Clarke Rodgers (00:08) :
Merci beaucoup d'être ici aujourd'hui.

Aman Sirohi (00h10) :
Merci à vous. C'est une belle journée.

Clarke Rodgers (00:11) :
Si vous le voulez bien, parlez-moi un peu de votre parcours et de ce que vous faites chez People.ai.

Aman Sirohi (00:16) :
Bien sûr. Nous sommes une société de renseignements sur les revenus. Nous aidons donc les responsables commerciaux à prendre des décisions plus rapidement en utilisant les données. La sécurité est donc une priorité pour nous tous, car nous ingérons vos données et vous les communiquons pour prendre ces décisions analytiques.

Clarke Rodgers (00:30) :
J'ai parlé à de nombreux CISO, et l'évolution du rôle du CISO au fil du temps revient toujours. Pendant longtemps, le CISO a été considéré comme un « expert en sécurité technique » et n'a été réellement utilisé pour combattre les incendies que si quelque chose de grave se produisait au sein d'une organisation. Mais aujourd'hui, la majorité des CISO performants que nous rencontrons portent en premier lieu la casquette de chefs d'entreprise, puis celle de professionnels de la sécurité. Pouvez-vous nous parler un peu de la façon dont vous avez vu le rôle évoluer et peut-être de vos expériences ?

Aman Sirohi (01h05) :
Avec plaisir. Je pense que si l'on remonte à cinq ou dix ans en arrière, les CISO répondaient parfaitement à leur intitulé. Notre travail était de protéger l'entreprise. Nous sommes des experts en sécurité, nous sommes à l'arrière-plan, dans les coulisses, et si vous regardez aujourd'hui et demain, la sécurité est primordiale dans l'esprit de tout le monde, dans tous les secteurs. En fait, la sécurité doit être au premier plan, n'est-ce pas ? C'est pourquoi j'ai toujours dit « Mettez la sécurité au premier plan. Ne jouez pas en défense. Parlez au client de vos mesures de sécurité. Expliquez-lui l'importance de la sécurité pour l'entreprise. » Parce qu'alors le client vous regarde et se dit : « Oh, vous savez de quoi vous parlez. » Il se sentira plus en sécurité rien qu'en vous parlant parce que vous êtes proactif, vous voyez ?

Clarke Rodgers (01:43) :
La confiance est gagnée.

Aman Sirohi (01h43) :
Oui, donc vous construisez cette confiance, et je dirais que la confiance se construit par couches. Lorsque vous vous adressez au comité exécutif, tout tourne toujours autour de ce qu'ils ont entendu. Il ne faut jamais oublier que les membres du conseil d'administration, le personnel dirigeant, sont amis et se disent : « As-tu entendu parler de ce piratage ? Et as-tu entendu parler de cela ? »

Donc, je parle de sécurité en général. Que se passe-t-il dans notre espace ? Que nous soyons touchés ou non, il est toujours bon de mettre cela en avant lors de ces réunions, parce qu'au fond d'eux, ils se disent : « Oh, mon ami m'a parlé de ce piratage et c'est ce qui s'est passé dans notre environnement, mais c'est pourquoi nous n'avons pas été touchés ».

Il s'agit plutôt de raconter une histoire, d'éduquer, de mieux établir des liens entre les pensées et les idées des uns et des autres, et je pense que c'est ainsi que la sécurité devient plus puissante.

Clarke Rodgers (02:29) :
Intéressant. Lorsque vous avez ces conversations au niveau du conseil d'administration et que vous racontez ces histoires, dites-vous : « Nous avons rencontré X vulnérabilités et nous avons pu les corriger en tant de temps », ou parlez-vous en termes de risque lié aux résultats pour l'entreprise ?

Aman Sirohi (02:45) :
Si vous regardez les différents conseils d'administration – et j'ai eu la chance de travailler dans différentes entreprises – chaque conseil est un peu différent. Certains conseils veulent que nous leur expliquions tout. Et puis nous avons les conseils d'administration assez intelligents et avertis, qui ne sont peut-être pas des professionnels de la sécurité, mais qui connaissent très bien l'espace. Je commence donc par les questions suivantes : Que faisons-nous dans le secteur ? Que fait notre secteur ? Que représente pour eux la sécurité ? J'aborde ensuite les valeurs ou les capacités de l'entreprise qui sont liées à nos résultats financiers.

Vous avez toujours besoin de données pour étayer votre propre posture de sécurité. Il pourrait y avoir un pic et, par exemple, les tentatives d'hameçonnage ont été multipliées par 10 le mois dernier. Vous ne pouvez pas vous rendre à une réunion du conseil d'administration et dire : « Alors, comment se sont passées nos campagnes d'hameçonnage ? Je reviendrai vers vous plus tard. » Mauvaise réponse.

