À mesure que la cybersécurité évolue, votre conseil d'administration devrait également

En association avec Cortex Xpanse de Palo Alto Networks





Mais combien de réalisateurs se perdent dans les subtilités de la technologie ? Le défi pour un responsable de la sécurité de l'information (CISO) est de parler au conseil d'administration d'une manière qu'il peut comprendre et soutenir l'entreprise.

Il est percé dans les chefs de conseil d'administration et la suite C par des gros titres effrayants sur la violation de données, des avocats, des poursuites judiciaires et des gestionnaires de risques : la cybersécurité est à haut risque. Il doit figurer sur la liste des principales priorités d'une entreprise.



Niall Browne, vice-président senior et directeur de la sécurité de l'information chez Palo Alto Networks, déclare que vous pouvez considérer la discussion du conseil d'administration du RSSI comme un argumentaire de vente classique : les RSSI qui réussissent sauront comment conclure l'affaire, tout comme le font les meilleurs vendeurs. C'est ce qui fait un très bon vendeur : la personne qui a le pitch pour conclure dit-il. Ils ont la capacité de conclure l'affaire. Alors ils demandent quelque chose.

Pendant des lustres, dit Browne, les RSSI ont eu deux gros problèmes avec les tableaux. Premièrement, ils n'ont pas pu parler la même langue afin que le conseil puisse comprendre quels étaient les problèmes. Le deuxième problème : il n'y avait pas de demande. Vous pouvez vous présenter devant un tableau et faire votre présentation, et les administrateurs peuvent avoir l'air d'être d'accord, hochant la tête ou secouant la tête, et vous pouvez vous dire, Travail fait. Ils sont mis à jour. Mais cela ne signifie pas nécessairement que la posture de sécurité de l'entreprise est meilleure.

C'est pourquoi il est important que les RSSI élèvent la compréhension du conseil d'administration au niveau où ils savent ce qui est nécessaire et pourquoi. Surtout en ce qui concerne les nouvelles avancées en matière de cybersécurité, comme la gestion de la surface d'attaque, qui est probablement l'un des domaines sur lesquels les RSSI se concentrent le moins et pourtant le plus important, déclare Browne. Par exemple, il arrive souvent que le CISO et l'équipe de sécurité ne puissent pas voir le bois des arbres parce qu'ils y sont tellement impliqués. Et pour ce faire, les RSSI ont besoin d'un ensemble de mesures afin que n'importe qui puisse lire un tableau de bord et comprendre en quelques minutes ce que le RSSI essaie de faire passer, dit Browne. Parce que pour la plupart, les données sont là, mais il n'y a pas de contexte derrière.



Cet épisode de Business Lab est produit en association avec Palo Alto Networks.

Complet transcription :

Laurier Ruma : De MIT Technology Review, je m'appelle Laurel Ruma, et voici Business Lab, l'émission qui aide les chefs d'entreprise à donner un sens aux nouvelles technologies qui sortent du laboratoire et qui arrivent sur le marché.

Notre sujet aujourd'hui est la cybersécurité et la responsabilité des entreprises. Ces dernières années, la cybersécurité est devenue une préoccupation au niveau du conseil d'administration avec une réputation endommagée, des pertes de revenus et d'énormes quantités de données volées. Au fur et à mesure que la surface d'attaque augmente, les responsables de la sécurité de l'information seront de plus en plus responsables de savoir où s'attendre à la prochaine attaque et comment expliquer comment elle s'est produite.



Deux mots pour vous : visibilité de l'extérieur vers l'intérieur.

Mon invité est Niall Browne, vice-président senior et responsable de la sécurité de l'information chez Palo Alto Networks. Niall a des décennies d'expérience dans la gestion de programmes mondiaux de sécurité, de conformité et de gestion des risques pour les institutions financières, les fournisseurs de cloud et les sociétés de services technologiques. Il fait partie du comité consultatif CISO de Google.

Cet épisode de Business Lab est produit en association avec Palo Alto Networks.



Bienvenue Niall.

Niall Brown : Excellent. Merci, Laurel, de m'avoir invité.

Laurier : Ainsi, en tant que responsable de la sécurité de l'information ou CISO, vous êtes responsable de la sécurisation des produits de Palo Alto Networks et de l'entreprise elle-même. Mais vous ne sécurisez pas n'importe quelle ancienne entreprise; vous sécurisez une société de sécurité qui sécurise d'autres sociétés. Comment est-ce différent?

niall : Oui, donc je pense que la belle chose à propos de Palo Alto Networks est que nous sommes la plus grande entreprise de cybersécurité au monde. Nous voyons donc vraiment ce que beaucoup d'entreprises ne voient jamais. Et si vous y réfléchissez, l'un des éléments clés est que la connaissance, c'est le pouvoir. Ainsi, plus vous en savez sur vos adversaires, ce qu'ils font, quelles méthodes ils tentent sur le réseau, quels sont les contrôles qui fonctionnent et quels sont les contrôles qui ne fonctionnent pas, mieux vous êtes pour créer votre propre stratégie pour aider à se protéger contre ces attaques continues. Et vous êtes dans une bien meilleure position pour pouvoir fournir ces données au conseil d'administration afin qu'il puisse s'assurer que la surveillance appropriée est en place.

