Comment les dirigeants définissent la norme en matière de culture de sécurité

Clarke Rodgers :
Nous disons souvent que la sécurité est notre priorité absolue chez AWS, mais comment nous assurer que c’est réellement le cas ? Il faut d’abord obtenir l’adhésion de la direction et développer une culture de sécurité dans l’ensemble de l’organisation.

Bonjour, je m’appelle Clarke Rodgers, je suis directeur de la stratégie d’entreprise chez AWS et votre guide pour une série d’entretiens avec les responsables de la sécurité d’AWS ici, sur Executive Insights.

Aujourd’hui, nous discutons avec Sara Duffer. Sara possède une connaissance particulièrement approfondie de la sécurité Amazon grâce à son précédent poste de conseillère technique auprès du PDG d’Amazon. Rejoignez-nous pour écouter Sara partager les enseignements qu’elle a tirés de son expérience en tant que responsable de la sécurité et conseillère technique. Vous allez apprécier.

Clarke Rodgers :
Sara, merci beaucoup d’être ici aujourd’hui.

Sara Duffer :
Merci. C’est tellement agréable d’être ici.

Clarke Rodgers :
J’adorerais que vous preniez le temps de me parler de votre carrière et de votre poste actuel chez AWS.

Sara Duffer :
Eh bien, cela fait 13 ans que je travaille chez AWS. J’ai débuté au sein de l’équipe chargée de l’infrastructure AWS, où j’ai passé beaucoup de temps dans nos centres de données. Peu de temps après, j’ai intégré, à l’époque, notre toute petite équipe de conformité, qui est devenue notre équipe d’assurance sécurité.

Clarke Rodgers :
Et avez-vous toujours travaillé dans le domaine de la sécurité ou vous êtes-vous intéressée à la sécurité pour la première fois lorsque vous avez rejoint AWS ?

Sara Duffer :
J’ai toujours été dans la sécurité. J’ai commencé ma carrière en quittant l’université, je me suis directement lancée dans le domaine des attaques et des intrusions, de la sécurité physique, et j’ai commencé à m’introduire légalement dans des organisations. Ensuite, je suis passée à la mise en œuvre de solutions de sécurité. Donc en fait, j’ai résolu les problèmes que je rencontrais, c’était un espace amusant dans lequel il était agréable d’emménager et, finalement, je suis passée chez AWS.

Clarke Rodgers :
Vos antécédents en matière de sécurité sont donc assez impressionnants en l’état, mais vous avez occupé un autre poste chez AWS et Amazon, qui est assez unique. Il s’agit du rôle de conseillère technique. Pourriez-vous nous en dire un peu plus sur ce qu’est un conseiller technique et ce qu’il fait ?

Sara Duffer :
J’ai commencé en tant que conseillère technique, c’était en novembre 2020. J’étais la conseillère technique d’Andy Jassy, qui était PDG d’AWS à l’époque. Il est évidemment devenu plus tard PDG d’Amazon et je suis passée au poste d’assistante technique d’Andy dans ce rôle également. Être assistant technique, à la base, c’est vraiment un rôle d’enseignant. Il s’agit de pouvoir enseigner à un leader les notions d’échelle et d’exécution à un rythme jamais vu auparavant. Ce fut une expérience absolument fantastique.

Clarke Rodgers :
Y a-t-il des leçons clés que vous avez apprises de votre expérience dans le rôle d’assistante technique ?

Sara Duffer :
Chaque jour était une véritable leçon. L’une des choses que j’ai faites très tôt lorsque j’ai été mutée au poste d’assistante technique, c’est de tenir une liste – ce que j’appelle les leçons apprises en une seule ligne – que je me suis dit que j’étofferais chaque semaine. Je me suis retrouvée très rapidement à noter, presque quotidiennement, de simples observations sur les grands leaders, leur façon d’agir et leur engagement. Il y a donc eu beaucoup de leçons. Je pense qu’il y en a trois qui me tiennent vraiment à cœur, et j’ai beaucoup appris en regardant Andy et en interagissant avec lui. La première, c’est que le temps est une ressource tellement précieuse ; vous devez faire très attention à ce à quoi vous consacrez votre temps.

