Comment devenir un meilleur RSSI

Clarke Rodgers (00:07) :
Quelles sont les qualités d'un RSSI performant ? En tant que RSSI d'AWS, mon invité d'aujourd'hui a un excellent point de vue sur cette question. Je suis Clarke Rodgers, directeur de la stratégie d’entreprise d’AWS, et votre guide pour une série de conversations avec les responsables de la sécurité d’AWS ici, sur Executive Insights.

Nous sommes heureux d'accueillir Chris Betz, RSSI d'AWS, dans l’émission. Rejoignez-nous pendant qu'il partage avec nous ses réflexions sur de nombreux sujets, qu'il s'agisse de l’établissement d’une culture de la sécurité, du recrutement pour promouvoir la diversité ou encore de l’encadrement de la prochaine génération de grands leaders de la sécurité. Vous allez apprécier.

Clarke Rodgers (00:38) :
Alors, je vous connais assez bien, mais j'adorerais en savoir un peu plus sur votre parcours pour le public.

Chris Betz (00:44) :
Comme vous l’avez dit, nous nous connaissons depuis longtemps. C’est l'une des choses que j'aime dans la communauté de la sécurité, le fait qu’elle soit aussi petite. À un moment donné, vous finissez par interagir avec des personnes que vous avez vues dans le monde entier. Dans mon cas, mon parcours a débuté dans l'armée de l'air. J'ai fait partie de l'armée de l'air pendant de nombreuses années, puis je suis entré au gouvernement fédéral et j'y ai passé encore plus d'années à travailler dans le domaine de la cybersécurité.

J'ai eu l'occasion de travailler dans le domaine de la sécurité pour des entreprises comme CBS, une société de médias, et j’ai passé beaucoup de temps dans des entreprises comme Apple, Microsoft et Lumen, CenturyLink à l'époque et, plus récemment, chez Capital One. C'était donc assez intéressant de voir une certaine diversité de rôles et, comme vous le dites, de voir les mêmes visages encore et encore.

Clarke Rodgers (01:23) :
Lorsque vous rencontrez maintenant des clients et que vous répondez à leurs questions de sécurité, en tant que RSSI d'AWS, en quoi est-ce que cela influence les choses ? La capacité de dire : « Hé, j'étais à votre place il n'y a pas si longtemps, et c'est comme ça que j'y ai réfléchi. Et maintenant que je suis ici, voici la réponse à votre question », ce genre de choses.

Chris Betz (01:45) :
Au cours de la dernière décennie, j'ai occupé des postes de sécurité dans des entreprises qui sont des clients importants d'AWS. Alors oui, j'ai été là aux côtés d'AWS tout au long de notre parcours en matière de sécurité, de notre parcours technologique. Le fait d'avoir été récemment client me permet d'avoir cette conversation d'une manière très différente, car j'ai l'impression de comprendre ces conversations, et les questions et les défis qu’elles posent.

L'une des choses que j'apprécie le plus dans ces conversations, c'est la capacité de rester bien ancré dans ce que voient nos clients, ce qu'ils pensent de ce qui se passe dans le monde, et vraiment la capacité de lancer des idées dans les deux sens. « Hé, voilà ce que je vois. Voici comment je résous ce problème. » « Oh, c'est ce que vous voyez ? C'est comme ça que vous résolvez ce problème. » Cette capacité qui nous permet de continuer mutuellement à relever la barre au sein d'AWS, mais aussi auprès de nos clients, est incroyablement puissante.

Clarke Rodgers (02:51) :
Et vous êtes alors en mesure de gagner la confiance des gens en leur disant : « Voilà comment j'ai résolu ce problème dans le rôle précédent », ce qui est formidable.

Chris Betz (02:58) :
J’ai l’expérience et l’endurcissement.

Clarke Rodgers (02:59) :
Exactement. En tant que RSSI, vous devez avoir une expertise approfondie en matière de sécurité, vous devez avoir une expertise métier et vous devez réunir tout cela, mais vous avez de grandes équipes sous vos ordres qui doivent réellement assurer la sécurité de l'entreprise, de nos clients, etc. Dans cette optique, quels sont, selon vous, les défis auxquels sont confrontés les responsables de la sécurité aujourd'hui ?  

Chris Betz (03:21) :
C'est en grande partie dû au talent. Les problèmes que nous résolvons en matière de sécurité sont tellement multidimensionnels, comme vous le soulignez, qu'il est absolument essentiel d'être entouré par les bonnes personnes pour réussir. Pour moi, j'adore être entouré. En fait, pour toutes les entreprises les plus performantes dans lesquelles j’ai travaillé, nous aimons être entourés de personnes qui nous enseignent, nous inspirent et nous lancent des défis.

