Comment AWS aide ses clients à atteindre leurs objectifs en matière de sécurité, de risque et de conformité

Clarke (00:58) :
Pouvez-vous nous en dire plus sur votre parcours ? Comment êtes-vous arrivé chez AWS et quel est votre rôle actuellement ?

Hart (01:05) :
Bien sûr. Avant AWS, j'étais dans l'espace d'intelligence pour la défense. Je travaillais beaucoup dans l'intégration des systèmes, et j'appréciais beaucoup ma mission. J'adorais aider les gouvernements américain et du monde entier, ce qu'ils faisaient, ainsi que les industries réglementées. Mais je gardais toujours dans un coin de ma tête cette envie de travailler pour les grandes entreprises de sécurité. Et lorsque j'ai commencé ma carrière, ces entreprises étaient largement axées sur le client : les antivirus, les pare-feu de bureau personnels, ce genre de choses. Mais avec le temps, mon envie s'est tournée vers les entreprises qui fournissaient l'infrastructure qui faisait tourner le monde. Donc des entreprises comme Amazon et d'autres grands fournisseurs d'infrastructure. Et puis je suis arrivé à un moment de ma carrière où j'ai voulu sauter le pas. Je voulais une entreprise qui innovait vraiment dans la sécurité. Une entreprise qui faisait bouger les choses, pas seulement pour une poignée de clients importants, mais pour le monde entier. J'ai eu l'opportunité de rejoindre AWS et je l'ai saisie.

Clarke (02:02) :
Et quel est votre rôle chez AWS aujourd'hui ?

Hart (02:39) :
Actuellement, je suis directeur des pratiques de spécialité globales et des services professionnels de sécurité et d'infrastructure. C'est un peu long à dire, mais en clair, mon travail consiste à aider les clients à acquérir la confiance et les capacités techniques nécessaires pour exploiter leurs charges de travail les plus sensibles avec nous dans le cloud.

Clarke (02:58) :
D'accord. Donc vous examinez les différentes offres de services professionnels que votre groupe propose aux clients ou rend disponibles pour les clients. Suivez-vous des mécanismes spécifiques pour vous assurer que vos offres correspondent bien à ce que vos clients cherchent ou à ce dont ils ont besoin ?

Hart (03:14) :
Je vais vous donner un exemple très concret. Il y a quelques années, nous avions quelques clients qui réfléchissaient à migrer leurs systèmes de cartes de paiement vers le cloud. Ce dont ils avaient vraiment besoin, c'était une équipe qui disposait d'une expertise à la fois dans le cloud et dans l'exploitation moderne des systèmes de cartes de paiement, ainsi que d'une compréhension de la norme PCI. La première fois, nous nous sommes dit que nous allions faire intervenir un partenaire avec des capacités PCI. Ce fut une réussite. Lorsque les clients travaillent avec AWS et un partenaire, ils obtiennent souvent les meilleurs résultats.

Nous avons également entendu qu'ils voulaient être certains que l'expertise et les conseils obtenus auprès d'AWS étaient fiables, que les partenaires eux-mêmes, comme les PCI, étaient qualifiés. C'est pourquoi nous avons écrit un texte explicatif de six pages, retraçant le développement d'une équipe qui a fini par devenir une filiale en propriété exclusive, AWS Security Assurance Services, une entreprise certifiée PCI QSA, ainsi qu'un évaluateur hautement fiable.

Clarke (05:17) :
C'est formidable. Vous ne prévoyez donc pas de proposer un service si le client ne vous le demande pas ?

Hart (05:27) :
Non. En fait, dans les échanges que j'ai pu avoir au sein d'AWS, chez qui je suis depuis un peu plus de neuf ans maintenant, c'était souvent déconseillé. Quelque chose qui arrive souvent pendant les réunions, c'est que je vais dire quelque chose, et quelqu'un va me dire que c'est très pertinent et qu'il apprécie ce point de vue, mais il me demandera ce que les clients en pensent. Ce n'est pas qu'il discrédite mon expertise, mais il reconnait, et moi aussi, que c'est en écoutant attentivement les clients, en les aidant à réfléchir à leurs solutions par des va-et-vient, que nous allons trouver la bonne solution pour eux. Puis nous filtrons le tout à travers le point de vue de l'expertise. Nous identifions la solution Amazon unique que nous pourrons soumettre au client.