Et cela se marie très étroitement avec la suivante, c’est-à-dire que lorsque vous dites « Oui », il faut que ce soit un « Oui » que vous pensez vraiment. Vous devez vraiment le penser et vous devez penser à votre moi futur, pas seulement à votre moi actuel. « Bien sûr, je peux le faire dans le futur. » Cela semble tellement simple, mais c’est en fait beaucoup plus difficile à exécuter. Ce sont deux éléments fondamentaux.

Puis la suivante, qui se répète chez tant de leaders incroyables, mais de toute évidence, Andy est exceptionnel dans ce domaine, c’est la curiosité vorace. C’est le type de question qui est tout d’abord constructive, mais qui, très rapidement, permet de comprendre les fondements essentiels de la réunion à laquelle vous participez ou quels sont ces principaux blocs d’apprentissage, comment l’équipe pense, en vérifiant et en poussant l’équipe à s’assurer que sa façon de penser est alignée sur la façon dont nous pensons du point de vue d’Amazon, et quelles sont les choses à apprendre de l’équipe. Et cette curiosité vorace s’est manifestée à maintes reprises, de manière constante chez tous les hauts dirigeants d’Amazon.

Clarke Rodgers :
C’est formidable. Passons à votre rôle actuel. L’un des sujets qui revient sans cesse dans nos cercles de CISO AWS est la cryptographie post-quantique. Qu’en pensez-vous ?

Sara Duffer :
Eh bien, dans les schémas de cryptographie à clé publique actuels, elle exploite des problèmes mathématiques pour factoriser les logarithmes discrets et la cryptographie à courbe elliptique. Nous en sommes donc aux débuts de l’informatique quantique et de nombreux avantages en découleront pour la société. L’un d’entre eux est la capacité de résoudre beaucoup plus rapidement des problèmes informatiques complexes. Ce qui pourrait avoir des conséquences imprévues dans le futur, par exemple en permettant la création d’un ordinateur quantique capable de casser nos schémas de cryptographie à clé publique que nous avons aujourd’hui. Il y a donc beaucoup de discussions aujourd’hui sur la cryptographie post-quantique, ou PQC, et sur les systèmes que nous pouvons envisager de mettre en place dès aujourd’hui et qui peuvent continuer à protéger nos données dans un futur potentiel où l’informatique quantique fera son apparition.

AWS travaille énormément dans ce domaine aujourd’hui. Nos cryptographes ont réellement contribué à des accords de clés PQ et à des schémas de signature PQ. Et ce n’est pas uniquement de la théorie. Il existe de nombreuses théories et le NIST, par exemple, fait beaucoup de travail dans ce domaine, auquel nous contribuons également. Mais il y a aussi la réalité et nous avons, pour nos points de terminaison TLS 1.3, implémenté PQ aujourd’hui, dans AWS Secrets Manager, notre service KMS et notre service de gestion des certificats. C’est donc quelque chose que les gens pourraient même essayer aujourd’hui, ce qui est plutôt cool.

Clarke Rodgers :
Au cours de la dernière année environ, l’IA générative a en quelque sorte pris d’assaut le monde sous toutes sortes de formes et de modes. Qu’en pensez-vous dans le domaine de la cryptographie ? Est-ce que ça va être utile ? Est-ce que ça va être un obstacle ? Est-ce trop tôt ?

Sara Duffer :
Concernant l’IA générative, nous entendons beaucoup de discussions autour de cette inquiétude concernant la divulgation de la propriété intellectuelle. C’est pourquoi vous entendez de plus en plus parler de techniques de préservation de la confidentialité grâce auxquelles vous pouvez continuer à être en mesure, par exemple, d’entraîner de grands volumes de données et de préserver la propriété intellectuelle qui y est associée. C’est donc un domaine sur lequel l’équipe se concentre et réfléchit alors que nous examinons en interne les solutions dont nous disposons.

