Identité RSA démasquée

INGO SCHUBERT
Bienvenue à RSA Identity Unmasked. Aujourd'hui, nous parlons de l'un des secteurs les plus risqués et les plus intéressants de la sécurité de l'identité, à savoir les soins de santé. Paul et John m'accompagnent à nouveau aujourd'hui et nous allons examiner les défis, les cas d'utilisation et les meilleures pratiques. Commençons par le début. Pourquoi les soins de santé constituent-ils un environnement si particulier pour la sécurité de l'identité ?

JON NICHOLAS
Je vais commencer si tu veux, Paul. Voulez-vous commencer ?

PAUL MULVIHILL
Sans aucun doute !

JON NICHOLAS
Je pense que l'une des choses dont nous parlons toujours à propos des soins de santé, et c'est l'un des premiers sujets abordés, c'est la pile technique dont ils disposent et, surtout, l'infrastructure existante. L'un des domaines les plus importants à sécuriser du point de vue de l'identité, parce qu'ils n'ont peut-être pas accès aux services modernes d'AMF. La technologie propriétaire héritée est donc un énorme défi pour un secteur comme celui des soins de santé, le NHS étant un très bon exemple au Royaume-Uni.

PAUL MULVIHILL
Nous connaissons tous le NHS, mais il est souvent constitué d'un grand nombre d'organisations plus petites, ce qui ne signifie pas qu'il y ait un seul et unique fonds pour soutenir l'infrastructure informatique, il se peut que chaque petit organisme ait ses propres responsabilités et qu'il ne puisse donc pas obtenir les dernières nouveautés, parce qu'il n'a pas le budget pour cela. S'il s'agissait d'une seule et même chose, ce serait possible, mais le monde ne fonctionne pas comme ça, malheureusement, dans une certaine mesure. Il faut donc se demander comment chacun d'entre eux peut s'assurer qu'il dispose du meilleur et du plus récent, alors qu'il ne peut pas le faire parce qu'il a des systèmes hérités, qu'il doit s'occuper de la migration ou de la maintenance, ce qui ajoute des défis supplémentaires à la question de savoir comment parvenir à un système moderne

INGO SCHUBERT
C'est vrai. Et je pense que, bien sûr, c'est différent en Allemagne, par exemple. Ce n'est pas si différent, je pense, dans ce contexte, n'est-ce pas ? Vous savez, des organisations différentes, beaucoup d'applications anciennes. Pour être juste, c'est probablement le cas dans toute l'Europe ou peut-être même dans le monde entier, n'est-ce pas ?

PAUL MULVIHILL
Nous parlons de l'héritage du système, si vous avez quelque chose qui fonctionne et les taux d'erreur, donc si vous vous occupez de la santé d'une personne, vous avez un système qui teste quelque chose, il fonctionne. Vous n'allez pas décider de le modifier parce qu'il a peut-être deux ans d'âge. Vous allez consacrer ces fonds à un nouveau domaine. Donc, oui, il peut s'agir d'un héritage, mais cela ne veut pas dire qu'il est vieux, désuet et obsolète. Cela signifie simplement qu'il fonctionne. Il y a des choses plus importantes à regarder.

INGO SCHUBERT
Ne touchez pas à un système en fonctionnement. Qu'est-ce qui rend l'accès, le contrôle et l'authentification si difficiles dans cet environnement ?

PAUL MULVIHILL
Je dirais probablement qu'il s'agit d'un mélange de plusieurs organismes. Comment, si vous travaillez tous de manière indépendante, mais que vous avez une main-d'œuvre qui peut passer d'un organisme à l'autre parce qu'elle couvre une zone plus large, comment mettre en place un système facile à utiliser qui va, par exemple, me permettre de travailler à un endroit un jour, ailleurs, dans un autre organisme, dans un autre organisme, dans un autre, dans un autre, dans un autre, dans un autre. Existe-t-il un système central qui gère tout cela ? Probablement pas. Est-ce que je vais retourner quelque part ou est-ce que je vais le faire un jour par an ailleurs ? Le nombre de systèmes que vous essayez de gérer et de sécuriser du point de vue de l'identité croît de manière exponentielle en termes de complexité. Je suis sur 50 sites, est-ce que ce sont 50 systèmes ? Est-ce 5, est-ce 1 ? À l'échelle du pays tout entier, on ne fait qu'ajouter des couches de complexité pour diverses raisons.

JON NICHOLAS
Oui, et je pense que c'est le nombre d'utilisateurs. C'est le compte d'utilisateur qui est parfois si difficile à contrecarrer parce que vous avez des cliniciens qui sont là pour assurer les services médicaux de première ligne et qui sont, bien sûr, très bons dans ce qu'ils font, mais ce ne sont pas des experts en cybersécurité. Il y a toute une équipe qui soutient le NHS, par exemple, et qui s'occupe de la logistique, de la planification et de l'administration. Certains d'entre eux peuvent utiliser un authentificateur mobile, mais d'autres sont peut-être dans le service ou dans des environnements plus sécurisés, mais nous savons qu'ils ne peuvent pas l'utiliser. Vous devez avoir quelque chose d'autre, vous savez, un jeton physique pour
l'authentification. Vous avez donc non seulement une main-d'œuvre gigantesque, mais aussi de multiples cas d'utilisation en termes d'authentification. Et puis, vous savez, vous avez mentionné le mobile, mais certaines personnes n'ont peut-être même pas de mobile qu'elles veulent utiliser. Il y a donc trois, quatre, cinq cas d'utilisation différents, rien que pour connecter cinq personnes à un système.

INGO SCHUBERT
Ainsi, les cliniciens, le personnel temporaire, les équipes tournantes, tout cela complique énormément les choses. C'est ce que vous venez de dire. Donc, du point de vue de la gestion de l'identité, je peux voir pourquoi c'est un peu difficile par rapport à une main-d'œuvre d'entreprise plutôt organisée, vous savez, où vous travaillez de neuf à cinq. Oui, vous pouvez avoir des fuseaux horaires différents, oui, mais cela fait monter la pression jusqu'à 11 heures, essentiellement.

PAUL MULVIHILL
Oui, vous pouvez avoir une grande entreprise qui a, disons, 50 ou 100 départements différents, alors que dans le secteur des soins de santé, vous pouvez avoir un grand organisme qui est le secteur des soins, mais il peut y avoir 50 ou 100 entreprises distinctes qui ont toutes leur spécialité et qui doivent être autonomes dans leur façon de travailler tout en travaillant avec d'autres entités au sein du même espace. Et si vous avez des problèmes avec l'une d'entre elles, quelles sont les conséquences ?

INGO SCHUBERT
En termes de, bien sûr, vous savez, nous avons cette émission de télévision dramatique comme vous savez tout doit aller vite oui mais c'est une chose oui nous ne ralentissons pas les choses je pense que c'est une partie du défi ici mais ce n'est pas seulement comme ça hey vous savez quelqu'un se précipite dans la salle d'urgence et les choses doivent aller vite c'est aussi parce que vous avez vous savez une main d'œuvre limitée ils doivent être très efficaces ce qui signifie aussi que oui vous savez la sécurité ne peut pas ralentir les choses à cause de cela alors quels seraient les défis et, vous savez, les moyens d'y parvenir ?

JON NICHOLAS
Juste à propos de ces énormes défis, vous ne voudriez pas, si nous en parlons du point de vue de la gouvernance, du point de vue du moindre privilège, vous voudriez dire, d'accord, nous avons besoin que tout le monde ait seulement les privilèges pour faire leur rôle, par exemple. Mais le défi, c'est de faire ce changement et d'enlever certaines permissions par erreur. Et maintenant, ils ne peuvent plus faire fonctionner cette machine ou cet équipement critique dans le service qui va aider à sauver la vie de quelqu'un. La précision de la prise de décision pour appliquer une solution IGA, par exemple, doit donc être absolument irréprochable. À ce stade, la capacité à apporter des changements passe probablement par des couches et des couches de prise de décision, ce qui ralentit le processus. Car la dernière chose que nous voulons, c'est de mettre en œuvre ce flux de travail et que quelqu'un ne puisse plus sauver une vie, pour reprendre l'exemple le plus extrême, ou administrer quelque chose de la pharmacie.

INGO SCHUBERT
Mais en même temps, avec la gouvernance des identités en particulier, il y a bien sûr la solution miracle dans ce cas, ce qui n'est bien sûr pas le cas, il suffit de donner à chacun plus de droits d'accès, fondamentalement, plus de droits qu'ils n'en ont d'habitude. Est-ce une approche valable ? Est-ce un bon compromis ? Non, c'est solennellement le cas, je suppose, n'est-ce pas ?

PAUL MULVIHILL
Oui, parce que si une personne est piratée, si un compte est compromis et qu'elle a beaucoup trop d'autorisations, que se passe-t-il ? Le concierge qui a reçu toutes les autorisations parce qu'il fait partie du personnel d'un hôpital peut entrer dans le système de la pharmacie et avoir accès aux médicaments ou aux modifications des dossiers des patients. C'est vrai. Mais il y a aussi, comme le disait Jon, tellement de ramifications potentielles à un changement dans l'application d'une politique ou dans l'application d'un moindre chemin de permissions, qu'il s'agit presque d'une paralysie du risque. Je pourrais mettre en œuvre cette politique qui supprime les autorisations pour X, Y et Z. Si vous n'êtes pas absolument sûr, avez-vous fait l'analyse suivante : cela affecte 50 personnes, ces 50 personnes ont-elles accédé à cette ressource ? Si l'une d'entre elles l'a fait, vous devez continuer à l'examiner. Cette personne doit-elle bénéficier d'autorisations spéciales ? Si aucune d'entre elles ne l'a fait, et que vous avez surveillé la situation pendant suffisamment longtemps, alors oui, vous pourriez l'appliquer, et bien, nous l'enlèverons. Mais il y a cette crainte que si j'enlève quelque chose, il y aura ce scénario que l'on ne peut jamais prévoir en matière de soins de santé. On peut essayer de deviner beaucoup de choses, mais on ne peut jamais prévoir une situation d'urgence où l'on a besoin de quelque chose. J'ai supprimé cette autorisation. Dans ce cas, l'infirmière, le médecin ou quelqu'un d'autre a besoin de faire quelque chose et tout d'un coup, il ne peut plus le faire.

INGO SCHUBERT
Il ne s'agit pas seulement de faire fonctionner des machines. Il peut aussi s'agir d'accéder à des données quelque part, n'est-ce pas ? Les dossiers médicaux, par exemple. Je comprends donc que dans une entreprise normale, il peut être mauvais que quelqu'un ait trop peu de droits. Il ne peut pas faire son travail, mais, vous savez, il fait une demande, elle est approuvée. Vous savez, c'est comme si, oui, c'est mauvais. Il se peut qu'il y ait quelques heures de retard, peut-être le lendemain, mais ce n'est pas le monde, alors que dans un environnement de soins de santé, cela peut littéralement signifier un énorme problème. Et, vous savez, ce n'est peut-être pas fait à la minute près, mais, vous savez, cela pourrait signifier que quelqu'un ne reçoit pas les soins dont il a besoin au moment où il en a besoin.
PAUL MULVIHILL
S'il s'agit d'une entreprise et que quelqu'un accède aux données, il se peut que quelqu'un commande quelque chose sur une carte de crédit et que vous puissiez alors avoir recours à la rétroaction sur les cartes de crédit pour corriger la situation ou annuler une commande. Je veux dire que certains de ces effets ne sont pas très graves, mais s'il s'agit de soins de santé, quelqu'un modifie votre dossier médical. Quelqu'un partage des détails qui ne devraient pas être partagés. Les conséquences sont bien plus importantes. Ou bien des informations sont divulguées et peuvent avoir des effets à long terme sur vous. Comme vous l'avez dit, il se peut qu'un médicament dont vous dépendez soit arrêté. Êtes-vous proche de la fin de votre prescription avec ce médicament et, en fait, ils suppriment les détails lorsque vous devez passer par toute la revalidation de ce qui est réellement, oui, j'en ai besoin, le ralentissant encore plus, le retardant, ce qui a plus d'effets en cascade. C'est parce qu'il s'agit d'un de ces secteurs où ce qui peut sembler un petit changement dans l'entreprise et le secteur privé des soins de santé, les problèmes et les ramifications sont potentiellement 10, 20, 30 fois plus importants.