Vous devez être préparé, vous devez disposer des données pertinentes. Vous pourriez dire : « La diapositive 54 montre notre situation actuelle par rapport au dernier... » En fin de compte, je pense que si les membres du conseil d'administration posent des questions, il faut leur faciliter la tâche.

Clarke Rodgers (03:42) :
Bien sûr.

Aman Sirohi (03:42) :
Faciliter les choses. Les aider à assimiler l'information. Votre travail sera alors plus facile et tout le monde sera sur la même longueur d'onde.

Clarke Rodgers (03:49) :
Faciliter la tâche du conseil d'administration est une chose, mais si nous passons à l'intérieur de l'entreprise, il faut également faciliter la tâche des équipes de développement et de production pour qu'elles opèrent correctement, de manière sécurisée. Pouvez-vous nous parler un peu de certains des mécanismes que vous avez mis en place dans cette optique ?

Aman Sirohi (04:07) :
Je vais dire une chose à appliquer, rien de plus simple : avoir une conversation. Vous devez avoir une conversation, communiquer, vous asseoir avec le directeur technique, l'ingénieur en chef ou l'architecte en chef et parler d'intégrer les évaluations dès le début, comme beaucoup de personnes. J'ai été dans des organisations où l'on dit : « Je dois résoudre cette vulnérabilité et j'ai besoin que vous modifiiez votre sprint ». La plupart des développeurs de produits se disent : « Je dois développer cette fonctionnalité ». Comme les fonctionnalités leur rapportent de l'argent, ils sont mus par ce besoin d'en développer, n'est-ce pas ?

Donc, si vous avez une conversation avec eux et leur dites : « Écoutez, nous devons ralentir. Peut-être pas pour ce sprint mais pour celui d'après. Et nous devons mettre en place ces barrières de sécurité pour veiller à produire un code sûr. » Donc, en vertu du modèle SSDF du NIST, j'ai dit : « Si vous allez voir un client et que vous lui dites : "Client X, puis-je bénéficier d'une semaine supplémentaire pour produire un logiciel sécurisé ?" Il vous répondra toujours : "Oui". » Aucun client ne le fera pas, n'est-ce pas ? Je reviens donc toujours aux principes fondamentaux de l'ouverture et de la communication.

Nous sommes toujours assimilés à Big Brother, la police. Ce n'est pas représentatif de notre travail. Nous ne sommes pas là pour ça. Et si vous suivez la voie dont j'ai parlé, la réponse sera : « D'accord, ce ne sera pas pour ce sprint, mais pour le prochain. Ça me paraît bien. » Ils peuvent avoir besoin de l'approbation de leur directeur des produits, mais au moins nous créons une communauté et offrons une raison pour notre demande eu lieu de donner l'impression de leur forcer la main.

Clarke Rodgers (05:23) :
C'est formidable. En tant que CISO, vous êtes chargé de protéger l'organisation et de mettre en place différents programmes et mécanismes de sécurité pour rendre les activités aussi sûres que possible. Mais vous devez également permettre à l'entreprise d'innover, n'est-ce pas ? Comment parvenez-vous à équilibrer les deux ?

Aman Sirohi (05:43) :
C'est très délicat. En tant que start-up, la vélocité est essentielle, la capacité de mise à l'échelle est essentielle. Les exigences des clients le sont également... Vous avez un produit, vous avez des capacités, et le client X veut ceci, le client Y veut cela... On en revient donc à la feuille de route du produit. En tant que CISO ou tout autre poste de sécurité, vous devez vraiment obtenir une place à la table où la feuille de route du produit est abordée.

À cette table où le personnel dirigeant discute de ce à quoi ressemblera le prochain trimestre ou l'année prochaine, et pouvoir participer à ces conversations. L'innovation est vraiment là selon moi. Et, avec un peu plus de recul, les CISO pourraient découvrir certains changements à adopter en matière de sécurité, car des innovations produit arrivent et il faut leur faciliter la tâche, n'est-ce pas ? Alors, bien sûr, quelqu'un va dire : « Oh, la MFA ». Je réponds : « Non. Ce point n'est pas négociable ». Tout le monde doit l'avoir. On ne peut pas s'en passer, n'est-ce pas ? Mais en tant que professionnels de la sécurité, il existe des moyens de faciliter la tâche des développeurs afin qu'ils ne rencontrent pas d'obstacles et embûches pour accomplir leur travail.

