Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Domaines du flux de travail relatif à la sécurité et à la conformité
<a name="domains"></a>

Cette section décrit en détail les domaines dont le flux de travail de sécurité et de conformité est responsable. Au cours de la phase de mobilisation de votre projet de migration, ces domaines permettent d'accélérer la planification et la mise en œuvre de la sécurité et de la conformité sur AWS :
+ [Découverte et alignement en matière de sécurité](discovery-and-alignment.md)
+ [Cartographie du cadre de sécurité](mapping.md)
+ [Implémentation, intégration et validation de la sécurité](implementation-integration-and-validation.md)
+ [Documentation sur la sécurité](documentation.md)
+ [Opérations cloud de sécurité et de conformité](cloud-operations.md)

Il est important d'aborder ces domaines lors de la phase de mobilisation afin de sécuriser les activités de migration lors de la phase de migration et de modernisation suivante.

# Découverte et alignement en matière de sécurité
<a name="discovery-and-alignment"></a>

Lors de la mobilisation d'un projet de migration, le premier domaine du flux de travail relatif à la sécurité et à la conformité est la *découverte et l'alignement en matière de sécurité*. Ce domaine est destiné à aider votre organisation à atteindre les objectifs suivants :
+ Formez le flux de travail de sécurité et de conformité aux services de AWS sécurité, aux capacités et au respect de la conformité
+ Découvrez vos exigences en matière de sécurité et de conformité ainsi que les pratiques actuelles. Tenez compte de ces exigences du point de vue de l'infrastructure et des opérations, notamment :
  + Défis de sécurité et facteurs déterminants pour l'état final cible
  + Compétences de l'équipe chargée de la sécurité du cloud
  + Politiques, configurations, contrôles et garde-fous en matière de sécurité et de conformité
  + Aptitude au risque de sécurité et base de référence
  + Outils de sécurité existants et futurs

## Ateliers d'immersion
<a name="immersion-day-workshops"></a>

Pour vous aligner sur ces objectifs, utilisez des journées d'immersion en matière de sécurité et de conformité. Les *journées d'immersion* sont des ateliers qui abordent divers sujets liés à la sécurité, tels que :
+ [AWS modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [AWS services de sécurité](https://aws.amazon.com/products/security/)
+ [AWS Architecture de référence de sécurité (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/)
+ [AWS conformité](https://aws.amazon.com/compliance/)
+ [Pilier de sécurité](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html) du AWS Well-Architected Framework

Les ateliers d'une journée d'immersion aident à établir une base de connaissances pour votre équipe de sécurité. Il les forme aux services de AWS sécurité et aux meilleures pratiques en matière de sécurité et de conformité. AWS Les architectes de solutions, les services AWS professionnels et AWS les partenaires peuvent vous aider à organiser ces ateliers interactifs. Ils utilisent des présentations standard, des laboratoires AWS et des activités sur tableau blanc pour aider à préparer vos équipes.

## Ateliers de découverte
<a name="discovery-workshops"></a>

Après les ateliers d'une journée d'immersion, vous organisez plusieurs ateliers approfondis de découverte de la sécurité et de la conformité. Ils aident vos équipes à découvrir les exigences actuelles en matière de sécurité, de risque et de conformité (SRC) de l'infrastructure, des applications et des opérations. Vous analysez ces exigences du point de vue suivant : les personnes, les processus et les technologies. Voici les domaines à découvrir pour chaque point de vue.

### Point de vue des personnes
<a name="people-perspective"></a>
+ **Structure organisationnelle** — Comprenez la structure et les responsabilités actuelles du flux de travail en matière de sécurité et de conformité.
+ **Capacités et compétences** : possédez des connaissances et des compétences pratiques pour et pour les fonctionnalités de sécurité Services AWS et de conformité du cloud. Cela inclut la découverte, la planification, la mise en œuvre et les opérations.
+ **Matrice RACI (responsable, responsable, consulté, informé)** — Définissez les rôles et les responsabilités relatifs aux activités de sécurité et de conformité actuelles au sein de l'organisation.
+ **Culture** — Comprenez la culture actuelle en matière de sécurité et de conformité. Priorisez la sécurité et la conformité dans le cadre des phases de construction, de conception, de mise en œuvre et d'exploitation. Introduisez les opérations de sécurité du développement (DevSecOps) dans la culture de sécurité et de conformité du cloud.

