# Protection des données
**Topics**
+ [SEC 7 Comment classer vos données ?](w2aac19b7c13b5.md)
+ [SEC 8 Comment protéger les données au repos ?](w2aac19b7c13b7.md)
+ [SEC 9 Comment protéger vos données en transit ?](w2aac19b7c13b9.md)
# SEC 7 Comment classer vos données ?
La classification des données fournit un moyen de classer les données en fonction de leur importance et de leur sensibilité afin de vous aider à déterminer les contrôles de protection et de conservation appropriés.
**Topics**
+ [SEC07-BP01 Identifier les données au sein de votre charge de travail](sec_data_classification_identify_data.md)
+ [SEC07-BP02 Définir les contrôles de protection des données](sec_data_classification_define_protection.md)
+ [SEC07-BP03 Automatiser l'identification et la classification](sec_data_classification_auto_classification.md)
+ [SEC07-BP04 Définir la gestion du cycle de vie des données](sec_data_classification_lifecycle_management.md)
# SEC07-BP01 Identifier les données au sein de votre charge de travail
vous devez comprendre le type et la classification des données que votre charge de travail traite, les processus métier associés, le propriétaire des données, les exigences légales et de conformité applicables, l'endroit où elles sont stockées et les contrôles qui en résultent et qui doivent être mis en œuvre. Il peut aussi s'agir des classifications pour indiquer si les données sont destinées à être accessibles au public, si elles sont à usage interne uniquement, comme c'est le cas des informations personnelles identifiables (IPI) des clients, ou si elles sont destinées à un accès plus restreint, comme la propriété intellectuelle, les données protégées par la loi ou sensibles, etc. En gérant avec soin un système de classification des données approprié, ainsi que le niveau de protection requis pour chaque charge de travail, vous pouvez définir les contrôles et le niveau d'accès ou de protection appropriés pour les données. Par exemple, le contenu public est accessible à tous, mais le contenu important est chiffré et stocké d'une manière protégée qui nécessite l'accès autorisé à une clé pour le déchiffrer.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Envisager la découverte des données avec Amazon Macie : Macie reconnaît les données sensibles telles que les données d'identification personnelle (PII) ou la propriété intellectuelle.
+ [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,)
## Ressources
**Documents connexes :**
+ [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,)
+ [Livre blanc sur la classification des données](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Démarrer avec Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Vidéos connexes :**
+ [Introducing the New Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC07-BP02 Définir les contrôles de protection des données
Protégez les données en fonction de leur niveau de classification. Par exemple, sécurisez les données classées comme publiques à l'aide des recommandations pertinentes tout en protégeant les données sensibles grâce à des contrôles supplémentaires.
En utilisant des balises de ressource, des comptes AWS séparés par sensibilité (et éventuellement aussi pour chaque mise en garde, isolement ou communauté d'intérêt), les politiques IAM, les politiques de contrôle des services (SCP) AWS Organizations, AWS Key Management Service (AWS KMS) et AWS CloudHSM, vous pouvez définir et mettre en œuvre vos politiques de classification et de protection des données avec chiffrement. Par exemple, si vous disposez d'un projet avec des compartiments S3 qui contiennent des données hautement critiques ou des instances Amazon Elastic Compute Cloud (Amazon EC2) qui traitent des données confidentielles, ils peuvent être marqués avec une balise `Project=ABC` . Seule votre équipe immédiate sait ce que le code du projet signifie, et cela permet d'utiliser un contrôle d'accès basé sur les attributs. Vous pouvez définir des niveaux d'accès aux clés de chiffrement AWS KMS par le biais de politiques de clés et d'autorisations afin de garantir que seuls les services appropriés ont accès au contenu sensible par un mécanisme sécurisé. Si vous prenez des décisions d'autorisation basées sur des balises, vous devez vous assurer que les autorisations sur les balises sont définies de manière appropriée en utilisant des politiques de balises dans AWS Organizations.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Définir votre schéma d'identification et de classification des données : l'identification et la classification de vos données sont faites pour évaluer l'impact potentiel et le type de données que vous stockez et qui peut y accéder.
