Fonctions de sécurité du cloud
Les fonctions désignent des tâches et des responsabilités qui sont primordiales pour une organisation. En d’autres termes, les fonctions sont des « tâches devant être effectuées ».
Cet article fournit un résumé des fonctions organisationnelles requises pour gérer les risques liés à la sécurité des informations dans une entreprise. Ces rôles et responsabilités forment la partie humaine de l’ensemble d’un système de cybersécurité.
La sécurité est un sport d’équipe
Les membres de l’équipe de sécurité doivent collaborer et se considérer comme des parties intégrantes de l’ensemble de l’organisation. Ils font également partie d’une communauté de sécurité plus vaste qui se défend contre les mêmes personnes mal intentionnées.
Cette vision globale et holistique aide les équipes à combler les lacunes et chevauchements imprévus qui sont découverts à mesure que les rôles et les responsabilités évoluent.
Types de fonctions de sécurité
Le diagramme suivant illustre les fonctions organisationnelles spécifiques dans le domaine de la sécurité. Les fonctions décrites représentent une vision idéale d’une équipe de sécurité d’entreprise complète. Les équipes de sécurité disposant de ressources limitées n’ont peut-être pas de responsabilités formelles définies autour de toutes ces fonctions. Chaque fonction peut être exercée par une ou plusieurs personnes, et chaque personne peut exercer une ou plusieurs fonctions, sur la base de facteurs comme la culture, le budget et les ressources disponibles.
Vous pouvez en savoir plus sur chaque fonction dans les articles suivants. Ils fournissent un résumé des objectifs, décrivent la manière dont la fonction peut évoluer, ainsi que les relations et dépendances essentielles à son succès.
- Stratégie et normes
- Opérations de sécurité
- Architecture de la sécurité
- Gestion de la conformité de la sécurité
- Sécurité des personnes
- Sécurité des applications et DevSecOps
- Sécurité des données
- Sécurité d’infrastructure et de point de terminaison
- Gestion des identités et des clés
- Renseignement sur les menaces
- Gestion de la posture
- Préparation aux incidents
Rôles et responsabilités
Ces responsabilités et rôles de sécurité sont référencés dans l’ensemble de la documentation Microsoft, notamment dans les sections Azure Security Benchmark, Plan de modernisation rapide pour sécuriser l’accès privilégié et Meilleures pratiques relatives à la sécurité Azure.
Le diagramme suivant illustre la façon dont ces fonctions sont mappées aux types de rôle au sein d’une organisation :
Mappage de la sécurité aux résultats opérationnels
Au niveau de l’organisation, les disciplines de sécurité sont mappées aux phases standard de planification-conception-exécution, largement répandues dans l’ensemble des secteurs d’activité et des organisations. La sécurité est à la fois une discipline avec ses propres fonctions uniques et un élément critique à intégrer dans les activités normales de l’entreprise.
Types de rôle
Dans le diagramme, ces responsabilités sont organisées en rôles classiques qui comportent des ensembles de compétences et des profils de carrière communs. Ces regroupements permettent également de clarifier la façon dont les tendances du secteur affectent les professionnels de la sécurité :
- Responsables de la sécurité : ces rôles couvrent généralement plusieurs fonctions, ce qui permet de coordonner les équipes. Ils fournissent également une hiérarchisation des priorités et définissent des normes culturelles, des stratégies et des normes concernant la sécurité.
- Architectes de sécurité : ces rôles recouvrent plusieurs fonctions et fournissent une fonctionnalité de gouvernance clé, qui permet de garantir une cohabitation harmonieuse entre toutes les fonctions techniques au sein d’une architecture cohérente.
-
Posture de sécurité et conformité : type de rôle plus récent. Il représente la convergence entre les rapports de conformité et les disciplines de sécurité classiques comme la gestion des vulnérabilités et les bases de référence de configuration. Bien que les rapports de sécurité et de conformité présentent une étendue et une audience différentes, ils mesurent tous deux le niveau de sécurité de l’organisation. Les manières de traiter cette question se ressemblent de plus en plus en raison de l’utilisation d’outils comme Microsoft Secure Score et Microsoft Defender pour le cloud :
- L’utilisation de flux de données à la demande à partir de services cloud réduit le temps nécessaire à la création de rapports de conformité.
- L’étendue accrue des données disponibles permet à la gouvernance de sécurité d’aller au-delà des mises à jour logiciels classiques pour découvrir les « vulnérabilités » des configurations de sécurité et des pratiques opérationnelles.
- Ingénieurs Sécurité de la plateforme : ces rôles technologiques sont axés sur les plateformes qui hébergent plusieurs charges de travail. Ils sont axés à la fois sur le contrôle d’accès et sur la protection des ressources. Ces rôles sont souvent regroupés en équipes ayant des compétences techniques spécialisées, notamment dans les domaines de la sécurité réseau, de l’infrastructure et des points de terminaison, de la gestion des identités et des clés, etc. Ces équipes travaillent à la fois sur les contrôles préventifs et les contrôles de détection. Les contrôles de détection correspondent à un partenariat avec les équipes SecOps alors que les contrôles préventifs constituent principalement un partenariat avec les équipes des opérations informatiques. Pour plus d’informations, consultez Intégration de la sécurité.
- Ingénieurs Sécurité des applications : ces rôles technologiques se concentrent sur les contrôles de sécurité de charges de travail spécifiques. Ils prennent en charge à la fois les modèles de développement classiques et le modèle DevOps/DevSecOps moderne. Ils combinent des compétences en sécurité des applications/du développement pour du code unique, et des compétences en infrastructure pour des composants techniques courants comme les machines virtuelles, les bases de données et les conteneurs. Ces rôles peuvent être présents au sein d’équipes de service informatique central ou d’équipes de sécurité, ou bien au sein d’équipes commerciales et de développement, en fonction des facteurs organisationnels.
Notes
Au fur et à mesure que le DevOps et l’IaC (infrastructure as code) progressent, certains talents vont probablement migrer des équipes d’ingénierie de sécurité de plateforme vers les équipes de sécurité des applications et les rôles de gestion de posture de sécurité. Le modèle DevOps nécessite des compétences en sécurité de l’infrastructure, comme la sécurisation des opérations dans DevOps. Les équipes de gouvernance ont également besoin de ces compétences et de cette expérience pour superviser efficacement la posture de sécurité technique en temps réel. De plus, l’IaC (infrastructure as code) automatise les tâches techniques manuelles répétitives, ce qui réduit le temps nécessaire à leur exécution pour les rôles d’ingénieur Sécurité de plateforme (tout en augmentant le besoin de compétences techniques étendues et de compétences en automatisation ou en écriture de scripts).
Étapes suivantes
En savoir plus sur la Sécurité dans le Cloud Adoption Framework Microsoft pour Azure.