Fonction de la stratégie et des normes de sécurité cloud
Les équipes de stratégie de sécurité et de normalisation créent, approuvent et publient des stratégies et des normes de sécurité pour guider les décisions de sécurité au sein de l’organisation.
Les stratégies et normes doivent :
- Refléter la stratégie de sécurité des organisations d’une manière suffisamment détaillée pour guider les décisions au sein de l’organisation par différentes équipes
- Faciliter la productivité au sein de l’organisation tout en réduisant les risques pour les entreprises et la mission
La stratégie de sécurité doit refléter des objectifs durables à long terme qui s’alignent sur la stratégie de sécurité des organisations et leur tolérance aux risques. La stratégie doit toujours déterminer les éléments suivants :
- Exigences en matière de conformité réglementaire et état de conformité actuel (exigences respectées, risques acceptés, etc.)
- Évaluation de l’état actuel de l’architecture, et de ce qui est techniquement possible de concevoir, implémenter et appliquer
- Culture et préférences de l’organisation
- Meilleures pratiques du secteur
- Responsabilité des risques de sécurité attribués aux parties prenantes appropriées qui sont responsables des autres risques et des résultats commerciaux.
Les normes de sécurité définissent les processus et règles pour soutenir l’exécution de la stratégie de sécurité.
Modernisation
Si la stratégie doit rester statique, les normes doivent être dynamiques et revisitées en permanence pour suivre le rythme des changements dans la technologie cloud, l’environnement des menaces et le paysage de la compétitivité des entreprises.
En raison de ce rythme élevé de changements, vous devez garder un œil sur le nombre d’exceptions faites, car cela peut indiquer une nécessité d’ajuster les normes (ou la stratégie).
Les normes de sécurité doivent inclure des instructions spécifiques à l’adoption du cloud, telles que les suivantes :
- Utilisation sécurisée de plateformes cloud pour l’hébergement des charges de travail
- Utilisation sécurisée du modèle DevOps et inclusion d’applications cloud, d’API et de services en développement
- Utilisation de contrôles de périmètre d’identité pour compléter ou remplacer les contrôles de périmètre de réseau
- Définition de votre stratégie de segmentation avant de déplacer vos charges de travail vers la plateforme IaaS
- Étiquetage et classification de la sensibilité des ressources
- Définition du processus d’évaluation et de vérification de la configuration et de la sécurisation de vos ressources
Composition d’équipe et relations clés
La stratégie de sécurité et les normes cloud sont généralement fournies par les types de rôles suivants. La stratégie de l’organisation doit informer (et être informée par) :
- Architectures de sécurité
- Équipes de gestion de la conformité et des risques
- Direction et représentants de la division
- Technologies de l’information
- Équipes d’audit et juridiques
La stratégie doit être affinée en fonction de nombreuses entrées/exigences de l’ensemble de l’organisation, y compris, de façon non exhaustive, celles décrites dans le diagramme de présentation de la sécurité.
Étapes suivantes
Passez en revue la fonction d’un centre des opérations de sécurité cloud (SOC).
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour