Matthew McCormack : Comment pouvons-nous contribuer à la création d'un pipeline de futurs cyberdirigeants, mais aussi de cette pyramide ? Comment attirer des millions de personnes supplémentaires dans cette discipline et les convaincre qu'il n'est pas nécessaire d'être un spécialiste en sciences de l'information ou un ingénieur pour faire ce travail ? Il suffit d'être curieux, n'est-ce pas ? Ce que je veux, c'est quelqu'un qui regarde quelque chose et qui dit : "C'est intéressant. Cela n'a pas de sens." "Laissez-moi comprendre pourquoi," c'est la personne qui ferait un bon agent de sécurité. Si vous êtes quelqu'un qui regarde quelque chose et dit : "Je ne comprends pas pourquoi c'est comme ça, mais je vais chercher à comprendre pourquoi," alors vous êtes fait pour ce domaine.
Narrateur : Bonjour et bienvenue dans l'émission Security Visionaries animée par Jason Clark, CISO chez Netskope. Vous venez d'entendre l'invité d'aujourd'hui, Matthew McCormack, vice-président senior et responsable de la sécurité de l'information chez GSK. Que se passe-t-il dans un monde où les méchants sont plus nombreux que les gentils ? Si vous êtes un RSSI moderne, cette idée vous empêche de dormir. Les cybercriminels se multiplient à un rythme effréné et les RSSI s'empressent de constituer des équipes capables de les aider à garder une longueur d'avance. La formation de la prochaine génération de responsables de la sécurité est un élément clé de la lutte, mais comment, en tant qu'industrie, pouvons-nous remplir les rangs des forces de cybersécurité de demain ? Heureusement, c'est justement ce que l'invité d'aujourd'hui va nous aider à comprendre. Avant de nous plonger dans le plan de match de Matthews, voici un bref mot de notre sponsor.
Rouleau publicitaire : Le podcast des visionnaires de la sécurité est alimenté par l'équipe de Netskope. Netskope est le leader impertinent qui offre tout ce dont vous avez besoin pour fournir une expérience utilisateur rapide, centrée sur les données et compatible avec le cloud, à la vitesse de l'entreprise d'aujourd'hui. Pour en savoir plus, consultez le site Netskope.com.
Narrateur : Sans plus attendre, voici le quatrième épisode de Security Visionaries avec Matthew McCormick, vice-président senior et responsable de la sécurité de l'information chez GSK, et votre hôte, Jason Clark.
Jason Clark : Bienvenue chez les visionnaires de la sécurité. Je suis votre hôte, Jason Clark, CMO, directeur de la stratégie et directeur de la sécurité chez Netskope. Je suis accompagné aujourd'hui par mon ami et invité spécial, Matt McCormack. Matt, comment allez-vous ?
Matthew McCormack : Bien. Jason, comment allez-vous ?
Jason Clark : Je suis super fantastique, mec. Je suis très heureux de lancer cette série de podcasts avec vous. Vous êtes notre deuxième invité. J'étais avec Emily Heath il y a deux semaines et cela s'est très, très bien passé. Pour commencer, quelle a été votre première insécurité professionnelle ?
Matthew McCormack : Ma première insécurité professionnelle, ironiquement, c'était dans la marine, n'est-ce pas ? Lorsque j'étais dans le ROTC à l'université, en dernière année, on m'a fait passer un examen médical avant que je ne rejoigne la marine et on m'a dit que j'étais daltonien rouge-vert. Et si vous connaissez un tant soit peu les bateaux, sachez que le rouge et le vert sont des couleurs importantes en mer. Il vous indique la direction que prend le navire. Ils m'ont donc dit que je ne pouvais pas piloter un avion ou conduire un bateau et ils ont fait de moi un cryptologue qui, dans les années 90, s'est transformé en sécurité des réseaux. Je me suis donc retrouvée dans cette situation à cause de la marine et parce que j'étais daltonienne.
Jason Clark : C'est une histoire intéressante, n'est-ce pas ? Je pense que mon état d'esprit était le même que le vôtre lorsque j'ai rejoint l'armée, pas à cause du daltonisme, n'est-ce pas ? Mais je pilotais des avions en pensant que je voulais être pilote, et pendant que je volais, les pilotes autour de moi étaient des pilotes de ligne professionnels, j'avais quitté la Marine, et ils m'ont dit, "Ecoutez, vous ne voulez pas être un pilote de ligne professionnel. En fait, je ne fais que conduire un bus. Choisissez une autre carrière." Et je suis comme, "Oh, wow, ok. Vous venez de briser mes rêves."
Matthew McCormack : C'est un bon conseil.
Jason Clark : C'était un bon conseil et je me suis lancé dans la sécurité. C'est tout. J'étais analyste, n'est-ce pas ? Cela a donc changé ma vie.
Matthew McCormack : Le monde a changé, n'est-ce pas ? Aujourd'hui, les gens se lancent dans la sécurité à l'origine, n'est-ce pas ? Les originalistes de la sécurité, où nous sommes tous tombés dessus il y a des années.
Jason Clark : C'était bien. Je pense, Matt, que nous nous connaissons depuis 15 ans, n'est-ce pas ? Je dirais que nous avons contribué à jeter les bases de ce secteur, n'est-ce pas ? Nous sommes partis de zéro ensemble. C'est très intéressant à voir.
Matthew McCormack : Je sais que mon premier rôle de RSSI était en fait le premier RSSI de l'organisation de la Defense Intelligence Agency. Il n'y en avait jamais eu auparavant. L'idée que nous créons littéralement certaines de ces premières organisations et aussi effrayant que cela puisse paraître il y a presque 20 ans, mais oui. Je me souviens de nos premières interactions, vous étiez chez Websense et Blue Coats à l'époque et j'étais à l'IRS et tout le monde faisait ses premiers proxys et filtrages web. Il y a plus de 20 ans, la sécurité des réseaux se résumait à des pare-feu filtrant les paquets, n'est-ce pas ? Et c'est tout. Puis, les VPN et tous les filtres de contenu web ont fait leur apparition et nous voilà aujourd'hui.
Jason Clark : Honnêtement, nous étions en train de comprendre, n'est-ce pas ? Nous devions simplement inventer, au fur et à mesure, "Ok, voyons si cela fonctionne," d'accord ? Ce qui, à mon avis, contribue grandement à la façon dont nous devons encore faire les choses aujourd'hui, n'est-ce pas ? Parlez-nous un peu de votre rôle chez GSK.
Matthew McCormack : En tant que responsable de la sécurité de l'information, je joue tous les rôles traditionnels d'un RSSI, n'est-ce pas ? Qu'il s'agisse de la cybersécurité, de la défense du réseau ou de la fonction GRC (gouvernance, risque et conformité), il s'agit d'un secteur pharmaceutique réglementé à l'échelle mondiale. Il existe un grand nombre de réglementations. L'un des aspects intéressants de la mondialisation, c'est qu'il n'y a pas que les réglementations américaines, n'est-ce pas ? Il s'agit d'une réglementation applicable à chaque entreprise ou à chaque pays dans lequel vous fabriquez et vendez des produits. Et nous sommes présents dans un grand nombre de pays. Ainsi, lorsque vous examinez les questions de gouvernance, de risque et de conformité, vous constatez leur importance, n'est-ce pas ? Contrairement à un rôle précédent dans une entreprise technologique américaine, où vous n'êtes généralement concerné que par un nombre limité de pays.
