John Kindervag raconte l'histoire d'origine de Zero Trust
Nous sommes de retour avec une nouvelle saison du podcast The Segment : A Zero Trust Leadership ! Après avoir conclu notre première saison avec des acteurs de premier plan tels que l'ancien analyste de Forrester Chase Cunningham, George Finney, directeur des ventes et auteur à succès de la Southern Methodist University, et Ann Johnson, vice-présidente du développement commercial de la sécurité chez Microsoft, notre première saison nous a valu une place dans le top 15 % de tous les podcasts et nous a valu un Trophée MarCom Gold 2023 pour la meilleure série de podcasts axée sur l'industrie.
Nous sommes très fiers du résultat de notre première expérience en matière de podcasting. Et nous devons tout cela aux auditeurs (et lecteurs) comme vous !
À la demande générale, nous sommes fiers de lancer notre deuxième saison avec encore plus d'anecdotes sur Zero Trust et de points de vue sur la cybersécurité émanant de certains des plus grands RSSI, directeurs techniques et cyberarchitectes du secteur.
Pour commencer, je me suis entretenu avec le parrain de Zero Trust lui-même et l'évangéliste en chef d'Illumio, John Kindervag. Dans ce résumé de notre conversation, découvrez comment est née l'idée de Zero Trust de John, ses premières recherches sur les meilleures pratiques Zero Trust et ses conseils aux organisations sur leur Le parcours Zero Trust.
À propos de John Kindervag, le créateur de Zero Trust
John est un homme qui n'a pas besoin d'être présenté dans le monde de Zero Trust. Cependant, pour ceux qui ne le connaissent pas, voici un bref aperçu de son impressionnant CV plutôt complet.
Avec plus de 25 ans d'expérience en tant que praticien et analyste du secteur, John Kindervag est considéré comme l'un des plus grands experts mondiaux en cybersécurité. Il est surtout connu pour avoir créé le modèle révolutionnaire Zero Trust de cybersécurité alors qu'il travaillait pour Forrester Research il y a plus de dix ans.
En 2021, John a été nommé membre du sous-comité Zero Trust du Comité consultatif sur la sécurité nationale des télécommunications (NSTAC) du président américain et a été l'un des principaux auteurs du Rapport Zero Trust de la NSATC qui a été remis au Président. La même année, il a été nommé personnalité de l'année en matière de cybersécurité par le magazine CISO.
Aujourd'hui, en tant qu'évangéliste en chef chez Illumio, John est chargé d'accélérer la sensibilisation et de favoriser l'adoption de la segmentation Zero Trust dans tous les secteurs.
Comment est né Zero Trust ?
Pour John, l'ensemble du cadre Zero Trust découle de la lutte contre ou de la réduction des modèle de confiance traditionnel implicite dès les débuts de la technologie des pare-feux.
Comme le dit John : « Le démarrage du processus d'installation des pare-feux a vraiment conduit à Zero Trust, car dans la technologie des pare-feux, il existait un concept de modèle de confiance dans lequel Internet se trouvait sur une interface non fiable et l'interface allant au réseau interne était fiable. Et en raison de cette relation de confiance, vous n'aviez pas besoin d'une déclaration de politique pour déplacer le trafic du réseau interne ou sécurisé vers le réseau externe ou non fiable. »
John l'a vu et s'est dit : « C'est fou ! Les gens vont exfiltrer des données d'ici. Et [les organisations] ont répondu : « Non, elles ne le feront pas. Tu ne peux pas... » Et j'ai dit que toutes les interfaces de confiance devraient avoir la même valeur de confiance et qu'elle devrait être égale à zéro. Et c'est vraiment de là que vient Zero Trust. Il s'agit simplement d'une opposition à la façon dont nous construisions des pare-feux, ce qui a eu une incidence sur les politiques, sans aucune raison. »
Dans le même ordre d'idées, Zero Trust découle essentiellement de la remise en question des croyances populaires de l'époque. John a compris qu'il existait un moyen de faire mieux en matière de cybersécurité que le statu quo. Comme le dit John, « Vous devez valider les choses que tout le monde dit et voir si elles sont vraies. J'étais le seul à me demander : « Quelle est la définition de la confiance ? » et c'est vraiment difficile à définir. »
Expérimentation et recherche Zero Trust
Bien qu'il ait créé l'un des cadres les plus remarquables de l'industrie, John apporte beaucoup d'humilité à notre conversation. Je lui ai demandé s'il s'attendait à ce que Zero Trust décolle comme il l'a fait.
Sa réponse ? « Mes attentes étaient plutôt faibles. Je pense que vous vous rendez compte que dans ce rôle [en tant qu'analyste], vous essayez simplement de vous faire une idée qui pourra peut-être se faire sentir. Je ne pensais pas que cette histoire de Zero Trust allait prendre son envol comme elle l'a fait. Il n'a certainement pas pris feu très tôt, mais ensuite... Je me suis rendu compte qu'il y avait plus de personnes qui lisaient ceci et qui l'écoutaient et qui voulaient en parler maintenant que je ne le pensais. »
Le ralentissement de la hausse initiale lui a également donné plus de temps pour expérimenter et affiner le cadre. « J'ai apprécié la lenteur de la hausse, car j'ai été la seule à le faire pendant un certain temps. J'ai donc dû faire toutes les erreurs moi-même, puis écrire à ce sujet et vous dire ce qu'elles allaient être pour que vous n'ayez pas à les faire [vous-même]. Et j'ai pensé que c'était quelque chose de précieux pour quelqu'un dans ma position », explique Kindervag.
Les plus grandes erreurs de Zero Trust
L'une de mes questions préférées à poser à nos clients est la suivante : « Quelles sont les erreurs des organisations dans leur démarche Zero Trust ? »
Selon John, « la plus grosse erreur que j'ai constatée a été d'aller trop gros, trop vite. Tout le monde essaie maintenant de tout faire en même temps pour l'ensemble de son organisation. »
En outre, explique John, les gens peuvent donner l'impression que le concept de Zero Trust est plus intimidant qu'il ne l'est, ce qui peut entraîner une adoption plus lente (et finalement moins réussie).
« Je pense que beaucoup de gens donnent l'impression que les choses sont plus difficiles qu'elles ne le sont et les complexifient », explique John. « C'est très simple, non ? Il existe quatre principes de conception et un modèle en cinq étapes pour y parvenir... Il est conçu pour être très, très simple... »
Le meilleur conseil de John aux opposants ? « Il suffit de sortir et de le faire... C'est de l'expérience. L'ensemble de notre activité repose sur l'expérience. »
Plus les organisations pourront mettre un pied devant l'autre pour atteindre leurs objectifs Zero Trust, plus elles avanceront dans leur parcours de cyber-résilience.
Écoutez, abonnez-vous et révisez le podcast The Segment : A Zero Trust
Vous voulez entendre l'intégralité de ma discussion avec John ? Écoutez l'épisode de cette semaine sur Podcasts Apple, Spotify, ou partout où vous pouvez accéder à vos podcasts. Vous pouvez également lire un transcription complète de l'épisode.
Nous reviendrons bientôt avec plus d'informations sur Zero Trust !