Le manuel du CISO

00h00

Très bien, alors que nous terminons la deuxième saison de The Segment, et que nous arrivons à la fin du mois de sensibilisation à la cybersécurité cette année. C'est formidable d'avoir comme invité final de cette saison un véritable directeur de la sécurité des systèmes d'information (CISO), Neil Thacker, responsable de la sécurité informatique pour la région EMEA de Netskope. Neil, je suis tellement content que tu te joignes à nous aujourd'hui.

00:21

Eh bien, c'est un privilège pour moi d'être ici. Merci, Raghu, pour l'invitation.

00:26

Cela nous fait plaisir. C'est toujours agréable d'être représenté par l'un de nos partenaires. Alors merci deux fois pour cela. Donc, CISO, CSO (directeur de la sécurité), c'est vrai, c'est un titre très médiatisé, et très important de nos jours pour les organisations de toutes tailles. Mais Neil, comment êtes-vous devenu CISO ?

00:50

Eh bien, le voyage a été long. Disons simplement que j'ai grandi à l'ère de l'informatique, non ? Alors, étant enfant, je me suis familiarisé avec les ordinateurs. Les ordinateurs étaient en quelque sorte la nouveauté qui faisait son apparition dans les maisons et les bureaux et ce genre de choses. J'ai donc grandi et je me suis familiarisée avec, un peu, les ordinateurs et l'âge des navetteurs. Et puis, l'un de mes premiers rôles a été de m'occuper de connecter les gens à Internet. Donc, en quelque sorte, mes premiers pas de carrière ont eu lieu à l'ère d'Internet. À l'époque, nous avions encore des modems commutés et ce genre de choses. Et au fil du temps, bien sûr, la sécurité est entrée en jeu, non ? Nous devions sécuriser la façon dont nous connections les personnes aux services, etc., et nous avions désormais des travailleurs à distance et toutes ces choses de ce genre. Donc, en quelque sorte, j'ai vécu cette vie aussi. Et ce n'est vraiment pas avant le milieu des années 2000 que je me suis orienté vers le côté exécutif plutôt que vers le côté technique. J'ai toujours une formation technique. Oui, j'ai en quelque sorte rejoint l'exécutif. Et c'est vraiment à l'ère du cloud que nous avons commencé à voir de plus en plus d'organisations migrer vers les grandes hyperschelles, leurs centres de données et leur type de futur, leur stratégie se situait dans le cloud, n'est-ce pas ? Puis nous avons assisté à cette explosion du SaaS, et c'est là que, encore une fois, pour moi, il est devenu un défi de taille de trouver un autre moyen de sécuriser les organisations pour lesquelles je travaillais à l'époque, à savoir garantir leur adoption du cloud. Et c'est vraiment comme ça que c'était l'un de mes premiers rôles de CISO à cette époque. Et oui, être un, avoir de l'expérience à cette époque était très important. Alors oui, c'est comme ça que j'ai déménagé et que je suis devenue CISO. Mais si je repense à mon parcours, j'ai travaillé dans un centre de services, où j'ai acquis de très bonnes compétences en termes de communication et de gestion des problèmes et des incidents. Et évidemment, c'est également une bonne chose d'avoir en tant que CISO aujourd'hui. J'ai en quelque sorte occupé des postes où, encore une fois, c'était une question de risque. Je travaille pour de grandes organisations de services financiers qui gèrent les risques, comme la réassurance, c'est une question de risque. J'ai donc également occupé ces postes pour ces organisations. J'ai donc en quelque sorte tiré parti de tous ces apprentissages au cours des 25 dernières années. J'utilise encore bon nombre de ces choses au jour le jour, les choses que j'ai apprises, au jour le jour dans mon rôle de CISO.

02:58

J'adore l'entendre, non ? Vous avez commencé votre carrière en connectant les gens à Internet, et vous travaillez maintenant pour une entreprise qui sécurise leur accès à Internet et leur accès au travail depuis Internet. La boucle est presque bouclée. Parlons donc du rôle du CISO. À votre avis, d'après votre expérience, au fur et à mesure que vous avez évolué dans ce rôle au fil des ans, comment cette fonction a-t-elle évolué et dans quelle mesure est-elle restée essentiellement la même ?

03:32

Oui, je veux dire, je pense, définitivement, je pense que le passage à l'ère du cloud a définitivement changé les choses, non ? Avant cela, il s'agissait à nouveau de sécuriser le périmètre, de sécuriser l'organisation. Il s'agissait, encore une fois, de sécuriser ce que nous pouvions en utilisant, bien entendu, le périmètre. Mais c'est drôle parce que je me rappelle m'être assise ; j'ai assisté à un événement au milieu des années 2000. C'était un forum de Jéricho lorsqu'ils ont parlé de la dissolution du périmètre. Et ils ont parlé de cloud, même si nous ne l'appelions pas cloud à l'époque, c'était comme avant le cloud. Mais en fin de compte, c'est ce qui s'est passé. Les organisations assistaient à la dissolution de ce périmètre. Quoi qu'il en soit, je pense que pour moi, il s'agissait davantage de mettre moins l'accent sur certains aspects techniques et l'ensemble des compétences techniques, et davantage de mieux comprendre les types d'accords, de contrats et de termes et conditions. Mais aussi, en fin de compte, tout est une question de risque, non ? C'était donc intéressant à ce moment-là que nous avons eu cette question ; nous avons eu des discussions en interne dans l'une de nos organisations précédentes. Faisons-nous confiance au cloud ? Et bien sûr, vous avez ensuite la même discussion où il s'agit simplement du centre de données de quelqu'un d'autre, que nous avons fait appel à des tiers auparavant, mais maintenant c'est comme s'il se développait maintenant à une échelle que nous n'avions peut-être pas vraiment prévue, et cela s'est produit très rapidement. Et je pense que c'est ce que je vois habituellement encore aujourd'hui. Je pense que le rôle du CISO doit, encore une fois, se concentrer sur les risques, en étudiant les nouvelles technologies et les nouvelles innovations. Bien entendu, nous avons affaire à l'IA depuis de nombreuses années. Mais bien sûr, il y a eu une explosion ces dernières années autour de l'utilisation de l'IA. Encore une fois, mais tout cela est une question de risque, en fin de compte. Il s'agit également d'une meilleure compréhension des données. J'en parle toujours, non ? Il s'agit de données et de risques. Si vous le pouvez, en tant que CISO aujourd'hui, si vous êtes doué pour comprendre les risques associés aux données, alors vous l'avez déjà en quelque sorte, vous avez une belle opportunité en tant que CISO et un cheminement de carrière, n'est-ce pas ? Si vous souhaitez devenir CISO, le simple fait d'avoir ces connaissances a vraiment un impact.

05:33

Tout à fait d'accord. Et je pense que lorsque vous parlez de comprendre les données, vous voulez vraiment comprendre comment elles sont liées aux objectifs commerciaux, n'est-ce pas ? Est-ce que c'est être capable de comprendre le type de choses que vous protégez, pourquoi sont-elles importantes pour l'entreprise ? Cela doit être un élément clé du rôle des OSC aujourd'hui.