Matthew McCormack : Travailler pour une entreprise pharmaceutique qui fabrique et vend ses produits dans presque tous les pays, c'est différent de devoir être conscient et attentif à toutes ces règles de conformité, n'est-ce pas ? En fait, c'est assez révélateur, car vous voyez comment les différents pays abordent la question de la protection de la vie privée de leurs citoyens et comment les données sont conservées et gérées. Et il y a une grande variété, n'est-ce pas ? En tant qu'Américain, je dirais que nous traitons généralement la vie privée de nos citoyens de manière moins stricte que beaucoup d'autres pays. De nombreux pays sont très soucieux de protéger les données de leurs citoyens. C'est donc avec une grande ouverture d'esprit que j'ai commencé à jouer ce rôle il y a plusieurs années.
Jason Clark : Comment faites-vous pour ne pas perdre le fil ? C'est beaucoup, n'est-ce pas ? Cela fait beaucoup de changements. Il me semble qu'il évolue plus rapidement que jamais. Alors, comment faire pour ne pas perdre la main ?
Matthew McCormack : Eh bien, je veux dire que pour moi, vous devez avoir une équipe de personnes qui savent comment le faire et comment le faire bien, mais aussi à l'échelle mondiale. Vous ne disposerez pas d'une équipe de personnes réunies au même endroit et capables de gérer ce programme global. En ce qui concerne le CRG, il s'agit de personnes individuelles. J'aurai plusieurs personnes qui seront les seules de mon équipe dans ce pays, n'est-ce pas ? Leur travail consiste à maintenir cette relation avec les gouvernements locaux et à nous tenir au courant de tous les changements, mais il y a beaucoup d'éléments significatifs lorsque vous regardez la loi chinoise sur la sécurité, la loi chinoise sur la protection de la vie privée, mais il y a aussi beaucoup de discussions sur la protection de la vie privée en Inde à propos de la modification des lois dans ce pays.
Matthew McCormack : Si l'on considère certains de ces grands pays, toute modification des lois sur la protection de la vie privée peut avoir un impact sur nous à l'échelle mondiale, n'est-ce pas ? En effet, pour se conformer à certaines de ces lois, il se peut que vous deviez procéder à des changements au niveau de l'entreprise.
Jason Clark : Lorsque vous étiez à la DIA, vous et moi avons beaucoup parlé de la transition entre le gouvernement et le rôle de RSSI dans l'entreprise. Parlez-nous un peu de la façon dont vous avez vécu cette transition, de ce qui est différent et des conseils que vous donneriez à ceux qui sont en train de faire ce changement. Parce qu'il y a certainement des gens que j'ai vus qui ont essayé et qui sont venus un peu trop fort et ça ne me convient pas. Comment cela s'est-il passé pour vous et que recommanderiez-vous à d'autres ?
Matthew McCormack : Un routeur est un routeur et une personne est une personne, n'est-ce pas ? Ces éléments ne sont pas fondamentalement différents selon qu'il s'agit d'un organisme fédéral ou d'un organisme commercial. Je vais vous parler de certaines différences, et je ne pense pas que quelqu'un soit choqué par l'une d'entre elles, la vitesse, n'est-ce pas ? La rapidité avec laquelle vous pouvez faire les choses. Je sais qu'il y a eu quelques changements pour permettre une plus grande flexibilité au sein du gouvernement, mais en réalité, le processus de budgétisation et de passation de marchés du gouvernement n'a pas été nécessairement conçu pour faire les choses rapidement, n'est-ce pas ? Il s'agit essentiellement de faire les choses de manière assez inéquitable et pas nécessairement avec rapidité.
Matthew McCormack : Et donc pour moi, l'un des plus grands changements, et pour moi, c'était en 2012 quand je suis devenu commercial, c'était ma capacité à acheter et à me procurer ce dont j'avais besoin, mais aussi la rapidité avec laquelle en général, pas toujours, mais la rapidité avec laquelle je pouvais embaucher, n'est-ce pas ? La capacité à identifier les talents et à les saisir très rapidement, commercialement, a constitué une grande différence. Maintenant, le revers de la médaille est, je dirais, généralement, les employés, quand vous avez affaire à des employés et à certaines des actions que les employés prennent, et en tant que RSSI, nous devons toujours garder un œil sur ce que nous permettons aux employés de faire et sur ce que nous ne leur permettons pas de faire.
Matthew McCormack : L'attitude au sein de l'espace fédéral, de l'espace gouvernemental, les gens étaient plus à l'aise avec une attitude de type commandement et contrôle. Ainsi, si nous disons que vous ne pouvez pas faire X, sur votre ordinateur, les gens disent généralement : "D'accord, nous ne pouvons pas faire X,", n'est-ce pas ? Alors que sur le plan commercial, il s'agit plutôt d'une négociation, n'est-ce pas ? Surtout si vous travaillez pour une entreprise internationale, vous aurez des syndicats, des commissions de travailleurs en Europe. Vous aurez des lois nationales différentes qui permettront aux gens de faire certaines choses. Dans certains pays, la loi autorise un usage personnel minimal des entreprises, ce qui n'était pas le cas au niveau fédéral. Vous pourriez dire : "Vous ne pouvez pas utiliser votre ordinateur fédéral pour effectuer des travaux personnels." Boom, fin de l'histoire, c'est fait.
Matthew McCormack : Mais lorsque certains de ces pays ont des lois qui autorisent cette pratique, nous devons gérer cela. Donc, d'un point de vue personnel, certaines règles et exigences sur ce qui doit être fait et ce qui ne peut pas être fait, c'était parfois un peu plus facile du côté fédéral parce que cela permet de faire valoir le point de vue, mais il était un peu plus simple de prendre ces décisions par décret.
Jason Clark : Pour vous, il semble qu'il y ait beaucoup de similitudes, n'est-ce pas ? Et puis il y a des différences évidentes pour moi. Il semble très large, n'est-ce pas ? Parce qu'à part l'armée, je n'ai pas travaillé dans l'espace fédéral.
Matthew McCormack : Et l'espace fédéral n'est pas le même pour tous, n'est-ce pas ? J'ai donc été militaire. J'ai travaillé dans le domaine du renseignement et j'ai également passé un certain nombre d'années au sein de l'IRS, donc essentiellement dans le domaine financier. Et il existe un large éventail de différences entre ces différents domaines au sein de l'espace fédéral. Tout n'est pas omniprésent. Tout n'est pas exactement pareil, mais je dirais que l'une des questions que vous poseriez, "Quels conseils donnerais-je à quelqu'un qui passe du secteur fédéral au secteur commercial ?" et une partie de ces conseils porteraient sur les environs. En tant que RSSI, vous prenez une décision et tout le monde s'y met. Lorsque vous entrez dans l'espace commercial, vous devez comprendre que tout n'est pas une négociation ou que tout est une négociation, n'est-ce pas ?
Matthew McCormack : S'il y a quelque chose que vous devez faire du point de vue de la sécurité, vous devrez vous asseoir et vous assurer que vous avez vérifié avec vos responsables de la protection de la vie privée, avec vos avocats en droit du travail, au sein des RH, dans ces différents domaines. Vous ne pourrez pas faire les choses simplement parce que vous avez dit de les faire, n'est-ce pas ? Et comprendre que cela ne signifie pas que vous n'êtes pas une personne intelligente et que les gens ne vous croient pas, cela signifie simplement que c'est le processus. Alors que je pense qu'au niveau fédéral, nous avons pu faire plus de, "Parce que je l'ai dit." Et lorsque vous entrez dans l'espace commercial, les gens n'acceptent pas aveuglément ce que vous leur dites.