Clarke Rodgers :
Les tendances et prévisions en matière de sécurité présentent un intérêt majeur pour nos clients. Que voyez-vous se passer dans le domaine de la sécurité au cours disons des trois ou cinq prochaines années environ ?

Sara Duffer :
Pour ma part, il y a deux domaines qui m’intéressent vraiment en ce moment. L’un d’entre eux, qui n’en est qu’à ses débuts, va devenir de plus en plus une priorité pour les RSSI, et c’est le concept de l’informatique cryptographique. L’informatique cryptographique est une façon d’utiliser des moyens cryptographiques afin de permettre à plusieurs parties de partager des informations de manière à préserver leur confidentialité. Prenons un exemple. Regardez AWS Clean Rooms, un service qui permet à nos clients de collaborer, de partager des informations et de tirer des enseignements. Une partie de cela s’appelle le calcul cryptographique pour Clean Rooms. Cela permet aux clients de partager des informations par des moyens cryptographiques. Il n’en est encore qu’à ses débuts et c’est quelque chose dont on entend peu parler, mais le concept de préservation de la vie privée sera de plus en plus abordé dans le domaine de l’informatique cryptographique.

Vous pourriez vous dire que le monde d’aujourd’hui évolue vers de plus en plus d’analyses de données et qu’il faut réfléchir à la manière dont nous pouvons partager, en apprendre davantage, entraîner des données, etc. Et vous vous demanderez de plus en plus : « Comment utilisez-vous des techniques de préservation de la vie privée ? » L’informatique cryptographique en est une.

L’autre me tient particulièrement à cœur. Il s’agit d’un nouveau service que notre équipe a d’ailleurs lancé cette année, à savoir le service AWS Payment Crypto. Dans le cadre des paiements actuels, afin de pouvoir activer le type de chiffrement de bout en bout requis, les grands processeurs doivent continuer à maintenir une sorte de HSM sur site. Et AWS Payment Crypto permet aux entreprises de tirer parti du Cloud AWS pour être en mesure d’exécuter les fonctions de gestion des clés et de cryptographie que vous auriez normalement utilisées avec ce type de HSM sur site.

Ce service n’en est qu’à ses débuts. Il est aussi très nouveau. De plus, le point le plus important à propos de ce service est qu’il répond également aux exigences de conformité PCI PIN, ce qui est absolument essentiel. Je pense qu’il y a beaucoup de choses à surveiller dans ce domaine, car vous êtes en mesure de continuer à aider les clients et à leur permettre de passer de leur environnement sur site au cloud. C’est une chose passionnante que je suis de très près.

Clarke Rodgers :
Passons maintenant plutôt à une perspective de développement. Pendant des années, nous avons dit : « Faisons en sorte d’intégrer la sécurité dès la conception dans les applications », puis nous avons abordé la question de la conformité dès la conception et de la confidentialité dès la conception. Comment incitez-vous, quelles sont les attentes que vous avez en quelque sorte définies pour que les équipes de développement pensent réellement de cette façon ? Idéalement, c’est à ce stade d’itération : « Voici ce que je veux construire, laissez-moi prendre en compte tous ces éléments », mais comment, mécaniquement, mettez-vous cela en place ?

Sara Duffer :
Tout dépend de la culture, qui commence au sommet. Cela a été dit maintes et maintes fois, mais ça commence vraiment tout en haut. Sécurité, confidentialité, conformité, c’est vraiment votre travail numéro un. C’est ce sentiment qui fait partie de la culture de chacun de nos créateurs au sein d’AWS. Et je pense que c’est probablement le principal point de départ. Mais ce qui est vraiment important aussi, pour chacun de nos développeurs, pour toute équipe et pour nos clients également, qui élaborent des services internes du point de vue de la sécurité ou de la confidentialité pour les membres de l’équipe, c’est de rencontrer les développeurs là où ils se trouvent.