### Perspective du processus
<a name="process-perspective"></a>
+ **Pratiques** — Définissez et documentez les processus de sécurité et de conformité actuels pour créer, concevoir, mettre en œuvre et exploiter. Les processus incluent :
  + Accès et gestion des identités
  + Détection, contrôles et réponse aux incidents
  + Sécurité de l'infrastructure et du réseau
  + Protection des données
  + Conformité d’
  + Continuité et reprise des activités
+ **Documentation de mise en œuvre** — Documentez les politiques de sécurité et de conformité, les configurations de contrôle, la documentation des outils et la documentation de l'architecture. Ces documents sont nécessaires pour couvrir la sécurité et la conformité de l'infrastructure, du réseau, des applications, des bases de données et des zones de déploiement.
+ **Documentation sur les risques** : créez une documentation sur les risques liés à la sécurité des informations qui décrit l'appétit pour le risque et le seuil de risque.
+ **Validations** — Créez des exigences de validation et d'audit de sécurité internes et externes.
+ **Runbooks** — Développez des runbooks opérationnels qui couvrent les processus actuels et standard de mise en œuvre et de gouvernance en matière de sécurité et de conformité.

### Perspective technologique
<a name="technology-perspective"></a>
+ **Services et outils** : utilisez des outils pour valider votre posture en matière de sécurité et de conformité et pour appliquer et gouverner le paysage informatique actuel. Établissez un outillage pour les catégories suivantes :
  + Accès et gestion des identités
  + Détection, contrôles et réponse aux incidents
  + Sécurité de l'infrastructure et du réseau
  + Protection des données
  + Conformité d’
  + Continuité et reprise des activités

Au cours de l'atelier AWS de découverte de la sécurité, vous utilisez des modèles de collecte de données standardisés et des questionnaires pour collecter des données. Dans les scénarios où vous n'êtes pas en mesure de fournir les informations en raison d'un manque de clarté des données ou de données obsolètes, vous pouvez utiliser un outil de découverte des migrations pour collecter des informations de sécurité au niveau de l'application et de l'infrastructure. Pour obtenir la liste des outils de découverte que vous pouvez utiliser, consultez la section [Outils de migration de découverte, de planification et de recommandation](https://aws.amazon.com/prescriptive-guidance/migration-tools/migration-discovery-tools/) sur AWS Prescriptive Guidance. La liste fournit des détails sur les fonctionnalités de découverte et l'utilisation de chaque outil. Il compare également les outils pour vous aider à choisir celui qui répond le mieux aux exigences et aux contraintes de votre environnement informatique.

Lors de l'évaluation initiale de la sécurité, nous vous recommandons vivement de commencer par la modélisation des menaces. Cela vous aide à identifier les menaces possibles et les mesures existantes qui sont en place. Il peut également y avoir des exigences prédéfinies et documentées en matière de sécurité, de conformité et de risque. Pour plus d'informations, consultez l'[atelier sur la modélisation des menaces pour les constructeurs](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop) (AWS formation) et [comment aborder la modélisation des menaces](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) (article de AWS blog). Cette approche vous aide à reconsidérer vos stratégies de sécurité et de conformité pour le déploiement, la mise en œuvre et la gouvernance dans le AWS Cloud.

# Cartographie du cadre de sécurité
<a name="mapping"></a>

Une fois le domaine de découverte et d'alignement de sécurité terminé, l'étape suivante consiste à terminer le *domaine de mappage du cadre de sécurité*. Ce domaine est un processus d'atelier qui associe les exigences de sécurité et de conformité découvertes aux services AWS Cloud de sécurité. Il aligne également votre architecture et vos opérations sur les meilleures pratiques en AWS matière de sécurité et de conformité. L'atelier cartographie toutes les exigences du point de vue des personnes, des processus et de la technologie afin de couvrir les points suivants :
+ AWS infrastructure
  + Compte AWS, protection de l'infrastructure et du réseau
  + Protection des données
  + Conformité d’
  + Détection et réponse aux incidents
  + Gestion des identités et des accès
  + Continuité et reprise des activités
+ Candidature sur AWS
  + Suivre les meilleures pratiques Services AWS pour protéger votre application
  + Contrôle d'accès pour les applications, les bases de données, les systèmes d'exploitation et les données
  + Protection du système d'exploitation
  + Protection des applications, des bases de données et des données
  + Détection et réponse aux incidents
  + Conformité d’
  + Continuité et reprise des activités des applications

