Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
À l’aide des insights de l’évaluation des risques, l’équipe formule maintenant des stratégies pour gérer ces risques. Pour chaque risque important ou groupe de risques, il doit y avoir une ou plusieurs stratégies de gouvernance correspondantes. Lors de la documentation des stratégies de gouvernance cloud, tenez compte des meilleures pratiques suivantes :
1. Établir un format et une langue de stratégie standard
Créez un modèle ou un format cohérent pour toutes les stratégies. Chaque document de stratégie (ou section) doit inclure des éléments clés, comme l'identifiant, la déclaration, l'étendue. Utilisez une langue claire et non ambiguë. Les politiques sont destinées à faire autorité, de sorte qu’elles doivent être faciles à comprendre, sans possibilité de mauvaise interprétation. Par exemple, choisissez une formulation standard comme « doit » ou « ne doit pas » pour les exigences, et évitez les termes vagues. Un format standardisé, tel qu’une stratégie avec l’ID, la catégorie, l’objectif, facilite la navigation et la maintenance des stratégies.
2. Définir des stratégies de gouvernance cloud
Créez des stratégies de gouvernance cloud qui décrivent comment utiliser et gérer le cloud pour atténuer les risques. Réduisez le besoin de mises à jour fréquentes de stratégie. Pour définir des stratégies de gouvernance cloud, suivez ces recommandations :
Utilisez un ID de stratégie. Utilisez la catégorie de stratégie et un nombre pour identifier de manière unique chaque stratégie, telle que SC01 pour la première stratégie de gouvernance de la sécurité. Incrémentez l’identificateur séquentiellement à mesure que vous ajoutez de nouveaux risques. Si vous supprimez des risques, vous pouvez laisser des lacunes dans la séquence ou utiliser le numéro disponible le plus bas.
Incluez la déclaration de politique. Créez des énoncés de stratégie spécifiques qui traitent des risques identifiés. Utilisez un langage définitif tel que doit, devrait, ne doit pas, et ne devrait pas. Utilisez les contrôles d’application de la liste des risques comme point de départ. Concentrez-vous sur les résultats plutôt que sur les étapes de configuration. Nommez l’outil requis pour l’application afin de savoir où surveiller la conformité.
Incluez un ID de risque. Répertoriez le risque dans la stratégie. Associez chaque stratégie de gouvernance cloud à un risque.
Incluez la catégorie de stratégie. Incluez des catégories de gouvernance, telles que la sécurité, la conformité ou la gestion des coûts, dans la catégorisation de la stratégie. Les catégories aident à trier, filtrer et rechercher des stratégies de gouvernance cloud.
Incluez l’objectif de la stratégie. Indiquez l’objectif de chaque stratégie. Utilisez le risque ou l’exigence de conformité réglementaire que la stratégie satisfait comme point de départ.
Définissez l’étendue de la stratégie. Définissez ce à quoi et à qui cette stratégie s’applique, comme tous les services cloud, régions, environnements et charges de travail. Spécifiez les exceptions pour vous assurer qu’il n’y a aucune ambiguïté. Utilisez un langage standardisé afin qu’il soit facile de trier, de filtrer et de rechercher des stratégies.
Incluez les stratégies de correction de stratégie. Définissez la réponse souhaitée à une violation d’une stratégie de gouvernance cloud. Adaptez les réponses à la gravité du risque, telles que la planification des discussions pour les violations de non-production et les efforts de correction immédiats pour les violations de production.
Pour plus d’informations, consultez les exemples de stratégies de gouvernance cloud.
3. Distribuer des stratégies de gouvernance cloud
Accordez l’accès à tous ceux qui doivent adhérer aux stratégies de gouvernance cloud. Recherchez des façons de faciliter l’adhésion aux stratégies de gouvernance cloud pour les personnes de votre organisation. Pour distribuer des stratégies de gouvernance cloud, suivez ces recommandations :
Utilisez un référentiel de stratégie centralisé. Utilisez un référentiel centralisé et facilement accessible pour toutes les documentations de gouvernance. Assurez-vous que toutes les parties prenantes, équipes et personnes ont accès aux dernières versions des stratégies et documents associés.
