David Fairman : Si vous pensez à la cybersécurité, nous ne sommes qu'un sous-ensemble d'un risque opérationnel plus large. Le risque opérationnel a en fait une bien meilleure approche, ou un peu plus de maturité dans la capacité à quantifier le risque opérationnel dans l'organisation. Les RSSI doivent être en mesure de se tenir côte à côte et d'avoir une discussion sur un pied d'égalité en ce qui concerne la réduction des risques pour ce sous-ensemble du risque opérationnel. Et c'est vraiment là que nous en sommes. Je pense qu'en tant qu'industrie, en tant que pratique, en tant que profession, nous devons devenir beaucoup plus intelligents pour déterminer comment faire de ce sujet une conversation beaucoup plus quantitative.
Intervenant 2 : Bonjour et bienvenue aux Visionnaires de la sécurité. Vous venez d'entendre l'un des invités d'aujourd'hui, David Fairman, directeur de l'information et de la sécurité pour l'Asie-Pacifique chez Netskope. À l'aube de la nouvelle année, les leaders technologiques anticipent une liste croissante de vulnérabilités, de risques et de tendances en matière de sécurité. Pour donner le coup d'envoi de l'année 2023, nous avons réuni quelques-uns des leaders les plus pointus du secteur pour qu'ils nous fassent part de leurs prédictions et de leurs résolutions. Avant de nous plonger dans l'interview, voici un bref mot de notre sponsor.
Intervenant 3 : Le podcast Security Visionaries est alimenté par l'équipe de Netskope. Chez Netskope, nous redéfinissons la sécurité des nuages, des données et des réseaux grâce à une plateforme qui offre un accès optimisé et une sécurité sans confiance pour les personnes, les appareils et les données, où qu'ils se trouvent. Pour en savoir plus sur la façon dont Netskope aide ses clients à être prêts à tout au cours de leur voyage insolent, visitez le site N-E-T-S-K-O-P-E.com.
Speaker 2 : Sans plus attendre, voici l'épisode 17 de Security Visionaries avec David Fairman, Ilona Simpson et votre hôte Mike Anderson. Mike Anderson : Bienvenue dans le prochain épisode du podcast Security Visionaries. Je suis votre hôte, Mike Anderson. Je suis notre Chief Digital and Information Officer chez Netskope. J'ai des invités très spéciaux ici aujourd'hui. L'année dernière, dans le cadre de la première saison des visionnaires de la sécurité, nous avons consacré un épisode aux prédictions pour 2022. Aujourd'hui, nous allons parler des prédictions pour 2023. Ce qui est intéressant ici, c'est que notre thème a été la présence de nombreux DSI sur la piste de la bâche cette année, mais aujourd'hui, nous avons Dave Fairman. Dave a une perspective unique car il est à la fois notre DSI et notre responsable de la sécurité pour l'Asie-Pacifique, et il est un vétéran du secteur de la sécurité et un leader d'opinion dans ce domaine. Ilona, notre DSI pour l'Europe et l'Amérique latine, nous rejoindra ensuite. Ilona possède une vaste expérience dans le domaine de la fabrication, aussi bien dans le secteur industriel que dans celui des produits de consommation.
J'ai hâte de participer à cette conversation et d'entendre les prédictions. À l'aube de l'année 2023, je suis ravie de vous recevoir tous les deux pour partager vos prédictions. Je commencerai donc par Ilona. Vous avez fait une prédiction à long terme sur le métavers industriel et, pour citer l'article, vous avez dit : "Nous assisterons à une reconnaissance plus large du métavers industriel et de ses composants clés. Le jumeau numérique de l'atelier, associé à l'automatisation et à l'optimisation de la chaîne d'approvisionnement grâce aux modèles AIML, est réel et pertinent. Saisissez l'opportunité de conduire un changement technologique profond en tant qu'initiative de chaînes commerciales." Ilona, aidez-moi à décortiquer cette prédiction et donnez-moi votre avis.
Ilona Simpson : Merci Mike. Je suis heureux d'être ici. S'il y avait un concours pour le terme technologique le plus exagéré, le plus obscur et le plus polarisant en 2022, je suis sûr que certains voteraient pour le métavers. Mais si nous commençons par les définitions, je suis un technologue, mon point de vue sera donc différent de celui des spécialistes du marketing ou de celui d'une personne qui s'occupe de commerce électronique. Pour moi, le métavers est avant tout une construction hypothétique. Il représente la fusion du physique et du numérique et se compose de trois éléments. Il s'agit d'identités, de propriétés et d'espaces. Je distinguerais trois grands domaines basés sur l'application du métavers, à savoir le métavers grand public, la version entreprise et le métavers industriel.