Lorsque vous terminez le domaine de mappage du cadre de sécurité, tenez compte de la propension au risque définie, de la structure de l'équipe, des compétences et des capacités de l'équipe, des processus de sécurité, des politiques de sécurité, des contrôles de sécurité, des outils, des opérations de sécurité et des autres exigences et contraintes de sécurité. Dans l'ensemble, la cartographie du cadre de sécurité fournit aux entreprises une approche systématique pour gérer les risques de sécurité, maintenir la conformité et améliorer continuellement leur posture de sécurité, conformément aux normes du secteur et aux meilleures pratiques.

[Le processus de mappage du cadre de sécurité utilise la [AWS Security Reference Architecture (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/), le [pilier de sécurité du AWS Well-Architected](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html) Framework, l'[objectif de migration du](https://docs.aws.amazon.com/wellarchitected/latest/migration-lens/security.html)AWS Well-Architected Framework et le livre blanc Introduction to Security. AWS](https://docs.aws.amazon.com/whitepapers/latest/introduction-aws-security/welcome.html) Ces documents constituent des références pour vous aider à suivre les AWS meilleures pratiques en matière de sécurité et de conformité dans le cloud.

En utilisant des modèles de mappage standardisés dans l'atelier, vous associez l'exigence à l'état final cible. Vous mettez en évidence les outils Services AWS, les processus, les politiques, les contrôles et les modifications nécessaires pour atteindre l'état final cible.

Lorsque vous exécutez l'atelier de cartographie du cadre de sécurité, vous pouvez faire appel aux services AWS professionnels, aux architectes AWS de solutions de sécurité ou AWS aux partenaires. Ces ressources peuvent vous aider à accélérer et à faciliter l'atelier. Des ateliers de cartographie du cadre de sécurité peuvent être inclus dans le cadre d'une [soirée d'accélération basée sur l'expérience (EBA)](https://aws.amazon.com/blogs/mt/level-up-your-cloud-transformation-with-experience-based-acceleration-eba/), dirigée par des architectes de AWS solutions, des responsables de solutions AWS clients ou AWS des partenaires. L'EBA Party agit comme un accélérateur pour vous aider à établir une AWS Cloud base solide conforme aux meilleures pratiques en matière de AWS migration et de modernisation.

# Implémentation, intégration et validation de la sécurité
<a name="implementation-integration-and-validation"></a>

Après avoir défini vos exigences en matière de sécurité, de risque et de conformité, le domaine suivant est celui de la *mise en œuvre, de l'intégration et de la validation de la sécurité*. Sur la base des exigences identifiées, choisissez les contrôles de sécurité et les mesures appropriés pour atténuer efficacement les risques. Cela peut inclure le chiffrement, les contrôles d'accès, les systèmes de détection d'intrusion ou les pare-feux. Intégrez des solutions de sécurité, telles que les systèmes de détection et de prévention des intrusions, la protection des terminaux et la gestion des identités, dans l'infrastructure informatique existante afin de fournir une couverture de sécurité complète. Réalisez régulièrement des évaluations de sécurité, notamment des analyses des vulnérabilités, des tests de pénétration et des examens du code, afin de valider l'efficacité des contrôles de sécurité et d'identifier les faiblesses ou les lacunes. En se concentrant sur la mise en œuvre, l'intégration et la validation de la sécurité, les entreprises peuvent renforcer leur posture de sécurité, réduire le risque de violations de sécurité et démontrer leur conformité aux exigences réglementaires et aux normes du secteur.

## Mise en œuvre
<a name="implementation"></a>

Tout d'abord, mettez à jour la documentation en fonction de votre seuil ou de votre appétit actuels en matière de sécurité, de risque et de conformité. Cela vous permet de mettre en œuvre les exigences, les contrôles, les politiques et les outils de sécurité et de conformité planifiés dans le cloud. Cette étape n'est nécessaire que si vous avez déjà défini un registre des risques et un appétit définis, qui auraient été identifiés lors des ateliers de découverte.

