Partager via

Équipes de sécurité, rôles et fonctions

Cet article décrit les rôles et fonctions de sécurité requis pour l’infrastructure et les plateformes cloud. Utilisez ces rôles pour intégrer la sécurité à chaque étape du cycle de vie du cloud, du développement aux opérations et à l’amélioration continue.

Diagramme montrant les méthodologies impliquées dans l’adoption du cloud. Le diagramme comporte des zones pour chaque phase : équipes et rôles, stratégie, plan, prêt, adoption, gouvernance et gestion. La zone de cet article est mise en surbrillance.

La taille de l’organisation détermine la façon dont vous utilisez ces rôles. Les grandes entreprises ont souvent des équipes spécialisées pour chaque rôle. Les petites organisations consolident souvent plusieurs fonctions en moins de rôles. Les plateformes techniques et les services influencent également des responsabilités de sécurité spécifiques.

Les équipes technologiques et cloud effectuent directement certaines tâches de sécurité. Les équipes de sécurité spécialisées effectuent d’autres tâches en collaboration avec les équipes technologiques. Quelle que soit la structure de l’organisation, les parties prenantes doivent comprendre le travail de sécurité nécessaire. Toutes les équipes doivent comprendre les exigences métier et la tolérance aux risques pour prendre des décisions éclairées sur les services cloud. Utilisez ces conseils pour comprendre les fonctions d’équipes et de rôles spécifiques et la façon dont elles interagissent pour fournir une couverture complète de la sécurité cloud.

Transformation des rôles de sécurité

L’architecture de sécurité, l’ingénierie et les rôles d’exploitation subissent un changement important à mesure que les organisations adoptent des plateformes cloud et des pratiques de développement modernes. Cette transformation affecte la façon dont le travail de sécurité est effectué, la collaboration des équipes et la répartition des responsabilités entre les fonctions techniques. Plusieurs facteurs entraînent ce changement :

  • Passez aux outils de sécurité SaaS et natifs du cloud. L’adoption des plateformes SaaS modifie le focus des équipes de sécurité de l’implémentation vers la gouvernance. Les équipes de sécurité fournissent les stratégies, les normes et les bases de référence de configuration. Ils ne configurent pas directement les services SaaS. Les équipes propriétaires de l’application SaaS appliquent ces conseils à leurs outils spécifiques. Cette séparation garantit que les exigences de sécurité sont remplies tout en permettant aux équipes d’applications de gérer les paramètres opérationnels de leurs services.

  • Sécurité en tant que responsabilité partagée entre les équipes d’ingénierie. Toutes les équipes techniques sont désormais directement responsables de l’application de contrôles de sécurité aux charges de travail et aux services qu’elles créent ou exploitent. Les équipes de sécurité fournissent des modèles, des conseils, une automatisation et des garde-fous qui rendent l’implémentation sécurisée par défaut et réduisent les frictions dans les processus de livraison.

  • Exigences de compétences multi-technologies plus larges. Les équipes de sécurité doivent de plus en plus comprendre un large éventail de technologies et la façon dont les attaquants se déplacent entre les systèmes. Étant donné que les plateformes cloud intègrent des couches d’identité, de réseau, de calcul, d’application et d’exploitation, les professionnels de la sécurité doivent évaluer les chemins d’attaque de bout en bout au lieu de se concentrer sur des domaines techniques étroits.

  • Changement continu dans les plateformes cloud et les fonctionnalités de sécurité. Les services cloud évoluent rapidement et de nouvelles fonctionnalités apparaissent fréquemment. Les processus de sécurité doivent s’adapter en permanence pour rester efficaces, nécessitant une plus grande agilité de l’architecture, de l’ingénierie et des rôles d’exploitation.

  • Augmentation de la dépendance aux principes de confiance zéro. Les attaquants modernes contournent régulièrement les contrôles de périmètre réseau, ce qui rend l’identité, l’intégrité de l’appareil, le contexte de l’application et les données de télémétrie essentiels pour les décisions de sécurité. Les rôles au sein de l’ingénierie, des opérations et de la sécurité doivent incorporer la pensée Confiance Zéro dans la conception, la configuration et les activités de supervision.