05:53

Ouais. Je veux dire, le truc, c'est que ça a toujours été cette discussion. Il s'agissait de savoir si nous pouvions protéger toutes les données ? Toutes les données avec lesquelles cette organisation effectue des transactions au quotidien. Ouais. En fin de compte, le Nirvana, c'est d'essayer de le faire. Mais en résumé, la seule véritable façon d'y parvenir est d'établir des priorités. Il s'agit d'examiner la priorisation des risques. Donc, en examinant quels sont les risques les plus importants, d'où proviennent les risques les plus élevés, en termes d'impact que cela aura sur mon organisation si, par exemple, je perds l'accès à ces données. Je n'ai plus accès à ces données. Cela fait évidemment de très nombreuses années que nous sommes confrontés à ce problème avec le rançongiciel. Mais c'est aussi autour de cela, quelle est la valeur de ces données ? Parce que si je perds ces données, quel en sera l'impact réel, d'un point de vue financier, par exemple, en ce qui concerne ces données, pas seulement les amendes et les pénalités, mais en fin de compte, encore une fois, je perdrai ma propriété intellectuelle ? Est-ce que je perds ma réputation ? Y a-t-il un dommage à cela ? Donc, pour moi, il s'agit toujours, encore une fois, de mettre en place, dans la mesure du possible, des contrôles autour des données. Et pour revenir à votre point de vue, oui, absolument, être très doué pour identifier ces données. J'ai vu un certain nombre d'organisations le faire très bien. Je veux dire, je m'intéresse à la classification des données et aux outils de prévention des pertes de données depuis de très nombreuses années, et il faut vraiment, je pense, presque bouleverser les règles en la matière. Oui, presque, le classement est une bonne chose à faire. Il faut examiner la catégorisation des données. Alors, de quelle catégorie de données parle-t-on ? Mais encore une fois, mettre en place des contrôles autour de ces données pour qu'en fin de compte, les contrôles suivent ces données où qu'elles soient, et vous puissiez maintenir une sorte de périmètre autour de ces données, je suppose. C'est en quelque sorte ainsi que je vois l'évolution des rôles et des responsabilités des équipes de sécurité. Et, bien entendu, en tant que CISO à la tête de cette équipe, vous devez innover et être le pionnier dans ce domaine.

07:39

Absolument, tout ce défi de classification, de catégorisation pour ensuite déterminer, je suppose, en quelque sorte la base sur laquelle vous déterminez les résultats que vous recherchez. C'est en quelque sorte, c'est tellement fondamental. Parlons donc, de votre point de vue, des défis que vous avez dû surmonter dans l'exercice de vos fonctions. Je veux dire, nous aborderons certains défis du secteur dans son ensemble, mais parlons à nouveau, d'accord, de votre propre parcours de développement en tant que CISO et des choses que vous avez dû surmonter.

08:09

Oui, je crois, je veux dire, pour moi, la première date. Je veux dire, je me rappelle avoir assisté à ma première réunion du conseil d'administration il y a de nombreuses années. J'ai assumé un rôle et j'ai présenté essentiellement ce que la personne précédente présentait depuis de nombreuses années. Et je suppose que c'était l'occasion pour le jury de demander : « Pourquoi présentez-vous cela ? » Et j'ai dit : « Eh bien, c'est une continuation. » J'étais relativement nouveau ; je pense que je suis en poste depuis six ou sept semaines pour préparer cette réunion du conseil d'administration. C'est ce qui a été présenté aujourd'hui, et j'ai eu l'occasion de me rendre dans la salle de conférence pour le présenter. Et encore une fois, la première question était : « Pourquoi ? Quelle est l'importance de tout cela ? » Donc, je suppose que cette question n'avait jamais été posée auparavant. Et j'ai été très clair. J'ai été très franc. J'ai dit, encore une fois, que c'est ce qui a été présenté précédemment. Mais oui, nous pouvons le modifier si vous souhaitez examiner d'autres indicateurs. Et nous avons ensuite eu cette discussion : quelle est la valeur de l'équipe de sécurité ? Donc, je veux dire, c'était une excellente première réunion du conseil d'administration, non ? J'ai été plongée dans le gouffre. Mais pour moi, cela a bien sûr mis en évidence le fait que nous devons, pour les indicateurs, mieux aligner nos activités sur le plan des mesures. C'est ce que j'ai découvert, c'était ma première découverte. Il ne s'agissait pas du nombre de systèmes que nous corrigeons ni du nombre d'incidents que nous avons rencontrés. En fin de compte, il s'agissait de savoir comment, par exemple, l'équipe de sécurité soutenait l'entreprise, la dirigeait, l'aidait à aller de l'avant. Je suis évidemment revenu à la réunion suivante du conseil d'administration et j'ai présenté une toute autre série de mesures à ce sujet. C'était donc ma première découverte. Je me suis également rendu compte assez rapidement que, bien entendu, en matière de communication, nous ne pouvons jamais vraiment utiliser de mots à la mode et d'acronymes dans ces environnements. Et j'ai probablement passé les 10 à 15 dernières années à m'occuper de ce type de terminologie. Donc, je sais, j'avais besoin d'améliorer rapidement ma communication. Et, bien sûr, en faire en sorte qu'il soit davantage axé sur la valeur commerciale. Et en fin de compte, encore une fois, en revenir au soutien de l'entreprise. Soutenir l'entreprise, en termes de nouvelles sources de revenus, de nouvelles idées, d'engagements de type fusions et acquisitions, en termes de rapidité avec laquelle nous pourrions créer et sécuriser les organisations que nous avons rencontrées et acquises. Et en fin de compte, le rendre présentable à nouveau, à un chef d'entreprise ? C'était donc peut-être l'un des premiers défis et améliorations que j'ai estimé devoir apporter en tant que CISO. Encore une fois, en repensant aux 10 à 15 dernières années, c'est pour cela que j'ai jugé utile d'avoir ce type de discussions, au lieu de me concentrer sur l'aspect technique.

10 h 30

C'est un excellent point que vous soulevez, car, étant donné que cette expérience remonte à un stade très précoce de votre carrière de CISO, il y a plus de dix ans. Je trouve quand même assez fatiguant de voir chaque fois que vous voyez une sorte de CISO dans des commentaires inversés, des articles sur le leadership d'opinion, et un commentaire sur le fait que les RISO et les OSC doivent être mieux alignés sur les priorités du conseil d'administration. Il faut mieux communiquer avec les conseils d'administration et leur faire comprendre pourquoi. Si on vous pose ces questions il y a 10 à 15 ans, pourquoi est-ce encore une conversation, n'est-ce pas ? Nous aurions dû aller au-delà de cela, de cette nécessité, et personne ne devrait avoir besoin de se faire dire ou répéter que c'est important. Il doit être pris tel quel. Pourquoi ce débat perdure-t-il ?

