Pentagone CIO sur l’avenir de la cybersécurité du DoD
Changer d’emploi a porté ses fruits pour John Sherman.
En juin 2020, Sherman, un vétéran de plus de 20 ans de la communauté du renseignement américain et à l’époque son directeur de l’information, est parti pour devenir le principal adjoint au CIO du Pentagone.
Sept mois plus tard, il est devenu le CIO par intérim des départements de la Défense et en septembre dernier, il a été nommé par le président Joe Biden pour occuper en permanence le premier poste de l’énorme agence.
L’enregistrement a récemment rencontré Sherman au Pentagone pour discuter de ses priorités, des récents remaniements du DoD en matière de cyber et de technologie de l’information et de sa vision des plus grandes menaces numériques du département. Le Q+A ci-dessous, qui a été modifié pour plus de longueur et de clarté, est la première des deux parties de cette interview.
Le record : Vous avez été nommé directeur adjoint du DoD en juin 2020. Vous avez occupé le poste de directeur informatique du DoD par intérim de janvier 2021 à septembre dernier, date à laquelle vous avez été nommé. Qu’avez-vous appris pendant cette période ?
John Shermann : J’ai appris comment le ministère est à une si grande échelle. J’ai été le CIO de la communauté du renseignement pendant un peu moins de trois ans, en coordination avec la CIA, la NSA sur des aspects tels que le cloud, la cybersécurité, l’interopérabilité, etc.
Je suis content d’avoir été l’adjoint principal pendant un certain temps en tant que débutant ici, car la portée et les sujets sont similaires en termes de cloud, de cybersécurité. Mais nous le faisons à une échelle tellement plus grande ici; quatre millions de femmes et d’hommes ici au ministère de la Défense.
De plus, alors que du côté de la communauté du renseignement, je me concentrais sur les renseignements et les données de renseignement, cela soutient nos combattants et les femmes et les hommes qui soutiennent nos combattants pour faire leur travail.
Donc, des domaines comme le commandement, le contrôle et la communication, C3, font partie de mon portefeuille et j’apprends des choses comme le positionnement, la navigation et la synchronisation, le GPS et les sources alternatives pour cela, le spectre et d’autres domaines qui sont nouveaux, ce n’est pas ce que j’ai fait du côté IC.
« Je suis content d’avoir été l’adjoint principal pendant un certain temps en tant que débutant ici. »
John Sherman, directeur informatique du département de la Défense
TR : Qu’avez-vous observé que le DOD faisait bien ? À l’inverse, quels domaines devaient être améliorés ?
JS : Ce qui allait bien, c’était la stratégie de modernisation numérique qui était en cours. Un ensemble clair de problèmes d’étoile du nord sur le cloud, la cybersécurité, le C3, l’IA et les données.
Quand j’ai eu mon grand livre de lecture, quand j’étais encore à l’IC et que j’étais sur le point de venir ici, en lisant la planification et la structuration très délibérées qui avaient été mises en place pour donner une étoile du Nord sur chacun de ces grands domaines au département était très impressionnant.
Je n’ai rien vu qui n’allait pas nécessairement parfaitement bien, mais il y a toujours des points à améliorer.
Sur la question du cloud de l’infrastructure de défense conjointe (JEDI), j’ai dit, si je suis nommé responsable, nous allons certainement faire un pivot ici, mais nous allons collecter des données.
Quelque chose qui s’est manifesté ici récemment avec le Chief Digital and AI Officer pour une meilleure coordination nécessaire entre les données et les capacités d’analyse avancées.
Un autre domaine que j’ai appris à apprécier ici, qui est un défi constant que nous avons, est de se débarrasser de la dette technique. Il a été, pour des raisons très compréhensibles, autorisé à entrer dans nos systèmes alors que nos vaillants militaires combattaient en Afghanistan, en Irak et ailleurs, contre des extrémistes violents.
Mais maintenant, alors que nous nous préparons à relever le défi de la Chine, et aussi, comme nous le dirions, des concurrents proches, la Russie et d’autres, nous sommes confrontés à un tout autre ensemble de problèmes pour un espace de combat potentiellement contesté. Des choses comme le spectre électromagnétique dont nous nous sommes occupés, disons, au Vietnam ou pendant la guerre froide, mais pas nécessairement pour s’en prendre aux extrémistes violents dans le sud de l’Afghanistan.
Si nous devons mener des opérations de combat contre des concurrents proches, des choses comme un cryptage très solide, être capable de protéger nos systèmes, notre cybersécurité, le spectre électromagnétique, préserver nos capacités P&T et GPS, cela doit être une priorité et cela ne peut pas être des options.
TR : Vous êtes CIO ici depuis environ deux mois. Quels sont vos objectifs?
