Équipes de sécurité, rôles et fonctions
Cet article décrit les rôles de sécurité requis pour la sécurité cloud et les fonctions qu’ils exécutent en lien avec l’infrastructure et les plateformes cloud. Ces rôles vous aident à vous assurer que la sécurité fait partie de chaque étape du cycle de vie du cloud, du développement aux opérations et de l’amélioration continue.
Remarque
Le Framework d’adoption du cloud pour Azure se concentre sur l’infrastructure et les plateformes cloud qui prennent en charge plusieurs charges de travail. Pour obtenir des conseils de sécurité pour les charges de travail individuelles, consultez les instructions de sécurité dans Azure Well-Architected Framework.
En fonction de la taille de votre organisation et d’autres facteurs, les rôles et fonctions abordés dans cet article peuvent être remplis par des personnes qui effectuent plusieurs fonctions (rôles) plutôt que par une seule personne ou une seule équipe. Les entreprises et les grandes organisations ont tendance à avoir des équipes plus grandes avec des rôles plus spécialisés, tandis que les petites organisations ont tendance à consolider plusieurs rôles et fonctions parmi un plus petit nombre de personnes. Les responsabilités de sécurité spécifiques varient également en fonction des plateformes et services techniques utilisés par l’organisation.
Certaines tâches de sécurité seront effectuées directement par les équipes technologiques et cloud. D’autres peuvent être effectuées par des équipes de sécurité spécialisées qui fonctionnent en collaboration avec les équipes technologiques. Quelle que soit la taille et la structure de votre organisation, les parties prenantes doivent avoir une compréhension claire des travaux de sécurité qui doivent être effectués. Tout le monde doit également connaître les exigences métier et la tolérance au risque de sécurité de l’organisation afin qu’ils puissent prendre de bonnes décisions sur les services cloud qui prennent en compte et équilibrent la sécurité en tant qu’exigence clé.
Utilisez les conseils de cet article pour comprendre les fonctions spécifiques que les équipes et les rôles effectuent et comment les différentes équipes interagissent pour couvrir l’intégralité d’une organisation de sécurité cloud.
Transformation des rôles de sécurité
L’architecture de sécurité, l’ingénierie et les rôles d’exploitation subissent une transformation significative de leurs responsabilités et processus. (Cette transformation est similaire à la transformation basée sur le cloud des rôles d’infrastructure et de plateforme.) Cette transformation de rôle de sécurité a été pilotée par plusieurs facteurs :
À mesure que les outils de sécurité deviennent de plus en plus basés sur SaaS, il est moins nécessaire de concevoir, d’implémenter, de tester et d’exploiter des infrastructures d’outils de sécurité. Ces rôles doivent toujours prendre en charge le cycle de vie complet de la configuration des services et solutions cloud (y compris l’amélioration continue) pour s’assurer qu’ils répondent aux exigences de sécurité.
La reconnaissance que la sécurité est le travail de tout le monde est le moteur d’une approche plus collaborative et mature qui permet aux équipes de sécurité et de technologie de travailler ensemble :
Les équipes techniques d’ingénierie sont responsables de la garantie que les mesures de sécurité sont appliquées efficacement à leurs charges de travail. Ce changement augmente leur besoin de contexte et d’expertise des équipes de sécurité sur la façon de respecter ces obligations efficacement et efficacement.
Les équipes de sécurité passent d’un rôle de contrôle de qualité (légèrement contradictoire) à un rôle qui permet aux équipes techniques de rendre le chemin sécurisé le chemin le plus simple. Les équipes de sécurité réduisent les frictions et les obstacles à l’aide de l’automatisation, de la documentation, de la formation et d’autres stratégies.
Les équipes de sécurité élargissent de plus en plus leurs compétences pour examiner les problèmes de sécurité entre plusieurs technologies et systèmes. Ils traitent du cycle de vie complet de l’attaquant, plutôt que de se concentrer sur des domaines techniques étroits (sécurité réseau, sécurité des points de terminaison, sécurité des applications et sécurité cloud, par exemple). Le fait que les plateformes cloud intègrent de près différentes technologies renforcent ce besoin de développement de compétences.
