Le PDG de Drata, Adam Markowitz, sur la création d'une culture de la cybersécurité
Publié: 2022-05-06Alors que de plus en plus de données sont stockées dans le cloud, prouver que vous pouvez protéger les données de vos clients n'est pas seulement un avantage, c'est essentiel.
Il y a suffisamment d'histoires de violations de données et de cyberattaques pour refroidir même l'ingénieur en sécurité le plus averti. Les cyberattaques ont augmenté de 125 % par rapport à l'année précédente, et avec le passage des entreprises à des environnements partiellement ou entièrement distants, cela ne montre aucun signe de ralentissement. Dans la scène SaaS actuelle basée sur les données, ceux-ci peuvent affecter des centaines de millions d'utilisateurs et causer des dommages de plusieurs milliards de dollars, et à mesure que les cadres de conformité deviennent des exigences pour faire des affaires, les entreprises se tournent vers des services tiers qui peuvent aider à accélérer et faciliter le processus. Et c'est là qu'interviennent des gens comme Adam Markowitz.
Adam est le co-fondateur et PDG de Drata, une entreprise qui aide les entreprises à protéger les données de leurs clients, à surveiller en permanence leur posture de sécurité et à suivre automatiquement SOC 2, ISO 27001 et d'autres programmes de conformité. Bien qu'elle n'ait même pas deux ans, Drata a déjà clôturé une série B de 100 millions de dollars, la propulsant au statut de licorne et en faisant l'une des entreprises les plus rapides à atteindre une valorisation de 1 milliard de dollars. Il s'avère que la cybersécurité et la conformité sont en demande.
Ingénieur en aérospatiale devenu entrepreneur, Adam a appris très tôt que la meilleure façon de gagner la confiance était de prouver que vous la méritiez. Après avoir travaillé sur le moteur principal de la navette spatiale de la NASA, il a ensuite développé Portfolium, une plate-forme de réseautage social qui permet aux étudiants et aux diplômés de présenter des compétences au-delà du curriculum vitae traditionnel aux employeurs potentiels. Mais avant que les universités ne fassent affaire avec eux, elles avaient besoin d'être rassurées sur leur posture de sécurité. Soudain, l'équipe a trop bien connu les rapports SOC 2 et a réalisé à quel point cela pouvait devenir lourd et non évolutif, en particulier pour les startups à forte croissance. Portfolium a finalement été acquis, mais l'équipe derrière n'a jamais cessé de réfléchir à une meilleure façon de le faire. Moins d'un an plus tard, Drata était lancée.
Dans cet épisode, nous nous sommes assis avec Adam pour tout savoir sur le framework SOC 2, comment créer une culture de sécurité à partir de zéro et comment l'automatisation est essentielle pour transformer un mal de tête en une opération fluide.
Voici quelques-uns de nos plats à emporter préférés de la conversation :
1. Ça devient le strict minimum
Vous ne pouvez pas développer votre entreprise si vos clients ne vous font pas confiance avec leurs données sensibles. Et aussi agréables que soient les assurances verbales et une poignée de main, au fur et à mesure que vous grandissez et essayez de signer avec des entreprises plus établies au niveau de l'entreprise, vous vous retrouverez de plus en plus à devoir fournir des preuves de conformité avant de conclure l'affaire :
Le passage au cloud, de plus en plus de violations de données - cela a vraiment mis une loupe sur le risque tiers. Et cela a conduit une grande partie de ce que nous voyons ici, passant de ce plaisir à avoir à un besoin. Si je suis sur le point de faire affaire avec votre entreprise et que votre logiciel va accéder aux données de mes clients, il est de ma responsabilité de m'assurer que vous avez mis en place les contrôles appropriés pour les protéger.
2. Commencez tôt
L'analyse de Verizon des incidents de cybersécurité a révélé que le phishing était à l'origine de 90 % des attaques réussies, ce qui signifie que 9 fois sur 10, elles sont hautement évitables. Commencez à former vos employés aux pratiques de conformité et à la détection de ces e-mails malveillants dès le premier jour. Plus vite ils adopteront un état d'esprit axé sur la sécurité, plus vite cela fera partie de la culture.
J'avais cette conversation l'autre jour, et ce n'est peut-être pas la meilleure analogie, mais il y avait toute une génération qui a grandi en conduisant des voitures sans ceinture de sécurité. Et puis, dans les années 50, ils ont introduit cette nouveauté, et il y a eu de la résistance. Mais aujourd'hui, ayant moi-même grandi dès le premier jour, je n'y pense même plus quand je monte dans la voiture. La ceinture de sécurité se met et c'est comme respirer.
