Right-sizing security across Amazon businesses (Ajustement de la sécurité dans les entreprises Amazon)

Clarke Rodgers:
Steve, merci beaucoup de m'avoir rejoint aujourd'hui.

Steve Schmidt :
Je suis content d'être ici. ici.

Clarke Rodgers :
Ça faisait longtemps que nous n'avions pas parlé. En fait, j'ai fait le calcul hier soir. Ça doit faire environ quatre ans.

Steve Schmidt :
Eh bien...

Clarke Rodgers :
Quand on repense à ce qui se passé il y a quatre ans, on était en pleine pandémie. Vous et moi avions fait un entretien à distance, et vous occupiez un rôle différent, n'est-ce pas ? Vous étiez responsable de la sécurité de l'information chez AWS. Peu de temps après cet entretien, Andy a accédé au poste de PDG d'Amazon, et l'une des premières choses qu'il a faites a été de vous intégrer en tant que directeur de la sécurité. Pouvez-vous m'expliquer un peu pourquoi il a fait ça ?

Steve Schmidt :
Bien sûr. L'une des choses qu'Andy apprécie vraiment, c'est de comprendre comment nous protégeons les informations de nos clients. C'est né d'une nécessité chez AWS, car c'est un élément fondamental de l'entreprise elle-même. Vous ne pouvez pas avoir une entreprise comme AWS si vous n'êtes pas en mesure de garantir correctement la sécurité.

Et lorsqu'il a pris ses nouvelles fonctions, il a voulu adopter le même état d'esprit et l'appliquer à tous nos clients issus de l'incroyable diversité des activités qu'Amazon exerce actuellement. Il voulait s’assurer qu'il y a quelqu'un dont le travail quotidien consiste à surveiller ce genre de choses. Il m'a donc demandé de passer à la vitesse supérieure et de prendre le relais.

Clarke Rodgers :
Donc, directeur de la sécurité, mais il manque le mot information, non ? Donc vous êtes directeur des ventes. Nous avons eu quelques entretiens avec des clients qui ont également laissé tomber le « i ». Pouvez-vous m'expliquer pourquoi il est si important, en tant que directeur de la sécurité, de ne pas divulguer des informations spécifiques ?

Steve Schmidt :
Bien sûr. Ainsi, lorsque vous examinez la protection de l'information, qui est la véritable devise de notre domaine, elle comporte certainement la composante logique à laquelle les gens sont habitués au poste de RSSI. Mais nos adversaires ont de plus en plus recours à des humains pour rechercher des informations qui sont plus difficiles à obtenir d'un point de vue logique.

Il y a donc eu une sorte de balancier dans l'industrie, et il y a longtemps, si vous y réfléchissez bien, les gens avaient des espions, des espions physiques qui entraient et récupéraient des copies de documents ou ce genre de choses. Lorsque nous sommes passés à Internet avec des systèmes informatiques, eh bien, il y a eu une nouvelle opportunité. Introduisons-nous dans ces trucs à distance, et cetera. Alors que les entreprises s'efforcent de mieux sécuriser ces informations, qu'elles se trouvent dans sur site ou ailleurs, eh bien, les gens redeviennent des espions.

Nous devons donc intégrer la protection de nos actifs physiques et de nos actifs informationnels, de nos actifs logiques, afin d'avoir une vision complète de ce que nous faisons des données de nos clients et de la manière dont nous les protégeons, de la même façon qu’avec les données de notre entreprise. Parce que, bien souvent, nos adversaires nationaux se concentrent non seulement sur l'accès aux données de nos clients, mais aussi aux informations concernant l'orientation future de nos activités.

Comment créons-nous la prochaine série de produits ou de services très intéressants, qu'il s'agisse d'un satellite ou d'un véhicule robotique ? Ils ont une valeur incroyable pour les pays du monde entier, mais également pour les entreprises qu'ils soutiennent. En tant que professionnels de la sécurité, nous devons donc examiner cette image complète de l'identité de nos adversaires et de la manière dont nous nous protégeons contre eux.

Clarke Rodgers :
Bien sûr. Alors que vous avez assumé le rôle de directeur des ventes et que vous êtes maintenant chargé des rapports de sécurité physique, j'imagine que le langage des professionnels de la sécurité de l'information et celui des responsables de la sécurité physique peuvent être différents. Comment s'y prendre pour intégrer ces deux éléments afin qu'ils parlent la même langue et puissent travailler ensemble efficacement ?

