Adaptation des pratiques de sécurité au nouveau paysage des menaces

Sara Duffer :
Je vais donc me lancer dans le vif du sujet. Vous êtes donc tous deux responsables de la sécurité chez Amazon et AWS respectivement. Pouvez-vous m’en dire un peu plus sur les mécanismes que vous utilisez pour rester aligné ?

Steve Schmidt :
Bien sûr. Je pense que l’une des choses par lesquelles nous devons commencer, c’est que toutes les entreprises ne sont pas pareilles, c’est évident pour les gens d’ici. Mais lorsque vous gérez une grande organisation comme Amazon, il est parfois surprenant de constater la différence entre les opérations métier au sein d’une même entreprise. Certaines organisations sont extrêmement intolérantes au risque, tandis que d’autres sont beaucoup plus disposées à repousser les limites dans certaines circonstances. Cela dépend en grande partie de leur activité, des données qu’ils traitent, etc. Nous avons constaté qu’il était nécessaire de disposer d’un ensemble de mesures communes à toute l’entreprise qui nous permettent d’effectuer un examen de base de la manière dont les gens se comportent du point de vue de la sécurité. Ensuite, des rapports spécifiques ou personnalisés pour chaque organisation, qui décrivent les risques auxquels elle est exposée et ce qu’elle préfère faire en termes de gestion des données que ses clients lui ont confiées, des informations dont elle dispose, etc.

Des rapports communs sont cependant la chose la plus importante pour nous donner une vision de l’uniformité. Ainsi, lorsque nous discutons avec une personne, qu’il s’agisse du PDG de la société, Andy Jassy, ou d’un autre employé, nous pouvons parler une langue commune. Cela nous permet de comprendre très rapidement comment se porte une partie de l’organisation par rapport à une autre et, surtout, cela met en évidence les lacunes dans les domaines où nous n’examinons pas les choses comme nous le devrions parce que nous avons découvert un ensemble particulier d’opportunités d’amélioration dans un secteur par rapport à un autre. Et soyons honnêtes, tous les dirigeants de l’entreprise sont compétitifs. Ainsi, lorsque vous utilisez des rapports communs qui les classent par rapport à leurs pairs, cela motive les comportements qui nous intéressent vraiment. Cela permet aux personnes de s’orienter dans la bonne direction.

Chris Betz :
Même si je déteste me qualifier d’intolérant, nous sommes intolérants au risque chez AWS. Nous faisons donc partie des organisations qui consacrent beaucoup de temps à l’analyse de leurs métriques spécifiques aux activités. Même en interne chez AWS, je trouve que ces mêmes approches ont tendance à fonctionner pour nous, que la nature concurrentielle et le fait d’en tirer parti au sein des organisations sont incroyablement puissants. Pour être en phase très étroite avec l’entreprise, pour comprendre qu’AWS n’a pas la même tolérance au risque que d’autres entreprises. Pour comprendre ce qui nous intéresse et nous assurer que ces métriques métier restent étroitement liés à l’activité et apparaissent dans le cadre de nos processus d’évaluation des activités.

Sara Duffer :
Steve, vous avez mentionné avoir parlé avec le PDG, Andy Jassy. Comment communiquez-vous avec le PDG et le conseil d’administration pour les mises à jour de sécurité ?

Steve Schmidt :
La communication avec le PDG, qui devrait être, de mon point de vue, une communication avec les PDG étant donné que nous avons plusieurs PDG chez Amazon, encore une fois, est adaptée au mode de fonctionnement de leur organisation. Par exemple, Chris organise une réunion hebdomadaire avec le PDG d’AWS, car la cadence de sécurité y est généralement très rapide. Nous devons réagir très rapidement aux menaces, comprendre les changements de l’environnement qui nous entoure. Nous devons être en mesure d’adapter nos réponses en fonction de la façon dont le monde fonctionne autour de nous. Nous travaillons également avec Doug Herrington, qui est le PDG des magasins, mais dans un domaine qui se concentre davantage sur son activité, où l’intervalle de rotation a tendance à être légèrement différent, qu’il s’agisse d’une évaluation mensuelle ou de choses comme ça.