3. Ne sautez pas sur l'automatisation
La sécurité affecte toutes les fonctions de votre entreprise : de l'intégration et de la désintégration au chiffrement des données et à la gestion des terminaux. D'après l'expérience d'Adam, il y a entre 100 et 200 contrôles pour suivre l'entrée dans un audit SOC 2, donc si vous ne tirez pas parti de l'automatisation, vous pourriez passer des centaines d'heures par an sur la conformité :
Si vous n'utilisez pas l'automatisation, cela signifie que les équipes de votre entreprise sont chargées de collecter chaque élément de preuve de manière continue et répétée, puis de le stocker pour de futurs audits. Et puis, s'ils trouvent des lacunes en cours de route, car des lacunes peuvent se former n'importe quel jour de l'année, ils doivent y remédier. Beaucoup de gens vivent dans des feuilles de calcul, des dossiers partagés, des captures d'écran.
Attrapé votre intérêt? Nous avons rassemblé une liste d'articles, de vidéos et de podcasts que vous pouvez consulter :
- Évaluez la préparation SOC 2 de votre entreprise
- Conformité SOC 2 : Guide du débutant
- Le CTO d'Evernote sur vos plus gros soucis de sécurité De 3 à 300 employés
- L'incident LinkedIn
Voici Scale, la série de podcasts d'Intercom sur la stimulation de la croissance des entreprises grâce aux relations avec les clients. Si vous appréciez la conversation et que vous ne voulez pas manquer les prochains épisodes, appuyez simplement sur suivre sur iTunes, Spotify ou saisissez le flux RSS dans le lecteur de votre choix. Vous pouvez également lire la transcription complète de l'interview, qui a été légèrement modifiée pour plus de clarté, ci-dessous.
Sécurité sur pilote automatique
Liam Geraghty : Adam, merci beaucoup de nous avoir rejoints. Vous êtes les bienvenus au spectacle.
Adam Markowitz : Merci de m'avoir invité.
Liam : Tout d'abord, les félicitations s'imposent. Drata a récemment levé 100 millions de dollars en financement de capital-risque, ce qui, je crois, en fait la dernière licorne de démarrage de San Diego avec une évaluation de 1 milliard de dollars. Qu'est-ce que ça fait?
Adam: Merci, cela semble encore un peu surréaliste, principalement en raison de la rapidité avec laquelle l'entreprise est passée de la graine à la série, le tout en moins de 12 mois. Mais c'est super et super gratifiant de franchir le cap et de le faire ici à San Diego. Notre entreprise précédente a été fondée ici à San Diego il y a près de 10 ans, et c'était un écosystème technologique très différent à l'époque. Donc, le voir évoluer et en avoir fait partie pendant tout ce temps est super gratifiant. Et aussi, Drata lui-même est né en plein milieu de la pandémie. Nous nous sommes sentis chanceux d'être même en mesure de démarrer l'entreprise quand nous l'avons fait, et cette appréciation vient d'alimenter cette année vraiment sans précédent.
"Pas de période de rampe, pas de période d'apprentissage - c'était juste aller, aller, aller"
Liam : Comment c'était ?
Adam: C'était, encore une fois, juste être dans une position où nous nous sentions à l'aise pour le faire. Cela ne nous a pas échappé avec ce qui se passait dans le monde. Le premier jour, nous étions plusieurs à sortir de cette entreprise. Nous avions tous travaillé ensemble pendant si longtemps que c'était une sorte d'avantage injuste. Pas de période de rampe, pas de période pour apprendre à se connaître – c'était juste aller, aller, aller.
Liam : Que fait Drata ?
Adam : Drata aide les entreprises à mettre la sécurité et la conformité sur le pilote automatique, comme nous l'appelons, en automatisant la surveillance et la collecte de preuves de leurs contrôles de sécurité. Rationalisation des audits tels que SOC 2, ISO 27001, HIPAA et autres. Il permet aux entreprises de prouver leur posture de sécurité en temps réel à peu près n'importe quel jour de l'année, ce qui accélère leurs cycles de vente et leurs examens de sécurité. Bien sûr, cela rend également les audits plus rapides et moins coûteux. Et puis, cela permet aux entreprises d'être plus prêtes pour l'entreprise.
Liam : Toute la zone est un nouvel espace. Qu'est-ce que ça fait de le naviguer à la minute?
Adam : L'espace en lui-même est nouveau, mais c'est un espace qui a fait l'objet d'hypothèses depuis un certain temps. La promesse d'une conformité continue flotte depuis des années. Et donc, tenir cette promesse est super excitant. Et, bien sûr, stimulant – comme il se doit. Personnellement, j'aime être en avance et profiter de l'occasion pour placer la barre très haut sur le marché. Et continuer à pousser plus haut avec l'équipe.
De la science des fusées à la conformité
Liam : Vous n'avez pas commencé dans la sécurité, cependant. Ai-je raison de dire que vous êtes un ancien spécialiste des fusées ?
