Modern Applications : Le contrôle grâce à des pratiques réglementées
Dans notre dernier eBook, créé en partenariat avec Microsoft, « Start in control and stay in control », nous proposons cinq principes clés. Au cours de cette série, nous examinerons chacun de ces principes en profondeur, aujourd'hui : « Le contrôle grâce à des pratiques réglementées ».
Traditionnellement, il y a toujours eu une impression de conflit entre l'innovation et l'agilité d'une part, et les politiques et processus d'autre part. Les innovateurs à l'esprit libre veulent développer et créer sans obstacles, tandis que les décisionnaires tiennent à s'assurer que les structures de gouvernance sont respectées.
Si les possibilités offertes par le cloud et d'autres plateformes peuvent être source d'innovation pour les organisations de toutes tailles, les politiques garantissant la sécurité et la conformité doivent s'aligner sur cette évolution technologique.
Habilitation sécurisée vs. gouvernance centralisée
Governing an organization centrally was often the default option as it was - in many ways - the easiest approach. Yet this centralized approach is not fit for purpose for innovation-ready enterprises as it can potentially create bottlenecks which in turn, makes governance restrictive and burdensome.
What we propose is a model of secure enablement - on a team level - which aims to maintain security by prohibiting actions leading to threats while guiding teams on executable actions with unified objectives in mind.
These two aims need to be at the heart of policies collaboratively developed by IT and business. This will serve as a framework for decision-making on how teams work, and not a bottleneck which impedes innovation.
Forget a centralized approach: secure enablement leads to agility and good governance.
Définir des politiques pour différentes plateformes
Avant de mettre en place leurs structures de gouvernance, les organisations doivent définir leurs politiques d'entreprise. Cela implique de documenter les risques commerciaux, ce qui amène à transcrire les décisions relatives aux risques en déclarations de politique générale qui, par la suite, établissent des processus de contrôle des violations pour chaque plateforme.
La première politique de plateforme concerne le cloud. Le Microsoft Cloud Adoption Framework propose cinq disciplines de gouvernance du cloud :
- Gestion du coût : Évaluer les coûts, limiter les dépenses informatiques, s'adapter aux besoins et instaurer une responsabilité financière.
- Base de sécurité : Établir une base de référence en matière de sécurité pour tous les efforts d'adoption.
- Cohérence des ressources : Assurer une cohérence dans la configuration des ressources.
- Normes d'identification : Veiller à ce que les règles en matière d'identité et d'accès soient respectées en définissant avec cohérence les rôles et leur assignation.
- Accélération du déploiement : Accélérer le déploiement par la centralisation, la régularisation et la standardisation des modèles de déploiement.
La deuxième politique de plateforme est DevOps. Généralement, les politiques couvrent la propriété intellectuelle avec l'utilisation d'Open et InnerSource au sein de l'entreprise. Cela sera également nécessaire pour sécuriser la supply chain logicielle.
Enfin, il existe des politiques pour le low-code. Globalement, ces politiques doivent éliminer le risque d'utilisations non contrôlées, ainsi qu'établir des normes de sécurité et la cohérence des applications, entre autres.
En adoptant des politiques pour ces trois plateformes distinctes, les entreprises pourront faire les choix nécessaires pour leurs projets et leurs applications, sans pour autant compromettre l'organisation ou ralentir les équipes qui la composent.
Il n'y a pas de solution unique : des politiques différentes sont nécessaires pour chaque plateforme.
Automatisation des politiques
L'automatisation doit être intégrée dans le processus de conception des politiques. Elle ne peut pas être une réflexion secondaire, elle doit être un principe central.
Les politiques doivent être conçues de façon à ce que leur protection, leur validation et leurs contre-mesures soient automatisées, pour une mise en œuvre fluide. Ce n'est qu'avec cette approche que les politiques seront appliquées sans ralentir les ambitions technologiques des différentes équipes.
Par exemple, plusieurs outils existent pour faciliter la vie des équipes DevOps lorsqu'il s'agit de se conformer aux politiques cloud. À l'aide de PSRule de Microsoft, on peut créer des règles pour tester la conformité de l'infrastructure en tant que scripts de code, et ce avant le déploiement, évitant ainsi la frustration d'avoir des accès bloqués à cause d'un refus de conformité.
Évitez à tout prix la mise en œuvre manuelle : automatisez vos politiques.
Politiques proactives et réactives
On croit souvent que les politiques conduisent à des protections strictes, créant des lignes établies qui ne peuvent être franchies. Pourtant, dans les organisations innovantes, les lignes sont souvent flexibles pour permettre de les franchir en cas de besoin. Cela conduit à la création de politiques proactives et réactives.
Un contrôle proactif assure des limites de sécurité et de conformité en exploitant les fonctionnalités de la plateforme telles que la gestion des identifications et des accès.
Par exemple, les autorisations dans les applications multi-rôles avec des rôles dynamiques ne doivent pas être effectuées ad hoc au sein du processus. Au contraire, la standardisation est essentielle pour éviter les problèmes de sécurité.
Un contrôle réactif permet d'innover tout en gardant une vue d'ensemble et en guidant lorsque nécessaire.
Contrôle de la conformité et apprentissage en flux tendu
Le déploiement de tableaux de bord de conformité, assistés par une vérification et une évaluation automatisée des politiques, garantit la mise en place d'une pratique de conformité solide. Cela apporte aux organisations la certitude que non seulement leurs politiques sont respectées, mais que leurs objectifs commerciaux sont également sur la bonne voie.
Quand des organisations agiles et innovantes adoptent de nouvelles technologies rapidement et dans un cadre sécurisé, les développeurs doivent acquérir les compétences nécessaires pour rester en conformité. Grâce à l'apprentissage en flux tendu, les équipes pourront se tenir à jour des politiques en vigueur grâce à des formations courtes et ciblées portant sur des politiques spécifiques, via un petit guide de référence ou des simulations interactives.
L'apprentissage en flux tendu : Apprenez ce dont vous avez besoin, quand vous en avez besoin.
Passez à l’action
Avec l'évolution technologique, les politiques et processus concernés – ainsi que la manière dont ils sont conçus et appliqués – doivent également évoluer. Sans un dispositif réglementaire capable de soutenir le déploiement rapide et efficace de technologies innovantes, les entreprises ne seront pas en mesure de tirer parti de ces technologies en temps voulu et seront sérieusement désavantagées par rapport à la concurrence.
Sogeti et Microsoft sont partenaires stratégiques depuis plus de 25 ans. Pour illustrer la force de notre alignement technologique, nous vous présentons notre dernier e-book : « Start in control and stay in control – five cloud native adoption principles for enterprises ».
Pour en savoir plus sur ces avantages commerciaux, téléchargez l'e-Book.