Arbre décisionnel pour l'adoption d'un service AWS de sécurité - AWS Directives prescriptives

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Arbre décisionnel pour l'adoption d'un service AWS de sécurité

L'image suivante montre un arbre de décision que vous pouvez utiliser pour évaluer si votre organisation doit adopter un service AWS de sécurité. L'arbre de décision est divisé en deux sections : le contexte de l'entreprise et l'évaluation des services de AWS sécurité. La première section, Contexte de l'entreprise, est conçue pour évaluer votre contrôle ou votre solution actuels, s'ils existent. Vous passez à la deuxième section, l'évaluation des services de AWS sécurité, si vous ne disposez pas d'une solution actuelle ou si votre contrôle ou votre solution actuels ne répondent pas à vos exigences commerciales ou techniques. Dans la section d'évaluation du service de AWS sécurité, vous déterminez si le Service AWS répond à ces exigences.

Arbre décisionnel pour l'adoption d'un service AWS de sécurité

Contexte de l'entreprise pour évaluer une solution ou un contrôle de sécurité actuel

Dans cette section, vous évaluez votre contrôle ou votre solution actuels pour vous assurer qu'ils répondent aux exigences commerciales et techniques de votre organisation. Si aucun contrôle ou solution n'est en place, vous devez évaluer le service de AWS sécurité et passer directement à la section d'évaluation du service de sécurité AWS.

1.1 Un mandat de conformité, de sécurité ou de confidentialité n'est-il pas respecté ?

Organisations sont soumises aux lois et réglementations relatives à la sécurité et à la confidentialité des données. Toute violation de ces mandats peut entraîner de graves conséquences. Si votre entreprise n'est pas en mesure de satisfaire à une exigence de conformité, de sécurité ou de confidentialité, vous devez évaluer le service AWS de sécurité.

1.2 Avez-vous un risque élevé qui n'est pas pris en compte ?

Organisations doivent identifier et gérer les risques de sécurité importants dans leur environnement. Un risque élevé peut impliquer des violations de données potentielles, des vulnérabilités du système, des perturbations opérationnelles ou d'autres problèmes de sécurité critiques. Si votre solution actuelle (ou l'absence de solution) ne permet pas d'atténuer correctement ces risques élevés, passez à l'évaluation du service AWS de sécurité.

1.3 Disposez-vous d'une solution manuelle ou sujette aux erreurs ?

Les solutions qui nécessitent des étapes manuelles ou une interaction humaine sont plus sujettes aux erreurs. L'incohérence, la faible fiabilité des données, les actifs non conformes et le manque d'évolutivité sont courants dans ces scénarios. Les contrôles automatisés sont d'une importance fondamentale pour les systèmes informatiques et les charges de travail. Si votre solution actuelle ne prend pas en charge l'automatisation complète, pensez à évaluer le service AWS de sécurité.

1.4 Êtes-vous confronté à des problèmes de gestion, d'agilité ou d'évolutivité ?

Il est important de cartographier tout problème lié à la gestion. Voici quelques exemples : manque de compatibilité avec la gestion des différents actifs, la solution ne couvrant pas tous les appareils, erreurs et interruptions lors des mises à jour et impact négatif sur les performances en production. La solution doit offrir de l'agilité afin que les équipes puissent innover à partir d'une solide posture de sécurité. Vous devez favoriser l'évolutivité pour atteindre une croissance commerciale exponentielle. Si vous rencontrez des problèmes de gestion, de disponibilité ou de dimensionnement, vous devez évaluer le service AWS de sécurité.

1.5 Avez-vous un coût total de possession élevé ?

Évaluez le coût total de possession (TCO) de votre solution de sécurité actuelle en comparant les coûts aux indices de référence du secteur et aux indicateurs internes. En général, les entreprises investissent 6 à 14 % de leur budget informatique dans la cybersécurité, contre 10 % en moyenne. Tenez compte de facteurs tels que les licences, la mise en œuvre, la maintenance, le support et les coûts opérationnels pour protéger vos actifs. Vous pouvez inclure vos outils internes qui couvrent le même nombre d'actifs à protéger. Un budget de sécurité déséquilibré pour les outils peut également indiquer un coût total de possession élevé, par exemple si 60 % du budget est consacré à un seul outil. Si votre coût total de possession est supérieur à ces critères, passez à l'évaluation du service AWS de sécurité.