Adam : Ouais, c'est marrant. La malédiction d'être appelé un spécialiste des fusées est que la barre est immédiatement relevée pour tout et n'importe quoi que vous faites dans la vie. La voiture ne démarre pas immédiatement, réparez-la - "ce n'est pas sorcier ou quoi que ce soit."
Liam : Comment c'était ? Comment avez-vous fait la transition vers la technologie de conformité ?
Adam : J'ai commencé ma carrière en tant qu'ingénieur sur le programme de la navette spatiale, plus précisément dans l'équipe MCC, l'équipe de la chambre de combustion principale. Le dernier lancement de navette a eu lieu il y a plus de dix ans, donc certaines personnes ne se souviennent peut-être pas d'avoir vu un lancement de navette, mais si vous le faites, vous voyez la fusée sur le pad, vous avez les deux propulseurs de fusée, et puis il y a ce géant réservoir orange. C'est le réservoir de carburant qui alimente ces trois moteurs principaux, et c'est ce sur quoi j'ai travaillé en sortant de premier cycle. La meilleure façon de décrire le fonctionnement d'un moteur de fusée est simplement une explosion contrôlée. C'est donc un rêve/cauchemar d'ingénierie, selon la façon dont vous le voyez.
"C'est ainsi que j'ai décroché cet emploi en travaillant sur le programme de la navette spatiale - j'ai apporté un portfolio dans mes entretiens d'embauche pour m'aider à me démarquer et à prouver mes compétences au-delà de GPA"
Liam : Qu'est-ce que ça fait de regarder le lancement ? Êtes-vous tendu? Êtes-vous un peu excité?
Adam : Une excitation tendue, c'est une bonne façon de le dire. Tout le monde aimait ce que nous faisions. Je voulais être astronaute depuis que je suis petit et avoir un vrai astronaute en direct marchant dans le bureau, remerciant les ingénieurs de les avoir aidés à rentrer chez eux en toute sécurité, d'autant plus que votre premier emploi à la sortie du premier cycle est absolument incroyable.
Liam : Je t'ai en quelque sorte interrompu là, mais tu me disais comment tu as en quelque sorte fait cette transition.
"Pour aider les étudiants à gagner la confiance des employeurs, nous devions d'abord prouver notre posture de sécurité aux universités"
Adam : L'expérience a pris fin en 2011 lorsque le programme de navette a été retiré, et j'ai fait le saut de l'aérospatiale à l'entrepreneuriat. J'ai sauté le pas, comme on dit. J'ai appris à coder et j'ai construit un MVP que j'appelais un Portfolium, qui était un réseau ePortfolio de type LinkedIn pour les étudiants, et l'idée est venue. C'est ainsi que j'ai décroché cet emploi en travaillant sur le programme de la navette spatiale - j'ai apporté un portfolio dans mes entretiens d'embauche pour m'aider à me démarquer et à prouver mes compétences au-delà de GPA. Et donc, je voulais faire ça pour les étudiants du monde entier et les aider à décrocher l'emploi de leurs rêves en se basant uniquement sur leurs compétences éprouvées. Je crois fermement qu'il faut gagner la confiance en prouvant d'abord que vous le méritez. Dans ce cas, il s'agissait de preuves de compétences dans ces ePortfolios, qui étaient riches en données que nous pouvions utiliser pour jumeler les étudiants aux employeurs de manière plus significative.
Nous avons développé l'entreprise et le réseau de millions d'étudiants, et nous l'avons fait en vendant un module d'évaluation de l'apprentissage dans les universités. Et c'est là que nous avons rapidement compris l'importance de prouver notre posture de sécurité. Parce qu'avant que l'université ne signe avec nous et ne fournisse des informations sensibles sur les étudiants, elle avait besoin de s'assurer de notre posture de sécurité. L'étalon-or pour prouver cela était, et est toujours, un rapport SOC 2. Donc, vous voyez en quelque sorte ce thème ici, gagner la confiance avec des preuves. Ainsi, pour aider les étudiants à gagner la confiance des employeurs, nous devions d'abord prouver notre posture de sécurité aux universités, et la preuve en était le rapport SOC 2. Portfolium a été acquis en février 2019 et notre équipe s'est réunie l'année dernière en 2020 pour créer Drata, afin d'aider les entreprises à se lever, à maintenir et à prouver leur posture de conformité en matière de sécurité avec une approche axée sur l'automatisation.
SOC 2 101
Liam : Alors, parlons de la conformité SOC 2, ce qui, je le sais, revient un peu à dire « parlons des taxes » ou « parlons de la facturation ». Mais c'est tellement important. Pouvez-vous nous expliquer en quoi consiste réellement la conformité SOC 2 ?