Et en zoomant sur le métavers industriel, encore une fois, la fusion du physique et du numérique et ses identités, propriétés et espaces. La traduction la plus directe, et non la plus simple, en termes de technologie, est le jumelage numérique de l'atelier. Nous utilisons le jumeau numérique et l'automobile depuis plus de dix ans. Il a été enrichi par AIML et peut être élargi pour inclure la chaîne d'approvisionnement. Le but ultime de l'exercice est l'optimisation par la simulation, sur la base de décisions fondées sur des données. Et ma question&J'ai connu, à l'époque de la bonne vieille école informatique, la chaîne de valeur de la planification, de la construction et de l'exécution. Dans le contexte industriel, nous planifions, construisons et gérons des usines, des usines de fabrication. Planifiez et construisez donc des cas d'utilisation importants. En effet, dans le cas d'une usine existante et d'un métavers industriel en tant que jumeau numérique de cette usine dans le nuage, les données des capteurs de l'équipement sont collectées et transportées vers le nuage où vous pouvez reconnaître les anomalies, corréler les données, appliquer des algorithmes et évaluer des scénarios.
Mais en se promenant dans les usines de fabrication, les halls d'assemblage ou les entrepôts d'aujourd'hui, on trouve des équipements, y compris des robots de divers fournisseurs dotés de capteurs construits selon différentes spécifications, qui constituent ce que l'on appelle un équipement intelligent ou connecté. Il ne laisse pas de côté le potentiel d'optimisation des rues de l'atelier dans son ensemble. À mon avis, le métavers industriel permet d'aller plus loin et d'examiner l'écosystème, l'usine, l'atelier dans son ensemble et la chaîne d'approvisionnement des tiers. L'impact potentiel de l'optimisation est exponentiel. Récemment, des cas d'utilisation ont également été recensés dans le domaine du développement durable, des émissions et d'autres sujets très actuels et très pertinents pour nous tous.
Mike Anderson : Oui, j'aimerais poser une question à ce sujet avant de passer à David. Lorsque je pense au métavers industriel et à ce que vous venez de dire, si je pense au jumeau numérique, c'est souvent en regardant un écran d'ordinateur pour simuler ce que les changements apportés à mon processus de fabrication feraient à la production que je peux créer dans ma chaîne de fabrication. Si je pense au monde hybride d'aujourd'hui, où les leaders de la chaîne d'approvisionnement sont présents partout dans le monde, je me dis qu'il est temps de passer à l'action. Il s'agit donc d'une expérience immersive qui permet de voir à quoi ressemblerait ce jumeau numérique. Je crée donc une collaboration plus immersive. Ai-je bien compris ?
Ilona Simpson : Tout à fait. Il s'agit d'une collaboration plus immersive. Il s'agit également des données, de la granularité des données et de la puissance de calcul dont nous disposons. C'est la qualité de l'expression des décisions fondées sur les données qui prend une dimension très différente.
Mike Anderson : Peut-être que dans ce métavers, je peux avoir l'air plus en forme dans ce métavers, dans cette expérience immersive où je m'engage avec mes pairs. J'attends donc cela avec impatience. David, je sais que ce sujet vous passionne. Faites-nous part de vos réflexions sur le métavers à l'horizon 2023 et au-delà.
David Fairman : Oui, écoutez, je pense que cette année en particulier, nous avons vu beaucoup d'élan, beaucoup de croissance dans le métavers. Je pense que cette tendance va se poursuivre. Ainsi, des marques comme Nike, Gucci, Samsung, Louis Vuitton, ont toutes créé une présence sur diverses plateformes métaverses. Dans le secteur bancaire, J.P. Morgan et HSBC ont créé des succursales pour le métavers afin de pouvoir participer et commercialiser dans cet espace. Je pense donc que nous allons voir de plus en plus de grandes marques construire, concevoir ou créer de nouveaux modèles d'entreprise qui leur permettront de créer des opportunités de croissance dans ce monde numérique, dans ce métavers.
Je pense que nous avons assisté à de grandes vagues ou à une forte croissance dans les domaines de la santé, des jeux, de la mode et de l'éducation. Et je pense qu'en 2023, nous commencerons à voir cette tendance s'accélérer. Et je pense que le métavers va jouer un rôle clé dans la formation de la future main-d'œuvre, en s'inspirant en quelque sorte de ce qu'a dit Ilona à propos des jumeaux numériques et de ce que je viens d'évoquer à propos de l'éducation et de la formation. Et je pense que nous allons commencer à voir, nous avons déjà ce défi après COVID, et ce travail à domicile, ce monde hybride d'organisations qui ramènent leurs employés au bureau. S'ils veulent que les employés retournent au bureau, c'est pour qu'ils aient ces interactions informelles que nous avions l'habitude d'avoir lorsque nous étions au bureau. Ces conversations de couloir, ce coaching et ce mentorat que vous obtenez lorsque vous êtes dans un environnement contenu ensemble.
Je pense que nous allons commencer à voir cette main-d'œuvre numérique très similaire à l'atelier numérique. Il s'agira d'un bureau numérique où nous pourrons commencer à donner à nos employés une expérience très similaire à celle qu'ils avaient lorsqu'ils étaient physiquement au bureau. Nous aurons donc recours au coaching, à la formation et à ces interactions informelles. Je pense que cela nous permettra de compenser certains des avantages que nous avons perdus après COVID et le fait de travailler dans un bureau physique. C'est donc là que je pense que nous commencerons à voir cette évolution.