Andy Jassy choisit de participer à une réunion trimestrielle consacrée à l’évaluation de la sécurité. Ainsi, chaque trimestre, nous lui présentons à la fois un ensemble de mesures communes et des rapports cohérents dans le temps, mais aussi une section de notre rapport, qui est en constante évolution. C’est ce que nous appelons l’actualité, et nous nous concentrons sur le changement le plus important pour nous dans l’environnement dans lequel nous opérons. Comment les Russes pensent-ils les choses en ce moment par rapport aux Chinois ? Comment s’en prennent-ils aux entreprises ? Quelles nouvelles méthodes les gens utilisent-ils pour provoquer des problèmes et comment y réagissons-nous ou nous y préparons-nous ?

Maintenant, vous avez également mentionné le conseil. Notre conseil d’administration est relativement unique. De nombreux conseils d’administration choisissent de confier la supervision de leur organisation de sécurité soit au comité d’audit, soit à un comité des risques, généralement au sein d’une institution financière. Amazon a choisi d’avoir un sous-comité spécifique uniquement pour la sécurité et nous avons donc trois membres de notre conseil d’administration qui se concentrent uniquement sur la sécurité. Nous les rencontrons régulièrement. Ils reçoivent un rapport trimestriel sur ce qui se passe avec Amazon et passent en revue toutes nos activités. Les membres du conseil d’administration nous disent qu’ils aimeraient se concentrer sur quelques entreprises à la fois, alors ils choisissent. Il s’agit en quelque sorte de faire tourner le cadran et de dire quelle activité sera abordée la prochaine fois.

Nous avons aussi la section sur l’actualité en bas de page, car il s’agit encore une fois des intérêts communs quant à la situation actuelle, à la direction que nous prenons, à ce qui change autour de nous et à la manière dont nous devons évoluer. Selon moi, ce temps de cycle très court entre un changement dans le monde et le moment où le conseil d’administration est informé de la manière dont nous gérons ce changement est vraiment important pour que nous puissions continuer à garantir que nous avons mis en place la bonne protection pour les clients.

Sara Duffer :
Chris, quelque chose à ajouter ?

Chris Betz :
Trois réflexions supplémentaires. Tout d’abord, l’une des choses que j’apprécie à la fois dans les conversations avec Andy et les PDG, mais aussi au sein d’AWS, c’est que nous n’avons pas ces conversations de manière isolée. Il ne s’agit pas simplement d’un très petit groupe avec le PDG. C’est avec le PDG et son équipe de direction, car rien ne se passe isolément. Il est donc extrêmement important de nous assurer que l’entreprise participe à la conversation, que nous sommes profondément engagés dans l’entreprise avant et dans le cadre de ces conversations. Deuxièmement, chez AWS, nous avons un conseil en plus du conseil d’Amazon. Cela nous permet donc, en tant que mécanisme, de nous pencher chaque trimestre en profondeur sur la sécurité et les sujets connexes liés aux risques, afin de pouvoir poursuivre ces conversations et de nous assurer que nous mettons en place la bonne gouvernance.

Et troisièmement, après avoir vu plusieurs conseils différents, chaque conseil avec lequel j’ai interagi est incroyablement différent. Je pense que cela est dû en grande partie à l’aspect humain, aux personnalités, et en partie à la nature de l’entreprise. Je pense donc qu’en tant que CISO ou leader technologique, l’un des aspects de l’engagement du conseil d’administration est qu’il est important, selon moi, de comprendre comment fonctionne le conseil dans d’autres domaines. Comment l’entreprise se perçoit-elle et parle-t-elle d’elle-même ? Quel est le langage à utiliser ? Quel est le contexte, car parler de sécurité isolément ne sert à rien. C’est la sécurité dans le contexte de l’entreprise qui est si importante. Et finalement, assurez-vous de bien comprendre le public. Les membres des conseils d’administration ont des compétences très différentes. Vous devez être capable de parler à chacun d’entre eux.

Ainsi, que nous soyons des leaders technologiques impliqués dans une conversation sur la sécurité ou des CISO nous-mêmes, le fait de bien comprendre ce public, la nature du conseil d’administration, la façon dont l’entreprise se perçoit et la manière dont la sécurité et la technologie s’intègrent dans cette conversation est vraiment un gage de succès.

