Comment l’IA générative va-t-elle modifier les opérations de sécurité ?
Entretien avec Tom Avant, Director of AWS Security OperationsLa clé réside dans les opérations de sécurité
Que vous les achetiez ou que vous les développiez, les opérations de sécurité constituent un élément important de la stratégie de sécurité de l’entreprise. Dans cette conversation avec Tom Avant, Director of AWS Security Operations, nous discutons des clés pour créer un centre des opérations de sécurité (SOC) performant.
Quelles sont les clés de la réussite d’un SOC ?
Rejoignez Clarke Rodgers, Director of AWS Enterprise Strategy, lors de son entretien avec Tom sur le fonctionnement du SOC AWS au sein de l’organisation, sur la manière dont l’équipe mesure le succès et sur la façon dont elle adopte l’automatisation pour favoriser l’amélioration continue. Nous étudierons également l’incidence des technologies émergentes telles que l’IA générative sur l’avenir des opérations de sécurité.
Consultez les détails de la conversation ci-dessous :
Transcription de la conversation
Avec Tom Avant, directeur d’AWS Security Operations, et Clarke Rodgers, directeur de la stratégie d’entreprise chez AWS
Des opérations militaires aux opérations de sécurité : le parcours de Tom Avant vers AWS
Clarke Rodgers :
La mise en place d’une opération de sécurité mondiale réussie n’est pas une mince affaire. Cela nécessite un niveau d’engagement et une culture de propriété qui donnent la priorité à la confiance des clients, tout en s’adaptant aux besoins de l’entreprise.
Bonjour, je m’appelle Clarke Rodgers, je suis Director of Enterprise Strategy chez AWS et votre guide pour une série d’entretiens avec les responsables de la sécurité d’AWS ici, sur Executive Insights.
Dans cet épisode, je suis rejoint par Tom Avant, Director of AWS Response and Resiliency. Écoutez-nous parler des clés pour créer, maintenir et faire évoluer les opérations de sécurité afin de garantir la résilience de l’entreprise. Merci de vous joindre à nous.
Clarke Rodgers :
Tom, merci beaucoup d’être ici aujourd’hui.
Tom Avant :
Merci beaucoup de m’avoir invité. Je suis vraiment honoré. Encore merci.
Clarke Rodgers :
J’aimerais commencer par un petit mot sur votre parcours. Je sais que vous avez passé un certain temps dans l’armée. Qu’est-ce qui vous a ensuite attiré chez AWS ?
Tom Avant :
En entrant dans l’armée, je me suis d’abord orienté vers la linguistique. J’étais analyste du renseignement. J’ai travaillé et j’ai découvert différentes cultures lorsque j’étais à l’Institut de langues de la Défense de Monterey. J’ai beaucoup appris sur le monde, ce qui m’a beaucoup servi plus tard dans ma vie à la tête d’organisations et d’équipes mondiales.
Et puis l’industrie du renseignement, c’est... Il y a tellement de choses que vous voyez à la télévision et dans les films et vous imaginez comment c’est, puis vous y entrez et vous vous rendez compte que ce n’est rien de tel. Mais c’était formidable pour moi de pouvoir me rendre dans un tel endroit et d’en apprendre beaucoup sur les données, le traitement et la méthodologie, d’être méthodique dans ma façon de penser et de voir les choses. C’est donc ce que j’ai fait. J’ai travaillé à la NSA pendant quelques années, faisant différentes choses du point de vue du renseignement.
Finalement, je suis devenu officier en tant que responsable des batailles aériennes, officier de commandement et de contrôle chargé des opérations de renseignement. Je fais maintenant du soutien présidentiel, je participe à des missions humanitaires dans le monde entier, je prends des décisions critiques et j’exécute des tâches au nom de la réponse aux incidents majeurs au niveau mondial.
► À suivre : Découvrez les avantages de l’embauche d’anciens combattants à des postes de sécurité
Clarke Rodgers :
Bien sûr.
Tom Avant :
Pour AWS, c’était donc tout à fait naturel. J’ai travaillé dans la sécurité toute ma vie. J’ai déjà plaisanté sur le fait que j’ai une habilitation de sécurité depuis l’âge de 19 ans. Mais en entrant dans une organisation qui avait des valeurs... Amazon était attrayante en raison de ces principes de leadership. Et lorsque vous comprenez ce qui se passe chez AWS, lorsque vous vous y intéressez vraiment, vous vous dites : « Oh mon Dieu, une grande partie du monde fonctionne grâce à ce que nous faisons. Il faut que j’en fasse partie. »
Opérations de sécurité et continuité des activités chez AWS
Clarke Rodgers :
Parlons un peu de votre rôle actuel chez AWS. Quel est ce rôle actuel et quelles sont vos responsabilités ?
