Leadership axé sur la sécurité

Clarke Rodgers (00:10) :
Lorsque vous avez ce genre de réunions privées avec les PDG de clients et, en fait, avec vos pairs, que vous demandent-ils ? De quoi vous parlent-ils en termes de sécurité, de confidentialité, de conformité et de type de régime réglementaire actuel ? Pouvez-vous nous donner un aperçu de ces conversations ?

Adam Selipsky (00:28) :
Ce sont des conversations très importantes, qui intéressent de nombreux PDG, et ces sujets trouvent un écho chez beaucoup d'entre eux, comme il se doit. Je pense que j'évoquerai quelques points, dont l'un est l'IA générative, qui est bien sûr dans toutes les têtes. Et nous recevons de nombreuses questions telles que « Comment envisager la sécurité dans un monde d'IA générative ? », « Les choses évoluent si vite » et « Quels types d'applications ou de technologies dois-je utiliser ? » » et « Comment puis-je m'assurer qu'ils sont sécurisés et comment puis-je envisager d'être en sécurité à l'intérieur de mon entreprise également? « Et la première partie de la réponse est,

« Vous devez attendre de l’IA générative exactement le même niveau de sécurité que celui que vous attendez de tout autre service que vous utilisez. »

D'une certaine manière, il y a eu ce schisme où les gens parlent de la sécurité de l'entreprise pour tous ces services ici et ensuite, « Oh, parlons maintenant de l'IA générative ». Et j'ai d’ailleurs été très étonné de constater que certains des premiers chatbots d'IA générative ou assistants grand public sont apparus sans modèle de sécurité. Et les données ont littéralement été diffusées sur Internet, donc toute amélioration apportée au modèle était partagée par tous ceux qui utilisaient les modèles. C'est pourquoi tant de DSI, de RSSI et de PDG ont littéralement banni certains de ces assistants de leur entreprise pendant une longue période.

► Écoutez le podcast : Data Trust: The Most Essential Ingredient for AI Innovation

Et cela m'étonne un peu, parce que je m’imagine aller voir un PDG, un DSI ou un RSSI soucieux de la sécurité et lui dire : « Hé, j'ai un nouveau service de base de données incroyable. Il n'y a rien de tel. Vous allez l'adorer. Je pense vraiment que vous devriez l'adopter. Au fait, aucun modèle de sécurité n'y est associé, mais ne vous inquiétez pas, car je reviendrai avec la v2 et alors à ce moment-là, il sera sécurisé ». Je veux dire, je me ferais jeter dehors et je me retrouverais sur mon « vous savez quoi » !

Clarke Rodgers (02:20) :
Bien sûr.

Adam Selipsky (02:21)
Du moins je l'espère, car je le mériterais. Je pense donc que d'autres entreprises de ce secteur, pour une raison qui m’échappe et que je ne saurai expliquer, adoptent une approche différente de la sécurité et la jugent beaucoup moins importante. Et nous sommes très prévisibles ici. Nos services d’IA générative, comme Amazon Bedrock, qui est un service géré pour de modèles de fondation d’exploitation, ne sont ni plus ni moins sécurisés que n’importe quel autre service AWS.

C’est donc la première conversation autour de l'IA générative. Et puis il y a d’autres sujets, notamment le thème «  Comment instaurer un esprit de sécurité dans mon entreprise  ? » Et je pense que cela nous ramène à la culture. Cela nous ramène à certains des sujets que vous et moi avons abordés aujourd'hui, à savoir le leadership de haut en bas et l'envoi de signaux par les hauts responsables pour montrer que c'est important. Et la barre, les normes sont incroyablement élevées. Alors je conseille souvent à mes pairs d'insister sur les normes les plus élevées, car les gens doivent voir à quel point les normes sont élevées en matière de sécurité, mais aussi votre manque de tolérance pour tout ce qui n’est pas conforme aux normes les plus élevées.

Clarke Rodgers (03:30) :
Quels conseils donneriez-vous à vos pairs PDG qui ne sont peut-être pas aussi sensibles aux risques de sécurité et aux problèmes de conformité au sein de leur organisation, pour qu'ils s'y impliquent davantage ?

