Repenser les opérations de sécurité et de conformité chez AWS

Clarke : (00:05)
Chad, merci beaucoup de me rejoindre aujourd'hui.

Chad : (00:07)
Je suis ravi d'être ici.

Clarke : (00:09)
Pourriez-vous nous en dire un peu plus sur votre parcours et sur ce qui vous a amené à AWS ?

Chad : (00:13)
Bien sûr. Je suis chez AWS depuis environ 11 ans, je m'occupe de la sécurité et de la conformité depuis mes débuts en 2010. Je venais d'EY, où nous faisions beaucoup de conseils en sécurité et en continuité des activités. Et cette expérience m'a vraiment aidé à faire ce que je fais aujourd'hui, autrement dit la conformité de la sécurité pour AWS.

Clarke : (00:43)
En tant que responsable de l'assurance sécurité chez AWS, quelles sont vos principales responsabilités ?

Chad : (00:50)
Eh bien, notre objectif principal et notre mission essentielle sont d'aider nos clients à déplacer des données réglementées et extrêmement sensibles vers le cloud, ce qui s'accompagne de nombreuses contraintes. Vous devez pouvoir prouver en interne que votre environnement est sécurisé. Vous devez également auditer AWS, vous assurer que votre fournisseur, AWS donc, est sécurisé. Et c'est là que nous intervenons : nous prouvons, par le biais d'audits, de certifications et d'autres missions de contrôle direct, que ce que nous faisons en arrière-plan sans la supervision de nos clients est sécurisé et conforme à tous les types de réglementations et de normes de certification auxquelles nous adhérons.

Clarke : (01:34)
Vous avez donc des équipes internes, des équipes de conformité internes, qui s'assurent que les services AWS respectent un certain niveau. J'imagine que vous travaillez également avec des auditeurs et des régulateurs indépendants externes ?

Chad : (01:47)
Oui. Bien sûr. La majeure partie de notre travail est liée aux échanges avec les auditeurs, les régulateurs et les contrôleurs externes, ainsi qu'avec les clients qui effectuent également leurs audits sur AWS et appliquent leurs propres processus de diligence raisonnable.

Clarke : (02:03)
Dans le monde de la sécurité, d'un point de vue général, il est très difficile de trouver des personnes talentueuses dans ce domaine, de les embaucher, de les former et de les retenir. J'imagine que c'est pareil pour les professionnels de l'assurance sécurité et de la conformité.

Chad : (02:18)
Vous avez raison. Oui.

Clarke : (02:20)
Pouvez-vous nous parler un peu de la façon dont vous formez quelqu'un, un nouvel employé donc, puis comment vous le gardez impliqué et comment vous rendez l'assurance sécurité attractive ?

Chad : (02:33)
Bien sûr. Je vais revenir un peu en arrière et vous dire que la difficulté d'embaucher de très bons spécialistes de la sécurité technique aujourd'hui vient du fait que nous sommes en concurrence avec des services externes incroyables. Et nous essayons tous d'embaucher les mêmes personnes, comme des développeurs et des concepteurs système par exemple. Nous sommes en compétition.

Chad : (03:00)
Et la plupart du temps, dans notre métier, quand vous avez fait du bon travail, il ne se passe rien, pas vrai ? Il n'y a pas de faille, pas de remontée, il ne se passe rien. Mais quand vous faites quelque chose de vraiment bien dans les services, il se passe quelque chose. Ils sortent un produit, tout le monde est content, il y a des rentrées d'argent, un engagement client sur le… Et donc nous sommes en quelque sorte en compétition avec cela, mais ce que nous avons, un aspect que possèdent les professionnels de la sécurité, c'est le fait d'être vraiment bienveillants, comme des citoyens… Pas des citoyens de l'entreprise… C'est comme si vous contribuiez vraiment au bien de la sécurité de l'ensemble du secteur.

