OPS01-BP05 Évaluation des menaces existantes

Évaluez les menaces pesant sur l’entreprise (par exemple, la concurrence, les risques commerciaux et les responsabilités, les risques opérationnels et les menaces sur la sécurité des informations) et tenez à jour les informations dans un registre des risques. Incluez l’impact des risques pour déterminer où concentrer les efforts.

Le cadre Well-Architected met l’accent sur la formation, la mesure et l’amélioration. Il offre une approche cohérente pour vous permettre d’évaluer les architectures et de mettre en œuvre des conceptions qui seront mises à l’échelle dans le temps. AWS fournit l’outil AWS Well-Architected Tool pour vous aider à vérifier votre approche avant le développement et l’état de vos charges de travail en production. Vous pouvez les comparer aux dernières bonnes pratiques architecturales AWS, surveiller l’état général de vos charges de travail et avoir un aperçu des risques potentiels.

Les clients AWS sont également éligibles à une vérification Well-Architected guidée de leurs charges de travail stratégiques pour mesurer leurs architectures par rapport aux bonnes pratiques AWS. Les clients Enterprise Support sont éligibles à une vérification des opérations conçue pour les aider à identifier les failles de leur approche d’exécution dans le cloud.

L’implication des équipes dans ces vérifications contribue à établir une compréhension partagée de vos charges de travail et de la façon dont les rôles de chacun contribuent à la réussite de l’équipe. Les besoins identifiés par la vérification peuvent vous aider à définir vos priorités.

AWS Trusted Advisor est un outil qui donne accès à un ensemble de base de vérifications qui recommandent des optimisations pouvant vous aider à définir vos priorités. Les clients du Business and Enterprise Support ont accès à des contrôles supplémentaires axés sur la sécurité, la fiabilité, les performances et l’optimisation des coûts qui peuvent les aider à définir leurs priorités.

Résultat escompté :

Vous vérifiez régulièrement le cadre Well-Architected et les résultats Trusted Advisor et vous agissez en conséquence.
Vous êtes au courant de l’état des derniers correctifs de vos services.
Vous comprenez le risque et l’impact des menaces connues et vous agissez en conséquence.
Vous mettez en œuvre des mesures d’atténuation si nécessaire.
Vous communiquez les actions et le contexte.

Anti-modèles courants :

Vous utilisez une ancienne version d’une bibliothèque de logiciels dans votre produit. Vous n’êtes pas au courant des mises à jour de sécurité de la bibliothèque pour les questions qui peuvent avoir un impact involontaire sur votre charge de travail.
Votre concurrent vient de lancer une version de son produit qui répond aux nombreuses plaintes de vos clients concernant votre produit. Vous n’avez pas priorisé la résolution de ces problèmes connus.
Les régulateurs ont poursuivi des entreprises comme la vôtre qui ne respectaient pas les exigences légales de conformité réglementaire. Vous n’avez pas priorisé la résolution des vos exigences de conformité en suspens.

Avantages liés au respect de cette bonne pratique : l’identification et la compréhension des menaces qui pèsent sur votre organisation et votre charge de travail vous permettent de déterminer les menaces à traiter, leur priorité et les ressources nécessaires pour y parvenir.

Niveau de risque encouru si cette bonne pratique n’est pas respectée : moyen

Directives d’implémentation

Évaluation des menaces existantes : évaluez les menaces qui pèsent sur l’entreprise (par exemple, la concurrence, les risques commerciaux et les responsabilités, les risques opérationnels et les menaces sur la sécurité des données) afin de pouvoir tenir compte de leur impact lorsque vous déterminez où concentrer vos efforts.
- Derniers bulletins de sécurité AWS
- AWS Trusted Advisor
Gestion d’un modèle de menace : établissez et gérez un modèle de menace identifiant les menaces potentielles, les mesures d’atténuation prévues et en place, et leur priorité. Examinez la probabilité que les menaces se manifestent par des incidents, le coût de la récupération après ces incidents, le préjudice attendu et le coût de la prévention de ces incidents. Modifiez les priorités au fur et à mesure que le contenu du modèle de menace change.

Ressources

Bonne pratique associée :

SEC01-BP07 Identification des menaces et hiérarchisation des atténuations à l’aide d’un modèle de menaces

Documents connexes :

Vidéos connexes :

AWS re:Inforce 2023 - A tool to help improve your threat modeling

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

OPS01-BP04 Évaluation des exigences de conformité

OPS01-BP06 Évaluation des compromis tout en gérant les avantages et les risques