Mike Anderson : Non, c'est bien. Je veux dire que j'ai certainement vu des entreprises B2C, comme vous avez mentionné les banques. Si nous pensons à la prochaine génération de travailleurs, le métavers est très attrayant. Les [inaudible 00:09:30], que je qualifierais de jeunes adultes ou d'adolescents, vivent sans aucun doute devant leur téléphone. C'est pourquoi je pense que la capacité de communiquer numériquement avec les gens est une chose qui intéresse davantage cette nouvelle main-d'œuvre. C'est intéressant, j'ai également vu une statistique intéressante selon laquelle Facebook Meta va investir 20 milliards de dollars l'année prochaine dans le métavers et prévoit d'investir plus de 100 milliards de dollars au cours des cinq prochaines années. La création d'un marché dans ce domaine représente un investissement considérable. Il sera donc intéressant de voir ce qu'il en est. Sur ce, quelle résolution proposeriez-vous aux leaders de la technologie et de la sécurité pour 2023 en ce qui concerne le métavers ?
Ilona Simpson : Je pense qu'il ne faut pas se laisser distraire par le buzz et le battage médiatique, mais qu'il faut se concentrer sur l'essence même de la prochaine étape qui apportera de la valeur à l'organisation. Quelles sont les données générées, transportées et traitées, appliquez les enseignements tirés de l'informatique, examinez comment sécuriser ce nouveau modèle d'entreprise, comment intégrer et réaliser des synergies avec les domaines de la technologie d'entreprise qui ont mûri au cours de plusieurs décennies.
Mike Anderson : C'est très bien. David, avez-vous un conseil à donner ?
David Fairman : Oui, je pense qu'il est évident qu'il y a beaucoup de valeur à réaliser et que les organisations vont explorer cette voie. Pour ma part, en tant que gestionnaire de risques, je réfléchirais aux nouveaux risques qui vont émerger de ce nouveau monde numérique. Les travaux et les exigences en matière de protection de la vie privée et de sécurité évolueront rapidement. Alors, comment pensez-vous préparer votre personnel technologique à réfléchir à ces scénarios et à les préparer lorsque l'entreprise commence à élaborer de nouveaux modèles d'entreprise et à créer de nouvelles capacités. Comment allez-vous pouvoir gérer ce risque numérique pour votre organisation ? En tant que technologues et responsables de la stratégie et de l'orientation technologiques, nous devons être prêts à faire face à certains de ces risques et à les formuler. Commencez donc à y réfléchir dès maintenant.
Ilona Simpson : Et peut-être pour ajouter à ce que Dave vient de dire, la sécurité dès la conception est quelque chose que nous avons appris. Il ne s'agit pas seulement de tirer des enseignements sur le plan technologique, mais aussi sur le plan de la culture, des processus, des cadres, etc. Le glissement vers la gauche que nous avons préconisé s'applique donc parfaitement à cette situation particulière.
Mike Anderson : J'aime bien cette prédiction. J'aime à dire qu'à chaque fois qu'il y a une nouvelle tendance technologique, vous feriez mieux de vous renseigner parce qu'elle va arriver. Votre PDG ou vos cadres vont vous demander ce que vous en pensez. Car, bien entendu, tout ce qui touche à la technologie est soumis au DSI ou au directeur de la technologie.
Ilona Simpson : Mike, j'ai été confronté à une situation où mon conseil d'administration me parlait de WhatsApp parce que les cadres d'IBM se retrouvaient dans la salle du conseil d'administration plus rapidement que la fonction technologique.
Mike Anderson : J'avais l'habitude, à chaque fois qu'un nouveau téléphone sortait à la télévision, d'en acheter un parce que je savais que l'un de nos cadres allait l'avoir demain et que nos équipes devaient être en mesure d'aider à le prendre en charge. Enregistrez donc ces publicités télévisées. Très bien. Je vais passer à notre prochaine prédiction. David, vous avez fait une prédiction très intéressante sur l'informatique confidentielle et la citation que vous avez utilisée est la suivante : "Je pense que l'informatique confidentielle va gagner en importance à mesure que les entreprises réévalueront leur technologie et leur système de sécurité. Elle deviendra un axe d'investissement clé dans la plupart des budgets de sécurité ou de technologie en 2023 ou 2024." Alors pourquoi cette prédiction que vous avez en tête pour 2023, et quels sont les avantages pour les utilisateurs de l'informatique confidentielle ?
David Fairman : Oui, je pense... Parlons d'abord de l'informatique confidentielle et de ce que c'est. L'informatique confidentielle est en fait la protection des données à l'aide d'un environnement d'exécution fiable basé sur le matériel. Il s'agit donc de l'enclave sécurisée au sein du matériel dans laquelle nos données sont traitées, exécutées et manipulées. Il s'agit d'un environnement qui garantit l'intégrité des données, la confidentialité des données et l'intégrité du code. Il permet aux organisations de traiter les données en toute sécurité, même si le code sous-jacent est compromis. Ces données sont donc entièrement exploitées dans cette enclave sécurisée et elles sont gardées.
