# Bases du pilier Sécurité
<a name="a-sec-security"></a>

**Topics**
+ [SÉC 1. Comment gérer votre charge de travail en toute sécurité ?](sec-01.md)

# SÉC 1. Comment gérer votre charge de travail en toute sécurité ?
<a name="sec-01"></a>

 Vous devez appliquer de bonnes pratiques générales à chaque domaine de la sécurité pour réussir à gérer votre charge de travail en toute sécurité. Appliquez à tous les domaines les conditions et les processus que vous avez définis en matière d'excellence opérationnelle au niveau de l'organisation et de la charge de travail. La connaissance des recommandations actuelles d'AWS et du secteur ainsi que des renseignements sur les menaces vous aide à faire évoluer votre modèle de menace et vos objectifs de contrôle. L'automatisation des processus de sécurité, des tests et de la validation vous permet de mettre à l'échelle vos opérations de sécurité. 

**Topics**
+ [SEC01-BP01 Séparer les charges de travail à l'aide de comptes](sec_securely_operate_multi_accounts.md)
+ [SEC01-BP02 Sécuriser l'utilisateur root et les propriétés du compte](sec_securely_operate_aws_account.md)
+ [SEC01-BP03 Identifier et valider les objectifs de contrôle](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 Rester informé des menaces de sécurité](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 Connaître les recommandations de sécurité](sec_securely_operate_updated_recommendations.md)
+ [SEC01-BP06 Automatiser les tests et la validation des contrôles de sécurité dans les pipelines](sec_securely_operate_test_validate_pipeline.md)
+ [SEC01-BP07 Identifier les menaces et hiérarchiser les atténuations à l'aide d'un modèle de menaces](sec_securely_operate_threat_model.md)
+ [SEC01-BP08 Évaluer et mettre en œuvre régulièrement de nouveaux services et de nouvelles fonctions de sécurité](sec_securely_operate_implement_services_features.md)

# SEC01-BP01 Séparer les charges de travail à l'aide de comptes
<a name="sec_securely_operate_multi_accounts"></a>

 Établissez des barrières de protection et un isolement communs entre les environnements (par exemple, production, développement et test) et les charges de travail grâce à une stratégie multicompte. La séparation au niveau des comptes est vivement recommandée, car elle fournit une solide limite d'isolement pour la sécurité, la facturation et les accès. 

**Résultat souhaité :** une structure de compte qui isole les opérations cloud, les charges de travail non liées et les environnements dans des comptes séparés, ce qui permet de renforcer la sécurité dans l'infrastructure cloud.

**Anti-modèles courants :**
+  Placer plusieurs charges de travail non liées avec différents niveaux de sensibilité des données dans le même compte.
+  Structure d'unité d'organisation mal définie.

**Avantages liés à l'instauration de cette bonne pratique :**
+  Réduction de la portée des répercussions si un utilisateur accède à une charge de travail par inadvertance.
+  Gouvernance centralisée des services, ressources et régions AWS.
+  Maintien de la sécurité de l'infrastructure cloud avec des politiques et une administration centralisée des services de sécurité.
+  Processus automatisé de création et de gestion des comptes.
+  Audit centralisé de votre infrastructure pour les exigences en matière de conformité et de réglementation.

 **Niveau de risque exposé si cette bonne pratique n'est pas instaurée :** élevé 

## Directives d'implémentation
<a name="implementation-guidance"></a>

 Les Comptes AWS établissent une limite d'isolement de sécurité entre les charges de travail ou les ressources qui fonctionnent à différents niveaux de sensibilité. AWS fournit des outils permettant de gérer vos charges de travail cloud à grande échelle grâce à une stratégie multicompte pour tirer parti de cette limite d'isolement. Pour obtenir des conseils sur les concepts, les modèles et l'implémentation d'une stratégie multicompte sur AWS, consultez [Organizing Your AWS Environment Using Multiple Accounts](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) (Organisation de votre environnement AWS à l'aide de plusieurs comptes). 

 Lorsque plusieurs Comptes AWS sont gérés de façon centralisée, ils doivent être organisés selon une hiérarchie définie par des couches d'unités d'organisation. Les contrôles de sécurité peuvent ensuite être organisés et appliqués aux unités d'organisation et aux comptes membres, ce qui permet d'établir des contrôles préventifs uniformes sur les comptes membres au sein de l'organisation. Les contrôles de sécurité sont hérités, vous pouvez donc filtrer les autorisations disponibles pour les comptes membres situés aux niveaux inférieurs d'une hiérarchie d'unités d'organisation. Une bonne conception tire parti de cet héritage pour réduire le nombre et la complexité des politiques de sécurité nécessaires afin de mettre en place les contrôles de sécurité souhaités pour chaque compte membre. 

 Les services [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) et [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) peuvent être utilisés pour implémenter et gérer cette structure multicompte dans votre environnement AWS. AWS Organizations vous permet d'organiser les comptes dans une hiérarchie définie par une ou plusieurs couches d'unités d'organisation, chacune de ces dernières contenant un certain nombre de comptes membres. Les [politiques de contrôle des services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP) permettent à l'administrateur de l'organisation d'établir des contrôles préventifs granulaires sur les comptes membres et [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) peut être utilisé pour établir des contrôles proactifs et de détection sur les comptes membres. Un grand nombre de services AWS [s'intègrent à AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html) pour fournir des contrôles administratifs délégués et effectuer des tâches propres aux services dans tous les comptes membres de l'organisation. 

 Ajouté au-dessus d'AWS Organizations, [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) fournit une configuration en un clic des bonnes pratiques pour un environnement AWS multicompte avec une [zone de destination](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html). La zone de destination est le point d'entrée de l'environnement multicompte établi par Control Tower. Control Tower offre plusieurs [avantages](https://aws.amazon.com/blogs/architecture/fast-and-secure-account-governance-with-customizations-for-aws-control-tower/) par rapport à AWS Organizations. Les trois avantages qui permettent d'améliorer la gouvernance des comptes sont les suivants : 
+  Des barrières de protection obligatoires intégrées qui sont automatiquement appliquées aux comptes admis dans l'organisation. 
+  Des barrières de protection facultatives qui peuvent être activées ou désactivées pour un ensemble donné d'unités d'organisation. 
+  [AWS Control Tower Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/account-factory.html) fournit un déploiement automatisé des comptes contenant des bases de référence préapprouvées et des options de configuration au sein de votre organisation. 