+ [Documentation AWS](https://docs.aws.amazon.com/)
+ Découvrir les contrôles AWS disponibles : découvrez les contrôles de sécurité pour les services AWS que vous utilisez ou prévoyez d'utiliser. De nombreux services disposent d'une section relative à la sécurité dans leur documentation.
+ [Documentation AWS](https://docs.aws.amazon.com/)
+ Identifier les ressources de conformité AWS : identifiez les ressources que propose AWS pour vous aider.
+ [https://aws.amazon.com/compliance/](https://aws.amazon.com/compliance/?ref=wellarchitected)
## Ressources
**Documents connexes :**
+ [Documentation AWS](https://docs.aws.amazon.com/)
+ [Livre blanc sur la classification des données](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Démarrer avec Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
+ [Texte manquant](https://aws.amazon.com/compliance/)
**Vidéos connexes :**
+ [Introducing the New Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC07-BP03 Automatiser l'identification et la classification
l'automatisation de l'identification et de la classification des données peut vous aider à mettre en œuvre les contrôles appropriés. Le recours à l'automatisation en la circonstance plutôt qu'à l'accès direct d'une personne réduit le risque d'erreur humaine et d'exposition. Vous devez évaluer, en utilisant un outil tel qu' [Amazon Macie](https://aws.amazon.com/macie/), qui utilise le machine learning pour découvrir, catégoriser et protéger les données sensibles dans AWS. Amazon Macie reconnaît les données sensibles en tant que données d'identification personnelle (PII) ou propriété intellectuelle, et génère des tableaux de bord et des alertes pour vous offrir de la visibilité sur les méthodes de déplacement ou d'accès à ces données.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Utiliser l'inventaire Amazon Simple Storage Service (Amazon S3) : l'inventaire Amazon S3 est l'un des outils que vous pouvez utiliser pour auditer et signaler le statut de réplication et de chiffrement de vos objets.
+ [Inventaire Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ Envisager Amazon Macie : Amazon Macie utilise le machine learning pour détecter et classer automatiquement les données stockées dans Amazon S3.
+ [Amazon Macie](https://aws.amazon.com/macie/)
## Ressources
**Documents connexes :**
+ [Amazon Macie](https://aws.amazon.com/macie/)
+ [Inventaire Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ [Livre blanc sur la classification des données](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Mise en route avec Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Vidéos connexes :**
+ [Introducing the New Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC07-BP04 Définir la gestion du cycle de vie des données
votre stratégie de cycle de vie définie doit être basée sur le niveau de sensibilité, ainsi que sur les exigences légales et organisationnelles. Des aspects, tels que la durée de conservation des données, les processus de destruction des données, la gestion de l'accès aux données, la transformation des données et le partage des données, doivent être pris en compte. Lorsque vous choisissez une méthodologie de classification des données, équilibrez l'utilisabilité par rapport à l'accès. Vous devez également tenir compte des multiples niveaux d'accès et des nuances pour mettre en œuvre une approche sécurisée, mais toujours utilisable, pour chaque niveau. Utilisez toujours une approche de défense en profondeur et réduisez l'accès humain aux données et aux mécanismes de transformation, de suppression ou de copie des données. Par exemple, exigez que les utilisateurs s'authentifient d'une manière forte auprès d'une application, et donnez à l'application, plutôt qu'aux utilisateurs, l'autorisation d'accès requise pour effectuer une « action à distance ». En outre, veillez à ce que les utilisateurs proviennent d'un chemin de réseau approuvé et aient besoin d'un accès aux clés de déchiffrement. Utiliser des outils, tels que des tableaux de bord et des rapports automatisés, pour donner aux utilisateurs des informations à partir des données plutôt que de leur fournir un accès direct aux données.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Identifier les types de données : identifiez les types de données que vous stockez ou traitez dans votre charge de travail. Ces données peuvent être du texte, des images, des bases de données binaires, etc.
## Ressources
**Documents connexes :**
+ [Livre blanc sur la classification des données](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Mise en route avec Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Vidéos connexes :**
+ [Introducing the New Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC 8 Comment protéger les données au repos ?
Protégez vos données au repos en mettant en œuvre plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.
