La sécurité est inscrite dans notre ADN

Clarke Rodgers :
Bienvenue sur le podcast Executive Insights, proposé par AWS. Je suis Clarke Rodgers, directeur de la stratégie d’entreprise, et je vous guiderai tout au long d’une série de conversations avec des responsables de la sécurité.

Aujourd’hui, je suis rejoint par Matt Garman, PDG d’HAQM Web Services. Écoutez-moi pour en savoir plus sur la culture de sécurité d’HAQM, sur la façon dont nous envisageons les investissements en matière de sécurité et sur la manière dont les clients peuvent tirer parti du cloud AWS pour sécuriser leur environnement. Profitez.

Matt Garman, PDG d’HAQM Web Services. Merci beaucoup d’être ici aujourd’hui.

Matt Garman :
Avec plaisir. Merci de

Clarke Rodgers :
Vous avez donc été le premier chef de produit d’AWS. Pouvez-vous nous raconter cette époque et la façon dont la sécurité a été renforcée dans le cadre de votre travail ?

Matt Garman :
Mon premier emploi en fait, j’ai fait un stage dans une école de commerce pour AWS avant notre lancement en 2005. Et dès le premier jour où j’ai commencé, Andy Jassy nous a fait comprendre que la sécurité était la priorité absolue. C’était la première chose à laquelle nous devions penser quoi qu’il arrive. Ainsi, lors de nos premiers pas avec AWS, nous nous sommes constamment demandé à quoi cela pouvait bien servir. Qu’en est-il de la sécurité ? Qu’en est-il de l’isolation ? À l’époque, en particulier, la question de confier vos données à quelqu’un d’autre suscitait de nombreuses inquiétudes. Et je pense que nous avions raison de nous concentrer sur la sécurité, de redoubler d’attention à l’isolation, à l’isolation des charges de travail des clients, mais aussi à notre propre sécurité et à la façon dont nous envisageons l’accès aux données des clients et la façon dont nous pensons à la protection des données des clients. C’était donc une priorité pour nous très tôt. C’était un domaine d’investissement important pour nous et il en est toujours ainsi aujourd’hui, bien entendu.

Et nous n’avons fait que continuer à évoluer au fur et à mesure que les menaces de sécurité s’aggravaient. Nous réfléchissons de plus en plus à la manière dont nous protégeons la sécurité du cloud, par exemple en protégeant notre propre sécurité et en protégeant les charges de travail des clients de cette manière, mais également en fournissant des outils aux clients afin qu’ils puissent protéger leurs propres charges de travail dans le cadre de ce modèle de responsabilité partagée. Donc, tout ce que nous faisons est la première chose à laquelle nous demandons à nos développeurs de penser. C’est la première chose que nous demandons aux employés de nos centres de données d’y penser, du point de vue de la sécurité physique, de la sécurité logique, de la sécurité logicielle, de la maintenance de nos logiciels et de nos services, du fonctionnement de nos services. Elle est au cœur de tout ce que nous faisons.

Clarke Rodgers :
Au fil de votre parcours au sein d’AWS, et plus particulièrement en tant que PDG, comment avez-vous tenu les chefs d’entreprise d’AWS responsables de la sécurité de leurs opérations et de leurs activités réelles ?

Matt Garman :
Oui, écoutez, tout d’abord, c’est le principal levier que nous avons, de nous concentrer sur la culture. Et il s’agit de faire en sorte que les leaders sachent que la sécurité est leur responsabilité et qu’ils devraient y réfléchir. Nous utilisons donc plusieurs mécanismes pour faire respecter cela et nous assurer qu’ils apprennent, car je pense que lorsque les gens viennent d’autres environnements en particulier, ils n’ont pas vraiment le même parti pris et d’autres entreprises n’accordent pas nécessairement la priorité à la sécurité. Ils le font en quelque sorte par la suite ou c’est le problème de quelqu’un d’autre ou peut-être que l’équipe de sécurité s’occupera de la sécurité. Et vous faites partie de l’équipe de sécurité. Nous ne comptons pas sur vous pour la sécurité. Tout le monde est responsable de la sécurité. Vous êtes un excellent partenaire pour nous aider à mettre en place les meilleures pratiques et à renforcer la sécurité.