L’augmentation du taux de modification des services cloud de technologie et de sécurité nécessite que les processus de sécurité soient mis à jour en permanence pour maintenir la synchronisation et gérer efficacement les risques.
Les menaces de sécurité contournent désormais de manière fiable les contrôles de sécurité basés sur le réseau, de sorte que les équipes de sécurité doivent adopter une approche Confiance Zéro qui inclut l’identité, la sécurité des applications, la sécurité des points de terminaison, la sécurité du cloud, ci/CD, l’éducation des utilisateurs et d’autres contrôles.
L’adoption des processus DevOps/DevSecOps nécessite que les rôles de sécurité soient plus agiles pour intégrer la sécurité en mode natif dans le cycle de vie de développement de solution accéléré résultant.
Vue d’ensemble des rôles et des équipes
Les sections suivantes fournissent des conseils sur les équipes et les rôles qui effectuent généralement des fonctions de sécurité cloud clés (lorsque ces fonctions sont présentes dans l’organisation). Vous devez mapper votre approche existante, rechercher des lacunes et évaluer si votre organisation peut et doit investir pour répondre à ces lacunes.
Les rôles qui effectuent des tâches de sécurité incluent les rôles suivants.
Fournisseur de services cloud
Équipes d’infrastructure/plateforme (architecture, ingénierie et opérations)
Architecture de sécurité, ingénierie et équipes de gestion de la posture :
Architectes et ingénieurs de sécurité (sécurité des données, gestion des identités et des accès (IAM), sécurité réseau, serveurs et sécurité des conteneurs, sécurité des applications et DevSecOps)
Ingénieurs de sécurité logicielle (sécurité des applications)
Gestion de la posture (gestion des vulnérabilités/ gestion de la surface d’attaque)
Opérations de sécurité (SecOps/SOC) :
Analystes de triage (niveau 1)
Analystes d’investigation (niveau 2)
Chasse des menaces
Informations sur les menaces
Ingénierie de détection
Gouvernance de la sécurité, risque et conformité (GRC)
Formation et sensibilisation à la sécurité
Il est essentiel de s’assurer que tout le monde comprend son rôle dans la sécurité et comment travailler avec d’autres équipes. Vous pouvez atteindre cet objectif en documentant les processus de sécurité inter-équipes et un modèle de responsabilité partagée pour vos équipes techniques. Cela vous permet d’éviter les risques et les déchets des lacunes de couverture et des efforts qui se chevauchent. Il vous aide également à éviter les erreurs courantes (antimodèles), comme les équipes sélectionnant des solutions d’authentification et de chiffrement faibles, ou même en tentant de créer leurs propres solutions.
Remarque
Un modèle de responsabilité partagée est similaire à un modèle responsable, responsable, consulté, informé (RACI). Le modèle de responsabilité partagée permet d’illustrer une approche collaborative sur les personnes qui prennent des décisions et ce que les équipes doivent faire pour travailler ensemble pour des éléments et des résultats particuliers.
Fournisseur de services cloud
Les fournisseurs de services cloud sont des membres d’équipe virtuelle qui fournissent des fonctions de sécurité et des fonctionnalités pour la plateforme cloud sous-jacente. Certains fournisseurs de cloud fournissent également des fonctionnalités et des fonctionnalités de sécurité que vos équipes peuvent utiliser pour gérer votre posture de sécurité et vos incidents. Pour plus d’informations sur ce que les fournisseurs de services cloud effectuent, consultez le modèle de responsabilité partagée cloud.
De nombreux fournisseurs de services cloud fournissent des informations sur leurs pratiques de sécurité et leurs contrôles à la demande ou via un portail tel que le portail d’approbation de service Microsoft.
Équipes d’infrastructure/plateforme (architecture, ingénierie et opérations)
Les équipes d’infrastructure/plateforme, d’ingénierie et d’exploitation implémentent et intègrent des contrôles de sécurité, de confidentialité et de conformité dans les environnements d’infrastructure et de plateforme cloud (entre les serveurs, les conteneurs, la mise en réseau, l’identité et d’autres composants techniques).