## Étapes d'implémentation
<a name="implementation-steps"></a>

1.  **Concevez une structure d'unités d'organisation :** une structure d'unités d'organisation bien conçue réduit la charge de gestion liée à la création et à l'application des politiques de contrôle des services et d'autres contrôles de sécurité. Votre structure d'unités d'organisation doit être [alignée sur les besoins opérationnels, la sensibilité des données et la structure des charges de travail](https://aws.amazon.com/blogs/mt/best-practices-for-organizational-units-with-aws-organizations/). 

1.  **Créez une zone de destination pour votre environnement multicompte :** une zone de destination fournit une base cohérente de sécurité et d'infrastructure à partir de laquelle votre organisation peut rapidement développer, lancer et déployer des charges de travail. Vous pouvez utiliser une [zone de destination personnalisée ou AWS Control Tower](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html) pour orchestrer votre environnement. 

1.  **Établissez des barrières de protection :** implémentez des barrières de protection de sécurité uniformes pour votre environnement dans votre zone de destination. AWS Control Tower fournit une liste de contrôles [obligatoires](https://docs.aws.amazon.com/controltower/latest/userguide/mandatory-controls.html) et [facultatifs](https://docs.aws.amazon.com/controltower/latest/userguide/optional-controls.html) qui peuvent être déployés. Les contrôles obligatoires sont déployés automatiquement lors de l'implémentation de Control Tower. Passez en revue la liste des contrôles hautement recommandés et facultatifs, puis implémentez les contrôles adaptés à vos besoins. 

1.  **Limitez l'accès aux régions qui viennent d'être ajoutées** : pour les nouvelles Régions AWS, les ressources IAM telles que les utilisateurs et les rôles sont uniquement propagées vers les régions que vous spécifiez. Cette action peut être effectuée via la console [lorsque vous utilisez Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/region-deny.html) ou en modifiant les [politiques d'autorisations IAM dans AWS Organizations](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/). 

1.  **Envisagez l'utilisation d'AWS [CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)** : les StackSets vous permettent de déployer des ressources, dont les politiques, rôles et groupes IAM dans différentes régions et différents Comptes AWS à partir d'un modèle approuvé. 

## Ressources
<a name="resources"></a>

**Bonnes pratiques associées :** 
+ [SEC02-BP04 S'appuyer sur un fournisseur d'identité centralisé](sec_identities_identity_provider.md)

**Documents connexes :** 
+  [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [AWS Security Audit Guidelines](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) (Consignes pour les audits de sécurité AWS) 
+  [Bonnes pratiques dans IAM](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html) 
+  [Use CloudFormation StackSets to provision resources across multiple Comptes AWS and regions](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/) (Utiliser CloudFormation StackSets pour provisionner les ressources sur plusieurs comptes et régions AWS) 
+  [FAQ sur AWS Organizations](https://aws.amazon.com/organizations/faqs/) 
+  [Terminologie et concepts relatifs à AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) 
+  [Best Practices for Service Control Policies in an AWS Organizations Multi-Account Environment](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/) (Bonnes pratiques pour les politiques de contrôle des services d'AWS Organizations dans un environnement multicompte) 
+  [AWS Account Management Reference Guide](https://docs.aws.amazon.com/accounts/latest/reference/accounts-welcome.html) (Guide de référence de la gestion des comptes AWS) 
+  [Organizing Your AWS Environment Using Multiple Accounts](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) (Organisation de votre environnement AWS à l'aide de plusieurs comptes) 

**Vidéos connexes :** 
+  [Enable AWS adoption at scale with automation and governance](https://youtu.be/GUMSgdB-l6s) 
+  [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM) 
+  [Building and Governing Multiple Accounts using AWS Control Tower](https://www.youtube.com/watch?v=agpyuvRv5oo) 
+  [Enable Control Tower for Existing Organizations](https://www.youtube.com/watch?v=CwRy0t8nfgM) 

**Ateliers connexes :** 
+  [Journée d'immersion Control Tower](https://controltower.aws-management.tools/immersionday/) 

# SEC01-BP02 Sécuriser l'utilisateur root et les propriétés du compte
<a name="sec_securely_operate_aws_account"></a>

 L'utilisateur root est celui qui dispose du plus de privilèges dans un Compte AWS, avec un accès administratif complet à toutes les ressources du compte. De plus, dans certains cas, il ne peut pas être limité par les politiques de sécurité. Si vous désactivez l'accès par programmation pour l'utilisateur root, établissez des contrôles appropriés pour l'utilisateur root et évitez l'utilisation de routine de l'utilisateur root, vous réduirez le risque d'exposition accidentelle des informations d'identification root et de compromission ultérieure de l'environnement cloud. 

**Résultat souhaité : **la sécurisation de l'utilisateur root permet de réduire les risques de dommages accidentels ou intentionnels en raison de l'utilisation inappropriée des informations d'identification de l'utilisateur root. La mise en place de contrôles de détection permet également d'alerter le personnel approprié lorsque des mesures sont prises à l'aide de l'utilisateur root.

**Anti-modèles courants :**
+  Se servir de l'utilisateur root pour des tâches autres que celles nécessitant des informations d'identification de l'utilisateur root.  
+  Omettre de tester régulièrement des plans d'urgence pour vérifier le fonctionnement de l'infrastructure, des processus et du personnel essentiels dans les situations d'urgence. 
+  Ne tenir compte que du flux de connexion type du compte et omettre d'envisager ou de tester d'autres méthodes de récupération de compte. 
+  Ne pas gérer les DNS, les serveurs de messagerie et les fournisseurs de services téléphoniques dans le cadre du périmètre de sécurité critique, car ils sont utilisés dans le flux de récupération de compte. 

