Limiter la gouvernance Azure à Azure Policy et au RBAC est une erreur fréquente. Ce sont des outils, pas une gouvernance en soi.
Une gouvernance efficace repose sur trois niveaux :
1. Gouvernance structurelle
- Management Groups
- Stratégie d’abonnements
- Séparation claire prod / non‑prod
- Modèle d’isolation (fonctionnelle, sécurité, conformité)
2. Gouvernance réglementaire et sécurité
- Azure Policy (audit, deny, deployIfNotExists)
- Stratégie de conformité réaliste (pas “100 % deny” partout)
- Gestion des accès privilégiés (PIM, rôles custom)
- Baselines sécurité par typologie de service
3. Gouvernance opérationnelle
- Qui crée quoi ?
- Qui valide ?
- Qui maintient ?
- Qui paie ?
C’est là que beaucoup d’organisations échouent. Sans RACI clair, la plateforme devient soit bloquante, soit incontrôlable.
La gouvernance ne doit pas empêcher le déploiement, elle doit canaliser la vitesse. Si les équipes contournent les règles pour travailler, la gouvernance est ratée.