Au mois d'avril 2024, je célébrerai mon premier anniversaire au poste de Chief Security Officer de Cloudflare. Au cours de l'année passée, nous avons observé une augmentation rapide du nombre de menaces et d'incidents sophistiqués à travers le monde. Les conseils d'administration et les dirigeants d'entreprise imposent aux organisations de sécurité une pression considérable, exigeant qu'elles préviennent les failles de sécurité, tout en n'augmentant que légèrement leurs budgets. Intensifiant encore davantage la surveillance réglementaire, les responsables de la sécurité du monde entier se trouvent contraints de tenir les engagements pris par les dirigeants au regard de la protection de l'entreprise. Bien qu'elle soit prévisible et attendue depuis plus de 20 ans, nous avons récemment constaté une augmentation considérable du nombre d'attaques, notamment avec les attaques DDoS les plus importantes et les plus sophistiquées jamais observées et les incidents continus affectant la chaîne logistique, de Solarwinds à Okta. Avec l'augmentation du nombre d'acteurs malveillants soutenus par des États-nations, il est manifeste que les professionnels de la sécurité, dont Cloudflare fait partie, ne peuvent se permettre de baisser leur garde et se reposer sur leurs lauriers lorsqu'il s'agit de sécurité.
Au cours de l'année passée, j'ai rencontré plus d'une centaine de clients lors d'événements tels que notre conférence Cloudflare Connect à Londres, Chicago, Sydney et New York. Je me suis entretenu avec des cadres, des experts politiques et des dirigeants mondiaux à Davos, et j'échange continuellement avec des spécialistes de la sécurité dans le domaine de la technologie et d'autres domaines également. Tous les décideurs en matière de sécurité s'accordent au sujet des problématiques et des préoccupations des responsables de la sécurité des systèmes d'information (RSSI), dans toutes les régions géographiques et tous les secteurs d'activité, des jeunes entreprises aux grandes sociétés de la liste Fortune 500.
Dans le courant de la semaine, nous annoncerons de nouveaux produits, inspirés de ces entretiens, qui répondent aux défis communs auxquels sont confrontés les RSSI du monde entier. Nous aborderons de nombreux aspects de ces problématiques de sécurité, qui s'étendent de la sécurité des applications à la sécurisation du personnel et de l'infrastructure du cloud. Nous partagerons également des anecdotes sur la façon dont nous faisons les choses, chez Cloudflare, ainsi que des articles de blog dédiés au leadership éclairé.
Mon parcours chez Cloudflare
Ayant occupé le poste de directeur de sécurité pendant plus de 20 ans pour certaines des entreprises les plus grandes et les plus complexes du monde, j'ai été attiré par l'innovation rapide, la position unique sur le marché et le réseau mondial qu'offre Cloudflare. Lorsque je repense à ma première année passée chez Cloudflare, les échanges que j'ai eus avec les clients m'ont permis de devenir un meilleur directeur de la sécurité. Partager les défis auxquels je suis confronté et écouter les témoignages d'autres professionnels m'a permis de mieux appréhender les problématiques complexes dont nous, Cloudflare, pouvons tirer des enseignements dans le but de nous adapter.
Les principaux piliers de mon organisation consistent à protéger Cloudflare, à encourager l'innovation et à partager « la manière de faire » de Cloudflare. Mon équipe est le « client zéro » : elle est la première à utiliser les produits Cloudflare et à collaborer autour des besoins des organisations de sécurité. Les semaines consacrées à l'innovation sont sans conteste une caractéristique essentielle de la méthode Cloudflare, et je suis extrêmement fier de pouvoir inaugurer la Security Week 2024 en annonçant une série de nouveaux produits et fonctionnalités passionnants.
Les priorités en matière de sécurité en 2024
Trois défis majeurs sont ressortis de mes discussions avec les RSSI et les praticiens de sécurité : réagir aux risques et aux opportunités qu'engendre l'IA, préserver la visibilité et le contrôle à l'heure où la technologie du cloud évolue à une vitesse phénoménale, et enfin, consolider les technologies afin de maîtriser efficacement le budget de la sécurité et de l'informatique.
L'un des principaux thèmes abordés à Davos est la manière dont les dirigeants mondiaux peuvent réagir aux problèmes mondiaux urgents. En tant que société, nous sommes confrontés à une multitude de défis, qui vont de l'environnement à l'effort continu mis en œuvre pour préserver le fonctionnement des démocraties. Le rôle d'Internet n'a jamais été aussi crucial, et je pense qu'il est de notre responsabilité commune d'en protéger le fonctionnement et d'en améliorer la sécurité.