  • Intégration de la sécurité aux pratiques d’ingénierie de plateforme et DevOps. Les cycles de mise en production accélérés nécessitent que les activités de sécurité évoluent plus tôt dans le cycle de vie et fonctionnent via l’automatisation. Les rôles de sécurité collaborent de plus en plus avec les équipes d’ingénierie et de plateforme pour incorporer des vérifications de sécurité, l’application des stratégies et la validation dans des flux de travail CI/CD et des processus opérationnels.

Ces modifications modifient la façon dont les rôles existants fonctionnent ensemble plutôt que de créer de nouveaux rôles. L’objectif est de s’assurer que la sécurité devient une partie intégrée et continue de la façon dont les services cloud sont conçus, créés, déployés et exploités.

Vue d’ensemble des rôles et des équipes

Les sections suivantes décrivent les équipes et les rôles qui effectuent généralement des fonctions de sécurité cloud clés. Utilisez ces descriptions pour mapper votre structure organisationnelle actuelle aux fonctions de sécurité cloud standard. Identifiez les lacunes dans la couverture et déterminez où investir des ressources. Assurez-vous que toutes les parties prenantes comprennent leurs responsabilités de sécurité et comment collaborer avec d’autres équipes. Documentez les processus de sécurité inter-équipes et un modèle de responsabilité partagée pour les équipes techniques. Un modèle de responsabilité partagée fonctionne comme une matrice Responsable, Comptable, Consulté, Informé (RACI). Il définit les exigences en matière d’autorité de prise de décision et de collaboration pour des résultats spécifiques. Cette documentation empêche les lacunes de couverture et les efforts qui se chevauchent. Il empêche également les antimodèles courants, tels que la sélection de solutions d’authentification faibles ou de chiffrement. Si vous êtes une organisation plus petite et que vous souhaitez commencer à utiliser une équipe de sécurité minimale viable, consultez l’équipe de sécurité minimale viable pour les petites organisations. Les rôles de sécurité clés sont les suivants :

Fournisseur de services cloud

Les fournisseurs de services cloud sont des membres d’équipe virtuelle qui fournissent des fonctions de sécurité et des fonctionnalités pour la plateforme cloud sous-jacente. Certains fournisseurs de cloud fournissent également des fonctionnalités et des fonctionnalités de sécurité que vos équipes peuvent utiliser pour gérer votre posture de sécurité et vos incidents. Pour plus d’informations sur ce que les fournisseurs de services cloud effectuent, consultez le modèle de responsabilité partagée cloud.

De nombreux fournisseurs de services cloud fournissent des informations sur leurs pratiques de sécurité et leurs contrôles à la demande ou via un portail tel que le portail d’approbation de service Microsoft.

Équipes d’infrastructure/plateforme (architecture, ingénierie et opérations)

Les équipes d’infrastructure/plateforme, d’ingénierie et d’exploitation implémentent et intègrent des contrôles de sécurité, de confidentialité et de conformité dans les environnements d’infrastructure et de plateforme cloud (entre les serveurs, les conteneurs, la mise en réseau, l’identité et d’autres composants techniques).

Les rôles d’ingénierie et d’exploitation peuvent se concentrer principalement sur les systèmes d’intégration cloud ou d’intégration continue et de déploiement continu (CI/CD), ou ils peuvent travailler sur une gamme complète de cloud, CI/CD, localement et d’autres infrastructures et plateformes.

Ces équipes sont chargées de répondre à toutes les exigences en matière de disponibilité, d’extensibilité, de sécurité, de confidentialité et d’autres exigences pour les services cloud de l’organisation qui hébergent des charges de travail métier. Ils travaillent en collaboration avec des experts en sécurité, risque, conformité et confidentialité pour favoriser les résultats qui mélangent et équilibrent toutes ces exigences.