11 h 18

Oui, c'est vraiment une bonne remarque. Je veux dire, d'ailleurs, je crois toujours que nous sommes encore une fois, que nous écoutons. Nous sommes formés par le conseil d'administration des organisations. Je crois toujours que, comme beaucoup de niveaux C, de nombreux autres rôles sont également en cours d'élaboration, n'est-ce pas ? C'est comme si j'avais assisté à des réunions de conseil d'administration où vous n'aviez pas été appelée pour ne pas avoir fourni le bon type d'informations qu'elle souhaitait voir. C'est donc toujours une courbe d'apprentissage. C'est toujours un apprenant, par exemple, qui participe à ces sessions. Et je pense que c'est aussi ce dont nous avions besoin. Mon rôle suivant était d'entrer et de ne pas entrer avec le même type d'informations, les mêmes types de paramètres, et de simplement participer à la première réunion, d'y aller et de demander : « Que voulez-vous et comment puis-je vous aider à soutenir cette organisation et à vous fournir les informations dont vous avez besoin en tant que conseil d'administration pour, bien sûr, l'améliorer ». Donc, je pense que c'est là que nous sommes tous encore en train d'apprendre, non ? Il n'y en a pas, je suppose, il n'y a pas de réponse. Il n'existe pas de solution unique pour dialoguer avec le conseil d'administration. C'est différent dans chaque organisation, et chaque organisation a ses propres exigences, je pense, et chaque organisation a ses propres défis ou a mis en place son propre type de stratégies que, oui, vous ne pouvez pas simplement passer à l'organisation suivante. Donc, je pense que c'est probablement la raison. Je pense que d'autres discussions sur ce sujet ne poseront pas de problème. Mais certains des exemples que nous entendons à ce sujet, tout ce dont nous devrions parler, c'est que nous devrions parler et utiliser le langage des affaires, et nous devrions utiliser ce type de niveau de communication. Mais personne ne donne réellement d'exemples. Il y en a quelques-unes, d'ailleurs. Mais oui, nous devons continuer à les placer au premier plan pour que les gens comprennent, par exemple, quel est un bon indicateur à communiquer au conseil d'administration ?

12 h 55

Oui, absolument. Je pense que les exemples seraient bien meilleurs que de simplement énoncer une évidence : « faire un meilleur travail ». Mais j'aime bien votre style de vie. Pour en revenir à votre point de départ, nous sommes presque un membre du conseil d'administration qui se pose la question suivante : pourquoi devrais-je m'intéresser à ça, n'est-ce pas ? Et je pense que c'est toujours une bonne question à se poser, pas seulement pour les présentations aux conseils d'administration, mais à peu près pour n'importe quelle présentation. Pourquoi mon public devrait-il se soucier de ce que je lui dis ? C'est peut-être la meilleure idée au monde, mais si le public ne s'en soucie pas, peu importe.

13 h 28

C'est ce livre, non ? Commencez par : pourquoi ? Si vous faites une présentation à l'aide d'un diaporama, ou si vous participez à une discussion, c'est tout, pourquoi parlons-nous de cela ? Pourquoi ? Pourquoi est-ce important ? Encore une fois, pourquoi y consacrons-nous notre temps et notre énergie ? C'est toujours un bon point de départ. Je veux dire, j'en parle en termes de nouvelles opportunités commerciales, et quand nous commençons à y penser, par exemple en envisageant les affaires du futur, qu'essayons-nous de résoudre en termes de cela ? Donc, oui, c'est toujours bien de commencer. Pourquoi ?

13 h 53

Oui, absolument. Donc, je sais que lorsque nous discutons en quelque sorte avant cette conversation, vous passez beaucoup de temps. Je veux dire, bien sûr, que vous êtes un RSSI pour Netskope, mais vous passez également beaucoup de temps à discuter avec les RSSI de vos clients. Alors, qu'est-ce qui les enthousiasme ? Et ont-ils l'impression que « En fait, tu sais quoi, nous faisons les choses correctement ». Parce que je pense qu'un message positif est également important parce que nous avons suffisamment de négativité dans le cyberespace.

14 h 20

Oui, c'est vrai. Je veux dire, en fait, la semaine dernière, nous avons eu notre conseil consultatif des clients, ce qui m'a donné, encore une fois, une excellente occasion de discuter avec, en quelque sorte, mes pairs du secteur, d'autres RSSI, dans des organisations extraordinaires. Et c'est toujours intéressant d'entendre les deux côtés, les défis, mais aussi ce qui fonctionne, ce qu'ils constatent en termes de grandes choses, comme l'innovation en termes de cybersécurité également. Et je pense que c'est formidable de voir autant d'organisations commencer à consolider un grand nombre de leurs technologies, leur système de sécurité dont elles disposaient peut-être par le passé et qui s'est révélé dans de nombreux cas complexe et difficile à gérer. À titre d'exemple, nous avons eu une brève discussion sur l'abandon des réseaux d'entreprise, et si, encore une fois, si je remonte à 20 ans, nous en avons discuté avec le Jericho Forum et la Cloud Security Alliance lorsque nous avons parlé de la transition vers un monde sans périmètre. Et ce qui est intéressant, c'est que ça se passe, non ? Aujourd'hui, de plus en plus d'organisations le font absolument, affirmant que notre objectif, s'il n'est pas déjà en place, est de supprimer notre réseau d'entreprise et de permettre à nouveau à nos employés, quel que soit l'appareil qu'ils souhaitent utiliser, de se connecter directement aux services qu'ils souhaitent consommer, sans avoir à utiliser un VPN et à se reconnecter aux réseaux, puis à leurs services. Je veux dire, il y a encore quelques cas d'utilisation et certains secteurs d'activité qui ont peut-être besoin de maintenir cela, mais c'est formidable de voir, en discutant avec l'une des plus grandes organisations de services financiers la semaine dernière, que c'était leur objectif. Ils cherchent à s'éloigner de ce réseau d'entreprise difficile à gérer et à faire évoluer. C'était donc une bonne chose, et je vois un message plus cohérent concernant la façon dont les organisations y sont parvenues, et elles partagent comment elles y sont parvenues, et examinent également tous les avantages, tels que la réduction des coûts, la consolidation des coûts dans de nombreux domaines, la réduction des risques et, en fin de compte, l'amélioration de la productivité générale pour leurs employés et leurs utilisateurs finaux.

16 h 16

C'est une chose très intéressante et je pense que l'ensemble passe de la question de savoir si c'est sans périmètre, ou s'il s'agit en quelque sorte d'une évolution vers des micro-périmètres, peu importe la façon dont vous voulez le cadrer. Je pense qu'il s'agit essentiellement des deux faces d'une même pièce. Je pense que la raison pour laquelle c'est efficace du point de vue de la sécurité, c'est que vous n'avez pas à vous demander si c'est fiable ? N'est-ce pas fiable ? Cela disparaît en quelque sorte, parce que si, par exemple, ce n'est pas une piste vers Zero Trust, cela viendra plus tard, non ? Mais je pense que c'est ce qui est beau, c'est qu'on peut soudainement dire que tout est accessible via Internet. Je traite tout de cette façon. Je pourrai alors apporter une manière très cohérente d'appliquer la sécurité. Je veux dire, je peux utiliser tout le contexte, etc., non ? Et un produit provenant d'un Starbucks peut être traité différemment de celui provenant du salon de l'hôtel, n'est-ce pas ? Mais je peux toujours appliquer les mêmes principes plutôt que d'avoir à faire des suppositions. Et je pense que c'est un endroit très intéressant.