Nos équipes chargées des produits et nos équipes d'ingénieurs se sont employées à élaborer une série de solutions adaptées à ces défis, avec l'objectif de contribuer à bâtir un Internet meilleur.
Réagir aux opportunités et aux risques liés à l'IA
Sans surprise, l'IA est le sujet de discussion incontournable. À Davos, l'IA était la thématique commune à tous les secteurs de l'industrie, avec une préoccupation centrale : comment sécuriser et protéger nos investissements. En tant que leader dans le domaine de l'inférence IA, nos équipes chargées des produits et équipes d'ingénieurs ont travaillé d'arrache-pied pour élaborer un moyen de protéger nos modèles et applications IA, ainsi que ceux de nos clients.
Cette semaine, nos équipes chargées des produits vont annoncer des outils élaborés dans le but de protéger les applications à l'ère de l'IA, ainsi que des fonctionnalités reposant sur l'IA conçues pour aider nos clients à simplifier leurs interactions avec nos analyses de données.
En tant que directeur de la sécurité, la sécurisation des données est une capacité essentielle, dont la mise en œuvre devient d'autant plus difficile que le personnel peut choisir d'utiliser des services d'IA open source sans en comprendre les risques. Cette semaine, nous allons effectuer quelques annonces centrées sur la thématique de la prévention des fuites de données liées à l'IA, ainsi que sur la manière dont vous pouvez utiliser l'IA pour vous protéger contre les attaques par phishing assisté par IA.
Enfin, nous communiquerons également autour de notre philosophie concernant la façon dont l'IA peut être utilisée pour renforcer les niveaux de défense et de sécurité contre des attaques toujours plus sophistiquées.
Préserver la visibilité et le contrôle tandis que les applications et les clouds évoluent
Les programmes de sécurité performants priorisent la réduction de la complexité, l'augmentation de la visibilité et les fonctionnalités d'alerte performantes. Un message retentissant en 2024 est celui de la sécurité intrinsèque, plutôt qu'une sécurité ajoutée ultérieurement. La sécurité intrinsèque paraît simple, mais elle est plus difficile à mettre en œuvre pour ceux parmi nous qui ne disposent pas d'un « terrain vierge » sur lequel la déployer.
Bien que la plupart d'entre nous n'aient pas le luxe de recommencer à zéro, beaucoup réussissent à éliminer les outils existants, tels que les outils de stockage tiers, tout en améliorant la visibilité et le contrôle.
Il existe de nouvelles façons de sécuriser et de connecter les environnements multi-cloud avec une gestion cohérente des politiques. Notre équipe présentera de nombreuses nouveautés en cours de développement, ainsi qu'une acquisition récente, qui gravitent toutes autour de ce défi auquel nous sommes tous confrontés.
Consolider pour réduire les coûts
Chaque année, les responsables de la sécurité sont tenus d'accomplir davantage avec moins de moyens. Tandis que l'incertitude économique perdure en 2024, les contraintes budgétaires exigent que chacun d'entre nous porte un regard critique sur notre pile de sécurité, au regard de sa valeur et de sa simplicité. Nous recherchons tous des stratégies qui permettent non seulement de réduire les coûts, mais également de réduire la complexité et d'améliorer nos stratégies en éliminant les risques d'erreur humaine. Les RSSI dont je constate la réussite dans cet environnement ont élaboré des programmes reposant sur la simplification. Les migrations vers le cloud et la mise en œuvre d'une architecture Zero Trust amènent de nombreux professionnels à se demander si ces transformations ont tenu leurs promesses en matière de simplification et d'évolutivité. Mes pérégrinations dans le domaine de la sécurité Zero Trust m'ont permis d'apprécier à sa juste valeur l'approche de Cloudflare, qui consiste à délaisser les architectures de sécurité coûteuses et complexes.
Comment pouvons-nous contribuer à améliorer Internet ?
2024 sera une année charnière pour Internet. Les conflits géopolitiques et les élections dans le monde entier font l'objet d'un examen approfondi visant à évaluer leur impact sur tous les secteurs d'activité. Cette semaine, nous expliquerons comment nous pouvons tirer parti de nos puissantes plateformes pour soutenir notre mission, qui consiste à contribuer à bâtir un Internet meilleur, et protéger la démocratie mondiale et les événements internationaux de grande ampleur.
Bienvenue dans la Security Week
Les semaines consacrées à l'innovation sont une grande tradition chez Cloudflare. C'est à l'occasion de ces semaines que nous inaugurons de nouvelles capacités et partageons de nouvelles façons de relever les défis dont nous parlent nos clients. Sans surprise, la Security Week sera ma préférée, et j'espère que chacun de vous repartira avec des connaissances qui lui faciliteront quelque peu la tâche.