Chad : (03:49)
Et donc il y a un peu de cela avec ce nous faisons ici. Nous développons des processus et des services internes que nous externalisons, en aidant l'ensemble de notre base de clients à mieux assurer la sécurité et la conformité. Et il y a donc cet aspect-là. Et les personnes qui y attachent de l'importance réussissent très bien dans notre équipe et aiment vraiment travailler dans le domaine de la conformité. Bien sûr. Personne n'entre à l'université en se disant qu'il veut être un auditeur ou qu'il veut être un ingénieur en conformité. Personne ne se dit vraiment cela, mais lorsqu'ils rejoignent notre équipe et qu'ils comprennent vraiment ce que nous faisons et comment nous aidons les clients, il s'agit d'une proposition de valeur très large pour l'ensemble de notre clientèle et pas seulement pour ceux qui utilisent des services particuliers. C'est ce que nous essayons de développer.

Chad : (04:40)
Ainsi, lorsque nous embauchons des personnes, souvent, nous n'embauchons pas celles qui ont une formation traditionnelle en matière en conformité, peut-être en raison de l'animosité traditionnelle qu'elles ont avec les équipes de services ou les développeurs. Ce n'est pas ce que nous voulons. Nous voulons nous éloigner de cela. Il n'y a donc pas beaucoup de personnes… Il y en a, et il y a des gens extrêmement passionnés qui veulent bien faire les choses et se développer, mais en général, ils ne sont pas aussi techniques. Et cela ne fonctionne donc pas dans notre organisation.

Chad : (05:21)
Mais quand nous avons ceux qui ont… Ils ont besoin de deux principes de leadership d'Amazon pour bien s'en sortir. Le premier est d'apprendre et d'être curieux. Ils doivent faire preuve de curiosité et entrer dans le flux de travail des développeurs pour comprendre les outils qu'ils utilisent. Comme je l'ai dit, ils doivent comprendre comment ils font leur travail. Et cela demande beaucoup de curiosité technique pour pouvoir bien le faire.

Chad : (05:54)
Le deuxième principe de leadership dont ils ont besoin est d'inventer et de simplifier, car nous effectuons des tâches et nous inventons des façons de respecter les règles que personne n'a jamais faites auparavant. Et je le sais parce que lorsque nous interrogeons nos collègues, dans d'autres forums, conférences ou autres, personne ne se trouve confronté à l'échelle à laquelle nous devons faire face. Nous devons donc inventer nos propres outils et nos propres services pour les développeurs. Je dirais donc que ce sont les deux types de principes de leadership dont nous avons vraiment besoin.

Chad : (06:29)
Et au fur et à mesure que nous ajoutons des personnes, nous les embauchons de tous les secteurs. Un de mes meilleurs employés était un ingénieur électricien. Il s'est formé, a obtenu son diplôme d'ingénieur électricien et a exercé dans ce domaine, puis il est venu vers nous parce qu'il était extrêmement curieux de ce que nous faisions et a vu la proposition de valeur. Et il était vraiment l'un de nos meilleurs éléments. Et c'est donc le genre de personne que nous apprécions.

Chad : (06:57)
Nous aimons qu'il y ait un peu de diversité dans les formations et les expériences professionnelles de nos employés. Nous avons une équipe très diverse à cet égard, leurs profils et idées, et leur passé et leurs origines. Il y a beaucoup de variété. Et c'est vraiment bénéfique pour l'organisation parce que nous pouvons sortir des sentiers battus. Nous pouvons penser à des moyens de mettre à l'échelle. Plus j'implique mon équipe, plus ils s'impliquent dans cet aspect. Ils accomplissent des tâches de pointe et se développent à un rythme sans précédent pour différentes activités et différents processus. Cela leur plait beaucoup. Comme à nous tous. Cela me plait, car nous ouvrons la voie et nous faisons preuve d'un leadership visionnaire dans ce domaine.

Chad : (07:45)
Et l'autre aspect passionnant, c'est que cela s'applique à beaucoup de nos clients. Il y a plus de choses que nous faisons qui pourraient bénéficier aux clients que ce que les gens pensent. Et nous sommes en quelque sorte en train de travailler non seulement sur le développement de ces processus et le développement de ces outils et aides, mais nous essayons également de les externaliser à travers nos autres services pour aider nos clients à tirer parti des leçons que nous avons apprises.

Clarke : (08:14)
Chad, les 18 ou 24 derniers mois ont été difficiles pour tout le monde avec la pandémie et le fait que les gens doivent travailler dans des environnements virtuels, chez eux, dans des cafés, etc. Comment ce travail à distance a-t-il affecté votre équipe et sa capacité à effectuer son travail quotidien, ainsi qu'à ajouter les fonctionnalités et les services que votre équipe propose pour aider les différentes équipes de développements ?