17 h 20

Ouais, ouais. Absolument, je pense. Je pense à l'adoption générale des principes Zero Trust. À titre d'exemple, j'ai travaillé avec un de mes bons amis en tant que directeur informatique pour une très, très grande organisation, et il a partagé une belle histoire. De toute évidence, pendant la pandémie, tout le monde travaillait à distance, et ils ont mis en place tout ce principe et cet ensemble de politiques Zero Trust, afin de mieux sécuriser leurs travailleurs à distance. Et ce qui était intéressant, c'est qu'il a déclaré : « Lorsque tout le monde a commencé à revenir au bureau, nous avons réalisé que la sécurité était meilleure lorsque tout le monde était à distance grâce aux modifications que nous avions apportées. Nous avons donc voulu appliquer ces mêmes principes à notre réseau interne. Et puis nous nous sommes rendu compte, encore une fois, que nous pouvions simplement nous débarrasser de notre réseau interne, de notre réseau d'entreprise. » Et c'est finalement là que réside leur objectif. Donc, dans cet exemple, cette organisation a considéré que c'était un excellent moyen de justifier cette décision, cette transformation vers ce type d'approche, car encore une fois, en examinant sa posture de sécurité, en examinant les contrôles de sécurité, elle s'est rendu compte qu'elle disposait en fait de contrôles plus granulaires et plus spécifiques pour ses travailleurs à distance. Mais la façon dont ils l'ont fait, et cela devenait presque fondamental aujourd'hui, va au-delà de la simple identité en tant que moyen d'évaluer ou d'utiliser l'identité uniquement comme un signal dans le cadre de Zero Trust. Bien entendu, cela tenait compte de l'appareil utilisé par la personne. Est-ce une entreprise ? S'agit-il d'un appareil personnel ou d'un autre type, par exemple, au-delà d'un simple ordinateur portable et mobile, etc. ? Mais en comprenant un peu mieux l'appareil lui-même, en vérifiant sa posture, mais aussi en comprenant l'appareil, puis en regardant sa position. Alors, d'où vient cette personne qui se connecte, où se connecte-t-elle, et puis certains détails concernant quelle application ? Parce que tout est désormais une question d'application. Ce n'est pas vraiment le cas ; vous n'êtes pas connecté à un réseau. Vous êtes en train de vous connecter à une application. Et puis c'était, eh bien, quelle instance de l'application ? Parce qu'une instance d'entreprise d'une application est très différente d'une instance personnelle, et dans certains cas, bien sûr, elles sont identiques. Si je regarde les exemples les plus évidents, comme OneDrive et Google Drive et tout ce genre de choses. Le type d'instance auquel vous vous connectez est vraiment important. Si vous transférez des données d'entreprise vers une instance OneDrive personnelle, c'est probablement un gros problème, non ? Et puis il y a l'activité. Alors, que s'est-il passé avant et après ? Et puis, bien sûr, pour revenir à la donnée. Notre conseil consultatif, la semaine dernière, nous en parlions, et un commentaire a été fait à peu près. Et le temps ? Parce que le temps, les données et l'accès aux données à certains moments peuvent évidemment être une anomalie, mais aussi, en fin de compte, lorsque vous élaborez un ensemble de principes de type Zero Trust, vous devez également prendre en compte le temps, car les données ont leur propre cycle de vie. Donc, les données, certains actifs de données, etc., peuvent être hautement confidentiels à un moment donné, mais peut-être, comme tout type de travail sur une activité de type fusions et acquisitions, mais après ce moment, ce ne sera peut-être plus aussi confidentiel. Le temps est donc également une sorte de signal que nous devons prendre en compte dans ce cadre. Mais comme je l'ai dit, c'est ce qui m'a vraiment ouvert les yeux sur cette question au-delà de l'identité. Encore une fois, c'est quelque chose que nous avons adopté, bien sûr, chez Netskope et, dans le cadre de notre fonction de sécurité interne, c'est un Zero Trust complet. Et en examinant ce modèle de maturité et en progressant aussi loin que possible en termes de position optimale, et en incluant tous ces signaux, car ils sont tous essentiels.

20 h 41

Oui, non, je suis tout à fait d'accord. Et je pense qu'ils pensent que l'identité est importante, mais je pense aussi qu'à bien des égards, il y a probablement eu une rotation excessive et une focalisation sur l'identité plutôt que sur d'autres signaux et d'autres piliers. Et pendant que vous parliez, et que vous passiez en revue diverses autres sources de signaux, réseau, application, appareil, etc. Cela m'a fait réfléchir, quand nous pensons aux piliers de Zero Trust, et nous avons, comme l'appareil, l'application, l'utilisateur, le réseau, je pense que c'est la charge de travail ou les données, je ne m'en souviens pas. Et nous parlons souvent d'une sorte de maturité, de maturation des contrôles dans chacun de ces piliers. Mais comme vous le dites, chacun de ces piliers est également une source de signaux. Et comme si vous les considériez à la fois comme des propriétés de tout, mais aussi comme des éléments que vous protégez et qu'il y a une grande interrelation entre les deux au fur et à mesure que vous construisez, lorsque vous alignez et faites mûrir votre stratégie Zero Trust, oui, je suis d'accord, non ? Pensez au-delà de l'identité, n'est-ce pas, lorsque vous pensez à ces signaux.

21 h 48

J'ai dirigé une équipe des opérations de sécurité pendant de nombreuses années, et il fallait toujours avoir du contexte. Encore une fois, c'est un exemple vraiment grossier, mais quelqu'un a pris des données, des données très confidentielles et de grande valeur, et les a placées sur une clé USB. Ils étaient sur le point de quitter l'organisation, nous l'avons appelée et nous l'avons identifiée. Nous avons dit : « D'accord, nous avons besoin de récupérer cette clé USB car nous devons l'effacer en toute sécurité. » Apparemment, ils le faisaient à des fins de sauvegarde, ce qui a déjà déclenché la sonnette d'alarme. Pourquoi faire des sauvegardes sur USB alors que vous aviez des serveurs de fichiers, etc., et des référentiels GitHub, tout ce genre de choses ? Encore une fois, il s'agissait d'un rôle antérieur, mais c'était intéressant, car lorsque l'appareil est revenu, il s'agissait d'un appareil différent de celui qui était réellement utilisé pour copier les données. Cela a donc été, encore une fois, une alarme immédiate, et nous avons effectivement arrêté la personne. Ils ont dit : « Ah oui, j'ai rendu une autre clé USB. » Mais encore une fois, ce n'est qu'un exemple très grossier, qui montre pourquoi ce contexte est vraiment important, car nous nous sommes arrêtés au moment où cela serait considéré comme une violation de données importante au sein de l'organisation. Nous avons empêché que cela se produise. Bien entendu, en tant que professionnels de la sécurité, nous savons tous que nous voulons mettre fin au plus grand nombre de violations possible, car nous savons ce qui se passe dans le cadre de la réponse à la restauration, etc. Cela demande également beaucoup de temps et d'efforts. C'est pourquoi, encore une fois, l'équipe des opérations de sécurité, et je demande à toute équipe des opérations de sécurité avec laquelle je travaille, que je rencontre, avec qui je parle aujourd'hui, examine à nouveau le contexte que vous pouvez tirer de ces choses. Et oui, vous devez avoir au moins l'un de ces huit ou neuf signaux, dans certains cas, pour vraiment déterminer l'impact et l'évaluation de l'événement.

23 h 22

Je pense que tu n'as pas accordé le bénéfice du doute à cette personne. Je pense qu'ils ont pris la clé USB et l'ont sauvegardée sur une autre clé USB, et c'est ce qu'ils vous ont donné. Ils ne faisaient donc que faire des sauvegardes redondantes, juste au cas où.

