Points clés
- Une gouvernance cloud efficace articule politiques, processus, contrôles et responsabilités dans un cadre cohérent applicable à tous les déploiements
- Le Cloud Governance Framework comprend six domaines : stratégie, conformité, sécurité, coûts, opérations et architecture
- La gouvernance cloud doit être proportionnée à l'utilisation : une PME et une institution financière n'ont pas les mêmes exigences mais les mêmes principes s'appliquent
- Gartner : les organisations avec une gouvernance cloud formalisée réduisent leurs coûts cloud de 20 % et leurs incidents de sécurité cloud de 60 %
Structurer une gouvernance cloud efficace, c'est créer le cadre dans lequel toutes les décisions relatives au cloud — adoption de nouveaux services, configurations, gestion des accès, classification des données, réponse aux incidents — sont prises de manière cohérente et traçable. Sans ce cadre, les décisions cloud sont prises de manière décentralisée et hétérogène, produisant les angles morts de sécurité qui caractérisent le cloud non maîtrisé.
La gouvernance cloud n'est pas uniquement une affaire d'équipes IT et sécurité. Elle implique la direction générale (définition de l'appétit au risque et validation des politiques), les directions métiers (identification des workloads appropriés au cloud et validation des exigences de conformité), et les équipes financières (suivi et optimisation des coûts cloud). Cette implication multifonctionnelle est la condition d'une gouvernance qui résiste aux pressions opérationnelles.
Les domaines de la gouvernance cloud
Une gouvernance cloud complète couvre six domaines interdépendants : la stratégie (quelle utilisation du cloud est alignée sur les objectifs de l'organisation ?), la conformité (quelles réglementations s'appliquent, comment sont-elles respectées ?), la sécurité (comment les workloads cloud sont-ils protégés selon leur criticité ?), les coûts (comment l'utilisation du cloud est-elle optimisée économiquement ?), les opérations (comment les environnements cloud sont-ils opérés et maintenus ?), et l'architecture (quels standards architecturaux s'appliquent à tous les déploiements ?).
Ces six domaines sont couverts par les frameworks de gouvernance cloud publiés par les grands fournisseurs (AWS Cloud Adoption Framework, Azure Cloud Adoption Framework, Google Cloud Architecture Framework) et par des référentiels indépendants comme le COBIT 2019 qui inclut désormais des extensions spécifiques pour le cloud.
La Landing Zone cloud comme fondation
La "Landing Zone" — un environnement cloud préconfiguré qui respecte les exigences de sécurité et de gouvernance de l'organisation avant tout déploiement applicatif — est la fondation technique de la gouvernance cloud. Elle implémente automatiquement les politiques de sécurité (journalisation, chiffrement, réseaux segmentés, contrôles IAM) sur tous les nouveaux comptes et déploiements cloud.
AWS Control Tower, Azure Landing Zone, et Google Cloud Foundation fournissent des implémentations de référence de cette Landing Zone pour leurs environnements respectifs. Ces implémentations réduisent le temps nécessaire pour déployer un environnement cloud sécurisé de plusieurs mois à quelques jours.
La gouvernance cloud comme programme d'amélioration continue
La gouvernance cloud n'est pas un état à atteindre mais un programme d'amélioration continue. Les environnements cloud évoluent en permanence — de nouveaux services sont adoptés, de nouvelles réglementations entrent en vigueur, de nouvelles menaces émergent. La gouvernance doit évoluer en parallèle, en révisant régulièrement les politiques, en mettant à jour les standards de configuration, et en formant les équipes aux nouvelles pratiques.
Les revues semestrielles de la gouvernance cloud — incluant une évaluation de l'adéquation des politiques aux besoins métiers et aux exigences réglementaires — sont une bonne pratique recommandée par l'ENISA et le Cloud Security Alliance.
GE a développé un Cloud Governance Framework lors de sa migration massive vers le cloud sous la direction du CDO Marc Andreessen. Le framework définit des "guardrails" automatiques — des politiques cloud appliquées automatiquement à tous les déploiements via Infrastructure as Code — qui empêchent les configurations non conformes d'atteindre la production. Ce modèle de "gouvernance par le code" a permis à GE de migrer plus de 9 000 applications vers le cloud tout en maintenant un niveau de conformité documenté. GE a publié les principes de ce framework comme contribution à l'industrie.
Le BSI (équivalent allemand de l'ANSSI) a développé le Cloud Computing Compliance Controls Catalogue (C5), un standard de référence pour la gouvernance cloud en Allemagne. C5 définit des exigences minimales de sécurité et de transparence pour les fournisseurs cloud opérant pour des organisations allemandes, et est utilisé comme base de certification par de nombreuses organisations publiques et privées. T-Systems, AWS, Microsoft et Google ont tous obtenu la certification C5, qui est devenue un standard de facto pour la gouvernance cloud dans les secteurs réglementés allemands.
Le gouvernement singapourien a développé le Government on Commercial Cloud (GCC) framework — une Landing Zone cloud standardisée applicable à tous les déploiements cloud des ministères et agences gouvernementales. GCC définit des exigences de sécurité proportionnées à la sensibilité des données (trois niveaux de classification), des contrôles automatisés de conformité, et des processus d'approbation pour les déploiements critiques. Plus de 700 services gouvernementaux ont été déployés via GCC, démontrant la scalabilité d'un cadre de gouvernance cloud structuré.