Jason Clark : Pour faire une petite transition, quel est, selon vous, le risque qui croît le plus rapidement en matière de cybersécurité, le piège, que les gens ne réalisent pas, que les RSSI ou la plupart des équipes de sécurité ou des dirigeants ne réalisent pas ? Qu'est-ce qui se cache derrière tout le monde ?
Matthew McCormack : Je pense que beaucoup de gens sont conscients de l'existence de certaines choses, mais qu'ils ne comprennent pas toute la portée et l'impact de la tierce partie. Quant à la troisième partie, elle se compose de plusieurs éléments. Au fur et à mesure que les entreprises se sont développées, elles se sont éloignées de l'ensemble des employés, évidemment, pour passer à un soutien très important de la part d'entrepreneurs ou de tiers qui fournissent des corps pour vous aider, mais aussi des logiciels. Et l'augmentation des ransomwares, qui ont touché un grand nombre d'entreprises différentes et certaines très grandes entreprises, et en particulier lorsqu'un fournisseur de services, quelqu'un qui fournit des organes à votre entreprise pour vous aider à accomplir une tâche et, traditionnellement, vous permettez à ces organes d'accéder à votre entreprise d'une manière ou d'une autre, comme le ferait un mauvais employé, lorsque l'un de ces fournisseurs de services est touché par un ransomware, la première étape consiste à bloquer l'accès de tous les employés de cette entreprise qui accèdent à votre réseau, à bloquer tous les accès à distance jusqu'à ce que l'entreprise ait déterminé quel était le résultat du ransomware.
Matthew McCormack : Et vous vous rendez compte de l'impact lorsque, tout à coup, 1 500 personnes ne peuvent pas se présenter au travail le lundi parce que leur entreprise a été touchée par un ransomware. Et vous vous rendez compte de l'ampleur de votre dépendance à l'égard de ce fournisseur de services. Le deuxième élément est le logiciel, n'est-ce pas ? Tout le monde connaît SolarWinds, la presse en parle. L'idée que vous achetez et déployez des systèmes déjà compromis dans votre propre réseau, et ce n'est pas comme si ces entreprises allaient nous fournir le code source, pour que nous puissions faire notre analyse du code source avec toute la diligence requise, n'est-ce pas ? Ils ne le feront pas.
Matthew McCormack : C'est pourquoi nous dépendons vraiment des capacités internes de ces fournisseurs en matière de sécurité des produits. Ainsi, lorsque je parle de tiers, il s'agit d'abord des fournisseurs de services et des organismes, puis des logiciels compromis. Vous venez de vous rendre compte de cette dépendance. Chez GSK, évidemment, une entreprise pharmaceutique, nous sommes spécialisés dans la fabrication de médicaments, de vaccins et d'autres choses de ce genre. Vous ne pensez pas à l'impact que pourrait avoir votre logiciel de gestion informatique comme SolarWinds, n'est-ce pas ? Vous introduisez SolarWinds. SolarWinds se fait pirater. Vous devez l'arracher et tout d'un coup, cela peut entraîner la fermeture de toute une entreprise.
Matthew McCormack : Il s'agit de comprendre l'impact de toutes ces tierces parties et d'élaborer un plan d'intervention en cas d'incident de ce type.
Jason Clark : Je pense que vous venez de mettre le doigt sur ce qui est probablement, je suis d'accord, le plus important. Je pense que le risque le plus important est celui des tiers, mais je dirais que c'est celui qui croît le plus rapidement à cause du SaaS, n'est-ce pas ? C'est l'élément qui fait que l'entreprise s'aligne avec ou sans l'informatique. Et la plupart du temps, sans l'informatique dans la plupart des organisations, elles se contentent de faire, n'est-ce pas ? RH, marketing, etc. et aussi la croissance des données, n'est-ce pas ? Data, vous êtes le maître de cérémonie, n'est-ce pas ? Et les données sont multipliées par trois, passant de 57 zettaoctets à 107 zettaoctets au cours des quatre prochaines années. Nous ne voyons pas d'actions d'entreprises de stockage, 3x'ing, monter en flèche, n'est-ce pas ? Parce que tout est en train de basculer vers le cloud ou le mobile. Je pense qu'il s'agit certainement de ces deux-là, mais en cliquant deux fois sur le risque de tierce partie qui augmente le plus rapidement, il s'agit certainement de SaaS, n'est-ce pas ? La plupart des entreprises en ont plus d'un millier. Que voyez-vous dans les organisations pour s'impliquer dans cela, les RSSI se rapprochant des entreprises et les aidant à mettre cela en place, alors qu'historiquement, nous avons toujours dit, "Hé, non, nous avons un seul CRM. Ne faites rien d'autre"?
Matthew McCormack : Tout ce qui est point comme service est parfois un code pour ". Nous allons contourner l'informatique,", n'est-ce pas ? Et parfois, écoutez, je comprends la raison pour laquelle les gens font cela parfois parce que lorsque vous passez par le processus, cela prend plus de temps en général, c'est plus cher en général, mais il y a des raisons à cela, n'est-ce pas ? En particulier dans un secteur réglementé, vous devez vous assurer que vous êtes en conformité. Je constate une forte tendance, surtout dans le domaine de la vente directe au consommateur, n'est-ce pas ? Les gens veulent pouvoir vous vendre directement, à vous, Jason, ce qui semble très bien à première vue et ils peuvent trouver un vendeur qui dira, "Hey, je vais créer un portail pour vous et vous pourrez vendre votre produit directement à Jason." "D'accord, c'est génial, et oui, cela va stimuler les ventes, mais avons-nous une lettre PCI, n'est-ce pas ? Avons-nous mis en place un système de conformité ? Stockons-nous les cartes de crédit ? Stockons-nous des données à caractère personnel ?" quelques-unes de ces différentes choses.
Matthew McCormack : Nous devons donc essayer d'être proactifs et de tendre la main. Au fur et à mesure que nous découvrons certaines de ces capacités en interne, il ne s'agit pas nécessairement de sortir le marteau, de le briser et de l'arrêter, mais de dire : "Bon, vous savez quoi ? S'il y a une exigence de vente directe au consommateur et que vous avez déjà construit ce portail, voyons si nous pouvons le rendre légitime, n'est-ce pas ? Mettons en place toute la partie PCI pour votre portail direct au consommateur et assurons-nous ensuite que d'autres personnes au sein de l'entreprise utilisent le portail que vous venez de construire et ne vont pas créer leur propre portail."
