Bouygues Telecom : la sécurité, un prérequis à tout projet Cloud

Temps de lecture : 4 minutes

La transformation Cloud a commencé en 2015 chez Bouygues Telecom, et après une première expérimentation en production, le Cloud est rapidement devenu la norme. La généralisation de l’infrastructure as code s’est accompagnée d’une sécurisation accrue par l’automatisation, et pour aller plus loin dans l’adoption, Bouygues a lancé fin 2018 le programme Go to Cloud, qui vise à donner plus d’autonomie aux équipes dans leurs projets. Ce programme comporte un large volet de sécurisation opérationnelle de la plateforme, avec la définition d’une politique PSSI spécifique au Cloud, de l’établissement de règles de gouvernance, et de la mise en place d’un outil de suivi de conformité, Dome 9.

Conception de la politique SSI

La politique de sécurité des systèmes d’information pour le Cloud AWS vise à définir les grands principes établissant le cadre des activités Cloud et les limites qui y sont appliquées en termes de sécurité. Cette politique formalise ce qui est autorisé ou non dans le Cloud chez Bouygues Telecom : enjeux de la sécurité, besoins de la sécurité, aspects légaux réglementaires, périmètre d’application…

Le PSSI décline les axes majeurs : gouvernance et organisation des comptes, contrôle des flux réseau, gestion des identités et accès, gestion des secrets, nomenclature, inventaire et classification, gestion des vulnérabilités et de la conformité, protection des données, et traçabilité des actions.

Pour l’ensemble de ces points les équipes D2SI ont établi les bonnes pratiques et les actions à mener, par exemple la séparation des environnements afin de minimiser la propagation d’attaque d’un environnement à un autre, avec la création d’un compte dédié pour chaque environnement.

Gouvernance

Comme nous l’explique Christophe François, Responsable Cloud Bouygues Telecom, la sécurité est totalement intégrée au cycle de vie des applications Cloud :

Le RSSI est le meilleur allié des projets Cloud. Les équipes SSI et Cloud accompagnent les projets tout au long des cycles de développement, ce qui nous assure que la sécurité soit intégrée au quotidien dans le travail des équipes. La sécurité n’est pas une mission ponctuelle, c’est un prérequis pour tout projet Cloud et les équipes de D2SI nous assistent dans la définition et l’application de ces règles.”

Christophe François et l’équipe D2SI au Summit AWS

L’étape suivante concerne la gouvernance de la sécurité, c’est à dire la définition de l’ensemble des règles qui doivent être respectées pour chaque application développée sur le Cloud ou migrant vers le Cloud. Ce sont plus de 300 règles qui respectent les standards de bonnes pratiques énoncés dans le Well Architected Framework AWS. Parmi ces règles, citons quelques exemples :

  • Chiffrement : les volumes EBS, les instances RDS, Elasticsearch, les buckets s3, les logs cloudwatch, ou les codes sources des fonctions lambda doivent être chiffrés au repos
  • CI/CD : les codes source sont stockés dans des repository Git et l’usage d’une chaîne CI/CD est obligatoire
  • Automatisation des déploiements par CloudFormation
  • Identité : les applications utilisent uniquement des rôles IAM pour accéder aux ressources AWS. La policy IAM s’applique aux groups et non aux utilisateurs, il n’y a pas de gestion des utilisateurs.
  • Stockage des secrets dans Cyberark. Les access key/secret key doivent être renouvelés tous les 6 mois
  • Utilisation du HTTPS pour les connexions entre applications
  • Principe de least privilege :  l’accès est limité aux besoins stricts de l’application

Conformité

Au niveau opérationnel, les équipes D2SI ont assuré l’intégration de Dome 9 pour prendre en charge le suivi de conformité de l’ensemble de ces règles.

Dome 9 effectue des audits réguliers sur la plateforme et vérifie que l’usage de la plateforme AWS est conforme aux règles édictées : instances, services, réseau, etc. Dome 9 intègre un certain nombre de règles de sécurité, auxquelles nous avons ajouté des règles spécifiques au contexte de Bouygues Telecom, comme l’ajout d’un Web application firewall pour tous les frontaux web, ou des règles spécifiques au stockage des données en regard de la GDPR.

Exemple de dashboard Dome 9 (visuel éditeur)

L’intégration de Dome 9 a permis de pallier un manque de compétences en interne sur la partie sécurité. Il est en effet possible de se passer d’un outil du marché pour le suivi de conformité, mais cela demande des compétences spécifiques pour construire les jeux de règles avec AWS Config Rules dans CloudFormation.

L’automatisation de l’audit de compliance concerne également le déploiement des stacks : aucune stack n’est déployée en production sans signature.

C’est peut être là une des plus grandes avancées en matière de sécurité, avant sa mise en production une application doit répondre à toutes les normes de sécurité éditées dans la partie gouvernance. Cet audit de pré déploiement a aussi pour objectif de permettre aux développeurs de comprendre rapidement quels enjeux de sécurité ils ont raté. Lorsqu’une stack est bloquée en pré-production, les points non conformes sont indiqués de façon à pouvoir être corrigés rapidement.

Commentaires :

A lire également sur le sujet :