Gouvernance de la sécurité
La gouvernance de la sécurité fait le lien entre vos priorités métier et leur implémentation technique (architecture, normes et stratégie). Les équipes de gouvernance assurent la supervision et la surveillance afin de maintenir et d’améliorer la sécurité au fil du temps. Ces équipes établissent également des rapports de conformité, comme l’exigent les instances régulatrices.
Les objectifs et les risques métier indiquent la meilleure direction pour la sécurité. Cette direction garantit que la sécurité concentre ses efforts sur les aspects importants pour l’organisation. Elle informe également les propriétaires des risques en utilisant un langage et des processus familiers dans l’infrastructure de gestion des risques.
Pour en savoir plus sur la gouvernance de la sécurité, regardez la vidéo suivante.
Conformité et création de rapport
La conformité et la création de rapport sur des exigences de sécurité externes, et parfois sur une stratégie interne, sont des éléments de base requis pour opérer dans un secteur donné. Les exigences incontournables sont comme celle de nourrir un ours dans un zoo. Si vous ne le nourrissez pas chaque jour, il pourrait vous manger.
Architecture et normes
L’architecture, les normes et les stratégies constituent la traduction critique des besoins et des risques en environnement technique. Nous vous recommandons d’avoir une vue unifiée des ressources de votre entreprise au lieu de fractionner vos environnements cloud et locaux. Les attaquants ne se soucient guère de vos processus internes et suivent la voie de la moindre résistance à leurs assauts. Cela implique un déplacement latéral entre les environnements cloud et locaux. Aujourd’hui, la plupart des entreprises disposent d’un environnement hybride à deux volets :
- Local : inclut plusieurs générations de technologies et, souvent, une quantité importante de logiciels et de matériels hérités. Ce volet comprend parfois une technologie opérationnelle contrôlant des systèmes physiques susceptibles d’avoir un impact sur la vie ou la sécurité.
- Cloud : inclut généralement plusieurs fournisseurs pour les ressources suivantes :
- Applications SaaS (software as a Service)
- Infrastructure as a service (IaaS)
- Platform as a service (PaaS)
Gestion de la posture de sécurité
Un plan ne consiste pas à espérer et à signaler les problèmes. La gouvernance à l’ère du cloud doit avoir une composante active qui dialogue en permanence avec d’autres équipes. La gestion de la situation de sécurité est une fonction émergente. Elle marque un pas en avant dans la convergence à long terme des fonctions de sécurité. Ces fonctions permettent de déterminer le degré de sécurisation de l’environnement, notamment sur les plans de la gestion des vulnérabilités et de la conformité de la sécurité.
Localement, la gouvernance de la sécurité suivait la cadence de collecte des données qu’elle pouvait recueillir sur l’environnement. Cette façon d’obtenir des données pouvait prendre du temps et s’avérer obsolète. La technologie cloud offre désormais une visibilité en temps réel à la demande de la situation de sécurité et de la couverture des ressources. Cette visibilité conduit à une transformation majeure de la gouvernance en une organisation plus dynamique. Celle-ci instaure une relation plus étroite avec d’autres équipes de sécurité pour surveiller les normes de sécurité, prodiguer des conseils et améliorer les processus.
Idéalement, la gouvernance est au cœur de l’amélioration continue. Celle-ci incite votre organisation à renforcer constamment la situation de sécurité.
Les principes clés du succès de la gouvernance sont les suivants :
- Découverte continue des ressources et des types de ressources : un inventaire statique n’est pas possible dans un environnement cloud dynamique. Votre organisation doit se concentrer sur la découverte continue des ressources et des types de ressources. Dans le cloud, de nouveaux types de services sont régulièrement ajoutés. Selon les besoins, les propriétaires de charges de travail activent et désactivent de manière dynamique des instances d’applications et de services, ce qui fait de la gestion des stocks une discipline dynamique. Les équipes de gouvernance doivent continuellement découvrir les types et instances de ressources pour suivre le rythme de ce changement.
- Amélioration continue de la situation de sécurité des ressources : les équipes de gouvernance doivent se concentrer sur l’amélioration des normes et l’application de celles-ci pour suivre la cadence du cloud et des attaquants. Les organisations fournissant des technologies de l’information doivent rapidement réagir aux nouvelles menaces et s’adapter en conséquence. Les attaquants faisant évoluer leurs techniques en permanence, les défenses s’améliorent sans cesse et peuvent nécessiter une activation. Vous ne pouvez pas toujours bénéficier de toute la sécurité dont vous avez besoin dans la configuration initiale.
- Gouvernance pilotée par une stratégie : cette gouvernance permet une exécution cohérente en fixant une stratégie qui est automatiquement appliquée à l’échelle des ressources. Ce processus limite les pertes de temps et d’efforts liés à des tâches manuelles répétitives. Il est souvent implémenté à l’aide d’Azure Policy ou d’infrastructures tierces d’automatisation de stratégie.
Pour maintenir l’agilité, les conseils relatifs aux meilleures pratiques sont souvent itératifs. Ils intègrent des petits éléments d’information provenant de sources multiples pour produire une vue d’ensemble, en apportant continuellement de petits ajustements.
Disciplines de gouvernance et de protection
Les disciplines de protection incluent le contrôle des accès, la protection des ressources et la sécurité des innovations. L’équipe de gouvernance de la sécurité fournit des normes et des conseils pour une exécution cohérente des meilleures pratiques et des contrôles de sécurité.
Dans l’idéal, les équipes de protection appliquent ces contrôles et fournissent des commentaires sur ce qui fonctionne, comme les défis liés à l’application des contrôles. Les équipes collaborent ensuite pour identifier les meilleures solutions.
Gouvernance et opérations de sécurité
La gouvernance de la sécurité et les opérations de sécurité fonctionnent ensemble pour fournir une visibilité complète. Elles garantissent que les enseignements tirés d’incidents réels sont intégrés à l’architecture, aux normes et à la stratégie.
Les opérations de gouvernance et de sécurité fournissent des types de visibilité complémentaires.
- Les opérations de sécurité donnent un aperçu du risque immédiat d’attaques actives.
- La gouvernance de la sécurité fournit une vue large ou longue des risques liés à de futures attaques potentielles, ainsi que des vecteurs d’attaque.
Les architectes de la sécurité opérant au cœur de la fonction de gouvernance aident à identifier les leçons à tirer des incidents. Par exemple, les causes racines d’incidents majeurs. Ils intègrent ces enseignements dans les normes de votre organisation afin de garantir leur application cohérente au sein de celle-ci.
Pour plus d’informations, consultez Intégration de la sécurité.
Remarque
Certaines organisations intègrent la surveillance de la situation de sécurité dans les opérations de sécurité. Nous vous recommandons de l’intégrer dans la gouvernance. Ce a pour effet de renforcer la relation avec les équipes d’ingénierie informatique et d’exploitation qui appliquent les normes. Le renforcement de cette relation produit souvent de meilleures communications et de meilleurs résultats en matière de sécurité. Dans le cas contraire, vous avez une équipe de gouvernance qui ne voit jamais l’impact réel de ses normes.
Étapes suivantes
La discipline suivante est la sécurité des innovations.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour