Max Havey [00 :00 :02] Bonjour et bienvenue à une nouvelle édition du balado Security Visionaries, un balado sur le monde des cyberdonnées et de l’infrastructure technologique, qui rassemble des experts du monde entier dans tous les domaines. Je suis votre hôte aujourd’hui, Max Havey, et aujourd’hui, nous parlons de cyberhygiène avec notre invité, Rich Davis, directeur du marketing des solutions produits chez Netskope. Comment ça va aujourd'hui, Rich ?
Rich Davis [00:00:21] Oui. Salut, Max. C'est super d'être ici. J'ai hâte de suivre la conversation d'aujourd'hui. C'est certainement une question qui me tient à cœur, car j'ai déjà abordé de manière très détaillée le facteur humain et la façon dont les humains peuvent influencer les choses. Et le sujet d'aujourd'hui va certainement dans ce sens.
Max Havey [00:00:36] Sans aucun doute. Alors oui, allons-y. Au début de l'année, nous avons tendance à assister à de nombreuses journées de sensibilisation à la cybersécurité. Des choses comme la Journée nationale du changement de votre mot de passe, qui aura lieu le 1er février ou aujourd'hui, c'est la Journée pour un Internet plus sûr. Mais d'après votre expérience, avez-vous trouvé que ce type de journées de sensibilisation est vraiment si efficace ? Par exemple, qu'est-ce que, selon vous, ils sont à l'origine du changement que recherchent réellement les professionnels de la sécurité lorsqu'il s'agit de gérer cet élément humain ?
Rich Davis [00:01:05] Oui, je veux dire, c'est bien sûr une arme à double tranchant. Tout d'abord, rien à reprocher à la publicité. Toute publicité, quelle qu'elle soit, est une bonne chose. Je pense que le problème, c'est que, comme pour tout ce genre de choses, cela peut devenir un peu... " OK, je vais le faire aujourd'hui et je l'oublierai un autre jour. " Et bien sûr, cela demande un effort tout au long de l'année. En ce qui concerne nos utilisateurs et ces personnes, ils constituent la première ligne de défense. Ils doivent donc y réfléchir, penser à la sécurité et à ce qu'ils font au jour le jour. Encore une fois, c'est super que nous nous concentrions là-dessus un jour en particulier. Pas si bien que ça, cela pourrait les amener à l'oublier une autre fois. Et cela se voit souvent dans les données. Si vous examinez certaines des données historiques sur le comportement des utilisateurs, vous constatez que si, vous savez, une semaine ou deux après, une formation de sensibilisation à la sécurité a lieu, vous obtenez un meilleur résultat, vous obtenez des taux de clics plus faibles grâce au contenu. Ils étaient plus susceptibles de faire ces choses. Ils se souviennent que des choses comme les alertes DLP (Prévention des pertes de données) diminuent également, mais qu’elles s’estompent ensuite. Et oui, c'est pourquoi ce genre de choses est plutôt efficace. Oui. Les organisations doivent vraiment penser que c'est une évolution constante. Jour après jour, semaine après semaine.
Max Havey [00:02:16] Absolument. La demi-durée de la formation à la sécurité est assez faible si l'on se fie à tout ce que m'ont dit les différents membres de l'équipe CSO ici présents. C'est donc une très bonne chose de trouver des moyens de garder cela dans la conscience tout au long de l'année. Mais une seule journée, cela semble globalement inefficace.
Rich Davis [00:02:32] Oui, très certainement. Et je pense que ces journées consacrées à la sécurité sur Internet et au changement de mot de passe devraient vraiment être résignées à cette corbeille d'antan. Et vraiment, nous devrions y réfléchir, vous savez, de manière bien plus globale.
Max Havey [00:02:47] Définitivement, il s'agit plutôt d'une conversation sur la cybersécurité qui dure toute l'année, au lieu de quelques jours où tout le monde est bien intentionné. Mais les résultats ne sont pas toujours exactement ceux que nous voulons.
Rich Davis [00:02:56] Nous devrions parler de vie plus sûre sur Internet. C'est vrai ?
