Introduction à la sécurité cloud de la Société Générale #
Ces contrôles sont conçus pour s’appliquer aux entités, aux ressources et aux réseaux en complément des autres mesures de sécurité déjà en place.
La banque prévoit de couvrir une quarantaine de services AWS avec ces contrôles d’ici fin 2024. Cette initiative vise à renforcer la sécurité des services déployés dans l’environnement cloud, un domaine où les erreurs de configuration peuvent conduire à des failles de sécurité.
Un renforcement de la sécurité grâce à AWS #
La Société Générale compte sur AWS pour renforcer ses politiques de sécurité. En plus des solutions existantes, la banque déploie une surcouche de sécurité basée sur le service data perimeter d’AWS. Ce service trace une ligne entre les données et entités d’une organisation et le monde extérieur, empêchant ainsi les accès illégitimes et l’exfiltration de données.
Le responsable cybersécurité de la Société Générale, Al’hossein Laaguel, a déclaré que la banque souhaitait aller plus loin dans la sécurisation de ses environnements cloud sans compromettre l’agilité des projets offerte par le cloud.
Les premières étapes de déploiement #
Le service S3 d’AWS est le premier à bénéficier de ces contrôles périmétriques. Le choix de S3 s’explique par le volume de flux qu’il concentre, ce qui en fait le candidat idéal pour un premier déploiement. Le projet a débuté en 2023 et a permis de synchroniser les efforts des différentes divisions informatiques de la Société Générale.
À la fin de l’année 2023, 15 services AWS étaient déjà couverts par ces contrôles et l’objectif est d’en atteindre une quarantaine d’ici fin 2024. Laaguel assure que l’essentiel des besoins sera alors couvert.
Les contrôles by design : appréciés des régulateurs #
La mise en œuvre de ces contrôles nécessite un certain accompagnement au changement pour les équipes, car ils limitent les exceptions. Cependant, il est toujours possible d’adapter les contrôles pour répondre aux besoins spécifiques des partenaires. La banque a mis en place un processus pour gérer ces demandes d’exception.
Pour Laaguel, l’utilisation du data perimeter, bien qu’elle nécessite une connaissance approfondie des services AWS, est une garantie pour les régulateurs. Ces contrôles by design, immuables et centralisés, sont appréciés des régulateurs, tout comme le fait qu’ils servent à séparer tout ce qui relève de la production des environnements hors-production.
Les avantages de ces nouveaux contrôles #
- Sécurisation accrue des données et du réseau
- Prévention des accès illégitimes et de l’exfiltration de données
- Adaptabilité des contrôles pour répondre aux besoins des partenaires
- Appréciation positive des régulateurs
Dans un monde où la cybersécurité est de plus en plus importante, la Société Générale fait figure de pionnière en matière de protection des données sur le cloud. Grâce à ces nouvelles mesures, la banque renforce sa position de leader dans le secteur de la sécurité des données. Un exemple à suivre pour toutes les entreprises qui cherchent à renforcer leur sécurité sur le cloud.
