Une stratégie de sécurité renforcée #
Cette démarche s’inscrit dans une politique de contrôle systémique by design, qui s’applique à toutes les entités, ressources et réseaux.
Prévoyant de couvrir une quarantaine de services AWS avec les contrôles de périmètre de données du prestataire d’ici fin 2024, la banque s’assure une protection optimale contre les failles de sécurité courantes, notamment liées aux erreurs de configuration.
Un déploiement progressif des contrôles #
Dès le début de l’année 2023, la direction informatique de la Société Générale a commencé à déployer les contrôles périmétriques d’AWS sur S3, le service concentrant le volume de flux le plus important. Ce déploiement progressif permet d’atteindre rapidement de premiers bénéfices en appliquant un contrôle des ressources à l’ensemble des ressources stockées dans S3.
Fin 2023, quinze services AWS étaient déjà couverts par ce dispositif, et l’objectif est d’en couvrir une quarantaine d’ici fin 2024. Selon Al’hossein Laaguel, responsable cybersécurité de la Société Générale, cette approche permet de bloquer tous les comportements suspects tout en s’adaptant aux besoins spécifiques de la banque.
Des contrôles appréciés des régulateurs #
La mise en œuvre de ces contrôles nécessite un accompagnement au changement auprès des équipes. En effet, ils limitent par définition les exceptions. Toutefois, ces contrôles peuvent être adaptés pour prendre en compte les besoins spécifiques des partenaires.
Dans le contexte bancaire, ces contrôles offrent une garantie supplémentaire aux yeux des régulateurs. Ils sont implantés by design, immuables et centralisés, ce qui est très apprécié par ces derniers.
Un processus de gestion des demandes d’exception #
Face à cette nouvelle politique de sécurité, la Société Générale a mis en place un processus de gestion des demandes d’exception. Cette initiative permet de traiter efficacement les cas particuliers, en prenant en compte les besoins spécifiques des partenaires.
Par ailleurs, le data perimeter, malgré sa complexité, est un outil de contrôle très apprécié des régulateurs. En effet, il permet de séparer tout ce qui relève de la production de l’ensemble des environnements hors-production.
- La banque déploie des contrôles systémiques sur le cloud public d’AWS
- Une quarantaine de services AWS seront couverts par ces contrôles d’ici fin 2024
- Le déploiement des contrôles périmétriques d’AWS a débuté sur S3 en 2023
- Un processus de gestion des demandes d’exception a été mis en place
- Le data perimeter est un outil de contrôle très apprécié des régulateurs
Pour conclure, la Société Générale a su s’adapter aux enjeux de la cybersécurité en déployant des contrôles systémiques sur le cloud public d’AWS. En mettant l’accent sur la prévention et le contrôle, la banque est parvenue à renforcer sa sécurité tout en préservant l’agilité de ses projets. Grâce à cette stratégie, elle a pu couvrir une grande partie de ses services AWS et prévoit d’étendre cette couverture à une quarantaine de services d’ici fin 2024. C’est une véritable avancée dans la protection des données et une garantie supplémentaire pour les clients de la banque.
