AWS Canada Security Week 2024 - Définir et mettre en oeuvre votre stratégie de cybersécurité sur AWS - speaker notes.pptx
•Télécharger en tant que PPTX, PDF•
0 j'aime•0 vue
Présentation pour la Semaine de la Sécurité AWS Canada 2024sur la Gouvernance de Sécurité dans l'infonuagique, comment démarrer, améliorer, et contrôler son implémentation
Recommandé
Contenu connexe
Similaire à AWS Canada Security Week 2024 - Définir et mettre en oeuvre votre stratégie de cybersécurité sur AWS - speaker notes.pptx
Similaire à AWS Canada Security Week 2024 - Définir et mettre en oeuvre votre stratégie de cybersécurité sur AWS - speaker notes.pptx (20)
Plus de Jean-François LOMBARDO
Plus de Jean-François LOMBARDO (12)
Dernier
Dernier (9)
AWS Canada Security Week 2024 - Définir et mettre en oeuvre votre stratégie de cybersécurité sur AWS - speaker notes.pptx
- 1. © 2024, Amazon Web Services, Inc. or its affiliates. © 2023, Amazon Web Services, Inc. or its affiliates. 1
- 2. © 2024, Amazon Web Services, Inc. or its affiliates. © 2023, Amazon Web Services, Inc. or its affiliates. Jeff Lombardo Architecte de Solutions Principal Spécialiste en Sécurité AWS Définir et mettre en œuvre votre stratégie de cybersécurité sur AWS
- 3. © 2024, Amazon Web Services, Inc. or its affiliates. Commencer son voyage Bâtir une culture de la cybersécurité Une stratégie de cybersécurité est un voyage © 2024, Amazon Web Services, Inc. or its affiliates. De l'orientation à la mise en œuvre La nécessité d’un cadre de cybersécurité
- 4. © 2024, Amazon Web Services, Inc. or its affiliates. © 2023, Amazon Web Services, Inc. or its affiliates. La nécessité d’un cadre de cybersécurité 4
- 5. © 2024, Amazon Web Services, Inc. or its affiliates. Qu'est-ce que le cadre de cybersécurité du NIST? Taxonomie commune de la gestion des risques Sans coût Axé sur les risques et axé sur les résultats Exploite les accréditations, les normes, et les contrôles existants Flexible et adaptatif Pertinent pour les techniciens et les cadres Indépendante du secteur concerné Systèmes de Santé Secteur commerciale Agences fédérales Etats-Unis et tous leurs états Canada, Italie, Japan, Israël, Uruguay Services financiers
- 6. © 2024, Amazon Web Services, Inc. or its affiliates. Qu'est-ce que le cadre de cybersécurité du NIST ? • Le noyau représente un ensemble de pratiques de cybersécurité, de résultats et de contrôles de sécurité techniques, opérationnels et de gestion (appelés références informatives) qui appuient les cinq fonctions de gestion des risques. Noyau • Les niveaux caractérisent l'aptitude d'une organisation à gérer les risques liés à la cybersécurité. Tiers • Les profils visent à faire connaître la posture de risque « telle qu'elle est » et « souhaitée » de l'organisation. Profils Identifier Protéger Détecter Répondre Reprendre Tier 4- Adaptif Tier 3- Répétable Tier 2- Éclairé sur le risque Tier 1- Partiel Actuel Objectif Ces trois éléments permettent aux organisations d'établir des priorités et d'aborder les risques de cybersécurité conformément à leurs besoins opérationnels et à leurs missions.
- 7. © 2024, Amazon Web Services, Inc. or its affiliates. En savoir plus sur les meilleures pratiques AWS Concevoir et déployer plus rapidement Réduire ou atténuer les risques Prendre des décisions éclairées Pourquoi utiliser le cadre AWS Well-Architected ?
