Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Maturité : réglage et mesure des processus, des outils et des risques
<a name="mature"></a>

Dans la phase de maturité du modèle de sécurité cloud, l'accent est mis sur l'alignement des équipes de sécurité sur les capacités de sécurité du AWS Cloud Adoption Framework (AWS CAF) et sur la mise en place de processus agiles. Cet alignement permet aux équipes spécialisées d'accélérer l'innovation lors de courts sprints tout en intégrant des feuilles de route et une planification à long terme. La phase de maturité met l'accent sur la collaboration avec les opérations informatiques et sur le renforcement des compétences approfondies et spécialisées dans le cloud. Chaque capacité de sécurité met en œuvre des outils et des processus clés pour améliorer l'efficacité et l'impact, tout en développant des indicateurs et des mécanismes de reporting pour mesurer les changements progressifs et l'impact global.

**Topics**
+ [

# Réglez et mesurez les processus
](tune-and-measure-processes.md)
+ [

# Outils de réglage et de mesure
](tune-and-measure-tools.md)
+ [

# Ajustez et mesurez les risques
](tune-and-measure-risk.md)
+ [

# Passez en revue des exemples de cas d'utilisation en phase de maturité
](review-examples.md)

# Réglez et mesurez les processus
<a name="tune-and-measure-processes"></a>

L'[approche agile](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-program-implementation/approach.html) apporte plus de flexibilité et d'innovation, et elle peut vous aider à tester et à mettre en œuvre rapidement de nouvelles idées. Divisez vos équipes de sécurité en rôles spécialisés, tels que les intervenants en cas d'incident et les responsables des vulnérabilités. Les rôles doivent correspondre aux catégories de l'image suivante, qui correspondent aux fonctionnalités du AWS Cloud Adoption Framework (AWS CAF). L'approche agile encourage les équipes à voir les choses en grand, à inventer, à simplifier et à identifier les failles potentielles en matière de sécurité. Cela se traduit par la création d'un arriéré de témoignages d'utilisateurs ou de feuilles de route pour les améliorations futures.

Un processus agile permet des solutions plus dynamiques et adaptatives, au lieu de s'appuyer uniquement sur les capacités d'un outil spécifique. La *rapidité de l'échec* est une philosophie qui utilise des tests fréquents et progressifs pour réduire le cycle de vie du développement, et c'est un élément essentiel d'une approche agile. Apportez une modification, testez-la, puis décidez de continuer avec l'approche actuelle ou de passer à une autre. Si les équipes travaillent dans ce cycle, cela permet à votre organisation de rester au fait de l'évolution rapide du cloud. Une formation ciblée est également cruciale, et vous devez proposer une formation spécifique à un domaine particulier de la sécurité du cloud.



![\[Créez des rôles spécialisés correspondant aux capacités des AWS FAC dans le pilier de sécurité.\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/tune-mature-processes.png)


**Note**  
Cette image ne contient pas les fonctionnalités d'assurance de sécurité et de gouvernance de la sécurité de la AWS CAF. Ce guide se concentre sur les opérations de sécurité, et l'assurance de la sécurité et la gouvernance n'entrent pas dans le cadre de ce guide. Pour plus d'informations sur l'assurance de sécurité, voir [AWS Re:inForce 2023 - Scaling compliance with](https://youtu.be/m2wjmGvY2pY?si=o_Rf9Rliu86oFkSQ) on. AWS Control Tower YouTube

Dans votre organisation, adoptez une approche agile qui l'aide à suivre le rythme du développement et des changements rapides dans le cloud. Voici quelques méthodes pour commencer à expérimenter et à itérer dans votre environnement cloud :
+ Spécialisez-vous sur les catégories définies dans la AWS CAF, comme indiqué dans l'image précédente.
+ Pour être plus dynamique, concentrez-vous sur l'innovation plutôt que sur les opérations.
+ Procédez rapidement aux sprints en permettant aux utilisateurs de tester, d'échouer rapidement et de mettre en œuvre rapidement, puis de poursuivre ce cycle pour suivre le rythme de l'entreprise.
+ Pour assurer la continuité des opérations, dans la mesure du possible, alignez les processus pour les environnements basés sur le cloud et sur site.
+ Pour aider les individus à approfondir et à se concentrer sur un domaine, offrez une formation ciblée plutôt qu'une formation générale.
+ Encouragez les gens à voir les choses en grand, à étudier les hypothèses et à créer des arriérés (tels que des feuilles de route ou des lacunes).