Si vous réfléchissez à l'un des défis que nous avons rencontrés avec l'informatique dématérialisée, les gens s'inquiètent du fait que leurs données se trouvent dans le nuage. Et je pense que nous avons très, très bien réussi à comprendre les données en transit, les données en mouvement et les données au repos. Mais les données utilisées, les données en mémoire, c'est la conversation qui revient toujours. Je pense donc que l'informatique confidentielle est en plein essor et que de grandes avancées ont été réalisées dans ce domaine au cours des deux dernières années. Nous en sommes arrivés à un point où nous voyons certains des grands hyperscalers et des grands fournisseurs d'informatique en nuage commencer à suivre cette voie et à mettre en œuvre cette technologie dans leur matériel. Je pense donc que nous allons commencer à voir l'informatique confidentielle devenir la pierre angulaire d'une capacité de sécurité pour aider les organisations à accélérer leur passage à l'informatique en nuage.
Je pense que c'est une excellente chose pour les organisations et que cela nous aide vraiment à couvrir ce risque dont nous parlons depuis de nombreuses années. Si l'on considère l'année écoulée, on peut dire qu'il y a eu une augmentation significative des vulnérabilités et des exploits liés aux microprogrammes. Si vous combinez ces deux éléments, il s'agit d'un très bon outil que nous pouvons utiliser pour garantir l'intégrité et la confidentialité des données lorsque celles-ci sortent de notre environnement.
Ilona Simpson : Et peut-être pour ajouter à ce que Dave a dit, je considère que l'informatique confidentielle a le potentiel d'augmenter considérablement la productivité lorsqu'il s'agit d'informatique multipartenaires. Si l'on considère le secteur automobile où le logiciel INCA est développé, il ne s'agit pas d'un, de deux ou d'une poignée de partenaires, mais d'une couche de fournisseurs de premier et de deuxième rangs, dont environ 30 % de la valeur est créée par les équipementiers eux-mêmes. Cela permet donc de développer une solution de bout en bout de manière confidentielle, ce qui pourrait vraiment changer la donne. Il assure la gouvernance, une meilleure protection, comme l'a dit Dave, et augmente la productivité.
Mike Anderson : Oui, c'est intéressant. Cela me fait penser à une conversation que j'ai eue avec de grandes agences fédérales qui parlaient de la capacité et de la spécificité des données relatives aux soins de santé et qui évoquaient un partenariat public-privé autour de l'examen et du traitement des données pour le plus grand bien de tous. Et ceci est spécifique aux États-Unis, mais c'est une question intéressante parce que je pense que cela joue sur la façon dont vous autorisez le partage confidentiel et la collaboration sur nos informations, Ilona, comme vous l'avez dit, l'industrie manufacturière par des parties qui ne travaillent pas pour la même entreprise. Comment le faire en toute confiance et en préservant la confidentialité des données ? Je pense donc qu'il s'agit là d'une idée qui a beaucoup de chances de se concrétiser à l'avenir. Ainsi, pour commencer, quel type de résolution les leaders technologiques devraient-ils prendre en ce qui concerne l'informatique confidentielle en 2023 ? David, je commencerai par vous. Alors Ilona, pourquoi ne pas nous donner le vôtre aussi ?
David Fairman : Je pense que la solution que je recommanderais serait de commencer à étudier comment votre organisation peut commencer à tirer parti de l'informatique confidentielle et accélérer sa migration vers l'informatique dématérialisée, tout en réduisant les risques. Soyez le moteur de l'organisation technologique et soyez perçu comme un innovateur et un facilitateur pour votre organisation. Tirez parti de ces capacités.
Ilona Simpson : Il est intéressant de noter que cette fois-ci, je pense que ce sont les BDP de l'ingénierie, de l'ingénierie logicielle, et non les RSSI, qui seront à l'origine de cette évolution. Ma résolution serait donc d'examiner quel est le projet pilote le plus prometteur et d'être attentif à la manière dont il sera mis en œuvre. Je pense que c'est encore, alors que les hyperscalers, Dave, comme vous l'avez dit, sont en route, nous avons aussi un consortium transfrontalier et il y a beaucoup de ressources disponibles, quelque chose qui en est encore à ses débuts, je considérerais pour les entreprises traditionnelles de regarder où vous pouvez piloter la preuve de concept et regarder la feuille de route pour une exécution réaliste.
Mike Anderson : C'est très bien. Je pense que lorsque nous pensons au risque [inaudible 00:17:42], nous espérons avoir ce vice-président de l'ingénierie parce que la sécurité est un sport d'équipe. Il est à espérer que nos responsables de l'ingénierie ont cette mentalité du risque afin de ne pas s'attirer des ennuis dès le départ. Sécurité par conception, comme vous l'avez dit tout à l'heure, Ilona. J'aimerais vous parler de notre prochaine prédiction. Il s'agit donc d'une question dont nous avons un peu plus parlé, à savoir la nécessité d'élaborer des plans de réduction des risques quantifiés.
David est donc notre expert en réduction des risques. La citation que j'ai reçue de vous, "Les entreprises, en particulier les conseils d'administration, voudront davantage de plans quantifiés fondés sur des données pour la réduction des risques. Le défi sera pour les RSSI de démontrer qu'ils obtiennent la plus grande réduction des risques pour chaque dollar dépensé. En conséquence, l'accent sera davantage mis sur les preuves empiriques fondées sur des données." David, pouvez-vous nous en dire plus sur cette prédiction et sur les raisons pour lesquelles les évaluations qualitatives ne sont pas suffisantes ?