Donc certainement pour nous, avec ce niveau de connaissance de ce que nous voyons dans nos réseaux, cela nous donne vraiment la possibilité d'innover en permanence. Donc, en prenant nos produits et en nous appuyant continuellement sur ceux-ci, nous pouvons répondre aux exigences des clients, puis aux exigences de l'industrie. Je pense donc que c'est probablement la première partie. La deuxième partie est, nous sommes vraiment dans ce bateau ensemble. Une partie de mon travail consiste donc à discuter en permanence avec des personnes du secteur et avec d'autres CISO, CTO, CIO et PDG qui discutent de la stratégie de cybersécurité. Et invariablement, vous constaterez que les mêmes problèmes qu'ils rencontrent sont exactement les mêmes problèmes que nous. Donc pour nous, c'est vraiment l'opportunité de partager, comment nous assurons-nous d'être capables d'innover continuellement, de faire une différence dans l'industrie et de vraiment collaborer de façon continue avec les leaders de l'industrie. En particulier, en vous concentrant sur la manière dont nous sécurisons nos activités et en fournissant les meilleures pratiques sur la manière dont nous, les entreprises, pouvons être plus sécurisées ?

Laurier : Certaines personnes peuvent donc être surprises que la collaboration et ce type de partage ouvert des connaissances soient si répandus, mais ils ne devraient pas l'être, n'est-ce pas ? Sinon, comment allez-vous vous défendre tous collectivement contre les attaquants inconnus ?

niall : Excellente question. Et si vous le regardez de l'autre côté de la clôture, les pirates partagent en permanence. Bien qu'ils partagent pour un gain financier. En d'autres termes, ils voleront des données et ils les revendront et les revendront et les revendront et les revendront. Les pirates partagent en permanence ces données, y compris des kits d'outils de bricolage. Et du côté de la sécurité de la maison, il y a toujours eu historiquement cette suspicion héritée. En d'autres termes, je suis la seule personne à avoir ce problème de manière unique. Et si je partage ce problème, ils penseront que je ne fais pas du bon travail ou que l'entreprise ne fait pas du bon travail, ou que je suis la seule personne qui a ce problème spécifique. Et ce qui s'est passé au fil du temps, c'est que les RSSI ne partageaient pas beaucoup de données, ce qui signifie que les pirates partageaient des données de droite à gauche et au centre. Mais du côté RSSI de la maison, du côté de la protection, il y avait très peu de collaboration, ce qui signifiait que vous disposiez désormais d'un partage limité des meilleures pratiques de l'industrie.

Chaque CISO était dans son propre silo, dans son propre pilier, faisant sa propre chose, et tout le monde apprenait de ses propres erreurs. C'était donc vraiment un modèle individuel. Vous faites une erreur et puis vous faites une autre erreur, et puis vous faites une autre erreur. Cependant, si vous pouviez parler à votre pair, imaginez dans les affaires ou la finance, vous parlez continuellement au CTO et au CFO pour dire, Oh, au fait, comment avez-vous géré tel ou tel problème ? Je vois donc maintenant que l'industrie commence à changer. Les RSSI commencent maintenant à changer, et à partager. Ils parlent continuellement de stratégie. Ils parlent continuellement de la façon dont ils protègent leur environnement ? Ils parlent, quels sont certains des bons modèles commerciaux qui fonctionnent ?

Et si vous regardez le MIT, il existe des modèles industriels, techniques et commerciaux qui fonctionnent vraiment dans d'autres industries. Mais alors, si vous regardez dans la communauté CISO elle-même, c'est comme, quelles sont ces meilleures pratiques de l'industrie ? Et maintenant, ils commencent seulement à être formulés, à partir de là. Et ce que je vois, certainement au cours des, je dirais trois ou quatre dernières années, il y a une croissance énorme des RSSI en ce qui concerne l'apprentissage des meilleures pratiques de l'industrie et l'amélioration de leurs compétences. Donc, ils ne sont tout simplement pas ce geek technique dans le coin. Ils doivent vraiment pouvoir parler de technologie d'entreprise, être capables de parler en termes commerciaux et vraiment être considérés comme des pairs proches de ce CTO, du CIO, du PDG en ce qui concerne la résolution des problèmes commerciaux.

Parce que si vous y réfléchissez du point de vue de la cybersécurité, en fin de compte, ce n'est qu'un problème commercial. Et s'il s'agit d'un problème commercial, vous devez appliquer des solutions commerciales stratégiques pour résoudre ces problèmes. Au lieu de parler de la version de l'antivirus que vous utilisez, vous devez vraiment élever la conversation, de sorte que, lorsque vous parlez au conseil d'administration, lorsque vous parlez au même cadre supérieur, il ne jette pas son dévolu les yeux en l'air. Ils comprennent que vous parlez le même langage commercial qu'eux. Ce qui signifie, encore une fois, que si vous êtes un partenaire commercial de confiance, vous pouvez faire une énorme différence dans l'entreprise, au lieu d'être considéré comme ce responsable informatique junior dans l'organisation auquel quelqu'un ne vient que si nous sommes piratés. ou si une sauvegarde échoue, ou si un Mac est cassé.