Matthew McCormack : Par le passé, nous aurions probablement dit : "Non, c'est une violation. Nous ne faisons pas de vente directe au consommateur, bla, bla, bla," mais maintenant nous devons dire, "Ecoutez, si vous le faites, statistiquement il y a d'autres personnes dans l'entreprise qui le font ou qui vont vouloir le faire, alors trouvons un moyen d'y arriver." Je vais vous donner un bon exemple, et je ne cherche pas à dénigrer qui que ce soit : lorsque le COVID est arrivé aux États-Unis, si vous avez des enfants, tout d'un coup, ils se sont mis à utiliser Zoom, et Zoom, au sein de GSK, n'était pas l'un des outils de collaboration approuvés. Une pression énorme s'est exercée pour que nous puissions commencer à utiliser cet outil spécifique sur nos appareils, alors que nous n'avions pas procédé à une vérification préalable de la sécurité. Nous n'avions pas d'accord de licence et de confidentialité, toutes ces choses et beaucoup de réticences de notre part à déployer un outil gratuit dans l'environnement, mais pourtant, tant de gens étaient habitués à cet outil parce qu'ils aidaient tous leurs enfants à l'école et qu'ils étaient très à l'aise avec Zoom et qu'ils le comprenaient.
Matthew McCormack : Et donc parfois, vous savez, dire non à quelque chose, même si c'est logique du point de vue de la sécurité, la sécurité est dans le gris. Il n'y a plus de noir ou de blanc. Sécurité, il faut vivre dans le gris. Nous avons donc trouvé un moyen, même si nous n'avons pas pu le déployer aussi rapidement que beaucoup de gens l'auraient souhaité, de l'ajouter aux outils de collaboration approuvés et de fournir un certain niveau de soutien.
Jason Clark : C'est un excellent exemple. À cela, je m'étonne, je suis presque autant d'entreprises par jour, n'est-ce pas ? Il y a probablement cinq RSSI par semaine et évidemment beaucoup de gens qui essaient de vendre à mon programme de sécurité et d'écouter les vendeurs, mais combien de personnes à part les robots Zoom, les robots qui viennent et disent, "Hey," cette chose qui est juste cachée là, traduisant toute la conversation ? Chaque fois que je dis aux personnes qui organisent l'appel, et parfois il s'agit de grandes entreprises, je leur dis : "Vous vous rendez compte que je viens de regarder cette entreprise et qu'elle ne compte que 18 employés et qu'aucune personne n'a de titre de sécurité dans son entreprise et que nous confions toute cette conversation au nuage ? Vous savez que c'est probablement un compromis, n'est-ce pas ?"
Jason Clark : Et les gens disent : "Oh, non, je n'y avais pas pensé."" Parfois, il s'agit d'équipes de sécurité et je me dis : "D'accord, c'est intéressant, n'est-ce pas ?
Matthew McCormack : Et je pense que celui-là en particulier, quand il y a eu beaucoup de pressions initiales pour permettre l'utilisation, pour permettre à cette application d'être déployée sur nos appareils, en exposant la raison comme, "Ecoutez, nous ne sommes pas juste des cons pour être des cons ici, n'est-ce pas ? Nous ne disons pas non sans raison. Nous devions en exposer les raisons, n'est-ce pas ? Cette conversation est conservée sur les serveurs commerciaux d'une autre société. Si vous discutez de données relatives à un patient, d'un appareil médical ou de quoi que ce soit d'autre, nous n'avons aucune attente en matière de protection de la vie privée. Ces données peuvent être récoltées, exploitées et vendues à n'importe qui parce que nous n'avons pas d'accord sur la protection de la vie privée."
Matthew McCormack : Au sein de la sécurité, nous devons parfois mieux expliquer les raisons. Les gens sont devenus plus intelligents en matière de technologie et ne se contentent pas d'accepter aveuglément, "Le responsable de la sécurité a dit que c'était mauvais, alors nous n'allons pas le faire." C'est ce qu'ils veulent. Il n'y a que des familles et des enfants, n'est-ce pas ? Au fur et à mesure que mes enfants grandissent, je dois commencer à leur expliquer un peu plus pourquoi. Il ne s'agit pas seulement d'un, "Non, vous ne pouvez pas faire ça." C'est du genre : "Vous ne pouvez pas faire ça parce que XYZ," ou "Ecoutez, quand vous commencez à conduire, vous devez commencer à ... C'est pourquoi vous devez prendre ce virage lentement parce que vous ne pouvez pas voir cette chose ici et qu'il y a une courbe aveugle." C'est la même chose, n'est-ce pas ?
Matthew McCormack : Lorsque les gens sont habitués à une technologie et qu'on leur dit qu'ils ne peuvent pas l'utiliser dans cet environnement, ils veulent savoir pourquoi. Et je pense que c'est une question légitime, n'est-ce pas ? Cela ne signifie pas qu'ils se demandent si nous savons ce que nous faisons en tant que professionnels de la sécurité. Cela signifie simplement qu'ils ont un certain niveau de connaissances et que, de ce fait, ils se posent des questions. C'est pourquoi nous devons faire un meilleur travail du côté de la sécurité pour être l'explicateur en chef.
Jason Clark : Il y a deux parties, c'est très important. Il y en a donc un qui traduit cela en risques réels et sur lequel je voudrais double-cliquer. Le deuxième point que nous aborderons est, et vous avez fait la déclaration qui a été publiée, qu'en fin de compte, tous les RSSI sont des vendeurs, ce qui est vrai. J'aimerais donc aborder ces deux points : les risques changent et les choses évoluent rapidement. En fait, je dis que nous sommes dans un monde de sécurité à l'envers, où tout ce que nous avons protégé est maintenant sorti et où nos contrôles de sécurité doivent suivre ces utilisateurs et ces données partout où ils vont, alors que nous devons toujours protéger l'ancien, n'est-ce pas ?
Jason Clark : Il s'agit donc d'activer le nouveau, de protéger l'ancien, mais dans ce nouveau modèle, l'une des choses dont vous avez parlé dans le passé, ce sont les cadres, mais les cadres sont-ils vraiment là et à jour pour vraiment comprendre quel est mon risque dans ce nouveau monde par rapport à, disons, plus de modélisation des menaces et de réflexion sur le risque à chaque étape et quel est mon contrôle, et de transférer cela en temps réel ? Selon vous, où en est notre secteur dans cette réflexion et quelles sont vos suggestions ?
Matthew McCormack : Les cadres sont-ils là ? Oui. Sont-ils aussi à jour que nous en avons besoin ? Non, c'est vrai ? Je pense que nous sommes tous très dépendants des cadres de qualité depuis un certain nombre d'années. Comme vous l'avez dit au début, alors que le monde se tourne vers le point en tant que service et d'autres choses de ce genre, ces cadres ont eu du mal à suivre le rythme, n'est-ce pas ? Mais cela ne veut pas dire qu'ils ne sont pas de bons fondements. Mais je pense qu'en ce qui nous concerne, votre capacité à évaluer votre performance et à déterminer si vous respectez les engagements que vous avez pris vis-à-vis de votre conseil d'administration doit être encadrée, n'est-ce pas ?
Matthew McCormack : Nous avons notre ICF, notre cadre de contrôle interne, et comme la plupart des gens, nous utilisons le NIST comme base de référence, mais nous le personnalisons ensuite, et il y a des raisons de le faire. Si vous considérez votre capacité d'audit interne, vous voulez que votre cadre corresponde au sien, de sorte que s'il identifie un problème, il se répercute sur le vôtre. Et si vous regardez votre organisation de protection de la vie privée, si vous regardez certaines de ces différentes, votre équipe de conformité globale, pas seulement votre conformité de sécurité, mais les gens qui sont responsables de nous, de votre HIPAA, de votre Sarbanes-Oxley, de toutes ces autres normes de conformité nationales et du GDPR, n'est-ce pas ? Il y a tellement de conformité et de cadres sur le marché.
