Retour sur Cloud Expo Europe, DevOps Live, Cloud & Cyber Security Expo

Matthieu GAILLARD-MIDOL, Practice Leader Cloud Sec et Florian COULON, expert GRC nous dressent leur RETEX des conférences et ateliers coup de coeur du Cloud Expo Europe 2023, à Paris. 
Petit tour 360° des sujets abordés durant cette superbe édition dédiée aux professionnels du cloud.

Les opportunités et les limites de l'IA démocratisée pour les entreprises

Nous débutons ce RETEX par la table ronde, tenue le mercredi 15 novembre réunissant :

• Pierre Delort, Professeur Invité à Telecom Paris - IP Paris 
• Benoit Rigaut, Directeur Innovation Technologique chez CHANEL
• Clémence Panet, Head of Data à La Banque Postale
• Jean-Christophe Leboucher, Chief Data Officer chez Alain Afflelou Franchiseurs
• Yohann Laloue, Partner Conseil & Data chez SOMA. 

Un débat et des échanges vraiment intéressants qui permettaient de mettre en relief les avantages et les risques liés à l'IA pour les entreprise.

Avantages de l'IA :

• Amélioration opérationnelle : L'IA offre des opportunités d'améliorer les opérations et de rendre les opérateurs plus performants.
• Valorisation des données : Les Chatbots et les modèles linguistiques comme GPT-3 sont identifiés comme des outils pour valoriser les données non structurées.
• Optimisation des processus : L'utilisation de l'IA, en particulier dans des secteurs comme la distribution (CHANEL), permet l'optimisation des calculs et des processus.

Risques associés à l'IA :

• Effet de mode et Appauvrissement des modèles : Les participants ont mis en garde contre l'effet de mode de l'IA et ont souligné le risque d'appauvrissement des modèles avec une gestion automatisée des données.
• Défis environnementaux : Les implications environnementales de l'IA ont été mentionnées comme un risque potentiel à prendre en compte.
• Sécurité des données : La nécessité d'évaluer les modèles, en particulier dans le contexte de l'IA générative, a été soulignée pour garantir la sécurité des données.
• Risque d'hallucination et de désinformation massive : La propagation incontrôlée d'informations erronées à grande échelle a été identifiée comme un risque majeur associé à l'IA.

La protection des données et le Cloud Act - contradictions et solutions européennes

Cette deuxième table ronde réunissait des experts de renom dans le domaine de la sécurité des données, notamment en relation avec le Cloud Act. Parmi eux : 

• Didier Simba, Président et fondateur du CESIA - Club d'Experts de la Sécurité de l'Information en Afrique
• Sélim-Alexandre Arrad, Data Protection Officer (DPO) et membre de l'Institut du Numérique Responsable (INR)
• Adila Sakhraji, Data Protection Officer (DPO) - Compliance Officer - Secours Catholique – Caritas France

Après un rapide rappel historique (SCA, origine Cloud Act…) le focus va se mettre sur la cohabitation GDPR et Cloud Act. Le Cloud Act ne concerne que le CSP et non le client. En tant qu’entreprise française vous n’y êtes pas soumis, c’est votre CSP (AWS/GCP/Azure) qui y est soumis. Après l’invalidation de Schrems 2, Schrems 3 est en préparation à noter qu’il sera certainement aussi challenger.

Contradictions entre le Cloud Act et le RGPD :

• L'interdiction de principe des transferts de données vers des pays non-adéquate : La question du transfert des données en dehors de l'Europe, en particulier vers des pays non-adéquats, est un défi majeur. Les arrêts Schrems et la remise en question du Privacy Shield soulignent ces problématiques et incitent les entreprises à trouver des solutions alternatives.
• La question particulière de l'accès aux données confiées aux prestataires cloud américains :  le Cloud Act autorise les autorités américaines à récupérer des metadata, sans passer par un juge ou sans avoir de mandat, sans notification aux clients ou aux personnes concernées, créant ainsi une contradiction fondamentale. Cette possibilité est frontalement contraire au RGPD et notamment son article 48 qui limite les transferts pour répondre à une entraide judiciaire.

