Création d'une culture de sécurité positive AWS
Entretien avec Steve Schmidt, vice-président de l'ingénierie de sécurité et directeur de la sécurité informatique (CISO), et Jenny Brinkley, directeur principal de la sécurité AWS, chez AWS.
Dans cette présentation, nous mettons l'accent sur la sécurité, notamment la création d'une culture de sécurité positive au sein de votre entreprise. Nous allons aussi aborder notre approche AWS pour implémenter et maintenir une culture de sécurité positive, et comment vous pouvez en faire autant, même si votre organisation n'est pas spécialisée dans la sécurité.
Nous ne créons et ne gérons pas simplement une organisation de sécurité qui opère à une échelle élevée sans précédent. Nous créons et gérons une culture inédite dans le monde de la sécurité. Nous sommes particulièrement fiers de bâtir la culture qu'il faut dans une organisation. »
Le rôle de la définition des objectifs dans la création d'une culture de sécurité positive
Nous croyons fortement à la progression par paliers. Plutôt que d'essayer de lancer un programme gigantesque qui ne s'achève pas après plusieurs années, nous faisons en sorte que nos équipes réalisent quelque chose de significatif en très peu de temps. Nous nous inscrivons dans un processus progressif, mesurable et surtout réalisable dans un délai relativement court, de l'ordre de quelques mois, par exemple.
La progressivité est le fait d'avancer graduellement et systématiquement vers les objectifs de nos équipes de services et de nos clients. Cet état d'esprit est important pour deux raisons. Premièrement, c'est la façon dont les entreprises évoluent et dont nous lançons nos services pour nos clients. Deuxièmement, c'est une manière d'encourager les équipes de services à discuter avec nous, plutôt que de nous considérer comme des obstacles à leur capacité de lancer des services ou des produits.
Il s'agit non pas de ce que l'équipe de sécurité elle-même souhaite faire, mais d'aider systématiquement nos équipes clients et nos équipes internes à atteindre leurs objectifs respectifs et leurs propres réalisations. »
Pour toucher le cœur d'un client, il faut identifier le problème
Commençons par définir le mot escalade. L'escalade est un processus qui consiste à adresser un problème aux personnes indiquées au moment opportun. C'est une démarche essentielle à l'efficacité chez AWS. L'escalade c'est le fait pour une personne d'identifier la cause d'un problème, puis, plutôt que de ne rien faire, de veiller à le transmettre aux personnes indiquées.
L'escalade englobe l'une de nos valeurs d'entreprise, à savoir la détermination des dirigeants à aller au fond des choses et celle des propriétaires à aller au cœur du fonctionnement de l'entreprise. Sans tous ces détails, vous ne pouvez pas prendre les bonnes décisions sur ce qui se passe et sur la façon de gérer efficacement l'entreprise.
Dans l'univers de la sécurité, nous utilisons l'expression « blâmer le messager » lorsqu'un problème a été décelé, ce qui n'incite pas les gens à faire avancer les choses. Mon travail en tant que leader est de remercier les gens qui identifient les problèmes et les soumettent à notre attention. Nous récompensons le messager et résolvons le problème.
Qu'est-ce que la stratégie « zero trust » et comment peut-elle permettre d'améliorer les choses ?
Pour nous, la stratégie « zero trust » signifie ne faire confiance à aucun périmètre réseau comme principal point de défense. Cela revient à décomposer le périmètre de sécurité jusqu'au plus petit composant possible, voire, si possible, les éléments de données individuels, et à l'inverse, à donner l'accès à ces éléments de données individuels à l'utilisateur autorisé, où qu'il soit. Il n'est plus question d'être sur un VPN, notamment, mais plutôt, par exemple, d'avoir un téléphone avec un agent installé capable d'informer le système d'authentification et d'autorisation que le téléphone a approuvé l'application de correctifs.
Il est aussi question d'intégrer cette confiance dans les composants matériels qui ont une grande aptitude de réplication de leurs capacités de contrôle d'accès. La stratégie « zero trust » consiste donc pour nous à mettre en place un ensemble de contrôles qui nous permet purement et simplement de donner ou de refuser l'accès aux composants individuels de données à chaque utilisateur en fonction de son rôle, de l'endroit où il se trouve, des systèmes qu'il utilise pour accéder à l'appareil, du moment de la journée, du jour de la semaine et de la région où il se trouve à travers le monde. Bien appliquée, cette stratégie offre un contrôle extrêmement plus précis des informations.
Questions à poser aux clients et aux employés pour créer une culture positive
- Êtes-vous satisfait de l'interaction que vous venez d'avoir ?
- Avez-vous résolu votre problème dans un délai raisonnable ?
- Vous ai-je donné les outils pour faire plus facilement et plus efficacement votre travail ?
Voilà tous les types de questions que nous posons à nous-mêmes et à nos clients pour déterminer comment nous sommes perçus en interne et en externe.
Rappelez aux clients et aux employés vos raisons
La leçon la plus importante que nous voulons que les gens retiennent aujourd'hui, c'est qu'une entreprise doit être positive. Elle doit avoir pour objectifs d'améliorer la vie des gens et de les rendre plus efficaces et plus performants au travail. Elle doit aussi s'assurer de progresser graduellement et quotidiennement vers ses objectifs plutôt que d'opter pour l'approche Big Bang.
Pour ceux qui ne sont pas dans l'organisation de sécurité, nous vous encourageons à planifier une réunion virtuelle, à comprendre leurs objectifs métier et à trouver les moyens de communiquer plus efficacement. Vous pouvez en savoir plus concernant la sécurité d'AWS sur le blog d'AWS sur la sécurité. Chez BP, nous nous efforçons d'être les meilleurs dans tout ce que nous faisons. Après de nombreuses années d'expérience dans le secteur du commerce, vous commencez à réaliser que le marché évolue à un rythme rapide. Face à l'influence grandissante des marges, le seul moyen de suivre le rythme c'est de s'appuyer sur les technologies numériques à des fins d'automatisation et pour être aussi efficace et lean que possible.
Vous voulez donner aux gens des outils, des règles et des instructions sur la façon de faire correctement et simplement les choses qui conviennent. Résultat : vous n'en serez que plus fier, en tant que professionnel de la sécurité, et vos clients seront plus heureux de pouvoir travailler plus facilement. »
Partager ce témoignage
Lecture recommandée
Passer à l'étape suivante
Écouter et apprendre
Écoutez des dirigeants et des stratèges d'entreprise AWS, tous anciens cadres, parler de leur parcours de transformation numérique.
Rester connecté
AWS Executive Connection est une destination numérique pour les chefs d'entreprise et les leaders technologiques où nous partageons des informations.
Visionner à la demande
Bénéficiez des points de vue de vos pairs et découvrez de nouvelles façons d'alimenter votre parcours de transformation numérique grâce à ce réseau international exclusif.
Trouver de l'inspiration
Écoutez les leaders d'AWS et de ses clients discuter des meilleures pratiques, des leçons et de la pensée transformatrice.