Nick Godfrey de Google Cloud parle de sécurité, de budget et d'IA pour les RSSI

Gros plan sur le panneau Google Cloud affiché devant leur siège social dans la Silicon Valley, dans la région sud de la baie de San Francisco.
Image : Adobe/Photographie divers

En tant que directeur principal et chef mondial du bureau du directeur de la sécurité de l'information (RSSI) chez Google Cloud, Nick Godfrey supervise la formation des employés à la cybersécurité ainsi que la gestion de la détection et de l'atténuation des menaces. Nous avons mené un entretien avec Godfrey par appel vidéo sur la manière dont les RSSI et autres chefs d'entreprise axés sur la technologie peuvent allouer leurs ressources limitées, obtenir l'adhésion d'autres parties prenantes à la sécurité, ainsi que les nouveaux défis et opportunités introduits par l'IA générative. Étant donné que Godfrey est basé au Royaume-Uni, nous lui avons également demandé son point de vue sur des considérations spécifiques au Royaume-Uni.

Comment les RSSI peuvent allouer les ressources en fonction des menaces de cybersécurité les plus probables

Megan Crouse : Comment les RSSI peuvent-ils évaluer les menaces de cybersécurité les plus probables auxquelles leur organisation peut être confrontée, tout en tenant compte du budget et des ressources ?

Nick Godfrey : L’une des choses les plus importantes à prendre en compte pour déterminer la meilleure façon d’allouer les ressources limitées dont dispose tout RSSI ou toute organisation est l’équilibre entre l’achat de produits et de services de sécurité purement spécialisés et la réflexion sur le type de risques technologiques sous-jacents que le l’organisation a. En particulier, dans le cas d’une organisation disposant d’une technologie existante, il devient de plus en plus difficile de rendre cette technologie défendable, même avec des produits de sécurité en plus.

Le défi et le compromis sont donc à réfléchir : achetons-nous davantage de produits de sécurité ? Devons-nous investir dans davantage de personnel chargé de la sécurité ? Devons-nous acheter davantage de services de sécurité ? Versus : investissons-nous dans des infrastructures modernes, qui sont intrinsèquement plus défendables ?

La réponse et la récupération sont essentielles pour répondre aux cybermenaces

Megan Crouse : En termes de priorisation des dépenses avec un budget informatique, les ransomwares et le vol de données sont souvent évoqués. Diriez-vous qu'il est bon de se concentrer sur ces éléments, ou les RSSI devraient-ils se concentrer sur d'autres sujets, ou est-ce que cela dépend beaucoup de ce que vous avez vu dans votre propre organisation ?

Nick Godfrey : Le vol de données et les attaques de ransomwares sont très courants ; par conséquent, vous devez, en tant que RSSI, équipe de sécurité et CPO, vous concentrer sur ce genre de choses. Les ransomwares en particulier constituent un risque intéressant à essayer de gérer et peuvent en fait être très utiles pour définir la manière de penser le programme de sécurité de bout en bout. Cela nécessite que vous réfléchissiez à une approche globale des aspects de réponse et de récupération du programme de sécurité et, en particulier, à votre capacité à reconstruire l’infrastructure critique pour restaurer les données et, à terme, restaurer les services.

Se concentrer sur ces éléments améliorera non seulement votre capacité à répondre spécifiquement à ces éléments, mais améliorera également votre capacité à gérer votre informatique et votre infrastructure, car vous vous déplacerez vers un endroit où, au lieu de ne pas comprendre votre informatique et comment vous êtes si vous allez le reconstruire, vous avez la possibilité de le reconstruire. Si vous avez la possibilité de reconstruire votre informatique et de restaurer vos données sur une base régulière, cela crée en réalité une situation dans laquelle il vous est beaucoup plus facile de gérer de manière agressive les vulnérabilités et de corriger l'infrastructure sous-jacente.

Pourquoi? Parce que si vous le corrigez et qu'il tombe en panne, vous n'avez pas besoin de le restaurer et de le faire fonctionner. Ainsi, se concentrer sur la nature spécifique des ransomwares et sur ce à quoi ils vous obligent à réfléchir a en réalité un effet positif au-delà de votre capacité à gérer les ransomwares.