Tom Avant :
Tout d’abord, je gère le centre des opérations de sécurité AWS. Je suis également responsable de la continuité des activités d’AWS. Il s’agit donc de deux choses très différentes, mais d’une importance capitale pour l’entreprise dans les deux cas. Le centre des opérations de sécurité AWS est responsable de la réponse aux incidents physiques et logiques de niveau 1 dans l’ensemble de l’entreprise. Qu’il s’agisse d’un centre de données ou de compartiments S3, nous sommes en première ligne pour nous assurer de surveiller les détections, puis de les catégoriser ou de les diriger vers d’autres personnes qui peuvent les résoudre si nous ne pouvons pas le faire nous-mêmes.
Donc, pour tous ceux qui se posent des questions sur leur badge, nous utilisons ce système d’exploitation et nous effectuons toutes les différentes intégrations avec celui-ci afin de nous assurer que les utilisateurs entrent et sortent des espaces dont ils ont besoin au quotidien. Et puis aussi, qu’ils n’entrent pas dans les espaces où nous ne voulons pas qu’ils entrent.
Clarke Rodgers :
Bien sûr.
Tom Avant :
Le contrôle d’accès est donc très important. L’élément de continuité des activités est la résilience de l’ensemble de nos opérations et services. Nous attestons et nous disons : « Nous avons des systèmes redondants et nous leur faisons confiance. » Et nous disons aux clients : « Nous savons que ce sera une bonne chose. » Nous voulons nous assurer que lorsque nous leur affirmons cela, ils savent que ce n’est pas simplement parce que ce produit ou service a l’air cool. Nous le disons parce que nous l’avons testé et que des personnes travaillent dans l’ombre sans relâche pour revenir en arrière, retester et utiliser toutes nos différentes fonctionnalités, des évaluations des risques opérationnels aux COE en passant par les différentes exigences ISO afin de nous assurer que nos services sont réellement résilients.
Clarke Rodgers :
Donc, je suppose que des choses comme l’équipe rouge et d’autres choses de ce genre vous incombent ?
Tom Avant :
En fait, ce n’est pas le cas. C’est dans un autre secteur de l’entreprise. Ce que nous faisons ressemble davantage aux TTX ou aux exercices dans le cadre desquels nous allons faire un exercice complet et faire participer des personnes de tous les secteurs de l’entreprise. Il s’agit essentiellement d’une simulation pour dire : « Que se passera-t-il si nous passons une mauvaise journée ? Comment répondre ? Comment réagir ? Comment s’assurer que tout se déroule comme nous l’espérons ? » Ce n’est jamais parfait, on apprend tellement de choses. Nous l’intégrons, nous l’inscrivons dans les carnets de gestion, nous le partageons avec les équipes, puis nous recommençons.
Mesure de la valeur d’un SOC : comment justifier l’investissement auprès de la direction
Clarke Rodgers :
La gestion d’un SOC représente un investissement énorme d’un point de vue commercial. Comment justifier les dépenses, doit-on même les justifier, en fonction du type de travail que nous exerçons ? Parce que quand les clients... J’ai des conversations avec des clients qui me disent : « Eh bien, j’adorerais avoir un SOC, mais c’est tellement cher, le personnel, les outils, etc. » Comment puis-je démontrer auprès de mes dirigeants que nous avons effectivement besoin d’un SOC ou peut-être même simplement d’un service SOC s’ils décident d’y souscrire ?
Tom Avant :
C’est une question complexe. Il y a plusieurs réponses à cette question. Tout d’abord, c’est parce que nous sommes géniaux, c’est comme ça qu’on le justifie. Mais non, c’est grâce à des KPI et à des données. Et nous avons des QBR avec nos dirigeants. Nous recherchons donc constamment des moyens mécaniques pour évaluer si nous apportons et restituons de la valeur à l’entreprise et au client.
Clarke Rodgers :
Pourriez-vous partager l’un des indicateurs que vous utilisez ?
Tom Avant :
Nous examinons des tonnes d’éléments dans les différents secteurs d’activité afin de nous assurer que nous redonnons cette valeur à l’entreprise. Pour notre système de contrôle d’accès, nous veillons à parler de la disponibilité du système et de ses temps d’arrêt. Nous nous assurons également de connaître, pour les différentes configurations que nous avons appliquées, que nous coordonnons, le gain net des changements que nous avons mis en place.
Pour les détections, nous examinons les délais de détection et de résolution. Nous examinons les différents types de détections que nous recevons et nous examinons la valeur qui revient à l’entreprise dans ces domaines. Même pour la continuité des activités, nous examinons différentes mesures concernant les différents services que nous proposons, élargissons la portée, ceux qui sont certifiés ISO, ceux dont nous avons pu nous assurer qu’ils ont été testés.