Steve Schmidt :
Bien sûr. Il s'agit donc moins du choix des mots qu'ils utilisent, car ils ont leurs propres langages. Vous avez tout à fait raison. Le plus important, c'est de comprendre quel est leur objectif final, comment vous allez mesurer vos progrès vers cet objectif et, surtout, d'identifier les points de transfert ou les écarts entre le monde physique et le monde logique.

Pensez-y de cette façon : si je suis dans le monde physique, j'empêche les gens d'entrer dans les bâtiments et j'empêche nos adversaires d'être embauchés par l'entreprise. Mais si un adversaire pénètre dans un bâtiment, est-ce intéressant du point de vue de la sécurité de l'information ? S'ils sont dans un hall d'entrée, c'est une chose. S'ils se trouvent dans un placard contenant un tas de commutateurs réseau, c'est complètement différent. Nous devons donc relier ces deux éléments afin de nous faire une idée précise de ce qui se passe.

Clarke Rodgers :
Avez-vous dû créer des outils pour relier ces ponts ?

Steve Schmidt :
Oui, c'est à la fois une combinaison d'outils et de processus que nous avions mis en place. Les outils sont donc en constante évolution. Nous nous améliorons toujours en théorie, dans la recherche de moyens de collecter, d'analyser et d'utiliser les données. Ce qui devient plus intéressant et plus difficile, en fait, c'est de déterminer comment transférer cela entre les différents services de l'entreprise, et comment s'assurer qu'ils ont accès aux éléments nécessaires pour... faire leur travail, sans pour autant les submerger de données qui les empêcheraient de trouver les éléments importants parmi les énormes quantités d'informations que nous collectons.

Et c'est là que la composante du processus entre en jeu. Il s'agit souvent de réunir des éléments qui peuvent être sensibles, qui le sont, etc., et de trouver des moyens de s'assurer qu'ils sont transférés d'un secteur de l'organisation à un autre. Et cela nécessite vraiment des personnes hautement qualifiées. Il faut des humains qui savent que, d'accord, cela peut sembler anodin en soi, mais combiné à cette autre chose que nous avons vue, c'est vraiment intéressant. Malheureusement, il n'existe pas encore de système capable de le faire. Peut-être qu'avec un peu de formation à l'IA dans le futur, nous serons en mesure d'y arriver, mais ça n'est pas le cas pour le moment.

Clarke Rodgers :
C'est très, très intéressant. Vous avez lancé le programme de sécurité d'AWS. Vous connaissez donc AWS de bout en bout, comment le sécuriser, quelles sont les menaces qui pèsent sur lui, quelle est la propension au risque, etc. Comme vous avez accédé au poste de directeur des ventes, vous pouvez désormais en savoir plus sur amazon.com ou ce que nous appelons les boutiques internes, Whole Foods, Prime Video, MGM, Twitch, toutes ces différentes organisations.

Tout d'abord, comment vous êtes-vous familiarisé avec le profil de sécurité de chacune de ces entreprises, et en avez-vous évalué la propension au risque, puis comment avez-vous regroupé tout cela ? Donc, le terme courant, le seul panneau de verre qui vous permet de penser que le profil de risque de Whole Foods est approprié, que celui d'AWS est également approprié pour AWS, comment avez-vous compris tout cela ?

Steve Schmidt :
Tout d'abord, l'une des choses que j'aime dans mon travail, c'est la diversité des entreprises. On dit souvent que vous occupez ce poste depuis 16 ans. C'est vraiment inhabituel pour quelqu'un qui travaille dans le secteur de la sécurité. Pourquoi ? C'est grâce à la diversité de travail de cette entreprise. C'est l'occasion de continuer à apprendre, et j'adore ça.

Je ne suis pas tout jeune. Les gens disent « Combien de temps allez-vous continuer à travailler ? » « Allez-vous prendre votre retraite ? » Et je me dis que de mon côté, je m'amuse bien. Non, je n'en ai pas envie. C'est vraiment très amusant. Et c'est parce que vous passez de la création du plus grand fournisseur cloud au monde à l'installation de satellites dans l'espace et à la gestion d'épiceries. La diversité qui y règne représente tout simplement un défi incroyable du point de vue commercial, mais c'est également une opportunité intéressante de tirer parti de la taille de l'entreprise pour réduire les coûts d'exploitation.

Lorsque vous examinez les organisations de sécurité opérationnelles, elles ne sont pas bon marché. Mais lorsque vous pouvez les étendre à une entreprise aussi grande que celle d'Amazon, cela signifie que le coût unitaire peut être réduit.

