Directives d’implémentation Étapes d’implémentation Ressources

SEC10-BP01 Identifier les postes clés internes ainsi que les principales ressources externes

Identifiez les postes clés internes et externes, les ressources et les obligations légales qui aideront votre organisation à réagir en cas d’incident.

Résultat escompté : vous disposez d’une liste des principaux membres du personnel, de leurs coordonnées et des rôles qu’ils jouent lorsqu’ils répondent à un événement de sécurité. Vous consultez régulièrement ces informations et vous les mettez à jour de façon à refléter les changements de personnel du point de vue des outils internes et externes. Lorsque vous documentez ces informations, vous tenez compte de tous les fournisseurs de services et fournisseurs tiers, y compris les partenaires de sécurité, les fournisseurs de cloud et les applications de logiciel en tant que service (SaaS). Lors d’un événement de sécurité, le personnel est disponible avec le niveau de responsabilité, de contexte et d’accès approprié pour être en mesure de réagir et de récupérer.

Anti-modèles courants :

Ne pas gérer une liste actualisée des principaux membres du personnel avec leurs coordonnées, leurs rôles et leurs responsabilités lorsqu’ils répondent à des événements de sécurité.
Supposer que tout le monde comprend les personnes, les dépendances, l’infrastructure et les solutions lors de la réponse et de la reprise après un événement.
Ne pas disposer d’un document ou d’un référentiel de connaissances représentant la conception d’une infrastructure ou d’une application clé.
Ne pas disposer de processus d’intégration appropriés permettant aux nouveaux employés de contribuer efficacement à la réponse à un événement de sécurité, par exemple en effectuant des simulations d’événements.
Aucune procédure de remontée n’est en place lorsque le personnel clé est temporairement indisponible ou s’il ne répond pas lors d’événements de sécurité.

Avantages liés au respect de cette bonne pratique : cette pratique réduit le temps de triage et de réponse consacré à l’identification du personnel approprié et de ses rôles lors d’un événement. Minimisez le temps perdu lors d’un événement en tenant à jour une liste des principaux membres du personnel et de leurs rôles afin de pouvoir faire le tri des personnes appropriées et de les aider à récupérer après un événement.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : élevé

Directives d’implémentation

Identifier les postes clés au sein de votre organisation : tenez à jour une liste des employés au sein de votre organisation que vous devez impliquer. Passez régulièrement en revue et mettez à jour ces informations en cas de changements au sein du personnel, par exemple des changements organisationnels, des promotions et des changements d’équipe. Cette étape est particulièrement importante pour les rôles clés tels que les gestionnaires d’incidents, les intervenants en cas d’incident et le responsable des communications.

Gestionnaire d’incidents : les gestionnaires d’incidents ont une autorité globale lors de la réponse à l’événement.
Intervenants en cas d’incidents : les intervenants en cas d’incidents sont responsables des activités d’enquête et de correction. Ces personnes peuvent varier en fonction du type d’événement, mais il s’agit généralement de développeurs et d’équipes opérationnelles responsables de l’application concernée.
Responsable des communications : le responsable des communications est responsable des communications internes et externes, en particulier avec les agences publiques, les régulateurs et les clients.
Experts en la matière (PME) : dans le cas d’équipes distribuées et autonomes, nous vous recommandons d’identifier une PME pour les charges de travail critiques. Ils fournissent des informations sur le fonctionnement et la classification des données des charges de travail critiques impliquées dans l’événement.

Envisagez d’utiliser la fonctionnalité AWSSystems Manager Incident Manager pour capturer les contacts clés, définir un plan d’intervention, automatiser les plannings d’astreinte et définir des plans d’escalade. Automatisez et alternez tout le personnel grâce à un calendrier d’astreinte, de sorte que la responsabilité de la charge de travail soit partagée entre ses propriétaires. Cela favorise les bonnes pratiques, telles que l’émission de métriques et de journaux pertinents, ainsi que la définition de seuils d’alarme importants pour la charge de travail.

Identifier les partenaires externes : les entreprises utilisent des outils conçus par des fournisseurs indépendants de logiciels (ISV), des partenaires et des sous-traitants pour créer des solutions différenciantes pour leurs clients. Impliquez le personnel clé de ces parties qui peut vous aider à répondre à un incident et à récupérer après un incident. Nous vous recommandons de vous inscrire au niveau approprié d’AWS Support afin d’accéder rapidement à des experts AWS en la matière par le biais d’une demande d’assistance. Envisagez des agencements similaires avec tous les fournisseurs de solutions critiques pour les charges de travail. Certains événements de sécurité obligent les entreprises cotées en bourse à informer les agences publiques et les régulateurs concernés de l’événement et de ses impacts. Dressez une liste avec les coordonnées des départements concernés et des personnes responsables, et veillez à ce qu’elle reste à jour.

Étapes d’implémentation

Mettez en place une solution de gestion des incidents.
1. Envisagez de déployer Incident Manager dans votre compte d’outils de sécurité.
Définissez les contacts dans votre solution de gestion des incidents.
1. Définissez au moins deux types de canaux de communication pour chaque contact (SMS, téléphone ou e-mail, par exemple), afin de pouvoir avec certitude joindre les personnes concernées lors d’un incident.
Définissez un plan d’intervention.
1. Identifiez les contacts les plus appropriés à impliquer lors d’un incident. Définissez des plans de remontée en fonction des rôles du personnel à impliquer, plutôt que des contacts individuels. Envisagez d’inclure des contacts susceptibles d’être chargés d’informer les entités externes, même s’ils ne sont pas directement impliqués dans la résolution de l’incident.

Ressources

Bonnes pratiques associées :

OPS02-BP03 Les activités opérationnelles ont des propriétaires identifiés responsables de leurs performances

Documents connexes :

Guide d’intervention en cas d’incident de sécurité AWS

Exemples connexes :

Outils associés :

AWS Systems Manager Incident Manager

Vidéos connexes :

L’approche d’Amazon en matière de sécurité pendant le développement

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Préparation

SEC10-BP02 Développer des plans de gestion des incidents