Parce que c'est un domaine dans lequel nous apprenons constamment. Nous avons donc besoin de personnes qui placent constamment la barre plus haut. Quand vous rencontrez ces personnes, c'est incroyablement inspirant. Ils ont trouvé des moyens de résoudre les problèmes d'une manière que vous n'auriez jamais imaginée auparavant afin de rendre l'entreprise plus efficace, et de réfléchir à la manière de faire de la sécurité une initiative naturelle pour les gens. C'est extrêmement important. Et ces mêmes personnes, lorsque vous avez la bonne culture, sont prêtes à vous lancer des défis. « Y réfléchis-tu de la bonne façon ? » Et ce défi aide tout le monde à se développer, vous aide à grandir, aide l'organisation à se développer, vous aide à aller dans la bonne direction.

Les personnes qui ont exactement le même parcours, qui abordent les problèmes de la même manière, ce ne sont pas celles qui vont vous enseigner, vous lancer des défis et vous inspirer. Je pense donc que l'un des grands défis auxquels nous continuons de faire face dans le domaine de la sécurité est de savoir comment obtenir cette diversité de points de vue, cette diversité de culture, cette diversité d'expériences, cette diversité d'approches et cette diversité de mentalités qui nous aident vraiment à être l'organisation incroyable que nous devrions être ? C'est donc à cela que je passe une grande partie de mon temps, à m'assurer que nous avons les bonnes personnes, la bonne combinaison, car sans cela, nous ne pouvons pas résoudre le reste du problème.

Clarke Rodgers (05:10) :
Et peut-être que les antécédents non traditionnels ne signifient pas « C'est un agent de sécurité ». Toutefois, ce point de vue pourrait nous aider concernant un certain aspect de la sécurité, car nos adversaires sont certainement divers.

Chris Betz (05:23) :
Exactement. Et je veux dire qu'il est important de reconnaître qu'AWS est une entreprise mondiale. Les adversaires sont mondiaux. Nous devons exploiter ce talent mondial. Nous devons faire appel à des personnes d'horizons très différents et les intégrer. Certaines des personnes les plus intelligentes que je connaisse dans le domaine de la sécurité ont des parcours incroyablement divers. Ils ont perfectionné leur métier dans la sécurité pendant des années et des années. Mais la façon dont vous intégrez cette bonne combinaison de points de vue est vraiment très importante.

Clarke Rodgers (05:51) :
Si vous regardez les deux dernières années et que vous vous tournez vers l'avenir, qu'est-ce qui vous passionne le plus du point de vue de la sécurité ? Cela peut être un programme, un processus, une technologie, quel que soit le cas, et donc sur quoi concentrez-vous vos efforts sur cette base ?

Chris Betz (06:08) :
Alors que je regarde le parcours de Zero Trust, qui est passé d'un ensemble de produits présentés comme des solutions Zero Trust à un ensemble de normes, puis à un ensemble de technologies intégrées. Si je regarde la façon dont l'expérience utilisateur a évolué ces dernières années, les technologies de clés d'accès, introduites récemment par Amazon.com et de nombreuses autres entreprises, ont fondamentalement changé notre façon de concevoir cette expérience utilisateur fluide, cette capacité d’accéder à la technologie et de le faire d'une manière vraiment, vraiment réfléchie et donc...

Clarke Rodgers (06:50) :
Et simplifier la sécurité, n'est-ce pas ?

Chris Betz (06:52) :
Simplifier la sécurité. Je pense donc que les avancées que nous avons réalisées dans ce monde, en abandonnant les VPN alambiqués pour passer à une analyse transparente et approfondie de ce qui se passe, sont incroyablement puissantes.

Il y a tellement d'engouement autour de l'IA générative. Le domaine de l'IA n'est pas nouveau. Nous le faisons depuis des décennies, mais la rapidité des changements dans les domaines du Machine Learning et de l'IA au cours des deux dernières années est tout simplement incroyable. Cela apporte un tas de fonctionnalités vraiment intéressantes à ma façon de concevoir la sécurité. L'un des exemples que j'aime donner lorsque je m'adresse aux gens est le suivant : autrefois, lorsqu'on essayait d'analyser un élément de données pour voir s'il y avait un risque de sécurité, il était peut-être plus rapide de créer une grande feuille de calcul, de la parcourir et de travailler avec les données comme nous le faisions auparavant, parce que le temps nécessaire pour écrire le code permettant de le faire n'était pas suffisant.

Clarke Rodgers (07:53) :
C'était tellement plus long, oui.

