Transformation de la sécurité infonuagique – étude de cas

Introduction

Une grande banque nord-américaine ayant des visées d’expansion des technologies fondées sur le nuage nous a contactés afin de s’assurer que le travail sur lequel reposait sa démarche infonuagique était évalué de façon claire et compris par les parties prenantes clés.

Défi

Notre client avait besoin d’une vue d’ensemble des capacités de gouvernance de la sécurité infonuagique et voulait savoir comment procéder. Pour veiller à la gestion adéquate des efforts d’adoption du nuage, il devait se doter d’un modèle opérationnel cible détaillé pour le nuage public. Il devait également trouver une façon d’intégrer des contrôles propres au nuage aux objectifs de contrôle de l’entreprise et de s’assurer que les rôles et les responsabilités en matière de sécurisation du nuage public étaient bien compris par les multiples équipes techniques et partenaires.

Méthode

Nous avons parfaitement compris les défis que notre client devait relever et avons établi un programme de gouvernance tenant compte du personnel, des processus et de la technologie. Voici quelques-unes des principales mesures qu’a prises notre équipe pour favoriser l’alignement technique et commercial :

• Modèle opérationnel cible pour la sécurité du nuage : Nous avons aidé notre client à établir un modèle opérationnel cible pour définir clairement les rôles et les responsabilités de chaque personne et de chaque équipe. Nous avons aussi élaboré un modèle des interactions et effectué une analyse des écarts.
  
• Contrôle de la charge de travail infonuagique : Nous avons réalisé une analyse des écarts et révisé la matrice de contrôle du nuage existante en fonction des meilleures pratiques sectorielles et des cadres populaires, comme NIST, ACVM et CIS. Nous avons défini les exigences en matière de sécurité pour le contrôle de la charge de travail infonuagique et les avons alignées sur la matrice de contrôle du nuage et les meilleures pratiques. Nous avons créé un tableau RACI (Responsible-Accountable-Consulted-Informed) et un modèle des interactions, et nous avons mis sur pied un processus de suivi des événements et de correction.
  
• Évaluation de la maturité de la sécurité infonuagique : Nous avons évalué l’état actuel par rapport à la feuille de route d’adoption du nuage et fourni un moyen de suivre les progrès réalisés. Nous avons proposé une façon mesurable et objective de communiquer les progrès et les lacunes de l’adoption aux parties prenantes, et nous avons cerné les aspects à améliorer en vue de la planification et de la budgétisation.
  
• Architecture de référence de sécurité du nuage : Nous avons élaboré une architecture d’état cible pour le nuage public, une feuille de route des capacités infonuagiques et des modèles d’architecture du nuage pour des domaines prioritaires particuliers.
  
• Cadre de sécurité des données infonuagiques : Nous avons développé des artefacts de gouvernance de la sécurité des données infonuagiques clés, dont un processus de gouvernance et une politique de découverte, de classification et de protection des données infonuagiques. Nous avons également aidé notre client à concevoir une solution de gestion des secrets et à mettre en place des processus dans le nuage public.
  

Résultat

La conception d’un modèle opérationnel cible pour la sécurité infonuagique a permis d’aligner les efforts sur les responsabilités, les décisions techniques, la feuille de route exécutable et les initiatives en aval, et a facilité la prise de décision en assurant la traçabilité de la portée par rapport à la stratégie globale, à la vision et aux avantages attendus.

En renforçant les contrôles de sécurité, en comblant les lacunes existantes et en mettant en place une configuration de sécurité bien définie et un programme de protection pour les charges de travail infonuagiques (contrôle des charges de travail infonuagiques), nous avons contribué à accroître la visibilité du processus et à renforcer la confiance des parties prenantes. En outre, nous avons aidé notre client à trouver des possibilités d’amélioration de la sécurité au sein du pipeline de livraison de son entreprise afin de maximiser les performances grâce à des contrôles de sécurité automatisés.

Les livrables de l’architecture de l’état visé ont été maintenus par une équipe d’architecture d’entreprise et ont été exploités à de nombreuses reprises pour les décisions d’architecture et en tant que référence pour les vérifications de l’architecture. En outre, la feuille de route des capacités a été mise à profit pour élaborer une feuille de route de maturité et un cadre d’évaluation pour le programme de transformation infonuagique.

Les livrables de sécurité des données infonuagiques ont permis à la banque de transférer la plateforme d’analyse des données de l’entreprise au nuage et de bénéficier de capacités virtuellement infinies en matière de traitement et d’apprentissage machine.