Introduction à la sécurité dans le cloud #
Les erreurs de configuration sont souvent à l’origine de failles de sécurité, ce qui est particulièrement critique lorsqu’il s’agit d’une banque. Pour assurer une sécurité optimale, la Société Générale a mis en place une série de mesures pour renforcer ses environnements cloud privés sur AWS.
En complément des autres mesures de sécurité, la banque a déployé des contrôles systématiques sur le cloud public d’AWS. Ces politiques sont déployées par design et s’appliquent à l’ensemble des entités, des ressources et des réseaux de l’entreprise.
Une surcouche de sécurité pour AWS #
La Société Générale a déployé une surcouche de sécurité basée sur le service data perimeter du fournisseur américain, AWS. Cette couche supplémentaire de sécurité trace une ligne entre les entités et les données de l’entreprise et l’extérieur, empêchant ainsi tout accès illégitime et l’exfiltration de données.
À lire Pierre-Jean Chalençon doit dire adieu à son Palais Vivienne, mais pour quelles raisons ?
Ces contrôles s’appliquent à une macro politique qui couvre l’ensemble des entités, données et réseaux. Selon Al’hossein Laaguel, responsable cybersécurité de la direction informatique des fonctions corporate de la Société Générale, le but est de renforcer la sécurité sans compromettre l’agilité offerte par le cloud.
Une application initiale sur S3 #
À partir de début 2023, la direction informatique corporate de la société prévoit de déployer les contrôles de périmètre d’AWS sur S3. S3 a été choisi car il s’agit du service qui traite le volume de flux le plus important, d’après Al’hossein Laaguel.
En appliquant un contrôle des ressources sur l’ensemble des ressources stockées dans S3, la Société Générale espère obtenir rapidement des bénéfices en matière de sécurité. Un groupe de travail transverse a été créé pour coordonner les efforts des différentes DSI de la Société Générale sur ce sujet.
Une approche appréciée par les régulateurs #
La implementation de ces contrôles nécessite une certaine adaptation de la part des équipes car ils limitent par définition les exceptions. Cependant, Al’hossein Laaguel assure qu’il est toujours possible d’ajuster les contrôles pour répondre aux besoins spécifiques des partenaires.
Les régulateurs apprécient particulièrement cette approche secure by design, immuable et centralisée. Pour Al’hossein Laaguel, le data perimeter offre une garantie de sécurité dans le secteur bancaire.
- La sécurité dans le cloud est une priorité majeure pour la Société Générale
- La surcouche de sécurité pour AWS empêche tout accès illégitime et l’exfiltration de données
- Les contrôles de périmètre d’AWS seront initialement déployés sur S3
- L’approche secure by design est appréciée par les régulateurs
La Société Générale prévoit de couvrir une quarantaine de services AWS avec ces contrôles de périmètre d’ici fin 2024. Les scripts utilisés pour mettre en œuvre ces contrôles sont dérivés de modèles génériques fournis par AWS. L’outil permet également, dans certains cas, de se limiter à la détection des comportements suspects.
Avec cette approche, la Société Générale espère renforcer sa sécurité sans compromettre l’agilité offerte par le cloud. C’est une étape importante dans la transformation digitale de la banque, qui démontre son engagement à protéger les données de ses clients tout en restant à la pointe de la technologie.