Automatisation du SOC : utilisation des humains en dernier recours
Maintenant, l’autre partie de cette question se pose en même temps, et c’est peut-être simplement parce que j’ai grandi en tant que personne économe, mais en même temps, je crois vraiment en ce premier principe : « L’utilisation des humains en dernier recours ». Vous venez me voir pour me dire : « J’ai une super idée pour vous ! Je pense que ce serait une excellente mission pour le SOC. »
Pourquoi est-ce que les gens disent ça ? Parce que nous sommes ouverts 24 heures sur 24, 7 jours sur 7, et beaucoup de personnes cherchent à transférer quelque chose au SOC et viennent donc nous le dire. Et je dis : « Vous savez quoi ? Parlons de l’avantage net que cela représente pour l’entreprise. » Parce que si vous nous demandez de vous aider parce que cela représente un bénéfice net pour l’entreprise, alors oui absolument. Si vous nous demandez de le faire parce que c’est un travail que vous ne voulez pas faire et que vous pensez que d’autres humains devraient le faire, alors je dirai : « Peut-être devrions-nous revenir à OP1 et trouver un moyen de nous sortir de cette situation de manière automatisée. »
Clarke Rodgers :
Bien sûr.
Tom Avant :
Je dis toujours à mon équipe que notre travail consiste à nous mettre au chômage. Notre travail consiste à trouver en permanence des moyens d’utiliser l’automatisation ou de nous assurer que nous réduisons les détections à un point tel qu’un jour vous vous disiez : « Eh bien, pourquoi n’avons-nous pas de SOC ? » Et je pourrais vous dire : « Il fut un temps où nous avions un SOC. » Et ce SOC a étudié toutes ces différentes manières pour pouvoir dire : « Nous n’avons pas besoin de le faire », « Cela pourrait être automatisé », « Cela pourrait être mieux » ou « Nous pourrions le pousser en amont jusqu’à ce que le SOC ne soit plus nécessaire. » C’est mon objectif. Je ne sais pas si nous y arriverons un jour, mais c’est certainement un objectif à atteindre.
Comment créer un centre d’opérations de sécurité interne
Clarke Rodgers :
J’avais justement une question pour vous à ce sujet. Si vous deviez regarder dans votre boule de cristal, à quoi ressemblerait le SOC du futur ? Je suppose qu’une autre façon de poser cette question est la suivante : si vous aviez une liste vierge, comment créeriez-vous une capacité SOC aujourd’hui ?
Tom Avant :
Je dirais que je m’intéresse à la capacité, car c’est de cela qu’il s’agit réellement. Ou quelles sont les capacités dont vous bénéficiez grâce à un SOC ? Quelle est la capacité que vous perdez si vous n’avez pas de SOC ou si vous externalisez un SOC ? La différence avec la partie externalisée, c’est que l’intérêt de l’entreprise passe avant tout, et c’est la raison pour laquelle vous devez avoir un SOC interne, si vous pouvez vous le permettre.
Clarke Rodgers :
Et je suppose qu’en interne, vous aurez également une connaissance de l’entreprise qu’une partie externe n’aurait pas.
Tom Avant :
Tout à fait. On doit savoir à qui s’adresser. L’autre aspect, le fait d’être en interne, concerne vos capacités, n’est-ce pas ? Nous en revenons à la capacité. Assurez-vous de vous concentrer sur ce que vous offrez spécifiquement à l’entreprise. Je pense que vous pouvez être en mesure de modifier cela en permanence parce que vous participez à d’autres réunions, comme les réunions de planification stratégique. Ainsi, pendant qu’elles s’écoulent, vous pouvez comprendre les évolutions, vous dire : « D’accord, c’est notre nouvelle étoile polaire. C’est là que nous avons changé de cap. » Vous ne pouvez pas le faire si vous êtes externalisé au même rythme.
Comme les affaires évoluent très rapidement, vous devez vous assurer que les personnes qui prennent ces mesures en aval sont connectées à celles qui prennent ces décisions stratégiques et qu’elles sont donc en mesure de s’adapter très rapidement. C’est l’un des avantages d’avoir un bureau en interne. J’examinerais tous ces éléments et je déterminerais la capacité, l’étoile polaire stratégique que j’ai décrite, le type de posture de protection que je recherche. Et le risque si je rate.
Et quand j’y pense, je me dis... Si cela se produit, puis-je regarder mon client dans les yeux et lui dire : « J’ai fait tout mon possible pour que cela ne se produise pas », ou dois-je me contenter de dire que c’est la faute de l’autre ?
