Vous êtes passé d’AWS à Amazon en tant que CSO, pouvez-vous décrire votre périmètre aujourd’hui ? Combien de datacenters et de personnes gérez-vous ? 

Mon travail maintenant est que je suis le responsable de la sécurité pour Amazon. Et cela signifie que je suis responsable de la sécurité de l’information et de la sécurité physique pour toutes les entreprises Amazon du monde entier. Cela signifie soutenir une population d’employés d’environ 1,6 million de personnes.  

Amazon n’a pas ses propres centres de données, il utilise ceux  d’AWS pour fournir le service à nos clients du monde entier. Nous sommes dans 26 régions, soit dit en passant, et 84 zones de disponibilité. Donc, une région est une zone géographique, comme Paris, par exemple, qui a plusieurs zones de disponibilité. Et chacune de ces zones de disponibilité peut être composée de plusieurs bâtiments. Ainsi, certaines des plus grandes zones de disponibilité, par exemple, sur la côte Est des États-Unis, ont plusieurs 10 bâtiments qui constituent une zone de disponibilité. Donc, vous ne pouvez pas dire qu’une région est équivalente à un datacenter. 

Vous êtes présent dans le monde entier, avez-vous remarqué des différences en termes de sécurité entre les États-Unis et l’Europe par exemple ? 

Je ne pense pas que la sécurité elle-même soit différente de l’Europe, des États-Unis ou de n’importe où ailleurs dans le monde, vraiment, ce qui varie, ce sont les multiples réglementations auxquelles nous devons nous conformer dans différents endroits. Et parfois, ils nécessitent des implémentations de sécurité distinctes.

Pour les cyberattaques, je ne pense pas qu’il y en ait plus dans un pays, il y a certainement des organisations d’attaque individuelles, des groupes, qui se concentrent sur différents pays ou industries. Par exemple, lorsque vous examinez certains des grands acteurs nationaux et étatiques, ils disposent d’équipes qui se concentreront chacune sur une industrie en particulier, l’une peut cibler l’industrie pétrolière, une autre peut viser l’énergie nucléaire, une autre les télécommunications, ce genre d’attaquants est spécialisé. 

Nous voyons que les attaquants continuent d’être ceux que vous attendez. Les nations qui ont la capacité d’exploiter les autres pays continuent de le faire, alors je ne vais pas les nommer, mais vous êtes journaliste IT depuis longtemps, vous savez qui ils sont. 

Dans un monde multi-cloud, la sécurité devient de plus en plus complexe avec différentes plateformes à gérer. Comment pouvez-vous aider vos clients à travailler avec d’autres fournisseurs de manière sécurisée ? 

Je pense qu’il n’y a pas de console globale pour tous les fournisseurs, et principalement parce que les fonctionnalités disponibles sur chaque fournisseur sont différentes. Et donc vous devez avoir quelque chose qui est conçu pour les fonctionnalités que vous surveillez. Cela étant dit, il existe certainement des outils que vous pouvez utiliser, qui sont utiles, qu’il s’agisse de votre environnement sur site ou d’AWS, par exemple. Splunk fonctionne bien sur site, et il fonctionne bien dans AWS. CrowdStrike travaille aussi de la même manière. Et vous verrez qu’avec beaucoup de partenaires que nous avons sur notre marché et notre écosystème de partenaires, ils sont là spécifiquement parce qu’ils permettent aux gens de passer d’un environnement sur site au cloud à l’aide d’outils qu’ils connaissent. Et cela leur donne un point de vue unique sur leurs actifs, qu’ils soient dans leurs propres centres de données ou dans AWS. 

Je pense qu’il y aura toujours des différences spécifiques dans les fonctionnalités entre les fournisseurs de cloud. Par exemple, c’est l’une des raisons pour lesquelles les clients viennent nous voir, c’est parce que nous avons des ensembles de fonctionnalités spécifiques. Et ce que vous verrez en commun, c’est l’utilisation de certains types de logs, par exemple, et nous allons en parler davantage dans un avenir pas trop lointain. Nous reviendrons sur ce sujet dans un mois ou deux. 

La sécurité est un problème informatique, mais aussi physique. Accès et contrôle des sites par exemple. Avez-vous augmenté le nombre d’agents de sécurité sur vos sites pour faire face aux risques ? 

Il est nécessaire de garder les gens loin des données : cela s’applique dans le monde logique, et également dans le monde physique. Ainsi, par exemple, si vous êtes un développeur, qui travaille pour AWS sur EC2, vous n’aurez pas accès aux centres de données qui contiennent ces machines. En fait, très, très peu de gens dans l’entreprise ont accès à ces centres de données, et seulement parce que cela est nécessaire pour qu’ils puissent faire leur travail. 

L’automatisation est l’un des sujets préférés d’Amazon. Comment renforcez-vous l’automatisation en cybersécurité ? 

