Développement des talents dans le domaine des opérations de sécurité

Clarke Rodgers :
Lorsque vous cherchez à recruter, que ce soit à partir de ressources internes ou externes, quelles sont les qualités que vous recherchez pour le poste d’analyste SOC ou pour d’autres postes au sein de votre organisation ? Recherchez-vous un état d’esprit ou des compétences particulières ? De quoi s'agit-il ?

Tom Avant :
Au sein de notre organisation, il existe 12 familles d’emploi distinctes. Beaucoup de gens se disent : « Quoi ? Vous avez une organisation avec 12 familles d’emploi distinctes ? » Oui, c’est bien ça. Nous avons des PM, des TPM, des ingénieurs de support et des ingénieurs systèmes. Nous avons de petites équipes de développement tactiques. Nous avons donc des ingénieurs en développement de logiciels, des SDM, des ingénieurs en sécurité. Écoutez, je suis en train de tout répertorier. La liste ne s’arrête pas là.

Ainsi, en fonction de l’emploi que vous allez occuper, il y aura un certain nombre de QB, de qualifications de base, d’exigences spécifiques. Toutefois, pour ce qui est du travail au sein de notre organisation dans son ensemble, nous recherchons des personnes dotées d’un grand discernement. Nous recherchons des personnes habituées à travailler dans des situations ambiguës. Nous sommes habitués aux personnes qui ont une disposition naturelle à faire ce qu’il faut et... Je ne veux pas dire qu’il faut y aller les yeux fermés, car je n’aime pas forcément cette idée, mais plutôt qu’il faut évaluer avant d’y aller et s’assurer que l’on procède de la bonne manière.

Nous recherchons donc ce type de personnes, celles qui sont déjà prédisposées à répondre et qui veulent avoir cette vocation supérieure, quel que soit leur poste.

► Écouter le podcast : Building a Diverse and Empowered Security Organization

Clarke Rodgers :
Et j’imagine qu’il y a un certain niveau de curiosité et de « Comment puis-je casser les choses pour m’assurer qu’elles ne se cassent plus ? ».

Tom Avant :
Oui, c’est ça. Et aussi, des personnes qui n’aiment pas faire la même chose encore et encore, parce que même si cela fait partie de ce qui se passe lorsque vous gérez un centre d’opérations mondial 24 heures sur 24 et 7 jours sur 7, vous allez avoir de la monotonie. Je veux les personnes qui en ont marre. Je veux les personnes qui disent : « Cela fait six semaines que tu fais ça ? Je ne veux plus faire ça. » Ensuite, elles trouvent des moyens de sortir de cette situation ou des moyens plus innovants de la résoudre ou d’automatiser les solutions, ou encore « Peut-être devrions-nous essayer ce processus d’une manière différente ».

Ce sont ces personnes que je cherche. Celles qui se demandent : « Pourquoi faisons-nous cela de cette façon ? » Et si cela a du sens, ils sont partants. Et si cela n’a pas de sens, ils travaillent avec d’autres personnes pour trouver un moyen de ne plus le faire. C’est ce que je recherche.

Clarke Rodgers :
Vous avez dit qu’il s’agissait d’une opération ouverte 24 heures sur 24 et 7 jours sur 7. Cela peut être très stressant pour un être humain pendant un certain temps. Comment envisager les choses du point de vue de la gestion des ressources humaines pour s’assurer que vos collaborateurs ne s’épuisent pas, qu’ils ont la possibilité de passer par une ou plusieurs de ces 12 familles d’emploi et d’avoir une carrière épanouissante sans s’épuiser tous les jours au travail ?

Tom Avant :
Beaucoup d’entre nous, dans mon équipe de direction, sont issus de carrières différentes, où le développement de carrière était la pierre angulaire du fonctionnement de ces carrières. Ce n’était pas le cas lorsque j’ai pris mes fonctions, il y a plusieurs années, dans cet espace. Mais c’était quelque chose que j’ai jugé important d’intégrer pour m’assurer que les personnes voient la voie à suivre.

Pas seulement en fonction du niveau. Il ne s’agit pas de passer au niveau supérieur, mais de développer des compétences, de développer des rôles, de comprendre l’entreprise. C’est grâce à des conversations de ce type que nous avons fini par passer de l’espace physique à cet espace de fusion entre physique, cybernétique et logique. En disant : « Comment faire progresser ces personnes qui sont déjà très performantes ? Comment leur donner davantage de possibilités ? Comment nous associer à d’autres équipes ? Comment pouvons-nous trouver davantage de possibilités d’aider, de grandir et d’apprendre ? Comment recruter et développer les meilleurs candidats ? » C’est la partie « développer le meilleur » qui nécessitait cette attention. C’est donc vraiment là que nous nous sommes penchés.