Clarke (06:09) :
J'essaye de visualiser le fonctionnement de votre organisation. Vous devez sans cesse embaucher de nouveaux consultants pour répondre aux besoins des clients. Pouvez-vous citer quelques-unes des aptitudes que vous recherchez lorsque vous embauchez des consultants de sécurité hautement qualifiés chez AWS ? Est-ce une expertise vaste et approfondie de la sécurité ? Un état d'esprit entrepreneur et la soif de résoudre des problèmes ? Quels sont les parcours et les talents que vous recherchez lorsque vous embauchez pour ProServe ?

Hart (06:39) :
Il y a plusieurs choses. Fondamentalement, nous recherchons une aptitude technique et une affinité culturelle. L'affinité culturelle est l'alignement avec nos principes de leadership et la capacité à y réfléchir et à les assimiler pour nous aider à les améliorer en cours de route. En ce qui concerne l'aptitude technique, nous nous posons la question suivante : dans quoi sont-ils vraiment bons ? Ce que je recherche vraiment ici, ce sont des compétences spécialisées dans un domaine précis ainsi qu’une capacité éprouvée à travailler dans des domaines complémentaires.
 
Si vous êtes un expert de l'identité, par exemple, je vais vous demander de prouver que vous pouvez appliquer votre expertise au chiffrement. Ou que vous pouvez l'appliquer à la médecine légale ou à d'autres domaines naturels. Ce que nous cherchons, ce sont des personnes qui sont des experts absolus de leur domaine. Ils doivent avoir un niveau de connaissances exceptionnel,de ceux qui poussent à en apprendre toujours plus. Tout le monde veut que vos experts les aident à résoudre leurs problèmes, qui sont légèrement différents de ce que vous faites quotidiennement. Nous recherchons donc cette agilité, cette flexibilité, cette capacité à tout observer, à appliquer une pratique de manière non conventionnelle.

Nous cherchons aussi absolument des entrepreneurs. Nous souhaitons vraiment que tout le monde, de mon EA à nos consultants en prestation, en passant par nos responsables, acquière la maîtrise technique de la plateforme. Nous sommes là pour aider les clients. Et si vous n'avez jamais chargé une image CAT dans S3, ou si vous n'avez jamais lancé une instance EC2 ni déployé du code dans Lambda, vous ne pouvez pas être crédible auprès d'un client pour résoudre son problème ou construire sa nouvelle activité sur ces mêmes services. C'est pourquoi la capacité à retrousser ses manches pour vraiment travailler avec la technologie et construire des solutions crédibles est très importante pour nous.

Clarke (11:55) :
Vous rencontrez beaucoup de clients qui sont des cadres dirigeants, et bien entendu, vous avez des consultants déployés dans le monde entier, qui résolvent les problèmes des clients et les aident à renforcer différentes capacités. Avez-vous repéré des tendances particulières en ce qui concerne les offres de sécurité qui sont réservées sur AWS ProServe et avec lesquelles les clients ont besoin d'aide en ce moment ?

Hart (12:16) :
L'une des choses que nous disons souvent, et ce depuis le lancement de l'activité, c'est que les entreprises ne veulent surtout pas acheter d'infrastructure non sécurisée. Et bien sûr, chez AWS, nous fournissons un ensemble de services très sûrs et sécurisés. Les clients veulent savoir quel est le meilleur moyen de les implémenter pour leurs besoins métiers spécifiques. En ce moment, par exemple, les conteneurs font fureur. Tout le monde conteneurise, implémente de nouveaux conteneurs ou en utilise pour accélérer et faciliter leur migration. Les dirigeants seniors souhaitent savoir comment obtenir le bon modèle de sécurité des conteneurs. Comment adapter correctement à leurs conteneurs ou à la sécurité de leurs conteneurs des aspects de la sécurité comme la gestion des vulnérabilités ou l'analyse. Un autre aspect important est la réponse aux incidents. Malheureusement, dans l'actualité, nous voyons beaucoup de problèmes avec les rançongiciels et d'autres types d'attaques.

Une fois encore, les clients veulent comprendre quelles fonctions ils peuvent utiliser sur AWS pour se protéger au mieux contre ce type d'activités préjudiciables. Et comment permettre aux intervenants d'être efficaces dans le cloud, car ils peuvent ne pas y être familiers. Ils peuvent être excellents sur site, mais désormais, ils doivent travailler avec un autre ensemble d'environnements. Nous constatons beaucoup d'intérêt en retour. Le dernier aspect est l'ingénierie de sécurité. Beaucoup de clients viennent nous voir pour nous dire qu'ils veulent construire comme le fait Amazon. Qu'ils sont à l'aise avec nos services. Ils trouvent que nous avons fait un très bon travail et ils veulent durcir leurs API comme nous l'avons fait nous-mêmes. Ils veulent le même type de cycle de vie de développement logiciel DevOps que nous. C'est pourquoi nous avons récemment développé une capacité d'ingénierie client qui est très axée sur la sécurité. Nous travaillons cela avec les clients également.