Matthew McCormack : Vous pourriez tomber dans un trou noir en essayant perpétuellement de créer le cadre parfait. Je pense que pour nous, nous avons décidé que le NIST est notre cadre et que nous ferons un peu de personnalisation en raison de notre industrie unique et que nous nous en tiendrons là. Pensez-vous que vous serez toujours en train de vous mettre à jour parce que lorsque vous êtes dans 130 pays, il y a toujours de nouveaux cadres et de nouvelles normes, et de nouvelles choses comme ça que vous ne pourrez jamais rattraper. Nous essayons de revoir notre cadre chaque année, d'y apporter des modifications, mais je pense que les cadres sont formidables, qu'ils sont importants. La modélisation des menaces est également très importante et il faut essayer de passer par ...
Matthew McCormack : Si vous avez 130 usines, elles n'ont pas toutes le même niveau d'importance. Peut-être que l'un d'entre eux fabrique votre produit le plus vendu et celui qui génère le plus de revenus. Une autre consiste peut-être simplement à emballer le carton dans lequel vous devez mettre le produit. Les deux sont importants, mais lequel est le plus critique, n'est-ce pas ? Pouvez-vous obtenir du carton de quelqu'un d'autre ? Très probablement. Quelqu'un d'autre peut-il fabriquer ce médicament spécifique pour vous ? Moins probable. Vous devez donc passer par la modélisation des menaces, et nous sommes constamment en train de le faire, non seulement pour nos installations de fabrication, mais aussi pour nos magasins de données et nos référentiels de données, n'est-ce pas ? Où autorisons-nous leur reproduction ? Qui les possède ? Sont-ils dans le nuage ? Ne sont-ils pas dans le nuage ?
Matthew McCormack : Il est peut-être judicieux, d'un point de vue économique, de mettre quelque chose dans le nuage et d'en faire une sorte de modèle SaaS. Cependant, le risque de sortir ces données de votre environnement et de les placer dans le nuage l'emporte sur les avantages économiques. Nous sommes dans un état constant de modélisation de la menace et de retour au risque, n'est-ce pas ? Pour nous, le risque de faire cela vaut-il le retour et je vais vous dire, c'est pourquoi et c'est un sujet, au sein de toute bonne organisation de sécurité, quelque chose dont tout le monde s'occupe, mais en ce qui concerne l'embauche, ne cherchez pas toujours des informaticiens pour votre organisation de sécurité, n'est-ce pas ? Si vous effectuez ce type de modélisation des menaces, vous feriez mieux de vous trouver un comptable, n'est-ce pas ? Vous feriez mieux de trouver quelqu'un qui comprend l'argent.
Matthew McCormack : Et lorsque vous examinez votre police d'assurance, vos polices d'assurance cybernétique, les informaticiens ne sont pas les mieux placés pour évaluer les niveaux de risque de votre assurance. Ainsi, lorsque vous examinez votre organisation de sécurité, lorsque vous effectuez une modélisation des menaces, ne vous contentez pas d'accepter aveuglément que vous allez avoir des personnes en interne qui savent comment le faire. Soit vous avez recours à des spécialistes très spécialisés, et nous avons la chance d'avoir quelques personnes très intelligentes pour nous aider dans ce domaine, soit vous allez les chercher. En effet, si vous essayez de modéliser les menaces avec des personnes qui ne sont pas spécialisées dans ce domaine, vos priorités pour l'année en cours ne seront pas très claires.
Jason Clark : Honnêtement, nous avons atteint les ventes, n'est-ce pas ? Nous avons dit : "Oh, eh bien, vous devez être vendeur,", n'est-ce pas ? Je ne pense pas que les diplômés en informatique soient nécessairement vos meilleurs vendeurs non plus, n'est-ce pas ? Je pense donc que le fait de dépendre de votre domaine et de ce que vous essayez de développer permet d'alimenter le déficit de talents que nous connaissons. Je dirais que j'ai eu beaucoup de succès à faire sortir les jeunes de l'école secondaire. Dans le cadre de l'Alliance des conseillers en sécurité, je vais dans les lycées et les collèges pour leur apprendre "ce qu'est la cybernétique." Et ils sont tous comme, "Oh, je pensais que c'était comme la science des fusées. Je n'avais pas réalisé que c'était aussi facile. Je n'avais pas réalisé que je devais être un gars dans le sous-sol, sans lumière allumée et glissant des pizzas sous la porte,", n'est-ce pas ?
Jason Clark : Et vous verrez des groupes de filles qui battent presque toujours les hommes dans une épreuve de capture du drapeau. Et ils sont comme, "Oh, wow, je ne savais même pas que c'était une option pour moi, n'est-ce pas ? Je suis doué pour ça." J'ai donc recruté à partir du lycée et ce n'est pas plus comme ... L'université n'est pas faite pour tout le monde, n'est-ce pas ? Au début, je me suis engagé dans l'armée au lieu d'aller à l'université. En fait, je n'ai obtenu mon diplôme qu'à l'âge de 25 ans. Et la seule raison pour laquelle j'ai obtenu mon diplôme, c'est qu'ils m'ont dit : "Nous voulons vous nommer CISO, mais nous ne pouvons pas le faire si vous n'avez pas votre diplôme." Quel est votre point de vue sur les endroits où vous vous rendez et si vous avez attrapé des jeunes à la sortie du lycée, et de manière générale, quel est votre point de vue sur les choses que les autres responsables de la sécurité et de l'informatique peuvent faire pour combler ce manque de talents ?
Matthew McCormack : Tout à fait. Alors oui, j'en parle dans les lycées et j'en suis époustouflé. Je viens juste de ... J'ai interviewé une de mes filleules parce que son lycée a un programme de cybersécurité et qu'elle faisait un programme où elle devait coder, mais aussi retirer des produits, les examiner et évaluer les risques. J'ai été stupéfait de voir qu'ils faisaient cela pendant leur première année de lycée. J'ai été très impressionnée, mais j'ai aussi pensé à "Thank God," right ? Parce que, pour répondre à votre question, le montant, quel que soit votre interlocuteur, qu'il s'agisse de trois, cinq ou sept, n'est-ce pas ? Le déficit d'un million, 3, 5, 7 millions de personnes que nous avons dans le cyberespace, s'attendre à ce que ces personnes soient diplômées de l'université avant de pouvoir entrer sur le terrain est une folie, n'est-ce pas ?
Matthew McCormack : La demande est tout simplement trop forte. Et aussi en fonction de cette discipline, comme je l'ai dit, je suis d'accord avec vous. Vous n'avez pas fondamentalement besoin de ce diplôme universitaire. J'ai enseigné pendant des années dans un collège communautaire local et ils avaient un diplôme d'associé en cybersécurité, il y a plusieurs années, mais ils enseignaient littéralement à ces gens comment utiliser, je vais me mettre à jour, NetWitness et ArcSight et certains de ces outils, n'est-ce pas ? Ils leur apprenaient à s'en servir. Et lorsque j'étais encore au gouvernement à ce moment-là, j'embauchais ces personnes à gauche et à droite parce que vous pouvez littéralement les mettre dans votre chaussette.
