# Gestion sécurisée de votre charge de travail
<a name="operating-your-workload-securely"></a>

La gestion sécurisée de votre charge de travail couvre en toute sécurité l’ensemble du cycle de vie d’une charge de travail, de la conception à l’amélioration continue, en passant par la construction et l’exécution. L’une des façons d’améliorer votre capacité à opérer en toute sécurité dans le cloud consiste à adopter une approche organisationnelle de la gouvernance. La gouvernance est la façon dont les décisions sont guidées en permanence sans dépendre uniquement du bon jugement des personnes impliquées. Le modèle et le processus de gouvernance sont la façon dont vous déterminer comment savoir que les objectifs de contrôle pour une charge de travail donnée sont atteints et sont appropriés pour cette charge de travail. Adopter une approche cohérente pour prendre des décisions accélère le déploiement des charges de travail et contribue à renforcer la sécurité dans votre organisation. 

Pour gérer votre charge de travail en toute sécurité, vous devez appliquer les bonnes pratiques générales à tous les domaines de sécurité. Prenez les exigences et les processus que vous avez définis dans le cadre de l’excellence opérationnelle au niveau de l’organisation et de la charge de travail, et appliquez-les à tous les domaines. En restant informé des recommandations AWS et du secteur, ainsi que des renseignements sur les menaces, vous pouvez faire évoluer votre modèle de menace et vos objectifs de contrôle. L’automatisation des processus de sécurité, des tests et de la validation vous permet de mettre à l’échelle vos opérations de sécurité. 

L’automatisation permet la cohérence et la répétabilité des processus. Nous avons tous des talents multiples, mais répéter constamment la même action de la même manière et sans jamais faire d’erreurs n’en fait pas partie. Même avec les runbooks les plus précis, vous courez le risque que les utilisateurs n’exécutent pas les tâches répétitives de manière cohérente. Cela est particulièrement vrai lorsqu’ils ont des responsabilités diverses et qu’ils doivent répondre à des alertes inconnues. En revanche, l’automatisation répond de la même manière à chaque fois. L’automatisation est donc la meilleure façon de déployer des applications. Le code qui exécute le déploiement peut être testé, puis utilisé pour effectuer le déploiement. Cette approche renforce la confiance dans le processus de modification et limite le risque d’échec des modifications. 

Pour vérifier que la configuration répond à vos objectifs de contrôle, testez d’abord l’automatisation et l’application déployée dans un environnement hors production. De cette façon, vous pouvez tester l’automatisation pour prouver qu’elle a suivi toutes les étapes correctement. Vous bénéficiez également d’un retour d’information précoce sur le cycle de développement et de déploiement, ce qui évite les retouches. Pour réduire les risques d’erreurs de déploiement, effectuez les modifications de configuration par programmation et non en faisant appel à des humains. Si vous avez besoin de redéployer une application, l’automatisation facilite le processus. Lorsque vous définissez des objectifs de contrôle supplémentaires, vous pouvez facilement les ajouter à l’automatisation pour toutes les charges de travail.

Au lieu de demander aux responsables de charge de travail individuels d’investir dans des options de sécurité spécifiques à leurs charges de travail, vous gagnez du temps en utilisant des fonctionnalités communes et des composants partagés. Parmi les exemples de services que plusieurs équipes peuvent utiliser, citons le processus de création de compte AWS, l’identité centralisée des personnes, la configuration de la journalisation commune et la création d’images de base d’AMI et de conteneur. Cette approche peut aider les concepteurs de builds à améliorer les temps de cycle de la charge de travail et à atteindre systématiquement les objectifs de contrôle de sécurité. Lorsque les équipes sont constantes, vous pouvez valider les objectifs de contrôle et faire part de votre niveau de contrôle et de votre niveau de risque aux parties prenantes avec plus de confiance.