**Topics**
+ [SEC08-BP01 Implémenter la gestion sécurisée des clés](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 Appliquer le chiffrement au repos](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 Automatiser la protection des données au repos](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04 Appliquer le contrôle d'accès](sec_protect_data_rest_access_control.md)
+ [SEC08-BP05 Utiliser des mécanismes pour protéger l'accès aux données](sec_protect_data_rest_use_people_away.md)
# SEC08-BP01 Implémenter la gestion sécurisée des clés
En définissant une approche de chiffrement qui inclut le stockage, le renouvellement et le contrôle d'accès des clés, vous pouvez protéger votre contenu contre les utilisateurs non autorisés et une exposition inutile aux utilisateurs autorisés. AWS Key Management Service (AWS KMS) vous permet de gérer les clés de chiffrement et [s'intègre à de nombreux services AWS.](https://aws.amazon.com/kms/details/#integration). Ce service fournit un stockage durable, sécurisé et redondant pour vos clés AWS KMS. Vous pouvez définir vos alias de clé, ainsi que vos politiques au niveau des clés. Les stratégies vous permettent de définir des administrateurs de clé ainsi que des utilisateurs de clé. En outre, AWS CloudHSM est un module de sécurité matériel basé sur le cloud (HSM) qui vous permet de générer et d'utiliser facilement vos propres clés de chiffrement dans le AWS Cloud. Il vous permet de respecter les exigences professionnelles, contractuelles et réglementaires relatives à la sécurité des données, en utilisant des modules de sécurité matériels (HSM) validés FIPS 140-2 niveau 3.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Implémenter AWS KMS : AWS KMS simplifie la création et la gestion des clés, ainsi que le contrôle de l'utilisation du chiffrement sur un large éventail de services AWS et dans vos applications. AWS KMS est un service sécurisé et résilient qui utilise les modules de sécurité matérielle validés selon la norme FIPS 140-2 pour protéger vos clés.
+ [Premiers pas : AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ Utiliser le kit SDK AWS Encryption : utilisez le kit SDK AWS Encryption avec intégration à AWS KMS lorsque votre application doit chiffrer les données côté client.
+ [Kit SDK AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
## Ressources
**Documents connexes :**
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [Services et outils cryptographiques AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Premiers pas : AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ [Protection des données Amazon S3 à l'aide du chiffrement](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**Vidéos connexes :**
+ [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP02 Appliquer le chiffrement au repos
Faites en sorte que le seul moyen de pouvoir stocker des données est de les chiffrer. AWS Key Management Service (AWS KMS) s'intègre en toute transparence à de nombreux services AWS pour vous permettre de chiffrer plus facilement toutes vos données au repos. Par exemple, dans Amazon Simple Storage Service (Amazon S3), vous pouvez définir un [chiffrement par défaut](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) sur un compartiment pour que tous les nouveaux objets soient chiffrés automatiquement. En outre, [Les instances de serveur virtuel Amazon Elastic Compute Cloud (Amazon EC2) ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)et [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) prennent en charge la mise en application du chiffrement en définissant le chiffrement par défaut. Vous pouvez utiliser [AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) pour vérifier automatiquement que vous utilisez le chiffrement, par exemple, pour [les volumes Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [les instances Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)et [des compartiments Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html).
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Imposer le chiffrement au repos pour Amazon Simple Storage Service (Amazon S3) : implémentez le chiffrement par défaut des compartiments Amazon S3.
+ [Comment activer le chiffrement par défaut pour un compartiment S3 ?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ Utiliser AWS Secrets Manager : Secrets Manager est un service AWS qui facilite la gestion des secrets. Il peut s'agir d'informations d'identification pour une base de données, de mots de passe, de clés d'API tierces, voire de texte arbitraire.
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ Configurer le chiffrement par défaut pour les nouveaux volumes EBS : indiquez que vous souhaitez que tous les nouveaux volumes EBS soient créés sous forme chiffrée, avec la possibilité d'utiliser la clé par défaut fournie par AWS ou une clé que vous créez.
+ [Chiffrement par défaut pour les volumes EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ Configurer des Amazon Machine Images (AMI) chiffrées : la copie d'une AMI existante avec le chiffrement activé chiffrera automatiquement les volumes racine et les instantanés.
+ [AMI avec instantanés chiffrés](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ Configurer le chiffrement Amazon Relational Database Service (Amazon RDS) : configurez le chiffrement pour vos clusters de base de données Amazon RDS et vos instantanés au repos en activant l'option de chiffrement.