Laurier : J'aime vraiment cette analogie... la croissance du poste lui-même. Comme vous l'avez dit, cela élève ce rôle à la table du conseil d'administration, car il s'agit d'un problème commercial avec une solution commerciale possible. Mais comment les conseils d'administration peuvent-ils en retour prendre de meilleures décisions ? Vous devrez alors également apporter des données et des informations et quelque chose pour aider le conseil d'administration ainsi que toutes les autres décisions qu'ils doivent prendre dans l'ensemble de l'entreprise.

niall : Et c'est ça l'essentiel, c'est que la plupart des gens, quand ils regardent ça, c'est de la vente classique. Vous pouvez avoir le meilleur vendeur de l'entreprise, mais à moins qu'il n'ait la clôture, et la clôture est la demande. Voici un excellent produit, et je veux vendre ce produit, c'est-à-dire cette voiture pour, disons, 50 000 $. Et puis à la fin de l'argumentaire de vente, achèterez-vous la voiture ? Et c'est ce qui fait un très bon vendeur, la personne qui a le terrain pour conclure. Ils ont la capacité de conclure l'affaire. Alors ils demandent quelque chose. Je pense donc que pendant des lustres, les RSSI ont eu deux gros problèmes avec le conseil d'administration. Premièrement, ils n'étaient pas en mesure de rapporter les bonnes données au conseil et de parler la même langue où le conseil serait en mesure de comprendre quels étaient les problèmes.

Et puis deux, il n'y avait pas de demande. Et c'est très important parce que si vous entrez dans un tableau et que vous présentez et que tout le monde hoche la tête et secoue la tête et comprend, bien sûr que vous les avez mis à jour, mais la posture de sécurité n'est pas meilleure. Et si vous regardez un conseil d'administration classique, n'importe quel conseil lui-même, ils sont là à un niveau très, très élevé, évidemment, pour servir l'entreprise. Ainsi, tous les membres du conseil d'administration ou l'un des conseils d'administration avec lesquels j'ai travaillé dans le passé ont été extrêmement disposés à aider l'entreprise elle-même. Donc, ils regardent toujours, Eh bien, vous avez présenté X, mais maintenant, comment puis-je vous aider ? Je pense donc que les RSSI doivent transformer cela en plus d'être ce vendeur avec la clôture. Plus important encore, quelle est ma demande ?

Et une réunion de conseil d'administration classique, je pense que cela se passe bien, c'est que vous vous asseyez, vous travaillez avec le conseil d'administration, vous montrez un ensemble de mesures de base. Maintenant, vous ne voulez pas afficher des métriques sur des nombres qui n'ont absolument aucun sens pour le conseil. Si vous regardez le conseil, le conseil a un large éventail de compétences. Certains membres du conseil d'administration peuvent être des experts en conformité, certains peuvent être des chefs d'entreprise, certains peuvent être des responsables financiers. Il s'agit donc vraiment de communiquer avec le conseil d'administration, deux ensembles de choses. L'un consiste à proposer un ensemble de communications ou de mesures, et à vraiment décrire l'analyse de rentabilisation afin que n'importe qui puisse lire un tableau de bord et, en quelques minutes, ils comprennent ce que vous essayez de faire passer. C'est essentiel.

Et puis une deuxième partie est, ce n'est pas une présentation. Chaque réunion du conseil d'administration devrait se terminer par un temps à la fin pour les questions et les réponses et pour la demande. Et je dirais qu'une bonne réunion du conseil d'administration consiste à ne même pas parcourir le pont. Vous partagez le deck à l'avance, ils l'ont lu, ils ont pu comprendre votre posture de cybersécurité en regardant simplement votre deck. Et puis la réunion du conseil d'administration ne fait même pas référence au pont. Il s'agit d'un simple ensemble de questions, de commentaires, puis de questions. Et la question pourrait être, écoutez, pouvons-nous nous concentrer davantage sur un certain domaine lui-même ou sur plus de ressources ? Ou ils peuvent aussi vous demander. Encore une fois, je pense que le modèle est vraiment de communiquer un ensemble de données de base, puis d'en faire une conversation avec une demande collaborative des deux côtés plutôt que de proposer un jeu de 30 diapositives que personne ne comprend que vous le présentez et puis vous manquez de la réunion du conseil d'administration à partir de là. Ce modèle ne fonctionne tout simplement pas, comme nous le savons.

Laurier : Ouais. Pas pour n'importe qui, n'est-ce pas ? Alors, quelles mesures spécifiques rapportez-vous réellement au conseil et pourquoi ces mesures sont-elles importantes pour votre conseil ou pour tout autre conseil ?

niall  : Le problème avec toute industrie, y compris la cybersécurité, c'est qu'il y a parfois trop de données. Donc, si vous regardez les normes de l'industrie comme ISO 27001, vous pouvez avoir une centaine de contrôles. Si vous regardez FedRAMP, vous avez 300 contrôles quelque chose. Si vous regardez COSO ou COBIT. Donc, vous ne voulez pas aller au tableau avec, Au fait, voici 2 000 contrôles. Et voici comment nous nous conformons à ces 2 000 contrôles. Parce que pour la plupart, les données sont là, mais il n'y a pas de contexte derrière. Alors ils se demandent, comme, AV étant sur 95% des points finaux, est-ce que c'est bon ? Nous scannons une fois toutes les, disons 12 heures, est-ce bien ? Ce sont donc ce que j'appelle des métriques dénuées de sens. Ils n'ont aucun avantage pour la plupart des personnes InfoSec, sans parler des dirigeants au niveau du conseil d'administration. Donc, de notre point de vue, nous le divisons en de simples ensembles de piliers de base que nous pouvons mesurer au fil du temps.