Max Havey [00:02:59] Absolument. Et je suppose que cela nous amène à notre première grande question, qui est de penser à la cyberhygiène. Pourquoi trouvez-vous que la cyberhygiène peut être une tâche difficile, parfois fastidieuse, pour les organisations, qui doivent vraiment se fixer un objectif annuel ?
Rich Davis [00:03:12] Oui, je pense que cela tient en partie à un aspect historique. Donc, nous sommes tous passés par là, nous avons tous reçu ce mail que nous redoutons, et c'est cette période annuelle qui se passe avant votre entraînement et vous vous dites, oh, cela fait huit heures, je n'ai pas le temps pour ça. Et nous avons automatiquement cet avis négatif. Et je pense qu'en tant qu'individus, nous avons aussi ce sentiment intrinsèque que nous n'avons pas besoin de faire ça, que oui, nous avons du bon sens, nous savons ce que nous faisons. Je pense donc que cela joue certainement un rôle. Et je pense que c'est une partie du problème. Je pense aussi que trop souvent, tout est axé sur les avantages pour l'organisation et non sur les avantages pour l'individu. Et je pense qu'il y en a beaucoup et nous avons vu que cela fonctionne vraiment lorsqu'il est centré sur les membres de leur famille. Si vous pouvez l'étendre à, vous savez, comment assurer votre sécurité et celle de votre famille. Ensuite, je pense que les organisations ont plus d'impact parce que vous les rendez pertinentes pour chaque personne.
Max Havey [00:04:01] Faire appel à l'aspect personnel de l'utilisateur, c'est en quelque sorte le moyen de le rendre réel pour lui. Et il ne s’agit pas seulement, vous savez, de parler de données larges, abstraites et sensibles. C'est votre numéro de sécurité sociale. Il s'agit de s'assurer que vos mots de passe et vos informations bancaires sont sécurisés, comme s'il s'agissait d'informations personnelles identifiables pour une bonne raison. Dans le même ordre d'idées, dans le cadre de vos fonctions, comment avez-vous trouvé des moyens de promouvoir de meilleures pratiques en matière de cybersécurité au sein de votre organisation ? Peut-être vaut-il mieux mettre l'accent sur cet élément personnel qui fait partie de tout cela ?
Rich Davis [00:04:30] Oui. Et je pense que cela tient vraiment à deux choses. Tout d'abord, la façon dont vous concevez cette formation. Et oui, nous nous concentrons, vous savez, spécifiquement sur l'identité et les mots de passe dans une certaine mesure, mais bien sûr, de manière beaucoup plus large que cela. Je pense qu'il s'agit de ça, comme vous le dites, de le personnaliser. Et cela implique de donner des exemples concrets qui peuvent vous arriver à tous les deux sur le plan commercial, puis de les transmettre à quelque chose qu'ils peuvent comprendre, peut-être sur le plan personnel. Donc, relier le vol de vos cartes de crédit personnelles au vol du PIA de l'entreprise ou de la propriété intellectuelle. Et l'effet que cela peut avoir. Parce que encore une fois, vous le personnalisez, vous le rendez réel et vous le faites en sorte qu'il soit en quelque sorte lié à ce à quoi ils pensent jour après jour et à ce qui pourrait les intéresser personnellement. Je pense que si nous y pensons en termes de « l'autre côté », c'est le moment. Et quand on fait ça, je pense qu'il s'agit vraiment de l'alimenter au goutte-à-goutte tout au long de l'année. Je pense que les organisations n'ont qu'un certain temps à consacrer à la formation de leurs utilisateurs en un an, et trop d'organisations opteront pour " OK. Exact. Huit heures. Nous allons faire ou une fois pour vous à cette date. " Et en fait, un moyen bien plus efficace est de le décomposer. Oui, pour des raisons de conformité, vous pourriez avoir besoin de suivre certaines formations chaque année parce que vous devez répondre à ces exigences, mais en dehors de cela, il vaut mieux utiliser le temps. Il s'agit de l'alimenter au goutte-à-goutte et de suivre une formation juste à temps, mais aussi de l'adapter aux situations auxquelles l'entreprise est confrontée. Si vous le pouvez réellement, informez l'utilisateur et vos collaborateurs des types de menaces qui concernent votre organisation au lieu de les rendre trop génériques. Encore une fois, cela vous donne ce lien vers l'organisation. Ils peuvent comprendre pourquoi on leur demande de suivre certaines formations. Vous allez donc obtenir une meilleure réponse globale à cette formation. Et je l'ai vu de mes propres yeux dans ma vie passée en travaillant pour des organisations et en essayant de suivre l'évolution des comportements, en passant de ce type de programme une fois par an à un programme de formation beaucoup plus ciblé qui se déroule sur la période de l'année où vous diffusez du contenu au goutte à goutte, vous vous formez simplement, et vous élargissez les choses, beaucoup plus que cela, un apprentissage en ligne qui a lieu une fois par an sur ce portail.