 **Avantages liés à l'instauration de cette bonne pratique :** la sécurisation de l'accès à l'utilisateur root permet de garantir le contrôle et la vérification des actions effectuées dans votre compte. 

 **Niveau de risque exposé si cette bonne pratique n'est pas instaurée :** élevé 

## Directives d'implémentation
<a name="implementation-guidance"></a>

 AWS propose plusieurs outils afin de vous aider à sécuriser votre compte. Toutefois, étant donné que certaines de ces mesures ne sont pas activées par défaut, vous devez intervenir directement pour les implémenter. Considérez ces recommandations comme des étapes fondamentales pour sécuriser votre Compte AWS. À mesure que vous mettez en œuvre ces étapes, il est important d'établir un processus permettant d'évaluer et de surveiller continuellement les contrôles de sécurité. 

 Lorsque vous créez un compte Compte AWS, vous commencez avec une seule identité disposant d'un accès complet à toutes les ressources et à tous les services AWS de ce compte. Cette identité est appelée l'utilisateur root du Compte AWS. Vous pouvez vous connecter en tant qu'utilisateur root en utilisant l'adresse e-mail et le mot de passe utilisés pour créer le compte. En raison de l'accès élevé accordé à l'utilisateur root AWS, vous devez limiter l'utilisation de cet utilisateur root AWS à l'exécution de tâches [qui en ont spécifiquement besoin](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Les informations d'identification de l'utilisateur root doivent être étroitement protégées et l'authentification multifactorielle (MFA) doit toujours être activée pour l'utilisateur root du Compte AWS. 

 Outre le flux d'authentification normal pour vous connecter à votre utilisateur root en utilisant un nom d'utilisateur, un mot de passe et un dispositif d'authentification multifactorielle (MFA), il y a des flux de récupération de compte pour vous connecter à l'utilisateur root de votre Compte AWS, à condition de disposer d'un accès à l'adresse e-mail et au numéro de téléphone associés à votre compte. Par conséquent, il est tout aussi important de sécuriser le compte de messagerie de l'utilisateur root là où l'e-mail de récupération est envoyé, ainsi que le numéro de téléphone associé au compte. Il est également nécessaire de tenir compte des dépendances circulaires possibles lorsque l'adresse e-mail associée à l'utilisateur root est hébergée sur des serveurs de messagerie ou des ressources du service de noms de domaine (DNS) à partir du même Compte AWS. 

 Lorsque vous utilisez AWS Organizations, il y a plusieurs Comptes AWS, chacun d'entre eux ayant un utilisateur root. Un compte est désigné comme compte de gestion et plusieurs couches de comptes membres peuvent alors être ajoutées sous le compte de gestion. Privilégiez la sécurisation de l'utilisateur root de votre compte de gestion, puis occupez-vous des utilisateurs root des comptes membres. La stratégie de sécurisation de l'utilisateur root de votre compte de gestion peut différer de celle des utilisateurs root des comptes membres et vous pouvez placer des contrôles de sécurité préventifs sur les utilisateurs root des comptes membres. 

### Étapes d'implémentation
<a name="implementation-steps"></a>

 Les étapes d'implémentation suivantes sont recommandées afin d'établir des contrôles pour l'utilisateur root. Le cas échéant, les recommandations comportent des renvois vers [les contrôles de référence CIS AWS Foundations version 1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls-1.4.0.html). Outre ces étapes, consultez [Consignes en matière de bonnes pratiques avec AWS](https://aws.amazon.com/premiumsupport/knowledge-center/security-best-practices/) pour sécuriser vos ressources et votre Compte AWS. 

 **Contrôles préventifs** 

1.  Configurez des [coordonnées](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html) exactes pour le compte. 

   1.  Ces informations sont utilisées pour le flux de récupération de mot de passe perdu, le flux de récupération de compte d'authentification multifactorielle perdu et pour les communications critiques liées à la sécurité avec votre équipe. 

   1.  Utilisez une adresse e-mail hébergée par votre domaine d'entreprise, de préférence une liste de distribution, comme adresse e-mail de l'utilisateur root. L'utilisation d'une liste de distribution plutôt que d'un compte de messagerie individuel fournit une redondance et une continuité supplémentaires pour l'accès au compte root sur de longues périodes. 

   1.  Le numéro de téléphone indiqué pour les coordonnées doit correspondre à un téléphone dédié et sécurisé à cette fin. Ce numéro de téléphone ne doit figurer sur aucune liste ni être communiqué à personne. 

1.  Ne créez pas de clés d'accès pour l'utilisateur root. Si des clés d'accès existent, retirez-les (CIS 1.4). 

   1.  Éliminez les informations d'identification par programmation de longue durée (clés d'accès et secrètes) pour l'utilisateur root. 

   1.  S'il existe déjà des clés d'accès pour l'utilisateur root, vous devez effectuer la transition des processus en utilisant ces clés afin de vous servir de clés d'accès temporaires issues d'un rôle Gestion des identités et des accès AWS (IAM), puis [supprimer les clés d'accès de l'utilisateur root](https://docs.aws.amazon.com/accounts/latest/reference/root-user-access-key.html#root-user-delete-access-key). 

1.  Déterminez si vous devez stocker les informations d'identification de l'utilisateur root. 

   1.  Si vous utilisez AWS Organizations pour créer de nouveaux comptes membres, le mot de passe initial pour l'utilisateur root sur ces nouveaux comptes est une valeur aléatoire à laquelle vous n'avez pas accès. Envisagez d'utiliser le flux de réinitialisation du mot de passe à partir de votre compte de gestion AWS Organization pour [accéder au compte membre](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_access.html#orgs_manage_accounts_access-as-root) si nécessaire. 

   1.  Pour les Comptes AWS autonomes ou le compte de gestion AWS Organization, envisagez de créer et de stocker en toute sécurité les informations d'identification de l'utilisateur root. Activez l'authentification multifactorielle pour l'utilisateur root. 