Et généralement, vous ne voulez pas avoir un ensemble de piliers de 25 piliers, car c'est trop parce que vous n'êtes pas en mesure de mesurer un contre 25. Donc, en interne, nous nous installons généralement dans environ cinq domaines principaux sur lesquels nous nous concentrons. sur et nous mesurons contre ceux à chaque fois. La première est donc de sécuriser nos produits. La plupart des organisations sont désormais très, très centrées sur les produits. Ainsi, les produits de la plupart des entreprises deviennent critiques, critiques, critiques. Donc, une chose que nous mesurons, c'est comment mesurons-nous ? Comment protégeons-nous nos produits ? Et nous nous évaluons sur une échelle de zéro à cinq étant la maturité maximale.

Maintenant, si vous avez de très bons produits, mais qu'ils reposent sur une infrastructure qui n'est pas sécurisée, vous avez un problème. Donc, le second est de sécuriser notre infrastructure. Et le troisième est la détection et la réponse. Donc, si vous avez des produits vraiment sécurisés sur une infrastructure vraiment sécurisée, mais que personne ne les regarde et que personne ne mesure ou ne surveille l'environnement pour les attaques, alors vous avez un problème. Donc pour nous, c'est la réponse de détection qui est la troisième, qui est critique.

Le quatrième est donc les gens. Et la composante humaine, c'est absolument... Je ne saurais trop insister là-dessus parce que si vous n'avez pas de gens qui comprennent la cybersécurité, alors vous avez un problème central. Dans la grande majorité des cas, ce sont des personnes qui font accidentellement quelque chose dans une entreprise, c'est-à-dire qu'elles peuvent cliquer sur un lien de phishing qui compromet votre réseau. Donc, une chose, ce que nous appelons cela, c'est l'intelligence de la rue. L'un des quatre piliers est donc : pouvons-nous amener les gens à être intelligents dans la rue ? En d'autres termes, la cybersécurité intelligente, la rue intelligente. Donc, s'ils marchent sur la route et qu'ils voient un étranger avoir l'air suspect, utilisez votre instinct. Même chose avec la cybersécurité. Quelles sont les choses simples qu'ils devraient faire ou penser au quotidien pour protéger une entreprise ?

Et puis le cinquième est vraiment la gouvernance. Comment faisons-nous la gouvernance et comment nous gérons-nous? Et comment mesurons-nous notre succès ? Donc, si vous le regardez là, ce sont cinq piliers simples. Il s'agit simplement du produit, de l'infrastructure, de la réponse de détection, des personnes et de la gouvernance. Et nous mesurons de zéro à cinq pour chacun d'entre eux. Il est alors très facile pour le conseil d'administration et pour les autres membres de se demander, quelle est notre tendance par rapport à ces domaines au fil du temps ? Il vous permet d'aller haut, en d'autres termes, la vue à mille pieds. Et puis, s'il y a une question d'infrastructure, vous pouvez regarder la mesure, le pilier de l'infrastructure, puis vous pouvez commencer à sauter dans d'autres mesures plus tard s'ils le souhaitent. Mais vraiment, c'est ainsi que nous articulons cela, comment nous avons construit notre programme de sécurité. Et c'est quelque chose qui, je pense, résonne très fortement avec le conseil d'administration, car maintenant ils sont capables de nous mesurer sur la base d'entités connues par rapport à des mesures dénuées de sens qui, pour la plupart, ne leur disent rien.

Laurier : Maintenant, et si on changeait ça ? Quel genre de responsabilité le conseil d'administration a-t-il pour être intelligent dans la rue et avoir une sorte de compréhension fondamentale de la cybersécurité ? Ou prenez-vous cela comme votre responsabilité personnelle de passer du temps avec chaque membre pour vous assurer qu'il comprend les fondements ?

niall : Correct. Donc, pour nous, il s'agit en grande partie de prendre un certain niveau de connaissances et de s'appuyer sur ces connaissances pour qu'au moins tout le monde soit au même niveau de connaissances. Donc, un exemple est, encore une fois, vous pourriez avoir quelqu'un qui préside ce comité de vérification, qui est très, très technique ou très, très axé sur la conformité. Et elle ou il sait peut-être tout sur les conseils... les audits et tous les cadres. Et c'est super. Et puis de l'autre côté, vous pourriez avoir quelqu'un qui est plus axé sur les finances ou sur l'audit. Et puis la question est, comment travaillez-vous pour améliorer les compétences de chacun ?

Et il existe de nombreuses façons différentes de le faire. C'est deux choses. L'un est de s'asseoir avec eux en tête-à-tête, puis d'avoir une conversation de haut niveau sur, c'est ce que nous faisons. C'est tout notre programme de sécurité. Voilà comment cela fonctionne. Voilà à quoi ressemblait 2020. Voilà à quoi ressemble 2021... donc mettre tout le monde au même niveau et construire cette relation est très, très important.

