# SEC 9  Comment protéger vos données en transit ?
<a name="w2aac19b7c13b9"></a>

Protégez vos données en transit en mettant en œuvre plusieurs contrôles afin de réduire le risque d'accès non autorisé ou de perte.

**Topics**
+ [SEC09-BP01 Implémenter la gestion sécurisée des clés et des certificats](sec_protect_data_transit_key_cert_mgmt.md)
+ [SEC09-BP02 Appliquer le chiffrement en transit](sec_protect_data_transit_encrypt.md)
+ [SEC09-BP03 Automatiser la détection des accès involontaires aux données](sec_protect_data_transit_auto_unintended_access.md)
+ [SEC09-BP04 Authentifier les communications réseau](sec_protect_data_transit_authentication.md)

# SEC09-BP01 Implémenter la gestion sécurisée des clés et des certificats
<a name="sec_protect_data_transit_key_cert_mgmt"></a>

 stockez les clés et les certificats de chiffrement en toute sécurité et renouvelez-les selon le cycle approprié avec un contrôle d'accès strict. Le moyen le plus efficace consiste à utiliser un service géré tel qu' [AWS Certificate Manager (ACM)](http://aws.amazon.com/certificate-manager). Il permet de fournir, de gérer et de déployer facilement des certificats de sécurité TLS (Transport Layer Security) publics et privés à utiliser avec les services AWS et vos ressources internes connectées. Les certificats TLS servent à sécuriser les communications réseau et à établir l'identité des sites Web sur Internet et des ressources sur les réseaux privés. ACM s'intègre aux ressources AWS, telles que les Elastic Load Balancers (ELBs), les distributions AWS et les API sur API Gateway, en gérant également les renouvellements automatiques des certificats. Si vous utilisez ACM pour déployer une autorité de certification (CA) racine privée, celle-ci peut fournir à la fois des certificats et des clés privées à utiliser dans les instances Amazon Elastic Compute Cloud (Amazon EC2) , conteneurs, etc. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Mettre en œuvre la gestion sécurisée des clés et des certificats : implémentez votre solution de gestion sécurisée des clés et des certificats. 
  + [AWS Certificate Manager ](https://aws.amazon.com/certificate-manager/)
  + [ Comment héberger et gérer une infrastructure complète de certificats privés dans AWS](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+  Implémenter des protocoles sécurisés : utilisez des protocoles sécurisés qui offrent authentification et confidentialité, tels que Transport Layer Security (TLS) ou IPsec, pour réduire le risque de falsification ou de perte de données. Consultez la documentation AWS pour connaître les protocoles et la sécurité adaptés aux services que vous utilisez. 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Documentation AWS](https://docs.aws.amazon.com/)