Les rôles d’ingénierie et d’exploitation peuvent se concentrer principalement sur les systèmes d’intégration cloud ou d’intégration continue et de déploiement continu (CI/CD), ou ils peuvent travailler sur une gamme complète de cloud, CI/CD, localement et d’autres infrastructures et plateformes.
Ces équipes sont chargées de répondre à toutes les exigences en matière de disponibilité, d’extensibilité, de sécurité, de confidentialité et d’autres exigences pour les services cloud de l’organisation qui hébergent des charges de travail métier. Ils travaillent en collaboration avec des experts en sécurité, risque, conformité et confidentialité pour favoriser les résultats qui mélangent et équilibrent toutes ces exigences.
Architecture de sécurité, ingénierie et équipes de gestion de la posture
Les équipes de sécurité travaillent avec des rôles d’infrastructure et de plateforme (et d’autres) pour traduire la stratégie de sécurité, la stratégie et les normes en architectures, solutions et modèles de conception actionnables. Ces équipes se concentrent sur la réussite de la sécurité des équipes cloud en évaluant et en influençant la sécurité de l’infrastructure et les processus et outils utilisés pour la gérer. Voici quelques-unes des tâches courantes effectuées par les équipes de sécurité pour l’infrastructure :
Les architectes et ingénieurs de sécurité adaptent les stratégies de sécurité, les normes et les instructions pour les environnements cloud afin de concevoir et d’implémenter des contrôles en partenariat avec leurs équivalents d’infrastructure/plateforme. Les architectes et ingénieurs de sécurité aident à un large éventail d’éléments, notamment :
Locataires/abonnements. Les architectes et ingénieurs de sécurité collaborent avec les architectes d’infrastructure et les ingénieurs et architectes d’accès (identité, mise en réseau, application et autres) pour aider à établir des configurations de sécurité pour les locataires cloud, les abonnements et les comptes entre les fournisseurs cloud (qui sont surveillés par les équipes de gestion de la posture de sécurité).
IAM. Les architectes d’accès (identité, mise en réseau, application et autres) collaborent avec les ingénieurs d’identité et les équipes d’exploitation et d’infrastructure/plateforme pour concevoir, implémenter et exploiter des solutions de gestion des accès. Ces solutions protègent contre l’utilisation non autorisée des ressources métier de l’organisation tout en permettant aux utilisateurs autorisés de suivre les processus métier pour accéder facilement et en toute sécurité aux ressources organisationnelles. Ces équipes travaillent sur des solutions telles que les répertoires d’identité et les solutions d’authentification unique (SSO), l’authentification multifacteur et sans mot de passe (MFA), les solutions d’accès conditionnel basées sur les risques, les identités de charge de travail, la gestion des identités et des accès privilégiés (PIM/PAM), l’infrastructure cloud et la gestion des droits d’utilisation (CIEM), etc. Ces équipes collaborent également avec les ingénieurs réseau et les opérations pour concevoir, implémenter et exploiter des solutions SSE (Security Service Edge). Les équipes de charge de travail peuvent tirer parti de ces fonctionnalités pour fournir un accès transparent et plus sécurisé aux composants individuels de la charge de travail et de l’application.
Sécurité des données. Les architectes et ingénieurs de sécurité collaborent avec des architectes et ingénieurs d’IA pour aider les équipes d’infrastructure/plateforme à établir des fonctionnalités de sécurité des données fondamentales pour toutes les données et fonctionnalités avancées qui peuvent être utilisées pour classifier et protéger les données dans des charges de travail individuelles. Pour plus d’informations sur la sécurité des données de base, consultez le benchmark de protection des données de sécurité Microsoft. Pour plus d’informations sur la protection des données dans des charges de travail individuelles, consultez les instructions de Well-Architected Framework.