Et nous voyons continuellement que les membres de notre conseil d'administration nous tendront la main ou nous les contacterons en partageant des données, ou ils auront une idée à laquelle nous n'avons pas pensé et nous dirons : 'Eh bien, c'est une très bonne idée. Incorporons cela dans notre programme. Je pense donc que c'est très utile. Et puis la deuxième partie est, il s'agit de raconter une histoire. Donc une histoire et un récit. Donc, si vous ouvrez un livre et que vous commencez du côté de la sécurité et que vous commencez au dernier chapitre, eh bien, ce n'est pas très convaincant. C'est comme, qui est Jane ? Qui est Judy ? Qui est Tim ? Qui est Tony ? Cela n'a aucun sens.

Et souvent, c'est ce qui se passe dans les rapports sur la cybersécurité, c'est que le conseil d'administration examine... et voici qu'elle ou il se présente en tant que RSSI et qu'il présente un ensemble de données et de mesures qu'il ne comprend pas et donc, ils ne peuvent rien faire avec ça. Nous passons donc beaucoup de temps, notre premier conseil, à commencer par un ensemble de principes de base, puis chaque conseil après cela, tous les trois mois environ, nous approfondissons progressivement les détails, au fur et à mesure que nous grandissons et que nous construisons ce pont de cybersécurité, ils arrivent à mieux comprendre et à améliorer leur compréhension également. Et puis de leur côté, avec ce niveau de compréhension, ils peuvent très facilement intervenir et dire : « Oh, au fait, voici un domaine sur lequel je pense que vous devriez vous concentrer.

Et au sein de notre conseil d'administration, nous avons des sociétés de capital-risque, évidemment, qui sont très techniques et elles auront une orientation sur laquelle elles voudront que nous nous concentrions. Je veux dire, 'Bien sûr, intégrons cela dans notre programme.' Je pense donc que je considérerais cela comme une communication du conseil d'administration comme une communication très aller-retour. Cela ne devrait pas arriver une fois par trimestre. Cela ne devrait pas se produire quotidiennement, mais cela devrait certainement se produire tout au long du trimestre lorsqu'un membre du conseil d'administration a une idée et vous pouvez ensuite l'intégrer dans vos meilleures pratiques.

Maintenant, en même temps, vous voulez que le personnel de cette entreprise soit en mesure de gérer de manière opérationnelle son équipe de sécurité. Mais certainement, les idées que certains membres du conseil peuvent fournir, dans certains cas, sont énormes parce qu'ils ont été dans cette industrie pendant de nombreuses années différentes. Et dans le cadre de ce modèle, ils auraient généralement vu ce que d'autres individus n'ont jamais vu auparavant. De plus, je pense que ce qui est le plus bénéfique à partir de là, dans la cybersécurité, la cybersécurité, encore une fois, c'est un problème commercial et c'est un processus commercial. Ainsi, la plupart de ces membres du conseil d'administration sont exceptionnels pour résoudre les pratiques commerciales. Peut-être pas la cybersécurité, mais ils peuvent prendre un problème de cybersécurité et le relier aux meilleures pratiques d'une autre entreprise, puis tirer parti de celui-ci en matière de cybersécurité.

Et franchement, je pense que c'est la meilleure valeur qu'un conseil puisse offrir. Souvent, le CISO et l'équipe de sécurité ne peuvent pas voir le bois des arbres parce qu'ils y sont tellement impliqués. Pour les membres du conseil d'administration, il s'agit d'un excellent type de prisme grâce auquel ils peuvent le regarder de l'extérieur vers l'intérieur, et ils peuvent fournir un aperçu basé sur : 'Eh bien, attendez une seconde, la façon dont vous résolvez ce problème basé sur la cybersécurité en faire un modèle de conseil, qui ne fonctionne pas ou qui n'est pas à l'échelle. Au lieu de cela, vous devriez faire un modèle un-à-plusieurs, c'est-à-dire résoudre le problème une fois, puis il est partagé entre tous vos constituants, comme le fait le cloud, le logiciel en tant que service. Donc, cette orientation commerciale, cette perspective commerciale, je pense que c'est quelque chose avec lequel j'aime vraiment travailler avec un conseil d'administration, partager des idées, puis collaborer dans les deux sens. Parce qu'encore une fois, je pense que leur sens des affaires est sans égal. Et si vous pouvez simplement positionner la cybersécurité comme un problème commercial, vous pouvez vraiment créer très rapidement une très forte augmentation d'un environnement collaboratif.

Laurier  : Donc, en parlant de votre propre mise à niveau ou amélioration de vos compétences, quand avez-vous reconnu pour la première fois que la gestion de la surface d'attaque était une nouvelle discipline distincte avec laquelle vous deviez vraiment vous familiariser, éduquer votre conseil d'administration, puis aider à le doter en personnel et à le planifier ?

niall : Bonne question. Je pense que si je regarde l'ASM, ou la gestion de la surface d'attaque, c'est probablement l'un des domaines sur lesquels les RSSI se concentrent le moins et pourtant c'est le plus important. Et la raison en est que si vous regardez n'importe quel hacker, si un hacker veut compromettre votre environnement, la première chose qu'il fera est d'apprendre à connaître votre environnement. Par exemple, si vous avez un cambrioleur, une fois qu'il est entré par effraction dans un lotissement, il se promène souvent dans le lotissement, jetez un coup d'œil, quelles sont les maisons qui ont les poubelles, lesquelles ont le rez-de-chaussée fenêtres ouvertes, lesquelles n'ont pas de lumière sur le devant de la maison, lesquelles ont le chien qui aboie ?

Alors vous vous promenez. Simplement, tout ce que vous faites est une reconnaissance. Une promenade rapide par 20 maisons dans un lotissement. Vous choisissez les deux. Vous avez maintenant deux cibles. Ensuite, vous revenez plus tard dans la nuit ou vous revenez demain soir et puis vous faites irruption dans ces deux-là. Fait. Et encore une fois, vous regardez la façon dont les différentes industries le font. C'est fascinant parce que si vous regardez une industrie, c'est-à-dire la sécurité physique, puis que vous appliquez la cybersécurité ou que vous l'appliquez au conseil d'administration, il y a souvent une énorme quantité de similitudes. Et la même chose avec la cybersécurité est que si une entreprise veut compromettre votre environnement, cela se produira généralement de deux manières. La première est qu'ils effectuent généralement une analyse du réseau et qu'ils examinent votre entreprise et constatent que votre sécurité est faible. Et puis ils tournent la tête en arrière et ils se disent : 'Oh, intéressant, une porte dérobée est ouverte. Je vais me concentrer sur cette entreprise.

Ou alors deux, pareil aussi, ils font une reconnaissance mais ils savent déjà qui tu es. Et dans ce cas, ils veulent en apprendre le plus possible afin de pouvoir vous compromettre au plus profond de votre réseau. Ainsi, avant de pirater l'environnement, le composant de reconnaissance est la partie la plus critique. Sinon, tu es un taureau dans un magasin de porcelaine. Vous vous précipitez, vous faites tomber des capteurs, à droite, à gauche et au centre. Vous ne devriez pas entrer par la porte d'entrée, vous devriez entrer par la porte arrière. Donc, la composante de reconnaissance à ce sujet est critique, critique, critique.

Maintenant, si vous demandez à la plupart des CISO à quand remonte la dernière fois qu'ils ont reconnu leur propre entreprise, la grande majorité dira : « Je n'en ai aucune idée ». Alors ils peuvent dire, 'Eh bien, nous utilisons un scanner de sécurité.' Mais si vous regardez un scanner de sécurité, ce que vous faites, c'est que vous allez au scanner de sécurité, vous avez mis un ensemble d'adresses IP connues que vous connaissez et vous analysez ces adresses IP. Mais si vous regardez cela, ce n'est que la pointe de l'iceberg, car à quoi ressemble le nouveau modèle industriel ? C'est fluide. Fini le temps où la cybersécurité mettait en place un pare-feu et n'autorisait pas le trafic à travers le pare-feu.

Maintenant, tout est extrêmement dynamique. Tout est face à Internet. Alors maintenant, vous avez Kubernetes, vous avez des gens qui créent des dizaines de milliers de conteneurs avec leurs propres adresses IP externes. Ils sont tous accessibles depuis Internet. Vous avez le développeur qui le fait, la scène qui le fait. Vous avez tous les différents environnements à venir. Et maintenant, votre surface d'attaque change à chaque minute de chaque jour. Une partie l'est, parce que c'est authentique. Vous autorisez une adresse IP qui existe parce qu'il y a une raison commerciale légitime, mais souvent, ce qui se passera, c'est que les gens feront tourner l'environnement et qu'il sera soudainement exposé à Internet.

L'équipe de sécurité est-elle au courant ? Probablement non, et le RSSI n'en a aucune idée. Donc, la capacité, par laquelle vous apprenez à connaître, vous arrivez à reconnaître votre environnement ou l'ASM, ou la gestion de la surface d'attaque, est absolument essentielle. Parce que si vous ne le savez pas, vous ne pouvez pas le protéger. Et puis le problème est que vous pouvez créer une adresse IP dans GCP, AWS ou Alibaba. Cela pourrait être sur site, tout le monde travaille maintenant à domicile. Ainsi, mon ordinateur portable pourrait être exposé à partir d'Internet. Et si vous le regardez, ce qui se passe toujours dans pratiquement chaque attaque, eh bien pour la plupart à partir de l'hébergement, cela commence à l'extérieur et se fraye un chemin vers l'intérieur. Vous devez donc vraiment connaître votre surface d'attaque. Vous devez le scanner tous les jours. Vous devez être en mesure d'attribuer les adresses IP et les périphériques exposés.

Par exemple, si vous regardez le dernier nombre d'infractions qui se sont produites, c'est simple. La plupart du temps, c'est un cluster qui a été exposé depuis Internet, ou quelqu'un autorisé comme un shell d'administration de transport comme SSH ou RDP depuis Internet, ou quelqu'un a obtenu un cluster Kubernetes et l'a exposé depuis Internet. Dans chacun de ces cas, ce ne sont que des humains qui commettent des erreurs accidentelles. Mais souvent, ces adresses IP peuvent être exposées à Internet pendant des minutes, des jours, des années, et la sécurité ne le sait jamais ou ne s'en protège jamais. Mais en même temps, le pirate sait que parce qu'il fait son travail, il fait la reconnaissance en continu. Et c'est là que je vois ce problème qui existe depuis des années, Comment puis-je savoir ce qui est exposé à Internet ? maintenant c'est en train d'être défini. C'est la gestion de la surface d'attaque. Quelle est ma vue de l'extérieur vers l'intérieur ?