David Fairman : Oui, bien sûr. Réfléchissons aux étapes que nous avons franchies du point de vue de l'investissement dans la cybernétique. Je joue à ce jeu depuis longtemps. Je pense qu'au départ, les organisations n'investissaient tout simplement pas dans la sécurité de l'information telle qu'elle est notée dans la date ou dans la cybersécurité. Puis nous sommes passés à un mode où les conseils d'administration des organisations commençaient à comprendre et à poser les questions suivantes : "Dépensons-nous suffisamment ? Puis cela a évolué jusqu'à ce que l'on se demande si l'on dépense l'argent pour les bonnes choses. Et je pense qu'aujourd'hui, dans les marchés financiers où nous nous trouvons, les conseils d'administration commencent à se poser la question suivante : obtenons-nous une réduction maximale des risques pour chaque dollar que nous consacrons à notre programme de cybersécurité ou à notre programme de gestion des risques technologiques ?
La conversation qualitative consistant à dire que nous allons passer d'un risque élevé à un risque moyen ne suffit pas. Vous ne pouvez pas faire le lien avec une discussion commerciale et un conseil d'administration. Et si vous pensez à la cybersécurité, nous ne sommes qu'un sous-ensemble d'un risque opérationnel plus large. Le risque opérationnel a en fait une bien meilleure approche ou un peu plus de maturité dans la capacité à quantifier le risque opérationnel dans l'organisation. Les RSSI doivent être en mesure de se tenir côte à côte et d'avoir une discussion parodique sur l'achat de risques pour ce sous-ensemble du risque opérationnel, et c'est vraiment là que nous en sommes. Je pense qu'en tant qu'industrie, en tant que pratique, en tant que profession, nous devons faire preuve de beaucoup plus d'intelligence pour déterminer comment faire de ce sujet une conversation beaucoup plus quantitative.
Et le principal défi à relever est de disposer des bonnes données, et je pense que c'est ce qui nous a vraiment empêchés, en tant que professionnels de la sécurité ou de la cybernétique, de vraiment quantifier ce phénomène, c'est-à-dire de nous assurer que nous disposons des bonnes données sources pour obtenir le bon résultat, et que nous disposons des bons modèles autour de ces données. Nous avons vu beaucoup de progrès dans ce domaine au cours des cinq ou six dernières années. Nous avons commencé par une analyse juste et factuelle du risque d'information et maintenant nous avons vu des modèles tels que la VaR cybernétique commencer à évoluer, où nous commençons à être en mesure d'évaluer notre risque ou d'assimiler notre risque de parodie à d'autres risques opérationnels. Nous pouvons donc commencer à avoir cette discussion commerciale et vous savez, réfléchir au rôle du conseil d'administration, le rôle du conseil d'administration et du comité exécutif est de s'assurer qu'ils gèrent également les risques de l'organisation pour atteindre les objectifs de croissance de l'organisation.
Une partie de ces objectifs de croissance consiste à s'assurer que nous dépensons chaque dollar de l'organisation de la bonne manière et que nous équilibrons le risque pour cette croissance. C'est évidemment le catalyseur naturel de cette conversation sur les risques.
Mike Anderson : Ilona, que pensez-vous des plans quantifiés de réduction des risques ? Voulez-vous ajouter quelque chose à ce que David a dit ?
Ilona Simpson : Je suis entièrement d'accord avec tout ce qu'a dit Dave. Personnellement, j'aime les chiffres et nous, en tant qu'organisations, conseils et fonctions, avons appris à exprimer notre compréhension de l'entreprise à travers les chiffres. Et si nous regardons bien, qu'il s'agisse d'un PnL, d'un flux de trésorerie, d'un score net promoteur pour la satisfaction des clients, l'ensemble de l'organisation peut parler, exprimer l'état de la nation, pour ainsi dire, en termes de chiffres. Je ne peux donc qu'appuyer ce qu'a dit Dave, il est temps d'avoir un siège à la table et de pouvoir s'exprimer dans ce langage universel comme le font les autres membres du conseil d'administration ou de l'Exco, c'est inestimable.
Mike Anderson : Je suis tout à fait d'accord lorsque je pense à la stratégie de la chaîne d'approvisionnement et si je pense aux matières premières, je peux prendre une décision de risque pour obtenir un coût inférieur pour les matières premières d'un fournisseur qui n'a pas la posture de sécurité souhaitée et c'est une décision de risque que je peux prendre. Je peux aussi décider d'augmenter le prix des matières premières, mais en faisant appel à des fournisseurs qui ont un meilleur dispositif de sécurité parce que je risque moins de subir des perturbations, ou je peux avoir un mélange de tout cela. Cette conversation est un exemple qui me vient à l'esprit : comment quantifier le risque dans mon processus de prise de décision ? La question que je vous pose à tous les deux, et je commencerai par David puisque c'est lui qui nous a lancés dans cette prédiction, est la suivante : quelles résolutions les leaders technologiques devraient-ils prendre pour mieux communiquer au conseil d'administration la valeur de la sécurité en termes de réduction des risques ?