Clarke Rodgers :
Bien sûr.

Steve Schmidt :
Ainsi, chaque entreprise bénéficie de la taille des autres entreprises. Et donc, trouver des moyens permettant à une épicerie de tirer parti de la même sécurité qu'une entreprise de satellites, ce qui est possible dans de nombreux domaines, comme par exemple la gestion des vulnérabilités, le fait qu'un système informatique soit patché, n'est pas fondamentalement différent selon que l'on construit des satellites ou que l'on exploite une épicerie.

Cela nous permet de faire les choses à un niveau qu'une entreprise autonome ne pourrait vraiment pas se permettre, et de placer la barre plus haut pour tout le monde. Et cela fait partie de mon travail ici, qui consiste à m'assurer que nous avons une barre standardisée dans l'ensemble de l'entreprise, qu'il s'agisse de la gestion des vulnérabilités, de la réponse aux incidents ou de tout autre composant d'une organisation de sécurité classique.

Ensuite, déterminez quels sont les composants sur mesure qui doivent être mis en place pour des entreprises particulières en raison de leur situation unique. De cette façon, nous n'essaierons pas d'appliquer le type de solution unique à tout le monde, car cela ne ferait qu'augmenter les coûts. Si vous considérez une épicerie par exemple, la perte d'une unité a une valeur relativement faible, alors que la perte d'un satellite est tout le contraire.

Clarke Rodgers :
Bien sûr.

Steve Schmidt :
Nous devons donc adapter la situation de sécurité à chaque composant.

Clarke Rodgers :
Comment arrivez-vous à tenir... Je vais y revenir. Les responsables de la sécurité de l'information gèrent les programmes de sécurité de chacune de ces autres entreprises. Comment les responsabilisez-vous dans la gestion de leurs activités de sécurité ?

Steve Schmidt :
L'une des choses sur lesquelles Amazon se concentre le plus au sein de l'entreprise est donc l'idée d'un propriétaire mono-thread. Il s'agit donc d'une personne dont le travail consiste à se concentrer sur un seul élément d'un projet. Et en matière de sécurité, c'est pourquoi nous avons un RSSI pour chaque entreprise, et ce, pour deux raisons.

D'une part, je veux quelqu'un qui se concentre chaque jour sur ce sujet, que ce soit Amy Herzog, qui s'occupe des appareils et de l'espace Kuiper, ou Chris Betz, qui s'occupe d'AWS. Mais en même temps, j'utilise des mesures communes pour tous ces éléments. Par exemple, je regarde une revue commerciale mensuelle sur la gestion des vulnérabilités, qui englobe l'ensemble de l'entreprise et utilise les mêmes chiffres, les mêmes méthodologies, les mêmes méthodes de présentation, etc.

Nous obtenons donc une vision commune qui est cohérente dans chacune de ces entreprises. Et cela nous permet de faire deux choses. La première consiste à nous assurer que nous atteignons la barre requise, et la seconde est de nous assurer que nous appliquons la visibilité que nous souhaitons à tous les niveaux de l'entreprise. Parce que très souvent, lorsque les gens ont des problèmes, ils pensent, « Oh, ce n'est pas quelque chose d’important, ce n'est qu'un petit truc », etc.

C'est là que le méchant entre en scène et que nous nous faisons tous mordre. Ainsi, en donnant ce genre de supervision de 10 000 pieds sur tout, nous nous assurons de faire ce qu'il faut dans chaque secteur de l'entreprise.

Clarke Rodgers :
Et puis il y a les systèmes centralisés sous l'égide de la sécurité Amazon ou d'AMSEC dont tout le monde peut profiter.

Steve Schmidt :
Il y a donc beaucoup de choses qui sont fondamentalement les mêmes dans toutes nos activités. La façon dont on collecte certains types de données, dont on analyse ou rapporte ces données, et plutôt que de demander à chaque entreprise de faire la même chose encore et encore, nous décidons de les regrouper au même endroit. Cela nous permet d'économiser du temps pour les développeurs, par exemple.

Donc, si vous envisagez de gérer une entreprise à grande échelle, nous reviendrons après sur la gestion des vulnérabilités, le moteur de collecte pour cela, c'est que vous devez avoir des ingénieurs de garde. Si vous avez déjà géré une organisation de garde, ce qui est le cas, vous avez compris que pour avoir une personne de garde, vous devez avoir environ sept personnes pour que ce soit fait efficacement, afin de tenir compte des congés et des vacances et tout le reste.

Clarke Rodgers :
Nous voulons que les gens prennent des vacances.

