Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La gouvernance cloud est la façon dont une organisation contrôle son utilisation des services cloud en établissant des garde-fous. Ces garde-fous sont des ensembles de stratégies, de procédures et d’outils qui définissent des activités cloud acceptables et inacceptables. Une gouvernance cloud efficace aligne l’utilisation du cloud avec les objectifs métier, atténue les risques, garantit la conformité réglementaire et empêche les actions cloud non gérées ou non autorisées. En pratique, la gouvernance cloud couvre les domaines clés tels que la sécurité, la conformité réglementaire, les opérations, la gestion des coûts, la gestion des données, l’approvisionnement des ressources et même les domaines émergents comme l’IA.
Liens rapides :Outils de gouvernance Azure et Exemple de matrice RACI de gouvernance
Processus de gouvernance : La gouvernance cloud n’est pas un projet unique, mais un processus continu. Après la configuration initiale, il nécessite une surveillance, une évaluation et des mises à jour continues pour s’adapter aux nouvelles technologies, à l’évolution des risques et aux exigences changeantes. Après avoir établi la base de gouvernance à l’étape 1, les étapes 2 à 5 se répètent dans un cycle pour maintenir et améliorer la gouvernance au fil du temps.
La première étape consiste à établir une équipe dédiée de gouvernance cloud pour superviser la gouvernance cloud au sein de l’organisation. Cette équipe est responsable de la gestion des risques liés au cloud, du développement et de la mise à jour des stratégies de gouvernance et de la création de rapports sur la progression de la gouvernance. Les membres de l’équipe doivent comprendre les besoins de différentes unités commerciales et s’assurer que les stratégies de gouvernance réduisent efficacement les risques sans bloquer les objectifs métier. Le résultat de cette étape est de disposer d’une propriété claire et d’une responsabilité pour la réussite de la gouvernance cloud.
1. Définir la fonction de l’équipe
Décrivez clairement ce que l’équipe de gouvernance cloud est responsable et les activités qu’elle effectuera pour implémenter la gouvernance. Au minimum, l’équipe doit pouvoir :
Impliquer les parties prenantes. L’équipe de gouvernance cloud doit impliquer activement les parties prenantes au sein de l’organisation (informatique, finance, opérations, sécurité et conformité) pour recueillir des informations sur la définition des stratégies de gouvernance cloud. L’objectif est de garantir que les stratégies de gouvernance cloud réduisent les risques sans empêcher les équipes d’atteindre les objectifs métier.
Évaluez les risques liés au cloud. L’équipe de gouvernance cloud doit superviser l’identification et l’évaluation des risques liés au cloud. L’équipe dirige les processus d’évaluation des risques et communique les résultats des risques. Ils peuvent fournir des outils ou des frameworks pour que d’autres personnes évaluent les risques de sécurité, de conformité et d’exploitation dans le cloud.
Développez et mettez à jour des stratégies de gouvernance. L’équipe de gouvernance cloud doit documenter les stratégies de gouvernance cloud qui répondent aux risques identifiés. L’équipe résout tous les défis que ces stratégies créent pour différents groupes et examinent régulièrement les stratégies pour les maintenir à jour avec les changements technologiques et les nouvelles exigences. Les stratégies doivent être complètes, applicables et alignées sur les besoins actuels de l’entreprise.
Surveillez et examinez la conformité. L’équipe de gouvernance cloud doit établir des métriques et des méthodes de création de rapports pour mesurer l’efficacité des stratégies de gouvernance. Suivez les niveaux de conformité, les violations de stratégie, les temps de réponse aux incidents et même la satisfaction des utilisateurs. Passez régulièrement en revue ces métriques pour identifier les domaines d’amélioration et de rapport sur la posture de gouvernance cloud de l’organisation.
2. Sélectionner les membres de l’équipe
Choisissez des personnes pour l’équipe de gouvernance cloud qui ont les compétences et l’expérience appropriées pour appliquer des stratégies, gérer les risques et garantir la conformité. Voici quelques recommandations pour la composition de l’équipe :
Gardez une petite équipe. Choisissez une petite équipe pour encourager l’agilité et la prise de décision plus rapide.
Garantir une représentation diversifiée. Incluez les membres de l’équipe provenant de différents services ou domaines. Par exemple, les opérations informatiques, l’architecture cloud, la sécurité, la conformité, la finance et peut-être le développement d’applications. La représentation interfonctionnale garantit que les stratégies de gouvernance prennent en compte plusieurs perspectives.
