# Priorités de l’entreprise
<a name="organization-priorities"></a>

 Vos équipes doivent avoir une compréhension commune de l’ensemble de votre charge de travail, de leur rôle dans celle-ci et de leurs objectifs économiques communs afin de fixer les priorités qui conduiront à la réussite de l’entreprise. Des priorités bien définies maximiseront les bénéfices tirés de vos efforts. Revoyez régulièrement vos priorités afin qu’elles puissent être mises à jour en fonction de l’évolution des besoins. 

**Topics**
+ [OPS01-BP01 Évaluer les besoins des clients externes](ops_priorities_ext_cust_needs.md)
+ [OPS01-BP02 Évaluer les besoins des clients internes](ops_priorities_int_cust_needs.md)
+ [OPS01-BP03 Évaluer les exigences de gouvernance](ops_priorities_governance_reqs.md)
+ [OPS01-BP04 Évaluation des exigences de conformité](ops_priorities_compliance_reqs.md)
+ [OPS01-BP05 Évaluer le paysage des menaces](ops_priorities_eval_threat_landscape.md)
+ [OPS01-BP06 Évaluation des compromis tout en gérant les avantages et les risques](ops_priorities_eval_tradeoffs.md)

# OPS01-BP01 Évaluer les besoins des clients externes
<a name="ops_priorities_ext_cust_needs"></a>

 Impliquez les principales parties prenantes, notamment les équipes commerciales, de développement et d’exploitation, pour déterminer où il est nécessaire de concentrer les efforts sur les besoins des clients externes. Cela vous donnera une compréhension approfondie du soutien opérationnel nécessaire pour atteindre les résultats opérationnels souhaités. 

 **Résultat escompté :** 
+  Vous travaillez à rebours à partir des résultats des clients. 
+  Vous comprenez comment vos pratiques opérationnelles soutiennent les résultats et les objectifs de l’entreprise. 
+  Vous impliquez toutes les parties concernées. 
+  Vous disposez de mécanismes pour capturer les besoins des clients externes. 

 **Anti-modèles courants :** 
+  Vous avez décidé de ne pas bénéficier du service client en dehors des heures de bureau, mais vous n’avez pas examiné les données historiques des demandes d’assistance. Vous ne savez pas si cela aura un impact sur vos clients. 
+  Vous développez une nouvelle fonctionnalité, mais n’avez pas contacté vos clients pour déterminer si elle est souhaitée, sous quelle forme, et sans expérimentation pour valider le besoin et la méthode de distribution. 

 **Avantages liés au respect de cette bonne pratique :** les clients dont les besoins sont satisfaits sont beaucoup plus susceptibles de rester fidèles. L’évaluation et la compréhension des besoins des clients externes vous permettent d’établir des priorités dans vos efforts pour apporter de la valeur ajoutée à votre entreprise. 

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** élevé 

## Directives d’implémentation
<a name="implementation-guidance"></a>

 **Identification des besoins de l’entreprise :** le succès de l’entreprise repose sur des objectifs communs et une compréhension partagée entre les parties prenantes, y compris les équipes commerciales, de développement et d’exploitation. 

 **Révision des objectifs de l’entreprise, des besoins et des priorités des clients externes :** impliquez les acteurs clés, notamment, les équipes commerciales, du développement et des opérations, pour discuter des objectifs, besoins et priorités des clients externes. Cela permet de vérifier que vous comprenez bien le soutien opérationnel requis pour atteindre les résultats de l’entreprise et des clients. 

 **Établissement d’une compréhension commune :** établissez une compréhension commune des fonctions opérationnelles de la charge de travail, des rôles de chacune des équipes dans l’exploitation de la charge de travail, et de la manière dont ces facteurs soutiennent les objectifs opérationnels partagés chez les clients internes et externes. 

## Ressources
<a name="resources"></a>

 **Bonnes pratiques associées :** 
+  [OPS11-BP03 Mettre en œuvre des boucles de rétroaction](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_evolve_ops_feedback_loops.html) 

# OPS01-BP02 Évaluer les besoins des clients internes
<a name="ops_priorities_int_cust_needs"></a>

 Impliquez les principales parties prenantes, notamment les équipes commerciales, de développement et d’exploitation, lorsqu’il s’agit de déterminer où il est nécessaire de concentrer les efforts sur les besoins des clients internes. Ainsi, vous aurez une connaissance approfondie du soutien opérationnel requis pour atteindre les résultats opérationnels. 

