KPMG : un audit AWS en toute confiance


- 06/06/2021

Article commandité

Après un incident de sécurité en 2018, une société spécialisée en finance a approché KPMG pour obtenir des conseils sur la façon de renforcer sa cybersécurité dans différents domaines. Depuis, la collaboration perdure.

« KPMG nous aide pour la surveillance de nos équipements informatiques, résume le conseiller principal en sécurité informatique de l’entreprise. Ils surveillent l’ensemble de notre parc informatique avec des systèmes élaborés en termes de défense et de sécurité, et nous informent dès qu’il y a une possible faille de sécurité, une tentative d’intrusion, un détournement de document, etc. Ils sont nos yeux! »

En décembre 2020, un client a demandé une évaluation Amazon Web services (AWS). Comme l’entreprise entretenait déjà une relation de confiance avec KPMG, elle s’est tournée tout naturellement vers ce partenaire lorsqu’il a été question de sécuriser AWS. Pour une évaluation de la sécurité AWS, KPMG vient valider cinq grands domaines : gestion des identités et accès, contrôle et détection de menaces, renforcement de la sécurité de l’infrastructure, protection des données et réponse aux incidents. L’audit a été réalisé en deux semaines.

« Il y avait beaucoup de travail à faire, raconte Cédric Thibault, vice-président directeur chez KPMG. L’évaluation a révélé que le client avait mis en place un service Web dans AWS sans aucun contrôle de sécurité. La volonté d’utiliser l’infonuagique répondait à un besoin d’affaires. C’est un cas qu’on voit souvent dans les entreprises. La migration avait donc été effectuée dans une optique de service d’affaires, et non de sécurité. Le département d’informatique s’est retrouvé avec un service sur AWS sans réelle expertise. »

KPMG a alors indiqué au client son niveau de risque dans AWS et lui a fourni différentes recommandations de sécurité. À la suite du dépôt de ce rapport, l’entreprise a demandé l’aide de KPMG pour la mise en œuvre des recommandations. Une démarche évidente, selon le conseiller principal en sécurité informatique, pour qui KPMG reste « une des meilleures entreprises du marché » en matière de surveillance des systèmes informatiques.

Rapidité d’exécution

Pour mettre en place ses recommandations, KPMG a eu carte blanche, ou presque, et a déployé une infrastructure de sécurité alors même que le client fournissait un service d’affaires. « Je ne pouvais pas avoir plus de droits. C’était presque une prise de contrôle! Mais l’entreprise devait nous transférer la responsabilité de tout gérer, explique Cédric Thibault. C’était d’ailleurs très agréable de travailler sur ce type de projet avec une aussi grande confiance de la part du client. Ce genre de situation est rare. Nous nous sommes sentis soutenus dans notre mission. »

Même son de cloche chez le client, qui souligne l’importance de la relation de confiance entre l’entreprise et ses partenaires sur la gestion de la sécurité. L’équipe informatique a accompagné KPMG tout au long du processus dans un travail collaboratif, pour éviter de nuire à la production et au service client. Pour mener à bien ses travaux, KPMG n’a eu besoin que d’une interruption de service planifiée de dix minutes, pour une opération de maintenance consistant à chiffrer les données.

Pour le client, le principal avantage de travailler avec KPMG a en effet été la rapidité d’exécution. Si le rapport de recommandations à effectuer était très détaillé, mettre en place toutes les suggestions en interne aurait pris des mois, le temps de former l’équipe et de préparer les travaux, sans compter le manque d’expertise et d’expérience du client dans le domaine. Pour sa part, KPMG a effectué les changements nécessaires dans l’infrastructure, installé de meilleurs contrôles de sécurité et intégré ses bonnes pratiques en trois semaines.

Une offre 360°

L’autre avantage de ce partenariat, c’est la formation continue. Les recommandations comprenaient un volet d’accompagnement, avec une séance de présentation des différentes solutions de sécurité. « On est une société de finance, pas de sécurité informatique. Monter une équipe interne qui soit autant à jour et performante que les sociétés spécialisées comme KPMG demanderait beaucoup d’effort, d’énergie et de temps, sans pour autant arriver à ce niveau de fiabilité. Ce n’est tout simplement pas notre cœur de métier, résume le conseiller informatique de l’entreprise. C’est donc plus avantageux de faire affaire avec une société spécialisée que de tout effectuer soi-même. »

D’autant que les ressources en technologies de l’information ne sont pas si nombreuses chez ce client – environ une trentaine de personnes sur 250 employés au total. Toutefois, en travaillant avec des experts dans le domaine, l’équipe informatique a finalement beaucoup appris. « La collaboration avec KPMG a permis d’augmenter un peu le niveau de connaissances et d’expertise de chacun. »

Maintenant que le mandat AWS est finalisé, KPMG effectue un suivi dans le temps. L’entreprise pourra continuer d’accompagner son client dans certains secteurs, notamment la surveillance. Cependant, l’objectif consiste surtout à lui transférer son savoir-faire au fur et à mesure et à renforcer l’équipe pour qu’elle devienne autonome à son rythme.

En attendant, à l’heure où trouver de nouveaux talents représente tout un défi, KPMG devient une extension de son client et lui apporte une offre 360° en matière de cybersécurité.

« On fournit énormément de services à ce client : de la surveillance des alertes de sécurité, des campagnes d’hameçonnage, des tests d’intrusion… Ça fait aussi partie des intérêts de notre firme : aller chercher de l’expertise très pointue comme AWS, alors qu’à la base, le client ne nous connaissait pas pour ça, conclut Cédric Thibault. Mais notre équipe a une profondeur qui permet de prendre en charge différents types de mandats. »




Tags: , , , ,