JON NICHOLAS
Oui, et sur ce genre de chiffres, quand vous regardez, vous savez, une violation de données dans ce genre de scénario, comme les dossiers médicaux sont extrêmement précieux lorsqu'ils sont échangés sur le dark web, plus que les détails des cartes de crédit, par exemple, et l'un des domaines où ils peuvent être utilisés serait comme la fraude à l'assurance, qui peut entraîner d'énormes, vous savez, compensations monétaires, vous savez, je suppose, si quelqu'un fait cette demande, il connaît vos antécédents médicaux, alors il peut faire avancer l'assurance en votre nom, et, vous savez, c'est incroyablement lucratif. C'est donc là que les attaquants veulent intervenir. Ils espèrent, dit-il, ne pas risquer la vie de qui que ce soit, mais la récompense financière que représente le fait d'avoir ces dossiers médicaux et de les utiliser à des fins lucratives est ce qu'ils recherchent.

INGO SCHUBERT
Je veux dire que ces informations seraient parfaites pour un attaquant qui voudrait lancer une attaque par spearfishing contre quelqu'un. Si vous connaissez déjà des détails médicaux, oui, cela augmente le niveau de confiance, ce qui vous rend plus méfiant à l'égard de ce type d'attaques, n'est-ce pas ? Ou simplement, vous savez, je ne sais pas, le chantage ou autre. Il y a tellement de choses que l'on peut faire avec ces enregistrements, n'est-ce pas ? Donc, oui, je peux voir ça. Pour en revenir à la pratique, que se passe-t-il dans un hôpital par exemple ? Quel est le processus d'authentification typique que quelqu'un doit suivre ?

JON NICHOLAS
Je ne sais pas s'ils sont typiques.

INGO SCHUBERT
Bon, d'accord.

JON NICHOLAS
Nous avons parlé des systèmes, mais que devraient-ils faire ? Peut-être la question, mais vous savez, il devrait toujours y avoir, il devrait toujours y avoir cette étape MFA avec, vous savez, processus supplémentaire dans le back-end, vous savez, pouvez-vous tirer parti de l'accès conditionnel lorsque nous parlons d'un point de vue IAM, pouvez-vous tirer parti de l'IA pour comprendre si cet utilisateur est le bon utilisateur au bon moment et faire en sorte que cela se fasse de manière dynamique plutôt que d'avoir des administrateurs qui essaient de bricoler des politiques d'accès conditionnel basées sur une base d'utilisateurs si vaste et une pile technologique si vaste, alors oui, utilisez les outils à votre avantage et faites toujours en sorte que quelqu'un fasse un step-up lorsqu'il est dans des enregistrements critiques.

INGO SCHUBERT
Une chose que j'ai remarquée dans cette industrie, je pense que ce qui s'en rapproche le plus, c'est peut-être la fabrication dans l'atelier de fabrication, c'est le partage d'appareils. Je ne dirais pas que c'est la norme, mais qu'il y a un nombre disproportionné d'appareils partagés. Comment faire face à cela ?

PAUL MULVIHILL
Oui, vous avez une main-d'œuvre qui travaille disons 8 heures par jour, vous n'allez pas avoir chaque jour une personne qui a son propre appareil, donc vous allez en avoir un partagé par au moins 3 personnes et dans des cas probables partagé par 5, 6, 7 parce qu'il peut s'agir d'un terminal à un poste d'infirmière, ce genre de choses. Quelle est la meilleure façon de le protéger ? Je veux dire que vous allez mettre une sorte d'identifiant dans le nom d'utilisateur et le mot de passe. J'ai vu des gens utiliser des jetons OTP, des jetons matériels, parce qu'ils sont difficiles à tuer. Ils sont sacrément résistants. Mais est-ce suffisant ? Parce qu'il s'agit d'un mot de passe à usage unique. Il faut que quelqu'un accède à un ordinateur, se connecte et l'utilise. Mais ils ont été testés et éprouvés. Les gens savent comment les utiliser et il y a beaucoup de gens dans cette industrie qui pourraient parler avec n'importe lequel d'entre nous du corps et du fonctionnement de sa partie du corps, leur donner une clé FIDO et leur demander de s'habituer à l'utiliser ou un téléphone portable avec la biométrie " push to approve ", c'est juste un domaine complètement différent auquel ils doivent penser, c'est un peu comme ça, c'est un peu comme si votre zone de confort et vos connaissances techniques se trouvaient ici. Mais ensuite, nous essayons de dire, eh bien, pour utiliser cela. Il faut y ajouter tous ces autres éléments.
 
INGO SCHUBERT
De plus, je pense que ce n'est pas si différent d'autres domaines dans d'autres industries où, par exemple, un téléphone portable ne peut pas être emporté partout. Il y a des endroits où l'on n'a pas le droit d'emporter des smartphones ou des appareils intelligents, soit pour des raisons de confidentialité, soit parce que j'ai des caméras ou, je ne sais pas, comme, vous savez, vous n'avez pas le droit d'avoir une connexion Wi-fi quelque part parce que cela perturbe une autre machine. Donc, oui, vous avez besoin d'options, oui. De plus, le générateur OTP peut être plongé dans du désinfectant, si vous le souhaitez.

PAUL MULVIHILL
Oui. Je discutais avec un client l'autre jour, et il avait exactement le même type de scénario, qui n'est pas médical, mais où il n'y a pas de téléphone portable. L'environnement physique est verrouillé du point de vue de la sécurité. Alors oui, ils ont soit le jeton matériel avec les codes d'accès à usage unique, soit les clés Fido. Je veux dire que certaines des nouvelles clés, comme celles de RSA iShield, intègrent la technologie sans contact FIDO et d'autres éléments de ce type. Ainsi, alors que dans le passé, il pouvait s'agir d'un nom d'utilisateur, d'un mot de passe et d'un code de passe à usage unique ou de les utiliser dans le code de passe. Il est possible d'aller sur un ordinateur, d'utiliser le nom, d'appuyer sur le bouton, d'insérer le code et d'entrer.

INGO SCHUBERT
C'est tout.

PAUL MULVIHILL
Il s'agit d'accélérer les processus. Et il y a d'autres domaines dans lesquels cela progresse également, où cela pourrait devenir encore plus simple à l'avenir. Certains éléments de FIDO et de Passkey peuvent retenir, en quelque sorte, ils commencent à apprendre un peu qui ils sont, de sorte que vous pouvez les associer à une personne. Ainsi, à terme, il suffira de se présenter avec une clé FIDO et de l'introduire dans la machine.

INGO SCHUBERT
Bien sûr, si vous disposez de cette touche NFC, cela pose moins de problèmes d'utilisation. Vous n'avez pas besoin de lire quelque chose et de taper à nouveau sur quelque chose où il peut arriver que vous lisiez les mauvais chiffres ou que vous ayez les bons chiffres et que vous les tapiez mal. Cela a donc permis d'éliminer ce genre de problèmes.

PAUL MULVIHILL
Et si quelqu'un souffre d'une déficience visuelle, lire cela sur un petit écran qui tourne, ce n'est peut-être pas facile. Encore une fois, il s'agit de NFC.
INGO SCHUBERT
Je vois cela.

PAUL MULVIHILL
Tout le monde, quel que soit le secteur, peut bénéficier de cet élément.

JON NICHOLAS
L'un des secteurs les plus critiques est probablement l'équilibre entre la sécurité et la commodité, car nous ne voulons pas ralentir le flux d'authentification et le flux d'accès pour les gens, probablement lorsqu'ils sont pressés de faire quelque chose de très important, de sorte que la sécurité et la commodité en même temps seront critiques.

INGO SCHUBERT
Il est donc important d'avoir plusieurs méthodes d'authentification, pas seulement pour un utilisateur, il peut y avoir des utilisateurs qui ont plusieurs méthodes, mais parce qu'il y a tous les différents types de rôles, comme on l'a compris, n'est-ce pas ? Ce n'est donc pas comme s'il y avait un seul type qui convenait à tous.

PAUL MULVIHILL
Oui, c'est vrai.

JON NICHOLAS
Absolument pas. Certainement pas dans une organisation de cette taille.

PAUL MULVIHILL
Comme vous l'avez mentionné à propos des différents rôles, vous revenez à l'aspect gouvernance des choses pour vous assurer que chaque personne jouant son rôle, vous avez correctement cartographié ce qu'elle peut faire. Une infirmière et un hôpital auront un ensemble de choses qu'ils devraient être capables de faire, un médecin, un autre porteur ou une personne à la réception. Je ne pourrais probablement même pas énumérer le nombre de rôles différents qu'il y a ici et qui ont tous des exigences et des droits d'accès différents. Vous devez donc vous assurer que vous pouvez cartographier tout cela et dire, d'accord, cette personne a ce rôle et vous assurer que le processus de gouvernance en place et les systèmes de cycle de vie en place disent, d'accord, c'est votre rôle, c'est ce que vous pouvez avoir et ensuite cartographier cela pour une méthode appropriée afin que vous puissiez faire votre travail sans passer 20 minutes par jour à faire de l'AMF, peut-être une ou deux fois par jour et ensuite peut-être tirer parti de l'aspect IA et de l'analyse comportementale pour dire, d'accord, je suis entré, Je suis sur l'ordinateur que j'utilise toujours, j'accède à la ressource à laquelle j'accède toujours, faites-le une fois, et je suis dedans, continuez.

INGO SCHUBERT
Donc, en restant du côté de la gouvernance, de la gouvernance des identités, comment, pourquoi, comme le joint -a -move a lever, pourquoi est-ce si important dans l'environnement des soins de santé ?

JON NICHOLAS
Je pense que lorsque vous regardez, encore une fois, j'ai beaucoup parlé de l'échelle, mais vous voyez, et Paul l'a mentionné, les gens peuvent se déplacer entre les trusts, mais au sein d'un trust aussi, vous avez changé de rôle, probablement régulièrement. Donc l'échelle de leur processus JML, je veux dire, des dizaines, des centaines de milliers de changements par jour. Il est donc essentiel d'automatiser ce processus. Et il ne s'agit pas seulement d'automatiser, mais aussi d'avoir le bon calendrier, vous savez, vous allez changer de rôle dans trois jours, n'est-ce pas ? C'est dans le système. Dans trois jours, vous passez du rôle A au rôle B, c'est fait automatiquement dans le back-end. Et vous connaissez le rôle que vous allez occuper, ou le système connaît le rôle que vous allez occuper et sait quelles sont les autorisations dont vous avez besoin. Il ne s'agit pas pour moi de parler à votre manager et de lui dire ‘Hé, Ingo va rejoindre votre équipe la semaine prochaine, qu'est-ce qu'il devrait pouvoir faire’, il s'agit de dire "Ingo a rejoint l'équipe et peut faire tout ce qu'il a besoin de faire dès le premier jour".

