SEC10-BP02 Développer des plans de gestion des incidents - AWS Framework Well-Architected
Directives d’implémentationRessources

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

SEC10-BP02 Développer des plans de gestion des incidents

Le premier document à élaborer pour la réponse aux incidents est le plan d’intervention en cas d’incident. Le plan d’intervention en cas d’incident est conçu pour servir de base à votre programme et à votre stratégie de réponse aux incidents.

Avantages liés au respect de cette bonne pratique : le développement de processus de réponse aux incidents complets et clairement définis est essentiel à la réussite d’un programme de réponse aux incidents évolutif. Lorsqu’un incident de sécurité se produit, des étapes et des flux de travail clairs peuvent vous aider à réagir rapidement. Vous disposez peut-être déjà de processus de réponse aux incidents. Quel que soit votre état actuel, il est important de mettre à jour, d’itérer et de tester régulièrement vos processus de réponse aux incidents.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : élevé

Directives d’implémentation

Un plan de gestion des incidents est essentiel pour réagir, atténuer et se remettre des répercussions potentielles des incidents de sécurité. Un plan de gestion des incidents est un processus structuré qui permet d’identifier les incidents de sécurité, d’y remédier et d’y répondre rapidement.

Le cloud comporte un grand nombre de rôles et exigences opérationnels identiques à ceux d’un environnement sur site. Lorsque vous créez un plan de gestion des incidents, il est important de tenir compte des stratégies d’intervention et de récupération qui correspondent le mieux aux résultats métier et aux exigences de conformité. Par exemple, si vous exécutez des charges de travail dans AWS qui sont conformes à FedRAMP aux États-Unis, suivez les recommandations fournies dans le document NIST SP 800-61 Guide relatif à la gestion de la sécurité informatique. De la même manière, lorsque vous exécutez des charges de travail qui stockent des données d’identification personnelle (PII), réfléchissez à la façon de protéger ces données et de résoudre les problèmes liés à la résidence et à l’utilisation des données.

Lorsque vous élaborez un plan de gestion des incidents pour vos charges de travail dans AWS, commencez par le modèle de responsabilité partagée AWS pour élaborer une approche de défense approfondie en matière d’intervention en cas d’incidents. Dans le cadre de ce modèle, AWS gère la sécurité du cloud et vous êtes responsable de la sécurité dans le cloud. Cela signifie que vous conservez le contrôle et que vous êtes responsable des contrôles de sécurité que vous choisissez d’implémenter. Le Guide sur les interventions en cas d’incident de sécurité AWS détaille les concepts clés et les conseils de base pour l’élaboration d’un plan de gestion des incidents axé sur le cloud.

Un plan de gestion des incidents efficace doit être répété constamment, tout en poursuivant votre objectif d’opérations dans le cloud. Envisagez d’utiliser les plans d’implémentation décrits ci-dessous pour créer et faire évoluer votre plan de gestion des incidents.

Étapes d’implémentation

  1. Définissez les rôles et les responsabilités au sein de votre organisation pour gérer les événements de sécurité. Cela devrait impliquer des représentants de différents départements, notamment :

    • Ressources humaines (RH)

    • Équipe de direction

    • Département juridique

    • Propriétaires et développeurs d’applications (experts spécifiques ou SME)

  2. Désignez clairement les intervenants responsables, redevables, consultés et informés (RACI, Responsible, Accountable, Consulted, Informed) lors d’un incident. Créez une matrice RACI pour faciliter une communication rapide et directe, et désignez clairement le leadership aux différentes étapes d’un événement.

  3. Impliquez les propriétaires et les développeurs d’applications (SME) lors d’un incident, car ils peuvent fournir des informations et un contexte précieux pour la mesure de l’impact. Établissez des relations avec ces SME et mettez en pratique des scénarios de réponse aux incidents avec elles avant qu’un véritable incident se produise.

  4. Impliquez des partenaires de confiance ou des experts externes dans le processus d’enquête ou de réponse, car ils peuvent apporter une expertise et un point de vue supplémentaires.

  5. Alignez vos rôles et plans de gestion des incidents sur les réglementations locales ou les exigences de conformité qui régissent votre organisation.

  6. Mettez en pratique et testez régulièrement vos plans de réponse aux incidents, et impliquez tous les rôles et responsabilités définis. Cela contribue à rationaliser le processus et à vérifier que vous disposez d’une réponse coordonnée et efficace aux incidents de sécurité.

  7. Passez en revue et mettez à jour les rôles, les responsabilités et la matrice RACI régulièrement ou à mesure que votre structure organisationnelle ou vos exigences changent.

Comprenez les équipes d’intervention et le support AWS

  • AWS Support

    • AWS Support propose un large choix de formules qui vous permettent d’accéder aux outils et aux compétences nécessaires pour garantir la réussite et la santé opérationnelle de vos solutions AWS. Si vous avez besoin d’un support technique et de ressources supplémentaires pour planifier, déployer et optimiser votre environnement AWS, vous pouvez sélectionner le plan de support le plus adapté à votre cas d’utilisation AWS.

