et il est partout. Et j'aime bien quand on est capable de faire du rafistolage. Mais une grande partie du code ne peut pas être corrigée en raison de ce qu'il fait et de l'endroit où il se trouve. Il faudra donc qu'il soit conteneurisé d'une manière ou d'une autre. L'autre élément est l'information, n'est-ce pas ? Il y a les aspects physiques. Et même aujourd'hui, j'appelle l'application elle-même, un espace physique contenu ou le serveur, ou le nuage ou le réseau. Il s'agit là d'éléments physiques qui doivent bénéficier de notre expertise pour être sécurisés. Mais les données sont omniprésentes. Elle va se répandre partout. La 5G, les données provenant des capteurs, une bague à votre doigt va communiquer avec votre montre, elle va envoyer des informations à votre médecin. S'il vous plaît, ne l'envoyez pas à quelqu'un qui essaie de me vendre un programme de perte de poids, d'accord ? Tous ces éléments vont devenir très, très importants. Sommes-nous prêts ? Savons-nous où vont les données ? Nous continuons à essayer de gérer les données en fonction de l'endroit où elles se trouvent ou des tuyaux qu'elles empruntent. Comment gérer les données elles-mêmes ?
Jason Clark : Partout. Et comment les contrôles de sécurité suivent-ils essentiellement les données ? Ce que j'appellerais le Nirvana de la sécurité, c'est ce dont nous avons besoin. Et ce qui est amusant, c'est que 90 % des conversations sur la sécurité ne portent pas sur les données. Ils parlent de menaces et de vulnérabilités, de probabilité, d'audit, de conformité et de tout le reste. Et la réalité, c'est qu'en fin de compte, la grande stratégie de sécurité consiste à protéger les données. Mais la résilience est là, c'est certain, n'est-ce pas ? Il y a des temps de montée, mais la plupart sont des données. Vous ne trouvez pas... La plupart des conversations portent en fait sur la technologie qui l'entoure, à part...
Marene Allison : C'est vrai. Exactement. Il s'agit d'un conteneur. C'est le contenant dans lequel il se déplace. C'est le contenant dans lequel il se trouve. Mais nous n'en parlons pas. Et ensuite, que devons-nous en faire ? Et puis cela se traduit par... L'un de mes sujets préférés concerne la confiance zéro et l'accès, ainsi que la question de savoir qui a touché les données. Et toutes ces choses parce qu'elles sont très, très importantes. Où la technologie nous mènera-t-elle et comment la protégerons-nous pour l'avenir ?
Jason Clark : La plupart des gens à qui je parle considèrent Zero Trust et certainement la plupart des vendeurs. Ils considèrent que la confiance est binaire. Donc, soit vous avez accès, soit vous n'avez pas accès. Je leur dis : "Non, vous n'avez pas le droit d'entrer chez moi ou de sortir de chez moi. Vous... Je peux vous laisser entrer dans ma maison, mais dès que je vois que vous vous comportez mal, je ne vous laisserai pas sortir de mon coffre-fort." Et nous devons simplement penser à des choses qui permettent de niveler l'accès. Et cette évaluation est constamment basée sur de nombreux facteurs de risque. Et je pense que c'est là que nous devons arriver, là où nous pouvons faire un peu plus confiance, n'est-ce pas ? Dans certains cas, vous pouvez accorder aux gens le bénéfice du doute pendant une seconde, s'ils... disons qu'ils tapent une phrase. Saisissez en une phrase la raison pour laquelle vous avez besoin de ces données. Et 99 % des gens diront : "Non, laissez tomber. Je me retire." 1 % de la population saisira la raison. Il est maintenant enregistré. Et c'était un seul disque, n'est-ce pas ? Au lieu de dire : "Juste non. Et allez déposer une demande pour l'équipe de sécurité,", n'est-ce pas ? Il s'agit donc d'un niveau d'engagement très différent, à mon avis, où la confiance zéro peut être automatisée et intégrée.
Marene Allison : Mais vous savez quoi ? Nous devrions également nous demander : "Où allons-nous placer les données ?" C'est vrai ? Et pouvez-vous imaginer un monde. C'est là que j'aime imaginer "Oh, votre but est de le télécharger sur quoi ? SharePoint, une base de données et vous saviez ce que c'était." Et les données savaient que si elles n'allaient pas là, elles vous disaient, "Hé, le développeur l'a mis au mauvais endroit, n'est-ce pas ? Venez me trouver. Maman, viens me chercher," right ? Pouvez-vous imaginer ce monde ? Nous y parviendrons. Nous aurons un jour des données qui y ressembleront, mais cela prendra du temps. Mais cela aidera l'industrie de la sécurité. Regardez le cryptage, n'est-ce pas ? Le cryptage était... c'est la confiance zéro. Je ne vous fais confiance que si je vous donne les clés. Mais si je vous donne les clés, vous avez accès à tout, n'est-ce pas ? Et...
Jason Clark : Oui. C'est donc activé ou désactivé, n'est-ce pas ? C'est là le problème.
Marene Allison : Oui. Ce n'est pas un modèle idéal parce qu'ils placent les clés à des endroits bizarres, n'est-ce pas ?
Jason Clark : Mm-hmm (affirmatif). Exactement. Complétez le binaire on ou off.
Marene Allison : On, off. N'est-ce pas ?
Jason Clark : C'est ça.
