The Doppler Quarterly (FRANÇAIS) Édition spéciale 2019 | Page 89
Lorsque les applications des entreprises étaient hébergées dans
un datacenter, la conformité était une procédure plus simple.
Certes, elle nécessitait encore de l’énergie et de l’attention, mais
les tâches étaient prévisibles. Les serveurs et les logiciels étaient
hébergés dans l’arrière-boutique, achetés et exécutés selon des
calendriers fixes, année après année. Les employés assuraient la
maintenance de systèmes hérités spécifiques pour lesquels ils
avaient reçu une formation adéquate, les configurations suivaient
des modèles établis et les charges de travail étaient plus faciles à
suivre, tout comme les initiatives au sein de l’entreprise. La con-
formité pouvait être envisagée comme une sorte de rituel annuel,
voire trimestriel. de fonctions d’intégration et de pipelines de distribution accessi-
bles en continu. Certaines configurations qui restaient autrefois
immuables pendant plusieurs mois, voire plusieurs années dans
les datacenters, changent désormais en quelques minutes.
Or, le cloud a totalement chamboulé le processus de conformité. Il
a introduit un ensemble entièrement inédit de variables : nou-
veaux outils, nouvelles procédures de configuration et d’approba-
tion, nouvelles fonctions dans l’entreprise et nouvelles règles
internes. Cette évolution de l’environnement a transformé la con-
formité en une cible mobile qui est désormais plus difficile à con-
trôler. La conformité ne peut plus, comme auparavant, être gérée
une à deux fois par an. Dans le cloud, elle doit faire l’objet d’une
gestion ininterrompue. Les différents environnements de cloud ajoutent une couche de
complexité. La tendance aujourd’hui suivie par les entreprises
consiste à adopter plusieurs environnements de cloud, par exem-
ple AWS avec une combinaison de Microsoft Azure et/ou de Goo-
gle Cloud Platform, ou d’autres associations. Chaque nouvel outil
et chaque nouvel environnement allongent la courbe d’apprentis-
sage pour un personnel qui a déjà du mal à suivre le rythme nor-
mal de ses formations. De plus, les fournisseurs de cloud ne ces-
sent d’innover, et d’ajouter de nouveaux services et de nouvelles
techniques.
Pour acquérir la mainmise sur la conformité, les organisations
doivent d’abord comprendre leur portée et leur capacité à gérer
celle-ci. La portée est variable d’une organisation à l’autre, voir au
sein d’une même organisation, en fonction de critères tels que les
contrôles des réglementations eux-mêmes, la complexité des
conditions exigées par le secteur, l’emplacement géographique,
les conséquences sur l’activité en cas de non-conformité, ou
encore le niveau de maturité du cloud et l’aptitude à accepter et
bien exécuter le travail.
Observons ces paramètres plus en profondeur pour déterminer
comment mettre la conformité de votre cloud sous contrôle.
Incidence du cloud et de l’automatisa-
tion sur la conformité
Si l’on observe de plus près l’impact du cloud, il est facile de voir à
quel point les organisations font face à un challenge lorsqu’il s’agit
de garder le contrôle et, ce qui est tout aussi important, de démon-
trer qu’elles exercent ce contrôle au moment présent.
Avant toute chose, le cloud aide les organisations à améliorer leur
agilité. N’étant plus contraintes par les politiques et les horaires
des serveurs, elles peuvent apporter des changements rapides et
fréquents à leurs environnements. Le cloud permet de com-
mander ou décommander des services selon ses besoins et ses
désirs, et de créer et déployer des logiciels rapidement au moyen
Le processus de livraison des applications était concentré, alors
que dans le cloud, il est décentralisé. De nombreux développeurs
et de personnels de DevOps jouent un rôle prépondérant dans la
livraison des logiciels. Certains d’entre eux manquent parfois
d’expérience en matière de test ou de déploiement des modifica-
tions dans d’autres environnements. Cela crée une dimension de
risque supplémentaire.
Et c’est ici que réside tout l’enjeu. Les engagements dans le cloud
sont tellement dynamiques qu’ils nécessitent l’actualisation des
programmes de mise en conformité ne serait-ce que pour suivre
déjà les modifications courantes de leur environnement. Il n’est
pas possible d’effectuer une vérification tous les six mois en
espérant que tout se passe pour le mieux. Vous devez vérifier en
permanence que les programmes en place sont robustes et s’ex-
écutent de façon ininterrompue. Pour cela, vous avez besoin d’un
programme de surveillance et de remédiation en continu capable
de garantir la conformité des services exécutés dans le cloud.
Les engagements dans le cloud
sont tellement dynamiques
qu’ils nécessitent de nouveaux
programmes de mise en
conformité dans la continuité,
ne serait-ce que pour suivre
les modifications courantes
de leur environnement.
ÉDITION SPÉCIALE 2019 | THE DOPPLER | 87