**Topics**
+ [SEC01-BP03 Identifier et valider les objectifs de contrôle](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 Connaître les menaces et recommandations en matière de sécurité](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 Réduire la portée de la gestion de la sécurité](sec_securely_operate_reduce_management_scope.md)
+ [SEC01-BP06 Automatiser le déploiement des contrôles de sécurité standard](sec_securely_operate_automate_security_controls.md)
+ [SEC01-BP07 Identifier les menaces et hiérarchiser les atténuations à l’aide d’un modèle de menaces](sec_securely_operate_threat_model.md)
+ [SEC01-BP08 Évaluer et mettre en œuvre régulièrement de nouveaux services et de nouvelles fonctions de sécurité](sec_securely_operate_implement_services_features.md)

# SEC01-BP03 Identifier et valider les objectifs de contrôle
<a name="sec_securely_operate_control_objectives"></a>

 Fixez et validez les objectifs de contrôle et les contrôles que vous devez appliquer à votre charge de travail en fonction de vos exigences de conformité et des risques identifiés à partir de votre modèle de menace. La validation continue des objectifs de contrôle et des contrôles permet de mesurer l’efficacité de l’atténuation des risques. 

 **Résultat escompté :** les objectifs de contrôle de sécurité de votre entreprise sont bien définis et conformes à vos exigences de conformité. Des contrôles sont mis en œuvre et appliqués par le biais de l’automatisation et des politiques. Leur efficacité dans le cadre de la réalisation de vos objectifs est évaluée en continu. Les preuves de l’efficacité à un moment donné et au cours d’une période spécifique peuvent être facilement transmises aux auditeurs. 

 **Anti-modèles courants:** 
+  Les exigences réglementaires, les attentes du marché et les normes du secteur en matière de sécurité assurable ne sont pas bien comprises pour votre entreprise 
+  Vos cadres de cybersécurité et vos objectifs de contrôle ne sont pas adaptés aux exigences de votre entreprise 
+  La mise en œuvre des contrôles n’est pas étroitement liée à vos objectifs de contrôle de manière mesurable 
+  Vous n’utilisez pas l’automatisation pour rendre compte de l’efficacité de vos contrôles 

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** élevé 

## Directives d’implémentation
<a name="implementation-guidance"></a>

 De nombreux cadres de cybersécurité courants peuvent constituer la base de vos objectifs en matière de contrôle de sécurité. Tenez compte des exigences réglementaires, des attentes du marché et des normes du secteur pour votre entreprise afin de déterminer les cadres les plus adaptés à vos besoins. Les exemples incluent [AICPA SOC 2](https://aws.amazon.com/compliance/soc-faqs/), [HITRUST](https://aws.amazon.com/compliance/hitrust/), [PCI-DSS](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/), [ISO 27001](https://aws.amazon.com/compliance/iso-27001-faqs/) et [NIST SP 800-53](https://aws.amazon.com/compliance/nist/). 

 En ce qui concerne les objectifs de contrôle que vous identifiez, comprenez comment les services AWS que vous consommez vous aident à atteindre ces objectifs. Utilisez [AWS Artifact](https://aws.amazon.com/artifact/) pour trouver de la documentation et des rapports conformes à vos cadres cibles qui décrivent l’étendue des responsabilités couvertes par AWS et des conseils pour le champ d’application restant sous votre responsabilité. Pour obtenir des conseils supplémentaires spécifiques aux services, dans la mesure où ils s’alignent sur les différentes déclarations de contrôle du cadre, consultez les [guides de conformité destinés aux clients AWS](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf). 

 Lorsque vous définissez les contrôles destinés à vous permettre d’atteindre vos objectifs, codifiez l’application à l’aide de contrôles préventifs et automatisez les mesures d’atténuation à l’aide de contrôles de détection. Aidez à prévenir les configurations de ressources et les actions non conformes dans l’ensemble de vos AWS Organizations à l’aide de [politiques de contrôle des services (SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)). Mettez en œuvre des règles dans [AWS Config](https://aws.amazon.com/config/) pour surveiller et signaler les ressources non conformes, puis basculez les règles vers un modèle d’application une fois que vous êtes sûr de leur comportement. Pour déployer des ensembles de règles prédéfinies et gérées qui s’alignent sur vos cadres de cybersécurité, évaluez l’utilisation des [normes AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html) comme première option. La norme des pratiques exemplaires en matière de sécurité de base AWS (FSBP) et la référence CIS AWS Foundations Benchmark constituent de bons points de départ avec des contrôles qui s’alignent sur de nombreux objectifs partagés par plusieurs cadres standard. Lorsque Security Hub CSPM ne dispose pas intrinsèquement des détections de contrôle souhaitées, il peut être complété par des [packs de conformité AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html). 