Matthew McCormack : Et je pense que l'idée qu'il y a tant d'éléments dans la cybersécurité et je ne dis pas que vous voulez qu'on vous opère, mais c'est devenu très proche de la médecine, n'est-ce pas ? De même, tous les médecins ne sont pas des médecins, n'est-ce pas ? Certains médecins sont doués pour les articulations, d'autres pour la dermatologie. Vous avez tous ces spécialistes différents qui sont bons dans leurs domaines respectifs. La sécurité est devenue cela, n'est-ce pas ? Vous avez vos testeurs, vous avez vos spécialistes de la formation. Si vous travaillez dans une entreprise de la taille de la nôtre, vous avez besoin de gestionnaires de programmes et de projets capables de gérer ces projets de plusieurs millions de dollars.
Matthew McCormack : Quand je regarde mon équipe de 300 à 400 personnes, vous avez toutes des formations différentes, toutes des couleurs différentes et je dirais que certains des meilleurs spécialistes de la sécurité sont des psychologues. Et lorsque j'interviens dans les universités, j'entends régulièrement des gens dire : "Oh, j'étudie la psychologie ou la sociologie, mais je suis vraiment intéressé par la cybersécurité." "Excellent, car une grande partie de la cybersécurité dépend de ce que fait l'utilisateur." Et les personnes qui comprennent comment influencer les utilisateurs, lorsque vous essayez de faire en sorte que les utilisateurs ne cliquent pas sur un hameçonnage, je ne peux pas simplement envoyer un e-mail disant, "Ne soyez pas stupide et cliquez sur ce lien," Je vais devoir trouver comment influencer les gens et ce sont des personnes qui travaillent dans le domaine de la psychologie. Il y en a donc de tous les types.
Jason Clark : Je connais quelques RSSI qui ont obtenu un diplôme en psychologie, n'est-ce pas ? Il y a de très bons RSSI qui ont commencé comme psychologues et qui ont ensuite fait la transition. Ils n'en parlent pas beaucoup, mais c'est l'un des secrets de leur réussite. D'une certaine manière, je pense qu'il s'agit d'être différent, n'est-ce pas ? Être unique. Ne vous contentez pas de suivre la voie principale empruntée par tous les autres. Que pouvez-vous apporter à la table que personne d'autre n'a ?
Matthew McCormack : C'est en fait l'une de mes bêtes noires, et il est évident que je ne suis pas président d'université et que je ne prétends pas l'être. L'une de mes bêtes noires, ce sont les universités qui placent leurs programmes de cybersécurité dans leur école d'ingénieurs ou de sciences de la communication. Ce n'est pas du tout le bon endroit pour le mettre, n'est-ce pas ? La cybersécurité n'est pas une discipline informatique, ni même une discipline d'ingénierie. Oui, je suis ingénieur. Oui, c'est ainsi que j'ai grandi. Cela a-t-il influencé la façon dont je suis devenu RSSI ? Oui, absolument, et j'ai 100 pairs qui ne sont pas ingénieurs, n'est-ce pas ? Il s'agit d'une entreprise, n'est-ce pas ? La cybersécurité est une discipline de risque pour les entreprises. Et lorsque vous regardez une école de commerce, "Hey, vous allez avoir un cours sur le risque, un cours sur l'assurance, un cours sur la finance, un cours sur la psychologie, un cours sur le comportement organisationnel," lorsque j'ai obtenu mon MBA, les cours que j'ai suivis à l'école de commerce étaient infiniment plus liés à ce que je fais au jour le jour que les cours que j'ai suivis à l'école d'ingénieurs. C'est pourquoi je suis déçu de voir des universités intégrer leurs programmes d'informatique ou de sécurité dans leurs écoles de sciences de l'information ou d'ingénierie. 100% du mauvais endroit.
Jason Clark : Je suis d'accord. Pour ma part, le MBA a eu un impact significatif sur la façon dont je voyais mon organisation, moi-même, ma fonction. Honnêtement, l'obtention de mon baccalauréat était insignifiante pour moi, n'est-ce pas ? Cela n'a pas vraiment changé ma vie, si ce n'est que j'ai obtenu la case à cocher, j'ai l'impression, mais l'obtention de mon MBA a changé ma façon de penser. C'était donc important. Si nous revenons en arrière, vous avez parlé des différentes fonctions. Si vous deviez réorienter votre carrière et prendre un poste de manager, pour quelque raison que ce soit, dans quel domaine souhaiteriez-vous travailler ? Quel est votre domaine de prédilection en matière de sécurité dans lequel vous souhaiteriez opérer à ce niveau ?
Matthew McCormack : La formation, n'est-ce pas ? Parce que je pense que, pour moi, c'est l'un des domaines qui est absolument le plus critique, n'est-ce pas ? 100 %, parce que c'est toujours 90 % de l'utilisateur, n'est-ce pas ? Qu'est-ce que l'individu fait qui l'expose ? Nous dépensons des millions et des millions et des millions pour des outils destinés à empêcher quelqu'un de faire quelque chose et je regarde ensuite le pourcentage de mon budget qui est consacré à la formation et qui est minuscule, mais c'est ainsi. Le secteur de la formation en matière de sécurité a tendance à devenir plus interactif, plus actuel et plus proche de l'actualité. C'est encore très difficile. Mais je dirais que l'un des domaines qui reste encore dans l'espace de la cybersécurité, qui est encore si ouvert à une réflexion de nouvelle génération, c'est la formation, n'est-ce pas ? Car c'est ainsi que vous interagissez avec les gens.
Jason Clark : C'est tout à fait exact. Et vous pouvez le mesurer. Vous pouvez mesurer les différences dans les changements, n'est-ce pas ? J'adore cette réponse, Matt, parce que je vous dirai qu'en faisant beaucoup d'interviews, je pose cette question tout le temps. Comme vous le savez, j'ai embauché plus de 50 RSSI au cours de ma carrière, n'est-ce pas ? J'en ai eu 30 par le passé et j'en ai eu 10 ici chez Netskope, mais je fais aussi beaucoup d'entretiens pour les RSSI et les DSI en leur nom, n'est-ce pas ? Trois directeurs de l'information m'ont demandé de participer à leur processus d'entretien dans des entreprises différentes en ce moment, juste pour des raisons d'amitié. Je dirais que j'ai interrogé des centaines de RSSI à ce jour et que j'ai posé cette question à chaque fois, vous êtes le premier RSSI à avoir répondu à la question de la formation.
Matthew McCormack : Probablement parce que je suis un piètre codeur. C'est probablement pour cette raison. Vous ne voudriez jamais que je code quoi que ce soit pour vous.
Jason Clark : En général, c'est soit [inaudible 00:37:07], soit "Oh, je veux être proche de l'entreprise," et le plus souvent, c'est "Je veux être l'architecte. Je veux jouer avec la technologie," ou j'aime le SOC. J'aime me battre, n'est-ce pas ?" Mais de temps en temps, il y a une personne qui dit simplement : "J'aime les IR," et je me dis : "Oh, il y a quelque chose qui ne va pas avec ça. Votre vie s'arrête là. Vous n'avez rien contre le fait de ne jamais prendre de vacances et de travailler tous les vendredis soirs. C'est cool." C'est ce qui est vraiment unique, Matt. Je pense que c'est important et je pense que c'est le cas de tous ceux qui nous écoutent. C'est une question à laquelle il faut réfléchir. Vous pouvez faire tellement de choses avec la formation. Il y a beaucoup d'opportunités à saisir, en particulier en ce qui concerne l'invention de technologies. Et je sais que vous et moi sommes en train d'accompagner une entreprise qui veut faire quelque chose dans ce domaine. Nous devrions donc consacrer un peu plus de temps à cette question.