Steve Schmidt :
Je voudrais compléter ce que vient de dire Chris. La plus grande erreur que nous constatons de la part des nouveaux dirigeants lorsqu’ils s’adressent à la plus haute direction ou à la haute direction de l’entreprise, comme un conseil d’administration, est de se concentrer trop sur les questions techniques, en particulier dans le domaine de la sécurité. Cela nuit à votre capacité à faire passer votre message à votre client qui est membre du conseil d’administration. Comme Chris l’a dit, nous devons parler dans le contexte de l’entreprise. Le fait qu’il s’agisse d’une vulnérabilité critique avec un score CVSS de 9,86 n’a pas d’importance, personne ne s’en préoccupe. C’est l’occasion pour un adversaire d’accéder à ce type d’informations appartenant à nos clients, ce qui a pour résultat, et cela a une probabilité raisonnable de se produire dans les 60 prochains jours. C’est une chose qu’un membre du conseil d’administration peut comprendre, plutôt que de se dire « C’est effrayant ». Je pense que c’est la contextualisation qui est extrêmement importante.

Sara Duffer :
Vous discutez tous les deux très régulièrement avec les clients. Quels sont les défis ou les problèmes actuels en matière de sécurité dont vous font part les clients ? Et que fait AWS pour aider ses clients dans ce domaine ?

Steve Schmidt :
Le premier est l’IA. De nombreuses personnes se demandent comment utiliser ce produit en toute sécurité. Comment utiliser l’IA de manière responsable. Comment recueillir des informations et s’assurer d’obtenir le bon accès à ces données lorsque c’est nécessaire, et d’empêcher l’accès lorsque ce n’est pas le cas. Lorsque nous discutons avec les clients, la première chose que je leur demande est la suivante : « Combien d’applications utilisent l’IA générative dans votre entreprise ? Le savez-vous à l’heure actuelle ? Pouvez-vous le mesurer régulièrement ? » La plupart des gens disent : « Ah oui, nous avons compté le mois dernier ou le trimestre dernier ou peu importe ». Et devinez quoi ? Votre développeur agit bien plus rapidement que cela. Nous avons dû créer des processus en interne, ce qui nous permet de voir chaque fois qu’un développeur appelle un moteur d’IA générative depuis son ordinateur portable professionnel ou depuis l’un des actifs de production que nous détenons au sein de l’entreprise.

Cela nous permet d’avoir une visibilité que nous pouvons transmettre à nos équipes de sécurité des applications pour les aider à comprendre ce qui se passe avec ce service en particulier. Lorsque nous avons commencé à faire ce décompte, il y a peu de temps, nous l’avons rapporté à Andy en lui disant : « Il y a plus d’un millier d’applications d’IA générative qui sont actuellement en cours d’exploitation ou de développement au sein de l’entreprise ». Et nous avons eu ce regard choqué : « Quoi ? Vous vous moquez de moi ? » Genre, non. Et d’ailleurs, cela augmente à un rythme extrêmement rapide, ce qui est une bonne chose, car cela signifie que nos développeurs sont vraiment en train de se lancer et d’aller de l’avant, mais cela signifie également que nos équipes doivent se bousculer et rester sur la bonne voie pour s’assurer qu’ils font les choses d’une manière raisonnable, appropriée, etc. Tout a commencé avec cette visibilité et la construction de ce moteur de visibilité en bas de la page.

Chris Betz :
Je pense que l’autre conversation que je finis par avoir est la suivante : quelles sont les capacités qui existent déjà au sein d’AWS lorsque les gens réfléchissent à la façon dont ils sont à la fois sécurisés et rentables ? Les gens ne veulent pas consacrer du temps et de l’énergie à des espaces où les solutions existent déjà ou dans lesquels les choses se passent déjà. L’un des points dont nous parlons le plus souvent est celui des architectures et des contrôles, en veillant à ce que les gens aient une bonne architecture, en examinant comment mettre en œuvre des contrôles simples et faciles à grande échelle. Je pense donc que c’est devenu pour nous l’une des conversations les plus fréquentes que nous avons en interne sur la manière de nous assurer que nous fournissons une sécurité simple à grande échelle pour ces clients. Les renseignements sur les menaces constituent un autre point de convergence, dont nous avons beaucoup parlé ces derniers temps. Les renseignements sur les menaces sont traités différemment selon les entreprises et les fournisseurs de cloud.