1.  Activez les contrôles préventifs pour les utilisateurs root des comptes membres dans les environnements AWS multicomptes. 

   1.  Envisagez d'activer la barrière de protection préventive [Désactiver la création des clés d'accès root pour l'utilisateur root](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-access-keys) pour les comptes membres. 

   1.  Envisagez d'activer la barrière de protection préventive [Désactiver les actions en tant qu'utilisateur root](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-auser-actions) pour les comptes membres. 

1.  Si vous avez besoin d'informations d'identification pour l'utilisateur root : 

   1.  Utilisez un mot de passe complexe. 

   1.  Activez l'authentification multifactorielle (MFA) pour l'utilisateur root, plus particulièrement pour les comptes de gestion (payeur) AWS Organizations (CIS 1.5). 

   1.  Envisagez l'utilisation des appareils d'authentification multifactorielle pour la résilience et la sécurité, car les appareils à usage unique peuvent réduire les risques de réutilisation des appareils contenant vos codes d'authentification multifactorielle à d'autres fins. Vérifiez que les appareils d'authentification multifactorielle alimentés par une batterie sont remplacés régulièrement. (CIS 1.6) 
      +  Si vous souhaitez configurer l'authentification multifactorielle pour l'utilisateur root, suivez les instructions d'activation d'une [authentification multifactorielle virtuelle](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_mfa_enable_virtual.html#enable-virt-mfa-for-root) ou d'un [appareil d'authentification multifactorielle](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_mfa_enable_physical.html#enable-hw-mfa-for-root). 

   1.  Envisagez d'inscrire plusieurs appareils d'authentification multifactorielle pour la sauvegarde. [Jusqu'à 8 appareils d'authentification multifactorielle sont autorisés par compte](https://aws.amazon.com/blogs/security/you-can-now-assign-multiple-mfa-devices-in-iam/). 
      +  Notez que l'inscription de plusieurs appareils d'authentification multifactorielle pour l'utilisateur root désactive automatiquement le [flux de récupération de votre compte si l'appareil d'authentification multifactorielle est perdu](https://aws.amazon.com/premiumsupport/knowledge-center/reset-root-user-mfa/). 

   1.  Stockez le mot de passe en sécurité et tenez compte des dépendances circulaires si vous le stockez électroniquement. Ne stockez pas le mot de passe de manière à ce qu'il nécessite un accès au même Compte AWS pour l'obtenir. 

1.  Facultatif : envisagez d'établir un calendrier périodique de rotation des mots de passe pour l'utilisateur root. 
   +  Les bonnes pratiques relatives à la gestion des informations d'identification dépendent de vos exigences en matière de réglementation et de politiques. Les utilisateurs root protégés par l'authentification multifactorielle ne dépendent pas du mot de passe comme facteur d'authentification unique. 
   +  [La modification périodique du mot de passe de l'utilisateur root](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_passwords_change-root.html) réduit le risque d'utilisation inappropriée d'un mot de passe exposé par inadvertance. 

### Contrôles de détection
<a name="detective-controls"></a>
+  Créez des alarmes pour détecter l'utilisation des informations d'identification root (CIS 1.7). [L'activation d'Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html) permettra de surveiller et d'alerter sur l'utilisation des informations d'identification de l'API de l'utilisateur root via la recherche [RootCredentialUsage](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage). 
+  Évaluez et implémentez les contrôles de détection inclus dans le [pack de conformité du pilier Sécurité AWS Well-Architected pour AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html) ou, si vous utilisez AWS Control Tower, les [contrôles vivement recommandés](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html) disponibles dans Control Tower. 

### Conseils opérationnels
<a name="operational-guidance"></a>
+  Déterminez qui, au sein de l'organisation, doit avoir accès aux informations d'identification de l'utilisateur root. 
  +  Utilisez la règle des deux personnes pour éviter qu'une seule personne ait accès à toutes les informations d'identification et à l'authentification multifactorielle nécessaires pour obtenir l'accès à l'utilisateur root. 
  +  Vérifiez que l'organisation, et non une seule personne, conserve le contrôle du numéro de téléphone et de l'alias d'e-mail associés au compte (qui sont utilisés pour la réinitialisation du mot de passe et l'authentification multifactorielle). 
+  Utilisez l'utilisateur root uniquement de façon exceptionnelle (CIS 1.7). 
  +  L'utilisateur root AWS ne doit pas être employé pour des tâches quotidiennes, même les tâches d'administration. Connectez-vous en tant qu'utilisateur root uniquement pour effectuer [des tâches AWS qui requièrent l'utilisateur root](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Toutes les autres actions doivent être effectuées par d'autres utilisateurs assumant les rôles appropriés. 
+  Vérifiez régulièrement que l'accès à l'utilisateur root fonctionne afin que les procédures soient testées avant une situation d'urgence nécessitant l'utilisation des informations d'identification de l'utilisateur root. 
+  Vérifiez régulièrement que l'adresse e-mail associée au compte et les adresses répertoriées sous [Autres contacts](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html) fonctionnent. Vérifiez dans ces boîtes de réception si vous avez reçu des notifications de sécurité de la part de abuse@amazon.com. Assurez-vous également que les numéros de téléphone associés au compte fonctionnent. 
+  Préparez les procédures d'intervention en cas d'incident pour réagir face à une utilisation inappropriée du compte root. Consultez le guide [AWS Security Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) (Guide d'intervention en cas d'incident de sécurité) et les bonnes pratiques dans la [section sur le pilier Sécurité du livre blanc consacré aux réponses face aux incidents](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html) pour plus d'informations sur l'élaboration d'une stratégie de réponse face aux incidents pour votre Compte AWS. 