INGO SCHUBERT
Et cela signifie également que le rôle A n'est plus le mien si je change de trusts, bien sûr, oui ?

JON NICHOLAS
Oui, oui.

INGO SCHUBERT
Ainsi, cette accumulation de droits ou de temps, que nous avons tous vue au cours de notre carrière à un moment ou à un autre, est une réalité.

JON NICHOLAS
L'étalement de l'identité, si l'on veut.

INGO SCHUBERT
Oui, oui.

PAUL MULVIHILL
Pour ajouter à ce que Jon disait, si vous sautez d'un site à l'autre, d'une confiance à l'autre et d'un rôle à l'autre, le compte qui a été créé pour vous sur le site A, si vous n'êtes pas de retour pendant trois, quatre, cinq semaines ou même deux ou trois jours, avec le cycle de vie et l'élément de levier, vous pouvez instantanément désactiver ce compte. Il n'y a donc pas de scénario de compte orphelin dans lequel ce compte existe, il dispose d'un certain niveau d'autorisations. Il est juste là, sans être utilisé, ce qui signifie qu'il s'agit d'un autre vecteur d'attaque. Quelqu'un ne peut donc pas y entrer et se lancer dans des attaques de type ransomware sur des trusts et autres choses de ce genre. Il suffit de verrouiller l'accès parce qu'on n'est plus là. Si vous revenez dans deux jours, le système le rallume dans deux jours.

INGO SCHUBERT
C'est vrai.

PAUL MULVIHILL
Jusqu'à ce moment-là, ce n'est pas une option. Elle est désactivée. Elle ne peut pas être utilisée.

INGO SCHUBERT
Et la visibilité qui en découle, je veux dire, évidemment le système sait, vous savez, quels rôles vous avez, quels rôles vous aurez, les rôles que vous aviez. Je pense que, et corrigez-moi si je me trompe, mais vous savez, si vous êtes audité, cette information et cette visibilité semblent terriblement utiles.

PAUL MULVIHILL
Vous auriez un historique complet de qui peut faire quoi et à quel moment. Ainsi, si quelque chose se produisait du point de vue de l'audit, est-ce que vous adhérez à ces critères d'audit ? Oui, voici la preuve. Si vous disposez d'une sorte de plateforme de gouvernance centrale, tout est là. Vous pouvez donc savoir que tout va bien, qu'il n'y a pas de problème. Et dans l'éventualité où, eh bien, dans l'éventualité, espérons-le, rare, où quelque chose arrive, vous pourriez alors utiliser le même ensemble de données pour dire, d'accord, qui avait accès à ces choses à ce moment-là ? En fonction des données supplémentaires que vous pouvez intégrer à l'écosystème, vous pouvez dire que ces comptes ont peut-être fait quelque chose, mais vous pouvez aussi dire qui y a eu accès. Qui aurait pu faire quelque chose.

INGO SCHUBERT
Cela facilite donc les enquêtes. Si des choses se produisent, je veux dire, en tant que bon ingénieur en sécurité, vous supposez toujours que des choses se produiront, que vous finirez par être victime d'une brèche. Cela vous aide aussi, vous savez, pendant le processus de nettoyage, à voir ce qui se passe, qui a été touché.

PAUL MULVIHILL
On part toujours du principe qu'il est possible d'ouvrir une brèche. On met donc en place autant de mesures et de contrôles que possible pour en minimiser l'impact, à moins de prendre cet ordinateur, de le débrancher, de le mettre dans du ciment et de le laisser tomber dans la tranchée d'Areana ou quelque chose du genre, cela ne se produira pas. Il faut donc faire le maximum pour que, si quelque chose se produit, cela ait le moins d'impact possible sur le cours des choses.

JON NICHOLAS
Oui, je pense qu'il faut ajouter à cela que si vous regardez les données que vous obtenez à partir d'une approche de gouvernance, il ne s'agit pas seulement de savoir si nous pouvons fournir des informations aux auditeurs. Je pense qu'il s'agit aussi de savoir si nous pouvons comprendre ce que nous avons actuellement. La maturité des processus, j'en parle beaucoup dans ces sessions, mais vous savez, vous regardez une équipe, vous regardez les droits de ses rôles. Vous vous dites, attendez, personne dans cette équipe n'a utilisé ce droit depuis six mois, un an, quel que soit le délai que vous définissez, et le système devrait dire qu'il n'a pas été utilisé. Envisageons de supprimer ce droit, parce qu'il s'agit d'un droit excessif, et qu'il y a peut-être une très bonne raison de ne plus l'utiliser. Il y a peut-être un système parallèle qu'ils utilisent pour effectuer cette partie de la charge de travail. Le nouveau système en est donc doté et l'ancien en est dépourvu. Mais vous avez besoin de cette intelligence automatisée pour vous aider à découvrir ces informations, parce que sinon vous faites des audits manuels complets et je ne sais pas ce que vous avez utilisé dans le système au cours des six derniers mois, mais le système sait comment vous l'avez utilisé. Utilisez donc ces informations pour prendre des décisions éclairées en vue d'atteindre la confiance zéro ou le moindre privilège.

INGO SCHUBERT
Oui, c'est là que le privilège me vient à l'esprit.

PAUL MULVIHILL
Ensuite, comme vous l'avez dit, vous pouvez commencer à voir où ce privilège de permission particulier n'a pas été utilisé. En fait, 80 % de l'équipe l'ont fait, mais cela ne fait pas partie de leur rôle officiel. Devons-nous ajouter cela pour nous assurer que toute l'équipe peut le faire parce qu'elle en a besoin plutôt que 8 sur 10, individuellement, disent, oui, puis-je avoir accès au système B, s'il vous plaît, parce que j'en ai besoin pour faire X.

INGO SCHUBERT
Gestion par exception, essentiellement, oui. Nettoyer, oui.

PAUL MULVIHILL
Nous allons nous dire qu'en fait, 80 % d'entre eux l'utilisent. Faisons en sorte que cela fasse officiellement partie de leur rôle afin de pouvoir adhérer à ces audits et à cette conformité et de pouvoir dire, oui, cette équipe a besoin de cela. Cela fait partie de leur rôle. Quelqu'un d'autre arrive, quelqu'un d'autre part, nous désactivons cet accès parce que cela fait partie du rôle qu'ils ont, ou nous le donnons à la nouvelle personne qui fait aussi bien, juste pour garder tout en ligne et la visibilité de ceci est ce que ces personnes peuvent faire.

INGO SCHUBERT
Alors que diriez-vous à un DSI, un DSI du secteur de la santé, par où devrait-il commencer ? Parce qu'il y a, vous savez, tellement de choses qu'ils pourraient commencer, mais comme une petite liste de priorités peut-être, que leur diriez-vous ?

JON NICHOLAS
Je pense que je les encouragerais, et ils y réfléchissent déjà, mais la vraie raison est de se concentrer sur la résistance au phishing. Je pense que c'est par là que je commencerais, parce qu'un grand nombre de services de santé utilisent le courrier électronique comme principale méthode de communication. Et nous savons que c'est un vecteur d'attaque vraiment vulnérable pour le fishing. De plus, les utilisateurs de ces systèmes travaillent dans des environnements soumis à de fortes pressions. Ils se connectent, doivent faire quelque chose rapidement, les courriels arrivent, ils ont réussi à les trouver au bon moment, oui, ils les parcourent dans la panique. Pas dans la panique, mais juste dans un flux normal et, par inadvertance, vous savez, ils divulguent leurs informations d'identification et leurs données à ce site de phishing. Donc, en tenant compte de l'authentification de la résistance à l'hameçonnage, c'est principalement parce qu'il s'agit d'un secteur fortement axé sur les communications par courriel que je me pencherais sur la question.
 
PAUL MULVIHILL
Je serais probablement d'accord pour dire qu'il faut commencer par la résistance à l'hameçonnage, puis la visibilité de ce que peut faire votre personnel, donc peut-être un peu en retard mais en parallèle avec la sécurisation de la porte d'entrée, s'assurer que les approches de résistance à l'hameçonnage sont en place, mais ensuite mettre en place une sorte d'outil de visibilité de la gouvernance pour dire, ok, qui existe, quels comptes existent, qu'est-ce qu'ils peuvent faire, ne pas faire de changements, mais littéralement rassembler toutes ces informations pour commencer à voir quelle est la situation avec les comptes et les permissions. ce qui est utilisé, ce qui ne l'est pas, qui peut faire quoi, qui ne peut pas faire quoi. Une fois que l'on dispose des données, on peut commencer à se dire : voilà les changements que je peux envisager et qui n'ont pas d'effet au départ parce que personne ne les utilise. Mais aussi, quels changements dois-je apporter pour permettre à une équipe de faire son travail de manière plus efficace à l'avenir.

INGO SCHUBERT
Merci les gars. Nous avons eu de très bonnes informations sur la sécurité des identités dans les systèmes de soins de santé. Si vous appréciez ce type de discussions, n'oubliez pas de vous abonner pour être informé de la sortie d'un nouvel épisode. C'était RSA Identity Unmasked. Rendez-vous le mois prochain.

INGO SCHUBERT : Bienvenue à RSA Identity Unmasked. Aujourd'hui, nous abordons un sujet souvent négligé, la sécurité du service d'assistance. John et Paul m'accompagnent aujourd'hui et nous parlons de cas concrets, des risques et des contrôles qui permettent d'atténuer ces risques.

Pourquoi le service d'assistance devient-il une telle cible ? Commencez par celle-ci.

JON NICHOLAS : Oui, je suis heureux de participer. Je pense qu'au départ, le rôle d'un service d'assistance est d'aider les gens. Ainsi, quiconque appelle le service d'assistance jouera sur la bonne volonté de l'administrateur du service d'assistance en disant : " Hé, pouvez-vous m'aider à faire quelque chose ? C'est donc une bonne chose lorsque vous êtes un employé d'une entreprise et que vous dites : " J'ai vraiment besoin d'aide ". Mais lorsque vous êtes l'acteur de la menace qui appelle, ils peuvent prier sur cela et dire, d'accord, cette personne est prête à m'aider. Et cela est d'autant plus vrai si les processus de l'organisation sont médiocres, car l'administrateur du service d'assistance n'est plus limité par les processus à dire, je ne peux faire que X, Y, Z. Il peut dépasser ces limites et dire, je vais essayer de vous aider à faire ABC aussi. C'est un risque réel pour le service d'assistance, qui risque d'être exploité s'il n'y a pas de processus solide.

PAUL MULVIHILL : Il faut ajouter à cela que dans certains services d'assistance, les indicateurs de performance sont, dans une certaine mesure, les suivants : je dois fermer, quelqu'un téléphone, je dois fermer le ticket, je dois régler le problème. Si vous n'êtes pas à la hauteur, je vais m'en servir. Vous voulez faire fermer un ticket, j'ai téléphoné, vous en avez créé un, je ferai ce que je peux pour que vous me donniez les informations que je veux et que vous passiez outre les processus en place ou non.

INGO SHUBERT : Oui, je pense que si vous avez déjà travaillé au service d'assistance - je l'ai fait brièvement - je veux dire leurs statistiques, combien de tickets sont ouverts, vous savez le temps moyen de clôture d'un ticket et tout ça et parfois c'est dans un grand moniteur donc, je pense que cela crée comme un environnement de stress élevé qui est parfait pour vous savez les attaques d'ingénierie sociale. D'accord, oui, oui. Est-ce que ça a changé récemment, qu'est-ce qui a changé pour que ce soit maintenant une voie d'attaque privilégiée ?