Steve Schmidt :
C’est exact. Ainsi, en répartissant cela entre différentes entreprises à partir d'un seul endroit, nous sommes plus efficaces, car nous obtenons de meilleurs outils de manière centralisée et à moindre coût.

Clarke Rodgers :
Quelles pratiques avez-vous développées ou suivies pour signaler l'état de sécurité de toutes ces entreprises disparates au conseil d'administration d'Amazon ?

Steve Schmidt :
Tout d'abord, le conseil d'administration d'Amazon est très intéressant. Il existe très peu de conseils d'administration dotés de la même expertise technique que celui d'Amazon, mais Amazon a également choisi il y a plusieurs années de créer un sous-comité de sécurité. Ainsi, contrairement à de nombreux domaines où la sécurité peut, par exemple, relever du comité d'audit, il existe un groupe de personnes dédiées dont le travail consiste simplement à examiner la sécurité au sein du conseil d'administration d'Amazon.

C'est formidable, et cela signifie également que nous faisons l'objet d'un examen minutieux au cours du processus. Nous avons donc dû créer un mécanisme de reporting qui évolue au fil du temps pour deux raisons. La première, c'est que nous faisons de mieux en mieux notre travail en matière de reporting. La seconde, c'est que le conseil d'administration est de mieux en mieux informé au fil du temps. Ils posent des questions plus pertinentes et souhaitent en savoir plus sur les niches de l'entreprise. Nous trouvons généralement qu'il est important de leur rendre compte des aspects spécifiques de l'entreprise à chaque fois que nous discutons. Respectons-nous notre barre de sécurité à certains endroits ?

De plus, ils ont des sujets qui les intéressent vraiment, parlez-nous de cette partie particulière de l'entreprise ou de cette chose dans laquelle nous nous lançons et qui, selon nous, comporte beaucoup de risques, alors donnez-nous un aperçu de bla, bla, bla. Et cela nous permet d'avoir une composante cohérente, une composante variable qui est basée sur leur intérêt.

Ensuite, nous décidons de mettre à la fin une section intitulée « actualités », où nous prenons toutes les informations que vous avez vues dans les actualités, nous les résumons en fonction des sujets qui, selon nous, comportent des leçons ou des points particuliers pour nous et les présentons au tableau sous forme d'élément informatif à la fin. Voici un événement qui s'est produit dans le secteur, et pourquoi nous n'avons pas été touchés.

Voilà l'investissement qui nous a permis de ne pas être affectés. Et je pense que cela a énormément de valeur pour le conseil d'administration. Tout d'abord, ils savent que nous sommes dans une bonne position, mais en plus, cela permet de prendre des décisions d'investissement éclairées pour l'avenir. Donc, comme nous avons investi dans l'authentification multifactorielle il y a huit ou dix ans, cela a empêché cet acteur de menace particulier qui s'est introduit dans cette autre grande entreprise de nous affecter, et c'est bien. Quels sont les autres investissements que nous devrions planifier dès maintenant pour nous aider dans 10 ans à continuer d'éviter les problèmes ?

Clarke Rodgers :
Beaucoup de nos clients RSSI se concentrent sur le conseil d'administration. Certains d'entre eux ne reçoivent pas autant de FaceTime que d'autres. Et vous avez déjà expliqué que notre conseil d'administration est unique grâce à son bon sens en matière de sécurité. Quelles recommandations donneriez-vous à vos pairs RSSI ou aux directeur des ventes qui relèvent de leur conseil d'administration pour vraiment les aider à faire valoir leurs points, à parler la langue du conseil d'administration, etc. ?

Steve Schmidt :
Donc, la principale chose que j'ai entendue de la part des membres du conseil d'administration pour expliquer pourquoi ils aiment notre façon de faire les choses, c'est que nous faisons très attention à éviter le jargon. De nombreuses personnes occupant des postes de RSSI sont techniques et souhaitent rendre compte des choses de manière à ce que

Clarke Rodgers :
Les bits et les octets.

Steve Schmidt :
Exactement, ils reflètent la façon dont ils y pensent. Car il ne faut pas oublier que c'est le conseil d'administration qui est le client. Ainsi, lorsque nous leur faisons une présentation, nous devons parler leur langue et trouver des moyens d'expliquer les choses dans un contexte qui soit logique pour ce conseil d’administration en particulier.

Il faut donc trouver un mécanisme de signalement cohérent plutôt que le modifier à chaque fois, car cela le rendrait plus difficile à comprendre, en gros. Ensuite, il faut déterminer quels sont les deux ou trois indicateurs vraiment très importants que vous voulez faire apparaître à chaque fois.