Architecture de sécurité, ingénierie et équipes de gestion de la posture

Les équipes de sécurité travaillent avec des rôles d’infrastructure et de plateforme (et d’autres) pour traduire la stratégie de sécurité, la stratégie et les normes en architectures, solutions et modèles de conception actionnables. Ces équipes se concentrent sur la réussite de la sécurité des équipes cloud. Ils évaluent et influencent la sécurité de l’infrastructure et les processus et outils utilisés pour la gérer. Voici quelques-unes des tâches courantes effectuées par les équipes de sécurité pour l’infrastructure :

  • Les architectes et ingénieurs de sécurité adaptent les stratégies de sécurité, les normes et les instructions pour les environnements cloud afin de concevoir et d’implémenter des contrôles en partenariat avec leurs équivalents d’infrastructure/plateforme. Les architectes et ingénieurs de sécurité couvrent un large éventail d’éléments, notamment :

    • Locataires/abonnements.Les architectes et ingénieurs de sécurité collaborent avec les architectes d’infrastructure et les ingénieurs et architectes d’accès (identité, mise en réseau, application et autres) pour aider à établir des configurations de sécurité pour les locataires cloud, les abonnements et les comptes entre les fournisseurs cloud (qui sont surveillés par les équipes de gestion de la posture de sécurité).

    • Gestion des identités et des accès (IAM).Les architectes d’accès (identité, mise en réseau, application et autres) collaborent avec les ingénieurs d’identité et les équipes d’exploitation et d’infrastructure/plateforme pour concevoir, implémenter et exploiter des solutions de gestion des accès. Ces solutions protègent contre l’utilisation non autorisée des ressources métier de l’organisation tout en permettant aux utilisateurs autorisés de suivre les processus métier pour accéder facilement et en toute sécurité aux ressources organisationnelles. Ces équipes travaillent sur des solutions telles que les répertoires d’identité et les solutions d’authentification unique (SSO), l’authentification sans mot de passe, l’authentification multifacteur (MFA), les solutions d’accès conditionnel basées sur les risques, les identités de charge de travail, la gestion des identités et accès privilégiés (PIM/PAM), la gestion de l'infrastructure cloud et des droits d’utilisation (CIEM), et plus encore. Ces équipes collaborent également avec les ingénieurs réseau et les opérations pour concevoir, implémenter et exploiter des solutions SSE (Security Service Edge). Les équipes de charge de travail peuvent tirer parti de ces fonctionnalités pour fournir un accès transparent et plus sécurisé aux composants individuels de la charge de travail et de l’application.

    • Sécurité des données.Les architectes et ingénieurs de sécurité collaborent avec des architectes et ingénieurs d’IA pour aider les équipes d’infrastructure/plateforme à établir des fonctionnalités de sécurité des données fondamentales pour toutes les données et fonctionnalités avancées qui peuvent être utilisées pour classifier et protéger les données dans des charges de travail individuelles. Pour plus d’informations sur la sécurité des données de base, consultez le benchmark de protection des données de sécurité Microsoft. Pour plus d’informations sur la protection des données dans des charges de travail individuelles, consultez les instructions de Well-Architected Framework.

    • Sécurité réseau.Les architectes et ingénieurs de sécurité collaborent avec les architectes et ingénieurs réseau pour aider les équipes d’infrastructure/plateforme à établir des fonctionnalités de sécurité réseau fondamentales telles que la connectivité au cloud (lignes privées/louées), les stratégies et solutions d’accès à distance, les pare-feu d’entrée et les pare-feu d’applications web, les pare-feu d’applications web et la segmentation du réseau. Ces équipes collaborent également avec des architectes d’identité, des ingénieurs et des opérations pour concevoir, implémenter et exploiter des solutions SSE. Les équipes de charge de travail peuvent tirer parti de ces fonctionnalités pour fournir une protection discrète ou une isolation des composants individuels de charge de travail et d’application.

    • Serveurs et sécurité des conteneurs.Les architectes et ingénieurs de sécurité collaborent avec les architectes d’infrastructure et les ingénieurs pour aider les équipes d’infrastructure/plateforme à établir des fonctionnalités de sécurité fondamentales pour les serveurs, les machines virtuelles, les conteneurs, l’orchestration/gestion, CI/CD et les systèmes associés. Ces équipes établissent des processus de découverte et d’inventaire, des configurations de référence de sécurité/benchmark, des processus de maintenance et de mise à jour corrective, des listes d’autorisation pour les fichiers binaires exécutables, les images de modèle, les processus de gestion, etc. Les équipes de charge de travail peuvent également tirer parti de ces fonctionnalités d’infrastructure fondamentales pour assurer la sécurité des serveurs et des conteneurs pour les composants de charge de travail et d’application individuels.

