SEC10-BP08 Établir un cadre pour tirer des enseignements des incidents - AWS Well-Architected Framework

SEC10-BP08 Établir un cadre pour tirer des enseignements des incidents

La mise en œuvre d'un cadre d'enseignements tirés et d'une capacité d'analyse des causes profondes peut non seulement contribuer à améliorer les capacités de réponse aux incidents, mais également à empêcher que l'incident ne se reproduise. En tirant les leçons de chaque incident, vous pouvez éviter de répéter les mêmes erreurs, expositions ou erreurs de configuration, non seulement en améliorant votre posture de sécurité, mais également en réduisant le temps perdu dans des situations évitables.

Niveau de risque exposé si cette bonne pratique n'est pas respectée : Moyen

Directives d'implémentation

Il est important de mettre en œuvre un cadre d'enseignements tirés qui établit et atteint, à un niveau élevé, les points suivants :

  • Quand se déroule un processus des enseignements tirés ?

  • En quoi consiste le processus des enseignements tirés ?

  • Comment se déroule un processus des enseignements tirés ?

  • Qui est impliqué dans le processus et comment ?

  • Comment les domaines à améliorer seront-ils identifiés ?

  • Comment allez-vous vérifier que les améliorations sont suivies et mises en œuvre de manière efficace ?

Le cadre ne doit pas se concentrer sur les individus ni les blâmer, mais doit plutôt se concentrer sur l'amélioration des outils et des processus.

Étapes d'implémentation

Outre les résultats de haut niveau énumérés ci-dessus, il est important de poser les bonnes questions afin de tirer le meilleur parti (informations menant à des améliorations réalisables) du processus. Posez-vous les questions suivantes pour commencer à développer vos discussions sur les enseignements tirés :

  • Quel a été l'incident ?

  • Quand l'incident a-t-il été identifié pour la première fois ?

  • Comment a-t-il été identifié ?

  • Quels systèmes ont alerté sur l'activité ?

  • Quels systèmes, services et données étaient concernés ?

  • Que s'est-il passé précisément ?

  • Qu'est-ce qui a bien fonctionné ?

  • Qu'est-ce qui n'a pas bien fonctionné ?

  • Quels processus ou procédures ont échoué ou n'ont pas pu être mis à l'échelle pour répondre à l'incident ?

  • Qu'est-ce qui peut être amélioré dans les domaines suivants :

    • Les collaborateurs

      • Les personnes à contacter étaient-elles réellement disponibles et la liste de contacts était-elle à jour ?

      • Les personnes manquaient-elles de formation ou n'avaient-elles pas les capacités nécessaires pour intervenir et enquêter efficacement sur l'incident ?

      • Les ressources appropriées étaient-elles prêtes et disponibles ?

    • Les processus

      • Les processus et procédures ont-ils été suivis ?

      • Les processus et procédures étaient-ils documentés et disponibles pour cet incident ou ce type d'incident ?

      • Les processus et procédures requis étaient-ils absents ?

      • Les intervenants ont-ils pu accéder en temps opportun aux informations requises pour répondre au problème ?

    • La technologie

      • Les systèmes d'alerte existants ont-ils identifié l'activité et ont-ils envoyé des alertes efficaces ?

      • Comment aurions-nous pu réduire le délai de détection de 50 % ?

      • Les alertes existantes doivent-elles être améliorées ou de nouvelles alertes doivent-elles être créées pour cet incident ou ce type d'incident ?

      • Les outils existants ont-ils permis d'enquêter efficacement (recherche/analyse) sur l'incident ?

      • Que peut-on faire pour identifier cet incident ou ce type d'incident plus rapidement ?

      • Que peut-on faire pour éviter que cet incident ou ce type d'incident ne se reproduise ?

      • À qui appartient le plan d'amélioration et comment allez-vous vérifier qu'il a été mis en œuvre ?

      • Quel est le calendrier des contrôles et processus de surveillance ou de prévention supplémentaires à mettre en œuvre et à tester ?

Cette liste n'est pas exhaustive, mais vise à servir de point de départ pour identifier les besoins de l'organisation et de l'entreprise et la manière dont vous pouvez les analyser afin de tirer les meilleurs enseignements des incidents et d'améliorer en permanence votre posture de sécurité. Le plus important est de commencer par intégrer les enseignements tirés dans le cadre standard de votre processus de réponse aux incidents, de la documentation et des attentes des parties prenantes.

Ressources

Documents connexes :