Aspects de la réponse aux AWS incidents
Tous les AWS utilisateurs d'une organisation doivent avoir une connaissance de base des processus de réponse aux incidents de sécurité, et le personnel de sécurité doit savoir comment répondre aux problèmes de sécurité. L’éducation, la formation et l’expérience sont essentielles à la réussite d’un programme de réponse aux incidents dans le cloud et sont idéalement mises en œuvre bien avant de devoir gérer un éventuel incident de sécurité. La base d’un programme de réponse aux incidents réussi dans le cloud repose sur la préparation, les opérations et l’activité post-incident.
Pour comprendre chacun de ces aspects, tenez compte des descriptions suivantes :
-
Préparation : préparez votre équipe de réponse aux incidents à détecter les incidents et à y répondre dans AWS en activant des contrôles de détection et en vérifiant l’accès approprié aux outils et services cloud nécessaires. De plus, préparez les playbooks nécessaires (manuels et automatisés) pour garantir des réponses fiables et cohérentes.
-
Opérations : Gérez les événements de sécurité et les incidents potentiels en suivant les NIST phases de réponse aux incidents : détecter, analyser, contenir, éradiquer et récupérer.
-
Activité post-incident : réitérez les résultats de vos événements de sécurité et de vos simulations pour améliorer l’efficacité de la réponse, accroître la valeur dérivée de la réponse et de l’enquête, et réduire davantage les risques. Vous devez tirer les leçons des incidents et vous impliquer pleinement dans les activités d’amélioration.
Le schéma suivant montre le déroulement de ces aspects, en s'alignant sur le cycle de vie de réponse aux NIST incidents mentionné précédemment, mais avec des opérations comprenant la détection et l'analyse avec le confinement, l'éradication et le rétablissement.