Secteur de la sécurité

Clarke Rodgers (00:07) :
Chris Betz, responsable de la sécurité des systèmes d’information chez AWS. Merci d’être en notre compagnie aujourd’hui.

Chris Betz (00:11) :
Je suis ravi d’être ici. Merci de m’avoir invité.

Clarke Rodgers (00:13) :
En tant que RSSI chez AWS, qu’est-ce qui vous a poussé à rejoindre AWS après avoir quitté Capital One ? Fort de la vaste expérience que vous avez acquise en tant que cadre, vous auriez pu rejoindre n’importe quelle organisation. Qu’est-ce qui vous a poussé à choisir AWS ?

Chris Betz (00:25) :
Au fil des nombreuses années passées chez Capital One, j’ai réalisé à quel point notre travail reposait sur la sécurité d’AWS. Comme vous le savez, Capital One mise entièrement sur le cloud et a fermé ses centres de données. Mon parcours chez Capital One et la collaboration en matière de sécurité entre Capital One et AWS m’ont permis de comprendre à quel point la technologie qu’offre AWS est essentielle à la confiance et à la sécurité de nombreuses entreprises.

Franchement, c’est incroyablement excitant de passer d’un travail où je me reposais sur AWS en toute confiance à un poste faisant partie intégrante de ce système auquel tant d’entreprises et de personnes à travers le monde font confiance en ce qui concerne la sécurité. J’apprécie la façon dont vous avez formulé cette question en précisant que je pouvais rejoindre n’importe quelle organisation. Mais je pense à l’inverse. Faire partie de l’équipe de sécurité d’AWS représente l’apogée d’une carrière dans le domaine de la sécurité.

Clarke Rodgers (01:31) :
C’est formidable. Vous êtes ici depuis un moment. Qu’avez-vous pu observer que vous ne pouviez peut-être pas voir auparavant aussi clairement en tant que client AWS ? Et maintenant que vous faites partie de l’équipe, qu’est-ce qui a changé pour vous en tant que responsable de la sécurité ? Qu’avez-vous appris en tant qu’employé ?

Chris Betz (01:49) :
C’est bien beau d’entendre parler des conversations. J’ai entendu à plusieurs reprises parler du principe selon lequel la sécurité est la priorité absolue chez AWS. J’ai entendu parler de la réunion de sécurité hebdomadaire. D’après l’une des histoires les plus fréquemment racontées par mon prédécesseur, chaque semaine, le PDG d’AWS s’entretient avec tous les dirigeants d’AWS de certains des principaux volets de la sécurité sur lesquels nous devons nous concentrer et des domaines que nous devons améliorer.

C’est une chose d’entendre parler de ces conversations, mais c’en est une autre d’y participer et d’être mis au défi par les partenaires commerciaux ou technologiques quant au rythme d’évolution, au niveau des attentes, aux mesures de protection contre les menaces et aux points de vulnérabilité. C’est également une autre chose de faire en sorte que les autres cadres ainsi que mon équipe et moi soyons en harmonie pour faire avancer la sécurité. C’est une expérience amusante et quelque peu unique.

Clarke Rodgers (02:55) :
C’est formidable. Et puis, bien sûr, vous vous imprégnez de la culture de sécurité. Vous avez parlé de la réunion entre le PDG et les RSSI, mais cette culture est simplement omniprésente.

Chris Betz (03:05) :
En effet. Je travaille dans le domaine de la sécurité, raison pour laquelle ce sujet s’invite plus ou moins dans chacune de mes conversations. Cependant, c’est incroyable de participer à des réunions qui portent sur des thèmes n’ayant même aucun rapport avec la sécurité. En tant que cadre supérieur, j’apprécie notamment le fait qu’AWS ajoute la sécurité au menu des réunions non spécifiques à ce domaine. En d’autres termes, je peux participer à ces conversations et demander à d’autres personnes de parler de la sécurité, de poser des questions en la matière et de faire des propositions pour l’améliorer. Comme vous l’avez dit, l’omniprésence de cette culture est très importante.

Clarke Rodgers (03:36) :
Tout à fait. Passons un peu à la vitesse supérieure pour aborder un programme de sécurité. Quels sont les indicateurs ou les mesures clés que vous utilisez pour démontrer l’efficacité de votre programme de sécurité ? Vous pouvez vous inspirer de votre rôle actuel chez AWS ou de rôles antérieurs.

Chris Betz (03:56) :
C’est une bonne question. Et souvent, lorsqu’on me la pose, on s’attend à ce que je parle des métriques et des mesures, pour ne citer que ces exemples. Nous pouvons assurément utiliser de nombreuses métriques et mesures pour décrire le fonctionnement de la sécurité. Mais je pense que deux des principaux indicateurs sont la mesure dans laquelle l’entreprise et les organisations technologiques considèrent la sécurité comme un catalyseur de leurs programmes, et la mesure dans laquelle les programmes de sécurité mettent le sujet au cœur de la facilitation pour l’entreprise et les fournisseurs de technologies.