Ensuite, vous mettez en œuvre les exigences, les contrôles, les politiques et les outils de sécurité et de conformité prévus dans le cloud. Nous vous recommandons de les implémenter dans l'ordre suivant : infrastructure Services AWS, système d'exploitation, puis application ou base de données. Utilisez les informations du tableau suivant pour vous assurer que vous avez abordé tous les domaines requis en matière de sécurité et de conformité.


|  |  | 
| --- |--- |
| **Area** | **Exigences en matière de sécurité et de conformité** | 
| Infrastructures |   Compte AWS    Zone d'atterrissage   Contrôles préventifs   Contrôles de détection     Segmentation du réseau    Contrôle d’accès    Chiffrement    Journalisation, surveillance et alertes   | 
| Services AWS |   Service AWS configuration    instances   Stockage   Réseau     Contrôle d’accès    Chiffrement    Mises à jour et correctifs    Journalisation, surveillance et alertes   | 
| Système d’exploitation |   Antivirus    Protection contre les logiciels malveillants et les vers    Configuration    Protection du réseau    Contrôle d’accès    Chiffrement    Mises à jour et correctifs    Journalisation, surveillance et alertes   | 
| Application ou base de données |   Configuration    Code et schéma    Contrôle d’accès    Chiffrement    Mises à jour et correctifs    Journalisation, surveillance et alertes   | 

## Integration
<a name="integration"></a>

La mise en œuvre de la sécurité nécessite souvent l'intégration des éléments suivants :
+ **Réseautage** — Réseautage à l'intérieur et à l'extérieur du AWS Cloud
+ **Paysage informatique hybride** : environnements informatiques autres que le AWS Cloud, tels que les environnements sur site, les clouds publics, les clouds privés et les colocations
+ **Logiciels ou services externes** : logiciels et services gérés par des fournisseurs de logiciels indépendants (ISVs) et qui ne sont pas hébergés dans votre environnement.
+ Services de **modèle d'exploitation AWS cloud : services** de modèle d'exploitation cloud qui fournissent des DevSecOps fonctionnalités.

Pendant la phase d'évaluation de votre projet de migration, utilisez des outils de découverte, la documentation existante ou des ateliers d'entretien avec les applications pour identifier et confirmer ces points d'intégration de sécurité. Lors de la conception et de la mise en œuvre des charges de travail dans le AWS Cloud, établissez ces intégrations conformément aux politiques et processus de sécurité et de conformité que vous avez définis lors des ateliers de cartographie.

## Validation
<a name="validation"></a>

Après la mise en œuvre et l'intégration, l'activité suivante consiste à valider l'implémentation. Vous vous assurez que la configuration est conforme aux AWS meilleures pratiques en matière de sécurité et de conformité. Nous vous recommandons de valider la sécurité à partir de deux zones de couverture :
+ **Évaluation des vulnérabilités et tests de pénétration spécifiques aux charges** de travail : validez la sécurité du système d'exploitation, des applications, des bases de données ou du réseau des charges de travail qui s'exécutent sur. Services AWS Pour effectuer ces validations, utilisez les outils et les scripts de test existants. Il est important de respecter la [politique de support client relative aux tests d'AWS intrusion](https://aws.amazon.com/security/penetration-testing/) lors de la réalisation de ces évaluations.
+ **AWS****validation des meilleures pratiques de sécurité** - Vérifiez si votre AWS implémentation est conforme au AWS Well Architected Framework et à d'autres benchmarks sélectionnés, tels que le Center for Internet Security (CIS). Pour cette validation, vous pouvez utiliser des outils et des services tels que [Prowler](https://github.com/prowler-cloud/prowler/#requirements-and-installation) (GitHub) [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html), [AWS Service Screener (GitHub) ou AWS Self-Service](https://github.com/aws-samples/service-screener-v2) [Security](https://github.com/awslabs/aws-security-assessment-solution) Assessment (). GitHub

Il est important de documenter et de communiquer tous les résultats en matière de sécurité et de conformité à l'équipe de sécurité et aux responsables. Standardisez les modèles de rapports et utilisez-les pour faciliter la communication avec les acteurs de sécurité concernés. Documentez toutes les exceptions commises lors de la recherche de mesures correctives et assurez-vous que les parties prenantes concernées en matière de sécurité les approuvent.