 Utilisez les [groupes de partenaires APN](https://aws.amazon.com/partners/programs/gsca/bundles/) recommandés par l’équipe AWS Global Security and Compliance Acceleration (GSCA) pour obtenir l’assistance de conseillers en sécurité, d’agences de conseil, de systèmes de collecte de preuves et d’information, d’auditeurs et d’autres services complémentaires en cas de besoin. 

### Étapes d’implémentation
<a name="implementation-steps"></a>

1.  Évaluez les cadres de cybersécurité courants et alignez vos objectifs de contrôle sur ceux que vous aurez choisis. 

1.  Obtenez la documentation pertinente sur les directives et les responsabilités relatives à votre cadre en utilisant AWS Artifact. Déterminez quels aspects de la conformité relèvent de la partie AWS du modèle de responsabilité partagée et quels éléments relèvent de votre responsabilité. 

1.  Utilisez les SCP, les politiques de ressources, les politiques d’approbation des rôles et d’autres barrières de protection pour empêcher les configurations de ressources et les actions non conformes. 

1.  Évaluez le déploiement des normes Security Hub CSPM et des packs de conformité AWS Config qui correspondent à vos objectifs de contrôle. 

## Ressources
<a name="resources"></a>

 **Bonnes pratiques associées:** 
+  [SEC03-BP01 Définir les conditions d’accès](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_define.html) 
+  [SEC04-BP01 Configurer une journalisation de service et d’application](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_app_service_logging.html) 
+  [SEC07-BP01 Comprendre votre schéma de classification des données](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_identify_data.html) 
+  [OPS01-BP03 Évaluer les exigences de gouvernance](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_governance_reqs.html) 
+  [OPS01-BP04 Évaluer les exigences de conformité](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_compliance_reqs.html) 
+  [PERF01-BP05 Utiliser des stratégies et des architectures de référence](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_architecture_use_policies_and_reference_architectures.html) 
+  [COST02-BP01 Développer des stratégies en fonction des exigences de votre organisation](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_govern_usage_policies.html) 

 **Documents connexes:** 
+  [AWS Guides de conformité pour les clients](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf) 

 **Outils associés:** 
+  [AWS Artifact](https://aws.amazon.com/artifact/) 

# SEC01-BP04 Connaître les menaces et recommandations en matière de sécurité
<a name="sec_securely_operate_updated_threats"></a>

 Restez au fait des dernières menaces et mesures d’atténuation en surveillant les publications et les flux de données sur les menaces dans le secteur afin de connaître les données les plus à jour. Évaluez les offres de services gérés qui sont automatiquement mises à jour en fonction des données les plus récentes sur les menaces. 

 **Résultat escompté :** vous restez informé au fur et à mesure que les publications du secteur sont mises à jour avec les dernières menaces et recommandations.  Vous utilisez l’automatisation pour détecter les vulnérabilités et les expositions potentielles au fur et à mesure que vous identifiez de nouvelles menaces. Vous prenez des mesures pour atténuer ces menaces.  Vous adoptez des services AWS qui sont automatiquement mis à jour avec les dernières informations sur les menaces. 

 **Anti-modèles courants:** 
+  Ne pas disposer d’un mécanisme fiable et reproductible pour connaître les informations les plus récentes sur les menaces. 
+  Gérer un inventaire manuel de votre portefeuille technologique, de vos charges de travail et de vos dépendances qui nécessitent un examen humain pour détecter les vulnérabilités et les expositions potentielles. 
+  Ne pas avoir mis en place de mécanismes pour mettre à jour vos charges de travail et vos dépendances avec les dernières versions disponibles qui fournissent des mesures d’atténuation des menaces connues. 

 **Avantages du respect de cette bonne pratique :** l’utilisation de sources d’information sur les menaces pour rester à jour réduit le risque de passer à côté de changements importants du paysage des menaces susceptibles d’avoir un impact sur votre entreprise.  La mise en place d’une automatisation pour analyser, détecter et corriger les vulnérabilités ou les expositions potentielles présentes dans vos charges de travail et leurs dépendances peut vous aider à atténuer les risques de manière rapide et prévisible, par rapport à des solutions manuelles.  Cela permet de contrôler le temps et les coûts liés à l’atténuation des vulnérabilités. 