VOIR : Une menace de botnet aux États-Unis ciblait les infrastructures critiques. (TechRépublique)

Les RSSI ont besoin de l’adhésion des autres décideurs budgétaires

Megan Crouse : Comment les professionnels et les dirigeants du secteur technologique devraient-ils informer les autres décideurs budgétaires sur les priorités en matière de sécurité ?

Nick Godfrey : La première chose est que vous devez trouver des moyens de le faire de manière globale. S’il y a une conversation déconnectée sur le budget de sécurité par rapport au budget technologique, vous risquez de perdre une énorme opportunité d’avoir cette conversation commune. Vous pouvez créer des conditions dans lesquelles la sécurité est considérée comme un pourcentage du budget technologique, ce qui, à mon avis, n'est pas nécessairement très utile.

Faire en sorte que le RSSI et le CPO travaillent ensemble et présentent ensemble au conseil d'administration comment le portefeuille combiné de projets technologiques et de sécurité améliore en fin de compte le profil de risque technologique, en plus d'atteindre d'autres objectifs commerciaux et commerciaux, est la bonne approche. Ils ne devraient pas simplement considérer les dépenses de sécurité comme des dépenses de sécurité ; ils devraient considérer une grande partie des dépenses technologiques comme des dépenses de sécurité.

Plus nous pouvons intégrer la conversation sur la sécurité, la cybersécurité et les risques technologiques dans les autres conversations qui ont toujours lieu au sein du conseil d'administration, plus nous pouvons en faire un risque et une considération dominants de la même manière que les conseils d'administration envisagent les questions financières et financières. risques opérationnels. Oui, le directeur financier parlera périodiquement de la situation financière globale de l'organisation et de la gestion des risques, mais vous verrez également le CIO dans le contexte de l'informatique et le RSSI dans le contexte de la sécurité parler des aspects financiers de leur entreprise.

Considérations de sécurité autour de l’IA générative

Megan Crouse : L’IA générative est l’un de ces changements technologiques majeurs à l’échelle mondiale. Quelles considérations de sécurité autour de l’IA générative les entreprises devraient-elles spécifiquement surveiller aujourd’hui ?

Nick Godfrey : À un niveau élevé, notre façon de concevoir l’intersection de la sécurité et de l’IA consiste à la diviser en trois catégories.

Le premier est l’utilisation de l’IA pour se défendre. Comment pouvons-nous intégrer l’IA dans les outils et services de cybersécurité qui améliorent la fidélité de l’analyse ou la rapidité de l’analyse ?

Le deuxième volet concerne l’utilisation de l’IA par les attaquants pour améliorer leur capacité à réaliser des tâches qui nécessitaient auparavant beaucoup d’intervention humaine ou de processus manuels.

Le troisième volet est le suivant : comment les organisations envisagent-elles le problème de la sécurisation de l’IA ?

Lorsque nous parlons à nos clients, le premier élément est quelque chose qu’ils estiment que les fournisseurs de produits de sécurité devraient comprendre. Nous le sommes, et d’autres le sont aussi.

Le deuxième volet, en termes d’utilisation de l’IA par les acteurs de la menace, est quelque chose que nos clients surveillent, mais ce n’est pas vraiment un nouveau territoire. Nous avons toujours dû faire évoluer nos profils de menaces pour réagir à tout ce qui se passe dans le cyberespace. Il s’agit peut-être d’une version légèrement différente de cette exigence d’évolution, mais cela reste fondamentalement quelque chose que nous avons dû faire. Vous devez étendre et modifier vos capacités de renseignement sur les menaces pour comprendre ce type de menace, et en particulier, vous devez ajuster vos contrôles.

C’est le troisième volet – comment réfléchir à l’utilisation de l’IA générative au sein de votre entreprise – qui suscite de nombreuses conversations approfondies. Ce compartiment couvre un certain nombre de domaines différents. L’une d’elles, en effet, est le shadow IT. L’utilisation de l’IA générative grand public est un problème informatique fantôme dans la mesure où elle crée une situation dans laquelle l’organisation essaie de faire des choses avec l’IA et en utilisant une technologie grand public. Nous préconisons vivement que les RSSI ne bloquent pas toujours l’IA des consommateurs ; il peut y avoir des situations où vous en aurez besoin, mais il est préférable d'essayer de comprendre ce que votre organisation essaie de réaliser et d'essayer de le permettre de la bonne manière plutôt que d'essayer de tout bloquer.