Ne noyez pas les gens dans les statistiques. Par exemple, nous publions toujours des rapports sur la gestion des vulnérabilités. Il s'agit du contrôle de sécurité fondamental le plus important que nous appliquons et, je pense, que tout le monde applique, pour ensuite déterminer quels sont les éléments qui constituent des ajouts intéressants à la fin, qui aident à définir dans quoi nous devrions investir, et donc à établir cette séparation intentionnelle entre les différents éléments du processus de reporting.

Clarke Rodgers :
Si nous investissons ici, réduisons-nous les risques là ?

Steve Schmidt :
Oui, c'est une combinaison de réduction des risques actuelle et de réduction prospective, et l'aspect prospectif est probablement la partie la plus difficile de notre travail en tant que professionnels de la sécurité, car nous n'avons aucune preuve d'existence à utiliser. Et beaucoup de gens le regardent et se demandent « Est-ce vraiment nécessaire ? »

« Devons-nous le faire maintenant ? » « Devons-nous voir aussi grand ? » « Pouvons-nous faire plus petit ? » Ce sont les arguments que nous devons tous avoir et nous devons être en mesure de constituer ce type de base de connaissances au sein du conseil d'administration au fil du temps et de dire : ce sont des exemples d'exploitation réelle de choses qui ressemblent à ceci, et nous pensons que cela s'appliquera à nous dans ce laps de temps. Nous devons donc agir maintenant ou dans deux ans ou dans trois ans, peu importe.

Clarke Rodgers :
Je comprends. Chez Amazon, nous sommes connus pour notre innovation, notre travail à rebours, notre écoute de nos clients, etc. En tant que responsable de la sécurité, vous avez de nombreux choix, et cela peut être dû au fait que vos RSSI vous rendent des comptes, vous avez le choix entre les outils que vous achetez et ceux que vous devez créer. Cela se résume souvent à une question d'échelle.

Donc, les logiciels commerciaux prêts à l'emploi peuvent s'adapter ou non à l'échelle d'Amazon, et alors il faut en créer soi-même. L'année dernière, nous avons parlé publiquement d'outils tels que Madpot, Mithra et Sonaris. En tant que directeur des ventes, comment faites-vous pour obtenir les fonds nécessaires pour affecter les ressources d'ingénierie à des outils comme celui-ci, et j'imagine les nombreux autres outils dont nous n'avons pas parlé, comment faites-vous valoir que cela vaut votre investissement et quelle valeur vous allez en retirer ?

Steve Schmidt :
Bien sûr. Faisons d'abord la différence entre un outil acheté et un outil que nous créons. Je pense que c'est un point de départ important. Nous achetons des outils lorsqu'il s'agit d'articles de base. Par exemple, la réponse de détection des points de terminaison, nous l'achetons au lieu de la créer nous-mêmes. Pourquoi ? Parce que les ordinateurs portables Mac, les ordinateurs portables Windows et les ordinateurs portables Linux que nous utilisons sont les mêmes que ceux que beaucoup d'autres personnes utilisent également.

Nous avons peut-être quelques logiciels différents, mais cela ne différencie pas vraiment notre entreprise. Alors que nous sommes les seuls à pouvoir créer un système à très grande échelle tel que Madpot, par exemple. Quand nous pouvons créer quelque chose que personne d'autre ne peut faire, c'est là que nous avons tendance à investir.

Nous procédons à ce processus d'investissement de la même façon que nous le faisons pour beaucoup d'autres choses. Vous faites un prototype, vous l'essayez, vous voyez ce qui fonctionne. Vous savez que vous n'allez pas faire les choses correctement du premier coup. Vous devez donc remanier certaines choses, modifier un peu, etc. Aujourd'hui, Madpot connaît un succès incroyable, mais il n'est pas apparu du jour au lendemain. C'est un investissement de très nombreuses années qui a commencé avec un seul ingénieur qui a dit « J'aime vraiment cette idée ». Allons voir s'il peut y avoir quelque chose d'intéressant.

Ensuite, il a été transformé en ce moteur qui nous permet d'acquérir des données de renseignement sur les menaces en temps réel, que nous pouvons extraire, traiter et intégrer aux outils de sécurité auxquels tous nos clients ont accès. Et je pense que c'est la partie la plus importante. Ainsi, par exemple, beaucoup de nos clients disent : « Oh, je veux un flux de renseignements bruts sur les menaces ».