    • Bases de sécurité logicielle (pour la sécurité des applications et DevSecOps).Les architectes et ingénieurs de sécurité collaborent avec des ingénieurs de sécurité logicielle pour aider les équipes d’infrastructure/plateforme à établir des fonctionnalités de sécurité des applications qui peuvent être utilisées par des charges de travail individuelles, l’analyse du code, la facturation de logiciels (SBOM), les outils WAF et l’analyse des applications. Pour plus d'informations sur comment établir un cycle de vie de développement sécurisé (SDL), consultez les contrôles DevSecOps. Pour plus d’informations sur la façon dont les équipes de charge de travail utilisent ces fonctionnalités, consultez les instructions de cycle de vie du développement de sécurité dans le Well-Architected Framework.

  • Les ingénieurs de sécurité logicielle évaluent le code, les scripts et d’autres logiques automatisées utilisées pour gérer l’infrastructure, notamment l’infrastructure en tant que code (IaC), les flux de travail CI/CD et les autres outils ou applications personnalisés. Ces ingénieurs doivent être engagés pour protéger le code formel dans les applications compilées, les scripts, les configurations des plateformes d’automatisation. Ils examinent toute autre forme de code exécutable ou de script qui pourrait permettre aux attaquants de manipuler l’opération du système. Cette évaluation peut impliquer simplement d’effectuer une analyse de modèle de menace d’un système, ou elle peut impliquer des outils d’analyse du code et d’analyse de la sécurité. Pour plus d’informations sur la façon d’établir un SDL, consultez les conseils des pratiques SDL.

  • La gestion de la posture (gestion des vulnérabilités/gestion de la surface d’attaque) est l’équipe de sécurité opérationnelle qui se concentre sur l’activation de la sécurité pour les équipes d’opérations techniques. La gestion de la posture aide ces équipes à hiérarchiser et à implémenter des contrôles pour bloquer ou atténuer les techniques d’attaque. Les équipes de gestion de posture travaillent dans toutes les équipes d’opérations techniques (y compris les équipes cloud) et servent souvent de moyen principal de comprendre les exigences de sécurité, les exigences de conformité et les processus de gouvernance.

    La gestion de la posture sert souvent de centre d’excellence (CoE) pour les équipes d’infrastructure de sécurité, comme la façon dont les ingénieurs logiciels servent souvent de centre d’excellence de sécurité pour les équipes de développement d’applications. Les tâches courantes pour ces équipes sont les suivantes.

    • Surveillez la posture de sécurité. Surveillez tous les systèmes techniques à l’aide d’outils de gestion des postures tels que Microsoft Security Exposure Management, Gestion des autorisations Microsoft Entra, les vulnérabilités non-Microsoft et la gestion des surfaces d’attaque externe (EASM) et des outils CIEM, ainsi que des outils et des tableaux de bord de posture de sécurité personnalisés. En outre, la gestion de la posture effectue une analyse pour fournir des aperçus en :

      • Anticiper des chemins d’attaque très probables et nuisibles. Les attaquants « pensent en graphiques » et recherchent des chemins vers des systèmes critiques pour l’entreprise en chaînant plusieurs ressources et vulnérabilités entre différents systèmes. Par exemple, compromettre les terminaux utilisateur, puis utiliser le hachage/ticket pour capturer des identifiants d’administrateur et accéder aux données essentielles de l’entreprise. Les équipes de gestion de posture travaillent avec des architectes et des ingénieurs de sécurité pour découvrir et atténuer ces risques cachés, qui n’apparaissent pas toujours dans les listes techniques et les rapports.