# Documentation sur la sécurité
<a name="documentation"></a>

Lorsque vous mobilisez la sécurité et la conformité lors d'une migration, il est essentiel de définir et de documenter la manière dont vous implémentez la sécurité et la conformité dans le cloud. La documentation doit inclure les éléments suivants :
+ **Documentation de mise en œuvre de la sécurité et de la conformité** : créez un ou plusieurs documents détaillant votre définition, vos processus, vos politiques, vos contrôles, vos configurations et vos outils en matière de sécurité et de conformité. Assurez-vous que ces documents abordent ces aspects d'un point de AWS Cloud vue. Incluez les éléments suivants dans cette documentation :
  + Accès et gestion des identités
  + Détection, contrôles et réponse aux incidents
  + Sécurité de l'infrastructure et du réseau
  + Protection des données
  + Conformité d’
  + Continuité et reprise des activités
+ **Runbooks de sécurité et de conformité : créez des runbooks** opérationnels de sécurité et de conformité qui guideront l'équipe chargée des opérations cloud. Ils doivent détailler comment effectuer les tâches, les activités et les modifications de sécurité et de conformité dans le cloud dans le cadre des exigences opérationnelles. Cela inclut la surveillance de la sécurité et de la conformité, la gestion des incidents, la validation et l'amélioration continue. Assurez-vous que vos runbooks répondent aux exigences que vous avez identifiées lors de la découverte de la sécurité et du domaine d'alignement.
+ Matrice **RACI de sécurité dans le cloud — Créez une matrice** RACI responsable, responsable, consultée et informée (RACI) qui définit les responsabilités et les parties prenantes en matière de sécurité et de conformité dans les domaines suivants :
  + Conception et développement
  + Déploiement et mise en œuvre
  + Opérations

# Opérations cloud de sécurité et de conformité
<a name="cloud-operations"></a>

Le dernier domaine concerne les *opérations cloud de sécurité et de conformité*. Il s'agit d'une activité continue dans le cadre de laquelle vous utilisez les runbooks opérationnels de sécurité et de conformité définis pour régir les opérations dans le cloud. Vous élaborez également un modèle d'exploitation du cloud de sécurité afin de déterminer les responsabilités en matière de sécurité et de conformité au sein de votre organisation.

## Modèle d'exploitation cloud de sécurité et de conformité
<a name="cloud-operating-model"></a>

Dans ce domaine, vous définissez un [modèle d'exploitation cloud](apg-gloss.md#glossary-com) pour la sécurité. Votre modèle d'exploitation cloud doit répondre aux exigences que vous avez identifiées lors des ateliers de découverte et que vous avez définies ultérieurement sous le nom de runbooks. Vous pouvez concevoir le modèle d'exploitation cloud de sécurité et de conformité de trois manières différentes :
+ **Centralisé** — Modèle plus traditionnel, dans lequel il SecOps est chargé d'identifier et de corriger les événements de sécurité dans l'ensemble de l'entreprise. Cela peut inclure l'examen des conclusions générales relatives à la posture de sécurité de l'entreprise, telles que les problèmes de correctifs et de configuration de sécurité.
+ **Décentralisé** — La responsabilité de répondre aux événements de sécurité et d'y remédier dans l'ensemble de l'entreprise a été déléguée aux propriétaires des applications et aux unités commerciales individuelles, et il n'existe pas de fonction opérationnelle centralisée. En général, il existe toujours une fonction globale de gouvernance de la sécurité qui définit les politiques et les principes.
+ **Hybride** : combinaison des deux approches, dans laquelle les propriétaires des applications et les unités commerciales individuelles assument SecOps toujours un certain niveau de responsabilité et d'appropriation pour identifier et orchestrer la réponse aux événements de sécurité et la responsabilité des mesures correctives.

Il est important de sélectionner le bon modèle d'exploitation en fonction de vos exigences en matière de sécurité et de conformité, de la maturité de votre organisation et de vos contraintes. Les exigences et les contraintes en matière de sécurité et de conformité ont été identifiées lors de l'atelier de découverte. La maturité de l'organisation, quant à elle, définit le niveau des pratiques de sécurité opérationnelles. Voici un exemple de plage de maturité :
+ **Faible** — L'exploitation forestière est locale et des mesures ponctuelles ou sporadiques sont prises.
+ **Intermédiaire** — Les journaux provenant de différentes sources sont corrélés et des alertes automatisées sont établies.
+ **Élevé** — Des playbooks détaillés existent et contiennent des détails sur les réponses aux processus standardisés.  Sur le plan opérationnel et technique, la majorité des réponses aux alertes sont automatisées.