Mais nous devons vraiment intégrer cela à notre culture. Et cela fait donc partie de l’apprentissage lorsque des responsables de l’ingénierie et des responsables produits interviennent. Ils doivent considérer cela comme une responsabilité qu’ils prennent au sérieux pour leurs produits. Et nous avons plusieurs mécanismes par lesquels nous examinons, nous essayons d’encourager les dirigeants à réfléchir à la manière dont ils améliorent la sécurité, à la manière dont ils pensent à la sécurité de leurs produits, mais c’est pourquoi il y a des ceintures et des bretelles et des ceintures supplémentaires. Où pouvons-nous trouver d’autres moyens de continuer à nous améliorer ? Parce que notre travail et la promesse que nous faisons à nos clients sont les suivants : « Nous ne cessons de nous améliorer », n’est-ce pas ? Le paysage de la sécurité devient de plus en plus difficile, mais les escrocs deviennent de plus en plus compétents et nous devons continuer à disposer de plus de niveaux de protection. Trouver ces mécanismes qui vous permettent de renforcer cela auprès de vos leaders, de ne pas punir les gens, mais de comprendre que nous n’expédierons pas un produit s’il n’est pas doté du bon niveau de sécurité.

Nous ne nous lancerons même pas dans quelque chose si nous pensons qu’il n’est pas conçu comme il se doit en matière d’isolation de sécurité. Et la première fois que les gens reçoivent un produit qui n’est pas lancé parce que nous pensons qu’il n’a pas le bon niveau de qualité ou que nous lisons une nouvelle suggestion d’offre de produit et que nous nous disons : « Je n’aime pas l’idée de cette architecture particulière qui ne fonctionne pas ». Ce message est renforcé et je pense qu’il incite en grande partie à adopter les bons comportements.

Clarke Rodgers :
Vous avez parlé de mécanismes. La saison dernière, j’ai eu l’occasion d’interviewer le RSSI d’AWS et il a décrit la réunion hebdomadaire du PDG et du RSSI. Pourriez-vous nous parler un peu des avantages que vous retirerez de cette réunion ?

Matt Garman :
Bien sûr. Oui, il y en a deux. La première est que c’est une excellente occasion pour nous de renforcer nos liens avec nos dirigeants et, franchement, une excellente occasion pour moi d’apprendre et, je pense, pour nous tous d’apprendre. Nous avons donc cette réunion hebdomadaire où nous passons en revue. Souvent... En fait, presque tout le temps, il s’agit de problèmes de sécurité que nous examinons de près et qui auraient pu être un problème si nous ne l’avions pas détecté, ou encore une fois, si nous n’avions pas mis en place d’autres mesures préventives. Mais c’est une très bonne occasion pour nous de nous plonger dans le sujet et de comprendre où se trouvent les points de blocage que nous aurions pu manquer, pourquoi quelque chose a échappé à notre vigilance, où se trouve le nouveau type de problème que nous voulons présenter à plusieurs équipes différentes. Et nous faisons cela chaque semaine, en cherchant des opportunités dans toutes les équipes d’AWS sur lesquelles nous voulons nous pencher un peu plus pour savoir où nous pouvons réellement les mettre en place.

Je pense que ce mécanisme est puissant et qu’il s’agit d’une excellente occasion d’apprendre à ces leaders à vraiment réfléchir et à approfondir leurs connaissances. Et nous avons toute une série de leaders sur place ou présents qui étudieront ces problèmes et comprendront ce qui se passe. Nous discutons souvent des compromis entre une solution A ou une solution B, car il s’agit souvent de questions subtiles pour lesquelles il n’y a pas de réponse claire : « Oh, tu as oublié de fermer un port », ou « ce n’est pas ça, non ? »