Et en fait, non, vous ne le voulez pas. Ce que vous voulez vraiment, c'est ce qui est pertinent pour vous dans le contexte dans lequel vous évoluez actuellement. Le reste n'est que parasite, et le volume actuel est si énorme qu'il est inutile d'essayer de tout digérer à moins d'avoir une entreprise comme la nôtre.

Beaucoup de nos clients ont donc découvert qu'ils aimaient vraiment utiliser des éléments tels que les renseignements sur les menaces dans le cadre d'un service géré. Cela leur permet de ne pas avoir à passer leur temps à parcourir de très grandes piles de données ou à manquer de contexte parce que ces données n'ont pas été appliquées à plusieurs clients.

Et cette question de contexte est importante. C'est là que la visibilité centralisée, qui nous ramène à la question initiale de la banalisation par rapport aux créations personnalisées, apporte un réel avantage.

Clarke Rodgers :
Et puis, je suppose que l'argument interne, faute de meilleur mot, c'est que cela nous aide à sécuriser AWS slash Amazon et à apporter des avantages à nos clients. Ce que je veux dire, c'est que c'est une victoire.

Steve Schmidt :
Et dans le langage typique d'Amazon, nous commençons par les clients en premier, alors disons que cela aide tous nos clients à mieux se protéger. En même temps, cela nous aide dans nos activités, car la plupart de nos entreprises sont de toute façon clientes d'Amazon AWS. C'est donc bénéfique à tous les niveaux.

Clarke Rodgers :
C'est idéal. Changeons un peu de sujet. L'année qui vient de s'écouler a été l'année de l'IA générative. La majorité de nos clients avec qui je parle se concentrent sur la sécurisation de l'IA générative en tant qu'outil utilisé par les entreprises. Il s'agit peut-être d'un outil tiers, ou peut-être qu'ils utilisent Amazon Bedrock, peu importe le cas. Mais sécurisons l'outil. Que voyez-vous ou que faisons-nous au sein d'Amazon en utilisant réellement l'IA générative comme outil de sécurité ou dans le cadre de votre chaîne d'outils de sécurité ?

Steve Schmidt :
L'utilisation la plus efficace de l'IA générative que nous ayons vue jusqu'à présent a été dans le processus de sécurité des applications lui-même. Ainsi, comme vous le savez sur AWS, chaque application fonctionnelle, etc., qui sort, fait l'objet d'un examen de sécurité avant son lancement. D'autres entreprises n'ont pas eu ce luxe par le passé parce que cela coûte incroyablement cher, surtout si l'on considère que cela implique littéralement des milliers d'ingénieurs en sécurité qui se concentrent sur cela.

La plupart des entreprises ne disposent pas du nombre total d'ingénieurs en sécurité que nous avons uniquement pour le travail AppSec chez Amazon. L'IA générative nous donne donc un avantage considérable dans ce domaine. Je dirais que c'est encore à un stade scientifique, mais c'est très prometteur.

Nous pensons qu'au fil du temps, nous assisterons probablement à une réduction de la charge de travail humaine dans le domaine de la sécurité des applications de 60 à 70 %, ce qui signifie que nous pourrons agir plus rapidement, à moindre coût et avec une plus grande cohérence dans des domaines comme AWS, qui a toujours investi dans l'évaluation de tout et dans des domaines où il est possible d'examiner plus de choses qui n'ont jamais été évaluées auparavant, ce qui signifie que nous pouvons obtenir une meilleure couverture. C',en quelque sorte, une double victoire.

Clarke Rodgers :
Vous allez donc consacrer les heures de travail humaines que vous économisez grâce à l'IA générative à d'autres défis de cybersécurité.

Steve Schmidt :
Oh, il s'agira en fait d'examiner plus en profondeur les services que nous proposons et d'examiner un plus grand nombre d’applications dans tous les domaines. L'autre élément, c'est que l'IA générative ne sera pas la solution complète à une grande partie de ces problèmes. Elle va permettre de résoudre une grande partie des problèmes faciles à résoudre, si vous voulez, et permettre à nos ingénieurs de se concentrer sur des problèmes vraiment très intéressants que seul un humain peut résoudre.

Les gens pensent que l'IA générative peut résoudre tous les problèmes, mais pas encore. Et je pense que quiconque vous dit que c'est possible dans le domaine de la sécurité ne comprend probablement pas vraiment ce qui se passe. Il doit toujours y avoir une supervision humaine dans cet espace, du moins actuellement. Et plus important encore, il doit y avoir un jugement humain pour déterminer si l'IA générative a pris la bonne décision ou non.