Clarke (17:19) :
Lorsque les clients démarrent, ils peuvent utiliser ProServe ou un partenaire pour mieux identifier leur zone de destination initiale. Bien sûr, il y a maintenant Control Tower et d'autres outils pour cela. Quels types de services ou même de documentation proposez-vous ? Cette question est en deux partie, du point de vue du client : d'abord, comment savoir si ce que je mets en place est, entre guillemets, bien fait et aligné aux bonnes pratiques AWS ? Ensuite, même si je fais tout cela, je pourrais manquer quelque chose et rencontrer des problèmes, comme un événement de rançongiciel ou quelque chose comme ça, et est-ce que ProServe pourrait m'aider ?

Hart (18:04) :
Je suis content que vous posiez cette question. Il y a plusieurs choses à dire sur les deux parties de votre question. En ce qui concerne la première partie, j'aime bien toujours m'assurer que les clients sont très familiers avec certains de nos meilleurs outils d'inspection. Ils doivent être à l'aise avec Well-Architected. Nous avons un bon ensemble de directives. Ils doivent être à l'aise avec Trusted Advisor, Security Hub et Guard Duty. Ce sont le type de services qui vous aident à comprendre où vous vous situez. Et si vous avez implémenté ces outils de base et qu'ils fonctionnent comme vous le souhaitez. Et ensuite, dans une optique plus large d'éducation et de planification, nous pouvons nous pencher sur des services comme les Recommandations AWS. Il s'agit d'une immense mine de bonnes pratiques et de leçons apprises d'Amazon et de nos partenaires sur notre façon de fonctionner.
 
Et récemment, nous avons lancé une architecture de référence de sécurité, qui constitue des lignes directrices normatives, rédigées à la fois en langage normal et en code. Nous avons donc quelques textes qui abordent une variété de cas d'utilisation et de principes architecturaux. Ce qui était important pour moi lorsque nous avons développé cette architecture de référence de sécurité, c'était qu'elle ne soit pas théorique. C'est comme de véritables dessins architecturaux qui montrent comment les services AWS fonctionnent sur votre compte d'un point de vue de la sécurité. Ce n'est pas un simple tableau blanc vague, c'est vraiment une sorte de physique de la sécurité sur papier qui explique comment compléter cette implémentation réelle. Chaque cas d'utilisation des conseils de l'architecture de référence de sécurité est accompagné d'un code source qui vous montre comment la mettre en œuvre dans une implémentation de référence réelle. C'est quelque chose que nous allons consolider au fil du temps.

Nous allons ajouter différents points de vue. Nous avons déjà un volume considérable de retours de nos clients et non seulement ils adorent l'utiliser, mais ils nous demandent ce que nous pensons de tel ou tel cas d'utilisation qu'ils rencontrent. Nous réfléchissons à aussi itérer cela. Ensuite, vous avez parlé de la réponse aux incidents. Récemment, lors de la conférence re:Inforce, nous avons échangé sur la capacité d'équipe de réponse aux incidents de nos clients. Qui est hébergée par ProServe. Cela va nous permettre de faire deux choses. D'abord, le plus important, c'est d'aider les clients à regarder autour d'eux et à se projeter. Ainsi, nous pourrons prévenir les incidents. Mais si quelque chose se passe, nous devons transformer cette frayeur en « tout va bien ». Très bien. En outre, dans notre système de support, nous avons une équipe de réponse aux incidents pour les clients qui font face à des événements de sécurité et qui ont besoin d'une aide élevée ou remontée avec AWS.

Et ces équipes vivent vraiment pour tirer les clients du pétrin. Elles fournissent une grande aide pratique et beaucoup de conseils pour résoudre les incidents. Et dans la plupart des cas, les clients sont attentifs lorsqu'ils doivent répondre aux incidents et les gérer. Je pense que pour eux, c'est souvent nouveau. Parfois, ils ne l'ont jamais fait dans le cloud, ou ils n'ont jamais connu ce type d'attaque. Ce qu'ils recherchent vraiment, ce sont donc des experts externes à leur entreprise. En d'autres termes, ils cherchent à pouvoir faire confiance. Et à discuter du problème.