Mais l'IA commerciale aborde des domaines intéressants autour du traçage des données et de leur provenance dans l'organisation, de la manière dont elles ont été utilisées pour former des modèles et de qui est responsable de la qualité des données – et non de leur sécurité… de leur qualité.

Les entreprises devraient également se poser des questions sur la gouvernance globale des projets d’IA. Quelles parties de l’entreprise sont en fin de compte responsables de l’IA ? À titre d'exemple, le red teaming d'une plateforme d'IA est assez différent du red teaming d'un système purement technique dans le sens où, en plus de faire le red teaming technique, vous devez également réfléchir au red teaming des interactions réelles avec le LLM (grand langage). modèle) et l'IA générative et comment la briser à ce niveau. En fait, sécuriser l’utilisation de l’IA semble être le défi le plus important pour nous dans l’industrie.

Cybermenaces et tendances internationales et britanniques

Megan Crouse : En ce qui concerne le Royaume-Uni, quelles sont les menaces de sécurité les plus probables auxquelles les organisations britanniques sont confrontées ? Et y a-t-il des conseils particuliers que vous leur donneriez en matière de budget et de planification en matière de sécurité ?

Nick Godfrey : Je pense que c’est probablement assez cohérent avec d’autres pays similaires. De toute évidence, certains types de cyberattaques et certains auteurs de menaces ont un certain contexte politique, mais je pense que si vous comparez le Royaume-Uni aux États-Unis et aux pays d’Europe occidentale, je pense qu’ils sont tous confrontés à des menaces similaires.

Les menaces sont en partie dirigées sur des lignes politiques, mais beaucoup d’entre elles sont également opportunistes et basées sur l’infrastructure gérée par une organisation ou un pays donné. Je ne pense pas que dans de nombreuses situations, les auteurs de menaces motivés par des motivations commerciales ou économiques soient nécessairement trop inquiets du pays en particulier qu'ils s'attaquent. Je pense qu’ils sont principalement motivés par l’ampleur de la récompense potentielle et la facilité avec laquelle ils pourraient atteindre ce résultat.

rewrite this content and keep HTML tags

Gros plan sur le panneau Google Cloud affiché devant leur siège social dans la Silicon Valley, dans la région sud de la baie de San Francisco.
Image : Adobe/Photographie divers

En tant que directeur principal et chef mondial du bureau du directeur de la sécurité de l'information (RSSI) chez Google Cloud, Nick Godfrey supervise la formation des employés à la cybersécurité ainsi que la gestion de la détection et de l'atténuation des menaces. Nous avons mené un entretien avec Godfrey par appel vidéo sur la manière dont les RSSI et autres chefs d'entreprise axés sur la technologie peuvent allouer leurs ressources limitées, obtenir l'adhésion d'autres parties prenantes à la sécurité, ainsi que les nouveaux défis et opportunités introduits par l'IA générative. Étant donné que Godfrey est basé au Royaume-Uni, nous lui avons également demandé son point de vue sur des considérations spécifiques au Royaume-Uni.

Comment les RSSI peuvent allouer les ressources en fonction des menaces de cybersécurité les plus probables

Megan Crouse : Comment les RSSI peuvent-ils évaluer les menaces de cybersécurité les plus probables auxquelles leur organisation peut être confrontée, tout en tenant compte du budget et des ressources ?

Nick Godfrey : L’une des choses les plus importantes à prendre en compte pour déterminer la meilleure façon d’allouer les ressources limitées dont dispose tout RSSI ou toute organisation est l’équilibre entre l’achat de produits et de services de sécurité purement spécialisés et la réflexion sur le type de risques technologiques sous-jacents que le l’organisation a. En particulier, dans le cas d’une organisation disposant d’une technologie existante, il devient de plus en plus difficile de rendre cette technologie défendable, même avec des produits de sécurité en plus.

Le défi et le compromis sont donc à réfléchir : achetons-nous davantage de produits de sécurité ? Devons-nous investir dans davantage de personnel chargé de la sécurité ? Devons-nous acheter davantage de services de sécurité ? Versus : investissons-nous dans des infrastructures modernes, qui sont intrinsèquement plus défendables ?