## Ressources
<a name="resources"></a>

**Bonnes pratiques associées :** 
+ [SEC01-BP01 Séparer les charges de travail à l'aide de comptes](sec_securely_operate_multi_accounts.md)
+ [SEC02-BP01 Utiliser de solides mécanismes d'authentification](sec_identities_enforce_mechanisms.md)
+ [SEC03-BP02 Accorder un accès selon le principe du moindre privilège](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Établir un processus d'accès d'urgence](sec_permissions_emergency_process.md)
+ [SEC10-BP05 Préallouer les accès](sec_incident_response_pre_provision_access.md)

**Documents connexes :** 
+  [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [AWS Security Audit Guidelines](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) (Consignes pour les audits de sécurité AWS) 
+  [Bonnes pratiques dans IAM](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html) 
+  [Amazon GuardDuty – root credential usage alert](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage) (Alerte d'utilisation des informations d'identification root) 
+  [Step-by-step guidance on monitoring for root credential use through CloudTrail](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls-1.4.0.html#securityhub-cis1.4-controls-1.7) (Conseils étape par étape sur la surveillance de l'utilisation des informations d'identification root via Control Tower) 
+  [MFA tokens approved for use with AWS](https://aws.amazon.com/iam/features/mfa/) (Jetons d'authentification multifactorielle approuvés pour une utilisation avec AWS) 
+  Implementing [break glass access](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/break-glass-access.html) on AWS 
+  [Top 10 security items to improve in your Compte AWS](https://aws.amazon.com/blogs/security/top-10-security-items-to-improve-in-your-aws-account/) 
+  [Que faire si je remarque une activité non autorisée dans mon Compte AWS ?](https://aws.amazon.com/premiumsupport/knowledge-center/potential-account-compromise/) 

**Vidéos connexes :** 
+  [Enable AWS adoption at scale with automation and governance](https://youtu.be/GUMSgdB-l6s) 
+  [Bonnes pratiques de sécurité : une approche Well-Architected](https://youtu.be/u6BCVkXkPnM) 
+  [Limitation de l'utilisation des AWS informations d'identification root](https://youtu.be/SMjvtxXOXdU?t=979) de AWS re:inforce 2022 – Bonnes pratiques de sécurité avec AWS IAM

**Exemples et ateliers connexes :** 
+  [Atelier : Compte AWS and root user](https://www.wellarchitectedlabs.com/security/100_labs/100_aws_account_and_root_user/) 

# SEC01-BP03 Identifier et valider les objectifs de contrôle
<a name="sec_securely_operate_control_objectives"></a>

 Fixez et validez les objectifs de contrôle et les contrôles que vous devez appliquer à votre charge de travail en fonction de vos exigences de conformité et des risques identifiés à partir de votre modèle de menace. La validation continue des objectifs de contrôle et des contrôles permet de mesurer l'efficacité de l'atténuation des risques. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Identifier les exigences de conformité : découvrez les exigences organisationnelles, juridiques et de conformité que votre charge de travail doit nécessairement respecter. 
+  Identifier les ressources de conformité AWS : identifiez les ressources que propose AWS pour vous aider à rester conforme. 
  +  [https://aws.amazon.com/compliance/ ](https://aws.amazon.com/compliance/)
  + [ https://aws.amazon.com/artifact/](https://aws.amazon.com/artifact/) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+ [ Directives d'audit de sécurité AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+ [ Bulletins de sécurité](https://aws.amazon.com/security/security-bulletins/) 

 **Vidéos connexes :** 
+  [AWS Security Hub CSPM : gérer les alertes de sécurité et automatiser la conformité](https://youtu.be/HsWtPG_rTak) 
+  [Bonnes pratiques de sécurité : une approche Well-Architected](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP04 Rester informé des menaces de sécurité
<a name="sec_securely_operate_updated_threats"></a>

 Identifiez les vecteurs d'attaque en restant informé des dernières menaces de sécurité afin de définir et de mettre en œuvre les contrôles appropriés. Utilisez AWS Managed Services pour faciliter la réception des notifications de comportement inattendu ou inhabituel dans vos comptes AWS. Réalisez vos investigations à l'aide d'outils partenaires AWS ou de flux d'informations sur les menaces tiers dans le cadre de votre flux d'informations de sécurité. La [liste des vulnérabilités et risques communs (CVE) ](https://cve.mitre.org/) contient des vulnérabilités de cybersécurité divulguées publiquement, que vous pouvez utiliser pour rester à jour. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  S'abonner aux sources d'informations sur les menaces : consultez régulièrement les informations sur les menaces issues de plusieurs sources spécifiques aux technologies utilisées dans votre charge de travail. 
  +  [Liste des vulnérabilités et risques communs (CVE) ](https://cve.mitre.org/)
+  Envisager le service [AWS Shield Advanced](https://aws.amazon.com/shield/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc) : offre une visibilité quasiment en temps réel sur les sources d'informations si votre charge de travail est accessible sur Internet. 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+ [ Directives d'audit de sécurité AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+  [AWS Shield](https://aws.amazon.com/shield/) 
+ [ Bulletins de sécurité](https://aws.amazon.com/security/security-bulletins/) 

 **Vidéos connexes :** 
+ [Bonnes pratiques de sécurité : une approche Well-Architected ](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP05 Connaître les recommandations de sécurité
<a name="sec_securely_operate_updated_recommendations"></a>

 Tenez-vous au courant des recommandations AWS et des recommandations de sécurité pertinentes pour faire évoluer le niveau de sécurité de votre charge de travail. [Les bulletins de sécurité AWS](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinDateSort&card-body.sort-order=desc&awsf.bulletins-year=year%232009) contiennent des informations importantes sur les notifications de sécurité et de confidentialité. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Suivre l'actualité AWS : abonnez-vous ou consultez régulièrement les nouvelles recommandations, ainsi que les conseils et astuces. 
  +  [Ateliers AWS Well-Architected](https://wellarchitectedlabs.com/?ref=wellarchitected) 
  +  [Blog sur la sécurité AWS](https://aws.amazon.com/blogs/security/?ref=wellarchitected) 
  +  [Documentation des services AWS](https://aws.amazon.com/documentation/?ref=wellarchitected) 
+  S'abonner aux sources d'actualité sur le secteur : consultez régulièrement les flux d'actualités issus de plusieurs sources pertinentes pour les technologies qui sont utilisées dans votre charge de travail. 
  +  [Exemple : liste des vulnérabilités et risques communs (CVE)](https://cve.mitre.org/cve/?ref=wellarchitected) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Bulletins de sécurité](https://aws.amazon.com/security/security-bulletins/) 