- 8. © 2024, Amazon Web Services, Inc. or its affiliates. Comment utiliser le cadre AWS Well-Architected ? Améliorer Mesurer Apprendre En tant que mécanisme permettant d'obtenir de meilleurs résultats dans l’infonuagique
- 9. © 2024, Amazon Web Services, Inc. or its affiliates. © 2023, Amazon Web Services, Inc. or its affiliates. De l'orientation à la mise en œuvre 9
- 10. © 2024, Amazon Web Services, Inc. or its affiliates. Fiabilité Volant d’inertie pour une stratégie de cybersécurité 10 Améliorer Composer Déployer Contrôler Start Planifier Vitesse d'amélioration de la sécurité Durabilité de la résilience
- 11. © 2024, Amazon Web Services, Inc. or its affiliates. Planifier: Architecture de référence pour la sécurité AWS Où ces services devraient-ils être fournis ? Comment organiser les services de sécurité AWS? Comment puis-je intégrer avec mes charges de travail? aws-samples/aws-security-reference- architecture-examples https://github.com/aws-samples/aws- security-reference-architecture-examples 11
- 12. © 2024, Amazon Web Services, Inc. or its affiliates. Composer: services fondamentaux de sécurité AWS Amazon Security Lake Identifier AWS Systems Manager AWS Config AWS Security Hub AWS Organizations AWS Control Tower AWS Trusted Advisor Détecter Amazon Inspector Amazon Macie Amazon GuardDuty AWS Security Hub Répondre Automatiser AWS Lambda Amazon CloudWatch AWS Step Functions AWS Systems Manager Investiguer AWS CloudTrail Amazon CloudWatch Amazon Detective Protéger AWS KMS IAM AWS IAM Identity Center Amazon VPC AWS WAF AWS Shield AWS Secrets Manager AWS Firewall Manager AWS Direct Connect AWS Transit Gateway Amazon VPC PrivateLink Amazon Cloud Directory AWS CloudHSM AWS Cetificate Manager AWS Directory Service Amazon Cognito AWS Network Firewall Snapshot Reprendre Archive Amazon S3 Glacier AWS CloudFormation AWS OpsWorks CloudEndure Disaster Recovery 12 Amazon Verified Permissions Amazon CodeGuru Amazon CodeWhisperer AWS Audit Manager
- 13. © 2024, Amazon Web Services, Inc. or its affiliates. Déployer: Landing Zone Accelerator 13 Landing Zone Accelerator (CDK) Fichiers de configuration (yaml) Environnement multi-comptes AWS Clients Projet publique GitHub Requête d’améliorations / problèmes AWS AWS Comment démarrer?
- 14. © 2024, Amazon Web Services, Inc. or its affiliates. Contrôler: Décrire les preuves avec AWS Audit Manager 14 AWS Audit Manager Sélectionner un cadre • SOC2 • CIS • PCI DSS • CCCS Medium • HITRUST • HIPAA • FedRAMP moderate • AWS Foundational Security Best practices • AWS Control Tower Framework • Licences logicielles Et plus encore… Générer des rapports signés numériquement et liés aux preuves Définir une portée Recueillir des preuves Réviser les contrôles AWS Artifact AWS Config AWS Security Hub AWS CloudTrail Preuves manuelles
- 15. © 2024, Amazon Web Services, Inc. or its affiliates. Améliorer : modèle de maturité de la sécurité AWS 15 • Bénéfices: • Axé sur la sécurité • Modèle de tremplin • Réduction rapide des risques • Requiert d’y intégrer: • Entreprises et industries • Modélisation des menaces • Exigences particulières en matière de conformité ✅ 🟢 🟢 🔴 🟢 🟢 🟢 🟢 🟢 🟢 🟢 🟢 🟢 🟢 🟢 🟢 🟢 🟢 🟢 🟢 🔴 🔴 🔴 🔴 🔴 🔴 🔴 🟢 🟢 🟢 🟢 🟢 🟢 🔴 Votre cible Votre posture actuelle
- 16. © 2024, Amazon Web Services, Inc. or its affiliates. © 2023, Amazon Web Services, Inc. or its affiliates. Bâtir une culture de la cybersécurité 16