Max Havey [00:06:44] Absolument. Et juste pour approfondir un peu plus, comme vous l'avez dit, vous savez, trouver des moyens d'adapter ce type de formations à chaque utilisateur de sa famille, dans sa vie quotidienne. Eh bien, pouvez-vous nous donner quelques exemples de ce à quoi cela ressemble et de la façon dont cela se déroule ?
Rich Davis [00:07:00] Oui. Permettez-moi de vous donner un exemple pertinent pour moi. J'ai des enfants qui viennent de devenir adolescents pour la première fois qui ont commencé à contrôler leurs propres comptes bancaires. Nous sommes passés de la prise en charge d’eux à l’accès à des applications sur leur téléphone et à la possibilité d’utiliser Apple Pay. Cela me concerne donc directement, mais cela se concentre ensuite sur la question de savoir comment protégez-vous cela ? Vous ne voulez pas que l'argent durement gagné, qui a pu être gagné grâce aux corvées ménagères, disparaisse du jour au lendemain parce que vous n'avez pas divulgué vos informations. C'est pourquoi, vous savez, très jeune, nous avons commencé à leur parler de la sécurité. Ils ont tous deux un gestionnaire de mots de passe dans lequel ils peuvent stocker leurs informations d'identification. J'ai expliqué pourquoi c'était nécessaire et j'ai essayé de l'adapter à la situation dans laquelle ils se trouvent. Je pense donc que c'est juste, vous savez, un excellent exemple de ce que vous pouvez essayer de faire pour que cela soit pertinent. Ils utilisent donc des gestionnaires de mots de passe jour après jour. Cela signifie qu'ils n'ont qu'un seul titre dont ils doivent se souvenir. Cela peut être complexe car il n'y a qu'une seule chose à retenir. Et il s'agit d'un enfant de 13 et 15 ans. Donc, s'ils peuvent le faire, vous savez, il n'y a aucune raison pour que tout le monde ne puisse pas faire la même chose d'un point de vue commercial. Ma fille me transmet maintenant, passe en revue et elle me dit : « Oh, papa, regardez comme c'est évident ». Et, vous savez, c'est juste un excellent exemple de ce que nous pouvons réellement constater, vous savez, les avantages de ce que nous faisons. Je pense qu'un autre bon exemple est de le rendre pertinent par rapport à ce que les gens comprennent au quotidien. Donc, si vous regardez YouTube, il y a eu une énorme série de piratages sur des chaînes YouTube très connues, y compris certaines des plus grandes chaînes technologiques et de sécurité du marché. Conseils techniques sur Linus. L'un des meilleurs conseils que beaucoup de monde regarde dans ce domaine. Leur compte YouTube a été piraté, et c'est vraiment quelqu'un qui applique les meilleures pratiques de sécurité, qui utilise des gestionnaires de mots de passe et utilise l'authentification à deux facteurs, mais il existe toujours un moyen de le contourner. Et c'est là que cet élément humain, encore une fois, doit entrer en jeu. Il ne s'agit pas simplement de protéger et d'empêcher les personnes d'y accéder, mais aussi de repérer et d'informer cette organisation très rapidement. Et dans ce cas précis, quelqu'un a remarqué un comportement inhabituel. Et au lieu d'essayer de le dissimuler en pensant qu'ils avaient fait quelque chose de mal, ils ont immédiatement contacté quelqu'un au sein de l'organisation et ils ont pu y faire face bien plus rapidement. Et encore une fois, cela revient à se demander quelle est votre exposition ? Même si quelqu'un a réussi à s'introduire dans une organisation, quels autres outils avez-vous mis en place ? Parce qu'il ne s'agit pas uniquement d'une question d'authentification. Et il est certain que lorsque nous parlons aux utilisateurs, il ne s'agit pas uniquement d'une question d'identité. Ils peuvent faire d'autres choses pour s'assurer de la protection des informations.
