SEC07-BP03 Automatiser l’identification et la classification - AWS Framework Well-Architected

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

SEC07-BP03 Automatiser l’identification et la classification

L’automatisation de l’identification et de la classification des données peut vous aider à mettre en œuvre les contrôles appropriés. L’utilisation de l’automatisation pour améliorer la détermination manuelle réduit le risque d’erreur humaine et d’exposition.

Résultat escompté : vous êtes en mesure de vérifier si les contrôles appropriés sont en place en fonction de votre politique de classification et de manutention. Les outils et services automatisés vous aident à identifier et à classer le niveau de sensibilité de vos données.  L’automatisation vous aide également à surveiller en permanence vos environnements afin de détecter et d’alerter si des données sont stockées ou traitées de manière non autorisée, pour que des mesures correctives puissent être prises rapidement.

Anti-modèles courants :

  • S’appuyer uniquement sur des processus manuels pour l’identification et la classification des données, ce qui peut être source d’erreur et prendre beaucoup de temps.  Cela peut entraîner une classification des données inefficace et incohérente, en particulier lorsque les volumes de données augmentent.

  • Ne pas disposer de mécanismes pour suivre et gérer les ressources de données dans l’ensemble de l’organisation.

  • Perdre de vue la nécessité d’une surveillance et d’une classification continues des données au fur et à mesure de leur évolution au sein de l’organisation.

Avantages liés au respect de cette bonne pratique : l’automatisation de l’identification et de la classification des données peut permettre une application plus cohérente et plus précise des contrôles de protection des données, réduisant ainsi le risque d’erreur humaine.  L’automatisation peut également fournir une visibilité sur l’accès et le mouvement des données sensibles, ce qui vous permet de détecter les manipulations non autorisées et de prendre des mesures correctives.

Niveau de risque encouru si cette bonne pratique n’est pas respectée : moyen

Directives d’implémentation

Bien que le discernement humain soit souvent utilisé pour classer les données pendant les phases initiales de conception d’une charge de travail, envisagez de mettre en place des systèmes qui automatisent l’identification et la classification des données de test à titre de contrôle préventif. Par exemple, les développeurs peuvent disposer d’un outil ou d’un service leur permettant d’analyser des données représentatives afin de déterminer leur sensibilité.  Au sein d’AWS, vous pouvez télécharger des ensembles de données dans Amazon S3 et les analyser à l’aide d’Amazon Macie, Amazon Comprehend ou Amazon Comprehend Medical.  De même, envisagez d’analyser les données dans le cadre de tests unitaires et d’intégration afin de détecter les endroits où des données sensibles ne sont pas attendues. Les alertes sur les données sensibles à ce stade peuvent mettre en évidence les lacunes en matière de protection avant le déploiement en production. D’autres fonctionnalités, telles que la détection des données sensibles dans AWS Glue, Amazon SNS et Amazon CloudWatch, peuvent également être utilisées pour détecter les informations personnelles et prendre des mesures d’atténuation. Pour tout outil ou service automatisé, comprenez comment il définit les données sensibles et enrichissez-le avec d’autres solutions humaines ou automatisées pour combler les lacunes si nécessaire.

À des fins de détection, utilisez une surveillance continue de vos environnements pour identifier si des données sensibles sont stockées de manière non conforme.  Cela peut permettre de détecter des situations telles que l’émission de données sensibles dans des fichiers journaux ou leur copie dans un environnement d’analytique des données sans anonymisation ou suppression appropriée.  Les données stockées dans Amazon S3 peuvent être surveillées en permanence afin de détecter les données sensibles à l’aide d’Amazon Macie.  

Étapes d’implémentation

  1. Passez en revue le schéma de classification des données au sein de votre organisation, décrit dans le document SEC07-BP01.

    1. En comprenant le schéma de classification des données de votre organisation, vous pouvez établir des processus précis d’identification et de classification automatisées conformes aux politiques de votre entreprise.

  2. Effectuez une analyse initiale de vos environnements pour une identification et une classification automatisées.

    1. Une analyse initiale complète de vos données peut vous aider à comprendre de manière exhaustive où se trouvent les données sensibles dans vos environnements. Lorsqu’une analyse complète n’est pas requise au départ ou ne peut pas être réalisée en amont pour des raisons de coût, évaluez si les techniques d’échantillonnage des données sont appropriées pour obtenir vos résultats. Par exemple, Amazon Macie peut être configuré de façon à effectuer une vaste opération automatisée de découverte des données sensibles dans vos compartiments S3.  Cette capacité utilise des techniques d’échantillonnage pour effectuer de manière rentable une analyse préliminaire de l’emplacement des données sensibles.  Une analyse plus approfondie des compartiments S3 peut ensuite être réalisée à l’aide d’une tâche de découverte des données sensibles. D’autres magasins de données peuvent également être exportés vers S3 en vue de leur analyse par Macie.

    2. Établissez le contrôle d’accès défini dans le document SEC07-BP02 pour vos ressources de stockage de données identifiées lors de votre analyse.

  3. Configurez des analyses continues de vos environnements.

    1. La capacité de découverte automatique des données sensibles de Macie peut être utilisée afin d’effectuer des analyses continues de vos environnements.  Les compartiments S3 connus qui sont autorisés à stocker des données sensibles peuvent être exclus à l’aide d’une liste d’autorisation dans Macie.

  4. Intégrez l’identification et la classification à vos processus de construction et de test.

    1. Identifiez les outils que les développeurs peuvent utiliser pour analyser la sensibilité des données pendant le développement des charges de travail.  Utilisez ces outils dans le cadre des tests d’intégration pour vous avertir lorsque des données sensibles sont inattendues et empêcher tout déploiement ultérieur.

  5. Mettez en œuvre un système ou un runbook pour agir lorsque des données sensibles sont détectées dans des emplacements non autorisés.

    1. Limitez l’accès aux données utilisant la correction automatique. Par exemple, vous pouvez déplacer ces données vers un compartiment S3 à accès restreint ou baliser l’objet si vous utilisez le contrôle d’accès par attributs (ABAC). Envisagez également de masquer les données lorsqu’elles sont détectées.

    2. Alertez vos équipes de protection des données et de réponse aux incidents pour qu’elles étudient la cause racine de l’incident. Tous les enseignements qu’elles identifient peuvent aider à prévenir de futurs incidents.

Ressources

Documents connexes :

Exemples connexes :

Outils associés :