- 17. © 2024, Amazon Web Services, Inc. or its affiliates. 17 Cultures aren’t so much planned as they evolve from that early set of people. Jeff Bezos Président-Directeur du conseil d’administration d’Amazon
- 18. © 2024, Amazon Web Services, Inc. or its affiliates. Culture de l’organisation 18 Artefacts Valeurs Hypothèses (Schein, 1985; article)
- 19. © 2024, Amazon Web Services, Inc. or its affiliates. 19 S'attaquer à l'aspect humain de la cybersécurité Influencer les hypothèses et les valeurs pour assurer l’usage • Responsabilité distribuée • État d'esprit axé sur la sécurité • Environnement sûr • Empathie Mécanismes • Sensibilisation et formation • Programmes des champions de la cybersécurité • Démontrer par l’exemple, en commençant par le sommet de la hiérarchie
- 20. © 2024, Amazon Web Services, Inc. or its affiliates. 20 Concevoir à reculons à partir de l’expérience client et des objectifs d’affaire Adoption
- 21. © 2024, Amazon Web Services, Inc. or its affiliates. 21 Un état d'esprit axé sur la sécurité est important • Reconnaître la complexité des facteurs humains • Équilibrer l'innovation et la sécurité • Démontrer l'impact des décisions individuelles sur la posture globale en matière de sécurité
- 22. © 2024, Amazon Web Services, Inc. or its affiliates. Programme: AWS Security Guardians M É C A N I S M E H U M A I N P O U R L A S É C U R I T É A P P L I C A T I V E Ils collaborent avec leurs collègues concepteurs Ils servent de prolongement à la fonction de Sécurité applicative Les gardiens de sécurité sont des employées AWS volontaires formés et axés sur la sécurité Nouveau, Août 2023
- 23. © 2024, Amazon Web Services, Inc. or its affiliates. Améliorations via le programme des Gardiens 23 -22.5% constatations Moins de constatations de niveau moyen à haut à corriger quand un Gardien de la Sécurité fait partie de l’équipe de conception/développement +26.9% vélocité Révisions Plus Rapide quand un Gardien de la Sécurité fait partie de l’équipe de conception/développement
- 24. © 2024, Amazon Web Services, Inc. or its affiliates. Développer sa culture de sécurité basée sur les champions 24 Connaissances en Sécurité au sein de l’organisation Nombre de champions Objectif #3: Sécurité des fournisseurs tiers • Adresser la sécurité au plus tôt au sein de votre processus de sélection Objectif #2: Formation et sensibilisation en Sécurité • Démultiplier la connaissance et l’usage de gabarits d’architecture Objectif #1: Programme de champions de Sécurité • Donner du pouvoir aux développeurs
- 25. © 2024, Amazon Web Services, Inc. or its affiliates. Cadre Culture Pour résumer 25 Améliorer Composer Déployer Contrôler Démarre r Planifier Sélection du cadre Culture de Champions Planifier Composer Déployer Contrôler Améliorer
- 26. © 2024, Amazon Web Services, Inc. or its affiliates. 26 Exit slide, Consultancy
- 27. © 2024, Amazon Web Services, Inc. or its affiliates. 27 Exit slide, other session agenda
- 28. © 2024, Amazon Web Services, Inc. or its affiliates. © 2024, Amazon Web Services, Inc. or its affiliates. Merci ! Jeff Lombardo jeffsec@amazon.com LinkedIn: jflombardo
Notes de l'éditeur
- Dans le cadre de la séance d'aujourd'hui, nous approcherons notre voyage vers un stratégie de cybersécurité mature en s’appuyant sur un modèle holistique tout en veillant à ce que nous couvrions le trio: personnes, processus et la technologies.