Adam : Bien sûr, avec plaisir ! Ainsi, SOC 2 est un cadre. Il est créé et maintenu par l'AICPA, qui est l'American Institute of Certified Public Accountants. Ainsi, les auditeurs des cabinets d'experts-comptables effectuent en fait des audits SOC 2, et le résultat de tout audit SOC 2 est un rapport SOC 2. SOC 2 n'est pas une certification réussite-échec, ce qui est vraiment important et une idée fausse courante. Ce rapport SOC 2, c'est une attestation, et c'est une attestation de confiance parce qu'elle provient de cet auditeur tiers indépendant et certifié. Et fondamentalement, il teste la conception et l'efficacité opérationnelle des contrôles de sécurité de votre entreprise lorsqu'il s'agit de protéger les données de vos clients. En d'autres termes, le rapport SOC 2 est un rapport détaillant dans quelle mesure votre entreprise protège les données de ses clients. Si vous vendez des logiciels aujourd'hui, il y a 99,9 % de chances que vous stockiez ou traitiez des données dans le Cloud. Et pour cette raison, ce n'est qu'une question de temps avant qu'on vous demande de fournir un rapport SOC 2 à vos clients ou à vos clients potentiels dans le cadre de leur processus d'examen de la sécurité.
"Si je suis sur le point de faire affaire avec votre entreprise et que votre logiciel va accéder aux données de mes clients, il est de ma responsabilité de m'assurer que vous avez mis en place les contrôles appropriés pour les protéger"
Liam : Et est-ce la norme pour les entreprises B2B ?
Adam : À bien des égards, oui. Surtout ici aux États-Unis, en partie parce que SOC 2 s'applique à toute entreprise qui stocke ou traite des données dans le Cloud, et c'est toutes les entreprises de nos jours, absolument toutes les entreprises SaaS. Donc, à bien des égards, c'est devenu l'étalon-or maintenant. Encore plus comme la barre minimale pour prouver votre posture de sécurité. Nous avons été témoins de cela de première main chez Portfolium en vendant aux universités; sur une très courte période, ces demandes pour notre rapport SOC 2 se sont rapidement transformées en demandes pour notre rapport SOC 2. Et puis, cela a été intégré à chaque appel d'offres que nous avons rencontré. Le passage au Cloud, de plus en plus de violations de données - cela a vraiment mis une loupe sur le risque tiers. Et cela a conduit une grande partie de ce que nous voyons ici, passant de ce plaisir à avoir à un besoin.
Liam : Pourquoi est-il si important pour les entreprises B2B d'être conformes à la norme SOC 2 à mesure qu'elles évoluent ? Et cela les affecte-t-il d'attirer et de fidéliser de plus gros clients ?
"Si vous ne tirez pas parti de l'automatisation, les entreprises passent généralement des centaines d'heures par an sur la conformité"
Adam : Oui, certainement. Si je suis sur le point de faire affaire avec votre entreprise et que votre logiciel va accéder aux données de mes clients, il est de ma responsabilité de m'assurer que vous avez mis en place les contrôles appropriés pour les protéger. Si vous me donnez votre parole, c'est très bien, mais le journaliste d'audit indépendant va vraiment avoir le poids nécessaire pour m'assurer que vous avez un programme de sécurité adéquat. Mes vérificateurs voudront s'assurer que j'ai obtenu cette assurance avant de vous fournir des données. Sinon, je ne suis pas mon propre contrôle.
Liam : J'ai beaucoup lu sur les difficultés rencontrées par les startups pour se conformer à la norme SOC 2. Pourquoi était-ce, et cela a-t-il changé?
Adam : Oui, absolument. Nous en avons fait l'expérience de première main. Si vous ne tirez pas parti de l'automatisation, les entreprises consacrent généralement des centaines d'heures par an à la conformité. Pour aider à expliquer pourquoi, le cadre lui-même est composé de cinq principes de service de confiance différents : sécurité, disponibilité, confidentialité, confidentialité et intégrité du traitement. La sécurité est, de loin, la plus importante des cinq et techniquement la seule requise pour un audit et un rapport. Mais chacun des cinq a ses propres critères que votre entreprise doit respecter ou satisfaire en concevant puis en mettant en œuvre des contrôles dans toute l'entreprise. Souvent, quand je dis cela, les gens me demandent ce que j'entends par contrôle. Vous pouvez considérer le contrôle comme une politique, un processus, un outil que vous mettez en place pour empêcher qu'une mauvaise chose ne se produise ou pour vous assurer qu'une bonne chose se produit. C'est toujours comme ça que je le définis. Et cela couvre toutes les fonctions de votre entreprise : comment vous intégrez, formez et quittez les employés, comment vous gérez les points de terminaison et chiffrez les données de sauvegarde, comment vous provisionnez l'accès et vous authentifiez dans les applications, révisez le code... Je peux continuer encore et encore.