Solutions Européennes :

• Recours au logiciel libre et aux solutions européennes : Les entreprises font face au défi de réduire les risques associés au Cloud Act. L'utilisation de logiciels libres ou de solutions européennes émerge comme une stratégie pour contourner les implications du Cloud Act tout en respectant le cadre réglementaire européen.
• Gestion des clés de chiffrement par un tiers : Une approche consiste à confier la gestion des clés de chiffrement à des tiers, créant ainsi un blocage technique pour les fournisseurs de cloud. Cela empêche l'accès non-autorisé aux données, offrant une protection supplémentaire contre les dispositions du Cloud Act.
• Minimisation des données et diversification des prestataires : La question de confier l'ensemble des données à un seul prestataire cloud est soulevée. La minimisation des données et la diversification des prestataires sont préconisées pour garantir la confidentialité des données tout en se conformant aux lois.

Stratégies et Recommandations :

• Garder les ressources en interne en fonction de la sensibilité des données : Une stratégie consiste à garder les données sensibles en interne ou dans un cloud mieux contrôlé, en fonction de la nature et de la sensibilité des données.
• Conformité avec les recommandations de l'ANSSI : L'alignement sur les recommandations de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) est préconisé, en particulier en ce qui concerne les technologies de chiffrement exigées. Même les acteurs de cloud américains ne disposent pas nécessairement de solutions de contournement efficaces.
• Signer des clauses contractuelles types : La seule mesure technique proposée est le surchiffrement. Nous pouvons y rajouter la dispersion des données entre plusieurs clouders (méthode complexe mais très efficace). GDPR est aussi présenté comme le Schengen de la Data avec des opportunités business qui doivent apparaitre au sein de l’Europe ! Le vœu du géant du cloud européen est encore formulé !

Cybersécurité dans les PMEs/TPEs : risques et solutions

Cet échange permettait d'examiner les défis spécifiques en matière de cybersécurité auxquels font face les PMEs/TPEs. Avec 99,9% des entreprises en France appartenant à cette catégorie et générant un chiffre d'affaires de 1 milliard d'euros, la nécessité de comprendre et de prévenir les cyberattaques est devenue impérative.

Les intervenants : 

• Yasmine Douadi - RiskIntel
• Abou NDiaye - CEO Licanam Cyber & Membre du CEFCYS 
• Christophe Husson - Commandant de la gendarmerie dans le Cyberespace
• Camille Picard - Contrôle interne / Cybersecurity, ont partagé leurs expertises pour identifier les risques et proposer des solutions

Risques spécifiques pour les PMEs/TPEs :

• Des cibles privilégiées en tant que prestataires : Les PMEs/TPEs sont devenues des cibles privilégiées pour atteindre les grandes entreprises clientes beaucoup mieux protégées. Les petites structures sont de facto plus exposées.
• Coûts d'une cyberattaque :
  • Les coûts classiques de remise en activité, de notification au client et de communication varient
  • Couts cachés : une attaque a un impact psychologique sur les équipes, provoquant un turnover et donc, une perte des talents. Une cyberattaque a un coût psychologique. Cela s'accompagne généralement d'une perte de marché due à une perte de confiance des partie prenantes, au profit des concurrents.