Clarke Rodgers :
Parler ou rester avec des humains. Quelles sont les caractéristiques d'une bonne embauche dans le domaine de la sécurité chez Amazon ou AWS ?

Steve Schmidt :
Je dirais que la principale chose que nous recherchons lors de nos recrutements en sécurité, et que la plupart des gens pensent, c'est ce type de perspicacité technique, non, plutôt de curiosité.

Clarke Rodgers :
Dites-m’en plus.

Steve Schmidt :
Cela signifie que quelqu'un ne regarde pas un problème et ne dit pas « Oh, d'accord, ça y est ». Il dit : « Eh bien, pourquoi est-ce arrivé ? » « Pourquoi une telle chose s'est-elle produite ici ? » « Pourquoi ne l'avons-nous pas détectée plus tôt ? » « Pourquoi un créateur a-t-il commis cette erreur à l’origine ? » C'est le genre de personne qui ne cesse de creuser et qui nous intéresse vraiment.

Et vous connaissez très bien le processus de correction des erreurs que nous utilisons, COE, et qu'est-ce qui se trouve en bas ? Cinq pourquoi. Et c'est la même chose, il faut vraiment s'attaquer à la racine du problème au lieu de simplement traiter un symptôme au sommet de ce problème.

Clarke Rodgers :
La curiosité est donc reine,

Steve Schmidt :
La curiosité est reine. D’accord.

Clarke Rodgers :
Si je vous donne une boule de cristal...

Steve Schmidt :
Oh-oh.

Clarke Rodgers :
Désolé. C'est la question. Si vous regardez cette boule de cristal, sur quoi les directeurs des ventes et les RSSI vont-ils se concentrer au cours de la prochaine année ?

Steve Schmidt :
Et je pense que la plupart des gens vont devoir se concentrer sur l'IA générative, car leurs entreprises consomment ces services à un rythme incroyable, alors ils vont devoir faire deux choses. La première, c'est simplement de comprendre où ils utilisent l'IA générative. Et je pense que nous avons de la chance chez Amazon, car nous disposons d'une visibilité centralisée qui nous permet de voir où tous nos créateurs utilisent l'IA générative.

La plupart des entreprises ne fonctionnent pas comme ça, alors elles doivent trouver une solution. La deuxième chose, c'est qu’il faut déterminer, pour l'IA générative, comment utiliser le RAG et s’il faut appliquer l'autorisation et l'authentification de manière appropriée tout au long de ce processus. Ce n'est pas anodin. C'est quelque chose que le monde du logiciel ne maîtrise même pas encore complètement.

Et c'est quelque chose d'extrêmement important pour pouvoir utiliser l'IA générative de manière à ne présenter que les données en réponse à l'invite à laquelle la personne à l'autre bout est autorisée à accéder à ce moment précis depuis l'endroit où elle se trouve et sur l'équipement qu'elle utilise. La plupart des gens n'ont même pas encore pensé à ce problème.

Mais en réalité, si vous examinez nos systèmes internes chez Amazon en ce moment, lorsque vous êtes sur votre ordinateur portable, nous analysons beaucoup de choses vous concernant lorsque vous utilisez nos systèmes internes. Littéralement, votre ordinateur portable est-il dans l'état dans lequel nous l'attendons ? Avez-vous patché, etc. ?

Nous avons tous reçu de petites notifications qui apparaissent indiquant que vous allez être mis en quarantaine si vous ne corrigez pas. Et où êtes-vous dans le monde ? Quel est votre travail ? Et des choses dont la plupart des gens ne se rendent même pas compte, comme quel jour de la semaine sommes-nous ? Est-ce une heure à laquelle vous accédez normalement ou encore venez-vous d'un lieu inhabituel ? Et ce genre de choses.

Clarke Rodgers :
Est-ce normal pour Clarke ?

Steve Schmidt :
C’est exact. Est-ce normal pour Clarke et est-ce normal pour une personne occupant le poste de Clarke ? Et ces contrôles n'existent tout simplement pas dans la plupart des endroits. C'est pourquoi la mise en place de barrières de protection est si importante. Peu importe le système que vous utilisez pour le faire, il faut juste avoir des barrières de protection en place.

Et ces barrières de protection doivent constamment évoluer à mesure que le paysage des menaces évolue autour de vous, que la science de l'IA générative évolue et que votre entreprise détermine quelle est l'utilisation acceptable des données qu'elle introduit dans un système d'IA générative.