À sa façon, en tant qu’industrie, nous devons embaucher environ 300 000 ingénieurs de sécurité de plus que cette année. Donc, c’est un grand nombre de personnes. La seule façon de s’assurer que les ingénieurs que nous pouvons embaucher sont efficaces et heureux est d’automatiser les tâches, qui ne sont pas nécessairement effectuées par des êtres humains. Donc, si vous réfléchissez de cette façon, si vous êtes une personne intelligente, ce que vous êtes, et que vous êtes un ingénieur, et que vous construisez des systèmes, voulez-vous faire la même chose ennuyeuse tous les jours ? Non, vous voulez de l’automatisation. 

Mais dans le domaine de la sécurité, c’est doublement important, car nous devons faire les choses correctement, à chaque fois. Les humains ne sont pas parfaits. Nous devons donc utiliser l’automatisation dans la mesure du possible pour nous assurer que nous faisons exactement ce que nous devons faire.  

Avez-vous un ou plusieurs SOC pour suivre les opérations et les risques ? 

Nous avons différents SOC, et ils sont tous virtuels, il n’y a pas de salle, par exemple, qui a un SOC pour différentes entreprises.  Donc, Amazon Retail, l’entreprise d’e-commerce a son propre SOC. AWS a son SOC. Et c’est intentionnel, car nous ne voulons pas que quiconque dans le commerce de détail ait accès aux informations sur les clients AWS. Et la façon dont nous utilisons ces SOC suit le cycle du soleil dans le monde entier. Cela signifie, par exemple, que les personnes qui sont de garde à un moment donné pourraient commencer en Virginie. Et six heures plus tard, ils passent la main à Seattle, qui passe ensuite à Sydney en Australie, qui passe ensuite à Dublin et en Irlande. Oui. Nous avons également des opérations spécifiques dans chaque pays. 

Comment protégez-vous les données personnelles de vos clients et maîtrisez-vous le risque humain ? 

Nous travaillons avec les autorités nationales de tous les pays dans lesquels nous opérons pour nous assurer que nous répondons aux exigences réglementaires. Donc, qu’il s’agisse de répondre en France, ou au NCSC, au Royaume-Uni, ou qui que ce soit, séparément du côté de la sécurité, c’est un travail qui ne s'arrête jamais, qui ne sera jamais terminé. Parce que nos adversaires changent toujours leur façon d’attaquer. Nous devons donc changer constamment notre défense. C’est comme si une équipe de football n’avait qu’une seule façon de contrer les attaquants, cela ferait certainement mal de trouver un moyen de contourner cela assez rapidement. Nous améliorons la sécurité de tous nos services grâce à des pentests. Nous utilisons des équipes rouges pour scruter nos services et pour tester s’ils fonctionnent comme ils doivent. 

Le recrutement est-il encore difficile aux États-Unis et dans le reste du monde ? Vous attendez-vous à ce que les affaires baissent avec la récession annoncée et avez-vous commencé à ralentir le recrutement dans votre secteur de la sécurité ? 

Je pense que l’industrie elle-même n’a pas assez de professionnels de la sécurité formés. Si les gens ont des aptitudes techniques et qu’ils s’intéressent à la sécurité, c’est un excellent domaine d’emploi qui a beaucoup d’ouvertures en ce moment. Et si vous allez voir sur notre site Web d’emplois, il y a probablement 2 000 postes ouverts en ce moment pour les professionnels de la sécurité informatique. Et nous ne sommes qu’une seule entreprise. Et il y a beaucoup d’entreprises qui embauchent des gens. Le problème est qu’il n’y a tout simplement pas assez de professionnels de la sécurité formés. 

Essayez de collaborer avec des universités ?  

Oui, nous travaillons avec des universités dans le monde entier, nous allons intentionnellement dans des endroits en dehors des États-Unis parce qu’il y a des bassins de talents auxquels nous voulons avoir accès. Par exemple, Cap Town en Afrique du Sud a une très bonne université. Et nous aimons vraiment les étudiants que nous pouvons recruter à la sortie de l’université au Cap. De même, en Europe, il existe un certain nombre de grandes institutions en Allemagne, en France et au Royaume-Uni, en particulier. 

Hier, vous avez parlé de vos opérations en Ukraine ? Quel est le coût de ces opérations pour Amazon ? 

Nous n’avons pas demandé au gouvernement de payer. Pour autant que je sache, le prix pour Amazon est insignifiant par rapport au prix que le peuple et le pays ukrainiens ont payé à cause de l’invasion russe. Nous sommes ici pour faire tout ce que nous pouvons pour les aider dans cette situation. 

Avez-vous des activités en Ukraine ? 

Non, pas de centres de données, pas de bureaux, pas d’activités. Le gouvernement ukrainien nous a demandé de l’aide. C’est une bonne chose et nous étions heureux de les aider.