Mettre en place un cadre pour tirer les leçons des incidents - Réponse aux incidents de sécurité AWS Guide de l'utilisateur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mettre en place un cadre pour tirer les leçons des incidents

La mise en œuvre d'un cadre et d'une méthodologie en matière de leçons apprises permettra non seulement d'améliorer les capacités de réponse aux incidents, mais également d'empêcher que l'incident ne se reproduise. En tirant les leçons de chaque incident, vous pouvez éviter de répéter les mêmes erreurs, expositions ou mauvaises configurations, non seulement en améliorant votre posture de sécurité, mais également en minimisant le temps perdu dans des situations évitables.

Il est important de mettre en œuvre un cadre des leçons apprises qui établit et atteint, à un niveau élevé, les points suivants :

  • Quand se déroule un processus des enseignements tirés ?

  • En quoi consiste le processus des enseignements tirés ?

  • Comment se déroule un processus des enseignements tirés ?

  • Qui est impliqué dans le processus et comment ?

  • Comment les domaines à améliorer seront-ils identifiés ?

  • Comment allez-vous vous assurer que les améliorations sont suivies et mises en œuvre de manière efficace ?

Outre ces résultats de haut niveau énumérés, il est important de vous assurer de poser les bonnes questions pour tirer le meilleur parti du processus (informations menant à des améliorations réalisables). Posez-vous les questions suivantes pour commencer à développer vos discussions sur les enseignements tirés :

  • Quel a été l’incident ?

  • Quand l’incident a-t-il été identifié pour la première fois ?

  • Comment a-t-il été identifié ?

  • Quels systèmes ont alerté sur l’activité ?

  • Quels systèmes, services et données étaient concernés ?

  • Que s’est-il passé précisément ?

  • Qu’est-ce qui a bien fonctionné ?

  • Qu’est-ce qui n’a pas bien fonctionné ?

  • Quels processus ou procédures ont échoué ou n’ont pas pu être mis à l’échelle pour répondre à l’incident ?

  • Qu’est-ce qui peut être amélioré dans les domaines suivants :

    • Personnes

      • Les personnes à contacter étaient-elles réellement disponibles et la liste de contacts était-elle à jour ?

      • Les personnes manquaient-elles de formation ou n’avaient-elles pas les capacités nécessaires pour intervenir et enquêter efficacement sur l’incident ?

      • Les ressources appropriées étaient-elles prêtes et disponibles ?

    • Processus

      • Les processus et procédures ont-ils été suivis ?

      • Les processus et procédures étaient-ils documentés et disponibles pour cet incident ou ce type d’incident ?

      • Les processus et procédures requis étaient-ils absents ?

      • Les intervenants ont-ils pu accéder en temps opportun aux informations requises pour répondre au problème ?

    • Technologie

      • Les systèmes d’alerte existants ont-ils identifié l’activité et ont-ils envoyé des alertes efficaces ?

      • Les alertes existantes doivent-elles être améliorées ou de nouvelles alertes doivent-elles être créées pour cet incident ou ce type d’incident ?

      • Les outils existants ont-ils permis une investigation efficace (recherche/analyse) de l'incident ?

  • Que peut-on faire pour identifier cet incident ou ce type d’incident plus rapidement ?

  • Que peut-on faire pour éviter que cet incident ou ce type d’incident ne se reproduise ?

  • À qui appartient le plan d’amélioration et comment allez-vous vérifier qu’il a été mis en œuvre ?

  • Quel est le calendrier de mise en œuvre et de test des monitoring/preventative contrôles/processus supplémentaires ?

Cette liste n'est pas exhaustive ; elle est destinée à servir de point de départ pour identifier les besoins de l'organisation et de l'entreprise et la manière dont vous pouvez les analyser afin de tirer le meilleur parti des incidents et d'améliorer continuellement votre posture de sécurité. Le plus important est de commencer par intégrer les enseignements tirés dans le cadre standard de votre processus de réponse aux incidents, de la documentation et des attentes des parties prenantes.