Jason Clark : Nous avons encore un peu de temps, quelques questions rapides à vous poser, n'est-ce pas ? Si vous pouviez faire quelque chose différemment au cours de votre carrière ou en revenant sur vos dernières fonctions de RSSI, que feriez-vous différemment ?
Matthew McCormack : Honnêtement, je pense que le recul est excellent, n'est-ce pas ? Je pense que je me serais attendu à ce que le SaaS... Je ne pensais pas qu'il arriverait aussi vite qu'il l'a fait. Je pensais avoir un peu plus de temps pour préparer mon infrastructure à l'utilisation de dot-dot en tant que service. Il est arrivé plus vite que je ne le pensais.
Jason Clark : C'est courant, n'est-ce pas ? En fait, ce qui est amusant, c'est que vous savez que Netskope est dans ce domaine, n'est-ce pas ? C'est pourquoi nous établissons des rapports pour les personnes concernées. Nous arrivons et les gens pensent qu'ils ont une centaine de SaaS et quand nous leur montrons, ils en ont 1000 ou 2000 et nous leur montrons que leur trafic SaaS représente plus de la moitié du trafic de leur site web. Et vous obtenez ceci, "Oh, wow." La phrase suivante dit : "Cela s'est passé rapidement,", n'est-ce pas ? C'est tout à fait exact. C'est pourquoi nous avons dit que le risque de tiers est celui qui connaît la croissance la plus rapide. Et je pense que cela est dû au SaaS ou à la technologie intégrée, comme vous l'avez dit, dans l'exemple de SolarWinds. Encore un coup rapide, n'est-ce pas ? À quoi ressemble la retraite pour vous ?
Matthew McCormack : Je n'en ai aucune idée. Je ne pense pas en être proche, n'est-ce pas ? J'ai travaillé trop longtemps pour le gouvernement. Je dois continuer à travailler. En ce qui me concerne, ce que j'aime vraiment faire en dehors des tâches opérationnelles quotidiennes d'un RSSI, c'est encadrer de nombreux RSSI, donner des cours dans des universités et aller dans des écoles secondaires. Je pense qu'il s'agit simplement d'un plaidoyer, et pour moi, il ne s'agit pas d'un plaidoyer autour de ". C'est ainsi que vous sécurisez les réseaux. C'est pourquoi la PlayStation de votre enfant est en danger." Il s'agit d'encourager les gens à se lancer dans cette discipline. Jason, si vous regardez l'UMA, c'est littéralement une chance aveugle, mais une chance aveugle et stupide, que nous soyons tombés dans ce que je pense être une bénédiction, n'est-ce pas ?
Matthew McCormack : Si vous m'aviez dit en 1997, lorsque j'ai commencé à travailler dans ce domaine, que la cybersécurité deviendrait l'industrie qu'elle est aujourd'hui, je ne vous aurais jamais cru. Il s'agit simplement d'un aspect de la chance aveugle et stupide. Mais aujourd'hui, nous avons besoin d'un plus grand nombre de RSSI, n'est-ce pas ? Parce qu'il y a des millions d'entreprises, il n'y a pas des millions de RSSI. Comment contribuer à la création d'un vivier de futurs cyberdirigeants, mais aussi de cette pyramide ? Comment attirer des millions de personnes supplémentaires dans cette discipline et les convaincre qu'il n'est pas nécessaire d'être un scientifique ou un ingénieur pour faire ce travail ? Il suffit d'être curieux, n'est-ce pas ?
Matthew McCormack : Ce que je veux, c'est que quelqu'un regarde quelque chose et dise : "C'est intéressant. Cela n'a pas de sens. Laissez-moi comprendre pourquoi." C'est la personne qui ferait un bon agent de sécurité. Si vous êtes quelqu'un qui regarde quelque chose et dit : "Je ne comprends pas pourquoi c'est comme ça, mais je vais chercher à comprendre pourquoi," alors vous êtes fait pour ce domaine, n'est-ce pas ? Alors, comment faire pour que davantage de personnes participent ? Lorsque j'aurai terminé mes activités opérationnelles, lorsque je serai prêt à éteindre mon téléphone le week-end et à faire ce genre de choses, j'imagine que je passerai beaucoup de temps à essayer de convaincre ou d'éduquer les plus jeunes pour qu'ils se lancent dans cette discipline.
Jason Clark : J'adore. En fait, de toute évidence, vous avez déjà commencé, vous êtes en train de le faire, n'est-ce pas ? Vous allez simplement le faire plus souvent. Je crois que vous avez parlé de l'espace et de la façon dont nous sommes tombés dedans. Honnêtement, j'ai pensé à quitter la sécurité en 2000, n'est-ce pas ? À chaque fois que le virus ILOVEYOU est apparu, je me suis dit : "Nous avons déjà résolu le problème." J'ai dit : "C'est AV. Nous avons des filtres anti-spam, n'est-ce pas ?" Je commençais littéralement à m'ennuyer et j'ai commencé à obtenir ma CCIE. J'ai réussi l'examen écrit. J'ai dit : "Oh, la voix, c'est l'avenir, n'est-ce pas ? La voix sur IP pourrait être ma carrière." Je craignais littéralement qu'il y ait une impasse en matière de sécurité et puis le monde entier a changé, n'est-ce pas ?
Matthew McCormack : Eh bien, regardez ce qui se passe aujourd'hui après COVID, lorsque les entreprises passent de 2 % de télétravail à 98 % de télétravail en l'espace d'un mois, et nous voilà, aussi fou que cela puisse paraître, en train de passer deux ans de COVID et d'emploi à distance. Il est évident que cela a fondamentalement changé le monde. Il suffit de regarder la valeur marchande des entreprises qui fournissent des outils de collaboration en ligne, n'est-ce pas ? A travers le plafond. Que faites-vous lorsque vous n'avez pas de personnel dans les bureaux ? Et il ne s'agit pas seulement de savoir "Comment sécuriser leurs transactions ?" Maintenant, vous vous remettez à les former. Comment les former lorsqu'ils ne viennent pas au bureau ? Comment leur faire faire ... Il est plus compliqué de rendre votre ordinateur portable lorsque vous partez et que vous n'êtes pas dans un bureau.
Matthew McCormack : Tout d'un coup, la sécurité a pris un nouveau virage et l'industrie a changé, comme vous l'avez dit, à propos de "Très bien, le virus ILOVEYOU est apparu. Oui, nous avons résolu ce problème. Nous avons obtenu AV. Quelle sera la prochaine étape ?" Dieu, si chaque année, notre industrie ne change pas, n'est-ce pas ? Le mobile l'a déplacé. Cloud l'a déplacé. Aujourd'hui, l'emploi à distance l'a déplacé. Et il y aura un autre changement dans deux ans. Je pense que c'est l'une des raisons pour lesquelles nous sommes restés dans le domaine de la sécurité, car chaque année, c'est quelque chose de différent.
Jason Clark : Les trois dernières questions, mais ce sont des réponses rapides, en 15 ou 20 secondes, n'est-ce pas ? Trois questions. Alors, premièrement, quel est le talent ou la compétence qui ne figure pas sur votre CV ?