David Fairman : Je pense qu'il y a deux choses que je voudrais dire. L'un des aspects les plus intéressants de la quantification des risques est qu'elle nous permet de prendre des décisions d'arbitrage. Si nous investissons un montant X ici, nous pouvons réduire notre valeur à risque de Y. Si nous investissons dans différents domaines, nous pouvons réduire notre valeur à risque de Z. Nous pouvons donc commencer à avoir des conversations concrètes sur les compromis pour le démontrer. Pour ce faire, je reviens sur un point que j'ai commencé à aborder lors de la session précédente, à savoir la nécessité de s'assurer que nous disposons des bonnes données.
Pour moi, la résolution consiste donc à s'assurer que, lorsque vous commencez à réfléchir à cette voie, vous ne vous lancez pas directement dans la quantification des risques, mais que vous comprenez quelle est la véritable source de données dont vous aurez besoin pour être en mesure de l'exécuter et que ces sources de données sont correctes, l'entrée étant égale à la sortie. Obtenez les sources de données, posez ces fondations correctement et vous serez alors en mesure d'avoir un très bon résultat et une conversation très productive parce que les gens ne vont pas contester les données, les gens vont partir dans les données et vous serez alors en mesure d'avoir une très bonne conversation axée sur les données autour de cela.
Ilona Simpson : Oui, il ne faut pas en faire une pseudo-science, n'est-ce pas ?
David Fairman : Exactement.
Ilona Simpson : Mais peut-être que les plans de réduction quantifiée des risques sont un sport d'équipe. Et je constate que, dans le cas présent, il s'agit d'un groupe d'experts en finances et en risques, de pairs qui sont là pour apporter leur expertise et leurs conseils en matière de gestion des risques, afin de mettre en place une approche commune. Il est donc essentiel d'obtenir l'adhésion de l'ensemble de l'entreprise et de collaborer avec une base de parties prenantes plus large.
Mike Anderson : Oui, et je pense que vous avez raison, tous les deux, si je pense à la réduction des risques, l'investissement réel n'est peut-être même pas dans le budget du DSI ou du RSSI, mais plutôt dans le budget de l'équipe opérationnelle pour mettre en œuvre les contrôles appropriés afin de réduire ce risque. C'est pourquoi je pense qu'il est nécessaire de réfléchir en équipe à la manière de s'assurer que les investissements sont réalisés dans les bons domaines afin de mettre en œuvre les plans de réduction des risques sur lesquels le conseil d'administration s'est mis d'accord.
Ilona Simpson : De même, lorsque vous commencez à quantifier, je pense que la quantification est une grande barrière à l'entrée et qu'il faut commencer par la matrice d'évaluation des risques. C'est la base de tout cela.
Mike Anderson : Oui. Les chiffres sont plus éloquents que les sentiments lorsqu'il s'agit de prendre des décisions commerciales, c'est certain. Je voudrais donc en venir à notre prochaine prédiction. Il s'agit donc d'une prédiction dont nous avons beaucoup entendu parler, à savoir la convergence des priorités pour le réseau de sécurité et les équipes technologiques à la suite de la transformation. Ilona, comment voyez-vous les choses de votre point de vue de DSI en matière de technologie ?
Ilona Simpson : Eh bien, je vois que la sécurité et la convergence des réseaux commencent par là, du point de vue d'un DSI, cela signifie que si les fonctions sont là et qu'elles sont là pour rester, les priorités sont de plus en plus partagées, de même que le processus de bout en bout. Nous examinons les décisions stratégiques, les choix architecturaux et l'exécution qui nécessitent un alignement solide. Et si ce n'est pas le cas, votre un plus un se dégradera rapidement en 0,5, tout en ayant la possibilité de faire un trois. Cela signifie donc que les questions de stratégie et d'architecture font surface au niveau des équipes de direction informatique et des DSI. Je pense également que les DSI gagneraient à adopter un comportement différent, car nous avons l'habitude de déléguer les décisions fonctionnelles aux responsables respectifs. Le paradigme de la convergence nous invite ou nous oblige à regarder nous-mêmes dans la salle des machines de l'informatique, car les perspectives sont intrinsèquement différentes et le rôle d'un DSI est d'être un arbitre lorsqu'il s'agit de collaboration interfonctionnelle, d'examiner comment établir des priorités et de rassembler les perspectives.
Mike Anderson : Oui, vous devenez définitivement les bâtisseurs de ponts entre ces organisations. Normalement, vous devriez dire à vos responsables fonctionnels d'aller dans une salle, de réfléchir à la question et de revenir vers moi avec un plan. Parfois, vous devrez vous impliquer davantage dans ce domaine, car il y a beaucoup de changements à effectuer. Et évidemment, lorsque vous parlez d'équipes de sécurité et de réseau, le budget consacré à la sécurité provient en grande partie du budget du réseau et de l'infrastructure. Il y a donc toujours cette pression d'ajouter peut-être une complexité perçue du côté de la sécurité alors que les équipes du réseau d'infrastructure recherchent la simplicité parce que leur budget n'est pas aussi important que celui de l'année précédente.