La réponse et la récupération sont essentielles pour répondre aux cybermenaces

Megan Crouse : En termes de priorisation des dépenses avec un budget informatique, les ransomwares et le vol de données sont souvent évoqués. Diriez-vous qu'il est bon de se concentrer sur ces éléments, ou les RSSI devraient-ils se concentrer sur d'autres sujets, ou est-ce que cela dépend beaucoup de ce que vous avez vu dans votre propre organisation ?

Nick Godfrey : Le vol de données et les attaques de ransomwares sont très courants ; par conséquent, vous devez, en tant que RSSI, équipe de sécurité et CPO, vous concentrer sur ce genre de choses. Les ransomwares en particulier constituent un risque intéressant à essayer de gérer et peuvent en fait être très utiles pour définir la manière de penser le programme de sécurité de bout en bout. Cela nécessite que vous réfléchissiez à une approche globale des aspects de réponse et de récupération du programme de sécurité et, en particulier, à votre capacité à reconstruire l’infrastructure critique pour restaurer les données et, à terme, restaurer les services.

Se concentrer sur ces éléments améliorera non seulement votre capacité à répondre spécifiquement à ces éléments, mais améliorera également votre capacité à gérer votre informatique et votre infrastructure, car vous vous déplacerez vers un endroit où, au lieu de ne pas comprendre votre informatique et comment vous êtes si vous allez le reconstruire, vous avez la possibilité de le reconstruire. Si vous avez la possibilité de reconstruire votre informatique et de restaurer vos données sur une base régulière, cela crée en réalité une situation dans laquelle il vous est beaucoup plus facile de gérer de manière agressive les vulnérabilités et de corriger l'infrastructure sous-jacente.

Pourquoi? Parce que si vous le corrigez et qu'il tombe en panne, vous n'avez pas besoin de le restaurer et de le faire fonctionner. Ainsi, se concentrer sur la nature spécifique des ransomwares et sur ce à quoi ils vous obligent à réfléchir a en réalité un effet positif au-delà de votre capacité à gérer les ransomwares.

VOIR : Une menace de botnet aux États-Unis ciblait les infrastructures critiques. (TechRépublique)

Les RSSI ont besoin de l’adhésion des autres décideurs budgétaires

Megan Crouse : Comment les professionnels et les dirigeants du secteur technologique devraient-ils informer les autres décideurs budgétaires sur les priorités en matière de sécurité ?

Nick Godfrey : La première chose est que vous devez trouver des moyens de le faire de manière globale. S’il y a une conversation déconnectée sur le budget de sécurité par rapport au budget technologique, vous risquez de perdre une énorme opportunité d’avoir cette conversation commune. Vous pouvez créer des conditions dans lesquelles la sécurité est considérée comme un pourcentage du budget technologique, ce qui, à mon avis, n'est pas nécessairement très utile.

Faire en sorte que le RSSI et le CPO travaillent ensemble et présentent ensemble au conseil d'administration comment le portefeuille combiné de projets technologiques et de sécurité améliore en fin de compte le profil de risque technologique, en plus d'atteindre d'autres objectifs commerciaux et commerciaux, est la bonne approche. Ils ne devraient pas simplement considérer les dépenses de sécurité comme des dépenses de sécurité ; ils devraient considérer une grande partie des dépenses technologiques comme des dépenses de sécurité.

Plus nous pouvons intégrer la conversation sur la sécurité, la cybersécurité et les risques technologiques dans les autres conversations qui ont toujours lieu au sein du conseil d'administration, plus nous pouvons en faire un risque et une considération dominants de la même manière que les conseils d'administration envisagent les questions financières et financières. risques opérationnels. Oui, le directeur financier parlera périodiquement de la situation financière globale de l'organisation et de la gestion des risques, mais vous verrez également le CIO dans le contexte de l'informatique et le RSSI dans le contexte de la sécurité parler des aspects financiers de leur entreprise.

Considérations de sécurité autour de l’IA générative

Megan Crouse : L’IA générative est l’un de ces changements technologiques majeurs à l’échelle mondiale. Quelles considérations de sécurité autour de l’IA générative les entreprises devraient-elles spécifiquement surveiller aujourd’hui ?

Nick Godfrey : À un niveau élevé, notre façon de concevoir l’intersection de la sécurité et de l’IA consiste à la diviser en trois catégories.

