SEC01-BP03 Identifier et valider les objectifs de contrôle - Framework AWS Well-Architected

SEC01-BP03 Identifier et valider les objectifs de contrôle

Fixez et validez les objectifs de contrôle et les contrôles que vous devez appliquer à votre charge de travail en fonction de vos exigences de conformité et des risques identifiés à partir de votre modèle de menace. La validation continue des objectifs de contrôle et des contrôles permet de mesurer l’efficacité de l’atténuation des risques.

Résultat souhaité : les objectifs de contrôle de sécurité de votre entreprise sont bien définis et conformes à vos exigences de conformité. Des contrôles sont mis en œuvre et appliqués par le biais de l’automatisation et des politiques. Leur efficacité dans le cadre de la réalisation de vos objectifs est évaluée en continu. Les preuves de l’efficacité à un moment donné et au cours d’une période spécifique peuvent être facilement transmises aux auditeurs.

Anti-modèles courants :

  • Les exigences réglementaires, les attentes du marché et les normes du secteur en matière de sécurité assurable ne sont pas bien comprises pour votre entreprise

  • Vos cadres de cybersécurité et vos objectifs de contrôle ne sont pas adaptés aux exigences de votre entreprise

  • La mise en œuvre des contrôles n’est pas étroitement liée à vos objectifs de contrôle de manière mesurable

  • Vous n’utilisez pas l’automatisation pour rendre compte de l’efficacité de vos contrôles

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : élevé

Directives d’implémentation

De nombreux cadres de cybersécurité courants peuvent constituer la base de vos objectifs en matière de contrôle de sécurité. Tenez compte des exigences réglementaires, des attentes du marché et des normes du secteur pour votre entreprise afin de déterminer les cadres les plus adaptés à vos besoins. Les exemples incluent AICPA SOC 2, HITRUST, PCI-DSS, ISO 27001 et NIST SP 800-53.

En ce qui concerne les objectifs de contrôle que vous identifiez, comprenez comment les services AWS que vous consommez vous aident à atteindre ces objectifs. Utilisez AWS Artifact pour trouver de la documentation et des rapports conformes à vos cadres cibles qui décrivent l’étendue des responsabilités couvertes par AWS et des conseils pour le champ d’application restant sous votre responsabilité. Pour obtenir des conseils supplémentaires spécifiques aux services, dans la mesure où ils s’alignent sur les différentes déclarations de contrôle du cadre, consultez les guides de conformité destinés aux clients AWS.

Lorsque vous définissez les contrôles destinés à vous permettre d’atteindre vos objectifs, codifiez l’application à l’aide de contrôles préventifs et automatisez les mesures d’atténuation à l’aide de contrôles de détection. Aidez à prévenir les configurations de ressources et les actions non conformes dans l’ensemble de vos AWS Organizations à l’aide de politiques de contrôle des services (SCP). Mettez en œuvre des règles dans AWS Config pour surveiller et signaler les ressources non conformes, puis basculez les règles vers un modèle d’application une fois que vous êtes sûr de leur comportement. Pour déployer des ensembles de règles prédéfinies et gérées qui s’alignent sur vos cadres de cybersécurité, évaluez l’utilisation des normes AWS Security Hub comme première option. La norme des pratiques exemplaires en matière de sécurité de base AWS (FSBP) et la référence CIS AWS Foundations Benchmark constituent de bons points de départ avec des contrôles qui s’alignent sur de nombreux objectifs partagés par plusieurs cadres standard. Lorsque Security Hub ne dispose pas intrinsèquement des détections de contrôle souhaitées, il peut être complété par des packs de conformité AWS Config.

Utilisez les groupes de partenaires APN recommandés par l’équipe AWS Global Security and Compliance Acceleration (GSCA) pour obtenir l’assistance de conseillers en sécurité, d’agences de conseil, de systèmes de collecte de preuves et d’information, d’auditeurs et d’autres services complémentaires en cas de besoin.

Étapes d’implémentation

  1. Évaluez les cadres de cybersécurité courants et alignez vos objectifs de contrôle sur ceux que vous aurez choisis.

  2. Obtenez la documentation pertinente sur les directives et les responsabilités relatives à votre cadre en utilisant AWS Artifact. Déterminez quels aspects de la conformité relèvent de la partie AWS du modèle de responsabilité partagée et quels éléments relèvent de votre responsabilité.

  3. Utilisez les SCP, les politiques de ressources, les politiques d’approbation des rôles et d’autres barrières de protection pour empêcher les configurations de ressources et les actions non conformes.

  4. Évaluez le déploiement des normes Security Hub et des packs de conformité AWS Config qui correspondent à vos objectifs de contrôle.

Ressources

Bonnes pratiques associées :

Documents connexes :

Outils associés :