Pistes et solutions :

• Contexte réglementaire - DORA : Le règlement DORA (Due Diligence on Remote Access) introduit une harmonisation des exigences existantes en matière de gestion des risques liés aux tiers prestataires de services TIC. Les entités financières doivent définir une stratégie en matière de risques liés à ces tiers.
• Prise de  conscience de la Direction Générale : Les stratégies de protection adéquates découlent nécessairement d'en haut.
• Accompagnement et sensibilisation :
  • Comprendre la problématique des PMEs/TPEs en cartographiant leurs ressources.
  • Durcissement des systèmes : Mise en place de Quickwins, tels que le durcissement des configurations, pour renforcer la sécurité.
• Résilience aux attaques :
  • Plan de continuité d'activité : Les PMEs/TPE doivent apprendre à maintenir l'activité en situation dégradée.
  • Alerte immédiate et dépôt de plainte : En cas d'attaque, les PMEs/TPEs doivent être prêtes à réagir rapidement, en signalant l'incident et en déposant une plainte.

Cybermenaces liées au cloud : sécurité et solutions

Explorons le modèle Zéro Trust, la sécurité du cloud et les moyens d'identifier et prévenir les attaques dans un contexte où les menaces évoluent avec la prolifération du cloud. Animée par Addy Sharma, Fondateur & Architecte en Sécurité Cloud de SecuriGeek, la discussion a mis en lumière les tendances en sécurité du cloud, les attaques récentes, et les stratégies pour renforcer la sécurité des environnements cloud.

1. Risques liés au Cloud :

• Répartition des responsabilités : Qu'importe le niveau de service de cloud (IaaS, PaaS ou SaaS), la responsabilité de la sécurité des données applicatives appartient au client.
• Breach les plus courantes :
  • Défauts de configuration dans les paramètres de sécurité.
  • Attaques liées à l'ingénierie sociale et usurpation de l'identité.

2. Solutions et stratégies :

• Quick wins pour la protection :
  • Adoption de Single Sign-On (SSO).
  • Des solutions natives, fournies par le prestataire cloud, permettent d'identifier les mauvaises configurations.
  • La gestion des privilèges et des accès des utilisateurs par l'intégration de Cloud Infrastructure Entitlement Management (CIEM).
• Rôle du DevSecOps :
  • Intégration de la sécurité dès la phase de conception (Security by Design).
  • Sécurisation des clés API accessibles depuis des sources connues.
  • Utilisation d'outils d'audit des configurations pour identifier les vulnérabilités.
• Utilisation et paramétrage des solutions d'alertes natives :
  • Exploitation des alertes natives pour obtenir une première vision des menaces.
  • Paramétrage fin des alertes pour une réponse rapide et efficace.

La discussion a mis en évidence la nécessité d'adopter des stratégies spécifiques en fonction du modèle de service cloud tout en mettant l'accent sur la sécurité préventive, la protection des données sensibles, et l'intégration de la sécurité dès les premières étapes du développement.

Les nouvelles techniques de détection des menaces futures : comment se défendre ?

Intervenants :

• Yasmine Douadi, RiskIntel
• Ayoub Louhab, Security and Compliance Expert - American Express Global Business Travel
• Arnaud Rochais, CISO - European Camping Group
• Maran Madiajagane, Group CISO - RAJA Group

CTI et apport de l'IA :

Les techniques prédictives DNS, alimentées par le Big Data et l'IA, offrent la capacité de traiter des volumes massifs de données, réduisant ainsi les faux positifs. L'IA, en fournissant des pistes pertinentes, se positionne comme un outil crucial dans la prévention des attaques et l'apprentissage des tactiques adverses. Mesurer l'efficacité de ces techniques reste un défi, soulevant la question de savoir si l'IA agit comme un frein ou un moteur dans la lutte contre les cybermenaces.