Le DPI est donc la seule personne qui soit en mesure de s'asseoir sur ces deux éléments. C'est certainement une bonne prédiction. David, compte tenu de votre expérience dans le domaine de la sécurité et du fait que vous êtes à la fois DSI et responsable de la sécurité pour la région APAC, comment voyez-vous cette convergence ? Comment voyez-vous ces priorités se manifester ? Je sais qu'un certain nombre de RSSI sont devenus des DSI dans la région Asie-Pacifique. Je veux dire que vous les avez vus vous-même ou qu'ils portent les deux casquettes. Comment voyez-vous les choses se mettre en place ?
David Fairman : Écoutez, je pense que le fait d'avoir une expérience ou une spécialisation en matière de sécurité vous fait envisager les choses différemment en tant que DSI, et je pense que dans un monde " cloud first ", et c'est ce à quoi je reviens toujours, dans un monde " cloud first ", le réseau interne n'existe presque plus. L'internet est désormais le réseau. Et lorsque nous parlons, si vous pensez à l'ancien monde des réseaux, nous avions l'habitude de dire, les gars du réseau construisent les routes et les gars de la sécurité mettent en place les feux de circulation et les glissières de sécurité. Cela ne fonctionne pas, car ils ne construisent plus nécessairement les routes. Mais comme je l'ai dit, la route, c'est maintenant l'internet. Il s'agit donc de créer cette facilitation ou cette voie, ce mécanisme permettant de transférer des données d'un environnement de traitement à un autre.
Aujourd'hui, vous ne pouvez pas discuter de cette possibilité sans penser à la sécurité de ces données. Je pense donc que les équipes chargées du réseau et celles chargées de la sécurité doivent être unies par la hanche. Les équipes de réseau et d'infrastructure mettent en place des mécanismes permettant de transférer les données entre différents environnements afin de créer de la valeur pour l'organisation. Ils doivent donc commencer à réfléchir à la sécurité de ces données. Ce que nous commençons à voir, c'est que ces conversations deviennent... En fait, les fonctions elles-mêmes commencent à penser de manière beaucoup plus large et à réfléchir à ces questions, de sorte que la collaboration devient de plus en plus étroite.
J'aime utiliser l'analogie suivante : il faut deux mains pour applaudir. Vous ne pouvez donc pas vous contenter de le construire et de le laisser aller. Vous devez le construire et vous assurer qu'il est sûr et solide. Et c'est vraiment ce que nous commençons à voir.
Mike Anderson : Alors que vous réfléchissez aux résolutions à prendre par les leaders technologiques face à cette convergence des priorités, quels conseils leur donneriez-vous pour qu'ils les inscrivent à l'ordre du jour de 2023 ?
Ilona Simpson : Mettez-le à l'ordre du jour des réunions stratégiques des dirigeants informatiques, quelle que soit la forme qu'elles prennent.
David Fairman : Oui, je pense que pour moi, c'est très similaire. Il s'agit de mener une conversation centrée sur la protection des données au sein de votre organisation technologique, en reconnaissant que l'actif critique auquel nous nous intéressons aujourd'hui, ce sont les données. Ainsi, quelle que soit la manière dont nous voulons manipuler, traiter ou transiter ces données, la façon dont nous nous assurons que les bonnes parties prenantes, l'équipe de sécurité et l'équipe de gestion des risques en font partie intégrante. Les bonnes parties prenantes sont impliquées dans ces discussions et nous travaillons en collaboration avec elles pour les associer à toutes les conversations ou initiatives en cours.
Mike Anderson : C'est un excellent conseil.
Ilona Simpson : Un conseil fantastique. Mike, Dave et moi avons beaucoup discuté. Auriez-vous une prédiction à partager avec nous ?
Mike Anderson : Celle-ci est peut-être évidente, la consolidation des fournisseurs, évidemment dans un marché en récession imminente et la tempête parfaite ou les défis de la main-d'œuvre, tout le monde réexamine sa pile technologique pour voir où ils peuvent faire une consolidation, où ils peuvent réduire les dépenses. Ce matin, j'ai eu deux conversations avec des leaders technologiques qui s'intéressent à cette question. Nous l'avons déjà vu dans l'actualité. Je pense qu'il y a une grande différence entre la consolidation des fournisseurs vers une suite de produits sous une marque unique où chaque produit nécessite un ensemble différent de compétences pour le maintenir et le faire fonctionner, et une stratégie de consolidation des fournisseurs vers une plate-forme où je peux former quelqu'un à utiliser une technologie qui va gérer les mêmes objectifs que ceux de la suite. Mais lorsque je peux avoir une personne qualifiée, j'obtiens une échelle.