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** élevé 

## Directives d’implémentation
<a name="implementation-guidance"></a>

 Consultez des publications fiables comportant des informations sur les menaces pour rester au fait de l’évolution de ces dernières.  Consultez la base de connaissances [MITRE ATT&CK](https://attack.mitre.org/) pour obtenir de la documentation sur les tactiques, techniques et procédures antagonistes (TTP) connues. Consultez la liste des [vulnérabilités et expositions courantes](https://cve.org/) (CVE) de MITRE pour rester informé des vulnérabilités connues des produits sur lesquels vous comptez. Comprenez les risques critiques auxquels sont exposées les applications Web grâce au célèbre projet [OWASP Top 10](https://owasp.org/www-project-top-ten/) de l’Open Worldwide Application Security Project (OWASP). 

 Tenez-vous au courant des événements de sécurité AWS et des mesures correctives recommandées grâce aux [bulletins de sécurité AWS](https://aws.amazon.com/security/security-bulletins/) pour les CVE. 

 Afin de réduire les efforts et les frais généraux liés au maintien de connaissances à jour, envisagez l’utilisation de services AWS qui intègrent automatiquement les nouvelles informations sur les menaces au fil du temps.  Par exemple, [Amazon GuardDuty](https://aws.amazon.com/guardduty/) reste à jour en ce qui concerne les informations sur les menaces du secteur pour détecter les comportements anormaux et les signatures de menaces au sein de vos comptes.  [Amazon Inspector](https://aws.amazon.com/inspector/) met automatiquement à jour une base de données des CVE qu’il utilise pour ses fonctionnalités de numérisation continue.  [AWS WAF](https://aws.amazon.com/waf/) et [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-advanced-summary.html) fournissent tous deux des groupes de règles gérés qui sont mis à jour automatiquement à mesure que de nouvelles menaces apparaissent. 

 Passez en revue le [pilier Excellence opérationnelle Well-Architected](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/welcome.html) pour la gestion automatisée des flottes et l’application de correctifs. 

## Étapes d’implémentation
<a name="implementation-steps"></a>
+  Abonnez-vous aux mises à jour des publications comportant des informations sur les menaces pertinentes pour votre entreprise et votre secteur d’activité. Abonnez-vous aux bulletins de sécurité AWS. 
+  Envisagez d’adopter des services qui intègrent automatiquement les nouvelles informations sur les menaces, comme Amazon GuardDuty et Amazon Inspector. 
+  Déployez une stratégie de gestion de flotte et de correctifs conforme aux bonnes pratiques du pilier Excellence opérationnelle Well-Architected. 

## Ressources
<a name="resources"></a>

 **Bonnes pratiques associées:** 
+  [SEC01-BP07 Identifier les menaces et hiérarchiser les atténuations à l’aide d’un modèle de menaces](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_threat_model.html) 
+  [OPS01-BP05 Évaluer les menaces existantes](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_eval_threat_landscape.html) 
+  [OPS11-BP01 Définir un processus d’amélioration continue](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_evolve_ops_process_cont_imp.html) 

# SEC01-BP05 Réduire la portée de la gestion de la sécurité
<a name="sec_securely_operate_reduce_management_scope"></a>

 Déterminez si vous pouvez réduire votre périmètre de sécurité en utilisant des services AWS qui transfèrent la gestion de certains contrôles vers AWS (*services gérés*). Ces services peuvent vous aider à réduire vos tâches de maintenance de sécurité, telles que le provisionnement de l’infrastructure, la configuration logicielle, l’application de correctifs ou les sauvegardes. 

 **Résultat escompté :** vous tenez compte de l’étendue de votre gestion de la sécurité lorsque vous sélectionnez les services AWS adaptés à votre charge de travail. Le coût des frais de gestion et des tâches de maintenance (le coût total de possession, ou TCO) est évalué par rapport au coût des services que vous sélectionnez, outre les autres considérations liées à Well-Architected. Vous intégrez la documentation de contrôle et de conformité AWS dans vos procédures d’évaluation et de vérification des contrôles. 