Ce n’est pas ce genre de problèmes. Ce sont des choses plus subtiles comme : « Oh, cela pourrait arriver ou cela pourrait arriver ». Ou c’est un cas extrême que nous examinons. Et puis il y a ce mécanisme qui consiste simplement à dire : « D’accord, super. Maintenant que nous avons fait cela, comment allons-nous parler aux 50, 100 autres équipes qui ont peut-être un problème similaire et nous assurer que nous diffusons cet apprentissage ? » Et cela nous aide également, en tant que dirigeants, à entendre la semaine suivante, et la semaine suivante, et la semaine suivante, où nous pouvons réellement mettre à profit notre apprentissage et notre compréhension et réfléchir à d’autres domaines que nous pourrions explorer. C’est donc un rappel très puissant pour nous tous sur la façon dont nous envisageons les choses et, franchement, une bonne occasion pour nous d’apprendre les uns des autres sur la façon dont nous continuons à nous améliorer.

Clarke Rodgers :
Et cela fait de la sécurité un élément essentiel de l’activité.

Matt Garman :
C’est exact. Et je pense que l’autre partie importante de cela est... Je pense que c’est une erreur de penser à un mécanisme comme celui-ci alors que nous allons crier sur quelqu’un parce qu’il a fait une erreur. Et je pense que c’est vraiment important de ne pas punir les personnes qui soulèvent un problème lors de cette réunion. D’une certaine manière, c’est une bonne chose que vous l’ayez signalée et que vous l’ayez trouvée. Nous en tirons tous des leçons. Je pense donc que c’est important aussi, car il ne faut pas que les équipes veuillent cacher ce problème en se disant : « Je ne veux pas que quelqu’un le découvre parce que je ne veux pas qu’on me crie dessus ». Vous voulez donc vraiment encourager une culture dans laquelle les gens apportent ces éléments à la surface afin que l’ensemble de l’organisation puisse en tirer des leçons.

Clarke Rodgers : 
Et assurez-vous de vous concentrer sur le problème et non sur la personne.

Matt Garman :
C’est exact. C’est exact.

Clarke Rodgers :
Un autre effet en aval de cette réunion est qu’elle se répand. Il en ressort que le PDG dispose d’au moins une heure par semaine pour tout savoir sur la sécurité. Je pense donc que cela contribue à notre culture de sécurité globale dans l’ensemble de l’organisation et renforce son importance.

Matt Garman :
C’est possible. Je pense que c’est probablement vrai.

Clarke Rodgers :
Alors que vous examinez ce que vous voulez faire avec AWS au cours des trois à cinq prochaines années, comment cela s’inscrira-t-il dans votre planification en matière de sécurité et de conformité en général, de questions réglementaires, etc. ?

Matt Garman :
Comme je l’ai dit, je pense que rien n’indique sur le marché que la sécurité est de moins en moins importante, ni que les méchants sont de moins en moins sophistiqués. Et donc, cela doit être quelque chose dans lequel nous continuons à investir et dans lequel nous investirons, car je pense que c’est l’une des choses qui différencie franchement ce que fait AWS par rapport à tout le monde, en particulier ce que vous pouvez faire. Mais franchement, même par rapport aux autres fournisseurs de cloud, il s’agit vraiment d’une capacité différenciante pour AWS. Et nous voulons qu’il en soit ainsi.

Je pense qu’au cours des deux prochaines années, nous devrons réfléchir à la manière de sécuriser une surface supplémentaire. Je pense que lorsque vous réfléchissez à l’IA, il y a toute une série d’autres vecteurs d’attaque auxquels vous devez penser, ainsi que les vecteurs d’évasion et les moyens d’agir pour la sécurité... Je suis optimiste quant au fait qu’il s’agit d’un outil, d’une capacité et d’une technologie incroyablement puissants permettant aux entreprises de générer beaucoup de valeur. Elle est probablement également puissante pour les méchants, ainsi que pour combattre et aider à résoudre les problèmes de sécurité. Je pense donc que cela pourrait être à la fois un élément que nous exploitons pour déterminer comment nous pouvons continuer à améliorer nos offres et notre sécurité sous-jacente. Mais je pense aussi que c’est l’une de ces choses qui va augmenter le volume de surface contre lequel nous devons nous protéger.