Notre approche consiste à intégrer ces renseignements sur les menaces au fonctionnement des systèmes de manière transparente. Nous avons donc passé beaucoup de temps à en parler parce que nous n’avions pas eu à en parler par le passé, mais il est important que les clients sachent à quoi s’attendre. À savoir que nous disposons d’une série de fournisseurs de renseignements sur les menaces, de pots de miel et de capteurs qui collectent des données tous les jours, plus de 100 millions d’interactions par jour rien que dans nos pots de miel. Et que ces technologies, ces données soient combinées à nos autres données de capteurs provenant de systèmes tels que Sonaris et nous permettent d’agir. Ce processus se produit sans que les clients aient à s’en rendre compte.

Nous sommes en mesure de fournir une protection contre différentes attaques une fois que nous avons identifié une adresse malveillante. Et ce trafic n’atteint même pas vos systèmes. Ainsi, au cours de l’année écoulée, nous avons rejeté plus de 24 milliards de tentatives d’énumération de compartiments S3, soit plus de 2 600 milliards de tentatives visant à découvrir des services vulnérables dans EC2. Et lorsque nous ne pouvons pas vous fournir cela automatiquement, lorsque nous n’avons pas ce degré de fidélité, nous sommes en mesure de l’intégrer directement à des outils tels que GuardDuty, etc. Les conversations que j’ai avec les responsables de la sécurité portent donc sur la manière dont ils peuvent exploiter la technologie déjà intégrée, à la fois des parties transparentes et des parties dans lesquelles nous fournissons des informations supplémentaires aux équipes de sécurité pour qu’elles puissent fonctionner.

Steve Schmidt :
De mon point de vue, il existe des données vraiment intéressantes qui renforcent un point que vous avez soulevé à propos du renseignement sur les menaces. Le renseignement sur les menaces est une chose incroyablement fragile. Ce que la plupart des gens ne réalisent pas, c’est que d’après ce que nous voyons sur Internet, environ 23 % de l’espace IP d’Internet se renouvèle toutes les trois minutes environ. Cela signifie que si votre fil de renseignements sur les menaces date d’une semaine ou d’un mois ou quoi que ce soit d’autre, vous êtes loin d’être à jour. D’autres questions portent sur l’immédiateté de l’action, dès que vous obtenez des renseignements sur les menaces. Lorsque nous exposons un pot de miel sur Internet, il faut moins de 90 secondes, 90 secondes, à un adversaire pour le découvrir, et moins de 3 minutes à cet adversaire pour tenter de l’exploiter. Dans ce cas, si votre développeur dit : « Oh, je vais juste ouvrir ce compartiment sur Internet, tout ira bien. Personne ne connait son existence ». Trois minutes : c’est le temps qu’il vous reste avant d’avoir un vrai problème. Soyez au courant de ce qui se passe à travers un flux de renseignements solide, et soyez en mesure d’agir rapidement. Et surtout, n’exigez pas qu’un humain soit au courant pour agir en conséquence. Veillez à ce que l’automatisation s’en charge.

Chris Betz :
Bien dit.

Sara Duffer :
Je vais passer à un sujet qui me tient à cœur, à savoir que dans le monde des réglementations en constante évolution, des certifications standard, etc., il s’avère difficile de rester au fait de cette conformité, de cette évolution de la conformité. Chris, peux-tu nous expliquer comment AWS envisage la conformité à grande échelle ?

Chris Betz :
Nous avons l’occasion d’en parler très souvent.

Sara Duffer :
Oui, nous le faisons.

Chris Betz :
Pour commencer, l’une des choses qui, selon moi, est incroyablement efficace en termes de mise en conformité à grande échelle, c’est de partir sur une base solide. Considérer la sécurité en termes de sécurité dès la conception, s’assurer que la sécurité est intégrée au processus de développement, constitue un excellent point de départ avant même d’avoir à penser à la réglementation ou à la conformité. Lorsque nous faisons les choses au mieux, la conformité est un effet secondaire intentionnel de ce travail de sécurité. Et pour être honnête, la plupart des organismes de réglementation le souhaitent également.

