Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS
SEC11-BP01 Formation à la sécurité des applications - AWS Framework Well-Architected
Directives d’implémentationRessources

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

SEC11-BP01 Formation à la sécurité des applications

PDFRSS

Offrez à votre équipe une formation sur les pratiques de développement et d’exploitation sécurisées, afin de l’aider à créer des logiciels sécurisés et de haute qualité. Cette pratique aide votre équipe à prévenir, détecter et corriger les problèmes de sécurité à un stade précoce du cycle de développement. Envisagez une formation qui couvre la modélisation des menaces, les pratiques de codage sécurisé et l’utilisation des services pour des configurations et des opérations sécurisées. Donnez à votre équipe un accès à la formation par le biais de ressources en libre-service et recueillez régulièrement leurs commentaires en vue de son amélioration continue.

Résultat escompté : vous dotez votre équipe des connaissances et des compétences nécessaires pour concevoir et créer des logiciels en tenant compte de la sécurité dès le départ. Grâce à une formation sur la modélisation des menaces et les pratiques de développement sécurisé, votre équipe possède une connaissance approfondie des risques de sécurité potentiels et comprend mieux comment les atténuer au cours du cycle de développement logiciel (SDLC). Cette approche proactive de la sécurité fait partie de la culture de votre équipe et vous permet d’identifier et de résoudre rapidement les problèmes de sécurité potentiels. Par conséquent, votre équipe fournit des logiciels et des fonctionnalités sécurisés et de haute qualité de manière plus efficace, ce qui accélère le délai de livraison global. Vous avez une culture collaborative et inclusive de la sécurité au sein de votre organisation, et la responsabilité de la sécurité est partagée entre tous ses acteurs.

Anti-modèles courants :

  • Vous attendez un examen de la sécurité pour tenir compte des propriétés de sécurité d’un système.

  • Vous laissez toutes les décisions en matière de sécurité à une équipe de sécurité centrale.

  • Vous ne communiquez pas sur la manière dont les décisions prises au cours du cycle de développement logiciel sont liées aux attentes ou aux politiques générales de l’organisation en matière de sécurité.

  • Vous effectuez trop tard le processus d’examen de la sécurité.

Avantages liés au respect de cette bonne pratique :

  • Meilleure connaissance des exigences organisationnelles en matière de sécurité dès le début du cycle de développement.

  • Possibilité d’identifier les problèmes de sécurité potentiels et d’y remédier plus rapidement, ce qui se traduit par une mise à disposition plus rapide des fonctionnalités.

  • Amélioration de la qualité des logiciels et des systèmes.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : moyen

Directives d’implémentation

Pour créer des logiciels sécurisés et de haute qualité, formez votre équipe aux pratiques courantes de développement et d’exploitation sécurisés des applications. Cette pratique peut aider votre équipe à prévenir, détecter et corriger les problèmes de sécurité plus tôt dans le cycle de développement, ce qui peut raccourcir le délai de livraison.

Pour mettre en œuvre cette pratique, envisagez de former votre équipe à la modélisation des menaces à l’aide de ressources AWS, telles que l’atelier sur la modélisation des menaces. La modélisation des menaces peut aider votre équipe à comprendre les risques de sécurité potentiels et à concevoir des systèmes en tenant compte de la sécurité dès le départ. En outre, vous pouvez fournir un accès à une formation AWS Training and Certification, du secteur ou destinée aux partenaires AWS sur les pratiques de développement sécurisées. Pour plus de détails sur une approche globale de la conception, du développement, de la sécurisation et de l’exploitation efficace à grande échelle, consultez le Guide AWS DevOps.

Définissez et communiquez clairement le processus d’examen de la sécurité de votre organisation et définissez les responsabilités de votre équipe, de l’équipe chargée de la sécurité et des autres parties prenantes. Publiez des conseils en libre-service, des exemples de code et des modèles illustrant comment répondre à vos exigences en matière de sécurité. Vous pouvez utiliser des services AWS tels que AWS CloudFormation, les constructs AWS Cloud Development Kit (AWS CDK) (AWS CDK) et Service Catalog pour fournir des configurations préapprouvées et sécurisées et réduire les besoins en configurations personnalisées.

