Gouverner pour l’adoption du cloud de défense

La méthodologie de gouvernance se concentre sur le domaine de la plateforme. Elle affecte la gestion des coûts de vos charges de travail, la base de référence de la sécurité, les rôles d’accès aux identités et les paramètres de cohérence des ressources.

Figure 1 : Suivi de domaine – domaine de plateforme

La gouvernance est un framework qui aligne le personnel, les déploiements et les budgets sur une initiative commune et qui empêche toute dérive vis-à-vis de cette vision. Elle offre un contrôle sur les environnements cloud et aide les organisations de défense à atteindre des objectifs de mission.

Les organisations de défense ont besoin d’une gouvernance pour atténuer les risques. Une gouvernance efficace des coûts, de la sécurité et des stratégies permet de simplifier les opérations de plateforme et offre un moyen d’hériter de ces garde-fous au niveau de la charge de travail. Sans gouvernance appropriée, des charges de gestion et des limites de productivité considérables apparaissent. Un manque de gouvernance crée également des lacunes de responsabilité, introduit des risques de sécurité et retarde le retour sur investissement (ROI) en raison de retards de déploiement et de remaniements excessifs.

Pour éviter certains de ces problèmes, il s’avère utile d’envisager les bonnes pratiques de gouvernance suivantes.

Évaluer les rôles et les responsabilités

Les propriétaires de mission ont besoin d’un modèle de responsabilité qui tient compte de chaque ressource dans le cloud avant de s’engager sur une stratégie de gouvernance. Le cas échéant, ils doivent coordonner les rôles et les responsabilités avec la stratégie du courtier cloud. Si le courtier cloud ne fournit pas de modèle pour les rôles et responsabilités, les propriétaires de mission ont besoin d’établir des fonctions de gouvernance.

L’adoption du cloud peut modifier des aspects des opérations informatiques. Ces modifications nécessitent une réévaluation des rôles et des responsabilités. L’objectif de la réévaluation est d’éviter d’avoir plusieurs groupes/membres du personnel responsables du même service, tout en veillant à ce qu’il n’y ait pas de lacunes de responsabilité.

Les techniques suivantes peuvent vous aider à éviter les redondances ou les lacunes de gouvernance :

• Créer une carte des dépendances de service : Une carte des dépendances de service est un document qui liste tous vos services informatiques et les personnes qui en sont responsables. Pour créer une carte des dépendances de service, vous devez décrire tous les services que votre organisation fournit, puis identifier les équipes ou les personnes responsables de chacun d’entre eux.
• Suivre les personnes en charge, responsables, consultées et informées (RACI) : Une matrice RACI définit les niveaux de responsabilité pour un service donné. Vous devez lister les personnes en charge et responsables de chaque service, ainsi que les personnes à consulter et à informer pendant le processus décisionnel.

Pour plus d’informations, consultez les fonctions de gouvernance cloud.

Automatiser la conformité

Les organisations de défense disposent de plusieurs couches d’exigences de conformité pour protéger les données sensibles et les secrets. Une gouvernance est nécessaire pour protéger ces ressources, mais elle crée des charges de gestion. La gouvernance nécessite précision, répétition et cohérence, et l’automatisation de ces tâches fonctionne beaucoup mieux que pour les humains. Les organisations de défense doivent automatiser les processus de gouvernance. Cette automatisation va permettre d’améliorer l’efficacité opérationnelle et la sécurité et de libérer le personnel de défense pour se concentrer sur d’autres priorités.

Azure simplifie de nombreux aspects de la gouvernance de la défense. Azure comporte un outil de gouvernance automatisé appelé Azure Policy qui est intégré à la plateforme Azure. Cet outil permet aux environnements cloud de s’aligner sur les stratégies, normes et exigences de conformité disponibles. Il permet aux équipes d’automatiser les évaluations de conformité et même la correction par rapport à des normes de conformité prédéfinies.