La raison de leur conformité est de garantir votre sécurité. Il est donc très important de concevoir un programme de sécurité axé sur la sécurité dans le but de démontrer et de prouver intentionnellement la conformité. Le troisième élément est qu’il ne suffit pas d’intégrer la conformité dès la conception dans vos processus de sécurité, vous devez être en mesure de la démontrer et de la prouver. Il est donc extrêmement important de pouvoir rassembler ces données, les rendre visibles et les faciles à comprendre pour les autres. L’ingénierie est également impliquée là-dedans. C’est un investissement qui en vaut la peine, mais vous passez plus de temps dans ce monde que moi, et je suis donc curieux de connaître votre point de vue.

Sara Duffer :
Les clients me parlent beaucoup en ce moment, principalement des programmes d’IA responsable et de la manière de les rendre opérationnels très rapidement. Il s’agit d’une discussion sur la possibilité, en raison de cette évolution très rapide, de partir du concept de conformité, qui est très ponctuel, très binaire, très axé sur le respect des règles et des réglementations, telles que la loi européenne sur l’intelligence artificielle, par exemple. Et d’être capable de faire évoluer rapidement ce programme vers un état d’esprit plus axé sur l’assurance et de fournir un niveau de confiance sur la qualité, la fiabilité et l’efficacité de la conformité que nous avons été en mesure d’illustrer. Comment pouvons-nous y parvenir ?

Très souvent, cela est généralement mis à profit par le biais de normes techniques. Par exemple, la norme ISO 42001, qui permet aux organisations de montrer aux clients finaux qu’elles opèrent, à la fois en déployant et en développant, en utilisant des pratiques d’IA responsable, puis en abordant tout cela du point de vue de la gouvernance. Dans ce contexte, comment s’assurer que l’organisation fait ce à quoi vous vous attendez réellement et comment rendre compte aux dirigeants et au conseil d’administration de ce que vous faites en matière d’IA responsable ? Et surtout, en faisant tout cela de manière à rencontrer les concepteurs là où ils se trouvent et à ne pas ralentir l’innovation. Vous êtes donc en mesure de placer la barre très haut tout en étant capable de le faire rapidement.

Sara Duffer :
Changeons donc un peu de sujet, Steve, je vais m’adresser à vous. Lorsque nous parlons de sécurité, nous abordons très souvent les nouvelles technologies et les mondes en évolution qui se présentent à nous. Mais en fin de compte, un acteur de menace est un acteur de menace et un être humain. J’aimerais en savoir un peu plus sur ce que vous pensez de la dimension humaine associée à la cybersécurité.

Steve Schmidt :
Certainement. Les dernières nouvelles, la sécurité informatique, la sécurité de l’information, la cybersécurité, peu importe comment vous voulez l’appeler, ne sont donc pas un problème technique. C’est un problème humain. L’une des choses que j’ai apprises il y a longtemps, lorsque je travaillais au FBI dans le domaine du contre-espionnage, c’est qu’il est certes intéressant de poursuivre les espions, mais qu’ils sont là pour une raison. Ils sont motivés par quelque chose. Traditionnellement, dans le monde de l’espionnage, il s’agissait d’argent, d’idéologie, de coercition ou d’ego. Il en va de même dans le monde de la cybersécurité. Les gens s’intéressent à l’argent. C’est votre acteur des rançongiciels. L’idéologie. C’est l’acteur traditionnel de votre État-nation qui recueille des renseignements ou prépare un champ de bataille. L’influence, qui est une nouveauté dans ce domaine, consiste à amener une population à penser d’une manière particulière, à modifier son opinion, à faire bouger les choses dans le monde. Ou l’ego. C’est le script kitty, qui veut vraiment devenir le hacker le plus gros et le plus méchant du marché et qui provoque une attaque DDoS dans ce cadre.