      • Effectuer des évaluations de sécurité pour passer en revue les configurations système et les processus opérationnels pour mieux comprendre et obtenir des insights plus approfondis au-delà des données techniques des outils de posture de sécurité. Ces évaluations peuvent prendre la forme de conversations informelles de découverte ou d’exercices formels de modélisation des menaces.

    • Aidez à la hiérarchisation. Aidez les équipes techniques à surveiller de manière proactive leurs ressources et à hiérarchiser le travail de sécurité. La gestion de la posture de sécurité aide à mettre le travail d'atténuation des risques dans un contexte en tenant compte de l'impact des risques de sécurité (informé par l'expérience, les rapports d'incidents des opérations de sécurité, d'autres informations sur les menaces, l'intelligence économique et d'autres sources), en plus des exigences de conformité en matière de sécurité.

    • Former, guider et soutenir. Augmentez les connaissances et les compétences en matière de sécurité des équipes techniques d’ingénierie grâce à la formation, au mentorat des personnes et au transfert de connaissances informel. Les rôles de gestion des postures peuvent également travailler avec des rôles d’aptitude/de formation organisationnelle et d’éducation de sécurité et d’engagement sur la formation formelle de sécurité et la configuration de la sécurité au sein des équipes techniques qui évangélisent et éduquer leurs pairs sur la sécurité.

    • Identifiez les lacunes et défendez les correctifs. Identifiez les tendances globales, les lacunes de processus, les lacunes d’outils et d’autres insights sur les risques et les atténuations. Les responsables de la gestion de la posture collaborent et communiquent avec les architectes de sécurité et les ingénieurs pour développer des solutions, préparer une argumentation pour obtenir le financement des solutions, et aider à déployer des correctifs.

    • Coordonner avec les opérations de sécurité (SecOps). Aidez les équipes techniques à travailler avec des rôles SecOps tels que l’ingénierie de détection et les équipes de repérage des menaces. Cette continuité entre tous les rôles opérationnels permet de s’assurer que les détections sont en place et implémentées correctement, les données de sécurité sont disponibles pour l’investigation des incidents et la chasse aux menaces, les processus sont en place pour la collaboration, et bien plus encore.

    • Fournissez des rapports. Fournissez des rapports opportuns et précis sur les incidents de sécurité, les tendances et les métriques de performances à la haute direction et aux parties prenantes pour mettre à jour les processus de risque organisationnel.

    Les équipes de gestion de la posture évoluent souvent à partir de rôles existants de gestion des vulnérabilités logicielles pour traiter l'ensemble des types de vulnérabilités fonctionnelles, de configuration et opérationnelles décrits dans le modèle de référence Open Group Zero Trust. Chaque type de vulnérabilité peut permettre aux utilisateurs non autorisés (y compris aux attaquants) de prendre le contrôle des logiciels ou des systèmes, ce qui leur permet de causer des dommages aux ressources de l’entreprise.

    • Les vulnérabilités fonctionnelles se produisent dans la conception ou l’implémentation de logiciels. Ils peuvent autoriser le contrôle non autorisé du logiciel concerné. Ces vulnérabilités peuvent être des défauts dans les logiciels que vos propres équipes ont développés ou des défauts dans des logiciels commerciaux ou code source ouvert (généralement suivis par un identificateur Common Vulnerabilities and Exposures).

    • Les vulnérabilités de configuration sont des configurations incorrectes des systèmes qui autorisent l’accès non autorisé aux fonctionnalités système. Ces vulnérabilités peuvent être introduites pendant les opérations en cours, également appelées dérives de configuration. Ils peuvent également être introduits lors du déploiement initial et de la configuration des logiciels et des systèmes, ou par défaut de sécurité faible d’un fournisseur. Voici quelques exemples courants :

      • Objets orphelins qui autorisent un accès non autorisé aux éléments tels que les enregistrements DNS et l’appartenance au groupe.

      • Rôles ou autorisations administratifs excessifs concernant les ressources.

      • Utilisation d’un protocole d’authentification ou d’un algorithme de chiffrement plus faible qui présente des problèmes de sécurité connus.

      • Configurations par défaut faibles ou mots de passe par défaut.