Sécurité réseau. Les architectes et ingénieurs de sécurité collaborent avec les architectes et ingénieurs réseau pour aider les équipes d’infrastructure/plateforme à établir des fonctionnalités de sécurité réseau fondamentales telles que la connectivité au cloud (lignes privées/louées), les stratégies et solutions d’accès à distance, les pare-feu d’entrée et les pare-feu d’applications web, les pare-feu d’applications web et la segmentation du réseau. Ces équipes collaborent également avec des architectes d’identité, des ingénieurs et des opérations pour concevoir, implémenter et exploiter des solutions SSE. Les équipes de charge de travail peuvent tirer parti de ces fonctionnalités pour fournir une protection discrète ou une isolation des composants individuels de charge de travail et d’application.
Serveurs et sécurité des conteneurs. Les architectes et ingénieurs de sécurité collaborent avec les architectes d’infrastructure et les ingénieurs pour aider les équipes d’infrastructure/plateforme à établir des fonctionnalités de sécurité fondamentales pour les serveurs, les machines virtuelles, les conteneurs, l’orchestration/gestion, CI/CD et les systèmes associés. Ces équipes établissent des processus de découverte et d’inventaire, des configurations de référence de sécurité/benchmark, des processus de maintenance et de mise à jour corrective, des listes d’autorisation pour les fichiers binaires exécutables, les images de modèle, les processus de gestion, etc. Les équipes de charge de travail peuvent également tirer parti de ces fonctionnalités d’infrastructure fondamentales pour assurer la sécurité des serveurs et des conteneurs pour les composants de charge de travail et d’application individuels.
Bases de sécurité logicielle (pour la sécurité des applications et DevSecOps). Les architectes et ingénieurs de sécurité collaborent avec des ingénieurs de sécurité logicielle pour aider les équipes d’infrastructure/plateforme à établir des fonctionnalités de sécurité des applications qui peuvent être utilisées par des charges de travail individuelles, l’analyse du code, la facturation de logiciels (SBOM), les outils WAF et l’analyse des applications. Pour plus d’informations sur l’établissement d’un cycle de vie de développement de sécurité (SDL), consultez les contrôles DevSecOps. Pour plus d’informations sur la façon dont les équipes de charge de travail utilisent ces fonctionnalités, consultez les instructions de cycle de vie du développement de sécurité dans le Well-Architected Framework.
Les ingénieurs de sécurité logicielle évaluent le code, les scripts et d’autres logiques automatisées utilisées pour gérer l’infrastructure, notamment l’infrastructure en tant que code (IaC), les flux de travail CI/CD et les autres outils ou applications personnalisés. Ces ingénieurs doivent être engagés pour protéger le code formel dans les applications compilées, les scripts, les configurations des plateformes d’automatisation et toute autre forme de code exécutable ou de script qui pourrait permettre aux attaquants de manipuler l’opération du système. Cette évaluation peut impliquer simplement d’effectuer une analyse de modèle de menace d’un système, ou elle peut impliquer des outils d’analyse du code et d’analyse de la sécurité. Pour plus d’informations sur la façon d’établir un SDL, consultez les conseils des pratiques SDL.
La gestion de la posture (gestion des vulnérabilités/gestion de la surface d’attaque) est l’équipe de sécurité opérationnelle qui se concentre sur l’activation de la sécurité pour les équipes d’opérations techniques. La gestion de la posture aide ces équipes à hiérarchiser et à implémenter des contrôles pour bloquer ou atténuer les techniques d’attaque. Les équipes de gestion de posture travaillent dans toutes les équipes d’opérations techniques (y compris les équipes cloud) et servent souvent de moyen principal de comprendre les exigences de sécurité, les exigences de conformité et les processus de gouvernance.
La gestion de la posture sert souvent de centre d’excellence (CoE) pour les équipes d’infrastructure de sécurité, comme la façon dont les ingénieurs logiciels servent souvent de centre d’excellence de sécurité pour les équipes de développement d’applications. Les tâches courantes pour ces équipes sont les suivantes.
