Comment AWS aide ses clients à atteindre leurs objectifs en matière de sécurité, de gestion du risque et de conformité
Le travail de Hart Rossman consiste à aider les clients à acquérir la confiance et les capacités techniques nécessaires pour exploiter leurs charges de travail les plus sensibles avec AWS dans le cloud. Son équipe est dédiée à l’amélioration constante de l’expérience client en matière de réponse aux besoins urgents liés à la sécurité, au risque et à la conformité.
Clarke Rodgers, stratège d'entreprise chez AWS, expose à Hart les solutions nées d'une écoute attentive (et d'une compréhension claire) des enjeux des clients, de ce qu'ils recherchent lorsqu'ils constituent leurs équipes et des services adaptés lorsqu'ils migrent leurs services de sécurité vers le cloud. Il explique également comment AWS se surpasse pour s'assurer que ses outils et ses partenaires restent alignés et optimisés.
Clarke (00:58) :
Pouvez-vous nous en dire plus sur votre parcours ? Comment êtes-vous arrivé chez AWS et quel est votre rôle actuellement ?
Hart (01:05) :
Bien sûr. Avant AWS, j'étais dans l'espace d'intelligence pour la défense. Je travaillais beaucoup dans l'intégration des systèmes, et j'appréciais beaucoup ma mission. J'adorais aider les gouvernements américain et du monde entier, ce qu'ils faisaient, ainsi que les industries réglementées. Mais je gardais toujours dans un coin de ma tête cette envie de travailler pour les grandes entreprises de sécurité. Et lorsque j'ai commencé ma carrière, ces entreprises étaient largement axées sur le client : les antivirus, les pare-feu de bureau personnels, ce genre de choses. Mais avec le temps, mon envie s'est tournée vers les entreprises qui fournissaient l'infrastructure qui faisait tourner le monde. Donc des entreprises comme Amazon et d'autres grands fournisseurs d'infrastructure. Et puis je suis arrivé à un moment de ma carrière où j'ai voulu sauter le pas. Je voulais une entreprise qui innovait vraiment dans la sécurité. Une entreprise qui faisait bouger les choses, pas seulement pour une poignée de clients importants, mais pour le monde entier. J’ai eu l’opportunité de rejoindre AWS et je l’ai saisie.
Clarke (02:02) :
Et quel est votre rôle chez AWS aujourd’hui ?
Hart (02:39) :
Actuellement, je suis directeur des pratiques de spécialité globales et des services professionnels de sécurité et d’infrastructure. C’est un peu long à dire, mais pour faire simple, mon travail consiste à aider les clients à acquérir la confiance et les capacités techniques nécessaires pour exploiter leurs charges de travail les plus sensibles avec nous dans le cloud.
Clarke (02:58) :
D’accord. Donc vous examinez les différentes offres de services professionnels que votre groupe propose aux clients ou rend disponibles pour les clients. Suivez-vous des mécanismes spécifiques pour vous assurer que vos offres correspondent bien à ce que vos clients cherchent ou à ce dont ils ont besoin ?
Hart : (03:14)
Je vais vous donner un exemple très concret. Il y a quelques années, nous avions quelques clients qui réfléchissaient à migrer leurs systèmes de cartes de paiement vers le cloud. Ce dont ils avaient vraiment besoin, c'était une équipe qui disposait d'une expertise à la fois dans le cloud et dans l'exploitation moderne des systèmes de cartes de paiement, ainsi que d'une compréhension de la norme PCI. La première fois, nous nous sommes dit que nous allions faire intervenir un partenaire avec des capacités PCI. Ce fut une réussite. Lorsque les clients travaillent avec AWS et un partenaire, ils obtiennent souvent les meilleurs résultats.
Nous avons également entendu qu'ils voulaient être certains que l'expertise et les conseils obtenus auprès d'AWS étaient fiables, que les partenaires eux-mêmes, comme les PCI, étaient qualifiés. C’est pourquoi nous avons écrit un texte explicatif de six pages, retraçant le développement d’une équipe qui a fini par devenir une filiale en propriété exclusive, AWS Security Assurance Services, une entreprise certifiée PCI QSA, ainsi qu’un évaluateur hautement fiable.