    • Les vulnérabilités opérationnelles sont des faiblesses dans les processus et pratiques d’exploitation standard qui autorisent l’accès ou le contrôle non autorisé des systèmes. Voici quelques exemples :

      • Les administrateurs utilisant des comptes partagés au lieu de leurs propres comptes individuels pour effectuer des tâches privilégiées.

      • Utilisation de configurations "browse-up" qui créent des chemins entraînant une élévation de privilèges pouvant être exploités par des attaquants. Cette vulnérabilité se produit lorsque des comptes d’administration à privilèges élevés se connectent à des appareils et stations de travail utilisateur à faible niveau de fiabilité (comme les stations de travail utilisateur standard et les appareils appartenant à l’utilisateur), parfois par le biais de serveurs de saut qui n’atténuent pas efficacement ces risques. Pour plus d’informations, consultez la sécurisation de l’accès privilégié et des appareils d’accès privilégié.

Opérations de sécurité (SecOps/SOC)

L’équipe SecOps est parfois appelée Centre d’opérations de sécurité (SOC). L’équipe SecOps se concentre sur la recherche et la suppression rapides de l’accès des adversaires aux ressources de l’organisation. Ils travaillent en partenariat étroit avec les équipes d’exploitation et d’ingénierie technologiques. Les rôles SecOps peuvent fonctionner sur toutes les technologies de l’organisation, notamment l’informatique traditionnelle, la technologie opérationnelle (OT) et l’Internet des objets (IoT). Voici les rôles SecOps qui interagissent le plus souvent avec les équipes cloud :

  • Analystes de triage (niveau 1). Répond aux détections d’incidents pour les techniques d’attaque connues et suit les procédures documentées pour les résoudre rapidement (ou les réaffecter aux analystes d’enquête selon les besoins). Selon l’étendue secOps et le niveau de maturité, cela peut inclure des détections et des alertes à partir d’e-mails, de solutions anti-programme malveillant de point de terminaison, de services cloud, de détections réseau ou d’autres systèmes techniques.

  • Analystes d’investigation (niveau 2). Répond à des enquêtes sur les incidents plus complexes et plus sévères qui nécessitent davantage d’expérience et d’expertise (au-delà des procédures de résolution bien documentées). Cette équipe examine généralement les attaques menées par des adversaires humains vivants et des attaques qui affectent plusieurs systèmes. Il travaille en partenariat étroit avec les équipes d’exploitation et d’ingénierie technologiques pour examiner les incidents et les résoudre.

  • Chasse aux menaces. Recherche de manière proactive les menaces masquées dans le patrimoine technique qui ont évité les mécanismes de détection standard. Ce rôle utilise des analyses avancées et des enquêtes basées sur des hypothèses.

  • Intelligence des menaces. Collecte et diffuse des informations sur les attaquants et les menaces pour toutes les parties prenantes, notamment l’entreprise, la technologie et la sécurité. Les équipes de renseignement sur les menaces effectuent des recherches, partagent leurs résultats (formellement ou de manière informelle) et les diffusent à diverses parties prenantes, y compris l’équipe de sécurité cloud. Ce contexte de sécurité aide ces équipes à rendre les services cloud plus résilients aux attaques, car ils utilisent des informations d’attaque réelles dans la conception, l’implémentation, le test et l’opération, et en continuant à s’améliorer.

  • Ingénierie de détection. Crée des détections d’attaque personnalisées et personnalise les détections d’attaques fournies par les fournisseurs et la communauté plus large. Ces détections personnalisées d’attaques complètent les détections fournies par le fournisseur pour les attaques courantes qui sont couramment trouvées dans les outils de détection et de réponse étendues (XDR) et certains outils siem (Security Information and Event Management). Les ingénieurs de détection travaillent avec les équipes de sécurité cloud pour identifier les opportunités de conception et d’implémentation de détections, les données nécessaires pour les prendre en charge et les procédures de réponse/récupération pour les détections.