 **Résultat escompté :** 
+  Tenez compte des priorités que vous avez établies pour concentrer vos efforts d’amélioration là où ils auront le plus d’impact (par exemple, le développement des compétences de l’équipe, l’amélioration des performances des charges de travail, la réduction des coûts, l’automatisation des runbooks ou encore l’amélioration de la surveillance). 
+  Mettez à jour vos priorités en fonction des besoins. 

 **Anti-modèles courants :** 
+  Vous avez décidé de modifier l’attribution des adresses IP de vos équipes de produits sans les consulter, afin de faciliter la gestion de votre réseau. Vous ne connaissez pas l’impact que cela aura sur vos équipes de produits. 
+  Vous mettez en place un nouvel outil de développement, mais vous n’avez pas demandé à vos clients internes s’ils en ont besoin ou s’il est compatible avec leurs pratiques existantes. 
+  Vous mettez en place un nouveau système de surveillance, mais vous demandez à vos clients internes s’ils ont des besoins en matière de surveillance ou de rapports à prendre en compte. 

 **Avantages liés au respect de cette bonne pratique :** l’évaluation et la compréhension des besoins des clients internes vous permettent d’établir des priorités dans vos efforts pour apporter de la valeur ajoutée à votre entreprise. 

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** élevé 

## Directives d’implémentation
<a name="implementation-guidance"></a>
+  Identifiez les besoins de l’entreprise : la réussite repose sur des objectifs et une compréhension partagés entre les différents acteurs, y compris les équipes commerciales, de développement et d’opérations. 
+  Analysez les objectifs, les besoins et les priorités des clients internes : impliquez les acteurs clés, notamment, les équipes commerciales, du développement et des opérations, pour discuter des objectifs, besoins et priorités des clients internes. Cela permet de vérifier que vous comprenez bien le soutien opérationnel requis pour atteindre les résultats de l’entreprise et des clients. 
+  Établir une compréhension commune : établissez une compréhension commune des fonctions opérationnelles de la charge de travail, des rôles de chacune des équipes dans l’exploitation de la charge de travail, et de la manière dont ces facteurs soutiennent les objectifs opérationnels partagés chez les clients internes et externes. 

## Ressources
<a name="resources"></a>

 **Bonnes pratiques associées :**
+  [OPS11-BP03 Implémenter des boucles de rétroaction](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_evolve_ops_feedback_loops.html) 

# OPS01-BP03 Évaluer les exigences de gouvernance
<a name="ops_priorities_governance_reqs"></a>

 La gouvernance désigne l’ensemble des politiques, règles ou cadres qu’une entreprise utilise pour atteindre ses objectifs commerciaux. Les exigences en matière de gouvernance sont générées au sein de votre organisation. Elles peuvent affecter les types de technologies que vous choisissez ou influencer la façon dont vous gérez votre charge de travail. Incorporez les exigences de gouvernance organisationnelle dans votre charge de travail. La conformité désigne la capacité à prouver que vous avez mis en œuvre les exigences de gouvernance. 

 **Résultat escompté :** 
+  Les exigences de gouvernance sont intégrées à la conception architecturale et au fonctionnement de votre charge de travail. 
+  Vous pouvez fournir la preuve que vous avez suivi les exigences de gouvernance. 
+  Les exigences en matière de gouvernance sont régulièrement revues et mises à jour. 

 **Anti-modèles courants :** 
+ Votre organisation exige que le compte racine dispose d’une authentification multi-facteur. Vous n’avez pas mis en œuvre cette exigence et le compte racine est compromis.
+ Lors de la conception de votre charge de travail, vous choisissez un type d’instance qui n’est pas approuvé par le service informatique. Vous ne parvenez pas à lancer votre charge de travail et devez procéder à une refonte.
+ Vous êtes tenu de préparer un plan de reprise après sinistre. Vous n’en avez pas créé et votre charge de travail subit une interruption prolongée.
+  Votre équipe souhaite utiliser de nouvelles instances, mais vos exigences de gouvernance n’ont pas été mises à jour pour les autoriser. 