Surveillez la posture de sécurité. Surveillez tous les systèmes techniques à l’aide d’outils de gestion des postures tels que Microsoft Security Exposure Management, Gestion des autorisations Microsoft Entra, les vulnérabilités non-Microsoft et la gestion des surfaces d’attaque externe (EASM) et des outils CIEM, ainsi que des outils et des tableaux de bord de posture de sécurité personnalisés. En outre, la gestion de la posture effectue une analyse pour fournir des insights par :
Anticiper des chemins d’attaque très probables et nuisibles. Les attaquants « pensent en graphiques » et recherchent des chemins d’accès aux systèmes critiques pour l’entreprise en chaînant plusieurs ressources et vulnérabilités entre différents systèmes (par exemple, compromettre les points de terminaison utilisateur, puis utiliser le hachage/ticket pour capturer des informations d’identification d’administrateur, puis accéder aux données critiques pour l’entreprise). Les équipes de gestion de posture travaillent avec des architectes et des ingénieurs de sécurité pour découvrir et atténuer ces risques cachés, qui n’apparaissent pas toujours dans les listes techniques et les rapports.
Effectuer des évaluations de sécurité pour passer en revue les configurations système et les processus opérationnels pour mieux comprendre et obtenir des insights plus approfondis au-delà des données techniques des outils de posture de sécurité. Ces évaluations peuvent prendre la forme de conversations informelles de découverte ou d’exercices formels de modélisation des menaces.
Aidez à la hiérarchisation. Aidez les équipes techniques à surveiller de manière proactive leurs ressources et à hiérarchiser le travail de sécurité. La gestion de la posture aide à mettre le travail d’atténuation des risques dans le contexte en tenant compte de l’impact sur les risques de sécurité (informé par l’expérience, les rapports d’incident d’opérations de sécurité et d’autres informations sur les menaces, la décisionnel et d’autres sources) en plus des exigences de conformité de la sécurité.
Former, mentorer et champion. Augmentez les connaissances et les compétences en matière de sécurité des équipes techniques d’ingénierie grâce à la formation, au mentorat des personnes et au transfert de connaissances informel. Les rôles de gestion des postures peuvent également travailler avec la préparation organisationnelle / la formation et l’éducation de sécurité et l’engagement sur la formation formelle de sécurité et la configuration de la sécurité au sein des équipes techniques qui évangélisent et informent leurs pairs sur la sécurité.
Identifiez les lacunes et défendez les correctifs. Identifiez les tendances globales, les lacunes de processus, les lacunes d’outils et d’autres insights sur les risques et les atténuations. Les rôles de gestion de posture collaborent et communiquent avec les architectes de sécurité et les ingénieurs pour développer des solutions, créer un cas pour les solutions de financement et aider à déployer des correctifs.
Coordonner avec les opérations de sécurité (SecOps). Aidez les équipes techniques à travailler avec des rôles SecOps tels que l’ingénierie de détection et les équipes de repérage des menaces. Cette continuité entre tous les rôles opérationnels permet de s’assurer que les détections sont en place et implémentées correctement, les données de sécurité sont disponibles pour l’investigation des incidents et la chasse aux menaces, les processus sont en place pour la collaboration, et bien plus encore.
Fournissez des rapports. Fournissez des rapports opportuns et précis sur les incidents de sécurité, les tendances et les métriques de performances à la haute direction et aux parties prenantes pour mettre à jour les processus de risque organisationnel.
Les équipes de gestion des postures évoluent souvent à partir de rôles de gestion des vulnérabilités logiciels existants pour traiter l’ensemble complet de types de vulnérabilités fonctionnels, de configuration et opérationnels décrits dans le modèle de référence open group Confiance Zéro. Chaque type de vulnérabilité peut permettre aux utilisateurs non autorisés (y compris aux attaquants) de prendre le contrôle des logiciels ou des systèmes, ce qui leur permet de causer des dommages aux ressources de l’entreprise.
Les vulnérabilités fonctionnelles se produisent dans la conception ou l’implémentation de logiciels. Ils peuvent autoriser le contrôle non autorisé du logiciel concerné. Ces vulnérabilités peuvent être des défauts dans les logiciels que vos propres équipes ont développés ou des défauts dans des logiciels commerciaux ou code source ouvert (généralement suivis par un identificateur Common Vulnerabilities and Exposures).