AWS évaluation des services de sécurité

Une preuve de technologie (POT) est similaire à une preuve de concept. L'objectif d'un POT est de déterminer si une solution potentielle à un problème technique est viable. Par exemple, vous pouvez utiliser un POT pour prouver qu'une configuration spécifique peut atteindre un certain résultat. Dans cette section, vous utilisez un POT pour évaluer et démontrer si un service de AWS sécurité donné répond à vos exigences commerciales et techniques.

L'architecture AWS de référence de sécurité (AWS SRA) fournit des conseils prescriptifs pour le déploiement de l'ensemble des services de AWS sécurité dans un environnement multi-comptes. Cette architecture peut vous aider à planifier et à exécuter votre évaluation POT.

Ce guide de décision s'applique à tous les services AWS de sécurité, y compris aux offres les plus récentes. Pour obtenir une up-to-date liste des services et des meilleures pratiques actuelles, consultez AWS Cloud la section Sécurité.

2.1 Le service de AWS sécurité répond-il à vos mandats en matière de conformité, de sécurité ou de confidentialité ?

Le service AWS de sécurité doit répondre à tous les mandats de conformité, de sécurité et de confidentialité auxquels la solution actuelle ne répond pas. Vous trouverez les AWS certifications et les rapports relatifs à la sécurité et à la conformité dans AWS Artifact. En outre, vous pouvez utiliser la Service AWS documentation pour valider la couverture.

2.2 Le service de AWS sécurité contribue-t-il à atténuer les risques ?

La gestion des risques est un facteur clé pour protéger les entreprises contre de nombreuses menaces. La décision d'adopter un service peut être directement liée à l'atténuation d'un ou de plusieurs risques élevés dans votre organisation. Le service AWS de sécurité doit atténuer le risque à un niveau acceptable, en fonction de votre propension au risque et du contexte commercial.

2.3 Le POT montre-t-il l'efficacité du service de sécurité ?

L'efficacité du service de AWS sécurité doit être démontrée par le biais d'un POT, en fonction des différentes métriques de chaque service de sécurité. Par exemple, le POT peut valider que le service peut détecter les menaces de sécurité et y répondre rapidement grâce à un algorithme de renseignement sur les menaces. Vous pouvez évaluer le succès en confirmant que les menaces ont été détectées en quelques minutes et que les notifications et les mesures correctives automatisées ont été correctement exécutées. Dans le cas d'un service de gestion des vulnérabilités, vous pouvez évaluer son efficacité en fonction des éléments suivants :

  • Combien de vulnérabilités ont été détectées ?

  • Quel est le taux de réussite de l'application des correctifs et des mises à jour ?

  • Pour la protection du Web, les attaques par script intersite (XSS) et injection de SQL effectuées par l'équipe de sécurité offensive (également connue sous le nom d'équipe rouge) ont-elles été immédiatement bloquées ?

AWS Les services professionnels et AWS les partenaires peuvent vous aider dans cette évaluation du POT.

2.4 Le coût total de possession est-il inférieur au contrôle ou à la solution actuels ?

La réduction du coût total de possession peut vous aider à optimiser les coûts au sein de votre organisation. Certains paramètres couramment utilisés dans ces comparaisons sont les suivants : les coûts d'acquisition et de mise en œuvre, les dépenses fixes et variables, les coûts d'exploitation, les coûts de maintenance et de support, les coûts d'extension et de fiabilité, et les coûts de formation. Il existe d'autres mesures et comparaisons de coûts que vous pouvez effectuer en fonction de votre cas d'utilisation spécifique. Ils Calculateur de tarification AWSpeuvent vous aider à estimer les coûts pour Services AWS. De plus, vous pouvez utiliser des produits Niveau gratuit d'AWS et des sentiers gratuits pour en évaluer plusieurs Services AWS. Pour plus d'informations, consultez la section Essais AWS Cloud de sécurité gratuits.

2.5 Décision de compromis

La décision de compromis nécessite de trouver un équilibre entre plusieurs facteurs, en particulier l'efficacité du service et les considérations relatives au coût total de possession. Lorsque des calculs exacts ou des déterminations précises ne sont pas possibles, évaluez l'équilibre global entre les avantages et les limites.

Un équilibre positif peut apparaître même lorsque les facteurs semblent entrer en conflit. Par exemple, un service peut augmenter les coûts tout en offrant une évolutivité améliorée. Cela représente un bilan positif où l'amélioration de l'efficacité justifie les coûts supplémentaires. À l'inverse, une réduction des capacités peut ne pas être acceptable même si un service permet de réaliser des économies importantes.

Vous devez équilibrer toutes les informations disponibles pour déterminer un résultat global positif ou négatif. Sur la base de cette analyse, vous pouvez prendre votre décision de compromis.