Clarke Rodgers (06:48) :
Excellent. De nombreux CISO disposent d'un personnel de sécurité limité au sein de l'organisation et essaient toujours de trouver des moyens d'améliorer les performances et l'influence de l'équipe de sécurité sur les secteurs non liés à la sécurité de l'organisation. À savoir les développeurs, les équipes de service, peut-être la comptabilité, peut-être les finances, les RH, quel que soit le cas. Qu'en pensez-vous et comment positionnez-vous la culture de la sécurité dans votre organisation de manière à ce que la sécurité soit réellement l'affaire de tous ?

Aman Sirohi (07:27) :
C'est difficile. Ce n'est pas facile, car le marketing veut quelque chose de différent. La finance veut autre chose. Les commerciaux qui voyagent, dans différents pays, différents états, veulent une facilité de travail.

Surtout dans un contexte économique comme celui d'aujourd'hui, nous avons moins de personnel et moins de financement ou moins d'argent, alors que notre responsabilité n'a pas changé. Comme notre responsabilité n'a pas changé, nous devons tout simplement trouver des moyens créatifs d'arriver à nos fins. Dans mon entreprise précédente comme dans mon entreprise actuelle, une méthode a selon moi vraiment du sens : je fais en sorte que les membres de mon équipe rencontrent dès le départ un groupe ou une organisation de pairs pour traiter de la sécurité, éduquer et communiquer, encore une fois, et je n'y vais pas. Je n'y vais pas, parce que je ne veux pas qu'ils se disent « Oh, le CISO est là », ou...

Clarke Rodgers (08:16) :
Oh, intéressant.

Aman Sirohi (08:16) :
« Les dirigeants sont là et nous devons les écouter. » Je laisse les membres de notre équipe communiquer, établir et entretenir ces relations. Parce qu'ils parlent à leurs pairs, à leurs collègues. Lorsque vous commencez à déployer cette méthode dans l'ensemble de l'entreprise, tout devient plus facile, car vous avez fait vos devoirs et fait preuve de diligence raisonnable.

Clarke Rodgers (08:37) :
Vous vous êtes fait des alliés.

Aman Sirohi (08:38) :
Vous vous êtes fait des alliés, mais sans être présent. Si des responsables de la sécurité ou des dirigeants sont présents, c'est un tout autre ton, un tout autre jeu, une toute autre conversation. « Oh, mon patron est là, alors il faut qu'on en parle. Je dois écouter. » Je pense qu'il faut permettre aux autres de faire comme vous. C'est vraiment difficile, mais je pense que vous devez créer cet écosystème, faire en sorte que chaque membre de votre équipe soit capable de porter le relais et d'être un professionnel de la sécurité pour tous.

Clarke Rodgers (09:08) :
C'est formidable. Au sein de votre équipe de sécurité proprement dite, quels types de compétences, de caractéristiques ou d'expérience recherchez-vous lorsque vous recrutez quelqu'un ?

Aman Sirohi (09:20) :
La caractéristique numéro un est la curiosité ; je ne peux pas vous apprendre à être curieux.

Clarke Rodgers (09:25) :
Intéressant.

Aman Sirohi (09:25) :
Je peux vous apprendre la sécurité. Je peux vous faire suivre une formation X, Y, Z. Je peux vous donner des programmes universitaires, mais je ne peux pas vous apprendre à être curieux. Et la sécurité, nous en convenons tous, change tous les jours. Elle change du jour au lendemain pour aller de l'avant. Lorsque vous avez l'esprit curieux, vous êtes capable de vous adapter à différentes réponses. Un jour, vous rencontrez une vulnérabilité X, demain, ce ne sera pas X, mais Y. Si vous êtes assez curieux et que vous vous dites : « OK, je vais cliquer sur ce bouton vers le bas pour voir » et que vous êtes capable de le faire, c'est pour moi le motif d'embauche numéro un.

J'ai recours à un test très intéressant lorsque j'engage des personnes. Je leur donne trois mots, affamé, humble et intelligent, et je leur demande de se classer selon leur première caractéristique : affamé, humble ou intelligent. Et c'est toujours à moi de comprendre le type de dynamique que vous apportez à l'équipe. Parce que si j'avais toute une équipe de personnes intelligentes, comme cela nous est déjà tous arrivé, que des personnes intelligentes dans une même pièce, rien ne serait fait parce que chacun se penserait plus intelligent que les autres, n'est-ce pas ? Et si nous n'avions que des personnes humbles, sans vouloir les offenser, la sécurité serait mise à mal parce que nous nous dirions : « Ah, d'accord. Pas aujourd'hui ? Nous le ferons demain. Pas demain ? Nous le ferons plus tard. » Et si vous avez des personnes affamées, si telle est leur caractéristique numéro un, il est impossible de toutes les promouvoir à chaque fois.