"Cela signifie que les équipes de votre entreprise sont chargées de collecter chaque élément de preuve de manière continue, répétée, puis de le stocker pour de futurs audits"
Les entreprises ont entre 100 et 200 contrôles en place avant un audit SOC 2. Et puis, l'audit lui-même peut prendre beaucoup de temps parce qu'il faut essentiellement prouver à l'auditeur que ces contrôles sont là et, plus important encore, qu'ils restent en place pendant toute la durée de l'audit. Ce n'est pas quelque chose que vous pourriez simplement entasser tous les 11 mois, si vous êtes sur la période de 12 mois. Si vous n'utilisez pas l'automatisation, cela signifie que les équipes de votre entreprise sont chargées de collecter chaque élément de preuve de manière continue et répétée, puis de le stocker pour de futurs audits. Et puis, s'ils trouvent des lacunes en cours de route, car des lacunes peuvent se former n'importe quel jour de l'année, ils doivent y remédier. Et oui, juste beaucoup de gens vivent dans des feuilles de calcul, des dossiers partagés, des captures d'écran. Il est clairement très mûr pour les perturbations, et cela s'est fait sous la forme de l'automatisation. C'est vraiment ce qui a changé. Drata apporte cette solution axée sur l'automatisation pour faire gagner aux entreprises des centaines d'heures par an, puis leur fournit ces tableaux de bord de préparation en temps réel, afin que vous soyez prêt pour l'audit rapidement et que vous restiez prêt pour l'audit tous les jours de l'année.
Liam : C'est tellement important parce que, comme vous l'avez mentionné plus tôt, c'est un élément tellement important de la confiance entre une entreprise et ses clients.
Adam : Exactement. Et c'est aussi le thème de la dernière entreprise. Vous pourriez croire quelqu'un sur parole, vous pourriez lire une puce sur son CV, mais nous voulons que cela aide les gens à prouver leurs compétences. Et de même, ici, nous voulons que les gens puissent prouver avec des preuves, pas seulement pendant les audits, mais n'importe quel jour de l'année, comment leurs contrôles fonctionnent. Cela pourrait être un rapport interne pour leur propre équipe, pour leur conseil d'administration, pour leur propre santé mentale, mais aussi pour l'extérieur. C'est là que nous voyons le chemin aller.
Faites-le tôt, faites-le souvent
Liam : Comment les entreprises peuvent-elles s'y prendre pour créer une culture de la cybersécurité dans leur organisation ? Parce que comme nous le savons tous, la sécurité n'est plus seulement un bien-être.
Adam : Je pense que l'autonomisation des employés individuels est la clé. Si les employés comprennent à quel point ils sont importants dans la protection de leur entreprise, c'est quelque chose dont ils pourraient être fiers, plutôt que de simplement se sentir comme une chose à cocher. Parce que rien n'est plus vrai. Les attaques de phishing sont toujours les causes les plus courantes de violation de données en 2021. C'est quelque chose comme 90 % - j'ai dû le relire juste pour m'assurer qu'il ne s'agissait pas d'une faute de frappe. Former vos employés à repérer ces e-mails malveillants, puis à les tester tout au long de l'année est un exemple de la façon dont vous pouvez donner aux employés les moyens de s'approprier leur sécurité. Et l'entreprise va avoir une posture de sécurité plus forte à cause de cela. Je pense donc que c'est la clé.
"Plus tôt les contrôles sont mis en place dans votre entreprise, plus tôt elle devient partie intégrante de la fondation"
Je pense que le plus important est peut-être de le faire tôt. Si vous le faites cuire dès le premier jour ou le plus près possible du premier jour, cela devient une seconde nature. Ce n'est pas quelque chose de nouveau et de différent plus tard quand il y a juste beaucoup plus d'inertie ou de résistance au changement. J'avais cette conversation l'autre jour, et ce n'est peut-être pas la meilleure analogie, mais il y avait toute une génération qui a grandi en conduisant des voitures sans ceinture de sécurité. Et puis dans les années 50, ils ont introduit cette nouveauté, et il y a eu de la résistance. Mais aujourd'hui, ayant moi-même grandi dès le premier jour, je n'y pense même plus quand je monte dans la voiture. La ceinture de sécurité se met et c'est comme respirer. Je n'y pense pas. Ainsi, plus tôt les contrôles sont mis en place dans votre entreprise, plus tôt elle devient partie intégrante de la fondation.
Liam : Qu'est-ce que les gens doivent savoir si votre entreprise est sollicitée pour un rapport SOC 2 ?