Pour mieux comprendre le modèle d'exploitation du cloud en matière de sécurité et de conformité et vous aider à choisir une conception appropriée, consultez la section [Considérations relatives aux opérations de sécurité dans le cloud](https://aws.amazon.com/blogs/security/considerations-for-security-operations-in-the-cloud/) (article de AWS blog). Dans les scénarios où il n'existe aucune exigence prédéfinie, nous vous recommandons de configurer un centre des opérations de sécurité (SOC) dans le cadre du modèle d'exploitation cloud. Il s'agit généralement d'une pratique de modèle d'exploitation centralisé. Grâce à cette approche, vous pouvez diriger les événements provenant de sources multiples vers une équipe centralisée, qui peut ensuite déclencher des actions et des réponses. Cela normalise la gouvernance de la sécurité par le biais des opérations dans le cloud. AWS et les AWS partenaires ont la capacité de vous aider à créer un SOC et à définir et mettre en œuvre l'orchestration, l'automatisation et la réponse en matière de sécurité (SOAR). AWS et les AWS partenaires utilisent des consultations de services professionnels Services AWS, des modèles définis et des outils tiers proposés par AWS les partenaires.

## Opérations de sécurité en cours
<a name="ongoing-security-operations"></a>

Dans ce domaine, effectuez les tâches suivantes de manière continue en utilisant les runbooks des opérations de sécurité et de conformité que vous avez définis :
+ **Surveillance de la sécurité et de la conformité** : effectuez une surveillance centralisée des événements de sécurité et des menaces en utilisant les outils Services AWS, les mesures, les critères et la fréquence que vous avez définis. L'équipe des opérations ou le SOC administrent cette surveillance continue, en fonction de la structure de votre organisation. La surveillance de la sécurité implique l'analyse et la corrélation de grandes quantités de journaux et de données. Les données de journal proviennent des points de terminaison, des réseaux Services AWS, de l'infrastructure et des applications et sont stockées dans un référentiel centralisé, tel qu'[Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) ou un système de gestion des informations et des événements de sécurité (SIEM). Il est important de configurer les alertes afin de pouvoir répondre manuellement ou automatiquement aux événements en temps opportun.
+ **Gestion des incidents** — Définissez votre posture de sécurité de base. Lorsqu'un écart par rapport à une base de référence prédéfinie se produit, que ce soit en raison d'une mauvaise configuration ou de facteurs externes, enregistrez un incident. Assurez-vous qu'une équipe dédiée répond à ces incidents. Le succès d'un programme de réponse aux incidents dans le cloud repose sur l'intégration des personnes, des processus et des outils à chaque étape du programme de réponse aux incidents (préparation, opérations et activités post-incident). L'éducation, la formation et l'expérience sont essentielles à la réussite d'un programme de réponse aux incidents dans le cloud. Idéalement, ils sont mis en œuvre bien avant de devoir gérer un éventuel incident de sécurité. Pour plus d'informations sur la mise en place d'un programme efficace de réponse aux incidents de sécurité, consultez le [Guide de réponse aux incidents de AWS sécurité](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/introduction.html).
+ **Validation de** sécurité — La validation de sécurité implique l'exécution d'une évaluation des vulnérabilités, de tests de pénétration et de tests d'événements simulés de sécurité chaotique. La validation de sécurité doit continuer à être exécutée régulièrement, en particulier pour les scénarios suivants :
  + Mises à jour et versions logicielles
  + Menaces récemment identifiées, telles que les logiciels malveillants, les virus ou les vers
  + Exigences en matière d'audit interne et externe
  + Failles de sécurité