Gouvernance, risque et conformité de la sécurité

La gouvernance de la sécurité, le risque et la conformité (GRC) est un ensemble de disciplines liées qui intègrent le travail technique des équipes de sécurité aux objectifs et attentes de l’organisation. Ces rôles et équipes peuvent être hybrides de deux disciplines ou plus, ou être des rôles discrets. Les équipes cloud interagissent avec chacune de ces disciplines au cours du cycle de vie des technologies cloud :

  • La discipline de gouvernance est une capacité fondamentale. Les équipes de gouvernance se concentrent sur la garantie que l’organisation implémente de manière cohérente tous les aspects de la sécurité. Ils établissent des droits de décision (qui prennent les décisions) et des frameworks de processus qui relient et guident les équipes. Sans gouvernance efficace, une organisation disposant de tous les contrôles, stratégies et technologies appropriés peut toujours être victime d’attaquants qui exploitent des zones où les défenses prévues ne sont pas implémentées correctement, entièrement ou du tout.

  • La discipline de gestion des risques se concentre sur l’évaluation, la compréhension et l’atténuation des risques organisationnels. Les équipes de gestion des risques travaillent au sein de l’organisation pour créer une représentation claire du risque actuel et la maintenir à jour. Les équipes cloud et à risque doivent collaborer pour évaluer et gérer les risques des services métier critiques hébergés sur l’infrastructure et les plateformes cloud. La sécurité de la chaîne d’approvisionnement résout les risques des fournisseurs externes, des composants open source et des partenaires.

  • La discipline de conformité garantit que les systèmes et les processus sont conformes aux exigences réglementaires et aux stratégies internes. Sans cette discipline, l’organisation peut être exposée à des risques liés à la non-conformité avec les obligations externes (amendes, responsabilité, perte de revenus de l’incapacité de fonctionner sur certains marchés, etc.). Les exigences de conformité ne peuvent généralement pas suivre la vitesse de l’évolution de l’attaquant, mais elles constituent néanmoins une source d’exigence importante.

Ces trois disciplines fonctionnent sur toutes les technologies et systèmes pour favoriser les résultats organisationnels dans toutes les équipes. Les trois s’appuient également sur le contexte qu’ils obtiennent les uns des autres et bénéficient considérablement des données haute fidélité actuelles sur les menaces, l’entreprise et l’environnement technologique. Ces disciplines s’appuient également sur l’architecture pour exprimer une vision actionnable qui peut être implémentée et l’éducation et la politique de sécurité pour établir des règles et guider les équipes à travers les nombreuses décisions quotidiennes.

Les équipes d’ingénierie et d’exploitation cloud peuvent travailler avec des rôles de gestion des postures, des équipes de conformité et d’audit, une architecture de sécurité et un ingénierie, ou des rôles de responsable de la sécurité des informations (CISO) sur les sujets de la GRC.

Éducation, sensibilisation et politique en matière de sécurité

Les organisations doivent s’assurer que tous les rôles ont les connaissances, les conseils et la confiance pour appliquer efficacement la sécurité dans leur travail quotidien. L’éducation et la sensibilisation sont souvent les liens les plus faibles dans la posture de sécurité d’une organisation, de sorte qu’ils doivent être continus, prenant en charge les rôles et incorporés dans des opérations normales plutôt que traités comme des événements de formation ponctuels.

Un programme solide comprend l’éducation structurée, le mentorat informel et les champions de sécurité désignés au sein des équipes techniques. La formation doit couvrir la sensibilisation au hameçonnage, l’hygiène des identités, les pratiques de configuration sécurisées et un état d’esprit de développement sécurisé pour les rôles d’ingénierie. Ces efforts renforcent une culture de sécurité d’abord, où les individus comprennent clairement pourquoi la sécurité importe, quelles actions sont attendues et comment effectuer ces actions correctement.

L’éducation et la stratégie de sécurité doivent aider chaque rôle à comprendre :

  • Pourquoi. Pourquoi la sécurité est importante dans le contexte de leurs responsabilités et objectifs. Sans cette compréhension, les individus déprioritisent la sécurité et se concentrent sur d’autres tâches.
  • Quoi. Quelles sont les tâches et attentes de sécurité spécifiques qui s’appliquent à eux, décrites dans le langage aligné sur leur rôle. Sans clarté, les gens supposent que la sécurité n’est pas pertinente pour eux.
  • Comment. Comment effectuer correctement les tâches de sécurité requises, telles que les systèmes de mise à jour corrective, examiner le code en toute sécurité, terminer un modèle de menace ou identifier les tentatives d’hameçonnage. Sans conseils pratiques, les gens échouent même lorsqu’ils sont prêts.