 **Vidéos connexes :** 
+  [Bonnes pratiques de sécurité : une approche Well-Architected](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP06 Automatiser les tests et la validation des contrôles de sécurité dans les pipelines
<a name="sec_securely_operate_test_validate_pipeline"></a>

 Établissez des bases et des modèles sécurisés pour les mécanismes de sécurité qui sont testés et validés dans le cadre de votre version, de vos pipelines et de vos processus. Utilisez des outils et l'automatisation pour tester et valider en continu tous les contrôles de sécurité. Par exemple, analysez des éléments tels que les images machine et les modèles d'infrastructure en tant que de code pour détecter les failles, les irrégularités et les dérives de sécurité par rapport à des points de référence établis à chaque étape. AWS CloudFormation Guard permet de vérifier que les modèles CloudFormation sont sûrs, vous font gagner du temps et réduisent le risque d'erreur de configuration. 

Il est essentiel de réduire le nombre d'erreurs de configuration de sécurité introduites dans un environnement de production : plus vous contrôlez la qualité et réduisez les défauts dans le processus de génération, mieux c'est. Concevez des pipelines d'intégration et de déploiement continus (CI/CD, continuous integration and continuous deployment) pour tester la sécurité dans la mesure du possible. Les pipelines CI/CD offrent la possibilité d'améliorer la sécurité à chaque étape de la création et de la distribution. Les outils de sécurité CI/CD doivent être également maintenus à jour pour atténuer l'évolution des menaces.

Suivez les modifications apportées à la configuration de votre charge de travail pour faciliter les audits de conformité, la gestion des modifications et les enquêtes susceptibles de vous concerner. Vous pouvez utiliser AWS Config pour enregistrer et évaluer vos ressources AWS et tierces. Il vous permet d'auditer et d'évaluer en continu la conformité globale avec les règles et les packs de conformité, qui sont des ensembles de règles avec des actions correctives.

Le suivi des modifications doit inclure les modifications planifiées, qui font partie du processus de contrôle des modifications de votre organisation (parfois appelé MACD), les modifications non planifiées et les modifications inattendues, telles que les incidents. Des modifications peuvent se produire sur l'infrastructure, mais elles peuvent également être liées à d'autres catégories, telles que des changements dans les référentiels de code, des modifications au niveau des images machine et de l'inventaire d'applications, des modifications de processus et de politique ou des modifications de documentation.

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Automatiser la gestion de la configuration : appliquez et validez des configurations sécurisées automatiquement à l'aide d'un service ou d'un outil de gestion de la configuration. 
  +  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
  +  [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
  +  [Configuration d'un pipeline CI/CD sur AWS](https://aws.amazon.com/getting-started/projects/set-up-ci-cd-pipeline/)

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Comment utiliser des politiques de contrôle des services pour définir des protections par autorisation dans les comptes de votre organisation AWS](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/) 

 **Vidéos connexes :** 
+  [Managing Multi-Account AWS Environments Using AWS Organizations](https://youtu.be/fxo67UeeN1A) 
+  [Bonnes pratiques de sécurité : une approche Well-Architected](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP07 Identifier les menaces et hiérarchiser les atténuations à l'aide d'un modèle de menaces
<a name="sec_securely_operate_threat_model"></a>

 Effectuez une modélisation des menaces pour identifier et gérer un registre actualisé des menaces potentielles et des mesures d'atténuation connexes pour votre charge de travail. Hiérarchisez vos menaces et adaptez vos atténuations des contrôles de sécurité pour les prévenir, les détecter et y répondre. Ajustez et maintenez ces mesures en fonction de votre charge de travail et de l'évolution de l'environnement de sécurité. 

 **Niveau de risque exposé si cette bonne pratique n'est pas instaurée :** élevé 

## Directives d'implémentation
<a name="implementation-guidance"></a>

 **Qu'est-ce que la modélisation des menaces ?** 

 « La modélisation des menaces permet d'identifier, de communiquer et de comprendre les menaces et les atténuations dans le contexte de la protection de quelque chose de valeur. » – [The Open Web Application Security Project (OWASP) Application Threat Modeling](https://owasp.org/www-community/Threat_Modeling) 

 **Quel est l'intérêt de la modélisation des menaces ?** 

 Les systèmes sont complexes et deviennent de plus en plus complexes et compétents au fil du temps, offrant plus de valeur opérationnelle, ainsi qu'une satisfaction et un engagement client accrus. Cela signifie que les décisions de conception informatique doivent tenir compte d'un nombre toujours croissant de cas d'utilisation. Cette complexité et ce nombre de permutations des cas d'utilisation nuisent généralement à l'efficacité des approches non structurées pour trouver et atténuer les menaces. Dans ces conditions, il est préférable d'adopter une approche systématique pour recenser les menaces potentielles qui pèsent sur le système, concevoir les atténuations et d'établir la priorité de ces atténuations afin de veiller à ce que les ressources limitées de votre organisation aient un impact maximal sur l'amélioration de la posture de sécurité globale du système. 

 La modélisation des menaces est conçue pour fournir cette approche systématique, dans le but de trouver et de régler les problèmes au début du processus de conception, lorsque les atténuations impliquent un coût relatif et des efforts limités par rapport à plus tard dans le cycle de vie. Cette approche est conforme au principe de [sécurité *shift left*](https://owasp.org/www-project-devsecops-guideline/latest/00a-Overview). Au final, la modélisation des menaces s'intègre au processus de gestion des risques d'une organisation et aide à prendre des décisions sur les contrôles à mettre en œuvre en utilisant une approche axée sur les menaces. 