  Il est important de documenter le processus de validation de sécurité et de mettre en évidence les personnes, le processus, le calendrier, les outils et les modèles pour la collecte de données et les rapports. Cela normalise les validations de sécurité. Continuez à vous conformer à la [politique de support AWS client en matière de tests d'intrusion](https://aws.amazon.com/security/penetration-testing/) lors de l'exécution de validations de sécurité dans le cloud.
+ **Audits internes et externes** : réalisez des audits internes et externes pour vérifier que les configurations de sécurité et de conformité répondent aux exigences réglementaires ou aux politiques internes. Réalisez des audits périodiquement selon un calendrier prédéfini. Les audits internes sont généralement menés par une équipe interne chargée de la sécurité et des risques. Les audits externes sont menés par les agences compétentes ou les responsables des normes. Vous pouvez utiliser Services AWS, tels que [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)et [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html), pour faciliter le processus d'audit. Ces services peuvent fournir des preuves pertinentes pour les rapports d'audit informatique de sécurité. Ils peuvent également simplifier la gestion des risques et de la conformité avec les normes réglementaires et industrielles en automatisant la collecte de preuves. Cela vous permet d'évaluer si les politiques, les procédures et les activités connues sous le nom de *contrôles* fonctionnent efficacement. Il est également important d'aligner les exigences d'audit sur celles de vos partenaires de services gérés pour garantir la conformité.

**Révision de l'architecture de sécurité** : effectuez un examen et une mise à jour périodiques de votre AWS architecture du point de vue de la sécurité et de la conformité. Passez en revue l'architecture tous les trimestres ou en cas de modifications d'architecture. AWS continue de publier des mises à jour et des améliorations des fonctionnalités et services de sécurité et de conformité. Utilisez l'[architecture AWS de référence de sécurité et l'](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html)outil AWS Well Architected pour faciliter ces révisions d'architecture. Il est important de documenter votre mise en œuvre de la sécurité et de la conformité et les modifications recommandées à l'issue du processus de révision.

## AWS services de sécurité pour les opérations
<a name="aws-security-services"></a>

Vous partagez la AWS responsabilité de la sécurité et de la conformité dans le AWS Cloud. Cette relation est décrite en détail dans le [modèle de responsabilitéAWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/). Tout en AWS gérant la sécurité *du* cloud, vous êtes responsable de la sécurité *dans* le cloud. Vous êtes responsable de la protection de votre propre contenu, de votre infrastructure, de vos applications, de vos systèmes et de vos réseaux, de la même manière que vous le feriez pour un centre de données sur site. Vos responsabilités en matière de sécurité et de conformité AWS Cloud varient en fonction des services que vous utilisez, de la manière dont vous intégrez ces services dans votre environnement informatique et des lois et réglementations applicables.

L'un des avantages de cette solution AWS Cloud est qu'elle vous permet d'évoluer et d'innover en utilisant les AWS meilleures pratiques et les services de sécurité et de conformité. Cela vous permet de maintenir un environnement sécurisé tout en ne payant que pour les services que vous utilisez. Vous avez également accès aux mêmes services AWS de sécurité et de conformité que ceux utilisés par les entreprises hautement sécurisées pour sécuriser leurs environnements cloud.

Construire une architecture cloud sur une base solide et sécurisée est la première et la meilleure étape pour garantir la sécurité et la conformité du cloud. Toutefois, la sécurité de vos AWS ressources dépend de la manière dont vous les configurez. Une posture de sécurité et de conformité efficace n'est atteinte que grâce à un respect strict et continu au niveau opérationnel. Les opérations de sécurité et de conformité peuvent être regroupées en cinq grandes catégories :
+ Protection des données
+ Accès et gestion des identités
+ Protection du réseau et des applications
+ Détection des menaces et surveillance continue
+ Conformité et confidentialité des données

AWS les services de sécurité et de conformité correspondent à ces catégories pour vous aider à répondre à un ensemble complet d'exigences. Regroupés dans ces catégories, les principaux services de AWS sécurité et de conformité ainsi que leurs fonctionnalités sont présentés ci-dessous. Ces services peuvent vous aider à mettre en place et à appliquer une gouvernance de sécurité dans le cloud.

### Protection des données
<a name="data-protection"></a>

AWS fournit les services suivants qui peuvent vous aider à protéger vos données, vos comptes et vos charges de travail contre tout accès non autorisé :
+ [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)— Fournissez, gérez et déployez SSL/TLS des certificats à utiliser avec Services AWS.
+ [AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/introduction.html)— Gérez les modules de sécurité de votre matériel (HSMs) dans le AWS Cloud.
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) — Créez et contrôlez les clés utilisées pour chiffrer vos données.
+ [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) — Découvrez, classez et protégez les données sensibles grâce à des fonctionnalités de sécurité basées sur l'apprentissage automatique.
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)— Faites pivoter, gérez et récupérez les informations d'identification de base de données, les clés d'API et d'autres secrets tout au long de leur cycle de vie.