Clarke Rodgers :
C'est un conseil fantastique et excellent. Nous verrons si vos prédictions se réalisent. Steve, vous êtes le responsable de la sécurité de tout Amazon. C'est un travail très stressant, c'est le moins que l'on puisse dire. Que faites-vous pour rester sain d'esprit et vous défouler, et aussi pour vous tenir au courant de l'évolution du monde, en quelque sorte vous connecter et vous déconnecter, mais aussi, comment faites-vous pour vous assurer que vos dirigeants font la même chose et prennent soin d'eux-mêmes ?

Steve Schmidt :
Donc, la première chose sur laquelle je me concentre avec tous nos dirigeants, qu'ils soient nouveaux ou permanents dans l'entreprise, c’est comment faites-vous pour vous démarquer de votre travail ? Nos emplois sont extrêmement stressants. Il y a toujours quelque chose qui ne se passe pas comme prévu.

Donc, avoir un moyen de transférer officiellement les responsabilités entre les gens et dire, d'accord, Clark, vous êtes en vacances pour les six prochains jours. Et je ne veux pas avoir de vos nouvelles. Je ne veux pas que vous soyez en ligne. Et notre personnel est incroyablement dévoué. Il y a eu des endroits où j'ai dû littéralement menacer d'éteindre les ordinateurs des gens parce que, vous voyez, quand vous êtes censé être en vacances, arrêtez de m'envoyer des e-mails.

J'apprécie votre dévouement, mais le problème, c'est que vous allez vous épuiser. Et ce sont des marathons. Ce ne sont pas des sprints. La mise en place de ce mécanisme est donc très importante. La deuxième chose, c'est d'avoir quelque chose qui vous permet de faire un truc qui vous tient à cœur individuellement. Certains sont musiciens, d'autres escaladent des montagnes, d'autres vont à la pêche. Personnellement, je suis pompier volontaire et ambulancier paramédical.

Clarke Rodgers :
Impressionnant.

Steve Schmidt :
Pour moi, c'est exactement le contraire de mon travail quotidien. Nous sommes des êtres humains. Nous aimons interagir avec les gens. Je vous parle en face à face. Ouais, pas en vidéo. C'est génial. Mais mon travail quotidien consiste en deux choses très différentes.

La première, c'est que la plupart de mes activités quotidiennes n'auront d'effet que trois, cinq ou dix ans plus tard. Il n'est donc pas question d'une récompense immédiate. Et la deuxième, c'est que sont tous des ordinateurs dans lesquels se trouvent quelques personnes, et ces personnes, je ne peux même pas les voir ni les toucher. Donc, en ce qui concerne la partie amusante de ma vie, celle de pompier et d'ambulancier paramédical, si je fais bien mon travail individuel, je peux aider une personne que je peux toucher, à qui je peux tendre la main et lui permettre de passer une meilleure journée. Et cela me donne le retour immédiat dont j'ai besoin en tant qu'être humain. Et deuxièmement, c'est très physique, par opposition à quelque chose de purement logique.

Clarke Rodgers :
C'est un stress différent, mais probablement plus sain, j'imagine.

Steve Schmidt :
Ça l’est. Et l'ironie, c'est que de nombreuses études ont montré que les personnes qui travaillent dans les services d'incendie depuis longtemps voient leur pouls baisser lorsque les sirènes sont allumées, car c'est leur lieu de prédilection et elles en profitent. Et avouons-le, qui n'aime pas circuler sur une route avec des sirènes et des gyrophares sur son camion ? C'est très sympa.

Clarke Rodgers :
C'est génial. J'imagine, et en tant que directeur des ventes, j'aimerais en savoir plus, vous êtes confronté à des décisions et à des décisions très critiques chaque jour. Êtes-vous ambulancier ou pompier de rang supérieur ou inférieur, ce qui signifie que quelqu'un d'autre prend les décisions difficiles et que vous vous concentrez uniquement sur votre journée ?

Steve Schmidt :
Paradoxalement, je suis en fait chef adjoint dans l'organisation, mais il s'agit davantage de compétences en leadership que de connaissances techniques dans les autres domaines. Mais je fais ça depuis 38 ans.

Clarke Rodgers :
C'est formidable.

Steve Schmidt :
J'ai donc acquis une certaine expérience.

Clarke Rodgers :
Parfait. Eh bien, Steve, merci beaucoup de m'avoir rejoint aujourd'hui.

Steve Schmidt :
Merci. C'était sympa d'être ici.

Écouter maintenant

Écouter maintenant

Écouter maintenant