La sécurité par design: la nouvelle approche de la Société Générale #
Ces nouvelles mesures viennent renforcer la sécurité déjà en place et s’appliquent aux entités, ressources et réseaux de la banque.
La Société Générale prévoit de couvrir une quarantaine de services AWS d’ici fin 2024 avec ces contrôles. Ces derniers ont pour objectif de tracer une ligne claire entre les données de l’organisation et l’extérieur, empêchant ainsi tout accès illégitime et l’exfiltration de données.
Des contrôles systémiques pour sécuriser les services déployés dans le cloud #
Les erreurs de configuration étant souvent à l’origine de failles de sécurité, la Société Générale a opté pour une surcouche de sécurité basée sur le service data perimeter d’AWS. Cette approche permet notamment de vérifier la configuration des environnements cloud tout en conservant l’agilité nécessaire à l’évolution des projets.
À lire Un enfant sur 10 a des migraines et c’est très souvent plus que un simple mal de tête
La mise en place de ces contrôles systémiques requiert un changement d’approche et un accompagnement des équipes. Les exceptions seront limitées et chaque cas particulier sera pris en compte à travers un processus de gestion des demandes d’exception.
Les avantages des contrôles by design #
Les contrôles by design offrent une garantie aux régulateurs dans le contexte bancaire. Ils sont appréciés pour leur immuabilité et leur centralisation. De plus, ils permettent de séparer tout ce qui relève de la production de l’ensemble des environnements hors-production.
La Société Générale a fait le choix de bloquer tous les comportements suspects, bien que l’outil permette également de se limiter à la détection de ceux-ci. Ce principe simple repose sur des scripts, qui peuvent être déclinés à partir de modèles génériques fournis par AWS.
Première étape : le déploiement des contrôles sur S3 #
Dès le début 2023, la direction informatique de la Société Générale prévoit de déployer les contrôles périmétriques d’AWS sur S3. Ce service a été choisi car il concentre le volume de flux le plus important, permettant ainsi de couvrir rapidement de premiers bénéfices.
La mise en place de ces contrôles sur S3 a entraîné la création d’un groupe de travail transverse, permettant de synchroniser les efforts des différentes DSI de la Société Générale sur le sujet.
- Contrôles systémiques sur le cloud public d’AWS
- Surcouche de sécurité basée sur le service data perimeter d’AWS
- Gestion des postures de sécurité pour vérifier la configuration des environnements cloud
- Processus de gestion des demandes d’exception
- Déploiement des contrôles périmétriques d’AWS sur S3
En repensant sa stratégie de sécurité, la Société Générale a fait preuve d’une réelle volonté d’innovation. Les contrôles systémiques sur AWS, la surcouche de sécurité basée sur le service data perimeter d’AWS, la gestion de la configuration des environnements cloud et le déploiement des contrôles périmétriques d’AWS sur S3 sont autant de mesures qui permettront de garantir la sécurité des données de la banque. C’est une nouvelle approche qui, bien que complexe à mettre en place, offre des garanties solides en termes de sécurité. La Société Générale démontre ainsi que la sécurité des données est au cœur de ses préoccupations et qu’elle est prête à innover pour garantir un niveau de protection optimal à ses clients.
