Recommandations de sécurité pour répondre aux incidents - AWS Directives prescriptives
Plan de réponse aux incidentsRunbooks et playbooksAutomatisation pilotée par les événementsSupport processusAlertes en cas d'événements de sécurité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Recommandations de sécurité pour répondre aux incidents

Lorsqu'un événement de sécurité survient dans votre organisation, vos utilisateurs doivent être prêts à y répondre. Tous les utilisateurs doivent avoir une connaissance de base des processus de réponse en matière de sécurité de votre organisation. La planification, la formation et l'expérience sont essentielles à la réussite d'un programme de réponse aux incidents. Dans l'idéal, vous devez préparer votre organisation avant qu'un événement de sécurité potentiel ne se produise. Le AWS Well-Architected Framework identifie trois fondements nécessaires à la réussite d'un programme de réponse aux incidents dans le cloud : la préparation, les opérations et les activités post-incident. Pour plus d'informations, consultez la section Aspects de la réponse aux AWS incidents dans le AWS Well-Architected Framework.

À l'exception des contrôles de sécurité qui vous informent des événements ou y répondent automatiquement, il existe un nombre limité de contrôles que vous pouvez établir pour répondre aux incidents. Une solide posture de réponse aux incidents est principalement établie par le biais des plans, des processus, des manuels, des manuels et des programmes de formation que vous utilisez dans votre organisation. Vous pouvez utiliser les contrôles et les recommandations de cette section pour mettre en œuvre les meilleures pratiques pour votre programme de réponse aux incidents. Pour plus d'informations sur les meilleures pratiques en matière de réponse aux incidents et les conseils de mise en œuvre, consultez la section Réponse aux incidents dans le AWS Well-Architected Framework.

Définir un plan de réponse aux incidents

Établissez un plan de réponse aux incidents (IRP) bien défini. Le plan de réponse aux incidents est conçu pour constituer la base de votre programme de réponse aux incidents. Ce plan doit être personnalisé pour répondre aux besoins de chaque organisation.

Pour plus d’informations, consultez les ressources suivantes :

Créez et gérez des livrets et des playbooks de réponse aux incidents

L'élaboration de playbooks est un élément clé de la préparation aux processus de réponse à un incident. Les manuels de réponse aux incidents fournissent une série d'étapes recommandées que les utilisateurs doivent suivre lorsqu'un événement de sécurité se produit. Le fait de disposer d'une structure et d'étapes claires simplifie la réponse et réduit le risque d'erreur humaine.

Pour plus d’informations, consultez les ressources suivantes :

Mettre en œuvre une automatisation de la sécurité axée sur les événements

L'automatisation des réponses de sécurité est une action prédéfinie et programmée conçue pour répondre automatiquement à un événement de sécurité ou y remédier. Ces automatisations servent de contrôles de sécurité détectifs ou réactifs qui vous aident à mettre en œuvre les meilleures pratiques AWS de sécurité. Parmi les actions de réponse automatique, citons la modification d'un groupe de sécurité VPC, l'application de correctifs à une EC2 instance Amazon ou la rotation des informations d'identification.

Beaucoup Services AWS soutiennent les réponses automatisées. Par exemple, vous pouvez configurer une CloudWatch alarme Amazon pour des métriques spécifiques, et l'alarme peut déclencher une action lorsqu'elle change d'état. Par le biais d'Amazon EventBridge, vous pouvez également configurer une réponse et une correction automatisées en fonction des résultats dans AWS Security Hub Amazon Inspector.

Pour plus d'informations, veuillez consulter les ressources ci-dessous :

Documenter la manière dont les équipes opérationnelles doivent interagir avec Support

Pour vous Compte AWS, vous pouvez définir un contact principal et trois contacts alternatifs. Nous vous recommandons de fournir un contact de sécurité pour chacun Compte AWS ou pour votre organisation.

AWS Support propose une gamme de plans qui donnent accès à des outils et à une expertise susceptibles de contribuer au succès et à la santé opérationnelle des AWS solutions. Déterminez également si votre organisation bénéficierait de l'utilisation d'un plan AWS Managed Services plutôt que d'un Support plan. AWS Managed Services (AMS) vous aide à fonctionner de manière plus efficace et plus sûre en fournissant une gestion continue de votre AWS infrastructure, y compris la surveillance, la gestion des incidents, les conseils de sécurité, le support des correctifs et la sauvegarde des AWS charges de travail. Le modèle de support AMS peut être mieux adapté aux organisations dont les équipes chargées des opérations cloud disposent de ressources limitées. Nous vous recommandons de comparer ces modèles et ces plans afin de choisir celui qui convient le mieux au cas d'utilisation de votre entreprise et au niveau de maturité du cloud.

Pour plus d’informations, consultez les ressources suivantes :

Configuration des alertes pour les événements de sécurité

La détection d'une anomalie est aussi importante que les mesures mises en œuvre pour contrôler cette anomalie. L'alerte est l'élément principal de la phase de détection. Il génère une notification pour lancer le processus de réponse aux incidents en fonction de Compte AWS l'activité qui vous intéresse. Assurez-vous que les alertes contiennent des informations pertinentes permettant à l'équipe de prendre des mesures.

Pour plus d’informations, consultez les ressources suivantes :