Je pense donc que ce sera un domaine dans lequel nous devrons redoubler et tripler nos efforts, et c’est déjà le cas. Je pense qu’au cours des trois à cinq prochaines années, ce sera certainement un espace auquel nous aimerions réfléchir. Et l’autre point que je trouve important, c’est qu’étant donné que cet espace évolue rapidement, les gens seront parfois tentés de dire : « Oui, on peut probablement éviter ça et on s’occupera de la sécurité plus tard ».

Et pour moi, ce n’est pas un compromis acceptable pour nous. Et lorsque vous réfléchissez à la bonne limite d’isolation et au bon moment pour lancer un produit, un service ou autre, ce n’est tout simplement pas l’un des... Je ne suis pas prêt à faire des concessions sur ce point, mais je pense qu’il y a probablement une certaine tentation de le faire. Il va donc falloir continuer à éduquer nos équipes. Et je suis sûr que les autres acteurs du marché seront tentés de céder à ce niveau pour agir rapidement. Et je parie qu’à long terme, ce ne sera pas le bon choix.

Clarke Rodgers :
D’accord. Le renforcement de la sécurité à la fin ne semble jamais fonctionner.

Matt Garman :
Il existe actuellement sur le marché quelques solutions qui sont beaucoup, beaucoup, beaucoup plus coûteuses pour le fournisseur de services cloud et pour le client final.

Clarke Rodgers :
Bien sûr. Parlons maintenant un peu de nos clients. Vous rencontrez de nombreux PDG de clients. De quoi vous parlent-ils en termes de sécurité, pas seulement de ce qu’ils devraient faire, mais aussi de la manière dont AWS les aide ?

Matt Garman :
D’accord. Écoutez, il y a des choses évidentes. Je pense que les gens s’inquiètent des tentatives de piratages et autres. Et je pense que nous pouvons faire beaucoup pour continuer à aider les clients à ce sujet. Je pense que l’une des choses qui inquiète de plus en plus les clients est de réaliser que l’un des plus grands atouts qu’ils possèdent et les parties les plus importantes de leur propriété intellectuelle sont leurs données. Alors, réfléchissez à la manière dont ils protègent leurs données pour éviter toute fuite ? C’est différent pour la sécurité, mais c’est important quand on pense aux IA, quand on pense à l’analyse, quand on pense à cet ensemble de données. Il s’agit à la fois de savoir comment vous assurer que les personnes au sein de votre entreprise et à l’extérieur de celle-ci peuvent protéger les données de la bonne manière. Et certaines de ces données sont celles de vos propres clients. Il s’agit de données d’identification personnelle. Il peut s’agir simplement de données d’entreprise propriétaires qui sont essentielles à votre activité.

Et je pense de plus en plus que c’est un domaine très important qui préoccupe les gens, car si ces données sont divulguées ou cessent d’être leur propriété exclusive, beaucoup de clients se rendent compte qu’elles représentent une grande partie de leur valeur. C’est donc un domaine intéressant auquel je pense que les gens continueront de réfléchir. Et puis je pense qu’il y a une autre optique, sur laquelle nous aidons les clients, qui est de savoir où les données doivent être stockées, de réfléchir à la souveraineté des données, au chiffrement et à qui détient les clés de chiffrement. Et il y a beaucoup de... Tout cela peut rendre votre système beaucoup plus difficile à utiliser, même si cela se justifie totalement. Je pense donc qu’il s’agit d’un niveau de décision différent, qui n’est pas une décision binaire. Ce n’est pas le genre de décision où il y a une bonne ou une mauvaise réponse évidente.

Mais je pense que notre travail consiste à aider les clients à comprendre comment ils peuvent trouver un équilibre entre certains de ces éléments : si vous avez des préoccupations en matière de souveraineté des données alors qu’il existe un environnement réglementaire croissant dans lequel les données ne peuvent pas ou ne devraient pas quitter un pays. Mais comment gérer une entreprise mondiale avec ces contraintes ? Et en y réfléchissant, cela s’apparente peut-être à la sécurité, mais c’est en quelque sorte un contrôle de sécurité.