Solutions pour les structures à budget limité :

• Formation sur l'IA : Mettre en place des programmes de formation pour maximiser l'utilisation de l'IA, y compris des bonnes pratiques pour l'interaction avec des modèles tels que ChatGPT.
• Sortir du cloud public : Explorer des alternatives en dehors du cloud public pour renforcer la sécurité tout en tenant compte des coûts associés.
• IA pour la défense cybernétique : Bien que l'IA soit intégrée depuis des années dans les solutions techniques, son adoption rapide nécessite une évaluation constante des nouvelles offres sur le marché.
• Coût de la CTI : La tarification de la Cyber Threat Intelligence (CTI) dépend du périmètre, incluant la protection des DNS, la surveillance des marques, et la surface d'attaque. Des services comme le "takedown" de sites malveillants sont déterminés en fonction de ces critères.
• Stratégie de préparation à la cyberattaque : S'engager dans des exercices de crise avec la direction, concentrer les efforts sur la communication, et utiliser des outils tels que EDR (Endpoint Detection and Response), MDR (Managed Detection and Response), et SIEM (Security Information and Event Management) pour automatiser les réponses et isoler les postes corrompus.
• Petites structures et résilience : Pour les structures avec des budgets limités, la préparation à la résilience est cruciale. Cela implique de renforcer la visibilité, de corréler les informations, et de développer les compétences nécessaires pour une réaction rapide en cas d'attaque.

Sensibilisation Cyber : comment mieux définir ses besoins ? 

• Antonin CAORS - 42k.io & Cyberun
• Stéphane DARGET -  42k.io & Cyberun
• Michel GERARD -  42k.io & Cyberun

La problématique est de développer une culture cyber et de faire évoluer les comportements au sein de l'entreprise en définissant clairement les besoins en matière de sensibilisation en cybersécurité.

Ingénierie pédagogique :

• Catalogue thématique
• Parcours imposés par thème
• Construction selon profil user
• Contenu en-user vs métier
• Possibilité d'importer du contenu spécifique à l'entreprise

Timing : 

• Arrêt possible par la formation
• Définition d'une durée par module
• Durée globale

Intégration technique :

• Solution Saas vs on-premise
• Devices supportés (PC, smartphone, tablette)
• SSO Possible
• Intégration dans un LMS (Learning Management System)
• Restriction / Plage IP

Sécurité :

• SLA, support aux incidents
• RGPD (clauses contractuelles)
• Réversibilités (modalité)

Gestion des profils apprenants

• Possibilité de charger des attributs pour les apprenants (groupes)
• Constitution de groupes dans la plate forme

Mesures et KPI :

• Sur la participation
• Sur la complétude
• Sur les résultats (quizz, test)
• Sur le temps passé/modules

Tyoe de contenus :

• Cours à dérouler (slides)
• Séquences animées
• Vidéos par thème
• Chat conversationnel
• Sessions live programmée

Pricing model :

• À l'utilisateur (nommé/jeton)
• Par module
• Par device connecté

Langues :

• Catalogue disponible / Contenu
• Catalogue disponbile / Interface
• Ajout de langue possible
• Par le client
• Par l'offreur : sur devis / Standard

Awards :

• Labels de réussite / Module
• Attestation publiable sur la plateforme
• Organisation de concours

Avant d'acheter :

• PoC possible?
• Coût /délais
• Démonstration

L'évaluation du risque de la chaîne d'approvisionnement

• Bertrand Blond, Directeur des systèmes d'information de cyberdéfense - Ministère des armées
• Yasmine Douadi - RiskIntel
• Clara Le Gros, Deputy Head of Technology Risk Management - Natixis Investment Managers
• David Ofer, Président - Fédération Française de la Cybersécurité

Introduction :

La chaîne d'approvisionnement représente une cible privilégiée pour les attaquants, exploitant souvent la vulnérabilité des sous-traitants pour atteindre leurs clients. Cette table ronde aborde les risques inhérents à la supply chain et explore les nouvelles dynamiques introduites par la réglementation, notamment DORA sur le secteur bancaire. Les participants discuteront également des stratégies d'évaluation des risques et des meilleures pratiques pour renforcer la résilience de la chaîne d'approvisionnement.

