SEC01-BP03 Identifier et valider les objectifs de contrôle

Fixez et validez les objectifs de contrôle et les contrôles que vous devez appliquer à votre charge de travail en fonction de vos exigences de conformité et des risques identifiés à partir de votre modèle de menace. La validation continue des objectifs de contrôle et des contrôles permet de mesurer l’efficacité de l’atténuation des risques.

Résultat souhaité : les objectifs de contrôle de sécurité de votre entreprise sont bien définis et conformes à vos exigences de conformité. Des contrôles sont mis en œuvre et appliqués par le biais de l’automatisation et des politiques. Leur efficacité dans le cadre de la réalisation de vos objectifs est évaluée en continu. Les preuves de l’efficacité à un moment donné et au cours d’une période spécifique peuvent être facilement transmises aux auditeurs.

Anti-modèles courants :

• Les exigences réglementaires, les attentes du marché et les normes du secteur en matière de sécurité assurable ne sont pas bien comprises pour votre entreprise

• Vos cadres de cybersécurité et vos objectifs de contrôle ne sont pas adaptés aux exigences de votre entreprise

• La mise en œuvre des contrôles n’est pas étroitement liée à vos objectifs de contrôle de manière mesurable

• Vous n’utilisez pas l’automatisation pour rendre compte de l’efficacité de vos contrôles

Niveau d’exposition au risque si cette bonne pratique n’est pas établie : élevé

Directives d’implémentation

De nombreux cadres de cybersécurité courants peuvent constituer la base de vos objectifs en matière de contrôle de sécurité. Tenez compte des exigences réglementaires, des attentes du marché et des normes du secteur pour votre entreprise afin de déterminer les cadres les plus adaptés à vos besoins. Il s’agit notamment des normes AICPA SOC 2, HITRUST, PCI-DSS, ISO 27001 et NIST SP 800-53.

En ce qui concerne les objectifs de contrôle que vous identifiez, comprenez comment les services AWS que vous consommez vous aident à atteindre ces objectifs. Utilisez AWS Artifact pour trouver de la documentation et des rapports qui sont alignés sur vos cadres cibles, qui décrivent l’étendue de la responsabilité couverte par AWS et qui offrent des conseils relatifs à la portée restante dont vous êtes responsable. Pour obtenir des conseils spécifiques aux services, conformes aux différentes déclarations de contrôle des cadres, consultez les guides de conformité destinés aux clients AWS.

Lorsque vous définissez les contrôles destinés à vous permettre d’atteindre vos objectifs, codifiez l’application à l’aide de contrôles préventifs et automatisez les mesures d’atténuation à l’aide de contrôles de détection. Veillez à empêcher les configurations de ressources et les actions non conformes dans l’ensemble de votre AWS Organizations en établissant des politiques de contrôle des services (SCP). Mettez en œuvre des règles dans AWS Config pour surveiller et signaler les ressources non conformes, puis passez à un modèle d’application une fois que vous avez la certitude que leur comportement est adéquat. Pour déployer des ensembles de règles prédéfinies et gérées alignées sur vos cadres de cybersécurité, commencez par évaluer l’utilisation des normes AWS Security Hub. La norme des pratiques exemplaires en matière de sécurité de base AWS (AWS FSBP) et la référence CIS AWS Foundations Benchmark constituent de bons points de départ avec des contrôles qui s’alignent sur de nombreux objectifs partagés par plusieurs cadres standard. Lorsque Security Hub ne dispose pas intrinsèquement des détections de contrôle souhaitées, il peut être complété à l’aide des packs de conformité AWS Config.

Utilisez les offres groupées des partenaires APN recommandées par l’équipe AWS Global Security and Compliance Acceleration (GSCA) pour obtenir l’assistance de conseillers en sécurité, d’agences de conseil, de systèmes de collecte de preuves et de reporting, d’auditeurs et d’autres services complémentaires si nécessaire.

Étapes d’implémentation

1. Évaluez les cadres de cybersécurité courants et alignez vos objectifs de contrôle sur ceux que vous aurez choisis.

2. Obtenez la documentation pertinente sur les directives et les responsabilités relatives à votre cadre en utilisant AWS Artifact. Déterminez quels aspects de la conformité relèvent de la partie AWS du modèle de responsabilité partagée et quels éléments relèvent de votre responsabilité.

3. Utilisez les SCP, les politiques de ressources, les politiques d’approbation des rôles et d’autres barrières de protection pour empêcher les configurations de ressources et les actions non conformes.

4. Évaluez le déploiement des normes Security Hub et des packs de conformité AWS Config qui correspondent à vos objectifs de contrôle.

Ressources

Bonnes pratiques associées :

• SEC03-BP01 Définir les conditions d’accès

• SEC04-BP01 Configurer une journalisation de service et d’application

• SEC07-BP01 Comprendre votre schéma de classification des données

• OPS01-BP03 Évaluer les exigences de gouvernance

• OPS01-BP04 Évaluer les exigences de conformité

• PERF01-BP05 Utiliser des stratégies et des architectures de référence

• COST02-BP01 Développer des stratégies en fonction des exigences de votre organisation

Documents connexes :

• AWS Customer Compliance Guides

Outils associés :

• AWS Artifact