Matthew McCormack : Ce n'est pas sur mon CV. Vous voulez dire que je l'ai fait, mais que je ne l'ai pas mis sur mon CV ?
Jason Clark : Que vous avez, cela pourrait être un hobby, n'est-ce pas ?
Matthew McCormack : Oui, j'adore construire, n'est-ce pas ? Qu'il s'agisse d'un mur de soutènement. Lorsque le COVID a frappé, j'ai construit une cabane dans les arbres pour mes enfants. Je n'ai pas réussi à y installer l'électricité et l'eau, mais à part cela, il s'agit sans doute essentiellement d'une petite maison.
Jason Clark : C'est plutôt cool. Très bien, deuxièmement, si vous n'étiez pas dans le domaine des réseaux et de la sécurité, si vous ne faisiez pas ce que vous faites, dans quel autre secteur d'activité seriez-vous ?
Matthew McCormack : En fait, à l'école, je faisais du génie industriel, c'est-à-dire de la conception d'usines, de la recherche opérationnelle et des statistiques. J'aime cela parce que c'est prendre des choses non structurées et les nettoyer par le biais de notre bloc opératoire. Pouf, voilà ce que votre ... J'adore aller dans les usines et observer comment on peut moderniser les machines, déplacer tous les objets. C'était fascinant pour moi, mais la Marine m'a dit, "Poof, vous seriez un meilleur cryptologue," et c'est ce que je fais, mais j'aimerais vraiment ou j'ai beaucoup aimé la conception d'usine et les statistiques.
Jason Clark : Vous avez l'air de savoir ce que vous pouvez dire à vos enfants, n'est-ce pas ? Vous pouvez commencer à les observer et vous pouvez déjà voir leurs talents et leurs compétences. J'ai mon fils de quatre ans, c'est lui le bâtisseur, n'est-ce pas ? C'est le seul qui, à quatre ans, construit ces énormes ensembles LEGO et qui, tout seul, se concentre sur un objet et construit des choses dans la cour.
Matthew McCormack : J'en ai un aussi qui est pareil. Il est amusant de constater qu'à un très jeune âge, vous pouvez voir certains de ces traits de caractère, que mes parents m'ont dit, "Nous l'avons fait, n'est-ce pas ?" Et donc, oui, c'est intéressant aussi. Je sais depuis, 13 ans maintenant, mais je sais depuis qu'il est jeune qu'il sera ingénieur. Je le savais.
Jason Clark : C'est la même chose, n'est-ce pas ? Mécanique, pratique, ingénieur en quelque sorte. L'autre est plus proche d'un scientifique. Il veut mélanger des produits chimiques et d'autres choses, n'est-ce pas ? Et enfin, la dernière question rapide est le meilleur conseil à donner à quelqu'un qui vous appelle et qui est un RSSI débutant.
Matthew McCormack : Et c'est un conseil que je donne, comme vous, je suis fier d'avoir aidé à faire grandir un grand nombre de personnes qui occupent aujourd'hui des fonctions de RSSI. L'un des éléments que je leur donne toujours est le suivant : "Vous occupez votre poste parce que vous êtes intelligent. Les personnes avec lesquelles vous êtes assis dans cette salle pour une réunion occupent leur poste parce qu'elles sont intelligentes. Vous n'êtes pas la personne la plus intelligente de la salle. Prenez conseil auprès des autres personnes présentes dans la salle. Et la sécurité est une discipline collaborative, n'est-ce pas ? Vous devrez travailler avec le directeur technique, le directeur informatique, le directeur financier, le directeur juridique et toutes ces disciplines.
Matthew McCormack : Apprenez donc à parler leurs langues, n'est-ce pas ? Apprenez à parler le langage des avocats. Apprenez à rédiger une analyse de rentabilité, car si vous demandez des millions de dollars pour une initiative, le directeur financier voudra savoir ce qu'elle lui rapportera. Comprenez que tous ceux avec qui vous allez interagir, tous vos pairs, occupent leur poste parce qu'ils sont eux aussi très intelligents. Vous devez donc savoir que vous êtes l'une des nombreuses personnes intelligentes, mais pas la seule."
Jason Clark : J'adore ça. Je pense que c'est un bon conseil. Une fois, lors de ma première réunion du conseil d'administration à 26 ans en tant que RSSI, je suis entré et j'étais nerveux. Je tremblais. Et le président de cette entreprise a dit : "Fils, viens ici," et a dit : "Ecoutez, vous êtes l'expert ici, n'est-ce pas ? Ce sont des gens intelligents, certes, mais ils siègent dans des conseils d'administration et ne connaissent pas le cyberespace comme vous le connaissez. Vous êtes l'expert. Vous êtes propriétaire de vos affaires, n'est-ce pas ?" Puis il s'est retourné et a dit : "Et j'ai une autre chose pour vous." Et il a dit : "Voici deux verres de Johnnie Blue." Et il a dit : "Il sera votre ami. Nous allons revenir. Vous commencerez dans 15 minutes." Je me suis dit : "D'accord, ça a marché." Et je n'en avais jamais eu avant cela, d'ailleurs.
Matthew McCormack : Et je pense que nous avons tous des histoires. Et ce que j'ai constaté, c'est que j'ai une expérience similaire lorsque j'étais à l'IRS et que j'essayais de défendre une nouvelle initiative cybernétique et que le chef de l'unité opérationnelle, qui compte 26 000 personnes, a dit : "Hey," a commencé la discussion par "Son," et ce que j'ai constaté au cours de ma carrière, c'est que chaque fois que quelqu'un commence une discussion par "Son,", elle sera généralement suivie d'un conseil, n'est-ce pas ? Il vous apprend quelque chose que vous ne savez pas encore. J'ai donc écouté cela. Chaque fois que quelqu'un commence, c'est fini. Cela arrive moins souvent depuis que j'ai pris de l'âge. Mais chaque fois que quelqu'un commence par "Son,", je sais que ce qui va suivre est quelque chose que je dois écouter.
Jason Clark : Exactement. Depuis que vous êtes enfant, n'est-ce pas ? Quoi qu'il en soit, nous n'avons plus le temps, mais Matt, c'était vraiment génial. Merci beaucoup. C'était amusant. Je pense que vous avez apporté beaucoup d'informations précieuses à tous ceux qui ont appris à vous connaître encore mieux. Reprenons l'exercice et revenons certainement pour parler davantage des choses que nous pouvons faire ensemble pour le secteur.
Matthew McCormack : Ça me paraît bien. Merci, Jason. J'apprécie beaucoup. C'était très amusant.
Rouleau publicitaire : Le podcast des visionnaires de la sécurité est alimenté par l'équipe de Netskope. Vous êtes à la recherche de la bonne plateforme de sécurité dans le cloud pour vous aider dans votre démarche de transformation numérique ? Le Netskope Security Cloud vous aide à connecter rapidement et en toute sécurité les utilisateurs directement à l'internet, à partir de n'importe quel appareil et de n'importe quelle application. Pour en savoir plus, consultez le site Netskope.com.
Narrateur : Merci d'avoir écouté Visionnaires de la sécurité. Veuillez prendre un moment pour évaluer et commenter l'émission et la partager avec quelqu'un que vous connaissez et qui pourrait l'apprécier. Restez à l'écoute des épisodes qui paraîtront toutes les deux semaines et nous vous donnons rendez-vous pour le prochain.
Pourquoi Netskope 
){kind=icon}