Marene Allison : Et vous avez raison. Et il se peut qu'il ne s'agisse que d'une période de dépendance. C'est comme l'analyse du comportement de l'utilisateur ou l'accès contextuel, n'est-ce pas ? Et nous avons vu beaucoup de cela quand, Oh, votre authentification à deux facteurs. Si vous êtes sur le réseau J&J, que vous avez accès à J&J et que vous êtes sur VPN, vous pouvez y accéder. Mais si vous n'êtes pas sur le réseau et que vous entrez, vous devez alors utiliser un autre facteur double, n'est-ce pas ? Et ce n'est qu'une question de contexte, n'est-ce pas ? Ou si vous êtes à un certain endroit ou si vous n'êtes pas dans une adresse IP qui est... Pouvez-vous imaginer que tous les salons Starbucks seront considérés comme sécurisés ou non sécurisés.
Jason Clark : Et je pense que ce monde où tout sort de notre centre de données et où tout se trouve dans le nuage, dans SaaS ou sur nos appareils nous permet de le faire. Cela nous pousse à avoir ce genre de... ce que j'aime dire est la réinitialisation parfaite de la sécurité. Il nous permet de dire : "D'accord, tout parle à tout. Tout est désormais une API. Et automatisons tout cela d'une manière bien plus efficace." Nous sommes donc en train de reconstruire la sécurité au cours des dernières années et nous avons encore beaucoup de travail à faire, mais j'ai l'impression que nous avons commencé à le faire.
Marene Allison : Oui. Et imaginez encore, car le risque lié aux tiers et les risques liés à la chaîne d'approvisionnement ont été évoqués. Ils ont parlé de ces risques. Pouvez-vous imaginer que vos données puissent vous appeler si elles ne sont pas traitées correctement ?
Jason Clark : Oui.
Marene Allison : Pouvez-vous imaginer ces conversations... Probablement dans 10 ou 15 ans, mais pouvez-vous imaginer des conversations de CISO à CISO, "Hey, excusez-moi. Mes données m'ont appelé et m'ont dit que vous en abusiez."
Jason Clark : Oui. Il n'est pas là où il devrait être.
Marene Allison : [crosstalk 00:29:16] accès non autorisé et je voudrais vous en parler. Ou bien il est allé sur l'internet, alors qu'il n'était pas censé y aller.
Jason Clark : Pourquoi mes données, que je vous ai confiées en tant que tierce partie, sont-elles stockées en Chine ? Oui, c'est vrai. C'est un appel à la maison. Oui, c'est vrai.
Marene Allison : Exactement. Pouvez-vous imaginer cela ? Oui, et puis certains des problèmes auxquels les RSSI sont confrontés aujourd'hui, la perte de données, l'exposition aux données, la protection des données, le risque lié aux tiers. Ils auront une dimension différente de celle qu'ils ont aujourd'hui. Et c'est ce qui est passionnant dans notre travail, n'est-ce pas ?
Jason Clark : Il s'agit donc de données intelligentes.
Marene Allison : Données intelligentes.
Jason Clark : Cela permet de savoir s'il est utilisé correctement et en toute sécurité. Une dernière question, plus personnelle, quel est le hobby que vous aimez pratiquer en dehors du cyber ou des deux ?
Marene Allison : Oui. J'ai trois chevaux dans une ferme au nord de la Floride, et mon mari et moi cultivons des myrtilles biologiques à des fins commerciales.
Jason Clark : Wow. Dans cette même ferme ?
Marene Allison : Dans la même ferme. Il s'agit d'un terrain de plus de 200 acres, ce qui laisse beaucoup d'espace. Et nous avons environ 50 acres de myrtilles biologiques.
Jason Clark : Combien de temps passez-vous à la ferme par rapport à votre...
Marene Allison : On pourrait considérer que la ferme est la maison principale, parce qu'une fois que l'on a une ferme, il y a très peu d'autres choses à faire. Je travaille à domicile depuis ces deux endroits et je me rends à Jersey pour aller au bureau environ une fois par mois.
Jason Clark : C'est génial. Je vous remercie. Cette session a été extraordinaire et je sais que les auditeurs auront beaucoup apprécié cette conversation, au cours de laquelle nous avons abordé de nombreux sujets et nous nous sommes bien amusés. Merci beaucoup, Marene, et c'est toujours un plaisir de discuter avec vous. Et...
Marene Allison : C'est un plaisir d'être ici, Jason. Et chaque fois que nous pouvons avoir une conversation, c'est un grand jour pour moi. Nous vous remercions.
Intervenant 3 : Le podcast des visionnaires de la sécurité est alimenté par l'équipe de Netskope. Vous êtes à la recherche de la bonne plateforme de sécurité dans le cloud pour vous aider dans votre démarche de transformation numérique ? Le Netskope Security Cloud vous aide à connecter rapidement et en toute sécurité les utilisateurs directement à l'internet, à partir de n'importe quel appareil et de n'importe quelle application. Pour en savoir plus, consultez le site N-E-T-S-K-O-P-E.com.
Intervenant 2 : Merci d'avoir écouté les Visionnaires de la sécurité. Veuillez prendre un moment pour évaluer et commenter l'émission et la partager avec quelqu'un que vous connaissez et qui pourrait l'apprécier. Restez à l'écoute des épisodes qui paraîtront toutes les deux semaines, et nous vous donnons rendez-vous pour le prochain.
Pourquoi Netskope 
){kind=icon}
