Définition des rôles et des responsabilités
Les compétences et les mécanismes de réponse aux incidents sont essentiels lors de la gestion de nouveaux événements ou d'événements de grande envergure. Ces événements reposent sur les normes écrites que votre équipe a développées et sur l'expérience de votre équipe. Étant donné que nous ne pouvons pas prévoir ni codifier toutes les directions potentielles que prendre un événement, nous nous appuyons sur l'automatisation pour les tâches simples et répétitives, telles que la collecte de la mémoire des instances ou des journaux de diagnostic, et laissons les intervenants humains prendre les décisions difficiles. La gestion des événements de sécurité peu clairs nécessite une discipline inter-organisationnelle, une propension aux actions décisives et la capacité à produire des résultats. Au sein de votre structure organisationnelle, de nombreuses personnes doivent être responsables, consultées ou informées lors d'un incident, telles que des représentants des ressources humaines (RH), de votre équipe de direction et du service juridique. Examinez ces rôles et responsabilités et déterminez si des tiers doivent être impliqués. Notez que dans de nombreuses régions géographiques, des lois locales régissent ce qu'il est possible ou non de faire. Malgré l'aspect bureaucratique de la création d'un tableau des personnes responsables, consultées et informées pour un incident, cette opération permet de communiquer rapidement et directement, et décrit clairement le leadership dans les différentes étapes de l'événement.
Des partenaires de confiance peuvent participer à l'enquête ou à la réponse, et ils fournissent une expertise supplémentaire et un examen minutieux. Lorsque votre équipe ne possède pas ces compétences, vous pouvez obtenir l'aide d'un tiers externe. Si vous avez recours à un tiers externe, assurez-vous que ce tiers forme les membres de votre équipe. Lorsque ces tiers externes collaborent avec vos développeurs et opérateurs internes, ils contribuent à développeur les compétences des membres de votre équipe et cette nouvelle expertise peut être précieuse pour votre programme de réponse aux incidents à l'avenir.
Lors d'un incident, il est essentiel d'inclure les propriétaires et les développeurs des applications et des ressources touchées, car ce sont des experts qui peuvent fournir des informations et un contexte. Assurez-vous de collaborer avec les développeurs et les propriétaires des applications et d'établir avec eux des relations avant de vous fier à leur expertise en matière de réponse aux incidents. Les propriétaires d'applications ou les experts peuvent devoir intervenir dans des situations où l'environnement n'est pas familier, où l'environnement présente une complexité imprévue ou dans lesquelles les intervenants n'ont pas accès à l'environnement. Les experts des applications doivent s'entraîner et acquérir l'aisance nécessaire pour travailler avec l'équipe de réponse aux incidents.
Formation
Pour réduire la dépendance et le temps de réponse, veillez à ce que vos équipes de sécurité et les intervenants soient formés aux services cloud que vous utilisez et aient la possibilité d'effectuer des exercices pratiques avec les plateformes cloud utilisées par votre organisation. Cette formation tire parti de la cohésion de l'équipe et de la création de runbooks, qui ont lieu au début du processus. Vos équipes internes accèdent à une meilleure compréhension si vous incluez le plus de personnes possible dans la phase initiale de formation des runbooks. Cette formation devient plus réelle au fur et à mesure que ces équipes commencent à mettre en pratique ces runbooks dans des exercices de simulation.
AWS et d'autres tiers proposent également des ateliers de sécurité en ligne (ateliers de sécurité AWS
AWS propose un certain nombre d'options de formation et de parcours d'apprentissage par le biais de formations numériques, de formations en classe, de partenaires APN et de certifications. Pour de plus amples informations, veuillez consulter AWS Training & Certification