Le premier est l’utilisation de l’IA pour se défendre. Comment pouvons-nous intégrer l’IA dans les outils et services de cybersécurité qui améliorent la fidélité de l’analyse ou la rapidité de l’analyse ?

Le deuxième volet concerne l’utilisation de l’IA par les attaquants pour améliorer leur capacité à réaliser des tâches qui nécessitaient auparavant beaucoup d’intervention humaine ou de processus manuels.

Le troisième volet est le suivant : comment les organisations envisagent-elles le problème de la sécurisation de l’IA ?

Lorsque nous parlons à nos clients, le premier élément est quelque chose qu’ils estiment que les fournisseurs de produits de sécurité devraient comprendre. Nous le sommes, et d’autres le sont aussi.

Le deuxième volet, en termes d’utilisation de l’IA par les acteurs de la menace, est quelque chose que nos clients surveillent, mais ce n’est pas vraiment un nouveau territoire. Nous avons toujours dû faire évoluer nos profils de menaces pour réagir à tout ce qui se passe dans le cyberespace. Il s’agit peut-être d’une version légèrement différente de cette exigence d’évolution, mais cela reste fondamentalement quelque chose que nous avons dû faire. Vous devez étendre et modifier vos capacités de renseignement sur les menaces pour comprendre ce type de menace, et en particulier, vous devez ajuster vos contrôles.

C’est le troisième volet – comment réfléchir à l’utilisation de l’IA générative au sein de votre entreprise – qui suscite de nombreuses conversations approfondies. Ce compartiment couvre un certain nombre de domaines différents. L’une d’elles, en effet, est le shadow IT. L’utilisation de l’IA générative grand public est un problème informatique fantôme dans la mesure où elle crée une situation dans laquelle l’organisation essaie de faire des choses avec l’IA et en utilisant une technologie grand public. Nous préconisons vivement que les RSSI ne bloquent pas toujours l’IA des consommateurs ; il peut y avoir des situations où vous en aurez besoin, mais il est préférable d'essayer de comprendre ce que votre organisation essaie de réaliser et d'essayer de le permettre de la bonne manière plutôt que d'essayer de tout bloquer.

Mais l'IA commerciale aborde des domaines intéressants autour du traçage des données et de leur provenance dans l'organisation, de la manière dont elles ont été utilisées pour former des modèles et de qui est responsable de la qualité des données – et non de leur sécurité… de leur qualité.

Les entreprises devraient également se poser des questions sur la gouvernance globale des projets d’IA. Quelles parties de l’entreprise sont en fin de compte responsables de l’IA ? À titre d'exemple, le red teaming d'une plateforme d'IA est assez différent du red teaming d'un système purement technique dans le sens où, en plus de faire le red teaming technique, vous devez également réfléchir au red teaming des interactions réelles avec le LLM (grand langage). modèle) et l'IA générative et comment la briser à ce niveau. En fait, sécuriser l’utilisation de l’IA semble être le défi le plus important pour nous dans l’industrie.

Cybermenaces et tendances internationales et britanniques

Megan Crouse : En ce qui concerne le Royaume-Uni, quelles sont les menaces de sécurité les plus probables auxquelles les organisations britanniques sont confrontées ? Et y a-t-il des conseils particuliers que vous leur donneriez en matière de budget et de planification en matière de sécurité ?

Nick Godfrey : Je pense que c’est probablement assez cohérent avec d’autres pays similaires. De toute évidence, certains types de cyberattaques et certains auteurs de menaces ont un certain contexte politique, mais je pense que si vous comparez le Royaume-Uni aux États-Unis et aux pays d’Europe occidentale, je pense qu’ils sont tous confrontés à des menaces similaires.

Les menaces sont en partie dirigées sur des lignes politiques, mais beaucoup d’entre elles sont également opportunistes et basées sur l’infrastructure gérée par une organisation ou un pays donné. Je ne pense pas que dans de nombreuses situations, les auteurs de menaces motivés par des motivations commerciales ou économiques soient nécessairement trop inquiets du pays en particulier qu'ils s'attaquent. Je pense qu’ils sont principalement motivés par l’ampleur de la récompense potentielle et la facilité avec laquelle ils pourraient atteindre ce résultat.

Laisser un commentaire