23 h 34

C'était, bien sûr, pour cacher le fait qu'ils avaient ces données qu'ils emportaient avec eux. Bien entendu, nous ne voulions pas qu'ils emportent avec eux les données de l'entreprise. En fin de compte, c'était le scénario que nous avions, et oui, nous avons réussi à l'atténuer. Mais encore une fois, en fonction du contexte, vous regardez l'appareil et vous vous dites que ce n'est pas lui qui a déclenché l'alerte. Par conséquent, vous savez, il y a immédiatement un problème plus important en jeu. Oui, je pense que c'est pareil avec le cloud aujourd'hui. J'ai cette discussion avec de très nombreux autres RSSI qui parlent des défis du cloud. C'est comme si nous n'en avions pas toujours, ou au début, nous n'avions pas toujours une visibilité complète sur les services cloud utilisés par notre organisation, sur ceux qui avaient été approuvés, sur ceux qui avaient fait l'objet d'évaluations de fournisseurs et d'évaluations par des tiers, etc. Et je pense toujours que de nombreuses organisations sont confrontées à ce défi aujourd'hui ; ce sont les commentaires qu'ils me donnent. Nous ne savons pas exactement ce qui est utilisé. Nous avons nos services de cloud public approuvés, comme si nous étions Azure, AWS ou GCP, mais pour le SaaS, les commentaires que je reçois habituellement sont que nous ne savons pas vraiment ce que nous utilisons en termes de SaaS, comme si vous ne pouviez pas obtenir un inventaire complet de ce qui est utilisé au quotidien en termes de services cloud. Mais bien entendu, il existe des outils tels que Netskope, par exemple, qui peuvent aider une organisation à identifier cela et à mettre en place des contrôles pour y remédier. Et je pense que c'est un très bon point de départ. Mais on en revient ensuite aux données. Alors d'accord, quelles données sont transmises à ces services ? Parce que si je perds l'accès à ces services, ce service ne sera pas disponible. Quel en est l'impact ? Encore une fois, pour en revenir à la discussion au niveau du conseil d'administration, c'est ce dont nous parlons maintenant. Si nous perdons l'accès à ces données, quel en sera l'impact sur nous en tant qu'organisation, nous avons la même discussion en ce moment à propos des services d'IA. Alors que les services d'IA sont de plus en plus intégrés aux processus métier, on se demande : que se passera-t-il si ce service n'est plus disponible, quel en sera l'impact ? Donc, oui, nous devons commencer à réfléchir à ces moyens. C'est une forme de résilience, bien sûr, mais elle se demande maintenant si je sais à quel point mes services sont résilients et que se passera-t-il s'ils ne sont pas disponibles ou s'ils ont été compromis ?

25:35

Pour en revenir à ce que vous avez dit à propos de l'utilisation du shadow IT, n'est-ce pas ? Et peu importe, disons au milieu des années 2010, alors que le marché des CASB n'en était qu'à ses balbutiements. Et je me souviens d'avoir visité votre centre de développement à Bangalore, d'avoir rencontré des membres de votre équipe produit et de leur avoir dit : « Ce serait formidable, nous sommes en pleine évaluation, je serais formidable si vous pouviez faire ceci, ceci et cela, car cela me donnerait toute la visibilité dont j'avais besoin sur l'utilisation du SaaS. » Mais comme nous en avons parlé, en quelque sorte, d'IA, vous venez d'évoquer l'utilisation de l'IA, n'est-ce pas ? Et je pense que c'est vraiment intéressant, car je pense que l'IA étant devenue une composante essentielle des applications métier, les modèles d'IA deviennent désormais une application essentielle. Donc, nous devons réfléchir à la manière dont nous pouvons garantir cela de la même manière que nous l'aurions peut-être fait si j'étais un fournisseur bancaire, mon système bancaire principal, n'est-ce pas ? Mon modèle d'IA est désormais fondamental pour le A, le I et le C, n'est-ce pas ? Je dois protéger les trois dans le modèle d'IA.

26:43

Ouais. Encore une fois, comme je l'ai dit, j'ai vécu de nombreuses époques, comme l'ère de l'informatique, l'ère d'Internet, l'ère du cloud, puis l'ère de l'IA aujourd'hui. Je ne sais pas si j'ai un autre âge pour être honnête. Je pourrais même être remplacé par l'IA, on ne sait pas. Mais je pense que tu as raison, chaque fois que nous entrons dans une nouvelle ère, ou que nous sommes en transition vers une autre ère, nous commençons à nous demander, encore une fois, comment pouvons-nous mieux garantir cela ? Et j'ai eu la même discussion à propos de l'ère d'Internet, où il s'agissait en fait de ne donner accès à Internet qu'à certaines personnes. Et bien sûr, en quelques mois, tout le monde y a eu accès. Il en va de même pour le cloud. C'est comme si nous allions uniquement limiter le nombre de services cloud que nous utilisons. Et puis, en quelques mois, nous avons eu un problème informatique parallèle. Et je pense que nous vivons, bien sûr, à l'ère de l'IA en ce moment. Je veux dire, il y a une chose sur laquelle nous nous concentrons beaucoup. Je suis donc membre de notre comité de gouvernance de l'IA et j'ai co-écrit notre politique en matière d'IA responsable et notre norme de sécurité en matière d'IA, et je travaille en étroite collaboration avec nos équipes de Netscape. En ce qui concerne, encore une fois, notre utilisation de l'IA, à la fois du point de vue de l'entreprise mais également du point de vue de ce que nous avons intégré à notre produit. Nous avons un historique, un enregistrement précis de l'utilisation, et nous relions tout cela aux cas d'utilisation, par exemple. Donc, oui, nous avons cette grande capacité qui nous permet de le faire, n'est-ce pas ? C'est ce que nous avons en tant qu'organisation. L'IA est notre objectif principal pour identifier et nous assurer de mettre en place des contrôles, par exemple, pour mieux protéger l'utilisation de l'IA. Bien entendu, nous travaillons également en étroite collaboration avec notre équipe de recherche sur les menaces et, bien entendu, nous avons constaté une augmentation de l'utilisation de l'IA pour stimuler l'innovation en termes de types de lancement de menaces et d'attaques et d'utilisation de nouveaux types de techniques, etc. Nous l'avons déjà constaté. Et du point de vue de la défense, encore une fois, soutenir l'équipe produit en termes de création de défenses basées sur l'IA, donc oui, nous le constatons déjà en quelque sorte. Mais comme je l'ai dit, du point de vue de notre organisation, vous devez adopter une approche globale à cet égard. Vous devez examiner tous ces différents cas d'utilisation et également vous demander quel en est l'impact, le cas échéant. C'est déjà essentiel pour nous en tant qu'organisation en termes de contrôle et de gouvernance de l'utilisation de l'IA. Et nous avons également une réglementation qui est, est maintenant, ici aussi. Nous avons la loi de l'UE sur l'IA, qui est entrée en vigueur en août. Et c'est intéressant aussi, parce que je discute régulièrement avec d'autres organisations, et parfois, les commentaires que je reçois me disent : « C'est bon, nous n'avons rien à faire pendant trois ans ». Et ma réponse est : « Eh bien, non, en fait, le premier type de jalon, et la première chose, la première application, arrivera bientôt, en février 2025, n'est-ce pas ? Nous ne pouvons donc pas attendre. » En fait, il est en train de se préparer à franchir cette première étape concernant l'utilisation d'IA, de systèmes et de services interdits. Donc oui, je pense que la réglementation va jouer un rôle, mais en fin de compte, cela revient à ce que nous savons, non ? Qu'est-ce que nous avons ? Comment le sécurisons-nous ? Comment s'assurer que la gouvernance est appliquée ?

29 min 35 s

Oui, absolument. Donc, en faisant le lien entre cette conversation sur l'IA et les conversations que vous avez avec les RSSI, nous avons parlé de certaines des choses qui les enthousiasment et qui les intéressent. À quoi sont-ils confrontés, n'est-ce pas ? Pourquoi sont-ils frustrés ?