# Outils de réglage et de mesure
<a name="tune-and-measure-tools"></a>

Après avoir mis en place des équipes spécialisées pour différents domaines de sécurité, alignez les équipes les unes avec les autres. [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)peut vous aider à y parvenir. Security Hub CSPM fournit un tableau de bord centralisé et unifié pour suivre les progrès par rapport aux frameworks. Il intègre également aux services AWS de sécurité de nombreux outils tiers.

Le [cadre de cybersécurité](https://www.nist.gov/cyberframework) du National Institute of Standards and Technology (NIST) sur le site Web du NIST comprend cinq fonctions : identifier, protéger, détecter, répondre et récupérer. L'image suivante montre comment vous pouvez utiliser différents services Services AWS au cours de chaque fonction, puis configurer ces services pour envoyer leurs résultats à Security Hub CSPM pour des rapports consolidés. Si vous choisissez d'utiliser d'autres outils, vous pouvez utiliser l'API Security Hub CSPM AWS Command Line Interface (AWS CLI) et le AWS Security Finding Format (ASFF) pour créer des intégrations personnalisées. Pour plus d'informations sur les intégrations de Security Hub CSPM à d'autres services, consultez la section [Intégrations de produits dans](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-providers.html) la documentation de AWS Security Hub CSPM Security Hub CSPM.



![\[Des outils de sécurité qui s'intègrent à AWS Security Hub CSPM\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/tune-and-measure-tools.png)


Security Hub CSPM s'intègre à tous ces services et outils et fournit les fonctionnalités suivantes :
+ Fournit un tableau de bord unifié qui affiche les mises à jour et aide les équipes à itérer sur place
+ [S'intègre automatiquement aux services AWS de sécurité tels qu'[Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) GuardDuty, Amazon et [Amazon Detective](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)](https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html)
+ Prend en charge l'intégration avec des outils tiers, tels que [https://github.com/prowler-cloud/prowler](https://github.com/prowler-cloud/prowler)et [https://github.com/stelligent/cfn_nag](https://github.com/stelligent/cfn_nag)
+ Prend en charge les intégrations personnalisées avec des outils tels que l'API Security Hub CSPM et le format AWS CLI ASFF ( AWS Security Finding Format)

# Ajustez et mesurez les risques
<a name="tune-and-measure-risk"></a>

Pendant la phase de maturité de l'étape de marche, vous pouvez l'utiliser AWS Security Hub CSPM pour ajuster et mesurer en permanence les risques de sécurité. Security Hub CSPM évalue en permanence le niveau de sécurité d'une organisation et prend des mesures pour remédier aux problèmes identifiés. Security Hub CSPM centralise et hiérarchise les résultats de sécurité provenant de l'ensemble des services et des partenaires tiers Comptes AWS pris en charge. Cela vous permet d'analyser les tendances en matière de sécurité et d'identifier les problèmes de sécurité prioritaires.

Security Hub CSPM effectue des centaines de contrôles de sécurité et les classe en fonction des risques pour votre environnement. AWS Vous pouvez consulter votre score par rapport aux contrôles de sécurité dans un tableau de bord unifié de la console Security Hub CSPM. Pour plus d'informations, consultez [la section Détermination des scores de sécurité](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-security-score.html) dans la documentation Security Hub CSPM. Grâce à ce tableau de bord, la DevSecOps fonction peut rapidement identifier les vérifications qui ont échoué, la gravité du problème de sécurité Région AWS et les ressources affectées. Une fois le problème identifié, l' DevSecOps équipe peut prioriser le problème et y remédier. Au fur et à mesure que les problèmes sont résolus, Security Hub CSPM met automatiquement à jour l'état.