Chris Betz (07:54) :
-C’était mesuré en heures et vous pouviez faire l'analyse manuelle en une heure ou quelque chose comme ça. Maintenant, avec des choses comme CodeWhisperer et d'autres technologies, ce modèle est inversé. La possibilité de décrire un problème bien compris, « Hé, je veux analyser ces données pour trouver cette information », devient quelque chose que vous pouvez demander à un système de faire, obtenir une réponse en quelques secondes, l'implémenter, tester et exécuter en beaucoup moins de temps que vous ne le feriez avec une feuille de calcul manuelle. Et c'est reproductible, c'est testable, c'est vérifiable. Vous réduisez les erreurs humaines. Il y a de nombreux avantages à procéder de cette façon. Je pense donc que cela va même changer la façon dont les opérations de sécurité fonctionnent, pas seulement ici chez AWS, mais dans l'ensemble du secteur. Je pense donc qu'il y a une énorme opportunité ici.

D'un autre côté, je passe également beaucoup de temps à découvrir ce que l'IA générative peut faire, comment la sécuriser et comment la remettre en question. Nous consacrons beaucoup de temps et d'énergie à nous assurer que nous disposons des bonnes bases au sein d'AWS et que nous développons les bonnes fonctionnalités. Alors que nous développons des solutions génératives basées sur l'IA, tout d'abord, nous devons les tester à fond-

Clarke Rodgers (09:14) :
À grande échelle.

Chris Betz (09:15) :
Oui, à grande échelle, à la pointe de l'industrie. Nous pouvons également utiliser chacun de ces apprentissages et les transformer en fonctionnalités que nous pouvons proposer à nos clients, car les problèmes que nous rencontrons sont ceux qu'ils rencontrent lorsqu'ils utilisent l'IA générative. Il y a donc cet incroyable cycle d'apprentissage rapide où nous apprenons de nouvelles choses chaque jour, et c'est amusant. C'est un défi parce que les pirates apprennent aussi de nouvelles choses tous les jours.

Clarke Rodgers (09:41) :
En effet, c’est le cas.

Chris Betz (09:42) :
Et nous devons continuer à suivre ce cycle vraiment très serré pour avancer rapidement dans ce domaine, mais c'est aussi pour cela que j'aime être ici chez AWS. Nous n'avançons pas lentement. Nous n’avançons pas lentement du tout. Je pense donc que cette superpuissance d'AWS correspond parfaitement à la direction que nous devons prendre dans ce domaine.

Clarke Rodgers (10:01) :
C’est une excellente réponse. Et les clients font généralement appel à nous pour leurs besoins technologiques, qu'il s'agisse de sécurité ou de résolution de problèmes commerciaux. Une chose qui n'est peut-être pas aussi évidente pour les clients, c'est que nous sommes clairement une entreprise technologique, nous leur proposons des logiciels et des services, nous passons également beaucoup de temps à les aider à développer leurs programmes de sécurité et à être plus efficaces. Comme vous le savez, l'un de nos programmes les plus populaires est le AWS CISO Circles. Pourriez-vous nous en parler un peu, de leur organisation et des avantages que les clients peuvent en tirer ?

Chris Betz (10:38) :
Les conversations dont nous avons parlé tout à l'heure sur la petite taille de la communauté de la sécurité, et l’apprentissage mutuel sont très importantes.

Selon les règles de Chatham House, nous n'attribuons aucune conversation à qui que ce soit. Cela permet aux gens d'avoir de vraies conversations. La capacité pour nous d'apprendre les uns des autres, de nous lancer des défis, de nous poser des questions. « Hé, comment résolvez-vous ce problème ? » « Hé, je commence à voir des attaquants faire ça. Vous avez ce problème vous aussi ? » Innover, réfléchir, apprendre des meilleurs. Je pense que c'est dans cet environnement que nous évoluons dans les cercles RSSI.

Il est donc incroyablement puissant de réunir des personnes qui ont des points communs — régions du monde, points communs en termes commerciaux et technologiques, problèmes similaires — et de les mettre en contact avec certaines des personnes les plus intelligentes que je connaisse au sein d'AWS et en dehors d'AWS pour avoir ces conversations. Et c’est donc, je pense, ce dont nous pouvons vraiment tirer parti avec les cercles RSSI. Franchement, j'ai apprécié ceux que j'ai rejoints, et j'ai hâte d'en faire beaucoup plus au cours de l'année prochaine.

Clarke Rodgers (12:08) :
Bien sûr. Lorsque j'étais client, je me souviens avoir beaucoup appris auprès des RSSI d'autres industries. Étonnamment, dans le domaine de l'assurance, vous avez une certaine tolérance au risque et vous faites certaines choses, et j'ai beaucoup appris des médias, du commerce de détail et du secteur bancaire. C’était fantastique.

Chris Betz (12:16) :
J'ai vu exactement la même chose, c'est pourquoi j'aime ce mélange qui consiste à réunir les gens pour avoir ces conversations.

Clarke Rodgers (12:32) :
Chris, merci beaucoup de m’avoir accordé du temps aujourd'hui.

Chris Betz (12:34) :
C’était super. Merci de m’avoir invité.