Quel intérêt avons-nous à savoir pourquoi ces personnes agissent de la sorte ou quelles sont leurs motivations ? Parce que cela nous aide à comprendre les types d’outils, les types de capacités dont ils disposeront, les domaines dans lesquels ils sont susceptibles de s’en prendre à nous et leur tolérance au risque ou à l’exposition. Par exemple, est-ce grave s’ils se font arrêter et que le FBI frappe à la porte, ou est-ce quelque chose qui n’a pas vraiment d’importance parce qu’ils sont actuellement assis dans un sous-sol en Biélorussie ou quelque chose comme ça ? C’est avec ce type de spectre que nous devons travailler pour comprendre ce que nous devons faire en tant que défenseurs et comment nous construisons des systèmes qui aident à empêcher ces personnes d’accéder au système.

Ce qui est intéressant, c’est que le même état d’esprit doit être appliqué à nos propres employés. Nos propres employés sont tous bien intentionnés. Ils veulent faire ce qu’il faut, ils veulent aider, etc. Mais avouons-le, ce sont aussi des humains. Ils ont donc parfois des problèmes d’argent. Parfois, ils n’aiment pas la direction que prend quelque chose. Parfois, ils passent juste une mauvaise journée. Par conséquent, en tant que défenseurs, nous devons être prêts à comprendre ce qu’ils font, pourquoi ils le font et comment nous allons nous assurer qu’ils ne font pas quelque chose qu’ils ne devraient pas faire.

Mais l’élément vraiment important de la cybersécurité et des personnes au sein d’une entreprise est en grande partie la culture de l’entreprise. La culture de sécurité d’une entreprise déterminera son succès ou sa chute. Nous avons tous observé les conséquences d’une culture de sécurité déficiente dans l’actualité. Vous vous retrouvez avec des acteurs d’États-nations qui s’introduisent par effraction dans une organisation à plusieurs reprises pour l’exploiter à leur avantage. Pourquoi ? Parce que les employés de l’entreprise n’étaient pas mesurés ou motivés par les bonnes choses.

Ils n’étaient pas motivés par la protection de vos données ou de vos informations. Ils étaient destinés à autre chose. Il s’agit donc de développer votre culture, selon laquelle la chose la plus importante pour vous, en tant que personne, développeur dans mon entreprise, est, premièrement, d’assurer votre sécurité physique et, deuxièmement, de protéger les données de vos clients. Parce que cela leur permet de prendre de bonnes décisions à chaque fois qu’ils réfléchissent à quelque chose. « Dois-je aller à gauche ? Dois-je y aller à droite ? Dois-je faire une chose ? Dois-je en faire une autre ? Dois-je demander de l’aide parce que je ne sais vraiment pas ? Permettez-moi de trouver un expert dans ce domaine. »

Et je pense que l’intérêt de s’assurer que vous avez la bonne culture est que cela vous permet de réduire les coûts à terme, car vous n’avez pas à nettoyer les dégâts causés par quelqu’un parce qu’il agissait rapidement pour atteindre un objectif de profit, de marge ou de livraison, au lieu de garantir la sécurité de vos clients finaux dans les entreprises.

Sara Duffer :
Cela me facilite également la vie dans le domaine de l’assurance de la sécurité. C’est un bon résultat. Chris, pour ce qui est de la culture, nous parlons beaucoup chez AWS du fait que la sécurité est une priorité absolue. Parlez-moi un peu de la façon dont nous procédons réellement. Comment créez-vous cette culture ?

Chris Betz :
À mon avis, l’une des raisons pour lesquelles la culture est si importante est qu’elle ne conduit pas seulement à un investissement à long terme, mais que toutes les entreprises que je connais s’efforcent de former, de fournir des outils, de mettre en place des capacités en matière de cybersécurité. Et l’un des principaux facteurs de différenciation est la culture. Parce que la sécurité est en constante évolution. Pour revenir à votre conversation de tout à l’heure, je ne peux pas vous dire combien de fois nous avons fini par parler d’IA récemment, n’est-ce pas ? L’IA est en constante évolution. Et cette capacité d’adaptation, cette capacité à lever la main et à dire : « Vous savez quoi ? Je vois un conflit ici, ou je vois une meilleure façon d’assurer la sécurité ». Réfléchissons-y. Pouvons-nous faire mieux ? Ne vous contentez pas de suivre aveuglément le processus et les outils, mais posez la question.