 **Avantages liés au respect de cette bonne pratique :** 
+  Le respect des exigences de gouvernance permet d’aligner votre charge de travail sur les politiques de l’organisation dans son ensemble. 
+  Les exigences en matière de gouvernance reflètent les normes industrielles et les bonnes pratiques de votre organisation. 

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** élevé 

## Directives d’implémentation
<a name="implementation-guidance"></a>

Identifiez les besoins en matière de gouvernance en travaillant avec les parties prenantes et les organisations de gouvernance. Incorporez les exigences de gouvernance à votre charge de travail. Soyez en mesure de prouver que vous avez respecté les exigences de gouvernance.

 **Exemple client** 

 Chez AnyCompany Retail, l'équipe des opérations cloud travaille avec les parties prenantes de l'organisation pour développer les exigences de gouvernance. Par exemple, ils interdisent SSH l'accès aux EC2 instances Amazon. Si les équipes doivent accéder au système, elles doivent utiliser AWS Systems Manager Session Manager. L’équipe chargée des opérations dans le cloud met régulièrement à jour les exigences de gouvernance à mesure que de nouveaux services sont disponibles. 

 **Étapes d’implémentation** 

1.  Identifiez les parties prenantes de votre charge de travail, y compris toute équipe centralisée. 

1.  Travaillez avec les parties prenantes pour identifier les exigences de gouvernance. 

1.  Une fois que vous avez dressé une liste, classez les points à améliorer par ordre de priorité et commencez à les mettre en œuvre dans votre charge de travail. 

   1.  Utilisez des services tels que [AWS Config](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)pour créer governance-as-code et valider le respect des exigences de gouvernance. 

   1.  Si vous utilisez [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html), vous pouvez tirer parti des stratégies de contrôle des services pour mettre en œuvre les exigences de gouvernance. 

1.  Fournissez la documentation qui valide la mise en œuvre. 

 **Niveau d’effort du plan d’implémentation :** moyen. La mise en œuvre des exigences de gouvernance manquantes peut entraîner une refonte de votre charge de travail. 

## Ressources
<a name="resources"></a>

 **Bonnes pratiques associées :** 
+  [OPS01-BP04 Évaluation des exigences de conformité](ops_priorities_compliance_reqs.md) – La conformité est similaire à la gouvernance, mais elle émane de l’extérieur de l’organisation. 

 **Documents connexes :** 
+ [AWS Guide de gestion et de gouvernance de l'environnement cloud](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-guide/management-and-governance-cloud-environment-guide.html)
+ [Meilleures pratiques en matière AWS Organizations de politiques de contrôle des services dans un environnement multi-comptes](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)
+ [La gouvernance dans le AWS Cloud : le juste équilibre entre agilité et sécurité](https://aws.amazon.com/blogs/apn/governance-in-the-aws-cloud-the-right-balance-between-agility-and-safety/)
+ [Qu'est-ce que la gouvernance, le risque et la conformité (GRC) ?](https://aws.amazon.com/what-is/grc/)

 **Vidéos connexes :** 
+ [AWS Gestion et gouvernance : configuration, conformité et audit - Discussions techniques AWS en ligne](https://www.youtube.com/watch?v=79ud1ZAaoj0)
+ [AWS RE:inForce 2019 : La gouvernance à l'ère du cloud (-R1) DEM12](https://www.youtube.com/watch?v=y3WmHnavuN8)
+ [AWS re:Invent 2020 : Garantir la conformité sous forme de code en utilisant AWS Config](https://www.youtube.com/watch?v=m8vTwvbzOfw)
+ [AWS re:Invent 2020 : la gouvernance agile sur AWS GovCloud (US)](https://www.youtube.com/watch?v=hv6B17eriHQ)

 **Exemples connexes :** 
+ [AWS Config Exemples de packs de conformité](https://docs.aws.amazon.com/config/latest/developerguide/conformancepack-sample-templates.html)

 **Services connexes :** 
+ [AWS Config](https://aws.amazon.com/config/)
+ [AWS Organizations - Politiques de contrôle des services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)

# OPS01-BP04 Évaluation des exigences de conformité
<a name="ops_priorities_compliance_reqs"></a>

Les exigences en matière de conformité réglementaire, sectorielle et interne constituent un facteur important pour définir les priorités de votre organisation. Votre cadre de conformité peut vous empêcher d’utiliser des technologies ou des emplacements géographiques spécifiques. Appliquez les principes de diligence raisonnable si aucun cadre de conformité externe n’est identifié. Générez des audits ou des rapports qui valident la conformité.

