Pour les utilisateurs de cloud public, la sécurisation des services déployés dans cet environnement reste une préoccupation majeure, les erreurs de configuration étant souvent à l'origine de failles. C'est d'autant plus vrai quand on parle d'une banque. Ainsi, pour sécuriser ses environnements en cloud privé virtuel sur AWS, la Société Générale déploie une surcouche de sécurité, basée sur le service data perimeter du fournisseur américain.
Venant s'ajouter aux autres solutions de sécurité déjà en place, ces contrôles tracent un trait entre les identités et données d'une organisation et l'extérieur, et empêchent par construction les accès illégitimes et l'exfiltration de données. Autrement dit, il s'agit de politiques macro s'appliquant à l'ensemble des identités, données et réseau. « Dans notre organisation, une gestion des postures de sécurité nous permettait déjà de vérifier la configuration des environnements cloud, indique Al'hossein Laaguel, responsable cybersécurité au sein de la direction informatique des fonctions corporate de la Société Générale. Mais nous voulions aller plus loin, sans remettre en cause l'agilité sur les projets qu'amène le cloud. »
S3 en éclaireur
Dès le début 2023, la direction informatique corporate déploie les contrôles périmétriques d'AWS sur S3. « C'était le meilleur candidat, car c'est le service concentrant le volume de flux le plus important », indique le responsable cyber. Et aussi une manière d'atteindre rapidement de premiers bénéfices en appliquant un contrôle des ressources à l'ensemble des ressources stockées dans S3. Au troisième trimestre, l'initiative suscite la création d'un groupe de travail transverse, permettant de synchroniser les efforts des différentes DSI de la Société Générale sur le sujet.
Al'hossein Laaguel, responsable cybersécurité au sein de la direction informatique des fonctions corporate de la Société Générale, lors de l'AWS Summit qui se tenait à Paris début avril.
« Fin 2023, 15 services AWS étaient couverts et nous en visons une quarantaine pour fin 2024. L'essentiel des besoins sera alors couvert », assure Al'hossein Laaguel. Si l'implémentation des data perimeter soulève un certain nombre de points spécifiques, le principe reste très simple et repose sur des scripts, qui peuvent être déclinés à partir de modèles génériques fournis par AWS. « Nous avons fait le choix de bloquer tous les comportements suspects, mais l'outil permet aussi, dans certains cas, de se limiter à de la détection de ceux-ci », détaille le responsable.
Contrôles by design appréciés des régulateurs
La mise en oeuvre de ces contrôles suppose un certain accompagnement au changement auprès des équipes, car ils limitent par définition les exceptions. « Mais il est toujours possible d'adapter les contrôles pour prendre en compte les besoins des partenaires par exemple », indique Al'hossein Laaguel. La Société Générale a d'ailleurs créé un processus de gestion des demandes d'exception afin de traiter ces cas particuliers.
PublicitéPour le responsable cybersécurité, si le data perimeter impose une certaine connaissance des services AWS, il constitue, dans le contexte bancaire, une garantie aux yeux des régulateurs. « Ce sont des contrôles implantés by design, immuables et centralisés, ce qu'ils apprécient. Tout comme le fait que nous nous en servions pour séparer tout ce qui relève de la production de l'ensemble des environnements hors-production », souligne Al'hossein Laaguel.