# Passez en revue des exemples de cas d'utilisation en phase de maturité
<a name="review-examples"></a>

Voici des exemples de la phase de maturité. Ces exemples approfondissent les modèles, les outils et les processus relatifs aux différents objectifs commerciaux, d'un point de vue pratique.

## Mature : exemple de détection de menaces
<a name="mature-threat-detection-example"></a>

**Résultat commercial en matière de contrôles de détection :** augmenter la visibilité et la rapidité de détection des incidents liés au cloud afin de réduire les risques et de permettre une utilisation et un développement accélérés des ressources du cloud.

**Tool : [https://github.com/awslabs/assisted-log-enabler-for-aws](https://github.com/awslabs/assisted-log-enabler-for-aws)**(GitHub) est un outil open source qui vous aide à activer la journalisation en cas d'incident de sécurité. Cela peut rapidement augmenter votre visibilité sur un incident.

**Exemple de cas d'utilisation :** considérez le cas d'utilisation d'un compte unique illustré dans le schéma suivant. Certains événements nécessitent une enquête plus approfondie. Vous ne savez pas si la journalisation est activée. Dans ce cas, la meilleure solution consiste à effectuer un essai à sec avec le Assisted Log Enabler pour voir quels services sont activés ou désactivés. Assisted Log Enablervérifie la présence de AWS CloudTrail traces, de journaux de requêtes DNS, de journaux de flux VPC et d'autres journaux. S'ils ne sont pas activés, les Assisted Log Enabler active. Assisted Log Enablerpeut vérifier et activer la journalisation dans tous les domaines Régions AWS.

Vous pouvez également Assisted Log Enabler augmenter ou diminuer l'accélération. Une fois que vous avez terminé votre essai à sec, clôturé l'événement et résolu le problème, vous vous rendez compte que vous n'avez plus besoin de ce niveau de journalisation. Vous pouvez rapidement nettoyer le déploiement pour arrêter la journalisation. Cette fonctionnalité vous permet de l'utiliser Assisted Log Enabler comme outil de triage.



![\[Assisted Log EnablerÀ utiliser pour voir quels services ont la journalisation activée ou désactivée\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/assisted-log-enabler.png)


Voici les principales caractéristiques de Assisted Log Enabler for AWS :
+ Vous pouvez l'exécuter dans un environnement à compte unique ou multicompte.
+ Vous pouvez l'utiliser pour établir une base de référence pour la connexion à votre environnement.
+ Vous pouvez utiliser la fonction de fonctionnement à sec pour vérifier l'état actuel et déterminer quels services ont activé la journalisation.
+ Vous pouvez sélectionner les services pour lesquels vous souhaitez activer la journalisation.
+ Vous pouvez Assisted Log Enabler augmenter ou diminuer l'accélération, selon votre cas d'utilisation.

## Mature : exemple IAM
<a name="mature-iam-example"></a>

**Résultat commercial IAM :** automatisez la visibilité et mesurez par rapport aux meilleures pratiques afin de réduire continuellement les risques, de garantir des connexions externes sécurisées et de fournir rapidement de nouveaux utilisateurs et environnements

**Outil :AWS Identity and Access Management Access Analyzer ** [(IAM Access Analyzer)](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) vous aide à identifier les ressources partagées avec une entité externe, à valider les politiques IAM par rapport à la grammaire des politiques et aux meilleures pratiques, et à générer des politiques IAM basées sur l'historique des activités d'accès. Nous vous recommandons vivement d'activer IAM Access Analyzer au niveau du compte et de l'organisation.

**Avantages du service :** IAM Access Analyzer fournit une multitude de résultats pertinents. Il peut identifier les ressources et les comptes de votre organisation qui sont partagés avec une entité externe. Il peut détecter des ressources telles qu'un compartiment S3 public, un compartiment AWS KMS key partagé avec un autre compte ou un rôle partagé avec un compte externe, vous offrant ainsi une excellente visibilité pour identifier les ressources qui ne sont pas sous le contrôle de votre organisation. Il valide non seulement les politiques IAM, mais peut également les générer pour vous.