Je pense que ce qui manque souvent, même pour ces éléments tactiques, c’est de mesurer la quantité de travail que chaque ingénieur doit accomplir, puis de mesurer réellement, collectivement, combien de ces éléments tactiques sont distribués à l’ensemble des créateurs. En raison de l’impact global de la capacité à réagir tactiquement à toutes ces demandes ponctuelles, vous vous rendez compte soudainement que c’est une charge importante que les ingénieurs doivent assumer dans le cadre de leur travail quotidien.

Il existe plusieurs manières de résoudre ce problème, mais cela vous permettra peut-être d’agir plus rapidement et de déterminer s’il existe des moyens proactifs de résoudre ce problème en particulier, comme dans les pipelines ou autre, pour éviter que ce problème ne nécessite l’intervention d’un ingénieur. Ce qui sera encore mieux. Ce point est donc selon moi fondamental, en plus de commencer par le haut et de s’assurer que vous avez mis en place des politiques pour définir ce que vous devez faire. Ensuite, vous avez votre exécution quotidienne et votre identification des problèmes.

Mais à ce stade de la gestion des problèmes, combiné à celui de la gestion du changement, nous devons vraiment identifier ce que signifie rencontrer le développeur là où il en est et être capable de contourner cette limite, comme un problème de gravité 2 ou très grave, pour lequel nous devons tout abandonner pour le résoudre. En même temps, examinons tous les autres problèmes que nous demandons aux gens de corriger. Y a-t-il d’autres moyens de le faire et d’y remédier de manière différente et en temps opportun ? C’est probablement l’un des domaines les plus intéressants que nous ayons constamment examinés en tant qu’organisation au fil du temps. Comment pouvons-nous constamment réduire la charge de travail des ingénieurs et les frictions associées à la résolution de tout problème ?

Clarke Rodgers :
Comme vous l’avez dit, cela tient en grande partie à la culture et à la propriété. La sécurité, même si elle ne figure pas sur mon porte-nom, fait partie de mon travail.

Sara Duffer :
Exactement. Tout à fait.

Clarke Rodgers :
Je sais que tout au long de votre carrière, le mentorat a été très important pour vous. Quels types de mécanismes avez-vous mis en place pour vous assurer d’aider ceux qui souhaitaient vraiment vous contacter et obtenir vos conseils ?

Sara Duffer :
J’ai eu beaucoup de chance dans mon parcours jusqu’à AWS et aussi au sein d’AWS, car j’ai toujours eu des mentors et des coachs incroyables qui ont toujours été prêts à intervenir et à s’engager à tout moment pour avoir des conversations avec moi, pour se rallier à moi, pour défendre mes intérêts lorsque je n’étais pas dans la salle. Je pense que l’une des choses intéressantes pour moi, c’est que lorsque je suis devenue conseillère technique, c’était incroyable. Oui, mes e-mails ont augmenté, mais en vérité moins de personnes m’ont contactée simplement pour communiquer avec moi, en savoir plus et identifier des opportunités. Je pense que les gens étaient légèrement intimidés.

L’un des mécanismes les plus utiles que j’utilise aujourd’hui et que j’ai toujours eu, c’est de donner 30 minutes à tous ceux qui me contactent, peu importe où ils se trouvent dans l’organisation. Ainsi, lorsque j’occupais le poste d’assistante technique, l’un des avantages que cela m’offrait était de permettre à des membres très débutants, issus de notre communauté de créateurs ou de nos centres de traitement, de joindre des personnes très expérimentées de l’organisation qui me contactaient pendant trente minutes pour en savoir plus.

Je m’assure également de disposer d’un temps fixe chaque mois que je réserve spécifiquement au mentorat. J’ai généralement quatre créneaux et vous avez donc quatre créneaux, quatre semaines ou quatre réunions pour pouvoir participer. Et à la fin de cela, nous prenons une décision : est-ce que nous continuons ou non ? Cela permet également aux gens d’avoir un plan de sortie ou une rampe de sortie pour certains services de mentorat.

Clarke Rodgers :
C’est formidable. Je suis sûr qu’ils apprécient cette opportunité. Sara, merci beaucoup d’être venue aujourd’hui.

Sara Duffer :
Merci beaucoup. C’était génial.