 **Quand la modélisation des menaces doit-elle être effectuée ?** 

 Commencez la modélisation des menaces le plus tôt possible dans le cycle de vie de votre charge de travail, afin de bénéficier de plus de flexibilité pour la gestion des menaces identifiées. Comme pour les bogues logiciels, plus vous identifiez les menaces rapidement, plus leur résolution est économique. Un modèle de menace est un document évolutif et il doit continuer à évoluer avec vos charges de travail. Revoyez vos modèles de menaces au fil du temps, y compris lorsqu'il y a un changement majeur, une évolution du contexte des menaces ou lorsque vous adoptez une nouvelle fonctionnalité ou un nouveau service. 

### Étapes d'implémentation
<a name="implementation-steps"></a>

 **Comment pouvons-nous modéliser les menaces ?** 

 Il existe de nombreuses façons de modéliser les menaces. Comme pour les langages de programmation, chaque méthode a ses avantages et ses inconvénients. À vous de choisir celle qui fonctionne le mieux pour votre organisation. Une approche consiste à commencer par le [cadre des 4 questions de Shostack pour la modélisation des menaces](https://github.com/adamshostack/4QuestionFrame), qui pose des questions ouvertes afin de structurer votre exercice de modélisation des menaces : 

1.  **Sur quoi travaillons-nous ?** 

    Le but de cette question est de vous aider à comprendre et à vous mettre d'accord sur le système que vous créez et les détails associés qui sont pertinents pour la sécurité. La création d'un modèle ou d'un diagramme est la solution la plus populaire pour répondre à cette question, car elle vous aide à visualiser ce que vous créez, par exemple en utilisant un [diagramme de flux des données](https://en.wikipedia.org/wiki/Data-flow_diagram). Le fait de noter les hypothèses et les détails importants sur votre système vous aide également à définir ce qui est inclus dans le champ d'application. Cela permet à tous ceux qui contribuent au modèle de menaces de se concentrer sur la même chose et d'éviter les détours fastidieux pour étudier des sujets qui ne rentrent pas dans le champ d'application (y compris les versions obsolètes de votre système). Par exemple, si vous créez une application web, il n'est probablement pas intéressant de consacrer du temps à la modélisation de la séquence de démarrage autorisé du système d'exploitation pour les clients du navigateur, car vous ne pouvez pas avoir un impact sur ce point avec votre conception. 

1.  **Quels problèmes pouvez-vous rencontrer ?** 

    C'est là que vous identifiez les menaces qui pèsent sur votre système. Les menaces sont des actions ou des événements accidentels ou intentionnels qui ont des impacts indésirables et pourraient affecter la sécurité de votre système. Sans une compréhension claire de ce qui pourrait poser un problème, vous n'avez aucun moyen de faire quoi que ce soit. 

    Il n'existe pas de liste standard des problèmes potentiels. La création de cette liste nécessite un brainstorming et une collaboration entre tous les membres de votre équipe et les [décideurs pertinents impliqués](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/#tips) dans l'exercice de modélisation des menaces. Vous pouvez faciliter votre brainstorming en utilisant un modèle pour identifier les menaces, par exemple [STRIDE](https://en.wikipedia.org/wiki/STRIDE_(security)), qui suggère différentes catégories à évaluer : Usurpation d'identité, Altération, Répudiation, Divulgation d'informations, Déni de service et Élévation de privilège. De plus, vous pouvez faciliter le brainstorming en examinant les listes et les recherches existantes afin de vous en inspirer, y compris l'[OWASP Top 10](https://owasp.org/www-project-top-ten/), le [HiTrust Threat Catalog](https://hitrustalliance.net/hitrust-threat-catalogue/), ainsi que le catalogue des menaces de votre organisation. 

1.  **Qu'allons-nous faire à ce sujet ?** 

    Comme pour la question précédente, il n'existe pas de liste standard avec toutes les atténuations possibles. Lors de cette étape, les informations utilisées sont les menaces, les acteurs et les domaines d'amélioration identifiés par rapport à l'étape précédente. 

    La sécurité et la conformité sont une [responsabilité partagée entre vous et AWS](https://aws.amazon.com/compliance/shared-responsibility-model/). Il est important de comprendre que lorsque vous demandez « Qu'allons-nous faire à ce sujet ? », vous demandez également qui est responsable de ce qui doit être fait. En comprenant l'équilibre des responsabilités entre vous-même et AWS, vous pouvez évaluer votre exercice de modélisation des menaces en fonction des atténuations qui sont sous votre contrôle, c'est-à-dire, en règle générale, une combinaison des options de configuration du service AWS et vos propres atténuations spécifiques au système. 

    Pour la partie AWS de la responsabilité partagée, vous constaterez que les [services AWS sont couverts par de nombreux programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/). Ces programmes vous aident à comprendre les contrôles rigoureux en place chez AWS afin de garantir la sécurité et la conformité du cloud. Les rapports d'audit de ces programmes peuvent être téléchargés pour les clients AWS à partir d'[AWS Artifact](https://aws.amazon.com/artifact/). 

    Quels que soient les services AWS utilisés, il y a toujours un élément de responsabilité client et les atténuations correspondant à ces responsabilités doivent être incluses dans votre modèle de menaces. En ce qui concerne les atténuations en matière de contrôle de sécurité pour les services AWS eux-mêmes, envisagez l'implémentation de contrôles de sécurité dans tous les domaines, y compris la gestion des identités et des accès (authentification et autorisation), la protection des données (au repos et en transit), la sécurité de l'infrastructure, la journalisation et la surveillance. La documentation de chaque service AWS comporte un [chapitre dédié à la sécurité](https://docs.aws.amazon.com/security/) qui fournit des conseils sur les contrôles de sécurité à implémenter à des fins d'atténuation. Il est surtout important de réfléchir au code que vous écrivez et à ses dépendances, ainsi que de penser aux contrôles que vous pourriez mettre en place pour résoudre ces menaces. Ces contrôles peuvent notamment prendre les formes suivantes : [validation des entrées](https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html), [gestion des sessions](https://owasp.org/www-project-mobile-top-10/2014-risks/m9-improper-session-handling) et [gestion des limites](https://owasp.org/www-community/vulnerabilities/Buffer_Overflow). La plupart des vulnérabilités sont souvent introduites dans le code personnalisé, c'est pourquoi il est important de se concentrer sur ce domaine. 