Alors, lors des entretiens, nous nous asseyons et ma première consigne est la suivante : « Très bien, tout le monde, montrez-moi vos candidats affamés, humbles et intelligents. Qu'avez-vous pensé de leurs caractéristiques ? » Vous devez donc créer la bonne équation dans une équipe. Vous voulez vous assurer que l'équipe est bien équilibrée et, en fonction de votre écosystème (qu'il s'agisse de la finance, de la vente au détail, du SaaS ou encore du chiffrement), vous aurez peut-être besoin que certains attributs soient plus présents. Dans d'autres secteurs, vous pourriez avoir besoin que certains attributs soient moins présents. C'est la façon dont j'envisage la constitution ou l'embauche d'une équipe au sein de mon organisation de sécurité.

Clarke Rodgers (11:18) :
Il semblerait donc que la diversité de l'équipe soit essentielle ?

Aman Sirohi (11:23) :
Ça l'est, absolument. J'ai un membre de l'équipe au Canada. Un autre sur la côte Est des États-Unis. Encore un autre à l'international. Est-ce que j'aimerais qu'ils soient tous dans la région de la baie de San Francisco ou dans le même bureau ? Oui, mais vous savez que ce n'est pas faisable. Je pense que la COVID nous l'a appris, et que la diversité, cette expérience, cette curiosité ne sont aux rendez-vous que lorsque vous rencontrez des personnes aux idées différentes.

Clarke Rodgers (11:45) :
C'est très intéressant. Les outils d'IA générative ont fait couler beaucoup d'encre ces derniers temps. Qu'en pensez-vous du point de vue de la sécurité, alors que de plus en plus de personnes, et je suppose des entreprises, tirent parti de certains de ces outils ?

Aman Sirohi (12:04) :
Je pense qu'elle représente une innovation que nous ne sommes pas prêts à gérer. Beaucoup d'innovation et de sécurité seront nécessaires en raison de la rapidité d'innovation et de mise sur le marché de ces outils.

Nous essayons de nous développer à grande échelle, en utilisant des outils open source et bien d'autres. Je pense que nous allons nous heurter assez rapidement au risque lié à l'IA. Quelle est cette exposition au risque pour votre entreprise, pour vos clients ?

Tous les contrats que je connais stipulent que les données de tiers ne peuvent pas quitter votre environnement et être transmises à une source tierce. Maintenant, quel que soit le modèle d'IA que vous voulez utiliser, ces données quittent votre environnement, sont transférées à une source tierce et reviennent pour vous donner une réponse. Je pense donc que des changements vont s'opérer dans la manière dont les responsables juridiques vont étudier la question, dans la façon dont le risque sera assumé par le client et par l'entreprise. Je pense qu'il va y avoir beaucoup d'innovation dans ce domaine.

Clarke Rodgers (13:08) :
S'agit-il du risque lié à la « boîte noire » de ces services ou y a-t-il une autre préoccupation spécifique ?

Aman Sirohi (13:17) :
Je dirais les deux. Je pense que c'est une boîte noire parce que nous ignorons ce que nous ignorons, n'est-ce pas ?

Clarke Rodgers (13:22) :
Bien sûr.

Aman Sirohi (13:23) :
Nous sommes probablement tous les deux d'accord sur une chose intéressante : une fois que vous lui avez enseigné quelque chose, vous ne pouvez pas simplement revenir en arrière et dire « Supprimer », n'est-ce pas ? Il est très coûteux de revenir en arrière et de retirer cet apprentissage du modèle. Nous allons devoir faire face à ce problème, car nous allons obtenir de mauvaises informations qui vont gâcher l'équation.

Je pense que le risque viendra du fait que les entreprises s'inquiéteront des données qu'elles fournissent à cet outil d'IA. Cet outil d'IA est-il public ? Allons-nous tous avoir l'IA en interne chez nous ? Je pense que toutes les réponses doivent être trouvées.

Tout va aller à une vitesse à laquelle nous ne sommes pas préparés. Et le risque qui en découle du point de vue de l'entreprise ? Je dois bien dire que, du point de vue de la réglementation, je ne sais absolument pas ce que cela va donner. Je ne sais même pas comment les régulateurs vont s'y retrouver, car il faut trouver un moyen de mettre des barrières de protection. Sinon, les données seront à la merci de tous.