Adam : Je suppose que la première chose est de savoir que c'est une bonne chose. Celui qui demande envisage sérieusement de faire affaire avec votre entreprise et doit maintenant s'assurer que vous faites ce qu'il faut pour protéger ses données. Deuxièmement, si c'est la première fois qu'on vous demande un rapport SOC 2, ce ne sera pas la dernière, et ce ne devrait pas être le cas non plus. Si vous n'avez pas de rapport SOC 2, il est définitivement temps de commencer. Et encore une fois, plus vous le ferez tôt, plus ce sera rapide, moins ce sera cher et plus il sera facile de le maintenir à l'avenir. Tout cela, bien sûr, pour dire tirer parti de l'automatisation pour le faire.
Liam : Et SOC 2 n'est pas une certification. Ai-je raison?
Adam : Exact. C'est une attestation.
Liam : Et il y a deux types différents : Type 1 et 2. Quelle est la différence ?
Adam : Pour rendre les choses encore plus confuses, il y a quelque chose comme SOC 1 puis SOC 2. Je pense que vous posez une question sur SOC 2 Type 1 par rapport à SOC 2 Type 2, ce qui est une excellente question et celle que les prospects nous posent tout le temps. . Ils sont tous les deux identiques en termes de cadre lui-même. La différence est que l'audit et le rapport SOC 2 Type 1 examinent la conception de vos contrôles à un moment très précis. Comme, êtes-vous conforme aujourd'hui? Un SOC 2 Type 2 examine la conception de vos contrôles, mais il examine également l'efficacité de fonctionnement de ces contrôles sur une certaine période, généralement 12 mois.
Sur cette base, vous pouvez imaginer que le SOC 2 Type 2 est définitivement une barre plus élevée. Cela prend plus de temps; c'est généralement plus cher; c'est juste fait sur une période de temps. Vous pourriez faire un type 1 sur votre chemin vers un type 2. Nous voyons des clients le faire lorsqu'ils ont besoin d'un rapport dès que possible, et le type 1 est certainement mieux que de ne pas avoir de rapport du tout. Et vous ne perdez ni temps ni travail car, encore une fois, il s'agit du même cadre. Vous obtenez essentiellement tous vos contrôles mis en œuvre en faisant l'audit de type 1, et en même temps, en commençant votre période de quatre à 12 mois pour le type 2. En fait, certains des cabinets d'audit avec lesquels nous travaillons en partenariat regroupent même leurs prix pour un type 1 et un type 2, ce qui le rend plus rentable dans ce scénario spécifique. Mais encore une fois, vous pouvez simplement opter pour le Type 2, car c'est l'étalon-or.
"C'est une excellente formation, et ils font ces simulations d'attaques de phishing. Nous hameçons donc délibérément nos propres employés au hasard »
Liam : Selon Statista, les dommages monétaires causés par les cybercrimes signalés s'élevaient à 4,2 milliards de dollars en 2020, soit quatre fois plus qu'en 2015.
Adam : C'est fou.
Liam : Ouais, c'est fou. Quels sont donc les angles morts qui sévissent dans les systèmes de sécurité d'entreprise ?
Adam : C'est une bonne question. Il y a plus de données dans le Cloud à exposer aujourd'hui que jamais. Je pense que ce qui pourrait surprendre les gens, c'est qu'il s'agit toujours en grande partie des mêmes vieux trucs, comme les attaques de phishing. Comme je l'ai dit, les attaques de phishing représentent encore 90 % des violations de données en 2021. La plupart des fournisseurs de formation de sensibilisation sécurisée proposent des modules et des cours sur la façon de repérer les e-mails de phishing, ce qu'il faut faire et ce qu'il ne faut pas faire lorsque vous les recevez. Et c'est un contrôle commun que toute entreprise passant par SOC 2 devrait avoir en place, une formation de sensibilisation à la sécurité. Nous utilisons un excellent outil – Drata s'y intègre – appelé Curricula. C'est un exemple. Mais c'est une excellente formation, et ils font ces simulations d'attaques de phishing. Nous hameçons donc délibérément nos propres employés au hasard.
"Tout ce qu'il faut, c'est un e-mail, un employé"
Liam : Je parie qu'ils adorent ça.
Adam : Je ne sais même pas si c'est réel ou non, ce qui fait partie de l'exercice. Mais c'est une façon de développer continuellement ce muscle en interne dans l'entreprise, car comme toutes les choses, ce n'est jamais un et fait. Vous ne vous contentez jamais de claquer des doigts et vous êtes en sécurité. Vous devez pratiquer. Et donc, si quelqu'un venait à cliquer sur l'un de ces liens et faux e-mails, ça lui dirait immédiatement : « Hé, tu viens de te faire hameçonner, allez, souviens-toi de ta formation », mais c'est quand même valable à ce moment-là, non ?