Donc, pour la toute première fois, la cybersécurité commence à... ils savaient qu'il y avait un problème depuis des lustres, mais ils n'étaient pas en mesure d'articuler quel était le problème, sans parler de la solution. Et maintenant, je vois le genre de changement qui, certainement au cours des deux dernières années, les gens disaient: 'Ce n'est pas un problème par lequel je peux le regarder et dire, oui, c'est un problème.' Maintenant, vous devez passer de cette idolâtrie du problème à, 'Hé, nous devons résoudre ce problème.' Parce que c'est comme ça que les pirates s'introduisent. Et maintenant, je vois des gens dire : 'Commençons à réparer ça.' Et je pense qu'à l'avenir, la gestion de la surface d'attaque sera l'un des composants les plus critiques de tout RSSI et de son organisation. Si ce n'est pas le cas, ils deviendront propriétaires. Ils seront compromis et cela aura un impact dévastateur sur leur entreprise.

Laurier  : En parlant de cela et de la façon dont le conseil d'administration comprend la gestion de la surface d'attaque, la plupart des employés de l'informatique vont emprunter la voie, comme vous l'avez dit, de la facilité et de l'opportunité. Ils font tourner Kubernetes, des serveurs et des instances cloud et quoi que ce soit, car ils ont juste besoin de faire le travail. Pourquoi est-ce, lorsque vous avez une entreprise mondiale, un tel problème avec, ou devrais-je dire, une opportunité de résoudre lorsque vous passez par d'autres nécessités commerciales, comme une fusion et une acquisition, où vous pouvez avoir deux entreprises qui se réunissent et vous pensez vous savez où se trouvent tous les serveurs, mais en fait, une entreprise grandit et change chaque jour. Et ce n'est peut-être pas le dernier décompte, le dernier décompte fiable. Pourquoi est-ce une préoccupation pour les RSSI et le conseil d'administration ?

niall : Donc, je pense à cela comme deux façons. La première est de connaître la surface d'attaque de votre propre entreprise. Et puis, deuxièmement, pour chacune de vos acquisitions, avant de les acquérir, vous devez également connaître leur surface d'attaque. Donc, si vous demandez à 99 % des RSSI : 'Parlez-moi de ma surface d'attaque'. Ils n'auront pas les données pour le faire. Alors, donnez-vous un exemple, dans Palo Alto Networks, nous utilisons Xpanse. Et la façon dont cela fonctionne est qu'il y a quatre phases principales auxquelles je pense dans la gestion de la surface d'attaque. Et cela s'applique à chaque fois que vous rachetez une entreprise ou que vous vous êtes intégré au cours des 10 dernières années au sein de votre organisation.

Et la première partie est, est la découverte continue. Vous devez donc avoir la capacité, et c'est pourquoi nous utilisons Xpanse, d'analyser en continu, 24 heures sur 24, 7 jours sur 7, 365 jours par an, chaque adresse IP unique sur Internet pour déterminer quelles adresses IP, quels ports sont ouverts. Donc, tout d'abord, vous devez connaître toutes les adresses IP et les ports sur Internet. Le problème là-bas, c'est bien, mais ça ne va pas vraiment vous donner grand-chose. Alors, quelle est la différence entre l'adresse IP de Palo Alto Networks et l'adresse IP d'Acme, surtout quand elle change à chaque minute ? Parce que tout est dynamique, tout change en permanence sur internet.

Donc, la deuxième partie vraiment pour nous est l'attribution. Donc tout est scanné. Nous procédons à l'attribution. Nous commençons donc à examiner chaque adresse IP, chaque service, chaque utilisateur sur Internet pour rechercher ces utilisateurs eux-mêmes, s'agit-il d'utilisateurs de Palo Alto Networks ou d'appareils ou de réseaux de Palo Alto Networks ? Très critique car cela, nous pouvons voir à tout moment, si quelqu'un branche un ordinateur portable, à Londres, nous pouvons obtenir l'attribution que c'est l'un de nos appareils et réseaux. Et si ce réseau et ce périphérique ouvrent RDP, un shell distant à partir d'Internet, alors c'est un problème. Ou si quelqu'un crée un réseau dont nous n'avons aucune idée de quoi il s'agit, et qu'il contient (des informations personnellement identifiables) des informations personnelles ou des données de santé, cela serait dévastateur pour nous pour notre entreprise. Nous passons donc beaucoup de temps à utiliser les outils, tels que Xpanse, pour le composant d'attribution.

Troisième élément que nous examinons, vous connaissez maintenant les adresses IP et les services et vous savez lesquels sont Palo Alto Networks. Ensuite, après cela, il y a différents niveaux de risque. Si quelqu'un ouvre quelque chose sur Internet qui est un serveur Web et qu'il communique en utilisant le cryptage SSL et qu'il est bien corrigé, alors, dans la plupart des cas, le risque dans ce cas est probablement de un sur 10. Mais alors, si vous avez a obtenu une autre adresse IP qui a été créée et qui permet à un outil d'ingénierie interne qui a été accidentellement exposé à Internet d'accéder à vos environnements cloud et qui n'est pas corrigé. Et souvent ce n'est pas le cas. Parce que lorsque vous regardez des outils qui sont exposés accidentellement, ils ne sont pas gérés car s'ils étaient gérés en premier lieu, ils ne seraient pas exposés à Internet.