- Une stratégie de cybersécurité solide commence par une base solide. Heureusement, il existe de nombreux cadres dont nous pouvons tirer parti pour commencer à établir une base solide
- L'un de ces cadres s'appelle le cadre de cybersécurité du NIST. Le cadre de cybersécurité (CSF) du NIST est reconnu comme le guide principal en matière de cybersécurité et de gestion des risques pour les organisations de toute taille et de n'importe quel secteur ou emplacement. Un cadre volontaire comprenant des pratiques exemplaires pour aider les organisations de toute taille et de n'importe quel secteur à améliorer la cybersécurité, la gestion des risques et la résilience de leurs systèmes Une taxonomie commune pour harmoniser les facteurs d'affaires de l'organisation et les considérations de sécurité propres à son utilisation de la technologie Utilise les normes existantes pour s'étendre au-delà des frontières, évoluer en fonction des progrès technologiques et des exigences opérationnelles, et réaliser des économies d'échelle Destiné à l'origine aux infrastructures essentielles, mais applicable à tous les types d'organisations
- Les fonctions de base — IDENTIFIER, PROTÉGER, DÉTECTER, RÉAGIR et REPRENDRE — organisent les résultats de cybersécurité à leur plus haut niveau. En d'autres termes, identifiez vos actifs et vos données, mettez au point des processus, des technologies et des contrôles pour les protéger et détecter les menaces contre eux ; réagir aux menaces ou aux attaques et vous en remettre. Le cadre de cybersécurité du NIST (CSF) 2.0, qui vient de sortir il y a quelques semaines à la fin de février, ajoute GOUVERNER en tant que fonction de base supplémentaire qui superpose ces cinq éléments. « GOUVERNER traite de la compréhension du contexte organisationnel ; de l'établissement d'une stratégie de cybersécurité et de la gestion des risques liés à la chaîne d'approvisionnement en cybersécurité ; des rôles, des responsabilités et des pouvoirs ; de la politique ; et de la surveillance de la stratégie de cybersécurité. » Le cadre est organisé selon des fonctions, des niveaux et des profils de base, et ces trois éléments permettent aux organisations de hiérarchiser les risques de cybersécurité et de les traiter conformément à leurs besoins opérationnels et de mission.
- Construit autour de six piliers : excellence opérationnelle, sécurité, fiabilité, efficacité de la performance, optimisation des coûts et durabilité Le cadre AWS bien architecturé fournit une approche cohérente permettant aux clients et aux partenaires d'évaluer les architectures et de mettre en œuvre des conceptions évolutives. Pourquoi devrais-je appliquer le cadre AWS Well Architected? Parce que vous voulez : Construire et déployer plus rapides : En réduisant la lutte contre les incendies, la gestion de la capacité et en utilisant l'automatisation, vous pouvez expérimenter et libérer de la valeur plus souvent. Réduire ou atténuer les risques : Comprenez où vous avez des risques dans votre architecture et traitez-les avant qu'ils n'affectent votre entreprise et distraient votre équipe. Prendre des décisions éclairées : Assurez-vous d'avoir pris des décisions architecturales actives qui mettent en évidence l'impact qu'elles pourraient avoir sur les résultats de votre entreprise. Découvrir les meilleures pratiques AWS : assurez-vous que vos équipes connaissent les meilleures pratiques que nous avons apprises en examinant des milliers d'architectures de clients sur AWS. Nous avons vu des clients utiliser le cadre AWS Bell-Architects pour réaliser ces objectifs avec succès. Image licensed from = https://www.shutterstock.com/image-photo/beautiful-downtown-chicago-skyline-night-1361680346
- Wel-Architected est plus qu'un ensemble de pratiques exemplaires consultable au sein de la console AWS Wel-Architected est aussi un mécanisme pour le parcours infonuagique de nos clients. Il vous permettra de : - Découvrir les stratégies et les meilleures pratiques d'architecture dans le nuage - Mesurer votre architecture selon des axes spécifiques prédéfinis tout en pouvant tenir tenant compte des pratiques de votre organisation via des axes que vous créerez spécifiquement - Améliorer vos architectures infonuagiques en traitant tout problème à risque élevé identifié, à l'aide de plans d'amélioration, de laboratoires, de partenaires, d’architectes de solutions AWS et plus encore. Chez AWS, nous comprenons l'importance d'éduquer les clients sur les meilleures pratiques en matière d'architecture. Cela vous permettra de veiller à ce que les domaines fondamentaux ne soient plus négligés Le cadre Wel-Architected vous fournira une approche cohérente pour évaluer vos architectures et vous permettra également de mesurer l’efficience de vos charges de travail et d'effectuer des examens connexes pour tous vos besoins en matière de technologie et de gouvernance dans l'ensemble de l'organisation, devenant ainsi un lieu central pour les meilleures pratiques en matière d'architecture.