L’IA générative et l’avenir des opérations de sécurité
Clarke Rodgers :
J’adore ça. Compte tenu de la rapidité avec laquelle la technologie progresse et, bien sûr, des outils d’IA générative disponibles, comment sera selon vous ce futur SOC ? Je ne sais pas si vous pouvez dire si vous utilisez des outils d’IA générative aujourd’hui, ou si vous avez l’intention de le faire ou si vous enquêtez sur la manière de le faire, mais comment pensez-vous que cela aidera vos analystes du SOC et les autres rôles également ? Et puis, du côté de l’attaquant, comment anticipez-vous la manière dont il pourrait l’utiliser pour détecter ses activités ou y réagir ?
Tom Avant :
Nous commençons à l’utiliser pour créer des réponses automatisées pour certains de nos clients. Nous examinons également les flux de travail automatisés pour pouvoir dire : « Nous savons que ce sont des flux de travail courants qui entrent en jeu. Ils sont basés sur les indicateurs que nous examinons, que les clients recherchent beaucoup. Comment intégrer ce que nos données nous disent à un routage plus direct vers les solutions qu’ils recherchent et où elles ne nécessitent pas de jugement humain ? Pourquoi ne retirons-nous pas complètement l’humain de cette chaîne ? » C’est ce sur quoi nous travaillons en ce moment.
Clarke Rodgers :
C’est formidable. Et du côté de l’adversaire ?
Tom Avant :
L’aspect de la menace est vraiment intéressant. C’est un nouveau terrain de jeu. Vous entendez tellement de nouvelles choses à propos des injections dans... Les gens veulent jouer avec la technologie, alors ils se ruent sur tous les sites Web et téléchargent. Ils ne savent même pas ce qu’ils téléchargent la moitié du temps. Vous ne voulez pas de personnes qui vont se jeter dans le feu. Vous devez d’abord évaluer l’incendie et déterminer quel est le meilleur point d’entrée.
C’est donc la même chose lorsqu’il s’agit de l’IA générative. Quels sont les endroits sûrs où aller ? Comment s’assurer de valider cette utilisation avant de l’intégrer ? Quelles sont les différentes vérifications que nous pouvons effectuer dans l’ombre pour pouvoir dire « Oui, nous avons vraiment confiance en ce que nous faisons », avant de laisser cette utilisation se propager. Parce qu’une fois que c’est parti et que ça commence à se propager, ce n’est pas le moment de découvrir que vous avez fait quelque chose de mal parce que maintenant vous nettoyez et vous essayez de rattraper la propagation. Et ce n’est tout simplement pas amusant, pour ceux d’entre nous qui l’ont déjà fait dans d’autres domaines. Vous devez donc absolument effectuer un examen du point de vue de ces vérifications préalables avant même d’entrer dans le vif du sujet.
Et je pense qu’une autre menace liée à celle que nous commençons à voir, et qui est probablement peu commune, est la réglementation. C’est probablement l’une des tendances les plus importantes que je commence à observer alors que nous adoptons de plus en plus de charges de travail dans le cloud, alors que de plus en plus de clients optent pour le cloud. Nous allons dans des environnements de plus en plus différents, dans des pays différents. Nous commençons à voir apparaître un cloud souverain dans de plus en plus d’endroits. Il faut vraiment réfléchir à la réglementation. Auparavant, cela n’était qu’une question secondaire. Aujourd’hui, c’est au centre de bon nombre de nos discussions. Avant de nous lancer et de réfléchir à autre chose, nous devons nous demander comment adopter et nous conformer, en étant en mesure de communiquer à ce sujet, sans cesser de fonctionner et de maintenir une valeur maximale pour le client.
Clarke Rodgers :
J’ai également constaté cette tendance incroyable. Autrefois, nous pouvions discuter de la sécurité dès la conception, n’est-ce pas ? Intégrer la sécurité, peut-être même uniquement à l’étape des prototypes, des phases d’idéation. Maintenant, nous en sommes arrivés à nous dire qu’il ne faut pas oublier les obligations en matière de confidentialité, de conformité et de réglementation.
Tom Avant :
Tout à fait.
Clarke Rodgers :
Je suis content que vous remarquiez que les gens donnent une priorité supérieure à ces considérations, de sorte qu’au moment de la sortie du produit, il est réellement adapté.
Tom Avant :
Tout à fait.
Clarke Rodgers :
Eh bien, c’était formidable, Tom. J’apprécie vraiment le temps que vous m’avez accordé aujourd’hui. Merci.
Tom Avant :
Merci beaucoup de m’avoir invité. C’était vraiment très gentil.