J'ai été surpris. Nous en avons eu un il n'y a pas si longtemps. Cela ressemblait à un e-mail provenant de Carta. Et il disait essentiellement : « Félicitations pour votre dernière attribution d'options d'achat d'actions. Il vient d'être approuvé par le conseil d'administration, signez ici. Et oui, cela puise directement dans ce centre de gratification instantanée du cerveau. Vous seriez surpris du nombre de personnes qui cliqueront sur ce lien sans vraiment vérifier qu'il est légitime. C'est ainsi que, encore une fois, 90 % de ces violations se produisent. Tout ce qu'il faut, c'est un e-mail, un employé. Cela revient au point initial de l'intégrer à votre fondation et à votre culture. C'est pourquoi il est important que chacun dans l'entreprise s'approprie la sécurité. Ce n'est pas le travail d'une seule personne, c'est le travail de tout le monde.
Faire évoluer la sécurité en tant que startup
Liam : Je sais que nous avons beaucoup d'auditeurs de startups, et j'allais vous demander quels conseils vous donneriez aux startups en particulier pour devenir conformes à la norme SOC 2. Qui doit gérer le processus SOC 2 dans les petites startups ?
Adam : C'est une bonne question. Et celui qui, je pense, occupe une place spéciale dans nos cœurs parce que, premièrement, nous sommes toujours nous-mêmes une startup, mais ce Drata est né de notre besoin personnel en tant que startup vendant aux universités, dans notre cas. Nous avons donc parlé à beaucoup de startups. Le conseil que nous donnons est, bien sûr, n'attendez pas. Comme je l'ai dit plus tôt, commencez bientôt. Plus vous le faites tôt, plus la maintenance est rapide, économique et facile. Tirez certainement parti de l'automatisation. Vous économiserez des centaines d'heures d'ingénierie, que vous devriez consacrer, en particulier en tant que startup, aux produits et autres priorités.
"Au fur et à mesure que votre entreprise grandit, plus d'employés, plus d'actifs, plus à suivre"
Et je suppose que l'autre serait de penser à long terme. Il est très facile de se faire prendre au piège de "D'accord, je dois cocher cette case, sinon cette grosse affaire ne va pas se conclure, et cette grosse affaire change la donne, existentielle pour notre startup." Il existe un moyen de le faire rapidement, mais celui qui va vous préparer à long terme. Ce n'est pas une chose de réussite. Rappelez-vous cela. Alors oui, c'est un rapport que vous obtenez à la fin de l'audit, et vous voulez que ce soit un bon rapport propre. Lorsque vous remettez ce rapport à quelqu'un, vous voulez qu'il vous mette en valeur. Une grande partie de cela pourrait simplement se perdre, en particulier en tant que startup, dans le bruit et la pression pour se conformer ou conclure cet accord.
Liam : Et que doivent savoir les entreprises de mise à l'échelle ? Je suppose qu'il peut y avoir des défis assez différents.
Adam : Donc, si vous avez déjà un rapport SOC 2 et que vous utilisez des feuilles de calcul ou que vous vivez dans des feuilles de calcul et des captures d'écran, vous ressentez déjà la douleur de son inévolutivité. Au fur et à mesure que votre entreprise grandit, plus d'employés, plus d'actifs, plus à suivre. L'automatisation devient en fait plus précieuse au fil du temps, car vous disposez de plus d'actifs dans le cadre de votre audit. Et donc, il y a encore plus de raisons de tirer parti de l'automatisation et de mettre en place une surveillance continue afin que vous ne collectiez pas rétroactivement et manuellement des preuves. Vous savez en temps réel où les lacunes se forment au fur et à mesure que les employés vont et viennent, ou vous augmentez ou diminuez automatiquement les actifs. Alors oui, c'est un cas d'utilisation différent, mais très similaire.
"C'est ce qui est unique, surveiller en permanence les contrôles, puis identifier et alerter lorsque des lacunes se forment en temps réel"
Liam : J'aimerais savoir comment Drata contribue à simplifier et à automatiser le processus SOC 2 pour les utilisateurs.
Adam : Oui, absolument. Nous l'avons donc conçu comme une solution de bout en bout. Cela peut prendre les entreprises à partir de zéro, tout au long de la préparation de l'audit, de l'audit lui-même, puis de la maintenance continue avec l'automatisation. Drata se connecte à la pile technologique de son client. C'est ce qui est unique, surveiller en permanence les contrôles, puis identifier et alerter lorsque des lacunes se forment en temps réel. Et il va automatiquement collecter des preuves de tous ces contrôles qui sont ensuite pré-mappés dans des cadres tels que SOC 2, ISO 27001, HIPAA, etc. Donc, si vous partez de zéro, vous pouvez tirer parti du cadre de contrôle commun au sein de Drata, ainsi que des modèles de politique de sécurité pour mettre en place votre fondation très rapidement. Nous avons eu des entreprises de moins de 50 employés qui sont littéralement passées de rien à un audit en quelques semaines seulement. C'est la puissance de l'automatisation.