Clarke Rodgers (14:27) :
Donc, en gros, les dirigeants doivent comprendre les risques qu'ils vont prendre s'ils acceptent d'utiliser ces outils dans le cadre de leurs activités.

Aman Sirohi (14:35) :
Oui et comment contrôler une personne d'un autre service qui télécharge l'un de ces outils et commence à lui fournir des informations ? Où vont ces informations ? Existe-t-il aujourd'hui un outil qui nous alerte en disant qu'untel a transmis cette information à ce modèle d'IA, ce qui constitue une violation de la politique ?

Clarke Rodgers (14:55) :
Eh bien, cela représente peut-être une opportunité en matière de sécurité ?

Aman Sirohi (14:58) :
En effet, je pense même qu'il y aura différentes opportunités en matière de sécurité. Je pense aussi que ce sera excellent pour l'environnement.

Clarke Rodgers (15:05) :
Dans le même ordre d'idées, si nous devions avoir cette conversation dans cinq ans, de quoi parlerions-nous ?

Aman Sirohi (15:13) :
Je pense que nous parlerons de la façon dont nos tâches fastidieuses et notre travail banal sont entièrement réalisés à notre place. Dans un article que j'ai lu récemment, quelqu'un expliquait avoir eu recours à un de ces outils, lui donnant les informations suivantes : « J'aimerais voyager dans une région viticole. Il faut que ce soit adapté aux enfants. J'ai tel budget, et X, Y, et Z ». L'outil s'est chargé de toutes les tâches, a trouvé un endroit où l'on pouvait jouer à la pétanque, a envoyé un e-mail, a réservé l'endroit, l'a inscrit sur le calendrier.

Auparavant, une personne aurait appelé les différents domaines viticoles ou cherché sur Google ou un moteur de recherche, mais à l'avenir, toutes ces tâches seront du ressort de l'IA. Je pense donc qu'il sera très intéressant de voir sur quoi nous nous concentrerons dans cinq ans. Je pense que des humains interpréteront ces données, de sorte que ce ne sera pas simplement automatisé et à la disposition de tous. Je pense que nous aurons besoin d'une interaction humaine à chaque étape critique pour nous assurer du bon déroulement.

Clarke Rodgers (16:19) :
Et comment allez-vous avoir cette conversation avec le conseil d'administration ? À quoi cela va-t-il ressembler, selon vous ?

Aman Sirohi (16:24) :
Nous avons déjà commencé à avoir des conversations en interne. Nous avons des politiques. Nous avons des principes. Cela ne va pas être facile. Cela va prendre un certain temps. Je n'ai pas de bonne réponse, pour être tout à fait honnête, mais je pense que nous devrions orienter plus de conversations vers ce sujet. En tant que CISO, nous devrions demander : « Comment répondez-vous à ce problème ? Comment allez-vous réglementer cela ? » Parce que je pense que plus nous en parlerons, plus il sera facile pour nous de nous protéger les uns les autres et de tenir nos adversaires à distance, car les adversaires vont exploiter cela.

Clarke Rodgers (16:57) :
C'est une opportunité pour tout le monde.

Aman Sirohi (16:58) :
Tout à fait.

Clarke Rodgers (17:00) :
Pour terminer, avez-vous des conseils à donner à vos homologues CISO ?

Aman Sirohi (17:03) :
Oh, j'adorerais avoir des conseils de leur part. Si j'ai bien appris une chose, que j'ai également apprise auprès de mes pairs, c'est la suivante : rapprochez-vous de votre entreprise. Vous devez avoir cette conversation avec votre directeur financier, votre directeur des revenus, votre directeur des produits, votre directeur de la stratégie. Vous devez vous rapprocher d'eux, car c'est ce qui vous aidera à comprendre ce qui fait évoluer les résultats financiers et ce qui protège l'entreprise.

Si vous pouvez participer à cette conversation et que vos capacités les aident à atteindre leurs objectifs, vous attirerez plus de clients. Lorsque vous revenez pour ensuite demander un financement, les gens comprennent pourquoi vous demandez un financement. Mon conseil serait donc de vous rapprocher de ce groupe de personnes, de comprendre leur activité et ce qui les motive, afin de vous faciliter la tâche en tant que CISO.

Clarke Rodgers (17:55) :
Cela me semble être un bon conseil.

Aman Sirohi (17:57) :
Je m'acharne dans cette voie. Je ne sais pas. Certains jours je réussis, d'autres non, alors nous verrons bien.

Clarke Rodgers (18:03) :
Génial. Eh bien, Aman, merci beaucoup pour le temps que vous nous avez accordé aujourd'hui.

Aman Sirohi (18:05) :
Avec plaisir. Merci beaucoup.