 Si vous mettez en avant le fait que votre produit respecte des normes de conformité spécifiques, vous devez mettre en place un processus interne pour assurer une conformité constante. Les normes PCI DSS, FedRAMP et HIPAA sont des exemples de normes de conformité. Les normes de conformité applicables sont déterminées par divers facteurs, tels que les types des données stockées ou transmises par la solution et les régions géographiques prises en charge par la solution. 

 **Résultat escompté :** 
+  Les exigences en matière de conformité réglementaire, industrielle et interne sont intégrées dans le choix de l’architecture. 
+  Vous pouvez valider la conformité et générer des rapports d’audit. 

 **Anti-modèles courants :** 
+ Certaines parties de votre charge de travail relèvent du cadre de la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS), mais votre charge de travail stocke les données des cartes de crédit sans les chiffrer.
+ Vos développeurs et architectes de logiciels ne connaissent pas le cadre de conformité auquel votre organisation doit se conformer.
+  L’audit annuel SOC2 (Systems and Organizations Control) de type II aura lieu prochainement et vous n’êtes pas en mesure de vérifier que les contrôles sont en place. 

 **Avantages liés au respect de cette bonne pratique :** 
+  L’évaluation et la compréhension des exigences de conformité qui s’appliquent à votre charge de travail détermineront la façon dont vous priorisez vos efforts pour produire de la valeur ajoutée. 
+  Vous choisissez les bons sites et les bonnes technologies, en accord avec votre cadre de conformité. 
+  La conception de votre charge de travail en vue de son auditabilité vous aide à prouver que vous adhérez à votre cadre de conformité. 

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** élevé 

## Directives d’implémentation
<a name="implementation-guidance"></a>

 La mise en œuvre de cette bonne pratique signifie que vous intégrez les exigences de conformité dans votre processus de conception de l’architecture. Les membres de votre équipe connaissent le cadre de conformité requis. Vous validez la conformité conformément au cadre. 

 **Exemple client** 

 AnyCompany Retail stocke les informations relatives aux cartes de crédit des clients. Les développeurs de l’équipe chargée du stockage des cartes comprennent qu’ils doivent se conformer au cadre PCI-DSS. Ils ont pris des mesures pour vérifier que les informations relatives aux cartes de crédit sont stockées et accessibles en toute sécurité, conformément au cadre PCI-DSS. Chaque année, ils travaillent avec leur équipe de sécurité pour valider la conformité. 

 **Étapes d’implémentation** 

1.  Travaillez avec vos équipes de sécurité et de gouvernance pour déterminer les cadres de conformité sectoriels, réglementaires ou internes auxquels votre charge de travail doit se conformer. Incorporez les cadres de conformité à votre charge de travail. 

   1.  Validez la conformité continue des ressources AWS avec des services tels que [Optimiseur de calcul AWS](https://docs.aws.amazon.com/compute-optimizer/latest/ug/what-is-compute-optimizer.html) et [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html). 

1.  Informez les membres de votre équipe sur les exigences de conformité afin qu’ils puissent travailler et faire évoluer la charge de travail en fonction de celles-ci. Les exigences de conformité doivent être incorporées aux choix architecturaux et technologiques. 

1.  En fonction du cadre de conformité, vous pouvez être amené à générer un audit ou un rapport de conformité. Travaillez avec votre organisation pour automatiser ce processus autant que possible. 

   1.  Utilisez des services comme [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html) pour valider la conformité et générer des rapports d’audit. 

   1.  Vous pouvez télécharger les documents de sécurité et de conformité AWS avec [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html). 

 **Niveau d’effort du plan d’implémentation :** moyen. La mise en œuvre de cadres de conformité peut s’avérer difficile. La génération de rapports d’audit ou de documents de conformité ajoute un niveau de complexité supplémentaire. 