Clarke Rodgers :
Bien sûr. La protection des données et leur transfert dans le cloud peuvent donc faciliter la protection des données dès le départ. Et c’est aussi l’une des exigences les plus fondamentales dont les gens doivent tirer parti, comme l’IA générative. Si vos données ne se trouvent pas dans le cloud, vous ne pouvez pas utiliser la plupart de ces formidables outils d’IA générative qui existent.

Matt Garman :
C’est un domaine très intéressant. Quand j’y repense, il y a 18 ans, tout le monde était très inquiet. Ils se demandaient : « Comment puis-je faire confiance au cloud ? Comment puis-je être plus... Le cloud est-il sécurisé ? Je suis dans un environnement à locataires multiples qui est effrayant. » Aujourd’hui, je dirais que la grande majorité des clients ont fait volte-face et se sont rendu compte qu’ils étaient plus en sécurité dans le cloud. Le potentiel est plus grand. Nous dépensons des milliards de dollars pour renforcer la sécurité dans cet espace. Ils ne le font pas dans leurs centres de données.

Clarke Rodgers :
Correct.

Matt Garman :
Et c’est là une grande différence. Cela a été un grand changement. Je pense donc qu’il reste encore beaucoup de travail à faire pour de nombreux clients en matière de migration et de modernisation, afin d’atteindre leurs objectifs dans le cloud. En fait, pour la plupart des clients, si leurs données sont sur site, elles sont moins sûres, non ? Elles sont plus vulnérables aux pirates informatiques et à d’autres attaques, etc. Et ils ne peuvent pas tirer parti de la plupart des nouvelles technologies les plus performantes en matière d’IA générative, de données et d’analyses, de nouvelles capacités de calcul et de stockage ainsi que d’autres éléments similaires que nous sommes en train de déployer. Ils sont en quelque sorte bloqués sur l’héritage, l’infrastructure et la technologie.

Clarke Rodgers :
Dans cette optique, avez-vous davantage de conversations sur la migration et la modernisation avec vos clients ?

Matt Garman :
D’accord. C’est un énorme facteur de croissance pour l’entreprise. Et je pense que les clients s’en rendent compte de plus en plus et veulent simplement aller plus vite. C’est pourquoi nous avons investi dans des projets tels que la transformation Q, qui permet de moderniser certains de ces types de magasins de données existants, tels que les mainframes ou VMware, etc. et qui permet de passer plus rapidement au cloud.

Clarke Rodgers :
Et sont sécurisés.

Matt Garman :
Je pense que c’est une question importante. Et donc, passer au cloud et accéder aux services cloud contribue à la sécurité. La désactivation de Windows contribue à la sécurité. L’adoption d’une architecture plus moderne contribue à la sécurité. Il s’agit de mesures importantes dont les gens savent qu’elles comportent des risques aujourd’hui. Et je pense que cela contribue à inciter les gens à agir plus rapidement.

Clarke Rodgers :
Avez-vous des conseils à donner aux PDG des clients avec lesquels vous interagissez sur les types de questions qu’ils doivent poser à leurs équipes de sécurité ?

Matt Garman :
Il y a toute une série de choses. Tout d’abord, lorsque vous choisissez un fournisseur de services cloud, vous devez vous interroger sur son historique en matière de sécurité et sur ses antécédents. Et comment savoir si les services que vous utilisez répondent à vos attentes ? Et il s’agit vraiment de la culture qui consiste à s’assurer que chaque nouveau produit, chaque nouvelle offre et chaque nouveauté commence par une réflexion sur la sécurité des clients. Et puis, je pense que c’est aussi du point de vue du client : comment construire cette culture ?

Parce que c’est vrai, c’est ce modèle partagé. C’est donc une partie très importante de notre collaboration. Et nous travaillons avec tous nos principaux clients pour nous assurer qu’ils disposent de la bonne architecture, de la bonne configuration, qu’ils réfléchissent à la manière dont vous considérez un compte racine par rapport à ses autorisations de compte, à leurs autorisations IAM et à la manière dont ils pensent du chiffrement de leurs données et de la protection de leurs clés de compte, etc. Et les clients doivent aussi faire ce travail. Je recommande donc aux PDG de mettre en place un processus similaire à celui-ci, dont nous avons parlé, selon lequel la sécurité hebdomadaire, simplement axée sur les meilleures pratiques, contient des éléments de sécurité d’AWS sur lesquels vous pouvez absolument compter, et c’est notre responsabilité.