+ [Chiffrement des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)
+ Configurer le chiffrement dans des services AWS supplémentaires : pour les services AWS que vous utilisez, déterminez les fonctionnalités de chiffrement.
+ [Documentation AWS](https://docs.aws.amazon.com/)
## Ressources
**Documents connexes :**
+ [AMI avec instantanés chiffrés](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ [Outils de chiffrement AWS](https://docs.aws.amazon.com/aws-crypto-tools)
+ [Documentation AWS](https://docs.aws.amazon.com/)
+ [Kit SDK AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
+ [Livre blanc sur les informations cryptographiques AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ [Services et outils cryptographiques AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Chiffrement.Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [Chiffrement par défaut pour les volumes EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ [Chiffrement des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [Comment activer le chiffrement par défaut pour un compartiment S3 ?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ [Protection des données Amazon S3 à l'aide du chiffrement](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**Vidéos connexes :**
+ [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP03 Automatiser la protection des données au repos
utilisez des outils automatisés pour valider et faire respecter en permanence les contrôles des données au repos, par exemple en vérifiant qu'il n'y a que des ressources de stockage chiffrées. Vous pouvez [automatiser la validation du chiffrement de tous les volumes de données EBS](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) en utilisant [AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html). [AWS Security Hub CSPM](http://aws.amazon.com/security-hub/) peut également vérifier plusieurs contrôles différents via des vérifications automatisées par rapport aux normes de sécurité. De plus, AWS Config Rules peut [corriger les ressources non conformes automatiquement](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#setup-autoremediation).
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
*Données au repos* représentent toutes les données que vous conservez dans un stockage non volatil pendant toute la durée de votre charge de travail. Cela comprend le stockage par bloc, le stockage d'objets, les bases de données, les archives, les appareils IoT et tout autre support de stockage sur lequel les données sont conservées. La protection de vos données inactives permet de réduire le risque d'accès non autorisé, lorsque le chiffrement et les contrôles d'accès appropriés sont mis en place.
Appliquer le chiffrement au repos : vous devez faire en sorte que le seul moyen de stocker des données est de les chiffrer. AWS KMS s'intègre en toute transparence à de nombreux services AWS pour vous permettre de chiffrer plus facilement toutes vos données au repos. Par exemple, dans Amazon Simple Storage Service (Amazon S3), vous pouvez définir un [chiffrement par défaut](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) sur un compartiment pour que tous les nouveaux objets soient chiffrés automatiquement. En outre, [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) et [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) prennent en charge la mise en application du chiffrement en définissant le chiffrement par défaut. Vous pouvez utiliser [des règles de configuration gérées AWS](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) pour vérifier automatiquement que vous utilisez le chiffrement, par exemple, pour [les volumes EBS](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [les instances Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)et [des compartiments Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html).
## Ressources
**Documents connexes :**
+ [Outils de chiffrement AWS](https://docs.aws.amazon.com/aws-crypto-tools)
+ [Kit SDK AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
**Vidéos connexes :**
+ [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP04 Appliquer le contrôle d'accès
Appliquez le contrôle d'accès avec un minimum de privilèges et de mécanismes, y compris les sauvegardes, l'isolation et le contrôle de version, pour aider à protéger vos données au repos. Empêchez les opérateurs d'accorder un accès public à vos données.
Différents contrôles, y compris l'accès (en utilisant le moindre privilège), les sauvegardes (voir le [livre blanc sur la fiabilité](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html)), l'isolation et la gestion des versions peuvent tous contribuer à protéger vos données au repos. L'accès à vos données doit être vérifié à l'aide des mécanismes de détection dont il a été question plus haut dans le présent document, notamment CloudTrail, et le journal des niveaux de service, comme les journaux d'accès Amazon Simple Storage Service (Amazon S3). Vous devez faire l'inventaire des données accessibles au public et prévoir comment vous pouvez réduire la quantité de données disponibles au fil du temps. Amazon Glacier Vault Lock et Amazon S3 Object Lock sont des fonctionnalités qui fournissent un contrôle d'accès obligatoire. Lorsqu'une politique de coffre est verrouillée avec l'option de conformité, même l'utilisateur racine ne peut pas la modifier avant l'expiration du verrouillage. Ce mécanisme répond aux exigences de la SEC, de la CFTC et de la FINRA en matière de gestion des livres et des enregistrements. Pour en savoir plus, voir [ce livre blanc](https://d1.awsstatic.com/whitepapers/Amazon-GlacierVaultLock_CohassetAssessmentReport.pdf).