Max Havey [00:09:50] Absolument. Et pour double-cliquer sur ce que vous venez d'indiquer. Comment fonctionnent l'authentification multifactorielle et les principes Zero Trust, un autre terme que nous avons tendance à utiliser beaucoup dans cette émission et dans le monde entier dans les conversations sur la cybersécurité. Comment ce genre de choses joue-t-il un rôle en tant qu'outils que les organisations peuvent utiliser pour mieux promouvoir la cyberhygiène et poursuivre cette conversation ?
Rich Davis [00:10:12] Oui, de nombreuses initiatives ont été prises en faveur de l'authentification multifactorielle, et de nombreuses organisations l'utilisent aujourd'hui. Ils utilisent également la gestion des accès privilégiés pour adopter une approche encore plus approfondie de la plupart de ces accès privilégiés. Je pense qu'il y a toujours un moyen de contourner la situation. Lorsqu'un humain est impliqué, il y a toujours un moyen de contourner sa capacité à voler des jetons multifactoriels, en vous demandant de les saisir sur de fausses pages d'identification, puis en vous connectant immédiatement. Ensuite, ils peuvent, bien sûr, créer leur propre MFA. Il existe également un autre moyen de contourner la plupart de ces techniques. Ce n'est donc pas aussi simple que de mettre en place toutes ces meilleures pratiques. Les organisations doivent vraiment réfléchir au concept de prévention de la perte de données si le pire se produit. Je suppose qu'à un moment donné, l'un de mes utilisateurs va se faire voler ses informations d'identification. Quelqu'un va y accéder. Je dois limiter ce rayon de perte. Je dois limiter cette surface d'attaque. Et c'est là que des éléments tels que le principe Zero Trust entrent en jeu. Parce que si vous pensez à un utilisateur qui travaille jour après jour, dans un monde idéal, il devrait avoir le moins d'anxiété nécessaire pour faire son travail et rien de plus. Donc, si leur travail consiste à entrer dans une plateforme financière et à faire de la saisie de données. Ils devraient alors avoir accès à cette application uniquement. Vous devriez avoir mis en place des règles pour déterminer comment et quand ils peuvent y accéder. Mais surtout, ils peuvent effectuer toute une série d'actions. Ils n'ont pas besoin de consulter les rapports. Il n’est pas nécessaire qu’ils soient en mesure d’extraire des données et de les envoyer à des services publics de partage de fichiers, etc., ce qui, bien sûr, est exactement ce que cette attaque va obtenir lorsqu’ils essaient de voler cela, ils vont essayer d’extraire des informations, et ils vont essayer d’utiliser des services distants pour exfiltrer ces données. Et c'est là que réside tout ce concept de confiance réellement adaptative, je n'aime pas le terme Zero Trust. C'est fondé sur de bons principes, mais c'est vraiment une confiance adaptative continue. Il s'agit d'examiner la situation actuelle, d'examiner les actions, de prendre en compte différents critères, notamment l'authentification de l'utilisateur, sa localisation, ses actions, l'historique des actions par rapport aux actions en cours, pour prendre cette décision. Cela devrait-il se produire ou non ? Ainsi, en utilisant ce type d'approche, vous pouvez limiter votre surface d'attaque si le pire devait se produire. Vous pouvez également utiliser ce type de politiques pour déclencher des alertes lorsque les organisations commencent à constater une différence de comportement. Par exemple, l'analyse comportementale de l'UEBA ou des entités utilisateurs est un excellent outil, encore meilleur lorsqu'il est profondément intégré à de nombreux autres éléments de politique visant à piloter ce type de processus d'alerte et de réponse aux incidents.