PAUL MULVIHILL : Il s'agit probablement d'une attaque contre un itinéraire depuis un certain temps, mais il est évident qu'elle a fait l'objet de beaucoup plus d'attention ces derniers temps. Nous avons eu la coopérative de Mark Spencer, JLR, Jaguar, Land Rover au cours des 12 derniers mois. Elles ont toutes été touchées en partie parce que les services d'assistance ont été ciblés. Quelqu'un a réussi à convaincre quelqu'un de lui donner les informations d'identification d'un compte, est entré, puis a fait des bêtises, mais à peu près.

JON NICHOLAS : Oui, et je me demande quel est le rôle de l'externalisation de l'informatique dans ce domaine également, parce que les employés de l'organisation A ne sont plus les seuls à s'appuyer sur des tiers et nous parlons toujours des tiers comme d'un risque préalable au sein de l'industrie, alors quelle est l'importance de ce facteur et cela s'ajoute à la rotation du personnel du service d'assistance. Il se peut que les connaissances soient limitées de ce côté-là aussi.

INGO SHUBERT : D'accord, oui. Et bien sûr, s'ils ne connaissent pas la culture de l'entreprise, ils ont affaire à eux.

PAUL MULVIHILL : Si vous avez un service d'assistance externalisé, vous connaissez peut-être la procédure, mais vous ne connaissez pas les personnes. C'est vrai. Que pouvez-vous donc mettre en place pour dire : " D'accord, je vous appelle ? Nous ne nous sommes jamais rencontrés. Nous n'avons jamais été dans un bureau auparavant.

INGO SHUBERT : Comment cela pourrait-il se produire ? Je veux dire, quelle est une attaque typique dans ce cas ? Qu'est-ce que l'attaquant essaie de réaliser ? Et comment y parvient-il ?

PAUL MULVIHILL : Il peut s'agir, je pense, d'essayer de réinitialiser un compte, d'obtenir de l'aide ou d'accéder à un réseau VPN. Je veux dire que nous vivons dans un monde où il y a beaucoup de médias sociaux autour de ce que les gens font. J'ai des amis qui y publient leur vie pour diverses raisons. Certaines ont du sens, d'autres non. Si vous voulez en savoir plus sur quelqu'un, vous pouvez probablement commencer à rechercher des sources et à rassembler un grand nombre d'informations. Vous appelez donc un service d'assistance et vous avez peut-être trouvé le lieu de naissance d'une personne ou le nom d'un animal de compagnie, tout ceci, tout cela et tout le reste, de sorte que vous pouvez ensuite dire, bon, eh bien, j'ai besoin de faire réinitialiser un mot de passe. Quelles sont les étapes aujourd'hui pour savoir, quelles sont les étapes aujourd'hui pour savoir qui je suis, qui je dis ? Probablement des questions de sécurité.

INGO SCHUBERT : Oui. Il s'agit donc essentiellement d'une combinaison de certaines connaissances préalables que l'attaquant possède, soit à partir des réseaux sociaux, soit à partir de données achetées auprès d'un courtier en données, illégal ou non. Je sais qu'il peut s'agir d'une attaque différente ou de données achetées auprès d'un courtier en données, illégal ou non. Et ensuite, combiné avec, vous savez, cet environnement à haute pression dont nous avons parlé au début, oui, cela semble être une cible vraiment agréable et juteuse pour les attaquants, n'est-ce pas ?

JON NICHOLAS : Oui, en plus de cela, nous parlons beaucoup de la recherche de la personne que l'on veut imiter, mais je pense qu'avec les outils actuels dont nous disposons tous, nous pouvons dire, hé, qu'est-ce que l'entreprise X utilise dans son infrastructure informatique ? À quoi ressemble leur pile technologique ? Ainsi, lorsque vous avez une conversation avec le service d'assistance, vous pouvez être plus crédible. Il ne s'agit pas de savoir si je peux avoir accès au VPN. Il s'agit de savoir si le VPN de Palo Alto fonctionne pour moi. Pouvez-vous m'aider ? Alors, instantanément, ils se disent que c'est plus familier.

INGO SHUBERT : J'allais dire, dans ce cas, il semble que, vous savez, vous en tant qu'attaquant, cela semble plus familier, ce qui signifie que vous êtes l'un d'entre nous, oui, donc je peux vous faire plus confiance avec un service d'assistance externalisé, oui, vous êtes l'un d'entre eux presque parce qu'en fin de compte, vous savez, vous ne faites pas partie de l'entreprise.

PAUL MULVIHILL : J'ai regardé une vidéo, il y a peu de temps, sur l'une des conventions, où l'on voyait une personne payée pour pirater des entreprises par l'intermédiaire du service d'assistance. La vidéo montrait qu'il accédait aux systèmes du service d'assistance en 30 secondes environ, parce qu'il téléphonait, il réussissait à falsifier le numéro de téléphone pour qu'il ait l'air d'être celui de l'entreprise, de sorte que les personnes du service d'assistance pensaient instantanément : " Oh, ils sont internes ". Puis ils les ont convaincus, en leur posant des questions - en prétendant être l'utilisateur ou avoir des informations sur les systèmes VPN - pour les aider à accéder à un site web, ce qui leur a permis d'accéder à l'ordinateur de la personne concernée par une porte dérobée.

INGO SCHUBERT : Il s'agit donc essentiellement de s'appuyer sur des preuves pour l'authentification. Il s'agit plutôt d'un sentiment agréable et chaleureux que l'attaquant génère. Qu'est-ce qui devrait être fait à la place ? Qu'est-ce qui pourrait être fait différemment ? Je veux dire, ce n'est pas comme si c'était un tout nouveau problème, n'est-ce pas ? Les services d'assistance existent depuis des décennies, n'est-ce pas ?

PAUL MULVIHILL : Oui, je pense que nous sommes arrivés à un point où, en matière de sécurité informatique, nous sommes la partie la plus faible de toute l'équation. Si vous comptez sur quelque chose que nous savons, vous pouvez probablement le découvrir. Il faut en quelque sorte descendre dans le domaine de l'authentification de quelqu'un avec quelque chose qu'il a, qu'il ne peut pas obtenir d'une autre source ou qu'il ne peut pas apprendre ? Il s'agit donc d'une sorte de MFA progressive, quelque chose de ce genre, qui consiste à dire, d'accord, vous avez un système, vous demandez de l'aide, prouvez-le. Mais pas en vous posant une question, parce que ça peut être le cas.

INGO SCHUBERT : Eh bien, j'allais dire que les questions de sécurité les plus populaires sont celles qui portent sur le nom de jeune fille de la grand-mère et tout le reste. Combien d'entre elles sont toujours les mêmes ?

PAUL MULVIHILL : Exactement. Nous avons la même série de 10 questions, nous en choisissons trois. C'est comme si, vous savez quoi ? Je peux probablement trouver cette liste et aller chercher la réponse pour tout le monde.

INGO SCHUBERT : D'accord. Pour en revenir au thème général de la sécurité de l'identité, il faut des preuves, et des preuves solides. Je crois que vous avez mentionné l'AMF. C'est là que l'AMF entre en jeu.

PAUL MULVIHILL : Oui. Je veux dire, si vous êtes dans une entreprise et que vous avez mis en place l'AMF, utilisez-la à votre avantage. Si John a mis en place un MFA et qu'il appelle le service d'assistance, utilisez-le pour prouver que vous êtes bien celui que vous prétendez être. Il est évident que toutes les AMF ne se valent pas, mais c'est mieux que de se contenter d'une recherche sur John et de trouver son lieu de naissance ou le nom de jeune fille de sa mère, ceci, cela et l'autre, et de répondre à la question. S'il s'agissait d'une étape, vous avez obtenu un diplôme de maîtrise, prouvez-le.

INGO SCHUBERT : Donc, mais comment cela fonctionnerait-il maintenant ? Avec RSA ID Plus dans ce cas, parce que, je veux dire, que devrait faire le service d'assistance ? Qu'est-ce que l'utilisateur final devrait faire pour cela ? Parce que comme dire, vous faites de l'AMF, c'est comme, ouais, c'est une chose. Mais comment cela fonctionne-t-il étape par étape ? Comment, que doit faire l'utilisateur ?

PAUL MULVIHILL : Dans le cas du ID Plus, il y a deux côtés à la médaille : l'appel se fait entre deux personnes. La personne du service d'assistance trouve l'utilisateur dans le système et déclenche une session de vérification. L'utilisateur final qui appelle connaît l'URL, ou on lui a appris l'URL à laquelle il doit se rendre, et à l'intérieur du point final, c'est, ok, faites une MFA. L'entreprise va décider si c'est FIDA, si c'est poussé à l'approbation, biométrique, quelle que soit la méthode qu'elle choisit et qui est acceptable. Lorsqu'elle y parvient, elle obtient un code de vérification. Il le renvoie au service d'assistance. Mais il s'agit uniquement d'un numéro de vérification d'identité. Ce n'est pas un numéro d'authentification. Il ne permet pas de vérifier quoi que ce soit.

INGO SCHUBERT : Oui. Ils n'ont donc pas besoin de donner leur ANP actuelle ou quelque chose comme ça.

PAUL MULVIHILL : Ils font l'OTP s'ils font l'OTP. Ils font la poussée approuvée, les données biométriques de Fido. Ils font tout cela sans partager d'information à ce moment-là. Ils obtiennent un résultat. Il donne le résultat à la personne du service d'assistance, ce qui, encore une fois, ne sert qu'à la vérification. Il ne s'agit pas d'une authentification. Ensuite, le
La personne du service d'assistance dit : "D'accord, donnez-moi ce numéro, un, deux, trois, quatre, cinq, entrez-le, le système dit : "Oui, je m'attendais à ce que cette personne soit bien celle qu'elle prétend être".

INGO SCHUBERT : Bienvenue à RSA Identity Unmasked, le Vodcast où nous analysons les forces qui façonnent l'avenir de la sécurité de l'identité. Je suis votre hôte, Ingo Schubert, et aujourd'hui nous nous penchons sur un sujet qui suscite beaucoup d'intérêt dans l'industrie, l'informatique quantique. Aujourd'hui, je suis accompagné de David Lello, de Burning Tree. Entrons directement dans le vif du sujet. Aujourd'hui, l'informatique quantique, c'est le battage médiatique, la menace, l'opportunité, ou les trois à la fois. Nous reprenons en fait un débat qui a commencé à Bletchley Park en septembre de l'année dernière avec David Lilo de Burning Tree et moi-même, Ingo Schubert. Entrons donc directement dans le vif du sujet. David, bienvenue dans cet épisode.

DAVID LELLO : Merci

INGO SCHUBERT : Je pense que pour le bénéfice de l'auditoire, vous pouvez décrire en quelques mots ce qu'est l'informatique quantique pour que nous soyons au niveau des experts après que vous ayez terminé.

DAVID LELLO : Je vais commencer par la façon la plus simple d'envisager l'ordinateur quantique, car je pense que si nous entrons dans la physique théorique, nous risquons de perdre quelques personnes.

INGO SCHUBERT : Oui

DAVID LELLO : Avec les ordinateurs quantiques, les ordinateurs quantiques fonctionnent différemment des ordinateurs traditionnels. Avec un ordinateur quantique, il le fait différemment. Il utilise la mécanique quantique et donc, dans un monde multidimensionnel de mécanique quantique, il regarde les données et les voit. Il ne lit pas les données de la même manière et, par conséquent, il peut émettre des hypothèses et examiner de multiples constructions en même temps. C'est un peu comme lorsque vous lisez un livre, un ordinateur traditionnel le lira du début à la fin, alors qu'un ordinateur quantique lira le livre et verra les données. C'est pourquoi l'ordinateur quantique est capable de traiter les informations beaucoup plus rapidement. Et lorsqu'il s'agit de résoudre des problèmes, c'est un peu comme s'il résolvait tous les problèmes en même temps plutôt que d'examiner un problème et d'essayer de le résoudre en plusieurs fois.