Tom Avant :
Le paysage des menaces évolue constamment, plus rapidement que la plupart des gens ne peuvent l’imaginer. Par conséquent, si nous ne formons que des experts en sécurité qui ne sont compétents que dans un seul domaine, nous ne pourrons jamais suivre les changements rapides qui se produisent dans le monde.

En collaboration avec mes dirigeants, nous avons donc commencé à réfléchir à la manière de créer ce que j’appelle un analyste de sécurité « à spectre complet ». Comment former une personne qui maîtrise bien une discipline et qui commence à acquérir et à développer des compétences dans une autre discipline ? Et nous commençons par assumer de plus petites responsabilités. Nous avons donc suivi une formation, nous avons travaillé avec différents programmes de formation, des cours de vente et des choses de ce genre. Et puis nous avons fini par décider que, d’accord, nous allions prendre en charge certaines des activités de nos autres équipes, parce que nous fonctionnons vraiment bien à l’échelle.

Et l’avantage du SOC, c’est que même si nous sommes soutenus par notre personnel, notre premier objectif est de toujours automatiser les solutions en premier. Les êtres humains sont notre dernier recours. Et ce faisant, nous disons : « Il existe cependant des charges de travail pour lesquelles, même avec les meilleures intentions d’automatisation, vous avez toujours besoin d’une personne dotée d’un grand discernement pour pouvoir prendre certaines mesures. » Mais pour certaines de ces charges de travail, nous avons des personnes aux compétences différentes. Il n’est pas souhaitable de prendre une personne hautement qualifiée en sciences informatiques et de lui donner quelque chose qui n’exige pas la pleine utilisation de ses compétences, parce que ce n’est pas bien utiliser ses capacités.

► Regarder la vidéo : The Human Side of Security: Advice for Managing Your Security Team

Donc, si vous y réfléchissez, c’est comme la gestion des ressources. Grâce à cette discussion, nous nous sommes dit que « nous pouvions tirer parti de certains de ces éléments, en renforçant les capacités de notre personnel pour qu’il soit en mesure d’opérer dans tous les domaines ». Et en même temps, en libérant des ressources pour mes pairs de l’autre côté de l’organisation afin qu’ils puissent s’attaquer à la tâche la plus ambiguë.

En ce qui concerne les activités quotidiennes, nous voulons pourvoir aux petites choses qui sont à notre portée, comme d’avoir un snack-bar à disposition. Vous seriez surpris d’apprendre que beaucoup de gens qui ont déjà travaillé dans des centres d’opération se disent que c’est vraiment difficile quand...

Clarke Rodgers :
Les pizzas sont très appréciées.

Tom Avant :
Les pizzas sont très appréciées. Une pizza, quelques boissons, des chips. Cela rend les gens heureux. Je ne dis pas cela pour être ridicule, mais je veux dire vraiment...

Clarke Rodgers :
Non, c’est sûr. C’est bien réel.

Tom Avant :
C’est bien réel. Vous êtes dans ce centre d’opérations et parfois vous êtes tellement plongé dans ce qui se passe que vous levez les yeux et vous vous apercevez que vous avez traité un problème pendant quatre heures d’affilée. Vous n’avez même pas remarqué, n’est-ce pas ? Et il faut pouvoir disposer d’un peu d’énergie pour tenir le coup.

Nous veillons également à ce que les personnes aient la possibilité, comme je l’ai dit, d’alterner les rôles afin qu’elles sachent : « Voici les exigences pour accéder à un autre rôle ».

Nous avons toujours un système d’astreinte. Les astreintes sont inévitables lorsque l’on gère un système global. Mais dans beaucoup d’endroits, nous avons réussi à mettre en place un système globalisé dans lequel nous passons le relais à une autre équipe, et nous continuons nos opérations.

Clarke Rodgers :
En préparation de cet entretien, j’ai consulté le wiki de votre équipe interne et vous y avez publié vos locataires, des locataires que nous utilisons dans AWS pour aider les gens à avoir des conseils lorsqu’il n’y a pas quelque chose de normatif pour chaque situation particulière. Donc, c’est la façon dont vous opérez. Vous en avez mentionné un tout à l’heure : « Le recours à l’humain est le dernier recours ». Bien entendu, il faut se concentrer sur l’automatisation lorsqu’elle est judicieuse, puis l’humain peut prendre des décisions fondées sur le risque. Il y a deux autres citations que j’aimerais beaucoup que vous développiez, car je les trouve fantastiques.

Tom Avant :
Pas de problème.

Clarke Rodgers :
La première, « On ne laisse pas tomber, on transmet. »

Tom Avant :
C’est exact.

Clarke Rodgers :
Pouvez-vous développer ?

