Culture. Cette palabre est simple, mais à la fois, elle doit être profonde et réduire la sécurité informatique. Ces trois éléments sont fondamentaux pour la stratégie de toute entreprise. En revanche, on entend également le RSSI d'AWS, Chris Betz, qui a été présent lors de l'inauguration de re:Inforce, l'événement de la multinationale dédié exclusivement à la cybersécurité et qui est célébré dans la ville nord-américaine de Philadelphie.

Le directif souligne l’importance que la cybersécurité imprègne tous les escaliers mécaniques d’une entreprise. Et pour cela, je peux servir d'exemple à votre propre entreprise. Il s'est exprimé ainsi : « Après avoir été client d'AWS pendant de nombreuses années, j'ai pensé à comprendre la sécurité d'AWS. Sans embargo, nous ne comprenons pas vraiment la profondeur de l’inversion en sécurité et les capacités que possède cette entreprise.

Betz a été incorporé à AWS en août dernier et ce changement lui a permis d'améliorer la culture de sécurité qui imprègne AWS. Une culture qui peut s'étendre à d'autres entreprises et qui doit être associée à la relation des entreprises avec les fournisseurs cloud. Et comme expliqué, « comme client, lorsqu'il est élu fournisseur du jeune, il établit une relation sur une grande place. Il est nécessaire qu'une société soit profondément compromise avec la sécurité. Une société qui garde ses actifs les plus vaillants. Parce que tous les cœurs sont construits de la même manière, en particulier lorsqu'ils traitent de la sécurité. En AWS, nous avons développé une culture de sécurité réellement solide pendant une longue période. Construire et entretenir cette culture nécessite une activité d’inversion constante. C’est important. Une culture de sécurité ne se construit pas de la nuit à la maison et peut perdre sans un échec et une inversion constantes ».

Pour montrer cette culture ouverte, l'entreprise s'est assurée que « nos professeurs ont nos équipes de service pour qu'ils soient fondamentalement appropriés à la sécurité de nos produits ». Chaque équipe a une profonde connaissance de ses produits et services, ce qui lui permet de prendre des décisions temporelles et intelligentes sur la manière de construire ces services de manière plus sûre. Les dirigeants de nos équipes de service sont responsables de la sécurité de leurs services, et nosotros, comme les dirigeants d'AWS, ont également leur responsabilité. Pour faire mieux, nous devons aborder nos équipes de service et aider à augmenter les meilleures pratiques de sécurité. Nous avons donc créé le Consejo de Audiencia de AWS. Les tuteurs sont des ingénieurs intégrés dans nos équipes de service qui développent une expérience approfondie en matière de sécurité et aident à intensifier les pratiques de sécurité chez AWS. En tant que partie des équipes de service, les tuteurs sont présents à chaque étape du cycle de développement, depuis la planification divisée jusqu'aux réunions de destination et aux révisions de sécurité, pour donner votre avis sur les décisions de sécurité et aider à créer un logiciel plus sûr. ».

Au final, l'objectif, comme toute entreprise, est de vendre ses solutions et ses produits et pour cela, les arguments nécessaires. L’AWS est un argument solide : la sécurité. Comme l'a expliqué Betz, « quand il s'agit de sécurité, nous devons agir comme un équipement unifié, et sur AWS nous le faisons. Sur AWS, chaque personne liée à la sécurité s'élève rapidement à un équipement de sécurité qui assume la propriété. Pour cette culture de la sécurité, les produits et les solutions d'AWS sont toujours sûrs de la conception, définissant les pratiques, les technologies et les contrôles qui sont profondément intégrés à toutes les capacités, à partir des centres de données physiques jusqu'à la conception du rouge et de l'architecture. de surface, garantit une sécurité et une protection des données solides pour vos applications de données ».

Le plus grand responsable de la cybersécurité d'Amazon Web Services a fait un travail d'une bonne partie des solutions pour que la sécurité soit intégrée depuis le début, depuis Graviton 4, sur la puce ci-dessous pour compléter toutes les interfaces physiques du matériel à haute vitesse. , y compris la DRAM ou AWS Nitro Enclaves, une capacité d'EC2 qui permet des sorties d'exécution faciles qui protègent et garantissent un plus grand processus de données hautement confidentiel.

Aussi les services

AWS est conscient que les clients sont tous les plus préoccupés par leur cybersécurité. Oui, cette culture s'étend également aux services, un des maires commerciaux de la multinationale. « Nous avons une réponse très claire en proposant des services résistants, sûrs et durables. Cela signifie que nous ne pouvons pas utiliser de nouveaux outils ni même réécrire le code existant, si nous pensons que cela peut être plus sûr. Par exemple, l'année passée, sans plus de joies, plus de 98 % des paquets en production sur Amazon seront écrits en utilisant des langues sécurisées pour la mémoire ».

L'amisisme, dans cette culture de cybersécurité, les essais et les tests, est très important pour l'organisation. Et en tant qu'exposant du RSSI de la multinationale, « les essais sont un concept important pour garantir que le système est conforme à la forme attendue. Nous avons donc des tests positifs, car nous testons le système avec des entrées valides et des conditions attendues pour vérifier que son fonctionnement est le même, comme des tests négatifs, et nous testons le système avec des entrées non valides et des conditions inévitables pour identifier d'éventuelles erreurs ou vulnérabilités.

Les essais peuvent être effectués de manière manuelle ou automatisée. Cette dernière option est l'une des meilleures entreprises de l'entreprise, car les catégories d'essais sont limitées par les types et la gamme d'entrées. Betz se preguntó « ¿qué se produira si se pudieran probar todas las entradas possibles ? Le processus automatisé considère des entrées infinies possibles pour les systèmes, les algorithmes et les configurations de formes qui ne sont pas sécurisées. Le raisonnement automatisé se réfère à l'utilisation de techniques et d'outils basés sur la logique formelle pour analyser et vérifier la correction des systèmes logiciels et des résultats cryptographiques. Votre grande vente est que nous vous permettons de voir quels comportements sont capables du système et, en continu, d'identifier également les comportements qui doivent être corrigés. Dans le cas des systèmes complexes, les entrées possibles pour considérer sont très grandes ou même infinies. Nous pouvons faire mieux. Les techniques de planification automatisées utilisent la logique formelle pour explorer cet espace infini en une seule seconde, et cela devient une forme systémique et exhaustive. En matière de sécurité, nous utilisons le raisonnement automatique pour vérifier la correction des protocoles cryptographiques, la logique d'autorisation et la cohérence des systèmes d'exploitation. Nous utilisons également le raisonnement automatique pour que les clients puissent démontrer qu'ils n'ont pas d'accès au désir au milieu du raisonnement politique et des contrôles rouges. Et, finalement, nous utiliserons le raisonnement automatique pour vérifier les mécanismes de sécurité comme les sécurités, les systèmes de détection d'intrusions ou le code et les pratiques de sécurité ».

A lire également