INGO SCHUBERT : Oui, les algorithmes sont très différents, bien sûr. Oui, je pense que c'est probablement la raison pour laquelle de nombreuses personnes, et je me compte parmi elles, luttent, bien sûr, pour savoir comment programmer cette chose. Je pense que ce qui m'aide parfois à comprendre, comme, vous savez, c'est vraiment une bête différente, c'est que, vous savez, un ordinateur traditionnel, comme chaque bit, ouais. Si vous avez N bits, vous pouvez stocker N quantités de données. C'est zéro, un, ouais ? Avec l'ordinateur quantique, c'est deux à la puissance de N, oui, ce qui est comme, immédiatement, comme, si votre ancien instant se déclenche, c'est comme, oui, c'est beaucoup plus, oui, dans la même quantité de qubits dans ce cas, d'accord ? Par conséquent, le stockage et le traitement se font à un niveau différent, n'est-ce pas ? Je pense que nous allons en rester là, car sinon nous en aurions pour des jours, n'est-ce pas ? Je n'ai fait qu'expliquer les bases.

Le prochain sujet que j'aimerais explorer est l'état actuel de l'informatique quantique. Où en sommes-nous aujourd'hui ? Parce que je pense que, probablement, et si les gens qui nous regardent nous ont observés à Bletchley Park, nous avons des opinions différentes sur notre situation actuelle et future. Commençons donc par vous. Quel est l'état actuel de l'informatique quantique ?

DAVID LELLO : Je pense que l'informatique quantique en est encore à ses débuts. Il existe donc un certain nombre d'ordinateurs quantiques et il est possible de louer du temps sur des ordinateurs quantiques afin d'examiner des données. Mais je pense que la manière dont les ordinateurs quantiques ont été développés pose un certain nombre de problèmes. Certains ordinateurs quantiques nécessitent beaucoup de contrôle en termes de température, par exemple. Un ordinateur quantique fonctionne au zéro absolu, c'est-à-dire à moins 270 degrés Celsius, ce qui est très froid. Il faut donc de grandes installations, de grands équipements et beaucoup d'énergie. Sinon, on perd la cohésion et la stabilité de la plateforme.

Les premiers ordinateurs quantiques ne cessaient de s'éteindre à cause de ce problème. Il s'agit donc d'un problème qui doit être résolu et abordé. L'autre problème est que l'ordinateur quantique examine les données en même temps, ce qui crée beaucoup de bruit. Si vous deviez prendre quelque chose comme la Bible et la lire instantanément, plutôt que de la parcourir du début à la fin, cela créerait dans votre esprit un récit incompréhensible. Il serait alors très difficile de digérer, de comprendre et de distiller le message.

Le bruit dans le système a donc créé un grand nombre de problèmes. Nous avons vu quelques succès à Oxford, où ils ont réduit le taux d'erreur et le bruit dans le système de manière significative. Mais le problème le plus important à l'heure actuelle est probablement la quantité de cubes qui peuvent être intriqués en même temps, car on commence à perdre la cohésion de ces cubes lorsque l'on dépasse une centaine de cubes. Le nombre de qubits qui peuvent être intriqués en même temps pour pouvoir traiter l'information est donc limité. Cela signifie que la puissance de traitement et la capacité de la machine sont limitées.

Il ne s'agit donc pas encore de ce que nous appellerions l'informatique quantique pertinente sur le plan cryptographique, ce qui est un problème de taille, mais nous en sommes à un stade où elle a fait ses preuves. Elle fonctionne. Il fait ce que les scientifiques disent qu'il fait. Il s'agit simplement de passer au niveau supérieur et d'investir davantage. Tous les quelques mois, de nouvelles avancées se produisent ou font l'objet d'investissements importants, et nous commençons à voir des progrès.

INGO SCHUBERT : Oui, et c'est vrai. Et je pense que si vous comparez les ordinateurs quantiques, si vous regardez des photos d'eux, n'est-ce pas ? Entre il y a cinq ans et aujourd'hui, je les qualifierais encore partiellement d'expérience physique, mais c'était beaucoup plus physique il y a cinq ans, n'est-ce pas ? Si vous regardez la configuration physique de ces choses, n'est-ce pas ?

Cependant, s'il est vrai que, vous savez, ils deviennent comme, oui, vous leur posez un problème et ils peuvent le résoudre beaucoup plus rapidement que les ordinateurs traditionnels. Et cela tient en partie à ce que vous avez appelé la cohésion. Oui, la cohésion de base est, vous savez, si vous pouvez seulement garder le système stable pendant un certain temps. Et ce temps est généralement mesuré au maximum en secondes, ou en millisecondes, en fonction de la puce utilisée. Et cette durée est loin d'être utile dans de nombreux cas. Il y a cependant des cas d'utilisation où cela a du sens. Pensez-y comme à un coprocesseur quantique. Mais le problème que je rencontre, c'est que dans de nombreux cas d'utilisation, on peut se demander si l'on ne pourrait pas résoudre le problème aussi bien avec quelques GPU de Nvidia, n'est-ce pas ?

Ainsi, l'une des choses que je vois constamment faire, c'est qu'il y a beaucoup de battage dans l'espace de l'informatique quantique. Je pense que cela recoupe un peu l'engouement pour l'IA. On peut aussi dire que si c'est du battage, c'est que c'est réel. Mais le fait est qu'il y a beaucoup de battage médiatique, beaucoup d'argent qui circule. Je pense qu'une partie de cet argent cherche maintenant une stratégie de sortie. Et l'informatique quantique semble être attrayante, n'est-ce pas ? Ils injectent donc beaucoup d'argent dans ce secteur et il y a des entreprises qui, fondamentalement, sont surévaluées et aussi surestimées en termes de promesses et d'activités, et cela s'applique en fait à tout le spectre, n'est-ce pas ? À Bletchley Park, j'ai pris l'exemple de la puce Willow de Google qui a publié un communiqué de presse sur cette nouvelle puce avec une excellente correction d'erreur et qui a été reprise par la presse populaire : cette puce peut faire en cinq minutes ce qu'un ordinateur traditionnel peut faire en 10 ans avec une puissance de 35 ans, ce qui est extraordinaire. puissance de 35 ans, ce qui est extraordinaire car l'univers n'a que 10 puissance de 25 ans, et si vous lisez l'article, vous vous dites que non, ce n'est pas possible. C'est comme si cette chose pouvait fonctionner pendant cinq minutes et que des millions de fois, ils ne sont pas capables de faire ça, alors ce serait comme ça. Et si vous regardez d'autres communiqués de presse de différentes entreprises, grandes et petites, il y a une certaine tendance à exagérer ce qu'elles réalisent.

Et je pense que, malheureusement, cela noie certaines des avancées réelles que l'informatique quantique a réalisées au cours des deux dernières années, n'est-ce pas ? Et je pense que, et c'est là que nous en arrivons, cela donne l'impression que la menace de l'informatique quantique est beaucoup plus réelle qu'elle ne l'est en réalité, qu'elle est au coin de la rue. Mais avant de parler des raisons de la fin du monde si l'informatique quantique apparaît soudainement, quels seraient les avantages d'un ordinateur quantique que vous avez à l'esprit ? Qu'est-ce qu'il pourrait faire de mieux que n'importe quoi d'autre ?

DAVID LELLO : Je vais répondre à cette question en réagissant également à ce que vous avez dit à propos de l'ordinateur quantique et de son état actuel. Bien que je reconnaisse que l'ordinateur quantique pose des problèmes, je pense que nous sommes beaucoup plus près d'atteindre la stabilité dans un ordinateur quantique que ce qui est suggéré. Si je regarde en arrière, je pense que l'une des meilleures façons d'envisager l'avenir est de regarder l'histoire. Lorsque j'étais jeune et que je travaillais dans une banque, il y avait un ordinateur central, et c'était un ordinateur central IBM de la vieille école. L'ordinateur central occupait une pièce. C'était une grande pièce. Ce n'était pas une petite pièce. C'était une très grande pièce. Il remplissait la pièce. Il y avait des vannes sur cet ordinateur central. Il y avait trois réservoirs de refroidissement d'eau. Il y avait des piscines dans le sous-sol de cette banque. Ce système était énorme. Quelques années auparavant, ils avaient remplacé le système de cartes perforées de cet ordinateur central.

Lorsqu'ils ont retiré l'ancien ordinateur central, ce qui a nécessité des chariots élévateurs et des machines très lourdes pour le sortir, ils ont dû découper certaines portes parce qu'ils ne pouvaient pas physiquement remettre l'ordinateur central à sa place. Ils l'ont remplacé par un rack et un ordinateur central qui étaient exponentiellement plus grands que ce qui existait auparavant. Nous avons assisté à une accélération massive des progrès des ordinateurs au fil des ans. Et si nous revenons 30 ans en arrière, vous savez, si vous revenez 40 ans en arrière, c'est juste, c'est massif, la quantité de changement que nous voyons se produire.

INGO SCHUBERT : Oui.

DAVID LELLO : Et ce que nous avons vu avec les ordinateurs quantiques, oui, il y a des indicateurs précoces et la science, cela ressemble un peu à ce vieil ordinateur central dans le sous-sol avec les trois réservoirs parce que vous avez besoin des systèmes de refroidissement, vous avez besoin du gros équipement, vous avez besoin de toutes les sortes de choses qui vont avec. Il y a beaucoup d'argent à investir. Il y a beaucoup d'investissements à faire. Et ces problèmes seront résolus. Et ils seront peut-être résolus plus rapidement que nous ne le pensons. Et les progrès que nous avons constatés de mois en mois en ce moment suggèrent que nous nous rapprochons de plus en plus de la cohésion. Je pense donc que nous nous en rapprochons encore un peu plus.

Et si c'est le cas, je pense que c'est vraiment très excitant parce que ce que l'ordinateur quantique peut faire, c'est traiter les données beaucoup plus rapidement, pas aussi rapidement que certains le prétendent, mais parce qu'il peut traiter ces données beaucoup plus rapidement, cela signifie qu'il peut examiner et résoudre des problèmes qui ne pouvaient pas être résolus auparavant.

En physique théorique, vous connaissez le concept du chat de Schrodinger. Le chat est-il mort ou vivant ? Est-il décomposé ? Qu'est-ce que c'est ? Quel est l'état du chat ? Eh bien, l'ordinateur quantique serait capable de regarder et de voir le chat dans toutes ses possibilités et donc de résoudre des problèmes majeurs que nous n'avons pas été capables de résoudre.

INGO SCHUBERT : Oui, et je pense qu'en termes de médecine, vous savez, le pliage des protéines, par exemple, les ordinateurs quantiques auraient l'avantage sur les ordinateurs traditionnels, c'est certain, n'est-ce pas ? Et il y a d'autres choses où, vous savez, tout simplement tout ce qui a une quantité massive de données à traiter, vous savez, les prévisions météorologiques seraient une chose, comme, vous savez, n'importe quoi, les données géologiques, il y a pas mal de cas d'utilisation qui bénéficieraient de l'informatique.