29:52

Oui, donc je pense que le principal est, je suppose, les défis du paysage réglementaire actuel. Et aussi, oui, les nouvelles réglementations à venir et les modifications apportées aux normes et aux cadres. Je veux dire, nous les vivons depuis de nombreuses années, non ? Mais oui, il semblerait que de nombreuses réglementations entrent en vigueur en ce moment. Comment s'alignent-ils tous les uns sur les autres ? Par exemple, y a-t-il des chevauchements ? Et qu'est-ce que c'est, qu'est-ce qui est prioritaire et ce genre de choses. Et je veux dire, oui, je m'occupe de ces choses régulièrement. Je travaille pour NIS2 et DORA, par exemple, depuis leur annonce initiale. Et encore une fois, la loi de l'UE sur l'IA, j'ai écrit un article à ce sujet en août, une fois que le texte a été officiellement publié dans le journal de l'UE. Donc, tout ce genre de choses. Je suis donc conscient de ce genre de choses, mais c'est difficile. Il est très difficile pour les organisations d'aujourd'hui, au sein des RSSI, de comprendre ce qu'elles doivent faire en termes de réglementation. Donc, je pense à la manière de résoudre ce problème, parce que je suis également heureuse de parler des problèmes et des défis, mais je pense aussi, comment pouvons-nous résoudre cela rapidement ? Encore une fois, la façon dont j'aborde généralement cette question est de développer ou d'améliorer notre cadre de contrôle standard actuel. Nous disposons donc d'une série de contrôles communs que nous pouvons appliquer, par exemple, pour répondre aux exigences de bon nombre de ces réglementations, normes et cadres qui seront bientôt adoptés. Et en appliquant quelque chose comme un contrôle organisationnel ou un contrôle technique, nous pouvons répondre à ces exigences. Mais vous ne vous contentez pas de postuler en fonction d'un règlement ou d'un cadre standard. Vous appliquez cela, et cela s'applique donc à plusieurs. C'est donc le genre de façon que j'ai réellement partagé. J'ai écrit une série de guides de conformité qui peuvent aider les entreprises à comprendre ce qu'elles doivent faire. En ce qui concerne le type de solution à portée de main, comme nous le disons, et la manière dont vous appliquez ce contrôle, quel impact cela aura-t-il sur le paysage réglementaire ? Donc, oui, ce sont les défis dont j'entends parler, et puis aussi la façon dont nous pensons aider à résoudre certains de ces défis.

31 h 53

Oui, et je comprends parfaitement à quel point cela peut devenir onéreux d'avoir autant de réglementations différentes à adopter et à résoudre, n'est-ce pas ? Et chacun demande à peu près la même chose, mais une couleur légèrement différente. Et vous dites : « Dois-je faire toutes les couleurs, ou dois-je simplement en faire certaines ? » Mais je suis d'accord, c'est vrai, pour dire que le fait d'avoir une sorte de cadre cohérent sur lequel une sorte de réglementation serait ensuite élaborée, ou simplement des extensions, vous auriez alors, au moins, le commentaire disant : « D'accord, eh bien, si j'adopte ce cadre, d'accord, je sais que tous les éléments de base sont couverts ». Et j'ai l'impression, dans une certaine mesure, et je fais un clin d'œil à DORA, en particulier, dans ce cas, qu'elle renvoie essentiellement à la norme ISO 27001 et au cadre de cybersécurité du NIST comme source d'inspiration. Il est construit là-dessus. Croyez-vous que c'est un peu un peu d'espoir dans la mesure où, dans cette organisation de réglementation qui dit que nous n'avons pas besoin de réinventer la roue ici, il y a plein de bonnes choses, comme des normes et des cadres sur lesquels nous pouvons nous appuyer, et c'est ainsi que nous allons mûrir, au lieu de créer notre propre modèle individuellement.

33 min 04 s

Oui, c'est aussi la maturité. Et lorsque de nouvelles versions de ces normes et cadres sont également lancées, c'est toujours agréable à voir. Je veux dire, je défendais les mises à jour de la norme ISO 270001 depuis de très nombreuses années pour inclure des éléments tels que la sécurité du Web et du cloud et des données. Je ne suis pas vraiment entré dans les détails de ce que cela signifiait réellement. J'étais donc très enthousiaste quand je fais partie de ces personnes qui s'enthousiasment lorsqu'une nouvelle norme mise à jour est publiée, cela se voit. Quand ils ont lancé 2022, je me suis dit : « Super, ils ont enfin abordé la question de la sécurité Web, de la sécurité du cloud et de la sécurité des données ». Je défendais le DLP depuis de très nombreuses années, depuis l'arrivée de mon QSA et je lui ai montré comment le DLP m'aidait à identifier toutes les données de carte en dehors de mon environnement de données de carte. Il a répondu : « D'accord, comment s'appelle cette technologie ? » J'ai dit : « Ça s'appelle DLP. » Il dit : « Intéressant, peut-être pouvons-nous considérer cela comme un contrôle compensateur. » Je me suis dit : « Oui, ça devrait, oui, ça devrait être, vraiment, ne devrait-il pas ». Encore une fois, cela montre mon âge actuel, c'est-à-dire au milieu des années 2000. Mais oui, c'est formidable que les normes et les cadres rattrapent en quelque sorte les contrôles disponibles. Encore une fois, je suis tout à fait d'accord, si nous le pouvons, nous devons toujours simplifier la sécurité. Je veux dire, la complexité est toujours notre ennemie. Pour en revenir à la discrétion du ballon, il n'y a pas non plus de bonne réponse, il n'y a pas d'ajustement parfait. Ainsi, même si nous partons, nous devons nous conformer à une multitude de normes et de cadres réglementaires. Dans de nombreux cas, ils resteront uniques à nous et à notre organisation. Donc oui, c'est la façon dont nous les appliquons, c'est la façon dont nous les considérons. Donc oui, mais si nous passons le plus clair de notre temps à essayer de répondre aux exigences de conformité, alors oui, malheureusement, ce n'est pas le cas. Nous n'avons pas toujours le temps d'examiner l'innovation, les dernières menaces et données, et oui, les avancées dans d'autres domaines également. Donc je pense, oui, oui, si vous pouvez simplifier l'élément de conformité, il paiera sa part en vous permettant de vous concentrer sur d'autres choses également.

34:56

Absolument, non ? Je pense qu'il s'agit d'une simplification absolue de la conformité et tout le monde va s'en réjouir. Mais je pense qu'il serait également intéressant de voir la conformité stimuler l'innovation, au-delà de la simple simplification des rapports sur la conformité. Que ce n'est pas de l'innovation, mais simplement de meilleurs rapports, mais plutôt de la conformité comme moyen de favoriser l'innovation dans le domaine de la sécurité. Je vois qu'il y a une opportunité pour cela. Quel est ton point de vue ?