## Ressources
<a name="resources"></a>

 **Bonnes pratiques associées :** 
+  [SEC01-BP03 Identification et validation des objectifs de contrôle :](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_control_objectives.html) les objectifs de contrôle de sécurité jouent un rôle important dans la conformité globale. 
+  [SEC01-BP06 Automatisation des tests et de la validation des contrôles de sécurité dans les pipelines](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_test_validate_pipeline.html) : dans le cadre de vos pipelines, validez les contrôles de sécurité. Vous pouvez également générer des documents de conformité pour les nouvelles modifications. 
+  [SEC07-BP02 Définition de contrôles de protection des données](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_define_protection.html) : de nombreux cadres de conformité sont basés sur des stratégies de gestion et de stockage des données. 
+  [SEC10-BP03 Préparation des capacités de criminalistique](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_prepare_forensic.html) : les capacités d’investigation peuvent parfois être utilisées pour auditer la conformité. 

 **Documents connexes :** 
+ [Centre de conformité AWS](https://aws.amazon.com/financial-services/security-compliance/compliance-center/)
+ [Ressources relatives à la conformité AWS](https://aws.amazon.com/compliance/resources/)
+ [Livre blanc sur les risques et la conformité AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-risk-and-compliance/welcome.html) :
+ [Modèle de responsabilité partagée AWS](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [Services AWS concernés par les programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/)

 **Vidéos connexes :** 
+ [AWS re:Invent 2020: Achieve compliance as code using Optimiseur de calcul AWS](https://www.youtube.com/watch?v=m8vTwvbzOfw)
+ [AWS re:Invent 2021 - Cloud compliance, assurance, and auditing ](https://www.youtube.com/watch?v=pdrYGVgb08Y)
+ [AWS Summit ATL 2022 - Implementing compliance, assurance, and auditing on AWS (COP202) ](https://www.youtube.com/watch?v=i7XrWimhqew)

 **Exemples connexes :** 
+ [PCI DSS et bonnes pratiques de sécurité de base AWS sur AWS](https://aws.amazon.com/solutions/partners/compliance-pci-fsbp-remediation/)

 **Services connexes :** 
+ [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)
+ [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)
+ [Optimiseur de calcul AWS](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)

# OPS01-BP05 Évaluer le paysage des menaces
<a name="ops_priorities_eval_threat_landscape"></a>

 Évaluez les menaces pesant sur l’entreprise (par exemple, la concurrence, les risques commerciaux et les responsabilités, les risques opérationnels et les menaces sur la sécurité des informations) et tenez à jour les informations dans un registre des risques. Incluez l’impact des risques pour déterminer où concentrer les efforts. 

 Le [cadre Well-Architected](https://aws.amazon.com/architecture/well-architected/) met l’accent sur la formation, la mesure et l’amélioration. Il fournit une approche cohérente qui vous permet d'évaluer les architectures et de mettre en œuvre des conceptions qui évolueront au fil du temps. AWS fournit les informations [AWS Well-Architected Tool](https://aws.amazon.com/well-architected-tool/)nécessaires pour vous aider à revoir votre approche avant le développement, l'état de vos charges de travail avant la production et l'état de vos charges de travail en production. Vous pouvez les comparer aux meilleures pratiques AWS architecturales les plus récentes, surveiller l'état général de vos charges de travail et avoir un aperçu des risques potentiels. 

 AWS les clients peuvent bénéficier d'un examen guidé par Well-Architected de leurs charges de travail critiques afin de mesurer leurs architectures par rapport [aux](https://aws.amazon.com/premiumsupport/programs/) meilleures pratiques. AWS Les clients Enterprise Support sont éligibles à une [vérification des opérations](https://aws.amazon.com/premiumsupport/programs/) conçue pour les aider à identifier les failles de leur approche d’exécution dans le cloud. 

 L’implication des équipes dans ces vérifications contribue à établir une compréhension partagée de vos charges de travail et de la façon dont les rôles de chacun contribuent à la réussite de l’équipe. Les besoins identifiés par la vérification peuvent vous aider à définir vos priorités. 

 [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/) est un outil qui donne accès à un ensemble de base de vérifications qui recommandent des optimisations pouvant vous aider à définir vos priorités. Les [clients du Business and Enterprise Support](https://aws.amazon.com/premiumsupport/plans/) ont accès à des contrôles supplémentaires axés sur la sécurité, la fiabilité, les performances et l’optimisation des coûts qui peuvent les aider à définir leurs priorités. 