- Sélectionner et planifier la mise en œuvre d’un cadre de sécurité ne sont que les deux premières étapes d’un un processus d’amélioration continue. L’objectif? En accroissant la vitesse d’amélioration de votre posture de sécurité, vous augmenterait encore plus la fiabilité de vos charges de travail et des services qu’elles rendent à vos clients. En effet même un système hautement disponible ne peut pas délivrer de valeur si sa logique d’affaire a été modifiée de manière non autorisée et non détectée. Quelles sont les ressources AWS additionnelles pouvant vous guider sur une mise en œuvre sûre et réussie?
- L’architecture de référence pour la Sécurité dans AWS est une ligne directrice globale pour le déploiement des services de sécurité AWS dans un environnement multi-comptes. Vous pouvez l'utiliser pour aider à concevoir, mettre en œuvre et gérer les services de sécurité AWS afin qu'ils s'alignent sur les pratiques recommandées par AWS. Ce document répond à la question Où ces services devraient-ils être fournis ? Comment organiser les services de sécurité AWS Comment puis-je intégrer avec mes charges de travail? A noter que depuis Septembre dernier, vous pourrez aussi retrouver notre architecture de référence pour la protection des données personnelles. Ce document est un complément à l’architecture de référence pour la Sécurité qui décrit toutes les fonctions et gabarits recommandées pour le masquage, le chiffrement, et le contrôle d’accès à ces données sensibles. .
- AWS a créé des outils pour vous aider à identifier et à protéger vos actifs contre les risques, à détecter les incidents de sécurité et à y répondre, et enfin à revenir à l'état opérationnel. Dans chaque domaine, nous fournissons les outils et les services nécessaires pour atteindre cet objectif. Exemple : si un système est compromis et qu'il communique avec un hôte étranger. Les services d'enquête pourraient vous aider à déterminer quel était le point d'entrée, par exemple, ce système est compromis en raison d'une règle de pare-feu ouvert qui autorisait la connexion SSH à un système d'exploitation vulnérable. L'adversaire exploite le serveur et installe un agent qui rappelle. Récupération, restauration.. Problèmes : fichier endommagé ou non compatible avec la nouvelle version de votre application. Cette structure est basée sur le CSF (cadre de cybersécurité) du NIST
- Landing Zone Accelerator on AWS est une solution logicielle open source qui accélère la mise en œuvre des contrôles techniques de sécurité et de la base de l'infrastructure d'un client sur AWS. Il sert de modèle de configuration pour les clients AWS opérant dans des segments de marché réglementés et répond à notre objectif de simplifier et d'accélérer les parcours infonuagiques des clients réglementés en les aidant à déployer rapidement une base cloud sécurisée, conforme, évolutive et entièrement automatisée. Nous recommandons aux clients de déployer AWS Control Tower comme zone d'atterrissage fondamentale et d'améliorer leurs capacités avec l'accélérateur de zone d'atterrissage. Vous pouvez l'installer directement dans votre environnement, ce qui vous donne un accès complet à la solution d'infrastructure sous forme de code (iAc). Ensuite, configurez des fonctionnalités supplémentaires, des contrôles et ainsi de suite, au moyen d'un ensemble simplifié de fichiers de configuration. https://aws.amazon.com/solutions/implementations/landing-zone-accelerator-on-aws/
- AWS Audit Manager vous aide à associer vos exigences de conformité aux données d'utilisation AWS grâce à des cadres prédéfinis et personnalisés ainsi qu’à la collecte automatisée des preuves. Vous sélectionnez un cadre, comme SOC2 ou PCI DSS, puis définissez une portée, collectez des preuves et générez des rapports avec des liens vers ces preuves. Notez que cela couvre uniquement l'infrastructure AWS ; si vous avez des charges de travail ou des processus opérationnels (comme une politique de bureau propre) ailleurs, comme sur site, vous pouvez ajouter des preuves manuelles et contribuer à la valeur du rapport final.