Les vulnérabilités de configuration sont des configurations incorrectes des systèmes qui autorisent l’accès non autorisé aux fonctionnalités système. Ces vulnérabilités peuvent être introduites pendant les opérations en cours, également appelées dérives de configuration. Ils peuvent également être introduits lors du déploiement initial et de la configuration des logiciels et des systèmes, ou par défaut de sécurité faible d’un fournisseur. Voici quelques exemples courants :
Objets orphelins qui autorisent un accès non autorisé aux éléments tels que les enregistrements DNS et l’appartenance au groupe.
Rôles administratifs ou autorisations excessifs pour les ressources.
Utilisation d’un protocole d’authentification ou d’un algorithme de chiffrement plus faible qui présente des problèmes de sécurité connus.
Configurations par défaut faibles ou mots de passe par défaut.
Les vulnérabilités opérationnelles sont des faiblesses dans les processus et pratiques d’exploitation standard qui autorisent l’accès ou le contrôle non autorisé des systèmes. Voici quelques exemples :
Les administrateurs utilisant des comptes partagés au lieu de leurs propres comptes individuels pour effectuer des tâches privilégiées.
Utilisation de configurations de « navigation » qui créent des chemins d’accès d’élévation de privilèges qui peuvent être abusés par des attaquants. Cette vulnérabilité se produit lorsque des comptes d’administration à privilèges élevés se connectent à des appareils et stations de travail utilisateur à faible niveau de fiabilité (comme les stations de travail utilisateur standard et les appareils appartenant à l’utilisateur), parfois par le biais de serveurs de saut qui n’atténuent pas efficacement ces risques. Pour plus d’informations, consultez la sécurisation de l’accès privilégié et des appareils d’accès privilégié.
Opérations de sécurité (SecOps/SOC)
L’équipe SecOps est parfois appelée Centre d’opérations de sécurité (SOC). L’équipe SecOps se concentre sur la recherche et la suppression rapides de l’accès des adversaires aux ressources de l’organisation. Ils travaillent en partenariat étroit avec les équipes d’exploitation et d’ingénierie technologiques. Les rôles SecOps peuvent fonctionner sur toutes les technologies de l’organisation, notamment l’informatique traditionnelle, la technologie opérationnelle (OT) et l’Internet des objets (IoT). Voici les rôles SecOps qui interagissent le plus souvent avec les équipes cloud :
Analystes de triage (niveau 1). Répond aux détections d’incidents pour les techniques d’attaque connues et suit les procédures documentées pour les résoudre rapidement (ou les réaffecter aux analystes d’enquête selon les besoins). Selon l’étendue secOps et le niveau de maturité, cela peut inclure des détections et des alertes à partir d’e-mails, de solutions anti-programme malveillant de point de terminaison, de services cloud, de détections réseau ou d’autres systèmes techniques.
Analystes d’investigation (niveau 2). Répond à des enquêtes sur les incidents plus complexes et plus sévères qui nécessitent davantage d’expérience et d’expertise (au-delà des procédures de résolution bien documentées). Cette équipe examine généralement les attaques menées par des adversaires humains vivants et des attaques qui affectent plusieurs systèmes. Il travaille en partenariat étroit avec les équipes d’exploitation et d’ingénierie technologiques pour examiner les incidents et les résoudre.
Repérer les menaces. Recherche de manière proactive les menaces masquées dans le patrimoine technique qui ont évité les mécanismes de détection standard. Ce rôle utilise des analyses avancées et des enquêtes basées sur des hypothèses.
Intelligence des menaces. Collecte et diffuse des informations sur les attaquants et les menaces pour toutes les parties prenantes, notamment l’entreprise, la technologie et la sécurité. Les équipes de renseignement sur les menaces effectuent des recherches, partagent leurs résultats (formellement ou de manière informelle) et les diffusent à diverses parties prenantes, y compris l’équipe de sécurité cloud. Ce contexte de sécurité aide ces équipes à rendre les services cloud plus résilients aux attaques, car ils utilisent des informations d’attaque réelles dans la conception, l’implémentation, le test et l’opération, et en continuant à s’améliorer.