 **Anti-modèles courants:** 
+  Déployer des charges de travail sans bien comprendre le modèle de responsabilité partagée pour les services que vous sélectionnez. 
+  Héberger des bases de données et d’autres technologies sur des machines virtuelles sans avoir évalué un équivalent de service géré. 
+  Ne pas inclure les tâches de gestion de la sécurité dans le coût total de possession des technologies d’hébergement sur les machines virtuelles par rapport aux options de services gérés. 

 **Avantages du respect de cette bonne pratique :** l’utilisation de services gérés peut réduire la charge globale que représente la gestion des contrôles de sécurité opérationnels, ce qui peut réduire les risques de sécurité et le coût total de possession. Le temps qui serait autrement consacré à certaines tâches de sécurité peut être réinvesti dans des tâches qui apportent plus de valeur à votre entreprise. Les services gérés peuvent également réduire la portée de vos exigences de conformité en transférant certaines exigences de contrôle à AWS. 

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** moyen 

## Directives d’implémentation
<a name="implementation-guidance"></a>

 Vous pouvez intégrer les composants de votre charge de travail sur AWS de plusieurs manières. L’installation et l’exécution de technologies sur des instances Amazon EC2 vous obligent souvent à assumer la plus grande part de la responsabilité globale en matière de sécurité. Pour réduire la charge liée à l’utilisation de certains contrôles, identifiez les services gérés par AWS qui réduisent la portée de votre côté du modèle de responsabilité partagée et comprenez comment vous pouvez les utiliser dans votre architecture existante. Les exemples incluent l’utilisation d’[Amazon Relational Database Service (Amazon RDS](https://aws.amazon.com/rds/)) pour le déploiement de bases de données, d’[Amazon Elastic Kubernetes Service (Amazon EKS)](https://aws.amazon.com/eks/) ou d’[Amazon Elastic Container Service (Amazon ECS)](https://aws.amazon.com/ecs/) pour l’orchestration de conteneurs ou l’utilisation d’[options sans serveur](https://aws.amazon.com/serverless/). Lorsque vous créez de nouvelles applications, réfléchissez aux services qui peuvent vous aider à réduire les délais et les coûts liés à la mise en œuvre et à la gestion des contrôles de sécurité. 

 Les exigences de conformité peuvent également entrer en ligne de compte lors de la sélection des services. Les services gérés peuvent transférer la conformité de certaines exigences vers AWS. Discutez avec votre équipe de conformité de son degré d’aisance avec l’audit des aspects des services que vous utilisez et gérez, et avec l’acceptation des déclarations de contrôle dans les rapports d’audit AWS pertinents. Vous pouvez fournir les artefacts d’audit trouvés dans [AWS Artifact](https://aws.amazon.com/artifact/) à vos auditeurs ou régulateurs comme preuve des contrôles de sécurité AWS. Vous pouvez également utiliser les conseils en matière de responsabilité fournis par certains artefacts d’audit AWS pour concevoir votre architecture, ainsi que les [guides de conformité destinés aux clients AWS](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf). Ces conseils aident à déterminer les contrôles de sécurité supplémentaires à mettre en place afin de prendre en charge les cas d’utilisation spécifiques de votre système. 

 Lorsque vous utilisez des services gérés, familiarisez-vous avec le processus de mise à jour de leurs ressources vers les nouvelles versions (par exemple, mise à jour de la version d’une base de données gérée par Amazon RDS ou d’un langage de programmation exécutable pour une fonction AWS Lambda). Bien que le service géré puisse effectuer cette opération pour vous, il vous incombe de configurer le calendrier de la mise à jour et de comprendre son impact sur vos opérations. Des outils comme [AWS Health](https://aws.amazon.com/premiumsupport/technology/aws-health/) peuvent vous aider à suivre et à gérer ces mises à jour dans l’ensemble de vos environnements. 

### Étapes d’implémentation
<a name="implementation-steps"></a>

1.  Évaluez les composants de votre charge de travail qui peuvent être remplacés par un service géré. 

   1.  Si vous migrez une charge de travail vers AWS, tenez compte de la réduction de la gestion (temps et dépenses) et de la réduction des risques lorsque vous déterminez si vous devez réhéberger, refactoriser, replateformer, reconstruire ou remplacer votre charge de travail. Dans certains cas, des investissements supplémentaires au début d’une migration peuvent permettre de réaliser des économies importantes à long terme. 