- Le choix de l'approche et du modèle qui convient le mieux dépend de votre auditoire, des résultats opérationnels cibles et du processus opérationnel global. Il est possible d'utiliser un mélange de plusieurs modèles. Ici, nous soulignons l'approche du modèle de maturité de sécurité AWS, qui se concentre sur la gestion et la réduction des risques en donnant la priorité à la mise en œuvre de mesures de sécurité. Cette approche convient bien aux directeurs de la sécurité et aux directions informatiques, mais elle n'est pas axée sur les affaires. Avantages du modèle de maturité : Est un modèle qui met l'accent sur l'utilisation d'une approche de mise en œuvre basée sur l’agilité Vous aide à réduire rapidement les risques S'aligne sur le cadre d’AWS Well Architected Inconvénients du modèle de maturité : Il est axé sur la technologie plutôt que sur les affaires C'est là que vous devez vous assurer de garder à l'esprit le contexte commercial et industriel, ainsi que les exigences de conformité spécifiques, pour assurer une approche bien équilibrée. https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-accelerating-security-maturity/choosing-a-security-model.html
- Throughout this presentation, we haven’t yet touched on the “people” part of the people/process/technology model. Let’s dive into an important part of the people aspect to cybersecurity – organizational culture.
- Comme l’a dit Jeff Bezos, “Les cultures ne sont pas tant planifiées qu'elles évoluent à partir d’une première série de personnes.
- Mais qu'est-ce que la culture ? La culture organisationnelle peut être considérée presque comme un iceberg — la partie visible au-dessus de l'eau (artefacts) impliquant des couches plus profondes et cachées sous l'eau, qui sont les valeurs et les hypothèses des gens. Les artefacts peuvent être « l'architecture, la technologie, l'aménagement du bureau, le code vestimentaire, les modèles de comportement visibles ou audibles et les documents publics comme les manuels d'orientation des employés » d'une organisation. Les valeurs sont les « raisons ou les rationalisations pour lesquelles les employés se comportent comme ils le font au sein d’une organisation ». Les hypothèses sont alors « généralement un modèle inconscient qui détermine la façon dont les membres du groupe perçoivent, pensent, et ressentent. -- https://mitsloan.mit.edu/ideas-made-to-matter/5-enduring-management-ideas-mit-sloans-edgar-schein : Photo by SIMON LEE on Unsplash
- Dans l'industrie de la cybersécurité, les humains ont été présentés comme le maillon faible de la cybersécurité, mais récemment que nous voyons les dirigeants adopter une approche de plus en plus centrée sur l'humain en matière de cybersécurité, S'attaquer à une culture de la cybersécurité est une façon de renforcer cet élément humain, en influençant les valeurs et les hypothèses des employés en matière de cybersécurité. Tout d'abord, vous voulez faire une analyse de rentabilisation et obtenir l'adhésion des dirigeants, et vous assurer que vous disposez de mesures pour le faire. Vous devez également veiller à ce que l'environnement soit sûr et propice à l'apprentissage Un espace sûr est une engagement partagé au sein d'une équipe ou d'une organisation selon laquelle une personne peut prendre la parole, prendre des risques et exprimer des idées ou des préoccupations sans subir de représailles ou de jugement Et comme pour tous les nouveaux sujets, vous devez diriger avec empathie et vous assurer d'avoir une compréhension approfondie des besoins et des objectifs de votre auditoire. Certains mécanismes permettant de changer la culture sont la sensibilisation et la formation, bien sûr, la mise en place d'un programme de champions de la cybersécurité, et un exemple provenant du sommet
