Contrôles de sécurité dans le cadre de gouvernance

Il est important de planifier à partir du niveau de base. Comment commencer ? L'illustration suivante montre comment élaborer une stratégie de gouvernance de la sécurité basée sur une stratégie, des objectifs de contrôle, des normes et des contrôles de sécurité.

Les éléments hiérarchiques d'une stratégie de gouvernance en matière de sécurité sont les suivants :

• Politique : une stratégie est la base de toute stratégie de gouvernance de la cybersécurité. Il s'agit d'un document qui énonce les attentes de l'entreprise, telles que les obligations légales, réglementaires ou contractuelles auxquelles elle doit répondre. Les politiques peuvent varier selon le secteur d'activité et la région.

• Objectifs de contrôle : les objectifs de contrôle sont des cibles, telles que les bonnes pratiques reconnues par le secteur, qui vous aident à atteindre l'objectif défini par une politique. Pour le cloud computing, de nombreuses entreprises adoptent la Cloud Controls Matrix (CCM) (site Web de Cloud Security Alliance), qui est un cadre d'objectifs de contrôle de la cybersécurité.

• Normes : les normes sont des exigences officiellement établies qui répondent à un objectif de contrôle. Les normes peuvent inclure des processus, des actions ou des configurations, et elles sont quantifiables afin que vous puissiez mesurer les performances par rapport à la norme.

• Contrôles de sécurité : les contrôles de sécurité sont les mécanismes techniques ou administratifs que vous mettez en place pour implémenter les normes. Tous les contrôles de sécurité correspondent aux normes, mais toutes les normes ne correspondent pas aux contrôles de sécurité. Les tests des contrôles de sécurité sont conçus pour surveiller et mesurer votre capacité à respecter les normes définies.

Ce guide explique comment concevoir et implémenter des types de contrôles de sécurité courants dans le AWS Cloud.