Des approches convergentes dans l'armée et le secteur bancaire :

• Analyse de sisques au Ministère des Armées : Les opérations militaires dans le cyberespace nécessitent une transition technologique forte, augmentant la surface d'attaque. Attaquer les sous-traitants devient une option efficace pour les attaquants, offrant une désynchronisation coût-efficacité.
• Nouvelle Réglementation et Suivi des Prestataires dans le secteur bancaire: Le secteur bancaire, fortement régulé, s'adapte aux nouvelles réglementations telles que DORA, impliquant une évaluation directe des prestataires par les régulateurs européens. Les scores de rating des fournisseurs émergent comme des indicateurs cruciaux.

Stratégies d'évaluation et de maturité :

• Certifications et évaluation des risques : Les certifications, telles qu'ISO 27001, offrent un cadre et une structure, fournissant des critères d'appréciation objectifs. Cependant, la discussion soulève la valeur de ces certifications dans l'évaluation des risques liés à la chaîne d'approvisionnement.
• Défis de l'évaluation des fournisseurs : Identifier le maillon faible dans la chaîne d'approvisionnement est crucial. La charte informatique du fournisseur peut inclure une évaluation du risque cyber, mais la véracité reste un défi.
• Une approche contractuelle qui se révèle difficile sur le terrain : Imposer des clauses cyber dans les contrats pourrait rendre les prestations plus coûteuses. De la même façon, l'inclusion de clauses d'audit dans les contrats est à la charge du client mais oblige ce dernier à endosser cette responsabilité.
• Référentiel de maturité cyber au Ministère des Armées : Une alternative est de renforcer la maturité de la supply chain, en utilisant des critères communs pour cartographier les prestataires critiques.Un référentiel de maturité cyber, avec 21 questions réparties sur les axes de gouvernance, protection, gestion d'incident, et résilience, fournit un rating du prestataire, adaptant les réponses en fonction de son importance. Les plans de continuité d'activité (PCA) et de reprise d'activité (PRA) sont prioritaires.

Comment adapter votre stratégie de sécurité à un environnement multicloud ?

Intervenants :

• Manon Dubien, Vice Présidente du CEFCYS et Ingénieure d'affaires InfosecCEFCYS
• Anne Leslie, Member du CEFCYS
• Christine Grassi, Membre du CEFCYS
• Clémence Philippe, Membre du CEFCYS
• Romain Marcoux, Membre du CEFCYS

Une autre table ronde axée sur l'adaptation des stratégies de sécurité aux environnements multicloud. Les intervenants partagent leurs perspectives pour permettre aux entreprises de développer des stratégies efficaces dans un environnement caractérisé par la complexité et la diversité des services cloud.

Problématique :

Répartir les risques dans un environnement multicloud tout en maintenant une sécurité efficace constitue un défi majeur. La diversité des services cloud, les réglementations nationales et internationales (FR : LMP / HDS / SecNumCloud, EU : RGPD / NIS2 / EUCS / DORA, US : Cloud Act / Data Privacy Framework) ajoutent des complexités supplémentaires.

Monocloud vs. multicloud : stratégie et défis 

• Le choix entre monocloud et multicloud est crucial, surtout dans des secteurs en pénurie de talents en cybersécurité. La diversité des fournisseurs cloud et de leurs services complique la gestion de la sécurité.
• La connaissance des Identity and Access Management (IAM) sur une plateforme cloud ne se transfère pas facilement à une autre. La formation interne des référents cloud devient essentielle.

Diversité des services cloud : risques et solutions 

• La multiplication des clouds élargit la surface d'attaque. Les hyperscalers proposent leurs propres briques de sécurité.
• Une solution unifiée pour les environnements multicloud, liée aux systèmes on-premise, est nécessaire pour maintenir une vision unifiée cruciale pour une sécurité efficace.
• Les solutions tierces de sécurité deviennent pertinentes pour atteindre une unification dans un environnement multicloud.