 **Résultat escompté :** 
+  Vous révisez et agissez régulièrement sur Well-Architected Trusted Advisor et ses résultats 
+  Vous êtes au courant de l’état des derniers correctifs de vos services. 
+  Vous comprenez le risque et l’impact des menaces connues et vous agissez en conséquence. 
+  Vous mettez en œuvre des mesures d’atténuation si nécessaire. 
+  Vous communiquez les actions et le contexte. 

 **Anti-modèles courants :** 
+  Vous utilisez une ancienne version d’une bibliothèque de logiciels dans votre produit. Vous n’êtes pas au courant des mises à jour de sécurité de la bibliothèque pour les questions qui peuvent avoir un impact involontaire sur votre charge de travail. 
+  Votre concurrent vient de lancer une version de son produit qui répond aux nombreuses plaintes de vos clients concernant votre produit. Vous n’avez pas priorisé la résolution de ces problèmes connus. 
+  Les régulateurs ont poursuivi des entreprises comme la vôtre qui ne respectaient pas les exigences légales de conformité réglementaire. Vous n’avez pas priorisé la résolution des vos exigences de conformité en suspens. 

 **Avantages liés au respect de cette bonne pratique :** l’identification et la compréhension des menaces qui pèsent sur votre organisation et votre charge de travail vous permettent de déterminer les menaces à traiter, leur priorité et les ressources nécessaires pour y parvenir. 

 **Niveau de risque encouru si cette bonne pratique n’est pas respectée :** moyen 

## Directives d’implémentation
<a name="implementation-guidance"></a>
+  **Évaluation des menaces existantes :** évaluez les menaces qui pèsent sur l’entreprise (par exemple, la concurrence, les risques commerciaux et les responsabilités, les risques opérationnels et les menaces sur la sécurité des données) afin de pouvoir tenir compte de leur impact lorsque vous déterminez où concentrer vos efforts. 
  +  [Derniers bulletins de sécuritéAWS](https://aws.amazon.com/security/security-bulletins/) 
  +  [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/) 
+  **Gestion d’un modèle de menace :** établissez et gérez un modèle de menace identifiant les menaces potentielles, les mesures d’atténuation prévues et en place, et leur priorité. Examinez la probabilité que les menaces se manifestent par des incidents, le coût de la récupération après ces incidents, le préjudice attendu et le coût de la prévention de ces incidents. Modifiez les priorités au fur et à mesure que le contenu du modèle de menace change. 

## Ressources
<a name="resources"></a>

 **Bonne pratique associée :** 
+  [SEC01-BP07 Identifier les menaces et prioriser les mesures d'atténuation à l'aide d'un modèle de menace](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_securely_operate_threat_model.html) 

 **Documents connexes :** 
+  [ConformitéAWS Cloud](https://aws.amazon.com/compliance/) 
+  [Derniers bulletins de sécuritéAWS](https://aws.amazon.com/security/security-bulletins/) 
+  [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/) 

 **Vidéos connexes :** 
+  [AWS re:Inforce 2023 - A tool to help improve your threat modeling](https://youtu.be/CaYCsmjuiHg?si=e_CXPGqRF4WeBr1u) 

# OPS01-BP06 Évaluation des compromis tout en gérant les avantages et les risques
<a name="ops_priorities_eval_tradeoffs"></a>

 Les intérêts divergents de plusieurs parties peuvent compliquer la hiérarchisation des efforts, la création de solutions et l’obtention de résultats conformes aux stratégies commerciales. Imaginons que l’on vous demande d’accélérer la mise sur le marché de nouvelles fonctionnalités plutôt que d’optimiser les coûts de l’infrastructure informatique. Cela peut mettre deux parties intéressées en conflit l’une avec l’autre. Dans ces situations, les décisions doivent être portées devant une autorité supérieure pour résoudre le conflit. Des données sont nécessaires pour écarter l’attachement émotionnel du processus de prise de décision. 

 Le même défi peut se présenter au niveau tactique. Par exemple, le choix entre l’utilisation de technologies de base de données relationnelle ou non relationnelle peut avoir un impact significatif sur le fonctionnement d’une application. Il est essentiel de comprendre les résultats prévisibles des différents choix. 