Adam Selipsky (03:43)
Je pense que la première chose à faire serait de comprendre quelle est l'importance de la sécurité pour votre entreprise et en quoi la sécurité est-elle importante pour votre entreprise ? Je pense que c’est facile de dire : « Oh, la sécurité, c'est la sécurité, ça devrait toujours être la principale préoccupation de chacun. » Et j'ai déjà dit que pour AWS, c'est le cas, c'est ce que nous disons de nous, du type d'entreprise que nous dirigeons et de la confiance que nos clients placent en nous pour exécuter leurs charges de travail critiques. Mais il y a d'autres entreprises pour lesquelles les différents aspects de leurs activités présentent probablement un ensemble de risques et d'opportunités de sécurité différent.

Il s'agit donc de décider : « Quelle est l'importance de la sécurité dans mon entreprise ?» Et cela m'aidera à décider où investir. Car je pense que cela peut être assez décourageant si l'idée est de dire : « Eh bien, je dois investir une somme massive d'argent partout dans la sécurité, indépendamment du fait que je fabrique du matériel agricole ou que je possède un grand site web de médias sociaux ou que je suis une startup dans l'espace de données »

Clarke Rodgers (04:44) :
D’accord.

► Regardez la vidéo : Reframing Security as a Strategic Advantage

Adam Selipsky (04:45)
Et je pense que les priorités en matière de sécurité vont être différentes. Tous ces types d'entreprises auront des besoins en matière de sécurité, et la sécurité sera importante d'une manière ou d'une autre. Mais j'encourage vraiment les gens à aller plus loin et à déterminer quelles sont les véritables priorités. Et cela facilite généralement l’investissement, car vous vous dites : « Hé, je vais commencer par investir davantage ici, puis nous déciderons des prochaines places où investir. » C'est probablement la première chose que je conseille aux gens.

Clarke Rodgers (05:14) :
Alors quels conseils donneriez-vous aux RSSI qui essaient de rendre compte de la sécurité et de la conformité de manière significative au PDG, au conseil d'administration, etc. ?

Adam Selipsky (05:26)
Je vais vous donner les conseils que je donne à mon RSSI et les demandes qu’il me fait, ce qui, je pense
est probablement très similaire à ce qui est logique pour les autres RSSI, et qui consiste à placer une perspective client, un filtre client sur votre travail, votre poste et les conseils que vous donnez. Le travail du RSSI est de permettre à l'entreprise de faire ce qu'elle doit faire et ce qu'elle veut faire pour satisfaire les clients et leur apporter de la valeur en toute sécurité.

« Alors soyez innovant, soyez créatif, trouvez des moyens de dire oui à l’idée que l’entreprise souhaite réaliser, tout en étant le champion de vos clients en termes de sécurité de fonctionnement. »

Et je pense que cela crée une grande crédibilité, car le RSSI est alors considéré comme un partenaire commercial précieux, qui dirige et soutient l'entreprise, par opposition à une personne auprès de laquelle vous devez obtenir une case à cocher.

Et je pense que cela change totalement la relation et que cela aide vraiment à hiérarchiser les ressources. Ainsi, lorsque vous le considérez du point de vue du client, vous pouvez vraiment vous demander : « En quoi créerons-nous réellement un risque pour les clients si nous faisons X ? » Ou « Comment pouvons-nous réellement créer une opportunité et une sécurité exceptionnelles pour le client si nous faisons Y ? » Il faut y réfléchir de cette façon.

Et puis d'ailleurs, je pense que le RSSI gagne également énormément en crédibilité lorsqu'il ou elle dit : « Je dois tirer le cordon d'Andon. » Nous ne pouvons pas, nous ne devons pas le faire. Nous devons régler quelque chose avant de le faire ». Alors si c'est rare, et si vous êtes intelligent, vous prendrez cela très, très au sérieux.

Clarke Rodgers (07:06)
C'est un excellent conseil. Adam, merci beaucoup d'avoir pris le temps de me rencontrer aujourd'hui, malgré votre journée bien remplie.

Adam Selipsky (07:10)
C'est un plaisir. Merci.