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Appliquer le contrôle d'accès : appliquez le contrôle d'accès avec le principe du moindre privilège, y compris l'accès aux clés de chiffrement.
+ [Gestion des autorisations d'accès à vos ressources Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html)
+ Séparer les données selon différents niveaux de classification : utilisez des Comptes AWS différents pour les niveaux de classification des données gérés par AWS Organizations.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ Vérifier les politiques AWS KMS : examinez le niveau d'accès accordé dans les politiques AWS KMS.
+ [Présentation de la gestion des accès aux ressources AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html)
+ Examiner les autorisations de compartiment et d'objet Amazon S3 : examinez régulièrement le niveau d'accès accordé dans les règles de compartiment Amazon S3. Une bonne pratique consiste à ne pas avoir des compartiments publiquement accessibles en lecture ou en écriture. Pensez à utiliser AWS Config pour détecter les compartiments qui sont publiquement disponibles et Amazon CloudFront pour diffuser du contenu à partir d'Amazon S3.
+ [AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
+ [Amazon S3 \$1 Amazon CloudFront : la combinaison parfaite dans le cloud](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/)
+ Activez la gestion des versions Amazon S3 et le verrouillage des objets.
+ [Utilisation de la gestion des versions](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)
+ [Verrouillage d'objets avec Amazon S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)
+ Utiliser l'inventaire Amazon S3 : l'inventaire Amazon S3 est l'un des outils que vous pouvez utiliser pour auditer et signaler le statut de réplication et de chiffrement de vos objets.
+ [Inventaire Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ Passer en revue les autorisations de partage Amazon EBS et AMI : les autorisations de partage permettent aux images et aux volumes d'être partagés avec des Comptes AWS en dehors de votre charge de travail.
+ [Partage d'un instantané Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)
+ [AMI partagées](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)
## Ressources
**Documents connexes :**
+ [Livre blanc sur les informations cryptographiques AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**Vidéos connexes :**
+ [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP05 Utiliser des mécanismes pour protéger l'accès aux données
Empêchez tous les utilisateurs d'accéder directement aux données et systèmes sensibles dans des circonstances opérationnelles normales. Par exemple, utilisez un flux de travail de gestion des changements pour gérer les instances Amazon Elastic Compute Cloud (Amazon EC2) avec des outils au lieu d'autoriser un accès direct ou un hôte bastion. Pour ce faire, recourez à [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), qui utilise des [documents d'automatisation](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) contenant les étapes nécessaires pour effectuer les tâches. Ces documents peuvent être stockés dans un système de contrôle de source, être examinés par des pairs avant l'exécution et être testés minutieusement pour minimiser les risques par rapport à un accès shell. Les utilisateurs de l'entreprise peuvent disposer d'un tableau de bord au lieu d'un accès direct à un magasin de données afin d'effectuer des requêtes. Lorsque des pipelines CI/CD ne sont pas utilisés, identifiez les contrôles et processus nécessaires pour fournir de manière adéquate un mécanisme alternatif normalement désactivé.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Implémenter des mécanismes pour protéger l'accès aux données : ces mécanismes incluent l'utilisation de tableaux de bord comme Quick pour présenter les données aux utilisateurs au lieu d'envoyer des requêtes directement.
+ [Quick](https://aws.amazon.com/quicksight/)
+ Automatisez la gestion de la configuration : effectuez des actions à distance, appliquez et validez automatiquement des configurations sécurisées en utilisant un service ou un outil de gestion de configuration. Évitez d'utiliser des hôtes bastion ou d'accéder directement aux instances EC2.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Pipeline CI/CD pour les modèles AWS CloudFormation sur AWS](https://aws.amazon.com/quickstart/architecture/cicd-taskcat/)
## Ressources
**Documents connexes :**
+ [Livre blanc sur les informations cryptographiques AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**Vidéos connexes :**
+ [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC 9 Comment protéger vos données en transit ?