 AWS peut vous aider à former vos équipes à AWS et à ses services afin qu’elles comprennent mieux comment leurs choix peuvent avoir un impact sur votre charge de travail. Utilisez les ressources fournies par [Support](https://aws.amazon.com/premiumsupport/programs/) ([Centre de connaissances AWS](https://aws.amazon.com/premiumsupport/knowledge-center/), [forums de discussion AWS](https://forums.aws.amazon.com/index.jspa) et [Support Center](https://console.aws.amazon.com/support/home/)) et la [documentation AWS](https://docs.aws.amazon.com/) pour former vos équipes. Pour d’autres questions, contactez Support. 

 AWS partage également les bonnes pratiques et les modèles opérationnels dans [Amazon Builders’ Library](https://aws.amazon.com/builders-library/). Un grand nombre d’autres informations utiles sont disponibles sur le [blog AWS](https://aws.amazon.com/blogs/) et sur le [podcast AWS officiel](https://aws.amazon.com/podcasts/aws-podcast/). 

 **Résultat escompté :** vous disposez d’un cadre clairement défini de gouvernance de prise de décision pour faciliter les décisions importantes à tous les niveaux au sein de votre organisation de fourniture de cloud. Ce cadre comprend des fonctionnalités telles qu’un registre des risques, des rôles définis autorisés à prendre des décisions et un modèle défini pour chaque niveau de décision pouvant être prise. Ce cadre définit à l’avance comment les conflits sont résolus, quelles données doivent être présentées et comment les options sont hiérarchisées, de sorte qu’une fois les décisions prises, vous puissiez vous engager sans délai. Le cadre décisionnel comprend une approche normalisée pour examiner et évaluer les avantages et les risques de chaque décision afin de comprendre les compromis. Cela peut inclure des facteurs externes, tels que le respect des exigences de conformité réglementaires. 

 **Anti-modèles courants :** 
+  Vos investisseurs vous demandent de prouver que vous respectez les normes de sécurité des données du secteur des cartes de paiement (PCI DSS). Vous n’envisagez pas les compromis entre la satisfaction de leur demande et la poursuite de vos efforts de développement actuels. Au lieu de cela, vous poursuivez vos efforts de développement sans en démontrer la conformité. Vos investisseurs cessent de soutenir votre entreprise en raison de préoccupations concernant la sécurité de votre plate-forme et de leurs investissements. 
+  Vous avez décidé d’inclure une bibliothèque que l’un de vos développeurs a trouvée sur Internet. Vous n’avez pas évalué les risques d’adoption de cette bibliothèque d’une source inconnue et ne savez pas si elle contient des vulnérabilités ou du code malveillant. 
+  La justification commerciale initiale de votre migration reposait sur la modernisation de 60 % des charges de travail de vos applications. Cependant, en raison de difficultés techniques, il a été décidé de ne moderniser que 20 %. Cela a entraîné une réduction des avantages prévus à long terme, une augmentation de la charge de travail des opérateurs pour la prise en charge manuelle des systèmes hérités par les équipes d’infrastructure et une plus grande dépendance au développement de nouvelles compétences au sein de vos équipes d’infrastructure qui ne prévoyaient pas ce changement. 

 **Avantages de l’établissement de cette bonne pratique :** harmonisation et prise en charge intégrales des priorités commerciales du conseil d’administration, compréhension des risques liés au succès, prise de décisions éclairées et action appropriée lorsque les risques entravent les chances de réussite. La compréhension des implications et des conséquences de vos décisions vous aide à hiérarchiser vos options et à amener les dirigeants à se mettre d’accord plus rapidement, ce qui se traduit par de meilleurs résultats commerciaux. En identifiant les avantages de vos choix et en étant conscient des risques auxquels votre organisation est exposée, vous pouvez prendre des décisions fondées sur des données, plutôt que de vous fier à des anecdotes. 

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** moyen 

## Directives d’implémentation
<a name="implementation-guidance"></a>

 La gestion des avantages et des risques doit être définie par un organe directeur qui gère les exigences relatives à la prise de décisions clés. Les décisions doivent être prises et classées par ordre de priorité en fonction de leurs avantages pour l’organisation, en comprenant les risques encourus. Des informations précises sont essentielles à la prise de décisions organisationnelles. Cet élément doit être basé sur des mesures solides et défini par les pratiques courantes du secteur en matière d’analyse des coûts par rapport aux avantages. Pour prendre ce type de décisions, il faut trouver un équilibre entre l’autorité centralisée et l’autorité décentralisée. Les compromis sont nécessaires, et il est important de comprendre l’impact de chaque choix sur les stratégies définies et les résultats commerciaux souhaités. 