Chad : (08:35)
Il y a certains aspects des audits traditionnels qui n'ont pas de sens, comme la visite d'un centre de données. À bien des égards, les auditeurs veulent visiter un centre de données, principalement pour dire qu'ils l'ont fait. Ou bien ils veulent se rencontrer en personne parce qu'ils doivent dire qu'ils l'ont fait, alors qu'en réalité ils peuvent obtenir les informations dont ils besoin par d'autres moyens. Comme pour la visite d'un centre de données, nos centres de données sont tellement bien équipés que nous pouvons recueillir à distance toutes les informations dont vous avez besoin, y compris la couverture des caméras. Pourquoi auriez-vous besoin d'aller dans un centre de données ? Le fait d'aller au centre de données ne vous aide pas vraiment.

Chad : (09:12)
Et donc, avant la pandémie, nous avions toutes ces sortes d'engagements qui n'étaient pas vraiment nécessaires et qui prenaient beaucoup de temps, surtout pour se rendre à des centres de données partout dans le monde. Et par exemple quand nous devions coordonner la visite d'un centre de données à Singapour, cela prenait toute une semaine pour un groupe entier, pour l'auditeur et pour nous.

Chad : (09:40)
Et puis la pandémie est arrivée et on ne peut plus faire cela. Au début, c'était vraiment difficile pour les auditeurs de dire qu'ils n'allaient pas venir au centre de données. Mais nous avons vraiment travaillé avec eux et leur avons dit : « vous savez que nous vous avons dit à quel point nous sommes équipés ? » Oui. « Laissez-moi vous montrer comment vous pouvez effectuer à distance toutes les procédures que vous auriez normalement effectuées en personne, par le biais d'une salle de lecture virtuelle, de l'examen des documents et de conférence vidéo pour les entretiens. Et pour l'échantillonnage, vous n'avez pas besoin d'être là pour que nous téléchargions la table système qui décrit un élément que vous voulez examiner. Nous pouvons vous le fournir de manière sécurisée et vous montrer la chaîne de traçabilité de la manière dont nous l'avons téléchargé ainsi que le reste. »

Chad : (10:31)
Donc, comme cela a forcé tout le monde à faire comme ça, tous nos audits sont devenus beaucoup plus efficaces. Nous avons pu accélérer les audits. Non seulement nous avons pu les réaliser plus rapidement et plus efficacement, mais nous avons également pu faire beaucoup de tâches différentes en parallèle, alors qu'en temps normal, nous aurions dû les effectuer les unes après les autres, car nous devions effectuer tous les déplacements. Il y a donc de nombreux avantages pour les audits.

Chad : (10:56)
De plus, nous avons été en mesure de repenser ce qui est vraiment nécessaire pour faire valider les déclarations de contrôle ou les processus de contrôle. La pandémie nous a permis ou peut-être forcé à prendre du recul et a également forcé les auditeurs à prendre du recul et à repenser la manière dont ils obtiennent réellement la conformité dans notre environnement.

Chad : (11:26)
Nous avons pris le temps de créer davantage d'outils. Comme je l'ai dit, nous avons différentes façons de présenter une visite guidée d'un centre de données. Nous pouvons maintenant proposer une visite virtuelle du centre de données. J'ai mentionné le Digital Audit Symposium, qui au lieu de réunir tout le monde dans une salle et de faire des conférences nous permet d'avoir une sorte d'emplacement virtuel pour faire tout grâce à des vidéos et autres. Ils peuvent donc le faire à la demande et sur leur propre fuseau horaire et nous n'avons pas besoin de faire appel aux chefs d'équipe de service et aux directeurs généraux pour venir présenter encore et encore les mêmes informations aux clients. Cela a donc rendu beaucoup plus efficaces les autres audits, les autres engagements et les événements éducatifs que nous organisons.

Clarke : (12:17)
Donc ça ressemble presque à un audit en tant que service ?

Chad : (12:21)
L'audit en tant que service ou simplement se concentrer sur ce qui compte. Et les tâches traditionnelles que nous avons effectuées pendant 20 ans, étaient-elles vraiment nécessaires ? Certaines ne l'étaient pas. Ainsi, nous avons pu faire ce qu'il fallait, mettre en place les bonnes procédures et évaluer les bons contrôles.