Ou : « Je pense qu’il manque quelque chose à ces processus et outils. Je vois ce risque, je vois ce problème. Comment aborder ce sujet ? ». Ces choses sont extrêmement importantes. Ainsi, comme vous l’avez dit, la culture porte ses fruits au fil du temps d’une manière étonnante. Construire cette culture demande du temps et de l’énergie. Cela commence par le haut. Cela commence par l’alignement de la culture sur le mode de fonctionnement de l’organisation. Cela consiste en partie à vous dire qui nous sommes. C’est autant interne qu’externe, comme le dit Matt : « Tout commence par la sécurité ».

Et puis, c’est la façon dont les gens passent leur temps. Steve et moi avons parlé des réunions hebdomadaires organisées par notre PDG. Encore une fois, il est extrêmement important de s’assurer que cela fait partie du fonctionnement de l’organisation. Une fois que la sécurité est intégrée à la culture de l’entreprise, il est important de souligner que la sécurité est l’affaire de tous. Chaque personne a un rôle spécifique. C’est l’occasion de lever la main et de dire : « Nous devons faire quelque chose de différent. Nous pensons qu’il nous manque quelque chose. Je suis perplexe. Je n’en suis pas sûr ». En matière de sécurité, tout le monde doit comprendre que la sécurité est son travail et qu’il nous appartient, en tant que responsable de la sécurité, de rendre ce travail aussi facile que possible. Parce que si les gens passent leur temps à se concentrer sur la sécurité à chaque étape, cela ne fera qu’ajouter de la friction à l’organisation. Ce qui va de pair avec le fait de faire de la sécurité l’affaire de tous, c’est de faire en sorte qu’il soit facile et naturel pour les gens de faire de la sécurité. Cela signifie que la sécurité doit être distribuée dans l’ensemble de l’entreprise. Nous devons nous assurer que la formation, les connaissances et les capacités sont bien conçues pour garantir que cela se produise dans l’ensemble de l’organisation.

Enfin, nous devons être prêts à investir. Nous devons être prêts à investir dans l’innovation qui améliore la sécurité. Nous devons être prêts à investir dans l’innovation qui facilite la sécurité. Parce que si vous ne le faites pas, vous finissez par vous retrouver dans le passé et vous ne pourrez jamais avancer en tant qu’organisation. L’un des moyens d’y parvenir est de mettre en place un programme de gardiens de sécurité, dans le cadre duquel nous comptons sur nos employés, nous les formons sur des questions de sécurité approfondies au sein des équipes de service, au sein des équipes d’ingénierie, afin qu’ils puissent s’assurer que les gens pensent à la sécurité très tôt et en permanence pendant les processus de développement et qu’ils possèdent les connaissances nécessaires. Cela contribue à rendre les choses très, très évolutives. Il y a donc une chose que vous pouvez tous faire avec vos équipes, c’est d’examiner de très près la possibilité de créer un programme de gardiens de sécurité et comment créer une culture de la sécurité au sein de notre entreprise.

Sara Duffer :
D'accord. Quelles sont donc les trois questions que les chefs d’entreprise présents dans la salle peuvent poser à leurs programmes de sécurité et de conformité ?

Chris Betz :
Je vais vous en donner une que j’aime toujours poser. Je ne sais pas combien d’entre vous, leaders technologiques, ont ce que nous appelons une organisation d’outils de création ou d’outils de développement. En tant que responsable de la sécurité, ces organisations sont mes organisations préférées dans l’ensemble de l’organisation. Si vous n’en avez pas, ce sont ces équipes qui élaborent des outils qui simplifient la vie de vos développeurs. Il y a là un énorme effet de levier. S’il y a un endroit où j’adore voir les entreprises mettre en valeur leurs meilleurs talents, c’est dans l’organisation des outils de création, car dans une seule organisation, vous pouvez améliorer considérablement tous vos processus de développement. Du point de vue de la sécurité, c’est là que réside l’avantage. Parce que vous pouvez intégrer vos connaissances et vos capacités de sécurité à ces outils, bénéficier d’une capacité de mise à l’échelle massive et faire de la sécurité une évolution naturelle.

La question que je retiendrais si j’étais vous tous est de demander à vos responsables de la sécurité et à vos responsables des outils de création quelles sont leurs relations, dans quelle mesure ils travaillent ensemble et dans quelle mesure tous les résultats de sécurité que vous recherchez sont intégrés à la fonctionnalité des outils de création.