Ingénierie de détection. Crée des détections d’attaque personnalisées et personnalise les détections d’attaques fournies par les fournisseurs et la communauté plus large. Ces détections d’attaque personnalisées complètent les détections fournies par le fournisseur pour les attaques courantes qui sont couramment trouvées dans les outils de détection et de réponse (XDR) étendus et certains outils siem (Security Information and Event Management). Les ingénieurs de détection travaillent avec les équipes de sécurité cloud pour identifier les opportunités de conception et d’implémentation de détections, les données nécessaires pour les prendre en charge et les procédures de réponse/récupération pour les détections.
Gouvernance, risque et conformité de la sécurité
La gouvernance de la sécurité, le risque et la conformité (GRC) est un ensemble de disciplines liées qui intègrent le travail technique des équipes de sécurité aux objectifs et attentes de l’organisation. Ces rôles et équipes peuvent être hybrides de deux disciplines ou plus, ou être des rôles discrets. Les équipes cloud interagissent avec chacune de ces disciplines au cours du cycle de vie des technologies cloud :
La discipline de gouvernance est une capacité fondamentale qui se concentre sur la garantie que l’organisation implémente de manière cohérente tous les aspects de la sécurité. Les équipes de gouvernance se concentrent sur les droits de décision (qui prennent les décisions) et les frameworks de processus qui connectent et guident les équipes. Sans gouvernance efficace, une organisation disposant de tous les contrôles, stratégies et technologies appropriés peut toujours être violée par des attaquants qui ont trouvé des zones où les défenses prévues ne sont pas correctement implémentées, entièrement ou du tout.
La discipline de gestion des risques vise à s’assurer que l’organisation évalue, comprend et atténue efficacement les risques. Les rôles de gestion des risques collaborent avec de nombreuses équipes au sein de l’organisation pour créer une représentation claire du risque de l’organisation et le maintenir à jour. Étant donné que de nombreux services métier critiques peuvent être hébergés sur l’infrastructure et les plateformes cloud, les équipes cloud et à risque doivent collaborer pour évaluer et gérer ce risque organisationnel. En outre, la sécurité de la chaîne d’approvisionnement se concentre sur les risques associés aux fournisseurs externes, aux composants code source ouvert et aux partenaires.
La discipline de conformité garantit que les systèmes et les processus sont conformes aux exigences réglementaires et aux stratégies internes. Sans cette discipline, l’organisation peut être exposée à des risques liés à la non-conformité avec les obligations externes (amendes, responsabilité, perte de revenus de l’incapacité de fonctionner sur certains marchés, etc.). Les exigences de conformité ne peuvent généralement pas suivre la vitesse de l’évolution de l’attaquant, mais elles constituent néanmoins une source d’exigence importante.
Ces trois disciplines fonctionnent sur toutes les technologies et systèmes pour favoriser les résultats organisationnels dans toutes les équipes. Les trois s’appuient également sur le contexte qu’ils obtiennent les uns des autres et bénéficient considérablement des données haute fidélité actuelles sur les menaces, l’entreprise et l’environnement technologique. Ces disciplines s’appuient également sur l’architecture pour exprimer une vision actionnable qui peut être implémentée et l’éducation et la politique de sécurité pour établir des règles et guider les équipes à travers les nombreuses décisions quotidiennes.
Les équipes d’ingénierie et d’exploitation cloud peuvent travailler avec des rôles de gestion des postures, des équipes de conformité et d’audit, une architecture de sécurité et un ingénierie, ou des rôles de responsable de la sécurité des informations (CISO) sur les sujets de la GRC.
Éducation et politique de sécurité
Les organisations doivent s’assurer que tous les rôles ont une alphabétisation et des conseils de sécurité de base sur ce qu’ils sont censés faire en ce qui concerne la sécurité et la façon de le faire. Pour atteindre cet objectif, vous avez besoin d’une combinaison de politiques et d’éducation écrites. L’éducation pour les équipes cloud peut être un mentorat informel par des professionnels de la sécurité qui travaillent directement avec eux, ou il peut s’agir d’un programme formel avec un programme documenté et des champions de sécurité désignés.