Définissez les responsabilités des membres de l’équipe. Définissez les rôles et responsabilités au sein de votre équipe de gouvernance cloud. Adaptez-les à la taille, à la complexité et à la maturité du cloud de votre organisation. Les principaux domaines de responsabilité incluent généralement la réussite globale du programme de gouvernance cloud, la supervision de l’architecture cloud, la sécurité cloud, la conformité réglementaire et la gestion financière cloud (optimisation des coûts).
3. Définir l’autorité de l’équipe
Autorisez l’équipe de gouvernance cloud avec le mandat et le support requis pour implémenter la gouvernance au sein de l’organisation. Les étapes à suivre sont les suivantes :
Sécuriser le parrainage exécutif. Bénéficiez d’un support et d’un rapport à un cadre nommé, tel que le directeur informatique ou le directeur technique, pour soutenir l’initiative de gouvernance cloud. Le sponsor exécutif sert de point d’escalade pour les défis et aide à aligner la gouvernance cloud avec les objectifs métier.
Établissez des niveaux d’autorité. Le sponsor exécutif doit accorder à l’équipe l’autorité nécessaire pour définir des stratégies de gouvernance cloud et prendre des mesures correctives pour la non-conformité.
Communiquez l’autorité. Le sponsor exécutif doit communiquer l’autorité de l’équipe de gouvernance cloud à l’ensemble de l’organisation. Incluez l’importance de respecter les stratégies de gouvernance cloud qu’elles créent.
4. Définir l’étendue de l’équipe
Établissez les limites des responsabilités de l’équipe de gouvernance cloud. L’objectif est de clarifier les domaines de responsabilité afin que l’équipe de gouvernance cloud puisse se concentrer sur leurs fonctions définies. Pour définir l’étendue, suivez ces recommandations :
Définissez la relation avec d’autres équipes. Déterminez comment l’équipe de gouvernance cloud interagit avec la gouvernance informatique existante, les équipes d’infrastructure locales ou les équipes d’applications. Par exemple, dans un environnement hybride, spécifiez quels aspects l’équipe de gouvernance cloud gère par rapport à la gouvernance informatique traditionnelle. La délimitation claire de l’étendue empêche toute confusion quant à qui gère ce qui se passe.
Utilisez une matrice RACI. Il peut être utile de créer un graphique RACI (responsable, responsable, consulté, informé) qui mappe les tâches liées à la gouvernance et qui est impliqué. Par exemple, l’équipe de gouvernance cloud peut être responsable du développement de stratégies, tandis que les ingénieurs de la plateforme cloud sont responsables de l’implémentation de contrôles spécifiques, et ainsi de suite. Une matrice RACI garantit que tout le monde connaît sa part dans la gouvernance cloud et comment l’équipe de gouvernance collabore avec d’autres groupes.
Exemple de matrice RACI de gouvernance cloud
Le tableau suivant est un exemple de matrice RACI pour la gouvernance cloud. La matrice indique qui est responsable (R), redevable (A), consulté (C) et informé (I) pour différentes tâches de gouvernance cloud. Créez une matrice RACI qui s’aligne sur votre organisation et répond à vos besoins spécifiques.
| Tâche | Équipe de gouvernance cloud | Sponsor exécutif | Équipe(s) de plateforme cloud | Équipes de gestion de charges |
|---|---|---|---|---|
| Engage parties prenantes | R, A | I | C | C |
| Évaluer les risques liés au cloud | A | I | R | R |
| Développer et mettre à jour des stratégies de gouvernance | R, A | I | C | C |
| Signaler la progression de la gouvernance cloud | R, A | I | C | C |
| Planifier une architecture cloud | A | I | R | R |
| Appliquer des stratégies de gouvernance | A, C | I | R | R |
| Effectuez le monitoring de la conformité | A, C | I | R | R |
Avoir une telle matrice permet de clarifier qui fait quoi. Par exemple, l’équipe de gouvernance cloud est responsable (A) de l’évaluation des risques cloud, mais les équipes de plateforme cloud et de charge de travail sont responsables (R) d’effectuer des évaluations des risques dans leurs domaines. L’équipe de gouvernance du cloud est consultée (C) ou responsable de l’application, mais l’exécution revient aux équipes de plateforme et de workload.
Avec les fonctions, l’appartenance, l’autorité et l’étendue de l’équipe établies, vous avez créé une base pour la gouvernance cloud. Cette équipe va maintenant suivre les étapes suivantes : définition de stratégies, application de ces stratégies et surveillance de la conformité.