Stratégie de sécurité de la société générale sur AWS #
Ces contrôles, qui sont déployés par conception, s’appliquent aux entités, ressources et réseaux.
Cette banque prévoit d’étendre ces contrôles data perimeter à une quarantaine de services AWS d’ici la fin de l’année 2024.
Problème de sécurité dans le cloud public #
Pour les utilisateurs du cloud public, assurer la sécurité des services déployés reste une préoccupation majeure. Les erreurs de configuration sont souvent à l’origine des failles, en particulier pour les banques.
À lire Picard : cet apéritif vous aide à garder la ligne pendant les vacances
La Société générale a donc décidé de déployer une couche de sécurité supplémentaire sur AWS, basée sur le service data perimeter du fournisseur américain.
Contrôles et sécurité des données #
Ces contrôles ajoutent une barrière entre les entités et les données de l’organisation et l’extérieur, empêchant ainsi tout accès illégitime et l’exfiltration de données. En d’autres termes, il s’agit de politiques macro qui s’appliquent à toutes les entités, données et réseaux.
La Société générale a décidé d’aller plus loin dans la sécurisation de ses environnements cloud, sans pour autant remettre en cause l’agilité que le cloud apporte aux projets.
Déploiement des contrôles sur S3 #
Au début de l’année 2023, la direction informatique corporate de la Société générale a commencé à déployer les contrôles périmétriques d’AWS sur S3, qui est le service qui concentre le volume de flux le plus important.
À lire Pierre-Jean Chalençon doit dire adieu à son Palais Vivienne, mais pour quelles raisons ?
Cette stratégie a rapidement porté ses fruits en permettant un contrôle des ressources sur l’ensemble des ressources stockées dans S3.
- Fin 2023 : 15 services AWS étaient couverts par les contrôles
- Fin 2024 : une quarantaine de services AWS seront couverts par les contrôles
Appréciation des régulateurs #
La mise en place de ces contrôles requiert un certain accompagnement au changement pour les équipes, car ils limitent par définition les exceptions. Toutefois, la Société générale a créé un processus de gestion des demandes d’exception pour traiter ces cas particuliers.
Dans le contexte bancaire, le data perimeter représente une garantie aux yeux des régulateurs. Ces contrôles sont implantés par conception, immuables et centralisés, ce qui est très apprécié par les régulateurs.
En résumé, la Société Générale a mis en place une stratégie robuste pour sécuriser ses environnements en cloud privé virtuel sur AWS. Par conséquent, le niveau de sécurité a été considérablement augmenté grâce à l’intégration de contrôles systémiques. De plus, cette stratégie a été bien accueillie par les régulateurs, ce qui lui confère une crédibilité supplémentaire. Il est clair que la Société générale a pris des mesures significatives pour garantir la sécurité de ses données et de ses ressources sur le cloud public AWS.