Protégez vos données en transit en mettant en œuvre plusieurs contrôles afin de réduire le risque d'accès non autorisé ou de perte.
**Topics**
+ [SEC09-BP01 Implémenter la gestion sécurisée des clés et des certificats](sec_protect_data_transit_key_cert_mgmt.md)
+ [SEC09-BP02 Appliquer le chiffrement en transit](sec_protect_data_transit_encrypt.md)
+ [SEC09-BP03 Automatiser la détection des accès involontaires aux données](sec_protect_data_transit_auto_unintended_access.md)
+ [SEC09-BP04 Authentifier les communications réseau](sec_protect_data_transit_authentication.md)
# SEC09-BP01 Implémenter la gestion sécurisée des clés et des certificats
stockez les clés et les certificats de chiffrement en toute sécurité et renouvelez-les selon le cycle approprié avec un contrôle d'accès strict. Le moyen le plus efficace consiste à utiliser un service géré tel qu' [AWS Certificate Manager (ACM)](http://aws.amazon.com/certificate-manager). Il permet de fournir, de gérer et de déployer facilement des certificats de sécurité TLS (Transport Layer Security) publics et privés à utiliser avec les services AWS et vos ressources internes connectées. Les certificats TLS servent à sécuriser les communications réseau et à établir l'identité des sites Web sur Internet et des ressources sur les réseaux privés. ACM s'intègre aux ressources AWS, telles que les Elastic Load Balancers (ELBs), les distributions AWS et les API sur API Gateway, en gérant également les renouvellements automatiques des certificats. Si vous utilisez ACM pour déployer une autorité de certification (CA) racine privée, celle-ci peut fournir à la fois des certificats et des clés privées à utiliser dans les instances Amazon Elastic Compute Cloud (Amazon EC2) , conteneurs, etc.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Mettre en œuvre la gestion sécurisée des clés et des certificats : implémentez votre solution de gestion sécurisée des clés et des certificats.
+ [AWS Certificate Manager ](https://aws.amazon.com/certificate-manager/)
+ [ Comment héberger et gérer une infrastructure complète de certificats privés dans AWS](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+ Implémenter des protocoles sécurisés : utilisez des protocoles sécurisés qui offrent authentification et confidentialité, tels que Transport Layer Security (TLS) ou IPsec, pour réduire le risque de falsification ou de perte de données. Consultez la documentation AWS pour connaître les protocoles et la sécurité adaptés aux services que vous utilisez.
## Ressources
**Documents connexes :**
+ [Documentation AWS](https://docs.aws.amazon.com/)
# SEC09-BP02 Appliquer le chiffrement en transit
Appliquez vos exigences de chiffrement définies en fonction des normes et recommandations appropriées afin de respecter vos exigences organisationnelles, légales et de conformité. Les services AWS fournissent des points de terminaison HTTPS utilisant TLS pour la communication, ce qui assure le chiffrement en transit lors de la communication avec les API AWS. Les protocoles non sécurisés, tels que HTTP, peuvent être contrôlés et bloqués dans un VPC à l'aide de groupes de sécurité. Les requêtes HTTP peuvent également être [redirigées automatiquement vers HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) dans Amazon CloudFront ou sur un [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions). Vous disposez d'un contrôle total sur vos ressources de calcul pour mettre en œuvre le chiffrement en transit dans l'ensemble de vos services. De plus, vous pouvez utiliser la connectivité VPN dans votre VPC à partir d'un réseau externe pour faciliter le chiffrement du trafic. Des solutions tierces sont disponibles sur AWS Marketplace si vous avez des exigences particulières.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Appliquer le chiffrement en transit : vos exigences en matière de chiffrement doivent être définies selon les dernières normes et bonnes pratiques en matière de sécurité, et doivent autoriser uniquement des protocoles sécurisés. Par exemple, configurez uniquement un groupe de sécurité pour autoriser le protocole HTTPS pour un équilibreur de charge d'application ou une instance Amazon Elastic Compute Cloud (Amazon EC2).
+ Configurer des protocoles sécurisés dans les services périphériques : configurez HTTPS avec Amazon CloudFront et les chiffrements requis.