Dans une organisation plus grande, les équipes de sécurité travaillent avec la préparation organisationnelle/ l’éducation et l’engagement en matière de sécurité et les rôles d’engagement sur la formation formelle de sécurité et la configuration de champions de sécurité au sein des équipes techniques pour évangéliser et éduquer leurs pairs sur la sécurité.
L’éducation et la stratégie de sécurité doivent aider chaque rôle à comprendre :
Pourquoi. Montrer à chaque rôle pourquoi la sécurité est importante pour eux et leurs objectifs dans le contexte de leurs responsabilités de rôle. Si les gens ne comprennent pas clairement pourquoi la sécurité leur est importante, ils jugeront qu’il n’est pas important et passent à autre chose.
Quoi. Résumez les tâches de sécurité dont ils ont besoin dans le langage qu’ils comprennent déjà. Si les gens ne savent pas ce qu’ils sont invités à faire, ils supposent que la sécurité n’est pas importante ou pertinente pour eux et passe à quelque chose d’autre.
Comment. Assurez-vous que chaque rôle a des instructions claires sur la façon d’appliquer des conseils de sécurité dans leur rôle. Si les utilisateurs ne savent pas comment faire ce qu’ils sont invités à faire (par exemple, les serveurs de correctifs, identifient si un lien est un lien de hameçonnage, signalez correctement un message, passez en revue le code ou effectuez un modèle de menace), ils échouent et passent à autre chose.
Exemple de scénario : interopérabilité classique entre les équipes
Lorsqu’une organisation déploie et opérationnalise un WAF, plusieurs équipes de sécurité doivent collaborer pour garantir son déploiement, sa gestion et son intégration efficaces à l’infrastructure de sécurité existante. Voici comment l’interopérabilité entre les équipes peut se présenter dans une organisation de sécurité d’entreprise :
- Planification et conception
- L’équipe de gouvernance identifie la nécessité d’améliorer la sécurité des applications web et d’allouer le budget pour un WAF.
- L’architecte de sécurité réseau conçoit la stratégie de déploiement WAF, en s’assurant qu’elle s’intègre en toute transparence aux contrôles de sécurité existants et s’aligne sur l’architecture de sécurité de l’organisation.
- Implémentation
- L’ingénieur sécurité réseau déploie le WAF conformément à la conception de l’architecte, en le configurant pour protéger les applications web spécifiques et permet la surveillance.
- L’ingénieur IAM configure les contrôles d’accès, ce qui garantit que seul le personnel autorisé peut gérer le WAF.
- Surveillance et gestion
- L’équipe de gestion de la posture fournit des instructions au SOC pour configurer la surveillance et les alertes du WAF et configurer des tableaux de bord pour suivre l’activité WAF.
- Les équipes d’ingénierie de renseignement et de détection des menaces aident à élaborer des plans de réponse pour les incidents impliquant le WAF et à effectuer des simulations pour tester ces plans.
- Conformité et gestion des risques
- L’agent de conformité et de gestion des risques examine le déploiement du WAF pour s’assurer qu’il répond aux exigences réglementaires et effectue des audits périodiques.
- L’ingénieur sécurité des données garantit que les mesures de journalisation et de protection des données du WAF respectent les réglementations en matière de confidentialité des données.
- Amélioration continue et formation
- L’ingénieur DevSecOps intègre la gestion WAF dans le pipeline CI/CD, ce qui garantit que les mises à jour et les configurations sont automatisées et cohérentes.
- Le spécialiste de l’éducation et de l’engagement en matière de sécurité développe et fournit des programmes de formation pour s’assurer que tout le personnel pertinent comprend comment utiliser et gérer efficacement le WAF.
- Le membre de l’équipe de gouvernance cloud passe en revue les processus de déploiement et de gestion WAF pour s’assurer qu’ils s’alignent sur les stratégies et normes organisationnelles.
En travaillant efficacement, ces rôles garantissent que le WAF est déployé correctement et également surveillé, géré et amélioré en continu pour protéger les applications web de l’organisation contre les menaces en constante évolution.