1.  Envisagez de mettre en œuvre des services gérés, comme Amazon RDS, au lieu d’installer et de gérer vos propres déploiements technologiques. 

1.  Utilisez les conseils de responsabilité dans AWS Artifact afin de vous aider à déterminer quels contrôles de sécurité doivent être mis en place pour votre charge de travail. 

1.  Tenez un inventaire des ressources utilisées et restez au courant des nouveaux services et approches afin d’identifier de nouvelles opportunités de réduction de la portée. 

## Ressources
<a name="resources"></a>

 **Bonnes pratiques associées:** 
+  [PERF02-BP01 Sélectionner les meilleures options de calcul pour votre charge de travail](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_compute_hardware_select_best_compute_options.html) 
+  [PERF03-BP01 Utiliser un magasin de données dédié le mieux adapté à vos besoins en matière de stockage des données et d’accès aux données](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_data_use_purpose_built_data_store.html) 
+  [SUS05-BP03 Utiliser des services gérés](https://docs.aws.amazon.com/wellarchitected/latest/framework/sus_sus_hardware_a4.html) 

 **Documents connexes:** 
+  [Événements du cycle de vie planifiés pour AWS Health](https://docs.aws.amazon.com/health/latest/ug/aws-health-planned-lifecycle-events.html) 

 **Outils associés:** 
+  [AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html) 
+  [AWS Artifact](https://aws.amazon.com/artifact/) 
+  [AWS Guides de conformité pour les clients](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf) 

 **Vidéos connexes:** 
+  [Comment effectuer une migration vers une instance de base de données MySQL Amazon RDS ou Aurora à l’aide d’AWS DMS ?](https://www.youtube.com/watch?v=vqgSdD5vkS0) 
+  [AWS re:Invent 2023 - Manage resource lifecycle events at scale with AWS Health](https://www.youtube.com/watch?v=VoLLNL5j9NA) 

# SEC01-BP06 Automatiser le déploiement des contrôles de sécurité standard
<a name="sec_securely_operate_automate_security_controls"></a>

 Appliquez les pratiques DevOps modernes lorsque vous développez et déployez des contrôles de sécurité standard dans tous vos environnements AWS.  Définissez des contrôles et des configurations de sécurité standard à l’aide de modèles d’infrastructure en tant que code (IaC), capturez les modifications dans un système de contrôle de version, testez les modifications dans le cadre d’un pipeline CI/CD et automatisez le déploiement des modifications dans vos environnements AWS. 

 **Résultat escompté :** les modèles IaC capturent des contrôles de sécurité standardisés et les transmettent à un système de contrôle de version.  Les pipelines CI/CD sont situés à des endroits qui détectent les changements et automatisent les tests et le déploiement de vos environnements AWS.  Des barrières de protection sont en place pour détecter et signaler les erreurs de configuration des modèles avant de procéder au déploiement.  Les charges de travail sont déployées dans des environnements où des contrôles standard sont en place.  Les équipes peuvent déployer des configurations de service approuvées via un mécanisme en libre-service.  Des stratégies de sauvegarde et de restauration sécurisées sont en place pour contrôler les configurations, les scripts et les données associées. 

 **Anti-modèles courants:** 
+  Apporter des modifications à vos contrôles de sécurité standard manuellement, via une console Web ou une interface de ligne de commande. 
+  S’appuyer sur des équipes chargées de la charge de travail individuelles pour mettre en œuvre manuellement les contrôles définis par une équipe centrale. 
+  S’appuyer sur une équipe de sécurité centrale pour déployer des contrôles au niveau de la charge de travail à la demande d’une équipe responsable d’une charge de travail. 
+  Permettre aux mêmes personnes ou équipes de développer, de tester et de déployer des scripts d’automatisation des contrôles de sécurité sans séparation appropriée des tâches ni freins et contrepoids.  

