Les 4 piliers de la gouvernance de votre Cloud
Le cloud computing permet des réponses plus rapides et plus agiles à l'évolution des demandes commerciales que les méthodes précédentes de fourniture de services informatiques. Outre ses nombreux avantages, le cloud présente également un risque important : la perte de contrôle. Cela peut entraîner des dépassements de coûts, une utilisation inefficace des ressources cloud, des failles de sécurité, des fuites de données et le non-respect des obligations de conformité.
Heureusement, nous savons déjà comment atténuer ce risque de conformité grâce à de bonnes pratiques de gouvernance du cloud computing. Un cadre de gouvernance cloud n'est pas un nouvel ensemble de concepts ou de pratiques, mais simplement l'application de ces bonnes pratiques aux opérations cloud.
Pour instaurer des contrôles appropriés et optimiser l'utilisation des services cloud, considérons ces quatre piliers d'un cadre de gouvernance cloud comme essentiels :
- Gestion financière
- Gestion des opérations
- Gestion de la sécurité et de la conformité
- Gestion de données
Gestion financière
Un rite de passage indésirable est apparu dans l'informatique d’entreprise : survivre à la première facture de cloud computing extrêmement élevée. Les fournisseurs de services cloud et les défenseurs affirment à juste titre qu'il est plus logique sur le plan financier d'utiliser les services cloud que de payer et de gérer votre propre infrastructure. Cela se vérifie, mais seulement si vous contrôlez efficacement vos dépenses dans le cloud . Cela nécessite trois structures de gestion :
- Politiques
- Budgets
- Rapports.
Les politiques de gestion financière fournissent un cadre pour prendre des décisions commerciales concernant les ressources cloud. Par exemple, une organisation peut choisir d'utiliser autant que possible les services gérés (managed services) pour réduire le coût des frais généraux opérationnels. Une autre entreprise pourrait choisir de définir une liste de contrôle des étapes de gestion des coûts à suivre avant de déployer un nouveau service sur un cloud public.
Les budgets sont bien compris, mais il peut être difficile d'estimer les coûts, en particulier lorsque les fournisseurs de cloud ne fournissent pas d'informations détaillées sur leur modèle économique d'une manière facilement accessible. Par exemple, pour trouver le coût total de stockage des sauvegardes, une entreprise peut avoir besoin de faire des recherches compliquées dans tous les comptes et tous les services cloud pour collecter les informations de toutes les instances de sauvegardes.
Une seule solution : Développer un plan sur la manière dont vous collecterez les informations dont vous avez besoin pour créer et suivre les budgets.
La plupart des fournisseurs de cloud proposent des outils de reporting des coûts. Si ceux-ci ne répondent pas à vos besoins, faites appel à des services tiers pour combler cette lacune.
En plus des rapports à des fins budgétaires, incluez des politiques relatives aux alertes de coût. Lorsque votre environnement cloud a dépassé 50% de son budget 25% au cours d'un mois donné, par exemple, une alerte vous laisse le temps de vous ajuster.
Gestion des opérations
L'objectif de la gestion des opérations est de contrôler la manière dont les ressources cloud fournissent des services. Cela implique beaucoup de choses, y compris comment :
- Définir les processus de création de nouveaux services, ce qui comprend l'établissement d'accords de niveau de service (SLA) pour l'allocation des ressources
- Déployer le code d'application dans divers environnements, en particulier les environnements de production
- Surveiller l'état des services pour s'assurer que les SLA sont respectés
Si on se demande demande "Comment pouvons-nous proposer cette nouvelle application à nos clients ?", la réponse doit être trouvée dans une politique opérationnelle bien définie. Cela comprend :
- Comment se coordonner avec l'équipe des opérations ?
- Comment spécifier les exigences de gestion des identités et des accès ?
- Comment estimer les besoins en ressources processeur, en stockage et en réseau ?
- Comment répondre aux exigences de surveillance et de journalisation ?
