SEC11-BP01 Train pour la sécurité des applications - AWS Framework Well-Architected

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

SEC11-BP01 Train pour la sécurité des applications

Formez les concepteurs de votre organisation aux pratiques courantes de développement et d’exploitation sécurisés des applications. L’adoption de pratiques de développement axées sur la sécurité permet de réduire la probabilité d’apparition de problèmes décelés uniquement au stade de l’examen de la sécurité.

Résultat escompté : les logiciels doivent être conçus et conçus dans un souci de sécurité. Lorsque les concepteurs d’une organisation sont formés à des pratiques de développement sécurisées qui commencent par un modèle de menace, la qualité et la sécurité globales des logiciels produits s’en trouvent améliorées. Cette approche peut réduire le délai de livraison des logiciels ou des fonctionnalités, car moins de retouches sont nécessaires après la phase d’examen de la sécurité.

Aux fins de cette bonne pratique, le développement sécurisé fait référence au logiciel en cours d'écriture et aux outils ou systèmes qui prennent en charge le cycle de vie du développement logiciel (SDLC).

Anti-modèles courants :

  • Attendre un examen de la sécurité, puis réfléchir aux propriétés de sécurité d’un système.

  • Laisser toutes les décisions en matière de sécurité à l’équipe de sécurité.

  • Ne pas communiquer en quoi les décisions prises dans le cadre du SDLC rapport sont liées aux attentes ou aux politiques générales de sécurité de l'organisation.

  • S’impliquer trop tard dans le processus d’examen de la sécurité.

Avantages liés au respect de cette bonne pratique :

  • Meilleure connaissance des exigences organisationnelles en matière de sécurité dès le début du cycle de développement.

  • Possibilité d’identifier les problèmes de sécurité potentiels et d’y remédier plus rapidement, ce qui se traduit par une mise à disposition plus rapide des fonctionnalités.

  • Amélioration de la qualité des logiciels et des systèmes.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : moyen

Directives d’implémentation

Formez les concepteurs de votre organisation. Commencer par un cours sur la modélisation des menaces est une bonne base pour contribuer à la formation en matière de sécurité. Idéalement, les concepteurs devraient pouvoir accéder en libre-service aux informations pertinentes pour leur charge de travail. Cet accès leur permet de prendre des décisions éclairées sur les propriétés de sécurité des systèmes qu’ils construisent, sans avoir à solliciter une autre équipe. Le processus de participation de l’équipe de sécurité aux révisions doit être clairement défini et simple à suivre. Les étapes du processus de révision doivent être ajoutées à la formation à la sécurité. Lorsque des modèles d’implémentation connus sont disponibles, ils doivent être faciles à trouver et à relier aux exigences de sécurité globales. Envisagez d’utiliser AWS CloudFormation, AWS Cloud Development Kit (AWS CDK) Constructs, Service Catalog ou d’autres outils de création de modèles pour réduire le besoin de configuration personnalisée.

Étapes d’implémentation

  • Commencez par suivre aux créateurs un cours sur la modélisation des menaces pour établir de bonnes bases et aidez-les à penser à la sécurité.

  • Offrez l'accès à AWS Training la certification, à la formation industrielle ou à la formation AWS destinée aux partenaires.

  • Dispensez une formation sur le processus d’examen de la sécurité de votre organisation, qui clarifie la répartition des responsabilités entre l’équipe chargée de la sécurité, les équipes responsables de la charge de travail et les autres parties prenantes.

  • Publiez des conseils en libre-service sur la manière de répondre à vos exigences en matière de sécurité, y compris des exemples de code et des modèles, s’ils sont disponibles.

  • Recueillez régulièrement les commentaires des équipes de concepteurs sur leur expérience du processus d’examen de la sécurité et de la formation, et utilisez ces commentaires pour vous améliorer.

  • Utilisez des tests de simulation de pannes ou des campagnes de chasse aux bogues pour réduire le nombre de problèmes et améliorer les compétences de vos concepteurs.

Ressources

Bonnes pratiques associées :

Documents connexes :

Vidéos connexes :

Exemples connexes :

Services connexes :