Création d'une culture de sécurité réceptive et adaptative - Guide de réponse aux incidents de sécurité AWS

Création d'une culture de sécurité réceptive et adaptative

Chez AWS, nous avons appris que nos clients et nos propres équipes internes réussissent mieux lorsque les équipes de sécurité favorisent la coopération pour leur entreprise et les développeurs, favorisent une culture qui garantit que toutes les parties prenantes coopèrent et s'efforcent de maintenir une posture de sécurité agile et hautement réactive. Bien que l'amélioration de la culture de sécurité de votre organisation ne soit pas le sujet de ce document, sachez que vous pouvez obtenir des renseignements pertinents auprès de collaborateurs qui ne sont pas responsables de la sécurité, à condition que l'équipe de sécurité soit réceptive. Lorsque votre équipe de sécurité est ouverte et accessible, et qu'elle bénéficie du soutien de la direction, elle est plus susceptible de recevoir des notifications, des actes de coopération et des réponses supplémentaires en temps opportun aux événements de sécurité.

Dans certaines organisations, les collaborateurs peuvent craindre les conséquences en cas de signalement d'un problème de sécurité. Parfois, les collaborateurs ne savent tout simplement pas comment signaler un problème. Dans d'autres cas, ils peuvent ne pas vouloir perdre de temps, ou avoir peur de signaler un incident de sécurité qui n'en serait finalement pas un. De l'ensemble de l'organisation, à partir de l'équipe dirigeante, il est important de promouvoir une culture d'acceptation et d'inviter tout le monde à participer à la sécurité de l'organisation. Indiquez un canal clair qui permettra à chacun d'ouvrir un ticket de niveau de gravité élevé chaque fois qu'il peut y avoir une menace ou un risque potentiel. Accueillez ces notifications avec un esprit enthousiaste et ouvert, mais surtout, faites savoir clairement au personnel qui n'est pas responsable de la sécurité que vous accueillez favorablement ces notifications. Insistez sur le fait que vous préférez recevoir trop de notifications de problèmes potentiels plutôt que de ne recevoir aucune notification. Il est de loin préférable qu'un développeur informe d'une erreur qu'il a commise, plutôt qu'un chercheur la signale dans une publication.

Ces notifications offrent de précieuses opportunités de mener des enquêtes réactives dans des situations de stress. Elles peuvent constituer des boucles de rétroaction importantes lorsque vous développez vos procédures de réponse.