Sara Duffer :
Steve ?

Steve Schmidt :
Il s’agit en quelque sorte de répéter ce que j’ai dit précédemment, à savoir demander à vos équipes : « Où développons-nous actuellement des applications d’IA générative ? ». Ensuite, demandez à vos équipes : « Quel est le mécanisme que nous avons mis en place pour savoir demain où nous créerons des applications GenAI, et quelle est la latence entre le moment où quelqu’un en crée une nouvelle et nous en prenons connaissance ? ». Et vous constaterez que, dans de nombreux cas, la réponse est : « Chercher, chercher, chercher. Vite, trouver des données. Voici la réponse. » Génial. Nous sommes déjà au lendemain. D'accord.
        
Vous avez besoin d’une méthode, d’un mécanisme, d’un outil qui vous permette de le faire régulièrement, de vous tenir au courant, de vous assurer que vous êtes des opérateurs et des gérants responsables de cette infrastructure, et que vous pouvez être des propriétaires responsables des données que vous collectez pour le compte de vos clients.

Le deuxième élément concerne les barrières de protection que vous avez mises en place et l’existence d’un mécanisme de mise à jour de ces barrières au fur et à mesure de l’évolution du monde de l’IA générative. Depuis que nous avons pris place sur cette scène, le monde de l’IA générative a progressé de manière incroyable. Il y a quelque chose de nouveau qui se produit. Une personne intelligente a imaginé une nouvelle façon de causer un problème avec le modèle de fondation, et nous devons être en mesure de nous en défendre. Quelle est donc la méthode d’itération rapide pour influencer les barrières de protection dont vous disposez autour de vos applications d’IA générative ?

Sara Duffer :
Je pense que tu as triché. Je pense qu’il y en avait deux. Moi aussi, je vais tricher un peu. Et je dirais qu’il s’agit essentiellement de demander aux équipes comment elles garantissent réellement la conformité. Ce que je veux dire par là, c’est qu’il ne s’agit pas simplement de savoir, sur le moment, si nous sommes en mesure de déterminer si nous sommes conformes aux différentes normes, lois, etc., mais aussi de comprendre comment vous pouvez obtenir une assurance continue au fil du temps afin de vraiment déterminer le coût des concepteurs.

Je dirais donc qu’il y a deux questions essentielles : comment vous conformez-vous à vos pratiques internes ou aux lois, etc., et quel est le coût pour les concepteurs, ce qui est très important parce que vous voulez être en mesure d’innover très rapidement et vous voulez vous assurer que vous surveillez combien cela coûte à vos concepteurs tout en vous assurant que vous restez en conformité.

En conclusion, la dernière question que j’ai est la suivante : en discutant régulièrement avec les clients, quel est le meilleur conseil que vous puissiez donner aux clients pour qu’ils approuvent immédiatement leur posture de sécurité ?

Chris Betz :
Pour votre entreprise interne et pour vos clients, trouvez des moyens de mettre en œuvre des clés d’accès. L’abandon des mots de passe ne fait que changer la donne pour vos employés et pour vos clients. Profitez de cette technologie. C’est un grand pas en avant. Mettez cela en œuvre dès aujourd’hui.

Steve Schmidt :
Non seulement c’est beaucoup plus sécurisé, mais c’est aussi une meilleure expérience utilisateur. C’est tellement fluide. Concentrez donc vos techniciens sur ce point et découvrez pourquoi ils ne le font pas déjà.

Le second point est beaucoup moins intéressant que les clés d’accès et ses avantages en matière de sécurité. La gestion des vulnérabilités. Corrigez vos produits. C’est la meilleure défense que vous ayez contre les gens.

Chris Betz :
Ou demandez-nous de le corriger pour vous.

Steve Schmidt :
Exactement.

Chris Betz :
Utilisez les Lambdas et d’autres outils.

Steve Schmidt :
Tout à fait.

Sara Duffer :
Eh bien, merci beaucoup de nous avoir rejoint aujourd’hui et merci encore pour le temps que vous m’avez accordé.

Écouter maintenant

Écouter maintenant

Écouter maintenant