Il existe de nombreuses stratégies intégrées disponibles dans Azure qui facilitent l’automatisation de la gouvernance. Ces stratégies intégrées répondent à de nombreuses exigences de conformité gouvernementales. Il s’agit notamment de NIST 800-53, NIST 800-171, CMMC 2.0, Impact-Level 4, Impact-Level 5, ISO 27001:2013, FedRAMP High, parmi d’autres. Il existe également des workbooks dans Microsoft Sentinel qui vous aident à visualiser la conformité. Les équipes de gouvernance peuvent utiliser des stratégies pour appliquer la gouvernance entre toutes les ressources cloud. Les utilisateurs sélectionnent les stratégies souhaitées et les attribuent à l’étendue appropriée des ressources. Azure Policy permet également aux utilisateurs de créer et de modifier des stratégies pour répondre à différents besoins de gouvernance.

Ces stratégies vérifient la conformité des nouveaux déploiements et des ressources existantes par rapport aux stratégies mises en place. Les nouveaux déploiements qui ne répondent pas à une exigence de stratégie ne sont pas déployés. Les déploiements existants qui ne répondent pas aux stratégies de gouvernance sont également identifiés afin que les équipes puissent mettre en place la conformité sur chaque ressource.

Les stratégies dans Azure créent un garde-fou solide et automatisent l’essentiel des tâches de gouvernance. Par la même, elles atténuent les risques et augmentent l’efficacité, en aidant les propriétaires de mission à atteindre leurs objectifs plus rapidement.

Pour plus d’informations sur l’automatisation de la gouvernance, consultez

• Gouvernance de la sécurité
• Présentation de la stratégie Azure
• Conformité dans Azure
• Normes de conformité Azure
• Outil de visualisation de la gouvernance
• Workbooks Microsoft Sentinel

Créer une stratégie de gouvernance des coûts

Les coûts sont une indication tangible de l’efficacité de la gouvernance. Les dépenses doivent s’aligner sur les attentes et toute surprise sur une facture signifient que l’approche de la gouvernance en place comporte des lacunes. La gouvernance des coûts consiste à tirer le meilleur parti des ressources nécessaires et à empêcher les déploiements de ressources qui ne sont pas autorisés.

Voici quelques points à considérer lors de la création d’une stratégie de gouvernance des coûts :

Connaître la responsabilité des coûts : La consommation des ressources a besoin d’une gouvernance pour optimiser les coûts, éviter le gaspillage et respecter le budget alloué. La gouvernance des coûts fournit des techniques de gestion des coûts qui vous permettent de prédire, contrôler et affecter correctement les coûts. La gouvernance des coûts est souvent liée à des obligations légales. Elle s’appuie sur des lois qui engagent des comités de contrôle budgétaire pour investiguer et redresser en cas d’infraction.

Vérifier la facturation : Les coûts doivent être vérifiés à chaque cycle de facturation. Des révisions plus fréquentes permettent de mieux contrôler les coûts. Des révisions régulières des coûts permettent d’identifier la gouvernance au tout début des problèmes. Il est recommandé aux courtiers cloud et propriétaires de mission d’implémenter des budgets et des alertes selon la portée concernée. Les budgets permettent de suivre les dépenses et d’envoyer des alertes si les plafonds de dépense sont dépassés. Plusieurs plafonds peuvent être définis pour garantir que les budgets sont informés à temps.

Sécurité des coûts : Une mauvaise gouvernance des coûts crée des risques de sécurité et limite la capacité à atteindre les objectifs de mission. Sans gouvernance des coûts, n’importe qui peut ajouter des coûts supplémentaires à une facture en provisionnant des ressources sans autorisation. Les services provisionnés de cette façon sont facilement négligés et oubliés. Les ressources oubliées augmentent la surface d’attaque et les vulnérabilités potentielles dans le cloud. Les dépenses liées à des services inutiles créent non seulement des risques, mais elles privent de fonds d’autres priorités. Les dépenses inattendus peuvent être le signe d’une mauvaise gouvernance et nécessiter un examen de la discipline de la gouvernance de l’organisation.