1.  **Avons-nous fait du bon travail ?** 

    L'objectif est que votre équipe et votre organisation améliorent la qualité des modèles de menaces et la vitesse à laquelle vous effectuez la modélisation des menaces au fil du temps. Ces améliorations découlent d'une combinaison de pratique, d'apprentissage, d'enseignement et de révision. Pour approfondir ces notions et vous exercer, votre équipe et vous-même pouvez suivre le [cours de formation](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop) ou l'[atelier](https://catalog.workshops.aws/threatmodel/en-US) sur les bons principes de modélisation des menaces pour les créateurs. De plus, si vous souhaitez obtenir des conseils sur l'intégration de la modélisation des menaces dans le cycle de développement des applications de votre organisation, consultez la publication [How to approach threat modeling](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) sur le Blog de sécurité d'AWS. 

 **Threat Composer** 

 Pour vous aider et vous guider dans la modélisation des menaces, pensez à utiliser l'outil [Threat Composer](https://github.com/awslabs/threat-composer#threat-composer), qui vise à réduire le délai de modélisation des menaces. L'outil vous permet d'effectuer les opérations suivantes : 
+  Rédiger des déclarations de menaces utiles, qui respectent la [grammaire des menaces](https://catalog.workshops.aws/threatmodel/en-US/what-can-go-wrong/threat-grammar) et fonctionnent dans un flux de travail naturel et non linéaire 
+  Générer un modèle de menaces lisible par l'homme 
+  Générer un modèle de menaces lisible par machine pour vous permettre de traiter les modèles de menaces comme du code 
+  Identifier rapidement les domaines dans lesquels la qualité et la couverture peuvent être améliorées à l'aide du tableau de bord 

 Pour en savoir plus, accédez à Threat Composer et basculez vers l'**exemple d'espace de travail** défini par le système. 

## Ressources
<a name="resources"></a>

 **Bonnes pratiques associées :** 
+  [SEC01-BP03 Identifier et valider les objectifs de contrôle](sec_securely_operate_control_objectives.md) 
+  [SEC01-BP04 Rester informé des menaces de sécurité](sec_securely_operate_updated_threats.md) 
+  [SEC01-BP05 Connaître les recommandations de sécurité](sec_securely_operate_updated_recommendations.md) 
+  [SEC01-BP08 Évaluer et mettre en œuvre régulièrement de nouveaux services et de nouvelles fonctions de sécurité](sec_securely_operate_implement_services_features.md) 

 **Documents connexes :** 
+  [How to approach threat modeling](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) (AWS Security Blog) 
+ [ NIST: Guide to Data-Centric System Threat Modelling](https://csrc.nist.gov/publications/detail/sp/800-154/draft)

 **Vidéos connexes :** 
+ [AWS Summit ANZ 2021 - How to approach threat modelling ](https://www.youtube.com/watch?v=GuhIefIGeuA)
+ [AWS Summit ANZ 2022 - Scaling security – Optimise for fast and secure delivery ](https://www.youtube.com/watch?v=DjNPihdWHeA)

 **Formations associées :** 
+ [ Threat modeling the right way for builders – AWS Skill Builder virtual self-paced training ](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop)
+ [ Threat modeling the right way for builders – AWS Workshop ](https://catalog.workshops.aws/threatmodel)

 **Outils associés :** 
+  [Threat Composer](https://github.com/awslabs/threat-composer#threat-composer) 

# SEC01-BP08 Évaluer et mettre en œuvre régulièrement de nouveaux services et de nouvelles fonctions de sécurité
<a name="sec_securely_operate_implement_services_features"></a>

 Évaluez et mettez en œuvre les services et fonctions de sécurité proposés par AWS et les partenaires AWS qui vous permettent de faire évoluer le niveau de sécurité de votre charge de travail. Le blog sur la sécurité AWSmet en évidence les nouveaux services et fonctionnalités AWS, les guides de mise en œuvre et des conseils généraux de sécurité. [Les nouveautés AWS](https://aws.amazon.com/new) représentent un excellent moyen de se tenir au courant de tous les nouveaux services, fonctionnalités et annonces AWS. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Planifier des vérifications régulières : créez un calendrier d'activités de révision qui inclut les exigences de conformité, l'évaluation des nouvelles fonctionnalités et des nouveaux services de sécurité AWS et des créneaux pour rester informé des actualités du secteur. 
+  Découvrir les services et fonctions AWS : découvrez les fonctions de sécurité qui sont disponibles pour les services que vous utilisez. Évaluez les nouvelles fonctions au fur et à mesure qu'elles sont publiées. 
  + [ Blog sur la sécurité AWS](https://aws.amazon.com/blogs/security/) 
  + [ Bulletins de sécurité AWS](https://aws.amazon.com/security/security-bulletins/)
  +  [Documentation des services AWS](https://aws.amazon.com/documentation/)
+  Définir le processus d'intégration des services AWS : définissez les processus d'intégration des nouveaux services AWS. Incluez la manière d'évaluer le fonctionnement des nouveaux services AWS et les exigences en matière de conformité pour votre charge de travail. 
+  Tester les nouveaux services et les nouvelles fonctions : testez les nouveaux services et les nouvelles fonctions au fil de leur publication dans un environnement hors production qui réplique fidèlement votre environnement de production. 
+  Mettre en place d'autres mécanismes de défense : implémentez des mécanismes automatisés pour défendre votre charge de travail et explorez les options disponibles. 
  +  [Correction des ressources AWS non conformes à l'aide de règles AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)

## Ressources
<a name="resources"></a>

 **Vidéos connexes :** 
+  [Bonnes pratiques de sécurité : une approche Well-Architected ](https://youtu.be/u6BCVkXkPnM)