# SEC09-BP02 Appliquer le chiffrement en transit
<a name="sec_protect_data_transit_encrypt"></a>

 Appliquez vos exigences de chiffrement définies en fonction des normes et recommandations appropriées afin de respecter vos exigences organisationnelles, légales et de conformité. Les services AWS fournissent des points de terminaison HTTPS utilisant TLS pour la communication, ce qui assure le chiffrement en transit lors de la communication avec les API AWS. Les protocoles non sécurisés, tels que HTTP, peuvent être contrôlés et bloqués dans un VPC à l'aide de groupes de sécurité. Les requêtes HTTP peuvent également être [redirigées automatiquement vers HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) dans Amazon CloudFront ou sur un [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions). Vous disposez d'un contrôle total sur vos ressources de calcul pour mettre en œuvre le chiffrement en transit dans l'ensemble de vos services. De plus, vous pouvez utiliser la connectivité VPN dans votre VPC à partir d'un réseau externe pour faciliter le chiffrement du trafic. Des solutions tierces sont disponibles sur AWS Marketplace si vous avez des exigences particulières. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Appliquer le chiffrement en transit : vos exigences en matière de chiffrement doivent être définies selon les dernières normes et bonnes pratiques en matière de sécurité, et doivent autoriser uniquement des protocoles sécurisés. Par exemple, configurez uniquement un groupe de sécurité pour autoriser le protocole HTTPS pour un équilibreur de charge d'application ou une instance Amazon Elastic Compute Cloud (Amazon EC2). 
+  Configurer des protocoles sécurisés dans les services périphériques : configurez HTTPS avec Amazon CloudFront et les chiffrements requis. 
  + [ Utilisation de HTTPS avec CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+  Utiliser un VPN pour la connectivité externe : envisagez d'utiliser un réseau privé virtuel (VPN) IPsec pour sécuriser les connexions point à point ou réseau à réseau afin d'assurer à la fois la confidentialité et l'intégrité des données. 
  + [ Connexions VPN ](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html)
+  Configurer des protocoles sécurisés dans les équilibreurs de charge : activez l'écouteur HTTPS pour sécuriser les connexions aux équilibreurs de charge. 
  + [ Écouteurs HTTPS pour votre Application Load Balancer ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)
+  Configurer des protocoles sécurisés pour les instances : envisagez de configurer le chiffrement HTTPS sur les instances. 
  + [ Tutoriel : configurer le serveur web Apache sur Amazon Linux 2 pour utiliser SSL/TLS ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-an-instance.html)
+  Configurer des protocoles sécurisés dans Amazon Relational Database Service (Amazon RDS) : utilisez Secure Socket Layer (SSL) ou Transport Layer Security (TLS) pour chiffrer la connexion aux instances de base de données. 
  + [ Utilisation de SSL pour chiffrer une connexion à une instance de base de données ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+  Configurer des protocoles sécurisés dans Amazon Redshift : configurez votre cluster pour exiger une connexion SSL (Secure Socket Layer) ou TLS (Transport Layer Security). 
  + [ Configure security options for connections ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)
+  Configurer des protocoles sécurisés dans des services AWS supplémentaires. Pour les services AWS que vous utilisez, déterminez les fonctionnalités de chiffrement en transit. 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+ [ Documentation AWS](https://docs.aws.amazon.com/index.html)

# SEC09-BP03 Automatiser la détection des accès involontaires aux données
<a name="sec_protect_data_transit_auto_unintended_access"></a>

 Utilisez des outils comme Amazon GuardDuty pour détecter automatiquement les activités suspectes ou les tentatives de déplacement de données en dehors des limites définies. Par exemple, GuardDuty peut détecter une activité de lecture Amazon Simple Storage Service (Amazon S3) inhabituelle [avec le résultat Exfiltration:S3/AnomalousBehavior](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-objectreadunusual). Outre GuardDuty, [les journaux de flux Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html), qui capture des informations sur le trafic réseau, peuvent être utilisés avec Amazon EventBridge pour déclencher la détection des connexions anormales, qu'elles aboutissent ou non. [Amazon S3 Access Analyzer](http://aws.amazon.com/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3) peut vous aider à déterminer les données accessibles aux utilisateurs de vos compartiments Amazon S3. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Automatiser la détection de l'accès involontaire aux données : utilisez un outil ou un mécanisme de détection pour identifier automatiquement les tentatives de déplacement des données en dehors des limites définies, par exemple, pour détecter un système de base de données qui copie des données vers un hôte non reconnu. 
  + [ Journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) 
+  Envisager Amazon Macie : Amazon Macie est un service de sécurité et de confidentialité des données entièrement géré qui utilise le machine learning et la comparaison de modèles pour découvrir et protéger vos données sensibles dans AWS. 
  + [ Amazon Macie ](https://aws.amazon.com/macie/)

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+ [ Journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) 
+ [ Amazon Macie ](https://aws.amazon.com/macie/)

# SEC09-BP04 Authentifier les communications réseau
<a name="sec_protect_data_transit_authentication"></a>

 Vérifiez l'identité des communications à l'aide de protocoles comme TLS (Transport Layer Security) ou IPsec qui prennent en charge l'authentification. 

L'utilisation de protocoles réseau qui prennent en charge l'authentification permet d'établir une relation de confiance entre les parties. Cela complète le chiffrement utilisé dans le protocole pour réduire les risques de modification ou d'interception des communications. Les protocoles courants qui mettent en œuvre l'authentification incluent le protocole TLS (Transport Layer Security), utilisé dans de nombreux services AWS, et IPsec, utilisé dans [AWS Virtual Private Network (Site-to-Site VPN)](http://aws.amazon.com/vpn).

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Implémenter des protocoles sécurisés : utilisez des protocoles sécurisés qui offrent authentification et confidentialité, tels que TLS ou IPsec, pour réduire le risque de falsification ou de perte de données. Consultez la [documentation AWS](https://docs.aws.amazon.com/) pour connaître les protocoles et la sécurité relatifs aux services que vous utilisez. 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Documentation AWS](https://docs.aws.amazon.com/)