Je pense donc que les plates-formes seront les gagnantes de cette consolidation des fournisseurs. Et traditionnellement, il s'agit souvent d'un simple vent contraire de l'économie, mais le fait que nous n'ayons pas le personnel, même si nous avons les budgets, crée un autre défi, à savoir comment simplifier ? Ma citation préférée est celle de Vinci, "La simplicité est la sophistication ultime. La complexité est l'ennemie de la sécurité." Alors, comment mettre en place une stratégie de plateforme ? Je me suis donc entretenu aujourd'hui avec un DSI d'une société de plateforme d'intégration en tant que service, qui cherche à consolider les outils dans ses propres environnements et qui parle à d'autres DSI de ces mêmes priorités.
J'ai donc l'impression que les plates-formes vont l'emporter dans cette consolidation des fournisseurs en raison des problèmes de main-d'œuvre que nous rencontrons en même temps, du fait que nous ne pouvons pas trouver de talents. Telle serait ma résolution. Ce que je dirais aux gens, c'est de s'assurer que vous regardez au-delà de la marque et que vous regardez sous les couvertures pour voir si vous achetez une suite de produits ou si vous achetez une plateforme. Car ce que vous voulez, c'est investir dans des plateformes qui peuvent non seulement résoudre vos problèmes financiers, mais aussi vos problèmes de talents.
Ilona Simpson : C'est une excellente façon de terminer les prédictions. Merci, Mike.
Mike Anderson : Non, absolument. Je tiens à vous remercier tous les deux pour le temps que vous nous avez accordé. Nous avons eu d'excellentes résolutions autour de ces prédictions si rapides sur le métavers industriel, je pense qu'il s'agit vraiment d'inventorier comment cela se croise avec d'autres choses que vous faites déjà comme le jumeau numérique et comment cela se joue du point de vue de la sécurité et du risque, David, de votre point de vue si je suis dans une entreprise B2C comme la finance ou la consommation, comment dois-je m'assurer que je pense au risque et aux éléments de confidentialité des données de cela. Si je me réfère à l'informatique confidentielle, ce que vous avez dit tous les deux, c'est comment penser à la collaboration entre les industries, entre les entreprises, de manière à ce qu'il ne s'agisse pas seulement des données au repos, des données et du mouvement, Dave, comme vous l'avez dit, mais aussi des données et de l'utilisation. Comment protéger les données et les utiliser de manière à ce que les parties puissent collaborer ?
Lorsque je passe aux plans quantifiés de réduction des risques, c'est d'abord, comme vous l'avez dit, David, parce que j'aime bien la méthode "garbage in, garbage out" (qui consiste à jeter les ordures à l'intérieur et à les jeter à l'extérieur). Vous devez obtenir les données nécessaires pour déterminer quelles sont les données dont vous avez besoin pour mesurer le risque afin de pouvoir le quantifier. Et Ilona, vous avez raison, les gens aiment les chiffres, nous parlons tous de chiffres comme le NPS et d'autres choses. Il est donc important que nous adoptions le même état d'esprit lorsque nous parlons à nos conseils d'administration et à nos entreprises de la manière dont nous quantifions les risques. Le dernier point concerne la convergence et les priorités en matière de sécurité et de réseau. Et cela nous oblige à creuser un peu plus dans nos équipes pour nous assurer que nous comblons ces lacunes. Et comme vous l'avez dit, David, vous ne pouvez pas applaudir sans vos deux mains. Nous devons donc être ceux qui facilitent les applaudissements de la bonne manière.
Je pense qu'il s'agit là de bonnes résolutions, de bonnes choses et de bons conseils pour tous ceux qui écoutent notre podcast. Je vous remercie tous les deux d'avoir partagé avec nous votre expertise et votre sagesse en nous faisant part de vos prévisions pour 2023. Dans un an, nous verrons ce qu'il en est, tout en réfléchissant à nos prévisions pour 2024. C'est donc tout le temps dont nous disposons aujourd'hui. Merci d'avoir écouté l'épisode d'aujourd'hui du podcast des Visionnaires de la sécurité. Je suis votre hôte, Mike Anderson. Je suis directeur des technologies de l'information et directeur du numérique chez Netskope. J'ai été rejoint aujourd'hui par Ilona, notre DSI pour l'Europe et l'Amérique latine, et David Fairman, notre DSI et responsable de la sécurité pour l'Asie-Pacifique. Merci et bonne écoute.
Speaker 3 : Le podcast Security Visionaries est alimenté par l'équipe de Netskope, rapide et facile à utiliser. La plateforme Netskope offre un accès optimisé et une sécurité sans faille pour les personnes, les appareils et les données, où qu'ils se trouvent. Aider les clients à réduire les risques, à accélérer les performances et à obtenir une visibilité inégalée sur l'activité de n'importe quelle application cloud, web ou privée. Pour en savoir plus sur la façon dont Netskope aide ses clients à être prêts à tout au cours de leur voyage insolent, visitez N-E-T-S-K-O-P-E.com.
Intervenant 2 : Merci d'avoir écouté les Visionnaires de la sécurité. Veuillez prendre un moment pour évaluer et commenter l'émission et la partager avec quelqu'un que vous connaissez et qui pourrait l'apprécier. Restez à l'écoute des épisodes qui paraîtront toutes les deux semaines et nous vous donnons rendez-vous pour le prochain.
Pourquoi Netskope 
){kind=icon}