Nous avons effectué quelques tests en nous basant sur les premiers retours des clients, intégré des partenaires et créé une nouvelle activité qui puisse vraiment satisfaire les clients. Et pour faire en sorte que les partenaires restent impliqués.
Clarke (05:17) :
C’est formidable. Vous ne prévoyez donc pas de proposer un service si le client ne vous le demande pas ?
Hart (05:27) :
Non. En fait, dans les échanges que j'ai pu avoir au sein d'AWS, chez qui je suis depuis un peu plus de neuf ans maintenant, c'était souvent déconseillé. Quelque chose qui arrive souvent pendant les réunions, c'est que je vais dire quelque chose, et quelqu'un va me dire que c'est très pertinent et qu'il apprécie ce point de vue, mais il me demandera ce que les clients en pensent. Ce n'est pas qu'il discrédite mon expertise, mais il reconnait, et moi aussi, que c'est en écoutant attentivement les clients, en les aidant à réfléchir à leurs solutions par des va-et-vient, que nous allons trouver la bonne solution pour eux. Puis nous filtrons le tout à travers le point de vue de l'expertise. Nous identifions la solution Amazon unique que nous pourrons soumettre au client.
Clarke (06:09) :
J’essaye de visualiser le fonctionnement de votre organisation. Vous devez sans cesse embaucher de nouveaux consultants pour répondre aux besoins des clients. Pouvez-vous citer quelques-unes des aptitudes que vous recherchez lorsque vous embauchez des consultants de sécurité hautement qualifiés chez AWS ? Est-ce une expertise vaste et approfondie de la sécurité ? Un état d'esprit entrepreneur et la soif de résoudre des problèmes ? Quels sont les parcours et les talents que vous recherchez lorsque vous embauchez pour ProServe ?
Hart (06:39) :
Il y a plusieurs choses. Fondamentalement, nous recherchons une aptitude technique et une affinité culturelle. L'affinité culturelle est l'alignement avec nos principes de leadership et la capacité à y réfléchir et à les assimiler pour nous aider à les améliorer en cours de route. En ce qui concerne l'aptitude technique, nous nous posons la question suivante : dans quoi sont-ils vraiment bons ? Ce que je recherche vraiment ici, ce sont des compétences spécialisées dans un domaine précis ainsi qu’une capacité éprouvée à travailler dans des domaines complémentaires.
Si vous êtes un expert de l'identité, par exemple, je vais vous demander de prouver que vous pouvez appliquer votre expertise au chiffrement. Ou que vous pouvez l'appliquer à la médecine légale ou à d'autres domaines naturels. Ce que nous cherchons, ce sont des personnes qui sont des experts absolus de leur domaine. Ils doivent avoir un niveau de connaissances exceptionnel,de ceux qui poussent à en apprendre toujours plus. Tout le monde veut que vos experts les aident à résoudre leurs problèmes, qui sont légèrement différents de ce que vous faites quotidiennement. Nous recherchons donc cette agilité, cette flexibilité, cette capacité à tout observer, à appliquer une pratique de manière non conventionnelle.
Nous cherchons aussi absolument des entrepreneurs. Nous souhaitons vraiment que tout le monde, de mon EA à nos consultants en prestation, en passant par nos responsables, acquière la maîtrise technique de la plateforme. Nous sommes là pour aider les clients. Et si vous n'avez jamais chargé une image CAT dans S3, ou si vous n'avez jamais lancé une instance EC2 ni déployé du code dans Lambda, vous ne pouvez pas être crédible auprès d'un client pour résoudre son problème ou construire sa nouvelle activité sur ces mêmes services. C’est pourquoi la capacité à retrousser ses manches pour vraiment travailler avec la technologie et construire des solutions crédibles est très importante pour nous.
Clarke (11:55) :
Vous rencontrez beaucoup de clients qui sont des cadres dirigeants, et bien entendu, vous avez des consultants déployés dans le monde entier, qui résolvent les problèmes des clients et les aident à renforcer différentes capacités. Avez-vous repéré des tendances particulières en ce qui concerne les offres de sécurité qui sont réservées sur AWS ProServe et avec lesquelles les clients ont besoin d’aide en ce moment ?