Matt Garman :
Et vous n’avez pas à vous inquiéter. Il y a beaucoup de choses dont vous n’avez pas à vous soucier.y a beaucoup de pièces dont vous n’avez tout simplement pas à vous soucier. Vous n’avez pas à vous soucier de la sécurité des centres de données. Vous n’avez pas à vous soucier de ces questions. Vous n’avez pas à vous soucier de la sécurité de l’hyperviseur, de tous ces éléments dont nous nous occupons. Mais il y en a un certain nombre qui se trouvent dans l’espace applicatif et qui préoccupent les entreprises. Et pour cela, il est tout aussi essentiel qu’ils disposent d’un mécanisme similaire permettant à leur RSSI d’examiner chaque semaine les points à améliorer en matière de sécurité des applications. Et d’ailleurs, nous serions ravis d’être partenaires dans le cadre de ce projet.

Clarke Rodgers :
Bien sûr.

Clarke Rodgers :
Quels conseils donneriez-vous aux RSSI de vos clients sur la manière de signaler les risques à la direction ? Alors, comment aimeriez-vous que les risques vous soient présentés du point de vue de la sécurité ?

Matt Garman :
D’accord. Le principal et le plus important, c’est l’escalade rapide et la transparence. S’il existe un risque réel dans l’entreprise, la rétention des mauvaises nouvelles n’est jamais la bonne solution. J’aime donc savoir que si j’ai besoin d’être informé d’un problème, Chris, notre RSSI, me le fera savoir immédiatement, et deux heures après, c’est trop tard. J’ai besoin de le savoir le plus tôt possible afin que nous puissions faire appel aux bonnes personnes. Et je vous y encourage, car l’une des choses que je recommanderais, c’est que la rapidité compte beaucoup en matière de sécurité, en particulier lorsqu’il y a des problèmes de sécurité urgents. C’est pourquoi il est vraiment important d’aller vite. Rassembler les gens dans une pièce, tirer sur une corde pour s’assurer qu’ils laissent tout tomber et se mettent au travail, qu’il s’agisse d’envoyer des messages à vos clients, de prendre des initiatives ou de faire autre chose, c’est extrêmement important, tout comme la rapidité d’exécution.

L’autre est juste... De plus, pour les problèmes moins urgents lorsqu’ils sont importants mais pas nécessairement urgents, je pense qu’il faut s’assurer de créer cette culture qui consiste à ne pas jeter les gens sous le bus et à ne pas les blâmer, mais à se concentrer réellement sur la question et à s’y atteler...

Clarke Rodgers :
Revenons à cette question.

Matt Garman :
Je pense que c’est une différence subtile, mais cela change vraiment la transparence de vos équipes et la mesure dans laquelle elles enfouissent les problèmes au lieu de les soulever. L’entreprise et l’activité ne s’amélioreront pas si vous ne pouvez pas être transparent et tirer les leçons de ce qui ne s’est pas bien passé. Et la sécurité est difficile. Et d’ailleurs, tout le monde découvre de nouvelles choses chaque jour. C’est donc un espace difficile. C’est un espace qui évolue rapidement. Vous devez apprendre et vous devez être prêt à apprendre, ce qui signifie que tout ne sera pas parfait. Vous devez simplement en tirer des leçons, vous améliorer et essayer de comprendre comment vous pouvez atténuer les effets et comment l’ensemble de votre équipe peut s’améliorer. Mais vous n’y arriverez pas si vous n’encouragez pas cette transparence. Je pense donc que ce sont deux choses auxquelles j’encourage tout le monde à réfléchir.

Clarke Rodgers :
Des conseils fantastiques. Merci beaucoup d’être ici aujourd’hui.

Matt Garman :
Oui, bien sûr. Merci de

Écouter maintenant

Écouter maintenant

Écouter maintenant