Une pratique de gestion des opérations claire et bien définie est l'un des meilleurs moyens d'empêcher le risque de shadow IT dans votre environnement cloud. Une bonne surveillance des coûts et des performances peut également aider à identifier les ressources cloud qui ne sont pas formellement gérées.
Gestion de la sécurité et de la conformité
La gouvernance du cloud inclut les mêmes sujets de sécurité que vous trouveriez dans tout effort de sécurité d'entreprise :
- Évaluation des risques,
- Gestion des identités et des accès,
- Cryptage des données et gestion des clés,
- Sécurité des applications,
- Planification d'urgence, ainsi que d'autres domaines.
Du point de vue de la gouvernance, les objectifs des pratiques de sécurité de l'information sont façonnés par une combinaison d'objectifs commerciaux et de réglementations.
La première étape pour formuler vos pratiques de sécurité des informations consiste à identifier les principaux moteurs commerciaux, qui nécessitent souvent des compromis entre l'opportunité commerciale et les risques de sécurité, et les réglementations légales et industrielles qui s'appliquent à votre entreprise.
Un modèle de gouvernance doit s'appuyer sur les politiques et cadres de gouvernance existants, y compris la cybersécurité, la confidentialité et la gestion des risques. Tirez également parti des services de sécurité spécialisés des fournisseurs de cloud public avec lesquels vous travaillez pour atténuer le risque de fuites de données, d'attaques par déni de service et d'autres menaces courantes.
Gestion des données
Au fur et à mesure que la capacité de collecter, stocker et analyser des données augmente, la difficulté de gérer efficacement ces données augmente également. Votre stratégie et vos pratiques de gouvernance doivent inclure des conseils clairs sur la façon de gérer le cycle de vie complet des données dans votre organisation.
Commencez par un schéma de classification des données. Toutes les données n'ont pas la même valeur ou ne nécessitent pas des niveaux de sécurité comparables. Les données sensibles et confidentielles justifient davantage de contrôles de sécurité que les informations publiques. La meilleure pratique pour les données dans le cloud consiste à chiffrer toutes les données en transit et au repos - considérez cela comme votre comportement par défaut. D'autres contrôles, tels que les personnes que vous autorisez à accéder ou à mettre à jour des types de données particuliers, varieront en fonction de la classification des données et des exigences fonctionnelles relatives à la manière dont les données sont utilisées.
Les politiques de gouvernance doivent aider les propriétaires de données, les chefs de produit et les développeurs d'applications à comprendre comment protéger les données en fonction de leur classification. Cela comprend des conseils sur la façon de gérer le cycle de vie des données, y compris la durée de stockage des données, le moment de déplacer les données de systèmes de stockage hautes performances et coûteux vers des systèmes d'archivage moins coûteux. La gestion manuelle du cycle de vie des données ne s'adapte pas correctement et est sujette aux erreurs. Tirez parti des outils de gestion des données des fournisseurs de cloud pour migrer automatiquement les données vers différents systèmes de stockage ou supprimer les données qui ne sont plus utiles.
L'importance du cadre de gouvernance du cloud
Une stratégie de gestion du cloud doit prendre en compte ces quatre piliers clés de la gouvernance du cloud, mais ce ne sont pas des objectifs indépendants et isolés. La gestion des données et la sécurité sont étroitement liées. La gestion des opérations et le contrôle des coûts se chevauchent également et s'influencent mutuellement. La gestion des opérations contribue également à façonner la mise en œuvre des politiques de gestion du cycle de vie des données.
Ces quatre éléments s'influencent et, dans certains cas, se contraignent mutuellement. Les développeurs et les chefs de produit peuvent souhaiter utiliser un service spécialisé de protection contre la perte de données pour améliorer la sécurité, mais le coût du service à grande échelle peut être prohibitif. Ce n'est qu'un exemple de la façon dont les quatre piliers d'un cadre de gouvernance cloud peuvent aider à maintenir le contrôle et à définir des limites entre les intérêts concurrents d'une organisation.