Je ne pense pas que ce soit le cas parce qu'il n'y a pas de ligne droite entre ce qui s'est passé dans le passé avec les transistors et ce qui se passera à nouveau. C'est comme la loterie, ce n'est pas parce que vous avez gagné la dernière fois que vous ne gagnerez pas la prochaine fois, on repart de zéro à chaque fois, et surtout avec la cohésion, si vous parlez de quelques centaines de qubits, peut-être quelques milliers, pour être un ordinateur quantique universel qui, par exemple, peut exécuter l'algorithme de Shor, ce qui serait une menace pour la cryptographie. Vous parlez de quelques centaines de milliers de qubits, n'est-ce pas ? Et en chemin, nous pourrions nous heurter à un mur quelque part, n'est-ce pas ? Il n'y a aucune garantie que nous résoudrons ces problèmes. Nous pourrions, et en fait, oui, bien sûr, il pourrait y en avoir, mais il n'y a pas de garantie. Et en même temps, un ordinateur quantique doit survivre commercialement dans un environnement où nous avons vu une augmentation massive de la puissance de calcul dans le monde entier, grâce aux GPU essentiellement, n'est-ce pas ? Grâce à l'IA. Avant, c'était l'engouement pour le bitcoin, maintenant c'est l'IA. Et ce, sans qu'il y ait eu d'avancées fondamentales dans la conception des puces. Je veux dire, oui, elles deviennent plus petites grâce à cela. Nous avons massivement augmenté la puissance de calcul, à tel point que le facteur limitant est maintenant l'énergie, n'est-ce pas ? Donc l'énergie électrique.

Et dans cet environnement, un ordinateur quantique doit survivre. Maintenant, vous pouvez faire valoir l'argument que, hey, en particulier pour ceux, vous savez, craquer des clés, vous savez, certains gouvernements le feront, très bien. Oui, c'est très bien. Ils ont assez d'argent. Ils ne s'en soucient pas vraiment. Peut-être qu'ils devraient s'en soucier. Ce sont nos impôts, mais supposons qu'ils s'en fichent.

Il existe des cas pratiques d'utilisation de l'informatique quantique sur la voie d'un ordinateur quantique universel pleinement opérationnel. Je pense que c'est incontestable. Je ne dis pas que ce n'est pas le cas. Et il y a de bons cas d'utilisation pour cela. Comme je l'ai dit, vous savez, le pliage des protéines, par exemple, dans la recherche pharmaceutique, n'est-ce pas ?

Mais parlons des menaces, d'accord ? Et je ne parle pas de la consommation d'énergie, tout cela parce que nous avons cela aujourd'hui avec les unités traditionnelles, n'est-ce pas ? Je veux dire que les menaces concernent en particulier la sécurité informatique et la sécurité tout court, n'est-ce pas ? Parce qu'il y a certaines choses, vous savez, j'ai mentionné l'algorithme de Shor, donc peut-être que nous devrions, vous savez, expliquer brièvement, vous savez, ce que c'est et comment cela affecte la sécurité.

DAVID LELLO : Oui, avec l'ordinateur quantique, parce qu'il peut traiter les informations et les données beaucoup plus rapidement, il est capable d'utiliser l'algorithme de Shaw pour désosser les clés cryptographiques, et donc, lorsque nous avons un ordinateur quantique pertinent, il serait capable de casser ces clés en quelques secondes, voire en quelques minutes.

INGO SCHUBERT : Oui.

DAVID LELLO : Par conséquent, la plupart des données que nous consommons, utilisons et auxquelles nous accédons sont vulnérables aux attaques.

INGO SCHUBERT : Oui. L'argument de Schor, comme je l'ai déjà mentionné, est qu'il n'existe pas aujourd'hui d'ordinateur quantique capable d'exécuter cette tâche, car il faut des centaines de milliers de qubits en cohésion et qui fonctionnent pendant un certain temps. Alors oui, c'est quelques secondes, mais même quelques secondes sont un problème de nos jours pour certains ordinateurs quantiques. Cela briserait ou invaliderait en quelque sorte l'algorithme RSA, donc une clé publique privée, en utilisant RSA, mais aussi Diffie-Hellman et les courbes elliptiques, ECC. En gros, tous les algorithmes populaires qui ont été utilisés au cours des deux dernières décennies seraient essentiellement cassés, n'est-ce pas ? Ils le seraient avec un ordinateur quantique. Bien sûr, les ordinateurs traditionnels continueraient à se battre comme ils le font toujours, donc il n'y a pas de menace.

Et oui, si cela est cassé, je veux dire, ces algorithmes sont utilisés partout, n'est-ce pas ? Il s'agit donc, vous savez, de votre TLS traditionnel, d'une communication de serveur web, d'un client à un serveur web, de VPN, de signatures de courrier électronique, de chiffrement de fichiers envoyés et de tout cela, vous savez, ils sont tous souvent basés sur RSA, ECC, et ou Diffie-Hellman, n'est-ce pas ? Donc, je veux dire, ce serait, on pourrait même dire catastrophique.

DAVID LELLO : Absolument. Ce serait complètement catastrophique. Je pense que plus je me penche sur la question et plus les cas d'utilisation sont nombreux, plus les systèmes vont tomber en panne. C'est un problème mondial. Comme l'authentification et l'entrée dans le système financier. Même des choses comme Bitcoin sont compromises. Ils utilisent le cryptage à courbe elliptique et il serait compromis. Il en résulterait un effondrement complet du système financier.

Donc, oui, cela peut être absolument catastrophique. Je pense que nous pouvons voir dans les cas typiques d'utilisation à grande échelle des problèmes majeurs, mais aussi des problèmes plus petits et moins publics auxquels les gens ne pensent pas toujours. Ainsi, lorsque nous commençons à parler d'IOT et d'OT et que nous commençons à penser aux dispositifs médicaux et à l'équipement médical, la capacité de compromettre ces dispositifs. Vous savez, vous prenez une personne qui porte une pompe à insuline.

Si je peux compromettre le cryptage de cette pompe à insuline, je peux tuer quelqu'un.

INGO SCHUBERT : Oui.

DAVID LELLO : C'est, vous savez, tout d'un coup, la criminalité derrière ces choses peut devenir exponentiellement plus importante. Et nous commençons à voir des choses comme Minority Report et des cas d'utilisation du type Terminator.

INGO SCHUBERT : C'est maintenant que tu parles. C'est devenu intéressant, oui.

Mais pour en revenir à la disponibilité des ordinateurs quantiques, cela ne se fera pas du jour au lendemain. Supposons que quelqu'un obtienne enfin un ordinateur quantique de 200 000 cubes capable d'exécuter l'algorithme de Shor, par exemple. D'habitude, c'est environ un million. Certaines recherches indiquent qu'il suffit de quelques 100 000 qubits. Ce n'est pas comme si, soudainement, tout le monde avait un ordinateur quantique. Seuls quelques gouvernements et centres de recherche ont accès à l'informatique quantique. Ce n'est pas comme si tous les cybercriminels y avaient accès.

Mais la menace est réelle. Je pense que c'est un peu comme le problème de l'an 2000. Nous l'avons vu venir depuis un certain temps, mais nous avons pris des mesures pour l'atténuer et il s'est avéré que c'était un peu comme un hamburger sans intérêt.

DAVID LELLO : Mais seulement parce que nous avons fait quelque chose.

INGO SCHUBERT : Exactement. Tout simplement parce que nous avons fait quelque chose, n'est-ce pas ? Si nous n'avions rien fait, cela aurait probablement été un énorme problème, mais nous avons fait quelque chose et tout s'est bien passé, n'est-ce pas ? Et je pense qu'il en sera probablement de même dans ce cas-ci, parce qu'il y a des choses qui peuvent être faites, ce qui nous amène au travail suivant.

Nous ne sommes peut-être pas d'accord sur le temps qu'il nous reste, n'est-ce pas ? Il y a eu un rapport de MITRE, un institut de recherche financé par le gouvernement américain, un rapport récent au début de l'année et ils ont placé l'algorithme de Shor quelque part au début des années 2040, probablement plus vers les années 2050, donc ce n'est pas comme s'ils avaient une incitation à le sortir, donc c'était un rapport solide, mais même si vous dites que c'est beaucoup plus tôt, il est peu probable que ce soit avant les années 2030. Je pense que c'est très peu probable, à moins qu'un miracle ne se produise. Que pouvez-vous donc faire aujourd'hui pour vous préparer à cette apocalypse quantique ?

DAVID LELLO : Je pense que ce sera bien plus rapide que 2050. Je pense, vous savez, que je déteste essayer de prédire parce que c'est une chose impossible. Vous savez, quand on essaie de prédire l'avenir, on échoue inévitablement parce que nous n'avons pas d'esprit surnaturel.

INGO SCHUBERT : Eh bien, rencontrons-nous en 2055. À la même heure, oui, pour que nous puissions en parler. Si je suis encore à l'intérieur.

DAVID LELLO : Absolument. C'est ce que nous allons faire. Même heure, même endroit. Faisons-le. D'accord, mais si c'est plus tôt, je pense qu'il faut voir comment nous pouvons célébrer cet événement parce que je pense qu'avec n'importe quel progrès technologique, une percée se produit, et elle se produit à un moment donné. Elle peut se produire la semaine prochaine. Il se peut qu'elle se produise dans dix ans. Nous n'en savons rien. Mais elle se produira, j'en suis sûr, parce que la science est là. Elle est crédible. C'est une réalité. Vous savez, un champ de tournesols est capable de maintenir sa cohésion à l'heure actuelle. La stabilité est là à température ambiante, dans un champ, avec tout ce qui se passe autour. Les animaux qui courent en dessous, la pollution et tout le reste. Un champ de tournesols peut avoir de la cohésion.

INGO SCHUBERT : C'est exact.

DAVID LELLO : Pourquoi un grand nombre de scientifiques le font-ils ?

INGO SHCUBERT : Oui, mais ils ont eu quelques millions d'années pour évoluer, n'est-ce pas ? C'est là où je veux en venir. Je suis d'accord, mais ils ont un peu d'avance, n'est-ce pas ?

DAVID LELLO : Pour en revenir à la question, je pense que l'un des problèmes que nous avons, et nous l'avons un peu abordé à Bletchley Park, c'est que ce que nous avons actuellement en termes de pratiques et de ce que nous appellerions les bonnes pratiques en matière de gestion des clés cryptographiques, je pense que beaucoup d'entreprises ont échoué. En ce qui concerne les événements, il y a quelques années, nous avons eu la vulnérabilité de SSL, et tout le monde s'est précipité et a cherché à remplacer les clés. Cela a permis aux organisations de devenir beaucoup plus agiles en termes de rotation de leurs clés TLS, ce qui est fantastique. Cela résout une bonne partie du problème. Si vos clés TLS sont flexibles, vous pouvez les modifier. Vous devrez peut-être effectuer quelques tests en cours de route pour vous assurer que tout fonctionne.

Mais les organisations peuvent commencer à réfléchir dès maintenant à leur autorité de certification, à la manière dont elle émet ses clés et à la manière dont elle remplace ses clés au niveau TLS. Et c'est très bien ainsi. Le problème que nous rencontrons lorsque nous pénétrons dans une organisation est que 20 à 30, voire 40% des clés ne sont pas gérées de cette manière. Très souvent, une grande partie du matériel comporte des clés intégrées dans une infrastructure matérielle et certaines de ces pièces de matériel peuvent vivre pendant 20 ans, et la possibilité de changer les clés dans ce matériel signifie qu'il faut changer le matériel.

Nous avons également beaucoup de mauvaises pratiques en matière de codage, en particulier à l'époque des constructions monolithiques où les applications comportaient des clés intégrées dans les applications elles-mêmes. Et lorsque nous commençons à réfléchir, ce n'est pas seulement arrivé.