Conseils des Intervenants :

• Christine Grassi : Recommande d'adopter s'abord une approche monocloud en utilisant les solutions de sécurité natives, moins coûteuses et automatisées. Cela permet de comprendre le niveau de maturité et facilite la transition vers une approche multicloud agnostique.
• Clémence Philippe : Suggère d'inclure le Data Protection Officer (DPO) dans les choix stratégiques, en particulier dans l'établissement du registre des traitements.
• Anne Leslie : Insiste sur la nécessité de trouver un compromis entre diverses solutions.
• Romain Marcoux : Souligne l'importance de fédérer des solutions cruciales comme l'IAM tout en mettant en avant le chiffrement.

La cybersécurité et l'enquête de police

Franck Cormary, Adjoint mission cyber à la Préfecture de Police de Paris, Ministère de l'Intérieur partage des insights sur les éléments nécessaires pour comprendre et résoudre les incidents liés à la cybercriminalité.

Mener une enquête cyber impliquant un STAD (Système de Traitement Automatisé de Données) nécessite une approche complète, combinant des éléments humains et techniques.

Éléments de Preuve en Enquête :

• Facteur Humain : Demandes de rançon, captures d'écran, mails originaux, listes des employés, emplois du temps, droits d'accès informatiques, logs d'accès au bâtiment, vidéosurveillance, logs téléphoniques, sous-traitance détaillée, intérimaires, auditions des responsables.
• Éléments Techniques : Logs d'administration, logs du firewall, détails de l'Active Directory, échantillon du loader ou payload en cas d'infection virale, copie de disque d'une machine infectée, logs d'accès aux serveurs.

Il est à noter que le juge peut requérir une communication auprès des hébergeurs, des données de connexion et d’identification de leurs clients.

Loi et Procédures :

• La prescription d'un délit intervient après 3 ans.
• Pour les crimes en flagrance, une enquête de 8 jours est initialement autorisée, prolongeable avec l'accord du procureur.
• Enquêtes préliminaires : Si elles dépassent les 8 jours, les pouvoirs des policiers sont réduits.
• Commission rogatoire : Utilisée dans les cas impliquant une bande organisée.

Compétence du Juge Français :

En cas de plainte, le juge français peut se trouver compétent si l'un des trois critères est rempli :

• Lieu de commission de l'infraction : Le lieu où l'infraction a été commise peut être un critère déterminant. Cependant, la portée de cette considération peut être étendue par d'autres facteurs.
• Domicile de l'attaquant : Si l'attaquant a un domicile connu en France, cela peut également établir la compétence juridique française.
• Nationalité de la victime : La nationalité de la victime peut conférer la compétence au juge français, particulièrement lorsque la victime est une personne morale ou une entreprise.

Il est important de noter que la compétence du juge français peut être extraterritoriale et s'étendre à des affaires impliquant des Français à l'étranger.

Focus sur la plainte :

• Dès qu'un ransomware est identifié, il est probable qu'il y ait eu exfiltration de données.
• Utilisation de ressources telles que Cybermalveillance.fr et l'ANSSI pour aider les entreprises à porter plainte.
• Les logs d'administration des serveurs sont cruciaux dans le cadre de la plainte et de l'enquête.

Posture à adopter en cas d'attaque :

• Porter plainte rapidement pour maximiser les chances de résoudre l'incident.
• Autorités à contacter : Utilisation des ressources telles que Cybermalveillance.fr et l'ANSSI.
• Se déconnecter du réseau et laisser la police collecter les preuves.

En conclusion, Franck Cormary souligne l'importance de la collaboration avec les autorités, le dépôt de plainte rapide, et le respect des procédures pour maximiser les chances de résoudre les incidents liés à la cybercriminalité.