Créez des listes de contrôle de conformité. Fournissez une vue d’ensemble rapide et exploitable des stratégies. Facilitez la conformité des équipes sans avoir à parcourir une documentation complète. Pour plus d’informations, consultez l’exemple de liste de contrôle de conformité.
4. Passer en revue les stratégies de gouvernance cloud
Évaluez et mettez à jour les stratégies de gouvernance cloud pour vous assurer qu’elles restent pertinentes et efficaces dans les environnements cloud. Les révisions régulières permettent de s’assurer que les stratégies de gouvernance cloud s’alignent sur la modification des exigences réglementaires, les nouvelles technologies et l’évolution des objectifs métier. Lorsque vous passez en revue les stratégies, tenez compte des recommandations suivantes :
Implémentez des mécanismes de commentaires. Établissez des moyens de recevoir des commentaires sur l’efficacité des stratégies de gouvernance cloud. Rassemblez des commentaires des individus affectés par les politiques pour s’assurer qu’ils peuvent toujours faire leur travail efficacement. Mettez à jour les stratégies de gouvernance pour refléter les défis et les besoins pratiques.
Établissez des révisions basées sur des événements. Passez en revue et mettez à jour les stratégies de gouvernance cloud en réponse à des événements, tels qu’une stratégie de gouvernance défaillante, un changement technologique ou un changement de conformité réglementaire.
Planifiez des révisions régulières. Passez régulièrement en revue les stratégies de gouvernance pour s’assurer qu’elles s’alignent sur les besoins, les risques et les avancées en matière de cloud en constante évolution. Par exemple, incluez des révisions de gouvernance dans les réunions de gouvernance cloud régulières avec les parties prenantes.
Faciliter le contrôle des modifications. Incluez un processus pour l’examen et les mises à jour de stratégie. Assurez-vous que les stratégies de gouvernance cloud restent alignées sur les changements organisationnels, réglementaires et technologiques. Indiquez clairement comment modifier, supprimer ou ajouter des stratégies.
Identifiez les inefficacités. Passez en revue les stratégies de gouvernance pour rechercher et corriger les inefficacités dans l’architecture et les opérations cloud. Par exemple, au lieu de demander à chaque charge de travail d’utiliser son propre pare-feu d’applications web, mettez à jour la stratégie pour exiger l’utilisation d’un pare-feu centralisé. Passez en revue les stratégies qui nécessitent un effort en double et vérifiez s’il existe un moyen de centraliser le travail.
Exemples de stratégies de gouvernance cloud
Les stratégies de gouvernance cloud suivantes sont des exemples de référence. Ces stratégies sont basées sur les exemples de la liste des exemples de risques.
