Sylvain BRUAS

Accueil

L’audit, cas pratique

4 min read

Partager sur :

  • Audit

    Faire appel à un consultant, expert dans le domaine, apporte un regard extérieur objectif sur les points forts et les points faibles de l’existant. L’audit est un outil important pour analyser si la structure en place respecte au minimum les bonnes pratiques.
    L’objectif est de donner une vision globale et d’établir les premières ébauches d’un plan d’actions.

    Il existe de nombreuses thématiques à auditer concernant la maturité sur le Cloud. Nous vous partageons ci-dessous les principales.

    Sécurité & Gouvernance

    L’audit portera sur la segmentation des environnements de travail (production, développement, sandbox…), la politique de chiffrement des données (gestion et rotation des clés en particulier) et la configuration de système d’alertes (avec le service CloudTrail par exemple). Un point important à analyser est la gestion des utilisateurs : permissions, droits d’accès et également le processus de validation des tâches mis en place.

    Réseau

    L’accent portera sur la stratification des couches réseaux : identifier ceux ouverts au monde (@open bar !), lister les subnets privés et les ressources attachées, vérifier les connections VPN et l’utilisation de bastion (point d’accès unique sécurisé). Les mécanismes pour procéder à l’intégration de nouvelles adresses IPs et la stratégie pour sécuriser les points d’entrées (CloudFront ? AWS Shield ? Firewall ?) sont des exemples sur lesquels le consultant se penchera.

    Fiabilité & Robustesse

    La résilience du système sera étudiée dans cette catégorie avec l’analyse du dispositif de détections de pannes, du plan de reprise d’activités (DRP) et la configuration du scaling en cas de montée / baisse de charge. AWS proposant pour de nombreux services (EC2, VPC, RDS…) l’hébergement sur plusieurs zones de disponibilité, la répartition des ressources sur ces zones sera passée à la loupe afin d’éviter tous risques de perte de données ou d’arrêt de service.

    audit

    Organisation des ressources & Documentation

    Souvent, parent pauvre du secteur de l’IT, la documentation se doit d’être complète et correctement maintenue (DAT, runbook, périodicité des livrables). La supervision des ressources est aussi une thématique qui sera passée au crible : l’inventaire est-il configuré correctement ? Les conventions de nommages et de tagging sont bien établies et respectés ? Il est important aussi de notifier le degré d’automatisation de process et jusqu’où le DevOps est-il opérationnel.

    Pratiques Devops

    En lien avec la catégorie précédente, il s’agira d’étudier comment le DevOps est intégré au sein de la structure. Le consultant doit identifier les mécanismes mis en place concernant le gestionnaire de référentiel tel que GitHub ou Bitbucket et quel modèle de branche est privilégié (par exemple Gitflow). Également concerné, la qualité du code (règle de codage de type PSR-2 pour PHP) et le degré de couverture de code sont des éléments auxquels le consultant proposera des ajustements.

    Monitoring et Visibilité

    L’audit portera ici sur le traitement des événements importants : centralisation des journaux de logs aussi bien pour l’applicatif que pour l’infrastructure, utilisation d’outils de monitoring (établissement de dashboard avec CloudWatch ou services tiers), réactivité du système (temps réel)… La question des cycles de vie concernant les logs est aussi un point abordé dans cette catégorie.

    Gestion des données

    Le stockage et l’utilisation des données sont des thématiques largement mis en avant du fait de l’actualité. En effet avec la promulgation du Règlement européen de protection des données personnelles (GDPR), les informations sensibles et personnelles doivent être disponibles et sécurisées. Ces contraintes peuvent influer sur la stratégie en place autour des backups, des volumes de stockage et sur le fonctionnement des bases de données. Cette conformité est vérifiée par le consultant.

    Optimisation des coûts

    Le cloud permet de nombreuses améliorations aussi bien en termes de souplesse au sein de l’infrastructure que de coût mais reste un environnement complexe. De ce fait, il est important de maitriser ces coûts et de vérifier que l’infrastructure est optimisée en ce sens. Des services d’AWS comme Trusted advisor ou des outils tiers comme ceux proposés par CloudCheckr permettent des suivis et des alertes concernant la facturation. La configuration de ces outils et l’adoption d’une stratégie concernant les cycles de vies des ressources (lifecycle policy) sont des problématiques abordées lors d’un audit.

    audit-cloud

    Conclusion de l'audit

    L’audit peut être exhaustif mais également restreint à certaines ressources ou services d’AWS. L’important est que le périmètre d’actions soit bien délimité afin que le commanditaire et le consultant aboutissent ensemble à un compte rendu lisible et des solutions concrètes à mettre en place. L’entreprise est partie prenante d’un audit en fournissant les accès aux ressources et une présentation générale du S.I adhérant aux éléments audités. Le consultant réalise alors un rapport d’audit et une présentation est effectuée devant le comité de direction.

    Sylvain BRUAS

    Sylvain BRUAS

    Je suis architecte solution AWS depuis plus de 8 ans. J'interviens dans les grands groupes pour les aider dans leur transformation vers le cloud AWS.

    Mes compétences principales sont les fondations AWS, le Dev(SecFin*)Ops et les containers.

    AWS Community Builder et AWS Authorized Instructor depuis 2024