Florian COULON 

Expert GRC - Squad PARIS

 

Avenir du DevOps Cloud Natif

Un format intéressant où 3 personnes répondent aux questions posées. Ils promeuvent le cloud mais également d’essayer d’utiliser des technos pour se rendre indépendant du CSP (Kubernetes par exemple). Le géant du cloud européen revient souvent dans les questions. OVH est proposé mais il est répondu qu’il n’a pas le même niveau de service/intégration qu’un AWS/GCP/Azure. Nous débattons des services packagés proposé par les CSP généralistes versus des services customisables avec l’exemple de PostgreSQL. Utiliser un CSP dédié pour ce service permet d’avoir un niveau d’optimisation maximal (l’entreprise citée contribue au code de PostgreSQL). On pourrait leur opposer que oui, théoriquement, utiliser un CSP spécialisé pour chaque service serait mieux, mais cela représenterait un cauchemar à sécuriser, ou bien, en cas de problématique contractuelle/forensique.

DevSecOps par GitHub

L’intervenant débute par une citation de l’ex-DG de l’ANSSI Guillaume Poupard : « Ne pas faire de cyber, c’est comme rouler à 200 km/h en moto sans casque ». Le ton est donné pour ensuite faire un rappel sur ce qu’est le DevSecOps (l’image de la Licorne Devops avec la sécurité qui nettoie derrière elle n’est pas là, mais elle aurait eu sa place). Suivi d’un rappel des différents AST (application security testing) : SAST, DAST, IAST et la modélisation de menace. Avec un focus sur le SAST de GitHub, CodeQL notamment sa capacité à proposer directement des remédiations aux développeurs (base sur Flow Chart et IA). À ma grande surprise, le DAST n’est pas identifié comme un outil particulièrement pertinent. Une solution open source sera suffisante, il ne doit pas être un centre de dépense important car on y trouve trop de faux positifs et cela requiert un fine-tuning important qui, au final, peut faire passer à côté de failles. Il vaut mieux lui préférer un IAST.

Réduire le risque multi-cloud par WIZ

L’intervenant parle du CNAPP de Wiz. Rappel les CNAPP sont la fusion du CWPP (surveillance configuration charge de travail ou qu’elle soit) et CSPM (compliance configuration cloud). Ces outils sont à ce jour le fer de lance de la sécurité cloud (1/3 des attaques ont pour raison une erreur de configuration). La solution de Wiz met l’accent sur l’onboarding des DevOps, le but est de leur permettre de remédier directement et en autonomie sans que les équipes sécurité n’aient à le leur rappeler. L’intervenant le compare au Football Total (stratégie de l’Ajax Amsterdam des années 70 où chaque joueur peut défendre/attaquer). Tout le monde peut et doit contribuer à la sécurité. La solution étant utilisé à 70-80% par des DevOps, le pari semble gagné. Je suis plus habitué à Prisma Cloud de Palo Alto et Defender de Microsoft pour CSPM/CNAPP, mais indéniablement, côté interface, Wiz sera plus parlant pour des DevOps avec notamment, une contextualisation des alertes qui semble intéressante. À creuser !

Société Générale hybrid cloud

Retour d’expérience sur l’adoption du cloud par la Société Générale avec un focus sur la gestion des coûts. Il est toujours sympathique d’avoir un RETEX d’un client où j’ai travaillé. Ils nous ont fait la présentation de la situation avec 3 écosystèmes vivant en parallèle : on-premise, cloud privé et cloud public (sur 2 CSP).

Les métiers disposent d'une multitude de choix pour le mode de déploiement, ce qui laisse beaucoup d’opportunités d’exploser son budget. Le paiement à l’usage est généralisé sur toutes les plateformes afin de responsabiliser les BU. Le capacity planning est clé pour prévoir les achats de matériels pour l'on-prem et le cloud privé mais aussi pour négocier avec les CSP. Cela est fait au niveau central par une équipe FinOps dédiée. L’objectif est d’avoir des réductions sur les services les plus utilisés. Cette équipe gère également la stratégie de tagging, les achats de réservations/saving plans et la production de tableau de bord globaux pour les métiers (incluant on-prem/cloud privé /publique).

 

Matthieu GAILLARD-MIDOL

Practice Leader Cloud Sec - Squad Lyon