| ID de stratégie | Catégorie de stratégie | ID de risque | Déclaration de politique | Objectif | Scope | Remediation | Supervision |
|---|---|---|---|---|---|---|---|
| RC01 | Conformité réglementaire | R01 | Microsoft Purview doit être utilisé pour surveiller les données sensibles. | Conformité réglementaire | Équipes de charge de travail, équipe de plateforme | Action immédiate de l’équipe concernée, formation sur la conformité | Microsoft Purview |
| RC02 | Conformité réglementaire | R01 | Les rapports de conformité des données sensibles quotidiens doivent être générés à partir de Microsoft Purview. | Conformité réglementaire | Équipes de charge de travail, équipe de plateforme | Résolution dans un délai d’un jour, audit de confirmation | Microsoft Purview |
| SC01 | Security | R02 | L’authentification multifacteur (MFA) doit être activée pour tous les utilisateurs. | Atténuer les violations de données et l’accès non autorisé | Utilisateurs Azure | Révoquer l’accès utilisateur | Accès conditionnel de Microsoft Entra ID |
| SC02 | Security | R02 | Les révisions d’accès doivent être effectuées tous les mois dans Microsoft Entra ID Governance. | Garantir l’intégrité des données et du service | Utilisateurs Azure | Révocation d’accès immédiat pour la non-conformité | Gouvernance des identifiants |
| SC03 | Security | R03 | Teams doit utiliser l’organisation GitHub spécifiée pour sécuriser l’hébergement de tous les logiciels et du code d’infrastructure. | Garantir la gestion sécurisée et centralisée des référentiels de code | Équipes de développement | Transfert de dépôts non autorisés vers l’organisation GitHub spécifiée et les actions disciplinaires potentielles pour la non-conformité | Journal d’audit GitHub |
| SC04 | Security | R03 | Les équipes qui utilisent des bibliothèques provenant de sources publiques doivent adopter le modèle de quarantaine. | Vérifier que les bibliothèques sont sécurisées et conformes avant l’intégration au processus de développement | Équipes de développement | Suppression de bibliothèques non conformes et examen des pratiques d’intégration pour les projets affectés | Audit manuel (mensuel) |
| CM01 | Gestion des coûts | R04 | Les équipes de charge de travail doivent définir des alertes budgétaires au niveau du groupe de ressources. | Empêcher les dépassements de dépenses | Équipes de charge de travail, équipe de plateforme | Révisions immédiates, ajustements pour les alertes | Microsoft Cost Management |
| CM02 | Gestion des coûts | R04 | Les recommandations relatives aux coûts d’Azure Advisor doivent être examinées. | Optimiser l’utilisation du cloud | Équipes de charge de travail, équipe de plateforme | Audits d’optimisation obligatoires après 60 jours | Advisor |
| OP01 | Operations | R05 | Les charges de travail de production doivent avoir une architecture active-passive entre les régions. | Garantir la continuité du service | Équipes de gestion de charges | Évaluations d’architecture, révisions biannuelles | Audit manuel (par version de production) |
| OP02 | Operations | R05 | Toutes les charges de travail essentielles à la mission doivent implémenter une architecture active-active interrégionale. | Garantir la continuité du service | Équipes de charge de travail stratégiques | Mises à jour dans les 90 jours, révisions de progression | Audit manuel (par version de production) |
| DG01 | Data | R06 | Le chiffrement en transit et au repos doit être appliqué à toutes les données sensibles. | Protéger les données sensibles | Équipes de gestion de charges | Mise en œuvre immédiate du chiffrement et formation de sécurité | Azure Policy |
| DG02 | Data | R06 | Les stratégies de cycle de vie des données doivent être activées dans Microsoft Purview pour toutes les données sensibles. | Gérer le cycle de vie des données | Équipes de gestion de charges | Mise en œuvre dans les 60 jours, audits trimestriels | Microsoft Purview |
| RM01 | Gestion des ressources | R07 | Bicep doit être utilisé pour déployer des ressources. | Normaliser l’approvisionnement des ressources | Équipes de charge de travail, équipe de plateforme | Plan de transition immédiat de Bicep | Pipeline d’intégration continue et de livraison continue (CI/CD) |
| RM02 | Gestion des ressources | R07 | Les balises doivent être appliquées à toutes les ressources cloud à l’aide d’Azure Policy. | Faciliter le suivi des ressources | Toutes les ressources cloud | Correction de l’étiquetage dans les 30 jours | Azure Policy |
| AI01 | AI | R08 | La configuration du filtrage de contenu IA doit être définie sur moyen ou supérieur. | Atténuer les sorties dangereuses de l’IA | Équipes de gestion de charges | Mesures correctives immédiates | Azure OpenAI Service |
| AI02 | AI | R08 | Les systèmes IA côté client doivent être mis en équipe tous les mois. | Identifier les biais d’IA | Équipes de modèles IA | Révision immédiate, actions correctives pour les absences | Audit manuel (mensuel) |