+ [ Utilisation de HTTPS avec CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+ Utiliser un VPN pour la connectivité externe : envisagez d'utiliser un réseau privé virtuel (VPN) IPsec pour sécuriser les connexions point à point ou réseau à réseau afin d'assurer à la fois la confidentialité et l'intégrité des données.
+ [ Connexions VPN ](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html)
+ Configurer des protocoles sécurisés dans les équilibreurs de charge : activez l'écouteur HTTPS pour sécuriser les connexions aux équilibreurs de charge.
+ [ Écouteurs HTTPS pour votre Application Load Balancer ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)
+ Configurer des protocoles sécurisés pour les instances : envisagez de configurer le chiffrement HTTPS sur les instances.
+ [ Tutoriel : configurer le serveur web Apache sur Amazon Linux 2 pour utiliser SSL/TLS ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-an-instance.html)
+ Configurer des protocoles sécurisés dans Amazon Relational Database Service (Amazon RDS) : utilisez Secure Socket Layer (SSL) ou Transport Layer Security (TLS) pour chiffrer la connexion aux instances de base de données.
+ [ Utilisation de SSL pour chiffrer une connexion à une instance de base de données ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+ Configurer des protocoles sécurisés dans Amazon Redshift : configurez votre cluster pour exiger une connexion SSL (Secure Socket Layer) ou TLS (Transport Layer Security).
+ [ Configure security options for connections ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)
+ Configurer des protocoles sécurisés dans des services AWS supplémentaires. Pour les services AWS que vous utilisez, déterminez les fonctionnalités de chiffrement en transit.
## Ressources
**Documents connexes :**
+ [ Documentation AWS](https://docs.aws.amazon.com/index.html)
# SEC09-BP03 Automatiser la détection des accès involontaires aux données
Utilisez des outils comme Amazon GuardDuty pour détecter automatiquement les activités suspectes ou les tentatives de déplacement de données en dehors des limites définies. Par exemple, GuardDuty peut détecter une activité de lecture Amazon Simple Storage Service (Amazon S3) inhabituelle [avec le résultat Exfiltration:S3/AnomalousBehavior](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-objectreadunusual). Outre GuardDuty, [les journaux de flux Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html), qui capture des informations sur le trafic réseau, peuvent être utilisés avec Amazon EventBridge pour déclencher la détection des connexions anormales, qu'elles aboutissent ou non. [Amazon S3 Access Analyzer](http://aws.amazon.com/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3) peut vous aider à déterminer les données accessibles aux utilisateurs de vos compartiments Amazon S3.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Automatiser la détection de l'accès involontaire aux données : utilisez un outil ou un mécanisme de détection pour identifier automatiquement les tentatives de déplacement des données en dehors des limites définies, par exemple, pour détecter un système de base de données qui copie des données vers un hôte non reconnu.
+ [ Journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ Envisager Amazon Macie : Amazon Macie est un service de sécurité et de confidentialité des données entièrement géré qui utilise le machine learning et la comparaison de modèles pour découvrir et protéger vos données sensibles dans AWS.
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
## Ressources
**Documents connexes :**
+ [ Journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
# SEC09-BP04 Authentifier les communications réseau
Vérifiez l'identité des communications à l'aide de protocoles comme TLS (Transport Layer Security) ou IPsec qui prennent en charge l'authentification.
L'utilisation de protocoles réseau qui prennent en charge l'authentification permet d'établir une relation de confiance entre les parties. Cela complète le chiffrement utilisé dans le protocole pour réduire les risques de modification ou d'interception des communications. Les protocoles courants qui mettent en œuvre l'authentification incluent le protocole TLS (Transport Layer Security), utilisé dans de nombreux services AWS, et IPsec, utilisé dans [AWS Virtual Private Network (Site-to-Site VPN)](http://aws.amazon.com/vpn).
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Implémenter des protocoles sécurisés : utilisez des protocoles sécurisés qui offrent authentification et confidentialité, tels que TLS ou IPsec, pour réduire le risque de falsification ou de perte de données. Consultez la [documentation AWS](https://docs.aws.amazon.com/) pour connaître les protocoles et la sécurité relatifs aux services que vous utilisez.
## Ressources
**Documents connexes :**
+ [Documentation AWS](https://docs.aws.amazon.com/)