Max Havey [00:12:55] Absolument. Et je pense que le fait d’alerter les utilisateurs lorsqu’ils font quelque chose de risqué et d’attraper ce genre de choses, ce type de protection des données est si essentiel. Il y a eu une série d’articles que Steve Riley, de notre équipe CSO, a écrit il y a quelque temps pour parler des applications SAS qui fuient et que les gens utilisent, qu’il s’agisse de messagerie Web, de compartiments Amazon S3 ou d’objets blob Azure, comme le fait de ne pas avoir les autorisations appropriées configurées pour ces différents services que les gens utilisent jour après jour. jour après jour, en s’assurant qu’ils gardent les choses relativement verrouillées et qu’ils n’exposent pas accidentellement des données parce qu’ils ne se rendent pas compte qu’ils ont laissé cela ouvert à toute personne sur Internet qui a ce lien. Tous ceux qui entrent par la force brute ou qui ont trouvé un moyen de s'y retrouver. C'est très facile de se contenter de mal configurer quelque chose dans un sens sans même se rendre compte de ce que vous avez fait.
Rich Davis [00 :13 :45] Oui, et si nous regardons beaucoup d’incidents que nous avons eus au cours des deux dernières années, c’est simplement qu’il s’agit d’organisations qui n’ont pas nécessairement eu un compte compromis et un accès de cette façon, mais simplement des données qui se trouvaient au mauvais endroit auxquelles quelqu’un a accès et auxquelles il n’aurait pas dû avoir accès. Que ce soit public ou qu'il s'agisse d'un membre de votre organisation qui a accès à du contenu qu'il ne devrait peut-être pas consulter et qui le place ensuite à un endroit où il ne devrait pas le mettre, il ne devrait pas y avoir accès au départ, puis il est transféré à un endroit où il ne devrait pas le faire. Et c’est, bien sûr, l’autre aspect du facteur humain, qui consiste à former et à aider nos utilisateurs à comprendre la meilleure façon d’utiliser les systèmes et où ils devraient et ne devraient pas placer les données. Bien entendu, cela passe à un tout autre sujet dont nous pourrions parler tout au long de la journée avec les utilisateurs, à savoir si nous leur facilitons la tâche. Vous savez, les gens utilisent des outils parce que c'est facile, non ? Parce que c'est facile de faire avancer les choses. Et c'est tout un sujet en soi lié à la mise en place de solutions, de méthodologies d'accès qui permettent à l'utilisateur de faire son travail facilement. Si vous pouvez intégrer ces mécanismes, permettre à l'utilisateur de faire son travail facilement, tout en respectant les limites autorisées par cette entreprise et les contrôles de sécurité mis en place. Ils n'emprunteront pas ces autres voies pour essayer de contourner ces outils. Encore une fois, un sujet dont nous pourrions parler pendant des heures et des heures, mais qui est étroitement lié à cette philosophie selon laquelle l'authentification n'est qu'un aspect de ce concept de confiance adaptative continue.
Max Havey [00:15:14] Eh bien, cela nous introduit spécifiquement pour boucler la boucle. Vous savez, une journée pour changer de mot de passe est une bonne excuse pour changer leur mot de passe, mais beaucoup de personnes vont recevoir cette notification de changement de mot de passe, et ils vont la remettre au lendemain, au lendemain et au lendemain, puis ils ne changeront pas leur mot de passe tant qu'ils n'auront pas absolument à. Cela devient donc un peu frustrant pour certains utilisateurs. Et je pense que c'est une façon intéressante de réunir tout cela ici, où le fait d'avoir ce type de pratique de cyberhygiène tout au long de l'année, de faire en sorte que tout se poursuive, cela ne résoudra pas tous les problèmes, mais le fait de poursuivre cette conversation et de collaborer avec votre organisation signifie en fin de compte que vous n'avez pas que ces quelques jours. Vous savez, je ne pense à la cybersécurité qu'un jour par an où je dois absolument changer mes mots de passe.