Donc pour nous, vraiment, le modèle est quel est le niveau de risque de chaque adresse IP et de chaque service ? Et nous pouvons alors nous concentrer sur ceux qu'ils sont huit ou neuf sur 10. Sur une base quotidienne ou sur une base horaire, nous pouvons aller les réparer. Mais souvent encore, c'est un cas où, s'ils sont exposés à Internet, ils sont exposés, ils ne sont pas corrigés, ils ne sont pas gérés. Ils sont accidentellement exposés.

Et puis le dernier sur lequel nous nous concentrons, le problème est maintenant, voici un problème d'échelle. Vous ne parlez pas de trois adresses IP ou de quatre adresses IP. Vous pourriez parler de 40 000 adresses IP, 400 000 adresses IP. Et puis soudain demain, c'est 500 000. Ensuite, il descend à 350 009 adresses IP. Ainsi, en raison de l'ampleur du problème et du fait qu'avec le temps, de plus en plus de choses seront accessibles sur Internet, la seule façon de résoudre ce problème est l'automatisation. Il ne fait aucun doute que le problème d'une alerte générée et que quelqu'un du centre des opérations de sécurité (SOC) intervienne, regarde cette adresse IP, regarde le service, ne fonctionne tout simplement pas.

Donc, ce qui doit arriver, c'est que tout doit être automatisé. De la perspective d'analyse aux composants d'attribution, quel est le risque de cette adresse IP ? Alors maintenant, au lieu d'avoir 500 000 adresses IP, et maintenant vous vous concentrez sur trois adresses IP qui sont soudainement apparues là-bas, l'une est comme un serveur SSA. L'un pourrait être comme un serveur telnet, un autre pourrait être un outil d'ingénierie. Et puis, à partir de la couche d'automatisation, vous souhaitez intégrer l'automatisation au service, ce service étant automatiquement corrigé, qu'il soit corrigé ou qu'il soit mis hors ligne.

Et si vous regardez toute cette chaîne, c'est l'inverse de ce que fait le pirate informatique. Le pirate est en train de faire la reconnaissance, puis il s'introduit dans ce serveur afin de compromettre votre environnement. Vous commencez la même position qu'eux, là où vous devriez être. Vous devriez commencer par votre surface d'attaque, votre reconnaissance. Et après cela, alors vous regardez votre risque. Vous regardez le patching, vous cherchez à le mettre hors ligne. Vous envisagez l'automatisation. Je crois donc fermement, si vous regardez, avec la tendance vers le cloud, les personnes travaillant à domicile, que ce concept de périmètre a disparu depuis 10 ans. C'est parti depuis 10 ans. Mais la cybersécurité s'y est accrochée et a dit: 'Eh bien, il y a toujours un périmètre.' Il n'y en a pas.

Alors maintenant, ils voient chaque appareil qui se trouve sur Internet. C'est son propre périmètre. L'appareil, le réseau, quoi que ce soit d'autre. Et vraiment, je pense que l'un des facteurs déterminants, si tout est sur Internet, si tout est en ligne, si tout communique en permanence, si tout change de manière dynamique, vous devez avoir un programme de cybersécurité capable de savoir , dites-moi quel est le niveau de risque de chaque appareil qui se trouve sur le réseau, sur Internet ? Et ensuite, pour ceux qui atteignent un certain niveau de risque, mettez-le hors ligne et appliquez des contrôles. Et au fait, vous devez le faire 24 heures sur 24, 7 jours sur 7, 365 jours par an, sans intervention humaine. Vous devez le faire en raison de l'ampleur du problème. Si vous avez une personne impliquée dans ce processus, vous allez échouer. Vous allez échouer. Nous utilisons donc des outils comme Xpanse pour trouver puis résoudre ces problèmes.

Laurier : Ouais. La technologie est évolutive, mais les humains ne le sont pas. À droite?

niall : Exactement.

Laurier : Eh bien, Niall, j'apprécie cette conversation d'aujourd'hui. Cela a été absolument fascinant et cela nous a donné tellement de matière à réflexion. Alors merci de nous rejoindre aujourd'hui sur le Business Lab.

niall : Merci beaucoup pour l'invitation. J'ai vraiment apprécié la conversation.

Laurier : C'était Niall Browne, le responsable de la sécurité de l'information chez Palo Alto Networks, avec qui j'ai parlé depuis Cambridge, Massachusetts, siège du MIT et du MIT Technology Review, surplombant la rivière Charles.

C'est tout pour cet épisode de Business Lab. Je suis votre hôte, Laurel Ruma. Je suis le directeur d'Insights, la division de publication personnalisée de MIT Technology Review. Nous avons été fondés en 1899 au Massachusetts Institute of Technology. Et vous pouvez nous trouver dans la presse écrite, sur le Web et lors de dizaines d'événements chaque année dans le monde.

Pour plus d'informations sur nous et sur le salon, veuillez consulter notre site Web à l'adresse technologyreview.com.

L'émission est disponible partout où vous obtenez vos podcasts.

Si vous avez apprécié cet épisode, nous espérons que vous prendrez un moment pour nous évaluer et nous donner votre avis.

Business Lab est une production de MIT Technology Review.

Cet épisode a été produit par Collective Next.

Merci pour l'écoute.

Cet épisode de podcast a été produit par Insights, la branche de contenu personnalisé de MIT Technology Review. Il n'a pas été produit par la rédaction de MIT Technology Review.

cacher