INGO SCHUBERT : Je pense que c'est ce que je veux dire. Il s'agissait d'une mauvaise pratique, qu'il y ait ou non de l'informatique quantique.

DAVID LELLO : En effet. Ainsi, lorsque nous commençons à réfléchir à l'idée d'un jour Q, ce qui était facile pour le passage à l'an 2000 parce que nous avions une date. Nous n'avons pas de date avec le Q-Day.

INGO SCHUBERT : Très bonne remarque.

DAVID LELLO : Mais lorsqu'il finira par arriver, et il pourrait arriver demain, ou dans 10 ans, ou, si vous avez raison, dans bien plus longtemps que cela, nous nous retrouverons dans une situation où une bonne partie de l'organisation et de ses clés ne seront pas facilement remplaçables, et nous aurons un mouvement de panique. Nous allons être confrontés à un problème massif, très massif, car les données seront compromises.

Mais c'est aussi, l'autre problème que nous rencontrons est un sujet sur lequel on me pose souvent des questions et c'est la menace ‘ récolter maintenant, décrypter plus tard ’. Cela fait des années que l'on voit des données cryptées être volées - je veux dire que David Cameron, dans ce pays, a déclaré que toutes nos données avaient été volées par la Chine, mais que cela n'avait pas d'importance. Elles sont cryptées. En remontant quelques années en arrière, ce genre d'affirmation est certes vrai aujourd'hui, mais étant donné les technologies dont nous disposons à l'heure actuelle, avec un ordinateur quantique, cela devient un problème. Et oui, bien sûr, les données vieillissent.

INGO SCHUBERT : Mais certaines de ces données resteront pertinentes. Pas toutes, mais certaines. Je pense que c'est la même chose. Elles sont restées dans la nature, et si elles sont décryptées dans cinq ans, on s'en fiche, n'est-ce pas ? Ou dans 10 ans, oui. On peut donc argumenter que de nombreuses données d'identité pour l'authentification, si elles sont décryptées dans cinq ou dix ans, on s'en fiche un peu parce qu'elles sont déjà périmées. Mais il existe de nombreuses données stratégiques qui pourraient vous nuire pendant des dizaines d'années, n'est-ce pas ? Et vous n'avez même pas besoin d'être un État. Il peut s'agir d'une société normale, d'une entreprise normale.

DAVID LELLO : Exactement.

INGO SCHUBERT : Et qu'en est-il ?

DAVID LELLO : Je veux dire, vous savez, le nombre d'organisations dans lesquelles je vais où il y a des systèmes hérités. En fait, il n'y a pas si longtemps, j'étais dans une organisation où il y avait une application. Ils l'ont traitée comme une boîte noire, et ils l'ont traitée comme une boîte noire parce que le code source a été perdu. La personne qui l'a écrit est partie depuis longtemps, n'y touchez pas. Si elle tombe, la réponse est de l'allumer ou de l'éteindre, de l'allumer à nouveau et de prier parce que c'est la seule chose que vous puissiez faire. Il n'y a rien que vous puissiez faire. Et ce système contrôlait tous les accès à ses magasins, tous les accès à ses magasins. Et s'il est compromis, s'il est détruit, c'est l'organisation qui est détruite.

INGO SCHUBERT : Un seul point de défaillance.

DAVID LELLO : Un seul point de défaillance. Le nombre d'organisations dans lesquelles il existe un point de défaillance unique est extraordinaire. Les organisations doivent vraiment commencer à réfléchir à la manière de moderniser leur infrastructure de gestion des identités et des accès. Lorsque nous commençons à penser à la gestion des identités et des accès, la gestion des identités et des accès est la voie d'accès à tout. Nous l'avons vu avec les dernières attaques de ransomware qui ont eu lieu en Allemagne, ainsi qu'ici au Royaume-Uni, en Italie et dans d'autres pays. Ces attaques de ransomware ciblent les systèmes de contrôle d'accès. Qu'il s'agisse d'Active Directory ou d'un système comme celui que j'ai décrit, la capacité de compromettre l'accès entraîne l'effondrement de l'organisation, l'arrêt de la communication et de la capacité d'accès. La modernisation de la gestion de l'accès à l'identité dans ce contexte sera l'une des grandes priorités.

INGO SCHUBERT : Oui, oui. Il est difficile de s'opposer à cela parce que, vous savez, c'est logique, quelle que soit la façon dont on l'envisage, n'est-ce pas ? Je pense que lorsque nous revenons à la gestion des clés de chiffrement cryptographique, de nombreux clients ne savent pas ce qu'ils ont, n'est-ce pas ? Ils n'ont pas une bonne vue d'ensemble de l'endroit où ils cryptent, où sont les clés, où ils signent numériquement. Ils n'ont pas cette vue d'ensemble. Je pense que c'est une partie du problème, n'est-ce pas ? Car vous ne pouvez pas réparer ce dont vous ignorez l'existence. De nombreux clients ont eu du mal à mettre en place une cyber-hygiène de base. C'est ce que je vois constamment, malheureusement, n'est-ce pas ? Pas plus tard que ce matin, j'ai reçu un appel concernant un client qui utilise un logiciel RSA vieux de 20 ans, 20 ans, n'est-ce pas ?

DAVID LELLO : Wow.

INGO SCHUBERT : Donc, en fait, ils ont appelé notre support pour quelque chose, et le support ne pouvait pas répondre, et c'est comme, ouais, bien sûr, vous savez, probablement le personnel de support qui répondait à l'appel téléphonique était probablement à la maternelle quand ce logiciel est sorti, n'est-ce pas ? Donc, ce que je veux dire, c'est que tant que nous ne faisons pas cette hygiène cybernétique de base et cette visibilité, tout d'abord, vous ne pouvez pas atteindre cet état de préparation quantique, ouais, où vous êtes prêt pour le jour Q. C'est juste comme si c'était impossible. C'est impossible.

Je pense aussi qu'il ne faut pas s'inquiéter de l'informatique quantique tant qu'on n'a pas réglé ce problème, n'est-ce pas ? Parce que si vous ne savez pas quel logiciel vous utilisez, si vous ne le maintenez pas à jour, vous dépendez bien sûr des vendeurs qui réparent ces choses, comme vous mettez en œuvre la cryptographie post-quantique, par exemple, n'est-ce pas ?

Mais si le logiciel sort avec la nouvelle version, avec toutes ces belles choses d'informatique quantique et que vous ne l'installez pas, cela signifie qu'il n'existe pas, n'est-ce pas ? Et même si vous le faites, si vos politiques et procédures concernant, par exemple, la gestion des données, ne sont pas correctes, de quoi s'agit-il ici ? Si l'attaquant peut simplement téléphoner à votre service d'assistance et demander à entrer, il n'a pas besoin d'un ordinateur quantique pour le faire, n'est-ce pas ? Il n'en a pas besoin aujourd'hui. Ils n'en avaient pas besoin hier. Ils n'en auront pas besoin demain. Ils n'ont qu'à téléphoner à votre service d'assistance si vos politiques ne sont pas adéquates et ils obtiennent l'accès.

Il y a donc beaucoup de choses qui peuvent mal tourner, qui ont mal tourné et qui tourneront mal, et qui n'ont rien à voir avec les ordinateurs quantiques. Et ma crainte est que les gens regardent cette chose quantique, ce Q -Day, et se laissent distraire par ce joli jouet brillant, n'est-ce pas ? Alors qu'ils ont tant de devoirs à faire, ce qu'ils n'ont probablement pas fait depuis des décennies, n'est-ce pas ? Et bien sûr, vous pouvez faire valoir l'argument selon lequel, hé, vous savez, vous devez faire cela, avoir de la visibilité, vous savez, avoir des correctifs en place sur cela, réparer vos procédures. S'il faut la menace de l'informatique quantique pour qu'un client le fasse, qu'il en soit ainsi, n'est-ce pas ? Je pourrais être heureux.

Mais une partie de moi se dit, non, parce que que que se passera-t-il si nous rencontrons un obstacle avec l'informatique quantique ? Pendant quelques années, il n'y a pas de réel avantage ou de progrès, puis on se dit que c'est dans les années 2060, que je ne serai plus sur le marché du travail depuis longtemps et que je n'ai donc pas à m'inquiéter de cela, et c'est une mauvaise approche parce qu'il faut régler ce problème quoi qu'il arrive.

Je vais vous donner quelques connaissances, oui, quelques noms, oui, le philosophe allemand Emmanuel Kant, oui, ne coupez pas cet éditeur, oui, c'est k, c'est k. C'est K -A -N -T, n'est-ce pas ? Donc je l'appelle Emmanuel à partir de maintenant, ouais.

Philosophe allemand du 18e siècle, il a dit beaucoup de choses intelligentes. Mais l'une des choses les plus intelligentes, à mon avis, c'est de faire ce qu'il faut parce que c'est ce qu'il faut faire, n'est-ce pas ? Pas parce que cela vous permet de gagner des points auprès d'une divinité. Vous le faites parce que c'est la bonne chose à faire.

Et avoir une bonne vue d'ensemble de l'endroit où l'on chiffre, de la manière dont on chiffre, des politiques, des procédures, des correctifs et de tout cela, c'est la bonne chose à faire, indépendamment du fait que l'informatique quantique soit dans 10 ans, 20 ans, 30 ans. Cela n'a pas d'importance. C'est ce qu'il faut faire. C'est ce que vous auriez dû faire depuis 20 ans. C'est essentiellement un point. Je pense que nous sommes d'accord sur ce point. Oui, tout à fait. Je pense que la motivation derrière cela est le point sur lequel nous sommes en désaccord parce que nous avons des opinions différentes sur l'état actuel et futur de l'informatique quantique. Mais absolument, si un client dit qu'il doit être prêt pour l'informatique quantique, l'effort n'est pas perdu.

DAVID LELLO : Non, absolument pas. Je pense aussi, Ingo, qu'une des choses qui est une réalité sur laquelle je suis toujours mis au défi, c'est que nous passons beaucoup de temps avec les conseils d'administration des grandes entreprises à parler aux directeurs financiers et autres. Une entreprise existe dans le but de fournir un produit ou un service et si elle est dans le secteur privé, elle doit faire des bénéfices, à moins bien sûr qu'il ne s'agisse d'une œuvre de charité, mais ne nous en préoccupons pas, alors l'idée de dépenser de l'argent juste parce que c'est la bonne chose à faire, lorsque cela me donne un rendement négatif, devient difficile et difficile à réaliser pour les financiers. Investir dans quelque chose parce que c'est la bonne chose à faire devient donc plus une discussion philosophique. Je ne pense pas que ce soit nécessairement la bonne approche.

INGO SCHUBERT : Oui, absolument.

DAVID LELLO : Même si je suis d'accord avec vous, absolument 100%, vous savez, du point de vue de la foi, vous savez, de ce que je crois, je voudrais toujours faire ce qui est juste. Mais la réalité est que les entreprises n'existent pas pour cela. Elles n'existent pas pour faire ce qu'il faut. Parfois, elles sont un peu immorales.

INGOSCHUBERT : Vraiment ? C'est la première fois que j'entends cela. Permettez-moi d'en prendre note.

DAVID LELLO : Je pense que ce que vous faites, c'est que nous regardons les choses d'une manière différente et je pense que l'une des réalités que nous voyons et qui résonne et que les gens comprennent, c'est de mesurer et de reconnaître et de réaliser quelle est mon exposition au risque associée à un environnement donné et nous devons la relier à quelque chose de tangible - nous devons toujours revenir à la question de savoir comment construire un dossier pour le changement dans ce monde - oui, et à quoi ressemble le changement ? Vous savez, l'un des défis que nous nous sommes lancés, parce que lorsque nous avons commencé à chercher à aider les organisations à répondre à ce problème, c'est qu'il n'y a pas vraiment de cadre qui traite de la préparation quantique. Il n'y en a pas.