JS : La cybersécurité, avant tout la protection de l’ensemble de notre écosystème informatique contre les menaces de très haut niveau, en travaillant en étroite collaboration avec des personnes comme [U.S. Cyber Command and NSA chief] Paul Nakasone et une foule d’autres acteurs clés ici au sein du département.
On parle beaucoup de Zero Trust. C’est basé sur le principe que l’ennemi peut déjà être sur notre réseau. Alors, comment pouvons-nous non seulement avoir une approche château et douves, mais des réseaux très segmentés avec ce que nous appellerions un accès à grain fin qui examine non seulement les signatures, mais les comportements des individus qui s’y trouvent.
Nous avons mis en place un bureau de gestion de portefeuille Zero Trust pour exploiter la coordination de ce qu’il faudra pour mettre en œuvre Zero Trust. Nous avons fait venir Randy Resnick de la NSA pour être le directeur. Il travaille pour [Chief Information Security Officer] Dave McKeown maintenant. Sudha Vyas a été l’architecte en chef de Zero Trust.
Nous savons que tenir un bureau, c’est comme, d’accord, c’est une étape. Paul Nakasone utilise le terme verbes d’action. J’aime ça. Nous allons obtenir des verbes après action pour faire des choses tangibles sur Zero trust. Google vous dira qu’il leur a fallu 10 ans pour implémenter Zero Trust. Nous avons déjà une fondation ici et, même si cela prendra des années, il y a des choses que nous pouvons faire à très court terme pour commencer à obtenir après cela. Randy roule déjà, travaillant avec la Defense Information Systems Agency et d’autres sur des choses tangibles et exploitables et en s’appuyant sur ce que font les services.
J’ai cette cybersécurité de la base industrielle de défense dont je suis maintenant responsable, ainsi que la certification du modèle de maturité en cybersécurité, CMMC, qui est maintenant sous ma responsabilité.
Mais je noterai que CMMC n’est pas la totalité de la cybersécurité DIB. C’est une partie importante de celui-ci, mais la sensibilisation et le travail avec 220 000 entreprises DIB sont essentiels.
Nous travaillons avec de très grandes entreprises. Je suis également très inquiet pour l’entreprise qui compte 100 personnes quelque part dans le Midwest ou la côte ouest ou dans n’importe quelle région du pays ici qui fournit un widget qui va sur un plus gros widget qui va sur un circuit imprimé qui va dans l’un des nos aéronefs ou véhicules terrestres. Comment aidons-nous à les protéger?
Également sur le front du cyber et vraiment numérique et de l’innovation au sens large, il y a le talent. Je tiens tellement à ce que nous ayons le meilleur vivier de talents et à penser différemment le type de personnes que nous pouvons faire venir ici au ministère. Nous devons penser différemment à ce sujet. Il faut élargir l’ouverture. Cela doit être un effort national. Je veux une main-d’œuvre diversifiée et riche qui représente toute l’Amérique.
Le calcul et les logiciels constituent un autre domaine prioritaire majeur. Nous avons parlé de la Joint Warfighting Cloud Capability, la suite de JEDI. C’est en plein milieu de l’approvisionnement, donc je ne vais pas donner de détails sur où nous en sommes dans le processus, sauf pour dire que la justification est de fournir un accès d’entreprise multi-cloud pour notre entreprise depuis le les États-Unis continentaux à ce que nous appelons le bord tactique, le bord même du champ de bataille.
Et puis, enfin, une autre priorité clé est sur C3; commandement, contrôle, communication.
TR : Vous avez une longue carrière au gouvernement. Le cyber est en constante évolution, se développant plus rapidement avec de nouvelles menaces. Que diriez-vous aux gens qui pourraient dire : « John Sherman est au gouvernement depuis des décennies, comment peut-il savoir ce qui se passe aujourd’hui ?
JS : C’est une excellente question. Je pense qu’il est important, en tant que dirigeant, de puiser dans le plus large éventail de talents.
Les personnes avec lesquelles j’ai le privilège de travailler et d’exploiter, allant de la NSA et CYBERCOM à ici au Pentagone en ce moment, puis de travailler avec des gens comme Anne Neuberger sur le NSC, une de mes collègues de longue date et ce qu’elle apporte au combat, Chris Inglis, Jen Easterly que je connais depuis 20 ans et qui était à la Maison Blanche en même temps que j’étais le 11 septembre.
Également très important, la sensibilisation de l’industrie. Presque chaque jour, je rencontre des penseurs clés de l’industrie, non seulement des fournisseurs de services de cybersécurité, mais aussi des leaders technologiques qui fournissent des services informatiques à grande échelle, qui fournissent des télécommunications, qui fournissent d’autres services pour comprendre la nature des menaces que nous ‘ sont confrontés dans des domaines tels que Log4j, SolarWinds, des vecteurs de menace dans les systèmes de contrôle industriels et d’autres domaines.