- Il est essentiel de s'assurer que vous avez l'adhésion des dirigeants et de votre auditoire, alors assurez-vous de concevoir à reculons à partir de l'expérience client et des objectifs commerciaux pour faire valoir votre point de vue lors du déploiement de nouveaux programmes axés sur le renforcement de l'élément humain
- L'objectif de l'établissement d'une culture axée sur la sécurité est de cultiver cet état d'esprit axé sur la sécurité. Pour ce faire, nous devons reconnaître que c'est une tâche complexe — nous, les humains, sommes complexes ! Et il n'y a pas d'approche unique qui fonctionnera avec toutes les équipes ou tous les départements, sans parler de toutes les entreprises ou industries. Il est important d'équilibrer les besoins de l'entreprise, la rapidité de l'innovation par rapport à la sécurité. Il est nécessaire de chercher à tirer parti de la sécurité comme moyen de responsabiliser les entreprises au lieu d'être un obstacle. Selon un rapport d'Andrew Moore / Carrie Gardner / Denise Rousseau, « l'engagement accru des employés réduit le risque de menace interne et favorise la sensibilisation à la sécurité ». Mettre l'accent sur le renforcement de l'élément humain fonctionne ! ---- “Source: “Reducing Insider Risk Through Positive Deterrence Report,” by Andrew P. Moore, Carrie Gardner, and Denise M. Rousseau, Ph.D.”
- Parlons des programmes de champions de la cybersécurité. Les champions de la cybersécurité sont des employés qui ne sont n’ont pas cette spécialité mais qui connaissent bien le domaine et sont intéressés à s’y investir. Ces champions incorporent leurs connaissances en matière de sécurité dans les processus et peuvent les utiliser pour influencer les décisions opérationnelles au sein de leurs équipes ou de leurs départements pour prendre des décisions éclairées en matière de sécurité qui mèneront à des lancements plus sûrs et à l’heure AWS a notamment mis en place des champions pour les développeurs et les architectes. Ils servent d'extension à la fonction de Sécurité Applicative, renforçant la sensibilisation à la sécurité, et fournissant un mécanisme de rétroaction solide. Nous appelons ce programme Gardiens de la Sécurité en raison de notre culture technologique — Les gardiens de la sécurité comme les gardiens de notre galaxie (nous avons beaucoup de programmes et de projets qui sont des références à la culture cinématographique). Vous pouvez nommer votre programme comme vous le souhaitez — Aligner-le sur votre propre culture pour le rendre amusant et pertinent
- Voici quelques améliorations qui ont été apportées par le programme des gardiens de la sécurité. Ces types de mesures peuvent être rapportés à la direction, ce qui vous aidera à obtenir l'adhésion continue de votre hiérarchie dans la croissance de ce programme.
- Pour résumer, voici les avantages d'utiliser le champion de la sécurité comme mécanisme pour développer votre culture de la sécurité - Donnez du pouvoir aux développeurs grâce à un programme champions (ou, comme nous les appelons, des gardiens AWS) - Tirer parti des champions de la sécurité dans tous les secteurs d'activité pour promouvoir la prise de décision axée sur la cybersécurité dans tous les domaines de l'entreprise, et ainsi multiplier les connaissances par la formation et la sensibilisation - Enfin, intégrer des connaissances en cybersécurité à votre processus de gestion des risques tiers — en responsabilisant vos secteurs d'activité par l'entremise de champions de la cybersécurité, vous pouvez modifier les exigences de sécurité au plus tôt dans le processus de sélection des fournisseurs, en vous assurant de travailler avec des entreprises qui partagent vos engagements pour la protection de vos données. Chez AWS, nous avons lancé le programme de gardiens de sécurité des fournisseurs qui a fait exactement cela, en diffusant les connaissances et la passion pour la cybersécurité au sein des secteurs d'activité qui ont également travaillé avec les fournisseurs.