Nous avons donc rédigé une norme. Nous avons rédigé une norme pour dire : voici une approche pour examiner le quantique. Nous avons pris différentes normes du NIST et des bonnes pratiques, de l'ISF et d'autres choses encore pour pouvoir proposer un modèle et un cadre qui nous permettent de commencer à l'étudier. Mais ce que cela fait, c'est que cela nous permet de commencer à regarder et à dire, eh bien, lorsque vous prenez un système comme ce système d'identité qui gère tous les accès qui est un environnement de boîte noire, quelle est mon exposition au risque d'avoir une machine comme celle-là ? Et j'enlèverai complètement le quantum. Quel est mon risque ? Est-ce que je comprends vraiment mon risque ? Si cette machine tombe en panne, qu'arrivera-t-il à mon environnement ? Et si je peux apprécier ce risque, je dois faire quelque chose pour y remédier.

INGO SCHUBERT : Oh, et c'est, je veux dire, en fin de compte, la bonne gestion des risques, que je vois manquer dans de nombreuses entreprises ou organisations en général, n'est-ce pas ? Et c'est ce qui doit être fait, ce qui aurait dû être fait depuis des années et ce qui devrait être fait aujourd'hui, qu'il y ait ou non de l'informatique quantique. Voilà ce que je voulais dire.

Bien sûr, ils ne le font pas parce que c'est la bonne chose à faire, n'est-ce pas ? C'est un argument financier difficile à faire valoir. Je suis tout à fait d'accord avec vous. Mais il y a toutes les autres raisons pour lesquelles ils devraient le faire, n'est-ce pas ? Et encore une fois, si vous devez vendre ce concept d'examiner tout cela, de le comprendre et d'avoir une gestion des risques appropriée à cause de l'informatique quantique, soyez-en sûrs, n'est-ce pas ? Je pense que c'est absolument la bonne façon de procéder. Si c'est le levier dont vous avez besoin pour obtenir la signature, oh, oui, il faut absolument le faire. Parce qu'en fin de compte, même si l'informatique quantique n'existe que dans 30 ans, vous en bénéficiez encore aujourd'hui. En effet, le fait d'être prêt vous permet d'être en sécurité aujourd'hui également. Vous ne gaspillez pas l'argent. Je pense donc que c'est parfaitement la bonne chose à faire. Et il y a quelques recommandations et quelques cadres de l'Europe, par exemple, ils disent que d'ici 2026 - et pour être franc, vous devriez déjà l'avoir fait si vous voulez être conforme à la loi DORA. On voit peut-être encore les mêmes choses parce qu'il n'y a pas de gens qui le font. Donc visibilité et gestion des risques d'ici 2026, puis préparation quantique sous une forme ou une autre d'ici 2030 pour les risques élevés et d'ici 2035 pour les risques faibles et moyens, n'est-ce pas ? Cela semble donc très éloigné, mais, vous savez, nous sommes déjà à la fin de 2025, lorsque nous enregistrons ceci, la publication est en 2026.

Donc, c'est comme si, oui, c'est seulement dans une poignée d'années. Et si vous revenez au début de notre conversation, si vous regardez le problème du passage à l'an 2000, oui, si vous avez commencé en 1999, vous êtes probablement un peu en retard pour cela, n'est-ce pas ? Il faut donc se préparer dès maintenant, absolument, n'est-ce pas ?.

DAVID LELLO : Je pense que l'un des points que vous avez soulevés, et qui est fascinant en termes de psychologie humaine, concerne les réglementations, les réglementations européennes et les choses comme Dora. Les réglementations n'entrent réellement en vigueur que parce que les entreprises sont négligentes et ne font pas ce qu'il faut.

INGO SCHUBERT : Oui, absolument.

DAVID LELLO : Et parce qu'ils ne font pas ce qu'il faut, les législateurs disent que nous allons avoir un problème majeur dans le pays si nous ne nous penchons pas sur la question. Les lois entrent donc en jeu lorsqu'il faut faire quelque chose. Au Royaume-Uni, le NCSC a mis en place des directives concernant le quantum. Et nous avons DORA en Europe. Et malheureusement, à cause du Brexit...

INGO SCHUBERT : Vous l'avez apporté, je ne l'ai pas fait.

DAVID LELLO : Nous commençons à peine à examiner notre projet de loi sur la résilience. Le projet de loi sur la résilience a été publié pour recueillir les commentaires du public. Le premier numéro a été publié et les commentaires sont en cours. Nous aurons donc bientôt une lecture au Parlement. Espérons que nous rattraperons le reste du monde sur ce point particulier.

INGO SCHUBERT : Eh bien, sauf les États-Unis. Les États-Unis semblent être, vous savez, cet endroit sauvage sur la carte, ouais. Oui, c'est vrai. Oui, c'est comme si, et je le vois aussi en parlant avec des collègues américains, oui, c'est comme si, oui, nous n'avons pas vraiment cela, n'est-ce pas ? Mais partout ailleurs dans le monde, il semble que la résilience, la gestion des risques soit un peu plus mature en termes de réglementations et de pertes, ce qui est...

DAVID LELLO : Il faut l'avoir.

INGO SCHUBERT : Il faut les avoir, n'est-ce pas ? Et quand vous les lisez, et vous en avez probablement autant et probablement plus que moi, certaines de ces choses sont d'une évidence aveuglante, comme une bonne gestion des risques. C'est comme si vous deviez savoir que si cette chose tombe en panne, vous en connaissez les conséquences, n'est-ce pas ? Bien sûr, parce que votre entreprise doit gagner de l'argent et qu'il y a quelque chose qui l'en empêche. Vous devriez savoir pourquoi et comment y remédier. Et pourtant, ils ne le font pas tant qu'ils n'y sont pas contraints par la loi, ce qui est triste dans un certain sens, n'est-ce pas ?

DAVID LELLO : La nature humaine entre malheureusement en jeu. J'ai du mal avec cela parce que ce ne sont pas des choses difficiles, vous savez, examiner le risque et la gestion du risque n'est pas difficile.

INGO SCHUBERT : Non, mais cela prend du temps.

DAVID LELLO : Et cela prend du temps, mais je veux dire qu'il y a tellement de technologies différentes qui peuvent aider à simplifier le processus. Vous savez, les ordinateurs sont conçus pour automatiser les processus. Si nous avons des ordinateurs, c'est parce que nous avons des processus manuels qui nécessitent des armées de personnes pour faire quelque chose. Avec les ordinateurs, nous pouvons automatiser tous ces processus. Et avec les systèmes modernes, nous pouvons en automatiser encore plus. Prenons l'exemple de la gestion des vulnérabilités. Si vous disposez d'un environnement modernisé et que vous avez mis en place un système d'analyse des vulnérabilités, vous disposez d'une visibilité relativement bonne en termes de risques technologiques.

INGO SCHUBERT : Oui. Même chose pour nous. Gouvernance de l'identité. En fin de compte, ce n'est pas sorcier. Oui, bien sûr. Vous connecterez tous les différents systèmes, vous créerez peut-être quelques règles et tout le reste. Mais ensuite, vous avez cette visibilité et vous avez la vue, vous savez, en termes de séparation des tâches, de conformité, etc. Et oui, c'est du travail. Oui, c'est un investissement en termes d'argent et de temps, bien sûr, mais vous en retirez quelque chose.

DAVID LELLO : Oui.

INGO SCHUBERT : C'est vrai. Je pense que les gens ne réalisent pas non plus qu'une bonne gestion des risques vous apporte quelque chose en retour, parce que vous découvrez que vous ne devriez peut-être pas investir autant d'argent dans cette sécurisation ou que vous résiliez cette chose parce qu'elle n'a pas un impact énorme, alors que vous devriez investir davantage dans l'autre, parce que si elle tombe en panne, de mauvaises choses se produiront. Je pense que c'est également le cas, et bien sûr vous ne vous en rendez pas compte parce que si vous ne faites pas une bonne gestion des risques, vous n'avez pas cette visibilité, alors comment prendre cette décision, n'est-ce pas ? Donc les gens, en fait, les organisations se font du mal en ne faisant pas cela, n'est-ce pas ?

DAVID LELLO : Et la gouvernance des identités joue un rôle important dans ce domaine. C'est vrai. Vous savez, lorsque je parle d'identité à de nombreuses organisations, l'identité n'est pas l'une de ces choses que l'on fait en matière de sécurité parce que, vous savez, c'est une police d'assurance. L'identité est un facilitateur. C'est un véritable outil commercial qui aide les organisations à être plus efficaces et plus efficientes en termes d'accès. Mais il est essentiel d'avoir le bon accès au bon moment et au bon endroit et d'avoir les modèles de gouvernance qui le permettent. Ainsi, lorsque nous commençons à examiner vos contrôles ITGC et vos systèmes financiers et que vous commencez à regarder comment l'accès doit être créé dans vos droits, votre séparation des tâches, les mandats qui l'accompagnent. Ces éléments ne sont pas nouveaux. Elles sont inscrites dans la loi sur les sociétés et le règlement financier depuis des décennies.

INGO SHUBERT : Absolument.

DAVID LELLO : Et la possibilité de contrôler cela avec un bon système de gouvernance des identités existe aujourd'hui. Et avec une solution modernisée, cela devient en fait assez facile. Ce n'est pas aussi difficile qu'on le pense.

INGO SCHUBERT : Regardez-nous. Nous parlons de la gouvernance de la sécurité de l'identité et nous avons commencé par le quantum. C'est comme si, oui, mais c'est le but. Je pense que c'est quelque chose qui ouvre la porte à certaines discussions chez les clients ou dans les organisations en général, où l'on se dit, oui, c'est bien. Parler de la menace quantique et, vous savez, mais à la fin, vous aboutissez à des discussions qui ne portent pas vraiment sur le quantique mais sur d'autres choses. Oui, vous pouvez réparer maintenant, vous devez réparer maintenant, indépendamment de ce qui se passera à l'avenir.

DAVID LELLO : C'est le concept d'hygiène de base.

INGO SCHUBERT : C'est le concept d'hygiène de base, exactement. C'est donc une façon parfaite de conclure. David, merci. Nous pourrions parler pendant des heures à chaque fois que nous nous rencontrons. Merci beaucoup. Je pense que la menace quantique peut sembler lointaine.

C'est possible, ce n'est pas possible. Mais j'espère qu'au cours de cette conversation, nos téléspectateurs et auditeurs ont compris que, vous savez quoi, peu importe si vous devez faire des choses aujourd'hui pour vous préparer à l'âge quantique, cela ne fait pas de mal du tout. Cela ne fait pas de mal du tout.

Ce que vous en retirez vous permet de vous protéger dès aujourd'hui contre les menaces actuelles, n'est-ce pas ? Vous n'avez pas besoin d'attendre 20 ans pour en bénéficier. Vous en bénéficiez dès aujourd'hui.

Voilà qui conclut le débat d'aujourd'hui sur l'informatique quantique et son impact sur la sécurité des identités. L'avenir quantique relève de la science-fiction et les organisations doivent comprendre où se situent les véritables risques et opportunités. Si vous souhaitez en savoir plus sur la résilience de l'identité et les technologies qui préparent les organisations à l'avenir, visitez RSA.com. Si vous souhaitez recevoir d'autres épisodes de RSA Identity Unmasked, n'oubliez pas de vous abonner. Merci de nous avoir rejoints et à la prochaine fois.