Donc, en tant que chef du ministère de la Défense, oui, j’ai été au gouvernement. Mais il faut vraiment une équipe d’équipes. C’est là que je gagne mon argent ici en m’assurant que nous tirons le meilleur parti de cet écosystème très riche et que nous ne prenons pas de retard à cet égard.
TR : Vous êtes également le CDAO par intérim. Pourquoi ce bureau est-il nécessaire ? Comment cela aidera-t-il le Chief Data Officer, le Joint Artificial Intelligence Center et le Defense Digital Service en dessous ?
JS : La création du CDAO est une question d’avantage décisionnel, devancer ces concurrents proches des pairs, avec les meilleures idées et informations que nous pouvons avoir.
« Donc, en tant que chef du ministère de la Défense, oui, j’ai été au gouvernement. Mais il faut vraiment une équipe d’équipes. C’est là que je gagne mon argent ici en m’assurant que nous tirons le meilleur parti de cet écosystème très riche et que nous ne prenons pas de retard. »
John Sherman, directeur informatique du département de la Défense
Cela va de [Defense Secretary Lloyd Austin] jusqu’à un commandant combattant jusqu’aux militaires que nous avons sur le terrain pour mener des opérations potentielles. C’est la vue à 50 000 pieds : un meilleur avantage décisionnel pour garder une longueur d’avance sur ces adversaires potentiels très sophistiqués.
Pour y parvenir, nous devons être une organisation axée sur les données. Vous regardez certaines des entreprises les plus prospères au monde, il s’agit des données et de la façon dont elles leur donnent un sens.
Ce que nous faisons du côté des données avec notre directeur des données et l’équipe Advana, ce qui a du sens, et le rapprochons du JAIC, qui apporte l’intelligence artificielle, l’apprentissage automatique et d’autres analyses avancées.
Considérez-le comme un continuum, un écosystème, depuis la découverte et la collecte des données jusqu’à la façon dont nous allons stocker, conserver, donner un sens à ces données, déverrouiller ces données, puis exécuter des analyses avancées.
Et puis faire entrer le service numérique de la défense en tant que pompiers numériques du département avec des employés qui viennent de l’industrie pour des types spéciaux de tournées ici, pour injecter cela dans le système avec cette agilité rapide.
TR : Le JAIC existe depuis trois ans et n’a pas vraiment pu évoluer. A-t-on parlé d’adopter davantage de technologies civiles ? Alors DDS est un animal complètement différent, comment vous assurez-vous qu’il s’agit d’une brigade de pompiers performante ?
JS : Je vais vous donner un exemple concret juste à partir de cette semaine.
L’équipe d’Adva. Il rassemble des données pour apporter des informations qui auraient été des processus de saisie de données très manuels ou des choses très par cœur. Comme nous examinons des opérations dans le monde réel, je n’entrerai pas dans beaucoup de détails ici, soutenant le Commandement européen des États-Unis avec une partie de ce que nous faisons là-bas pour pouvoir rassembler ces données.
J’ai demandé à DDS cette semaine, Voyons ce que nous pouvons faire pour amener vos ninjas numériques ici.
Je ne sais pas encore ce qui va en sortir, mais je suis excité. J’en ai entendu parler à la réunion du personnel ce matin. C’est ce qu’un CDAO va apporter au combat.
TR : À quoi ressemble le succès du CDAO dans un an ? Dans cinq ans? Et lorsque le DoD trouve quelqu’un pour occuper ce poste de manière permanente, cela diminue-t-il votre rôle de CIO ?
JS : Disons environ trois ans, que les commandants combattants en particulier et d’autres décideurs clés ici jusqu’au niveau du secrétaire, nous avons des exemples tangibles de là où nous avons fait des choses incroyables et fourni des informations sur des situations géopolitiques ou géographiques à EUCOM ou INDOPACOM ou SOUTHCOM, des choses fonctionnelles que nous avons commencé à pouvoir changer avec la logistique et l’acquisition, des choses que nous avons faites pour les femmes et les hommes du département en termes d’amélioration de leur vie.
A votre deuxième question sur ma relation vis-à-vis du CIO. Une chose que j’ai trouvée du côté de la communauté du renseignement, c’est que lorsque le CDO a été séparé du CIO, je l’admets, au début, je me disais, est-ce que ça va marcher ? Comment allons-nous être pairs?
Cela a non seulement bien fonctionné, j’ai compris l’intérêt d’avoir le responsable des données, d’être un pair du CIO, car ce que je fournis en tant que CIO, c’est la technologie habilitante, le cloud, la cybersécurité, le transport de ce qui doit se passer pour que le CDAO réussisse .