    • Considérez le Centre d’assistance dans AWS Management Console (connexion requise) en tant que point de contact central pour obtenir de l’aide en cas de problèmes affectant vos ressources AWS. L’accès à AWS Support est contrôlé par AWS Identity and Access Management. Pour plus d’informations sur l’accès aux fonctionnalités AWS Support, consultez Démarrer avec AWS Support.

  • Équipe de réponse aux incidents clients (CIRT) AWS

    • L’équipe de réponse aux incidents clients (CIRT) AWS est une équipe AWS internationale spécialisée et disponible 24 heures sur 24, 7 jours sur 7, qui fournit une assistance aux clients lors d’événements de sécurité actifs côté client du Modèle de responsabilité partagée AWS.

    • Lorsque la CIRT AWS vous accompagne, elle fournit une assistance en matière de triage et de récupération en cas d’événement de sécurité actif sur AWS. Elle peut vous aider à analyser les causes profondes à l’aide des journaux de service AWS et vous fournir des recommandations pour la récupération. Elle peut également fournir des recommandations de sécurité et des bonnes pratiques pour vous aider à éviter des incidents de sécurité à l’avenir.

    • Les clients AWS peuvent contacter la CIRT AWS par le biais d’un cas AWS Support.

  • Support de réponse aux attaques DDoS

    • AWS propose AWS Shield, qui est un service de protection DDoS (Distributed Denial of Service) géré qui protège les applications Web s’exécutant sous AWS. Shield assure une détection continue et une atténuation automatique des risques pour minimiser les temps d’arrêt et la latence des applications, afin qu’il ne soit pas nécessaire d’avoir recours à AWS Support pour bénéficier de la protection DDoS. Il existe deux niveaux de Shield : AWS Shield Standard et AWS Shield Advanced. Pour en savoir plus sur les différences entre ces deux niveaux, consultez la documentation relative aux fonctionnalités Shield.

  • AWS Managed Services (AMS)

    • AWS Managed Services (AMS) fournit une gestion continue de votre infrastructure AWS afin que vous puissiez vous concentrer sur vos applications. En appliquant les bonnes pratiques pour gérer votre infrastructure, AMS permet de réduire les coûts et risques de fonctionnement. AMS automatise les activités courantes telles que les demandes de modification, la surveillance, la gestion des correctifs, la sécurité et les services de sauvegarde, et fournit des services pour l’intégralité du cycle de vie pour mettre en service, exécuter et soutenir votre infrastructure.

    • AMS prend la responsabilité de déployer une suite de contrôles de sécurité et fournit une réponse de première ligne 24 heures sur 24, 7 jours sur 7 aux alertes. Lorsqu’une alerte est déclenchée, AMS suit un ensemble standard de playbooks automatisés et manuels pour vérifier une réponse cohérente. Ces playbooks sont partagés avec les clients AMS lors de l’intégration afin qu’ils puissent développer et coordonner une réponse avec AMS.

Élaborez le plan d’intervention en cas d’incident

Le plan d’intervention en cas d’incident est conçu pour servir de base à votre programme et à votre stratégie de réponse aux incidents. Le plan d’intervention en cas d’incident doit figurer dans un document formel. Un plan d’intervention en cas d’incident comprend généralement les sections suivantes :

  • Présentation de l’équipe d’intervention en cas d’incidents : décrit les objectifs et les fonctions de l’équipe de réponse aux incidents.

  • Rôles et responsabilités : répertorie les parties prenantes de la réponse aux incidents et détaille leurs rôles en cas d’incident.

  • Plan de communication : détaille les coordonnées et la manière dont vous communiquez lors d’un incident.

  • Méthodes de communication relative à la sauvegarde : il est recommandé d’utiliser une communication hors bande comme solution de secours pour les communications en cas d’incident. Un exemple d’application qui fournit un canal de communication hors bande sécurisé est AWS Wickr.

  • Phases de l’intervention en cas d’incident et mesures à prendre : énumère les phases de la réponse aux incidents (par exemple, détection, analyse, éradication, maîtrise et récupération), y compris les mesures de haut niveau à prendre au cours de ces phases.

  • Définitions de la gravité et de la priorité des incidents : décrit en détail comment classer la gravité d’un incident, comment hiérarchiser l’incident, puis comment les définitions de gravité affectent les procédures de remontée.

Bien que ces sections soient communes à des entreprises de tailles et de secteurs différents, le plan d’intervention en cas d’incident de chaque organisation est unique. Vous devez élaborer un plan d’intervention en cas d’incident qui convient le mieux à votre organisation.

Ressources

Bonnes pratiques associées :

Documents connexes :