Analyse des tendances : Effectuez une analyse des tendances pour améliorer la transparence et donner de la visibilité aux ressources actives et à la consommation. Les pics anormaux dans les dépenses en ressources doivent être présentés à l’équipe technique pour obtenir des explications. Elles peuvent signaler une nouvelle phase des opérations ou une lacune de gouvernance. Signalez et examinez toutes les nouvelles dépenses ou tous les pics observés dans les tendances. Cette forme de gestion active des coûts permet d’éviter le gaspillage et d’atténuer les risques. L’analyse des tendances peut également faciliter la gestion de l’infrastructure et déterminer les futures priorités. Les propriétaires de mission peuvent voir combien d’argent est dépensé pour une capacité donnée. Si l’argent dépensé ne permet pas d’atteindre les objectifs de mission, l’avenir de cette ressource ou charge de travail a besoin d’être réévalué.

Pour plus d’informations, consultez Gouvernance des coûts et Cost Management + Billing.

Créer des bases de référence des coûts

La gouvernance des coûts des charges de travail commence par des estimations de référence. Les équipes de défense doivent effectuer une estimation du coût total de possession (coût TCO) de chaque charge de travail individuelle prévue pour être migrée vers le cloud. Les propriétaires de mission ont besoin de superviser les coûts de ces ressources cloud et de gérer leurs services de manière appropriée pour atteindre les résultats souhaités. L’un des avantages du cloud est la réduction des frais de services partagés. Ces derniers ont tendance à représenter une fraction des frais de services de centres de données locaux.

Voici quelques étapes pratiques pour créer des estimations pour les charges de travail :

Commencer par le retour sur investissement (ROI) du passage au cloud : Pour calculer le ROI du cloud, les propriétaires de mission ont besoin de déterminer le coût total de possession (coût TCO) de chaque charge de travail individuelle faisant la transition vers le cloud. Azure dispose d’une calculatrice de coût TCO qui permet au propriétaire de mission d’estimer le coût par instance avec plusieurs variables :

• Installations (bâtiment, immobilier)
• Frais d’électricité et de climatisation
• Réseau (interne et/ou externe au centre de données)
• Matériel (serveurs, racks, routeurs, stockage sur disque)
• Licences pour les logiciels système et d’applications
• Personnel des opérations

Toutes les variables ne nécessitent pas d’entrée et certains services peuvent être difficiles à estimer. Les propriétaires de mission doivent déterminer le niveau de précision nécessaire pour établir cette base de référence. Une fois qu’une estimation du coût TCO est créée, les propriétaires de mission doivent documenter ces données à des fins d’analyse ultérieure.

Estimer les coûts mensuels des services nécessaires : L’étape suivante dans l’établissement d’une base de référence des coûts des charges de travail consiste à déterminer les coûts mensuels estimés des services nécessaires. Les estimations mensuelles s’intègrent dans des budgets et les budgets permettent d’établir des prévisions d’activité. Les capacités d’organisation des ressources dans Azure facilitent les budgets à différents niveaux dans la structure d’une organisation. Les budgets peuvent être appliqués au niveau du groupe d’administration, de l’abonnement ou du groupe de ressources. Vous trouverez des informations supplémentaires sur la création, le monitoring et la mise à jour des budgets au sein d’Azure dans la documentation Microsoft Cost Management. La calculatrice de prix Azure peut vous aider à créer des estimations mensuelles, ainsi que la calculatrice de coût TCO. Ces estimations doivent être exécutées pour chaque charge de travail individuelle à migrer. Une fois qu’une estimation mensuelle des charges de travail Azure a été calculée, le propriétaire de mission doit documenter ces données dans un référentiel ou toute autre ressource de suivi à des fins d’analyse ultérieure. Cet emplacement doit être identique à celui de l’estimation du coût TCO. Pour plus d’informations, consultez les outils pour les coûts.

Pour plus d’informations sur la gouvernance, consultez :

• Guide de gouvernance
• Disciplines de gouvernance

Étape suivante

Après la gouvernance, l’adoption du cloud passe au domaine de la charge de travail et commence par la méthodologie Adopter.

Adopter