Sécurisation accrue des services AWS par la Société Générale #
Cela inclut des politiques de sécurité « by design » qui s’appliquent aux entités, ressources et réseaux.
Grâce à ces contrôles, la banque prévoit de sécuriser une quarantaine de services AWS d’ici fin 2024. Nous savons tous que la sécurisation des services déployés dans un environnement de cloud public est cruciale, surtout pour une banque. Ces erreurs de configuration peuvent souvent être la source de failles majeures.
Surcouche de sécurité sur AWS : la réponse de la Société Générale aux failles de sécurité #
Pour sécuriser ses environnements de cloud privé virtuel sur AWS, la Société Générale a déployé une surcouche de sécurité. Celle-ci est basée sur le service de data perimeter, un produit du fournisseur américain.
À lire Pierre-Jean Chalençon doit dire adieu à son Palais Vivienne, mais pour quelles raisons ?
En plus des autres solutions de sécurité déjà en place, ces contrôles tirent une ligne entre les entités et les données d’une organisation et l’extérieur. Ils empêchent ainsi les accès illégitimes et l’exfiltration de données. En d’autres termes, il s’agit de politiques macro qui s’appliquent à toutes les entités, données et réseaux.
S3 : le point de départ des contrôles périmétriques d’AWS #
Dès 2023, la direction informatique de la Société Générale prévoit de déployer les contrôles périmétriques d’AWS sur S3. C’est le service qui concentre le volume de flux le plus important.
Il s’agit aussi d’une manière d’obtenir rapidement des bénéfices en appliquant un contrôle des ressources à toutes les ressources stockées dans S3. Au troisième trimestre, cette initiative a donné lieu à la création d’un groupe de travail transverse. Le but était de synchroniser les efforts de différentes DSI de la Société Générale sur ce projet.
Appréciation des régulateurs pour les contrôles by design #
L’implémentation de ces contrôles nécessite un certain accompagnement au changement pour les équipes. Cependant, la Société Générale a créé un processus de gestion des demandes d’exception pour traiter ces cas particuliers.
Le responsable de la cybersécurité de la banque souligne que le data perimeter, bien qu’il nécessite une certaine connaissance des services AWS, offre une garantie aux yeux des régulateurs. En effet, ce sont des contrôles implantés « by design », immuables et centralisés.
- La mise en place de contrôles systémiques sur le cloud public d’AWS
- Sécurisation des environnements en cloud privé virtuel sur AWS
- Application de contrôles périmétriques d’AWS sur S3 dès 2023
- Appréciation des régulateurs pour les contrôles by design
Pour finir, il est important de souligner que la Société Générale est en train de faire un pas de géant dans la sécurisation des services déployés dans l’environnement cloud public. En déployant une surcouche de sécurité sur AWS, la banque se donne les moyens de renforcer la sécurité de ses données et de prévenir les failles de sécurité. L’année 2024 verra l’application de ces contrôles à une quarantaine de services AWS, marquant ainsi un tournant majeur dans l’histoire de la sécurité des données bancaires.