35:20

Ouais. Je veux dire, je lis la loi européenne sur l'IA à de nombreuses reprises pour vraiment comprendre, encore une fois, comment elle pourrait être exploitée dans une organisation pour s'assurer que vous répondez aux exigences. Mais aussi, assurez-vous que, par exemple, si vous mettez en œuvre des contrôles de cybersécurité, vous allez également le faire conformément à la législation. Donc, à cet égard, bien sûr, c'est un très haut niveau. Il est très vague dans certains domaines, mais il parle de certains types d'activités, de certains types de surveillance, etc. En fin de compte, c'est ce que vous pouvez faire s'il est basé sur une machine plutôt que sur un humain inspectant certaines choses, n'est-ce pas ? Du point de vue de l'innovation, il est donc important de comprendre, mais aussi de comprendre que, là encore, vous pouvez utiliser l'IA/ML dans votre organisation pour aider à sécuriser votre organisation. Ce n'est pas le cas, il ne s'agit pas d'essayer de signaler et de se concentrer sur le fait que vous ne pouvez pas le faire, par exemple, parce que c'est considéré comme du profilage ou quelque chose comme ça, n'est-ce pas ? C'est donc très important. Je pense qu'il existe toujours d'excellents guides de bonnes pratiques aujourd'hui. Quand je me rends à un événement, et que je vois, j'entends parler de l'un des conférenciers principaux, ou que je participe à l'une des sessions qui m'intéressent, il y a toujours beaucoup de personnes qui ont vécu cela et qui ont innové, et qui ont peut-être utilisé une plateforme pour répondre à une certaine exigence de conformité, mais comment elles ont, par exemple, utilisé le budget alloué pour aider l'organisation à répondre à cette exigence de conformité, puis à répondre exigence de conformité, puis ont utilisé ou réorienté une partie du type de dépenses, l'investissement technologique pour également fais d'autres choses aussi. Et encore une fois, je pense que c'est vraiment très important pour toute organisation d'en tenir compte, n'est-ce pas ? C'est un autre changement que j'ai eu. Les RSSI me disent, encore une fois, qu'ils cherchent à consolider. Ils étudient les domaines dans lesquels ils peuvent envisager de réduire les coûts. Et pour moi, il existe de belles opportunités pour le faire. Je veux dire, je me rappelle avoir créé une organisation qui possédait environ 70 technologies, et j'ai fait le tour de l'équipe et nous avions environ 10 personnes. J'ai répondu : « OK, sept chacun ». D'accord, même si nous nous contentons de les patcher, de les mettre à jour et de les maintenir à jour avec les règles et la configuration, ce ne sera pas possible, non ? Nous allons devoir commencer à réduire le nombre de technologies dont nous disposons, les différents fournisseurs, etc. Nous devons vraiment les consolider pour créer un ensemble technologique plus facile à gérer, et c'est là que j'ai vu une bonne opportunité en me demandant, d'accord, quelles sont les exigences de conformité pour avoir cela ? En quoi cela nous aide-t-il du point de vue des menaces ou de la protection des données ? Comment cela sécurise-t-il notre infrastructure ? Comment cela sécurise-t-il notre personnel ? Parce que oui, nous devons également aider à sécuriser les gens. En quoi cela contribue-t-il à éduquer et à sensibiliser ? J'ai donc sélectionné les exigences relatives à ces domaines clés, puis j'ai pu, oui, absolument, commencer à chercher à réduire le nombre de fournisseurs de technologies que j'utilisais et, en fin de compte, à le rendre plus gérable. Et j'ai essayé de le faire dans toutes les organisations que j'ai rejointes, pour vraiment me concentrer là-dessus. Parce que tant que vous répondez à ces exigences, c'est très bien, mais il y a une dette technique importante. Je pense que c'est l'expression courante que nous considérons tous comme l'un des plus grands défis. Il existe des moyens que nous pouvons absolument envisager pour réduire cette complexité. Et je pense que lorsque vous réduisez la complexité, vous pouvez commencer à vous concentrer davantage. Je préfèrerais que toute mon équipe se concentre à nouveau sur le réglage, la configuration, l'amélioration des technologies, en passant plus de temps à examiner les événements, les indicateurs, les tendances, les analyses et ce genre de choses, plutôt que d'avoir à mettre à jour une technologie, car elle est prévue pour une mise à jour. Ce genre de choses, je le veux vraiment et je veux dire, c'est, bien sûr, la joie de SSC et de SASE, c'est que vous pouvez finalement laisser votre fournisseur le faire et profiter du temps passé pour, encore une fois, maintenir et configurer ces politiques, ce qui est vraiment très important, de mon point de vue. Encore une fois, la façon dont nous gérons les ressources selon nos propres termes.

39:17

Je pense qu'en ce qui concerne cette consolidation, c'est aussi une opportunité, en particulier lorsque vous avez des fournisseurs qui disent : « Hé, nous avons cette capacité ». Souvent, je pense, et je sais que je suis du côté des fournisseurs, que la réponse des prospects aux clients est la suivante : « Eh bien, j'ai déjà 30 autres outils », ou dans votre cas, vous avez dit 70 autres outils, n'est-ce pas ? Mais je pense que cet exercice de consolidation vous permet réellement de cartographier exactement vos capacités, car je pense que le plus grand défi pour les organisations lorsqu'elles sont confrontées à une nouvelle technologie, c'est qu'elles ne comprennent pas réellement ce que fait leur infrastructure actuelle, n'est-ce pas ? Là où elle apporte de la valeur et où elle se trouve réellement, malgré le fait qu'elle en compte 70, il existe toujours des lacunes en termes de capacités et de capacités clés. Et je pense que c'est l'occasion de les découvrir et de dire : « Ah, d'accord, maintenant je comprends pourquoi j'en ai besoin ».

40:11

Oui, exactement. Donc, je veux dire, l'une des premières choses que j'ai faites a été de faire appel à des partenaires fournisseurs, dans leurs rôles précédents. Je veux dire, ce qui est génial, c'est que je suis arrivée chez Netskope il y a six ans et demi ou sept ans. Nous sommes une société de cloud qui fournit un produit à la technologie. Donc, je n'avais pas ça, ce problème. Mais c'est ce que j'ai à dire dans les organisations précédentes, car je sais que c'est un défi de taille. Mais oui, je faisais appel à des fournisseurs et à des partenaires et je leur disais : « D'accord, nous avons un renouvellement dans six mois ». Et la première chose qu'ils disaient toujours était : « D'accord, nous vous contacterons plus près de l'heure. » Et j'ai répondu : « Non, j'ai besoin de savoir pourquoi nous utilisons maintenant cette technologie. Quels sont les avantages de cette technologie ? » Et nous avons eu cette discussion, et bien sûr, je vais y retourner et dire : « Oui, nous pouvons probablement commencer à réfléchir à la consolidation de cela ». Et j'ai même, je veux dire, j'ai toujours la feuille de travail, et j'ai travaillé avec un certain nombre d'autres organisations, encore une fois, chez Netskope, qui ont fait face au même défi. Et j'ai en quelque sorte dit que nous avions cette liste d'environ 250 technologies différentes, et la façon dont elles peuvent être finalement, peut-être consolidées, par étapes. Votre première phase sera donc celle-ci, phase deux, phase trois. Vous pouvez maintenant commencer à chercher à consolider, car il y a beaucoup de choses qui se chevauchent, n'est-ce pas ? Il existe de nombreuses fonctionnalités lorsque nous examinons les capacités critiques qui peuvent chevaucher d'autres technologies que vous possédez peut-être déjà, je suis tout à fait d'accord avec vous. Ce n'est pas le cas, ce n'est pas toujours visible pour quelqu'un. Et il se peut que vous entendiez parler de cette nouvelle chose brillante et que vous pensiez, d'accord, eh bien, que ce serait formidable, nous pouvons l'intégrer, mais en fait, cela recoupe peut-être quelque chose d'autre que j'ai. Alors, dois-je, genre, remplacer ? J'ai ceci à titre d'analogie. J'ai la même chose avec ma femme et dans ma garde-robe, je n'en peux plus, donc si je dois apporter quelque chose de nouveau, je dois m'en débarrasser. Donc, pour l'instant, c'est très similaire à ça, non ? Mais dans ce cas, de notre point de vue en tant que CISO, je pense que si j'apporte une chose, je dois probablement me débarrasser de trois choses. En fin de compte, je vois en quelque sorte le point idéal que j'avais, nous avons eu cette excellente discussion la semaine dernière, encore une fois, avec notre conseil consultatif des clients, et en quelque sorte le point idéal est de descendre en dessous de 10, n'est-ce pas ? Si vous pouvez obtenir moins de 10 technologies, elles fonctionnent toutes, encore une fois, elles font toutes ce qu'elles peuvent, elles sont intégrées, elles sont ouvertes, elles communiquent entre elles et elles utilisent, bien sûr, les derniers avantages de ce genre de choses. Donc, vous couvrez cela à partir d'une pile technologique, et vous le réduisez à ce niveau, plus gérable. C'est en quelque sorte le point idéal, vraiment. Je sais que d'autres organisations diront : « Eh bien, oui, nous ne pourrons jamais atteindre 10, mais nous allons essayer de descendre à 20. » En fin de compte, c'est là que vous voulez être. Et je pense qu'il y a toujours un besoin de produits spécifiques si vous avez un cas d'utilisation spécifique, mais vous assistez maintenant à toute cette consolidation et à ce jeu de plateforme dont nous parlons. Il existe cette fonctionnalité selon laquelle tout est basé sur des microservices, et vous pouvez finalement exécuter des microservices sur des plateformes. C'est une façon plus intelligente de faire ces choses.

