Bomzai › Insights › Cas clients
DevOps plateforme data
Contexte
Banque avec des données critiques (transactions, clients, compliance) hébergées dans le cloud Azure. Le modèle de sécurité actuel est périmétrique : un VPN donne accès à l'ensemble du réseau cloud. Un pen-test récent a démontré qu'un accès compromis permettait de naviguer latéralement vers toutes les données sensibles. Le client a déjà eu des expériences décevantes avec des cabinets classiques.
Problème & Défi
Modèle de sécurité périmétrique obsolète : un accès VPN = accès à tout le réseau cloud. Pen-test : un accès compromis permet d'accéder aux données clients, transactions et compliance. Segmentation réseau insuffisante : les environnements dev, staging et production communiquent. Gestion des secrets manuelle : des credentials en clair dans des fichiers de configuration. Aucun monitoring des accès aux données sensibles : impossible de détecter une exfiltration.
Solution & Livrables
Architecture Zero Trust : chaque accès est vérifié indépendamment du réseau (identité, device, context). Micro-segmentation : chaque workload isolé avec des policies de communication explicites. IAM avancé : accès just-in-time, privilege escalation contrôlé, MFA systématique. Gestion des secrets centralisée : HashiCorp Vault avec rotation automatique des credentials. Data Loss Prevention : monitoring des accès aux données sensibles avec alerting sur les comportements anormaux.