Tom Avant :
Écoutez, trop souvent, nous avons vu des gens être occupés, beaucoup de choses se passent, et la première chose que quelqu’un dit, normalement au début de sa carrière, « Ce n’est pas mon rôle. » Nous ne disons pas cela aux clients, qu’ils soient internes ou externes. Si ce n’est pas nous qui en sommes responsables, nous vous aidons à trouver la bonne personne qui en est responsable, et nous assurons un transfert souple et transparent. Nous ne nous contentons pas de dire : « Hé, ce n’est pas à nous qu’il faut s’adresser », pour ensuite la laisser tomber.

Et ça marche aussi en interne. Si vous appelez l’équipe A et que vous appelez l’équipe C, l’équipe C ne vous dira pas qu’il faut s’adresser à l’équipe A. L’équipe C va voir l’équipe A et lui dit : « Hé, équipe A, vous prenez ? C’est bon ? » J’en ai déjà fait l’expérience et au bout du deuxième ou troisième transfert, on se dit : « Qu’est-ce qui cloche dans cette organisation ? »

Clarke Rodgers :
Oui, « Ne s’agit-il pas de la même entreprise ? Comment ne se parlent-ils pas entre eux ? »

Tom Avant :
Comment ne se parlent-ils pas entre eux ? Exactement. C’est donc exactement la raison pour laquelle nous avons fait cela.

Clarke Rodgers :
J’adore celle-là. Et puis l’autre, qui peut nécessiter quelques explications, « La sécurité n’est pas une société secrète. » De quoi s’agit-il ?

Tom Avant :
Je pense que beaucoup de gens qui n’ont pas de formation en cybernétique ou qui n’ont pas travaillé dans des domaines hautement technologiques pensent que c’est très intimidant. Ils disent : « Oh mon Dieu, je ne peux pas apprendre ça » ou « Je ne peux pas coder. » Je leur réponds : « La plupart des gens que je connais ne savent pas coder. » Je connais aussi beaucoup de gens qui savent coder.

Il existe les deux types de personnes, mais il faut de tout dans le secteur de la cybersécurité, comme nous le savons tous. Si vous mettez deux militaires ensemble, surtout s’ils appartiennent au même service, en cinq minutes de conversation, ils parlent une langue différente à cause des acronymes, des bases dont vous n’avez jamais entendu parler, etc.

Il en va de même dans le domaine de la cybersécurité. Il y a donc des gens qui viennent et qui utilisent tous ces noms de code et ces acronymes, et si vous leur demandez ce que cela signifie, c’est tout à fait logique. Mais si vous ne savez pas et que vous êtes juste en train d’écouter, cela ressemble à R2-D2 et une soupe à l’alphabet. Et c’est tellement intimidant que les gens se disent : « Oh, je ne peux pas faire ça. » Et en fait, rien n’est plus éloigné de la vérité.

Nous cherchons donc à démystifier, en disant : « Tu sais quoi ? Créons un environnement propice à l’apprentissage. Créons un environnement où il n’y a pas de peur. » Posez la question – comme je le fais moi-même en réunion – si vous dites un acronyme que je n’ai jamais entendu auparavant, je vais vous demander ce qu’il signifie. Je ne suis pas timide : « Qu’est-ce que cela veut dire ? De quoi s’agit-il ? » Maintenant je le sais et je peux le dire à quelqu’un. Vous seriez surpris du nombre de fois où j’ai posé la question et où la personne m’a répondu « Oh, je ne sais pas. »

Clarke Rodgers :
Tout le monde l’utilise.

Tom Avant :
Tout le monde s’habitue à l’acronyme. Donc des choses comme ça. Et puis je pense que l’autre aspect de la question, c’est d’être capable d’être plus… non seulement précis dans notre langage, mais aussi de comprendre ce que nous utilisons et comment nous utilisons nos termes et nos mots. Cela crée un environnement dans lequel un plus grand nombre de personnes se sentent les bienvenues et capables de contribuer. Et l’avantage de cela – et je le pense vraiment – c’est qu’il y a quelqu’un dans cette pièce qui connaît la réponse, ou quelqu’un dans la pièce qui a pensé à quelque chose auquel nous n’avions pas pensé. Et si la seule chose qui les retient, c’est qu’ils ont peur d’être gênés ou qu’on les regarde bizarrement parce qu’ils ne savent rien, je veux qu’ils s’expriment. Je veux savoir de quoi il s’agit, car cela pourrait changer complètement notre façon de travailler.

► Regarder la vidéo : How to Hire and Develop Security Assurance Talent

Clarke Rodgers :
Cela aiderait AWS et les clients d’AWS, et peut-être plus encore, n’est-ce pas ?

Tom Avant :
Aidez le monde.

Clarke Rodgers :
Aidez le monde.

Tom Avant :
Tout à fait.

Clarke Rodgers :
Eh bien, c’était formidable, Tom. J’apprécie vraiment le temps que vous m’avez accordé aujourd’hui. Merci.

Tom Avant :
Merci beaucoup de m’avoir invité. C’était vraiment très gentil.