Retour d’expérience client : sécurité et conformité sur le Cloud AWS dans le secteur bancaire
Facilité d’innovation, agilité, paiement à l’usage… nombreux sont les acteurs bancaires qui misent sur le Cloud pour moderniser leur infrastructure, comme le souligne cet article publié sur les Echos. Cependant les banques doivent répondre au haut niveau d’exigence réglementaire du secteur, et pouvoir disposer d’outils de contrôle et sécurité performants. Nous vous proposons ici un retour d’expérience client, anonymisé pour des raisons de confidentialité, sur la mise en place des outils de sécurité et leur industrialisation, la mise en conformité et l’accompagnement de l’équipe Compliance au sein d’une banque.
Dans quel contexte avez-vous fait appel à Devoteam Revolve ?
J’ai rejoint une nouvelle société pour piloter un projet Cloud. J’avais déjà travaillé avec Devoteam Revolve dans le passé, j’avais une bonne expérience Cloud, mais le contexte sécurité de ce projet dans le secteur bancaire était particulier, avec un haut niveau d’exigence réglementaire. Donc, quand nous avons décidé d’aller dans le Cloud, nous avons choisi de faire appel à un partenaire pour nous accompagner sur la sécurité dans le Cloud. Nous avions déjà une certaine expérience sur le Cloud, mais pas suffisante pour aborder les aspects sécurité et conformité.
Pour quelle raison avez-vous choisi le Cloud ?
Il s’agissait d’un choix stratégique et industriel. D’une part, nous voulions avoir des outils de contrôle et de sécurité performants, d’autre part la possibilité d’avancer rapidement sur les projets d’innovation. En libérant des contraintes d’infrastructure, le Cloud permet d’accélérer la création de valeur.
Quel était le challenge de ce nouveau projet ?
Nous voulions lancer le développement de produits innovants sur le Cloud, mais avec les mêmes standards de sécurité que sur une infrastructure on premise.
Quel type de workloads utilisez-vous sur le Cloud ?
Nous avons du développement en serverless (Lambda), du calcul, une couche API à disposition de nos clients pour la partie paiement, et beaucoup de Machine Learning.
Nous utilisons le Machine Learning pour faire de la détection de fraude : collecter la donnée, l’analyser et la scorer.
Est-ce que le passage au Cloud vous a permis de réduire les coûts d’exploitation ?
Oui, sur les serveurs EC2, les bases de données, le stockage objet et les Lambdas, le paiement à l’usage nous a permis de réduire les coûts. Les coûts de sécurité sont un peu plus élevés, mais même en les incluant nous restons en dessous d’un budget on premise.
Quels ont été les critères de choix du Cloud AWS ?
L’environnement client penchait pour Google Cloud Platform, mais les développeurs ont alerté sur le fait que les solutions envisagées n’étaient pas encore disponibles sur GCP. Par ailleurs, les architectes et DevOps connaissaient bien la plateforme AWS et garantissaient la mise en place des éléments voulus.
Trois critères nous ont principalement poussés à choisir AWS : la capacité à développer puisque les équipes étaient formées, la gestion des coûts plus fine que sur GCP, et enfin la possibilité d’avoir des Datacenters sur Paris, ce qui était requis par rapport à la réglementation. Sur la partie sécurité, nous utilisons aujourd’hui les services AWS suivants : Guard Duty, Macie, Security Hub, Detective, Cloudtrail et Config.
Comment Devoteam Revolve vous a accompagné sur la sécurité sur le Cloud ?
L’accompagnement a porté sur trois axes :
- la mise en place des outils de sécurité et leur industrialisation
- la mise en conformité
- l’accompagnement de l’équipe Compliance
S’il est relativement simple d’activer les outils de sécurité, il est plus compliqué de les rendre performants dans l’analyse et Devoteam Revolve nous a apporté ses compétences sur ce point. Devoteam Revolve nous a également aidé dans l’analyse des retours d’expérience d’établissements bancaires afin d’établir le niveau de sécurité envisageable. Il était important pour moi d’être accompagné sur la mise en place de la sécurité à très haut niveau, et l’équipe Revolve, et notamment Christine Grassi, que je remercie encore, m’a aidé à faire prendre conscience en interne des enjeux de sécurité.
Devoteam Revolve a également établi une roadmap technique sur le long terme, avec les actions à mettre en place. Ceci incluait un volet culturel sur l’évangélisation du Cloud), et la mise en place d’un security champion pour diffuser au sein des équipes une philosophie SecOps dédiée au Cloud.
Quels sont les enjeux de cette transformation autour de la sécurité ?
Au niveau des équipes, prendre en compte la sécurité dès le départ d’un projet est un changement à la fois technique et culturel. Devoteam Revolve nous a énormément aidé dans la diffusion de cette culture et l’accompagnement à la transformation, des sujets sur lesquels nous n’avions pas d’expérience ni de méthodologie. Nous allons avoir des Security Champion qui diffuseront les bonnes pratiques au sein des équipes et qui suivront les enjeux de sécurité tout au long du projet. Quand on n’a pas l’expérience de la mise en place de ces enjeux culturels, il est difficile de savoir où commencer. Nous allons mettre maintenant une vraie culture sécurité comme nous l’a suggéré Devoteam Revolve.
Quel bilan tirez-vous de cet accompagnement ?
A jour, le projet n’est pas encore terminé, mais le bilan est très positif. Nous suivons la feuille de route pour atteindre les objectifs établis par Revolve et contrôler leur avancée régulièrement, et si besoin mesurer l’écart, afin d’assurer la mise en application native de la sécurité.
Le périmètre est clairement défini, l’état d’esprit a changé, les outils sont en place et nous avons déjà automatisé beaucoup de process. Il reste maintenant à faire la vérification et les contrôles, mais grâce à l’automatisation nous avons pu mettre en place les règles de sécurité beaucoup plus facilement qu’on ne l’aurait fait on premise.
Où en êtes-vous de l’automatisation ?
Nous mettons en place la CI/CD sur le Cloud. Les développeurs ont bien compris les enjeux de cette automatisation, nous pouvons maintenant déployer de façon automatisée un template de sécurité si nous voulons tester une fonctionnalité sur un produit pour nos clients. Tous les éléments de sécurité sont déjà pré intégrés et variabilisés. C’est un point important, nous nous refusons d’utiliser la console pour une modification. Qu’il s’agisse d’une modification sur EC2, lambda, Code Commit ou Athena, tout est géré par un process de plan, test et déploiement as code avec Terraform. Les modifications se font sur Git, sont placées dans un conteneur Docker puis poussées sur AWS après les tests unitaires.
Qu’avez-vous apprécié dans la relation avec les équipes Revolve ?
J’avais rencontré Devoteam Revolve lors de AWS re:Invent, nous avions tout de suite eu un bon contact, nous avions la même vision du Cloud. AWS m’avait également recommandé Devoteam Revolve et sa capacité d’accompagnement et de conseil. J’ai fait appel à Devoteam Revolve dans le cadre d’un autre projet, et cela s’était très bien passé. J’ai apprécié leur expertise des services AWS, la capacité d’écoute, la flexibilité des équipes pour répondre à nos exigences, et leur disponibilité. Ce projet de migration s’est très bien passé, avec une équipe venue de Paris sur Toulouse. Fort de cette expérience, quand j’ai commencé cette nouvelle mission de sécurité, j’ai proposé de faire appel à Revolve pour nous accompagner sur la sécurité et dans la transformation Cloud. J’avais la certitude d’avoir fait le bon choix, et très vite Devoteam Revolve a mis en place l’équipe qui nous a aidé à définir nos objectifs et la roadmap.