42:57

Oui, absolument. Il nous reste donc quelques minutes, donc nous arrivons à la fin. Nous avons évidemment parlé de choses à la fois passionnantes et stimulantes. Mais qu'en est-il des imprévus ? Qu'avez-vous rencontré l'année dernière ou peut-être avant ? C'est comme si vous regardiez et pensiez : « Hmm, c'était complètement le contraire de ce à quoi je m'attendais ».

43:22

Oui, je pense qu'avec, je veux dire, je peux revenir à l'IA, et je savais en quelque sorte que l'IA allait exploser. Je savais que l'IA allait décoller. Je crois avoir écrit un article à ce sujet en 2014, prêt pour l'ère de l'IA. Et oui, nous l'avons tous en quelque sorte attendu, attendu, et nous nous sommes dit : « ça va bientôt arriver, ça va bientôt arriver ». Je suppose que ce n'était pas, je veux dire, pas cette année, mais oui, les années précédentes, je ne m'y attendais pas vraiment, j'avais l'impression que ça n'arriverait peut-être jamais. C'était comme si les cas d'utilisation n'existaient pas pour, je veux dire, le ML, oui, nous avons le ML depuis de très nombreuses années. Vous savez, nous y avons vu de la valeur, par exemple. Mais dans l'ensemble, quand nous parlons de sujets tels que GenAI, nous n'utilisions pas, je veux dire, j'utilisais un service GenAI il y a de nombreuses années, et il l'était, il m'a été utile. J'ai été utile du point de vue des notes et de la journalisation de toutes ces choses. C'est vraiment très utile. Et j'ai répondu : « Super ». Il s'agit d'un excellent cas d'utilisation. Mais je ne m'attendais pas vraiment à une telle explosion soudaine de l'utilisation de GenAI et de l'IA. Et c'est arrivé si rapidement et presque par surprise quand j'ai su que cela allait se produire. Mais je pense que c'était quelque chose d'un peu inattendu. En quelques semaines, j'ai eu l'impression que des organisations entières procédaient désormais comme à l'origine, à savoir évaluer les fournisseurs de services cloud et ce genre de choses. Deux semaines plus tard, ils le font maintenant pour les nouveaux fournisseurs, puis également pour les fournisseurs existants qui continuent d'ajouter de nouvelles fonctionnalités, ce qui, selon moi, constitue l'un des plus grands défis. Donc, comme maintenant, lorsque je parle à n'importe quel autre CISO, il me dit simplement que notre équipe est simplement inondée de nouvelles technologies, ou de technologies existantes qui les ont ajoutées. C'est juste qu'il vient d'y avoir une explosion. Donc, je suppose que c'était le dernier défi inattendu. Mais oui, c'était il y a quelques années. Nous ne pouvions pas vivre ça il y a quelques années, mais c'est toujours là.

45 min 15 s

Génial. Génial. J'espère que lorsque vous avez fait cette prédiction, vous avez également acheté une tonne d'actions Nvidia à l'époque et que vous les avez maintenues aujourd'hui. Finissons-en, non ? Vous avez une grande expérience en tant que CISO. Vous passez beaucoup de temps à discuter avec d'autres RSSI, DSI et décideurs clés. Pour quelqu'un qui commence en quelque sorte sa carrière dans le cyberespace et qui a l'ambition de devenir un jour un CISO ou un CSO. Quel conseil leur donneriez-vous ?

45:43

Je pense que pour moi, ce serait toujours, je veux dire, de dire oui quand on vous offre des opportunités, même si ce n'est pas le cas, peut-être pensez-vous que c'est votre type de carrière, et peut-être que vous y dites oui. Et encore une fois, je dirais, absolument, allez-y. Parlez à d'autres RSSI, apprenez des autres RSSI, n'est-ce pas ? Quand j'ai commencé cette carrière, j'aurais aimé l'avoir fait, car nous n'avions pas vraiment de RSSI à qui je pouvais poser la question. Nous avons dû en quelque sorte apprendre sur le tas. Oui, je pense que nous avons maintenant une belle opportunité pour, et je pense que la plupart des RSSI sont plutôt ouverts, heureux de partager leurs idées, n'est-ce pas ? Je veux dire, eh bien, sur ce podcast, non ? En partageant des idées, des expériences et ce genre de choses, nous sommes tous, je pense que nous sommes moi, pour moi en tout cas, personnellement, j'adorerais quitter l'industrie dans une meilleure situation que lorsque je l'ai rejoint, n'est-ce pas ? C'est toujours un bon signe que vous essayez de redonner. Donc, pour moi, ce serait, oui, y aller, si vous pensez et voulez vraiment devenir un RSSI, allez parler à d'autres RSSI et essayer de passer le plus de temps avec eux. Mais allez aussi à des événements. Allez-y si vous en avez l'occasion, par exemple pour un dîner ou quelque chose comme ça, pour comprendre comment, pour en savoir plus sur les défis et commencer à réfléchir à la manière dont vous pourriez contribuer à résoudre certains de ces défis. Nous avons certainement besoin de personnes capables de résoudre les problèmes dans ce secteur, n'est-ce pas ? Plus il y a de personnes qui résolvent les problèmes, mieux c'est. Si vous avez ce genre de compétences, cet appétit ou cet intérêt pour le domaine, et que vous êtes un excellent résolveur de problèmes, alors cette carrière est faite pour vous.

47:05

Génial Sur ce, Neil, merci beaucoup pour le temps que vous m'avez accordé aujourd'hui, ainsi qu'à vous et à votre sagesse. C'était super d'avoir eu cette conversation avec vous. J'apprécie vraiment. Bravo.

47:15

Oui, non. Merci, Raghu.

‍