Un changement profond se fait jour au sein de l’organisation lorsque vous combinez ces deux volets :celui où l’entreprise et les fournisseurs de technologies estiment que la sécurité est un catalyseur essentiel, et celui selon lequel l’équipe de sécurité considère que son rôle ne consiste pas simplement à éliminer les risques ou à s’en dédouaner, mais à faire en sorte que l’entreprise atteigne ses objectifs commerciaux en toute sécurité. Pour moi, cette alchimie, cette attitude et ces approches représentent les principaux indicateurs du succès d’une entreprise pour ce qui est de mettre la sécurité au cœur de son fonctionnement.

Clarke Rodgers (05:21) :
Tout à l’heure, vous avez du reste fait savoir que vous participez actuellement à des réunions qui ne portent pas nécessairement sur la sécurité, ce qui traduit l’importance de la sécurité et votre volonté d’avoir voix au chapitre.

Chris Betz (05:32) :
Tout à fait. Et cela fait partie du défi. Vous et moi avons grandi dans un monde où la sécurité est fille de la technologie. Or, de nos jours, les responsables de la sécurité doivent être des cadres d’entreprise, siéger au conseil d’administration et participer à ces conversations, comprendre ce que signifie le risque pour l’entreprise, déterminer tous les risques auxquels elle est exposée et contribuer à garantir la sécurité des personnes, le tout en remédiant aux autres risques et en œuvrant au succès de l’entreprise. Je pense que ces sujets ont un regain d’importance pour de nombreux responsables de la sécurité.

Clarke Rodgers (06:07) :
Voilà une bonne transition vers ma prochaine question. Beaucoup de clients avec lesquels je discute veulent savoir comment signaler les risques le plus efficacement possible au conseil d’administration. J’imagine que c’est également le cas pour vous. Avez-vous des conseils sur la marche à suivre ou sur le signalement des cyberrisques au conseil d’administration ?

Chris Betz (06:30) :
C’est une excellente question et, honnêtement, je n’ai jamais vu deux entreprises procéder de la même manière. Cela tient en partie au fait qu’il faut considérer le risque dans le contexte de l’entreprise. Lorsque vous vous adressez au conseil d’administration, il est très important de savoir qui en sont les membres ainsi que de connaître leurs profils et leurs domaines d’expertise.

Chez AWS, les conseils d’administration auxquels je m’adresse sont constitués de membres très familiarisés avec de nombreux domaines de la technologie et de l’entreprise. Nos discussions sont donc très différentes de celles que j’ai lorsque je siège à un conseil d’administration dont les membres sont des experts spécialisés dans la vente au détail ou dans un autre domaine précis. Ils ont une approche et des connaissances différentes.

L’un des points les plus importants, et j’en reviens ainsi à notre toute récente conversation à propos des RSSI en tant que cadre d’entreprise, consiste à considérer la sécurité dans le contexte de l’entreprise.

Clarke Rodgers (07:32) :
Il faut donc signaler les risques en conséquence.

Chris Betz (07:33) :
Les signaler en termes d’impact sur l’entreprise. En tant que responsables de la sécurité, nous avons beaucoup de missions, que je résume généralement en quatre grandes catégories. Notre travail consiste à définir les critères d’efficacité pour notre entreprise, notre tolérance aux risques et nos objectifs. En tant que responsables de la sécurité, nous nous devons d’être une source de vérité et de transparence. Voilà résumées nos missions aujourd’hui, ce qui nous entraîne vers ces conversations sur les métriques.

Clarke Rodgers (08:08) :
Nous gagnons la confiance des clients, mais vous devez gagner la confiance des partenaires dans l’entreprise.

Chris Betz (08:11) :
Nous devons gagner la confiance de l’entreprise. Ce qui m’amène au troisième point, qui est presque plus important : nous ne pouvons pas nous contenter d’être cette source de transparence. Nous ne pouvons pas nous borner à signaler les problèmes. En tant que responsables de la sécurité, nous devons fournir à l’entreprise des solutions pour réduire efficacement ce risque de sécurité. Il est donc de notre devoir de nous y atteler et de réfléchir à la marche à suivre en la matière.

Enfin, le quatrième point : notre travail consiste également à être une source de responsabilité, à garantir notre sécurité, à faire preuve de transparence envers le conseil d’administration, à tenir l’entreprise pour responsable de l’atteinte ou non des objectifs fixés. Nos rôles sont tellement différents. Cependant, les entreprises qui, selon moi, réussissent le mieux dans ce domaine sont celles dans lesquelles les responsables de la sécurité ne se contentent pas de définir des objectifs et de déterminer si l’on s’en approche, mais font en sorte que l’entreprise atteigne ses objectifs de manière judicieuse.

Clarke Rodgers (09:13) :
Chris, merci beaucoup d’avoir été en notre compagnie aujourd’hui.

Chris Betz (09:15) :
Je vous en prie. Merci de m’avoir invité.