Hart (12:16) :
L’une des choses que nous disons souvent, et ce depuis le lancement de l’activité, c’est que les entreprises ne veulent surtout pas acheter d’infrastructure non sécurisée. Et bien sûr, chez AWS, nous fournissons un ensemble de services très sûrs et sécurisés. Les clients veulent savoir quel est le meilleur moyen de les implémenter pour leurs besoins métiers spécifiques. En ce moment, par exemple, les conteneurs font fureur. Tout le monde conteneurise, implémente de nouveaux conteneurs ou en utilise pour accélérer et faciliter leur migration. Les dirigeants seniors souhaitent savoir comment obtenir le bon modèle de sécurité des conteneurs. Comment adapter correctement à leurs conteneurs ou à la sécurité de leurs conteneurs des aspects de la sécurité comme la gestion des vulnérabilités ou l'analyse. Un autre aspect important est la réponse aux incidents. Malheureusement, dans l'actualité, nous voyons beaucoup de problèmes avec les rançongiciels et d'autres types d'attaques.
Une fois encore, les clients veulent comprendre quelles fonctions ils peuvent utiliser sur AWS pour se protéger au mieux contre ce type d'activités préjudiciables. Et comment permettre aux intervenants d'être efficaces dans le cloud, car ils peuvent ne pas y être familiers. Ils peuvent être excellents sur site, mais désormais, ils doivent travailler avec un autre ensemble d'environnements. Nous constatons beaucoup d'intérêt en retour. Le dernier aspect est l'ingénierie de sécurité. Beaucoup de clients viennent nous voir pour nous dire qu'ils veulent construire comme le fait Amazon. Qu'ils sont à l'aise avec nos services. Ils trouvent que nous avons fait un très bon travail et ils veulent durcir leurs API comme nous l'avons fait nous-mêmes. Ils veulent le même type de cycle de vie de développement logiciel DevOps que nous. C'est pourquoi nous avons récemment développé une capacité d'ingénierie client qui est très axée sur la sécurité. Nous travaillons également cela avec les clients.
Clarke (17:19) :
Lorsque les clients démarrent, ils peuvent utiliser ProServe ou un partenaire pour mieux identifier leur zone de destination initiale. Bien sûr, il y a maintenant Control Tower et d'autres outils pour cela. Quels types de services ou même de documentation proposez-vous ? Cette question a deux volets. Tout d’abord, du point de vue du client, comment savoir si ce que je mets en place est, entre guillemets, bien fait et aligné aux bonnes pratiques AWS ? Ensuite, même si je fais tout cela, je pourrais manquer quelque chose et rencontrer des problèmes, comme un événement de rançongiciel ou un cas similaire. ProServe peut-il donc m’aider ?
Hart (18:04) :
Je suis content que vous posiez cette question. Il y a plusieurs choses à dire sur les deux parties de votre question. En ce qui concerne la première partie, j'aime bien toujours m'assurer que les clients sont très familiers avec certains de nos meilleurs outils d'inspection. Ils doivent être à l'aise avec Well-Architected. Nous avons un bon ensemble de directives. Ils doivent être à l'aise avec Trusted Advisor, Security Hub et Guard Duty. Ce sont le type de services qui vous aident à comprendre où vous vous situez. Et si vous avez implémenté ces outils de base et qu'ils fonctionnent comme vous le souhaitez. Et ensuite, dans une optique plus large d'éducation et de planification, nous pouvons nous pencher sur des services comme les Recommandations AWS. Il s'agit d'une immense mine de bonnes pratiques et de leçons apprises d'Amazon et de nos partenaires sur notre façon de fonctionner.