Ensuite, Drata s'associe également à des cabinets d'audit formés pour effectuer l'audit à l'aide de Drata de manière très simplifiée. Cela fait gagner du temps à tout le monde et se traduit par des audits à moindre coût. Ce fut un voyage particulièrement enrichissant. C'est quelque chose qui vient de nos propres besoins personnels. Et puis notre équipe, en particulier notre équipe Customer Success, qui travaille avec chacun de nos clients. Nous avons d'anciens auditeurs, des professionnels de la sécurité, parmi notre personnel pour aider à guider nos clients tout au long du voyage. Ce n'est pas seulement tous les logiciels, évidemment, l'automatisation est la clé.
L'avenir de la sécurité des données
Liam : Juste avant de conclure, quel est l'avenir de la sécurité des données ? Est-ce que ça va toujours être une lutte difficile?
"Je pense que les entreprises vont être plus transparentes sur le partage, pas seulement ces rapports SOC 2, mais littéralement entre les rapports en temps réel"
Adam : Je vais sortir ma boule de cristal. Avec de plus en plus de données dans le Cloud, la sécurité des données ne fera que gagner en importance avec le temps. Je pense que vous allez voir des entreprises le faire plus tôt, comme nous le voyons déjà, se voir demander plus souvent des certifications de conformité et d'attestation. Et cela va être intégré à la culture de l'entreprise dès le premier jour. Beaucoup de professions et d'industries là-bas où une formation supplémentaire en matière de sécurité est nécessaire et personne ne bouge un œil parce que c'est juste compris. Il y a des risques très réels ici. Et la même chose peut être dite pour toute société de logiciels détenant des données dans le Cloud.
Je pense que nous allons voir plus de surveillance continue, juste une vue en temps réel de l'intérieur, et je pense que les entreprises vont être plus transparentes sur le partage, pas seulement ces rapports SOC 2, mais littéralement entre les rapports en temps réel -temps. De la même manière que nous nous vantons de notre statut de disponibilité - voici notre statut de posture de sécurité. Et puis, bien sûr, je ne pense pas que je serais co-fondateur et PDG de Drata si je ne pensais pas que l'automatisation allait être la méthode standard pour les entreprises qui maintiennent cette posture de conformité en matière de sécurité. Alors on verra.
Liam : C'est évidemment une période très excitante pour vous tous. Et après? Avez-vous de grands projets ou projets en cours ?
Adam : Ouais, c'est incroyable à quelle vitesse l'année a passé. Nous avons lancé officiellement le 15 janvier, nous avons donc atteint ce statut de licorne très rapidement. Mais nous sommes toujours une startup qui démarre. Notre équipe va tripler de taille en 2022. Nous recrutons donc à tous les niveaux, tous les départements. Si les gens qui écoutent sont intéressés par l'automatisation et la sécurité, nos valeurs fondamentales se trouvent sur notre site Web. Et s'ils résonnent avec vous, nous serions ravis que vous jetiez un coup d'œil à notre page carrières, et nous serions ravis de communiquer avec vous
Liam : Génial. Nouvelle année, nouveau travail. Cette série a pour but d'entendre comment les entreprises adaptent leur croissance. Avant de terminer, j'aimerais savoir s'il y a eu un événement clé dans votre carrière qui vous a aidé à évoluer professionnellement ?
« C'est un autre type de fusée, n'est-ce pas ? Les deux sont très intenses »
Adam : Nous apprenons tellement chaque jour, et nous sommes tout simplement axés sur l'itération et l'amélioration continues. Donc, les premiers conseils, c'était juste de m'entourer de mentors, de conseillers, de gens qui sont passés par là et dont nous pouvions apprendre, et d'être ouvert à cela. Après la fin du programme de la navette spatiale et que j'apprenais à coder et à construire la première version de Portfolium, je travaillais dans un programme d'accélérateur ici à San Diego appelé EvoNexus. Et cela a vraiment accéléré les choses. Cela a mis ces gens autour de moi immédiatement et j'ai appris d'eux. Cela a vraiment aidé à mettre en place des éléments pour se préparer à tout ce qui nous attend. Je ne pense pas que quoi que ce soit puisse jamais vous préparer, mais cela aide certainement.
Liam : Qu'y a-t-il de plus tendu et excitant ? Spécialiste des fusées ou dirigeant d'entreprise ?
Adam : C'est un autre type de fusée, n'est-ce pas ? Les deux sont très intenses.
Liam : Et enfin, où nos auditeurs peuvent-ils aller pour vous suivre, vous et votre travail ?
Adam : Ouais, s'il vous plaît, consultez notre site drata.com. Feel free to schedule a live demo with our team and see the product in action. We'd love to show it. On LinkedIn, it's easy to find and follow; just search Drata. And then, on Twitter, at @DrataHQ.
Liam: Perfect. And thank you so much for joining us today.
Adam: Thank you so much for having me.