Recueillez régulièrement les commentaires de votre équipe sur son expérience du processus d’examen de la sécurité et de la formation, et mettez à profit ces commentaires pour vous améliorer en permanence. Organisez des tests de simulation de panne ou des campagnes de lutte contre les bogues pour identifier et résoudre les problèmes de sécurité tout en améliorant les compétences de votre équipe.

Étapes d’implémentation

  1. Identifier les besoins de formation : évaluez le niveau de compétence actuel et les lacunes en matière de connaissances au sein de votre équipe en ce qui concerne les pratiques de développement sécurisées par le biais d’enquêtes, d’examens de code ou de discussions avec les membres de l’équipe.

  2. Planifier la formation : sur la base des besoins identifiés, créez un plan de formation qui couvre des sujets pertinents tels que la modélisation des menaces, les pratiques de codage sécurisé, les tests de sécurité et les pratiques de déploiement sécurisé. Utilisez des ressources telles que l’atelier sur la modélisation des menaces, AWS Training and Certification et les programmes de formation destinés au secteur ou aux partenaires AWS.

  3. Planifier et offrir des formations : planifiez des ateliers ou des sessions de formation réguliers pour votre équipe. Ils peuvent être dispensés par un instructeur ou à un rythme personnalisé, selon les préférences et la disponibilité de votre équipe. Encouragez les exercices pratiques et les exemples pratiques pour renforcer l’apprentissage.

  4. Définir un processus d’examen de la sécurité : collaborez avec votre équipe de sécurité et les autres parties prenantes pour définir clairement le processus d’examen de la sécurité pour vos applications. Documentez les responsabilités de chaque équipe ou personne impliquée dans ce processus, y compris votre équipe de développement, votre équipe de sécurité et les autres parties prenantes concernées.

  5. Créer des ressources en libre-service : développez des recommandations, des exemples de code et des modèles en libre-service pour illustrer comment répondre aux exigences de votre entreprise en matière de sécurité. Envisagez d’utiliser des services AWS tels que CloudFormation, les constructs AWS CDK et Service Catalog pour fournir des configurations préapprouvées et sécurisées et réduire les besoins en configurations personnalisées.

  6. Communiquer et partager : communiquez efficacement à votre équipe le processus d’examen de la sécurité et les ressources en libre-service disponibles. Organisez des ateliers ou des sessions de formation pour familiariser votre équipe à ces ressources et vérifiez qu’elle comprend comment les utiliser.

  7. Recueillir des commentaires et s’améliore : collectez régulièrement les commentaires de votre équipe sur son expérience du processus d’examen de la sécurité et de la formation. Utilisez ces commentaires pour identifier les domaines à améliorer et affiner en permanence les supports de formation, les ressources en libre-service et le processus d’examen de la sécurité.

  8. Réaliser des exercices de sécurité : organisez des tests de simulation de panne ou des campagnes de lutte contre les bogues pour identifier et résoudre les problèmes de sécurité au sein de vos applications. Ces exercices permettent non seulement de découvrir des vulnérabilités potentielles, mais constituent également des opportunités d’apprentissage pratique pour votre équipe, visant à améliorer ses compétences en matière de développement et d’exploitation sécurisés.

  9. Continuer à apprendre et à s’améliorer : encouragez votre équipe à rester au fait des derniers outils, techniques et pratiques de développement sécurisé. Passez en revue et mettez à jour régulièrement vos supports et ressources de formation afin de refléter l’évolution du contexte et des bonnes pratiques de sécurité.

Ressources

Bonnes pratiques associées :

Documents connexes :

Vidéos connexes :

Exemples connexes :

Services connexes :

Avez-vous besoin d’aide ?

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.