Et récemment, nous avons lancé une architecture de référence de sécurité, qui constitue des lignes directrices normatives, rédigées à la fois en langage normal et en code. Nous avons donc quelques textes qui abordent une variété de cas d'utilisation et de principes architecturaux. Ce qui était important pour moi lorsque nous avons développé cette architecture de référence de sécurité, c'était qu'elle ne soit pas théorique. C'est comme de véritables dessins architecturaux qui montrent comment les services AWS fonctionnent sur votre compte d'un point de vue de la sécurité. Ce n'est pas un simple tableau blanc vague, c'est vraiment une sorte de physique de la sécurité sur papier qui explique comment compléter cette implémentation réelle. Chaque cas d'utilisation des conseils de l'architecture de référence de sécurité est accompagné d'un code source qui vous montre comment la mettre en œuvre dans une implémentation de référence réelle. C'est quelque chose que nous allons consolider au fil du temps.
Nous allons ajouter différents points de vue. Nous avons déjà un volume considérable de retours de nos clients et non seulement ils adorent l'utiliser, mais ils nous demandent ce que nous pensons de tel ou tel cas d'utilisation qu'ils rencontrent. Nous réfléchissons à aussi itérer cela. Ensuite, vous avez parlé de la réponse aux incidents. Récemment, lors de la conférence re:Inforce, nous avons échangé sur la capacité d'équipe de réponse aux incidents de nos clients. Qui est hébergée par ProServe. Cela va nous permettre de faire deux choses. D'abord, le plus important, c'est d'aider les clients à regarder autour d'eux et à se projeter. Ainsi, nous pourrons prévenir les incidents. Mais si quelque chose se passe, nous devons transformer cette frayeur en « tout va bien ». Très bien. En outre, dans notre système de support, nous avons une équipe de réponse aux incidents pour les clients qui font face à des événements de sécurité et qui ont besoin d'une aide élevée ou remontée avec AWS.
Et ces équipes vivent vraiment pour tirer les clients du pétrin. Elles fournissent une grande aide pratique et beaucoup de conseils pour résoudre les incidents. Et dans la plupart des cas, les clients sont attentifs lorsqu'ils doivent répondre aux incidents et les gérer. Je pense que pour eux, c'est souvent nouveau. Parfois, ils ne l'ont jamais fait dans le cloud, ou ils n'ont jamais connu ce type d'attaque. Ce qu'ils recherchent vraiment, ce sont donc des experts externes à leur entreprise. En d'autres termes, ils cherchent à pouvoir faire confiance. Et à discuter du problème.
À propos des auteurs
Hart Rossman
Responsable de la pratique d’infrastructure et de sécurité globale chez AWS
Hart Rossman est le directeur de la sécurité chez AWS Global Services. Il est responsable de la construction avec les clients, de la construction avec les équipes des services AWS, du renforcement des capacités des partenaires, des stratégies de croissance, de la sécurité d'engagement et des opérations d'engagement. En tant que client ou partenaire, vous avez peut-être lu nos derniers travaux innovants en votre nom comme le Cadre d’adoption du Cloud AWS : Perspective sécurité, l’Architecture de référence de sécurité pour AWS, les services et événements Jam, Security Epics ou Control Tower Account Factory for Terraform.
Clarke Rodgers
AWS Enterprise Strategist
En tant que stratégiste de sécurité d'entreprise AWS, Clarke se passionne pour aider les cadres à explorer comment le cloud peut transformer la sécurité et travailler avec eux pour trouver les bonnes solutions d'entreprise. Clarke a rejoint AWS en 2016, mais son expérience avec les avantages de la sécurité AWS a commencé bien avant qu'il ne fasse partie de l'équipe. En tant que responsable de la sécurité des systèmes d'information pour un fournisseur multinational de réassurance vie, il a supervisé la migration globale d'une division stratégique vers AWS.
Passer à l’étape suivante
Exploiter la valeur de l’IA générative pour les chefs d’entreprise
Découvrez comment intégrer l’IA générative/le ML dans votre organisation.
Écouter et apprendre
Écoutez des dirigeants et des stratèges d'entreprise AWS, tous anciens membres de la C-Suite, parler de leur parcours de transformation numérique.
Restez connecté
AWS Executive Insights est une destination numérique pour les chefs d’entreprises et de technologies où nous partageons des informations, des bonnes pratiques et des invitations à des événements.
Innover dans tous les secteurs
Découvrez comment nos clients génèrent de la valeur grâce à l’IA générative sur AWS.