Clarke : (12:44)
C'est génial. Passons maintenant au point de vue du client. Je suis un client et je vais mettre un programme d'assurance de sécurité. Il est évident que je ne vais pas commencer le premier jour au niveau et à l'échelle d'AWS, mais comment un client pourrait-il obtenir une assistance pour ses propres programmes internes d'assurance de sécurité ? Vous savez, vous avez parlé d'avoir des équipes de développement. Ce n'est pas un « fonctionnement standard » que je vois chez nos clients. Certains de nos clients les plus importants commencent à penser comme cela. Mais comment un client peut-il préparer le terrain avec ses dirigeants pour leur dire ce qui est important et quel genre d'investissements ils doivent faire ?

Chad : (13:24)
Oui, c'est une bonne question et je pense que c'est différent pour beaucoup de clients. La plupart des clients ont une situation unique dans leur entreprise qui rend la proposition de valeur de la sécurité et de la conformité différentes.

Chad : (13:38)
Et en général, il est évident que la sécurité est importante et que la conformité est absolument essentielle à de nombreux égards. Et il est donc nécessaire de créer le programme. Tout le monde a besoin d'un programme de sécurité. Tout le monde a besoin d'un programme de conformité, qu'il s'agisse de conformité en matière de sécurité ou de conformité juridique ou autre, vous devez être en conformité avec les lois si vous voulez continuer à exercer vos activités, n'est-ce pas ?

Chad : (14:05)
Mais je veux juste dire que probablement la première raison… Tout d'abord, il faut convaincre les dirigeants de la valeur d'un programme de sécurité et de conformité, et je pense que cela devrait être une décision commerciale, non ? Ce n'est pas nécessairement le devoir ou le travail d'une personne d'essayer de convaincre toute une équipe de direction qu'il est important d'avoir une sécurité. La décision de prendre la sécurité au sérieux devrait être prise par le PDG.

Chad : (14:46)
Donc, une fois que vous avez décidé cela, que vous comprenez la valeur et que vous voulez investir dans ce domaine, comment vous y prenez-vous ? Je dirais que, comme nous en parlions un peu, comprendre les processus réels, dans notre cas, ceux des développeurs. C'est probablement ce sur quoi vous devez vous concentrer le plus. La plupart des gens commencent par se demander quels sont les cadres de contrôle dont nous disposons. Et quels sont les contrôles auxquels nous devons nous conformer, et commençons donc par documenter ces contrôles pour ensuite aller voir les entreprises et leur dire qu'elles doivent faire ci ou ça ou atteindre ces objectifs.

Chad : (15:25)
Si, au contraire, vous vous plongez dans le fonctionnement de votre entreprise, quelle qu'elle soit. Dans notre cas, il s'agit d'un groupe de développeurs. Comment ils travaillent, comment ils accomplissent leurs tâches, quels outils ils utilisent, tout cela est très important, car nous devons parfaitement comprendre tout cela avant d'introduire quoi que ce soit de nouveau. Souvent, nous n'avons pas besoin d'introduire de nouveaux éléments en raison de la manière dont le travail est effectué. Ou bien nous nous chargeons d'interpréter les cadres de contrôle en fonction de la manière donc ils effectuent le travail. Et donc cette activité, quel que soit votre secteur d'activité, le rapprochement de ce qu'ils font réellement et de la manière dont ils le font avec ce qui est nécessaire et le type d'interprétation qui pourrait s'appliquer à votre organisation, c'est cette activité qui est la plus importante.

Chad : (16:24)
C'est probablement la première chose à faire pour établir un excellent partenariat entre l'équipe de conformité, l'équipe de sécurité et l'entreprise. Souvent, nous faisons l'inverse. Et je pense que cela a vraiment été la clef de notre succès, non seulement au début, mais encore maintenant. La seule raison de notre succès continu est que nous sommes très proches de la façon dont les développeurs AWS conçoivent, développent, déploient et maintiennent les logiciels. Tout tourne autour de cela.

Clarke : (16:59)
Chad, merci beaucoup de m'avoir rejoint aujourd'hui.

Chad : (17:01)
Je suis très content d'être venu. Merci, Clarke.