Rich Davis [00:15:59] Et bien sûr, la seule chose que nous ne voulons pas qu'ils fassent, c'est qu'ils changent leur mot de passe pour un mot de passe facile à retenir, qui se trouve juste à la fin de leur livre. Ou ajoutez une feuille de calcul Excel. Quel est l'autre inconvénient du changement de mot de passe, non ? Et exiger des mots de passe sur plusieurs systèmes. Donc oui, c'est pourquoi je suis fervente en faveur d'un gestionnaire de mots de passe. vous n'avez qu'un mot de passe complexe dont vous pouvez vous souvenir. Vous faites une rotation régulière. Et bien sûr, nous changeons les mots de passe aussi parce que c'est une bonne pratique de bloquer quelqu'un. Donc, si quelqu'un y a accès, son compte est bloqué. Et c'est principalement l'une des raisons pour lesquelles nous le faisons. Mais en fin de compte, tout dépend de cet utilisateur. Nous devons faciliter les choses pour les utilisateurs. Nous devons expliquer aux gens pourquoi c'est si important, et nous devons mettre en place des outils qui les aideront réellement à prendre la bonne décision et à ne pas retomber dans ces mauvaises pratiques.
Max Havey [00:16:54] Absolument. Et amenez-nous à la fin de nos questions. Rich, si vous deviez donner un conseil aux professionnels de la sécurité en matière de cybersécurité et, vous savez, faciliter les choses et améliorer ces processus dans leur ensemble pour en faire un sujet de conversation tout au long de l'année, quel serait ce conseil ?
Rich Davis [00:17:10] Eh bien, j'ai parlé à de nombreux dirigeants, au-delà de la partie sécurité de l'organisation. Et là où je pense que les organisations ont la meilleure approche, c'est lorsqu'il s'agit d'une initiative commerciale. Beaucoup de personnes y voient une initiative de sécurité, mais il s'agit d'une initiative commerciale. Donc, obtenir l'adhésion de vos dirigeants, obtenir des sponsors, demander à un PDG de faire une petite vidéo expliquant pourquoi c'est important, faire en sorte que les chefs d'entreprise s'approprient leurs propres outils et les aident à les diffuser auprès de leur personnel sont essentiels pour y parvenir. Mon seul conseil est donc de réfléchir, si ce n'est pas déjà fait, à la manière dont vous pouvez passer d'une initiative de sécurité à une initiative commerciale de plus en plus large.
Max Havey [00:17:55] Absolument. La solution qui attirera le plus d'attention là-dessus, qui impliquera le plus de monde là-dedans. Cela ne prend donc pas une ampleur plus importante. Personne ne veut faire la une des journaux pour une faille de sécurité ou quoi que ce soit d'autre à cause d'un problème de cybersécurité. En fin de compte, c'est pour le bien de l'ensemble de l'organisation pour laquelle vous travaillez de faire cet effort.
Rich Davis [00:18:11] Oui, 100 %.
Max Havey [00:18:12] Excellent. Eh bien, Rich, j'imagine que vous et moi pourrions probablement continuer à en parler pendant environ une heure, mais je pense que nous arrivons à une heure. Merci beaucoup de vous être jointe à nous. C'était une super discussion, et vous avez eu beaucoup de points de vue à apporter ici.
Rich Davis [00:18:24] Max, je dois juste dire que c'était un plaisir de me joindre à vous aujourd'hui. J'espère que certains de nos auditeurs auront au moins, vous savez, une ou deux informations, qu'ils pourront extraire du podcast d'aujourd'hui et vous ramener dans leur organisation.
Max Havey [00:18:37] Excellent. Vous avez écouté le podcast Security Visionaries, et je suis votre animateur, Max Havey. Si vous avez aimé cet épisode, partagez-le avec un ami et abonnez-vous à Security Visionaries sur la plateforme de podcast de votre choix. Vous pouvez y écouter notre catalogue d'épisodes et rester à l'affût des nouveaux épisodes qui sortent toutes les deux semaines, animés par moi ou par ma co-animatrice, la merveilleuse Emily Wearmouth. Nous vous verrons dans le prochain épisode.
Pourquoi Netskope 
){kind=icon}