### Gestion des identités et des accès
<a name="identity"></a>

Les services AWS d'identité suivants vous aident à gérer en toute sécurité les identités, les ressources et les autorisations à grande échelle :
+ [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html) — Ajoutez l'inscription, la connexion et le contrôle d'accès des utilisateurs à vos applications Web et mobiles.
+ [AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html)— Utilisez Microsoft Active Directory géré dans le AWS Cloud.
+ [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)— Gérez de manière centralisée l'accès par authentification unique (SSO) à de multiples Comptes AWS applications professionnelles.
+ [Gestion des identités et des accès AWS (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) — Contrôlez en toute sécurité l'accès Services AWS et les ressources.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)— Mettez en œuvre une gestion basée sur des règles pour plusieurs Comptes AWS.
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) — Partagez AWS des ressources entre vos comptes.

### Protection du réseau et des applications
<a name="network-app-protection"></a>

Cette catégorie de services vous aide à appliquer une politique de sécurité précise aux points de contrôle réseau de votre entreprise. Les informations suivantes vous Services AWS aident à inspecter et à filtrer le trafic afin d'empêcher tout accès non autorisé aux ressources au niveau de l'hôte, du réseau et des applications :
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)— Configurez et gérez les AWS WAF règles pour l'ensemble Comptes AWS des applications à partir d'un emplacement central.
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)— Déployez les protections réseau essentielles pour vos clouds privés virtuels (VPCs).
+ [Pare-feu DNS Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) — Aidez à protéger vos requêtes DNS sortantes provenant de votre. VPCs
+ [AWS Shield](https://docs.aws.amazon.com/waf/latest/developerguide/shield-chapter.html)— Protégez vos applications Web grâce à une protection DDo S gérée.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)— Configurez et gérez Amazon Elastic Compute Cloud (Amazon EC2) et les systèmes sur site pour appliquer les correctifs du système d'exploitation, créer des images système sécurisées et configurer les systèmes d'exploitation.
+ [Amazon Virtual Private Cloud (Amazon VPC) : fournissez](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) une section isolée de manière logique dans AWS laquelle vous pouvez lancer des AWS ressources dans un réseau virtuel que vous définissez.
+ [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html)— Protégez vos applications Web contre les exploits Web courants.

### Détection des menaces et surveillance continue
<a name="detection-monitoring"></a>

Les services AWS de surveillance et de détection suivants vous aident à identifier les incidents de sécurité potentiels au sein de votre AWS environnement :
+ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)— Suivez l'activité des utilisateurs et l'utilisation des API pour permettre la gouvernance et l'audit opérationnel et des risques de votre entreprise Compte AWS.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)— Enregistrez et évaluez les configurations de vos AWS ressources pour vous aider à vérifier la conformité, à suivre l'évolution des ressources et à analyser la sécurité des ressources.
+ [AWS Config règles](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) : créez des règles qui agissent automatiquement en réponse aux modifications de votre environnement, par exemple en isolant les ressources, en enrichissant les événements avec des données supplémentaires ou en rétablissant une configuration dans un état dont le fonctionnement a été vérifié.
+ [Amazon Detective](https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html) — Analysez et visualisez les données de sécurité pour identifier rapidement la cause première des problèmes de sécurité potentiels.
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) — Aidez à protéger votre charge de travail Comptes AWS et celle de vos charges de travail grâce à une détection intelligente des menaces et à une surveillance continue.
+ [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) — Automatisez les évaluations de sécurité pour améliorer la sécurité et la conformité de vos applications déployées sur AWS.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)— Exécutez du code sans provisionner ni gérer de serveurs afin de pouvoir adapter votre réponse automatisée et programmée aux incidents.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Consultez et gérez les alertes de sécurité et automatisez les contrôles de conformité à partir d'un emplacement central.

### Conformité et confidentialité des données
<a name="compliance"></a>

Vous trouverez Services AWS ci-dessous une vue complète de votre statut de conformité. Ils surveillent en permanence votre environnement à l'aide de contrôles de conformité automatisés basés sur les AWS meilleures pratiques et les normes du secteur :
+ [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)— Accédez à la demande aux rapports AWS de sécurité et de conformité et à certains accords en ligne.
+ [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)— Auditez en permanence votre AWS utilisation pour simplifier la gestion des risques et garantir la conformité aux réglementations et aux normes du secteur.