### Étapes d’implémentation
<a name="implementation-steps"></a>

1.  Formalisez les pratiques de mesure des avantages dans un cadre de gouvernance du cloud holistique. 

   1.  Trouvez un juste milieu entre le contrôle décisionnel central et l’autorité décentralisée pour certaines décisions. 

   1.  Comprenez que les processus décisionnels fastidieux imposés à chaque décision peuvent vous ralentir. 

   1.  Intégrez des facteurs externes à votre processus de prise de décision (comme les exigences de conformité). 

1.  Établissez un cadre décisionnel convenu pour les différents niveaux de décision. Il doit notamment préciser qui est tenu de débloquer les décisions qui sont sujettes à des conflits d’intérêts. 

   1.  Centralisez les décisions à sens unique qui peuvent être irréversibles. 

   1.  Permettez aux responsables organisationnels de niveau inférieur de prendre des décisions bidirectionnelles. 

1.  Comprenez et gérez les avantages et les risques. Équilibrez les avantages des décisions par rapport aux risques impliqués. 

   1.  **Identification des avantages** : identifiez les avantages en fonction des objectifs, des besoins et des priorités de l’entreprise. Citons comme exemples l’impact des analyses de rentabilisation, les délais de mise sur le marché, la sécurité, la fiabilité, les performances et les coûts. 

   1.  **Identification des risques** : identifiez les risques en fonction des objectifs, des besoins et des priorités de l’entreprise. Les exemples incluent les délais de commercialisation, la sécurité, la fiabilité, la performance et les coûts. 

   1.  **Évaluation des avantages par rapport aux risques et prise de décisions avisées** : déterminez l’impact des avantages et des risques en fonction des objectifs, des besoins et des priorités de vos parties prenantes clés, notamment les équipes commerciales, le développement et les opérations. Évaluez la valeur ajoutée de l’avantage par rapport à la probabilité de réalisation du risque et au coût de son impact. Par exemple, l’accent mis sur la rapidité de mise sur le marché plutôt que sur la fiabilité pourrait fournir un avantage concurrentiel. Toutefois, cela peut entraîner une réduction du temps de fonctionnement en cas de problèmes de fiabilité. 

1.  Appliquez de manière programmatique les décisions clés qui automatisent le respect des exigences de conformité. 

1.  Tirez parti des cadres et des fonctionnalités connus du secteur, par exemple l’analyse de la chaîne de valeur et le LEAN, pour établir une base de référence pour les performances actuelles, les métriques stratégiques, et définissez des itérations de progrès en vue d’améliorer ces métriques. 

 **Niveau d’effort du plan d’implémentation :** moyen-élevé 

## Ressources
<a name="resources"></a>

 **Bonnes pratiques associées :** 
+  [OPS01-BP05 Évaluation des menaces existantes](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_priorities_eval_threat_landscape.html) 

 **Documents connexes :** 
+  [Éléments de la culture d’Amazon dès le premier jour \$1 Prise de décisions rapides et éclairées](https://aws.amazon.com/executive-insights/content/how-amazon-defines-and-operationalizes-a-day-1-culture/) 
+  [Gouvernance du cloud](https://aws.amazon.com/cloudops/cloud-governance/) 
+  [ Management and Governance Cloud Environment](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-guide/management-and-governance-cloud-environment-guide.html?did=wp_card&trk=wp_card) 
+  [Gouvernance dans le cloud et à l’ère du numérique : première et deuxième parties](https://aws.amazon.com/blogs/enterprise-strategy/governance-in-the-cloud-and-in-the-digital-age-part-one/) 

 **Vidéos connexes :** 
+  [Podcast \$1 Jeff Bezos \$1 On how to make decisions](https://www.youtube.com/watch?v=VFwCGECvq4I) 

 **Exemples connexes :** 
+  [Prise de décisions éclairées avec des données (The DevOps Sagas)](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/oa.bcl.10-make-informed-decisions-using-data.html) 
+  [Utilisation de la cartographie de la chaîne de valeur du développement pour identifier les contraintes pesant sur les résultats DevOps](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-devops-value-stream-mapping/introduction.html)