The Doppler Quarterly (FRANÇAIS) Édition spéciale 2019 - Page 89

Lorsque les applications des entreprises étaient hébergées dans un datacenter, la conformité était une procédure plus simple. Certes, elle nécessitait encore de l’énergie et de l’attention, mais les tâches étaient prévisibles. Les serveurs et les logiciels étaient hébergés dans l’arrière-boutique, achetés et exécutés selon des calendriers fixes, année après année. Les employés assuraient la maintenance de systèmes hérités spécifiques pour lesquels ils avaient reçu une formation adéquate, les configurations suivaient des modèles établis et les charges de travail étaient plus faciles à suivre, tout comme les initiatives au sein de l’entreprise. La con- formité pouvait être envisagée comme une sorte de rituel annuel, voire trimestriel. de fonctions d’intégration et de pipelines de distribution accessi- bles en continu. Certaines configurations qui restaient autrefois immuables pendant plusieurs mois, voire plusieurs années dans les datacenters, changent désormais en quelques minutes. Or, le cloud a totalement chamboulé le processus de conformité. Il a introduit un ensemble entièrement inédit de variables : nou- veaux outils, nouvelles procédures de configuration et d’approba- tion, nouvelles fonctions dans l’entreprise et nouvelles règles internes. Cette évolution de l’environnement a transformé la con- formité en une cible mobile qui est désormais plus difficile à con- trôler. La conformité ne peut plus, comme auparavant, être gérée une à deux fois par an. Dans le cloud, elle doit faire l’objet d’une gestion ininterrompue. Les différents environnements de cloud ajoutent une couche de complexité. La tendance aujourd’hui suivie par les entreprises consiste à adopter plusieurs environnements de cloud, par exem- ple AWS avec une combinaison de Microsoft Azure et/ou de Goo- gle Cloud Platform, ou d’autres associations. Chaque nouvel outil et chaque nouvel environnement allongent la courbe d’apprentis- sage pour un personnel qui a déjà du mal à suivre le rythme nor- mal de ses formations. De plus, les fournisseurs de cloud ne ces- sent d’innover, et d’ajouter de nouveaux services et de nouvelles techniques. Pour acquérir la mainmise sur la conformité, les organisations doivent d’abord comprendre leur portée et leur capacité à gérer celle-ci. La portée est variable d’une organisation à l’autre, voir au sein d’une même organisation, en fonction de critères tels que les contrôles des réglementations eux-mêmes, la complexité des conditions exigées par le secteur, l’emplacement géographique, les conséquences sur l’activité en cas de non-conformité, ou encore le niveau de maturité du cloud et l’aptitude à accepter et bien exécuter le travail. Observons ces paramètres plus en profondeur pour déterminer comment mettre la conformité de votre cloud sous contrôle. Incidence du cloud et de l’automatisa- tion sur la conformité Si l’on observe de plus près l’impact du cloud, il est facile de voir à quel point les organisations font face à un challenge lorsqu’il s’agit de garder le contrôle et, ce qui est tout aussi important, de démon- trer qu’elles exercent ce contrôle au moment présent. Avant toute chose, le cloud aide les organisations à améliorer leur agilité. N’étant plus contraintes par les politiques et les horaires des serveurs, elles peuvent apporter des changements rapides et fréquents à leurs environnements. Le cloud permet de com- mander ou décommander des services selon ses besoins et ses désirs, et de créer et déployer des logiciels rapidement au moyen Le processus de livraison des applications était concentré, alors que dans le cloud, il est décentralisé. De nombreux développeurs et de personnels de DevOps jouent un rôle prépondérant dans la livraison des logiciels. Certains d’entre eux manquent parfois d’expérience en matière de test ou de déploiement des modifica- tions dans d’autres environnements. Cela crée une dimension de risque supplémentaire. Et c’est ici que réside tout l’enjeu. Les engagements dans le cloud sont tellement dynamiques qu’ils nécessitent l’actualisation des programmes de mise en conformité ne serait-ce que pour suivre déjà les modifications courantes de leur environnement. Il n’est pas possible d’effectuer une vérification tous les six mois en espérant que tout se passe pour le mieux. Vous devez vérifier en permanence que les programmes en place sont robustes et s’ex- écutent de façon ininterrompue. Pour cela, vous avez besoin d’un programme de surveillance et de remédiation en continu capable de garantir la conformité des services exécutés dans le cloud. Les engagements dans le cloud sont tellement dynamiques qu’ils nécessitent de nouveaux programmes de mise en conformité dans la continuité, ne serait-ce que pour suivre les modifications courantes de leur environnement. ÉDITION SPÉCIALE 2019 | THE DOPPLER | 87