Équipe de sécurité minimale viable pour les petites organisations

Les petites organisations manquent souvent de ressources pour dédier des personnes à des fonctions de sécurité spécifiques. Dans ces environnements, couvrez les responsabilités essentielles avec un nombre minimal de rôles. Combinez les responsabilités d’ingénierie et de sécurité de la plateforme cloud en une seule fonction qui gère la configuration sécurisée, l’hygiène des identités, la surveillance et la réponse aux incidents de base. Externaliser des tâches qui nécessitent une expertise spécialisée ou une couverture continue, comme l’optimisation de la détection des menaces, les tests d’intrusion ou les révisions de conformité, aux fournisseurs de sécurité gérés. Utilisez des outils natifs cloud tels que la gestion des postures, la protection des identités, les bases de référence de configuration et l’application automatisée des stratégies pour maintenir un niveau de sécurité cohérent sans grandes équipes et réduire la surcharge opérationnelle.

Exemple de scénario : interopérabilité classique entre les équipes

Lorsqu’une organisation déploie et opérationnalise un pare-feu d’applications web, plusieurs équipes de sécurité doivent collaborer pour garantir son déploiement, sa gestion et son intégration efficaces à l’infrastructure de sécurité existante. Voici comment l’interopérabilité entre les équipes peut se présenter dans une organisation de sécurité d’entreprise :

  1. Planification et conception
    1. L’équipe de gouvernance identifie la nécessité d’améliorer la sécurité des applications web et d’allouer le budget pour un WAF.
    2. L’architecte de sécurité réseau conçoit la stratégie de déploiement WAF, en s’assurant qu’elle s’intègre en toute transparence aux contrôles de sécurité existants et s’aligne sur l’architecture de sécurité de l’organisation.
  2. Implémentation
    1. L’ingénieur sécurité réseau déploie le WAF conformément à la conception de l’architecte, en le configurant pour protéger les applications web spécifiques et permet la surveillance.
    2. L’ingénieur IAM configure les contrôles d’accès, ce qui garantit que seul le personnel autorisé peut gérer le WAF.
  3. Surveillance et gestion
    1. L’équipe de gestion de la posture fournit des instructions au SOC pour configurer la surveillance et les alertes du WAF et configurer des tableaux de bord pour suivre l’activité WAF.
    2. Les équipes d’ingénierie de renseignement et de détection des menaces aident à élaborer des plans de réponse pour les incidents impliquant le WAF et à effectuer des simulations pour tester ces plans.
  4. Conformité et gestion des risques
    1. L’agent de conformité et de gestion des risques examine le déploiement du WAF pour s’assurer qu’il répond aux exigences réglementaires et effectue des audits périodiques.
    2. L’ingénieur sécurité des données garantit que les mesures de journalisation et de protection des données du WAF respectent les réglementations en matière de confidentialité des données.
  5. Amélioration continue et formation
    1. L’ingénieur DevSecOps intègre la gestion WAF dans le pipeline CI/CD, ce qui garantit que les mises à jour et les configurations sont automatisées et cohérentes.
    2. Le spécialiste de l’éducation et de l’engagement en matière de sécurité développe et fournit des programmes de formation pour s’assurer que tout le personnel pertinent comprend comment utiliser et gérer efficacement le WAF.
    3. Le membre de l’équipe de gouvernance cloud passe en revue les processus de déploiement et de gestion WAF pour s’assurer qu’ils s’alignent sur les stratégies et normes organisationnelles.

Ces rôles garantissent que le pare-feu d’applications web est déployé correctement et également surveillé, géré et amélioré pour protéger les applications web de l’organisation contre l’évolution des menaces.

Étape suivante

Intégrer la sécurité à votre stratégie d’adoption du cloud

  • Last updated on