 **Avantages du respect de cette bonne pratique :** l’utilisation de modèles pour définir vos contrôles de sécurité standard vous permet de suivre et de comparer les modifications au fil du temps à l’aide d’un système de contrôle de version.  L’utilisation de l’automatisation pour tester et déployer les modifications crée de la standardisation et de la prévisibilité, ce qui augmente les chances de réussite du déploiement et réduit les tâches manuelles répétitives.  La fourniture d’un mécanisme en libre-service permettant aux équipes responsables de la charge de travail de déployer des services et des configurations approuvés réduit le risque d’erreurs et de mauvaise utilisation de la configuration. Cela leur permet également d’intégrer des contrôles plus tôt dans le processus de développement. 

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** moyen 

## Directives d’implémentation
<a name="implementation-guidance"></a>

 Si vous suivez les pratiques décrites dans [SEC01-BP01 Séparer les charges de travail à l’aide de comptes](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_multi_accounts.html), vous vous retrouverez avec plusieurs Comptes AWS pour différents environnements que vous gérez à l’aide d’AWS Organizations.  Bien que ces environnements et charges de travail puissent nécessiter des contrôles de sécurité distincts, vous pouvez standardiser certains contrôles de sécurité au sein de votre organisation.  Cela concerne notamment l’intégration de fournisseurs d’identité centralisés, la définition de réseaux et de pares-feux, et la configuration d’emplacements standard pour le stockage et l’analyse des journaux.  De la même manière que vous pouvez utiliser l’*infrastructure en tant que code* (IaC) pour appliquer la même rigueur de développement de code d’application au provisionnement de l’infrastructure, vous pouvez également utiliser l’IaC pour définir et déployer vos contrôles de sécurité standard. 

 Dans la mesure du possible, définissez vos contrôles de sécurité de manière déclarative, par exemple dans [AWS CloudFormation](https://aws.amazon.com/cloudformation/), et stockez-les dans un système de contrôle source.  Utilisez les pratiques DevOps pour automatiser le déploiement de vos contrôles afin de rendre les versions plus prévisibles, les tests automatisés à l’aide d’outils tels que [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) et la détection des écarts entre les contrôles déployés et la configuration souhaitée.  Vous pouvez utiliser des services tels que [AWS CodePipeline](https://aws.amazon.com/codepipeline/), [AWS CodeBuild](https://aws.amazon.com/codebuild/) et [AWS CodeDeploy](https://aws.amazon.com/codedeploy/) pour construire un pipeline CI/CD. Consultez les instructions de la section [Organisation de votre environnement AWS à l’aide de plusieurs comptes](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/deployments-ou.html) pour configurer ces services dans leurs propres comptes, distincts des autres pipelines de déploiement. 

 Vous pouvez également définir des modèles pour standardiser la définition et le déploiement de Comptes AWS, des services et des configurations.  Cette technique permet à une équipe de sécurité centrale de gérer ces définitions et de les fournir aux équipes responsables de la charge de travail via une approche en libre-service.  L’un des moyens d’y parvenir consiste à utiliser [Service Catalog](https://aws.amazon.com/servicecatalog/), dans lequel vous pouvez publier des modèles sous forme de *produits* que les équipes chargées des charges de travail peuvent intégrer dans leurs propres déploiements de pipeline.  Si vous en utilisez [AWS Control Tower](https://aws.amazon.com/controltower/), certains modèles et contrôles sont disponibles comme point de départ.  Control Tower fournit également la fonctionnalité [Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/af-customization-page.html), qui permet aux équipes chargées de la charge de travail de créer de nouveaux Comptes AWS en utilisant les normes que vous définissez.  Cette fonctionnalité permet de supprimer les dépendances vis-à-vis d’une équipe centrale chargée d’approuver et de créer de nouveaux comptes lorsqu’ils sont identifiés comme nécessaires par vos équipes responsables des charges de travail.  Vous pouvez avoir besoin de ces comptes pour isoler les différents composants de la charge de travail en fonction de raisons telles que la fonction qu’ils remplissent, la sensibilité des données traitées ou leur comportement. 

## Étapes d’implémentation
<a name="implementation-steps"></a>

1.  Déterminez comment vous allez stocker et gérer vos modèles dans un système de contrôle de version. 

1.  Créez des pipelines CI/CD pour tester et déployer vos modèles.  Définissez des tests pour vérifier les erreurs de configuration et vérifier que les modèles sont conformes aux normes de votre entreprise. 

1.  Créez un catalogue de modèles standardisés pour permettre aux équipes responsables des charges de travail de déployer des services et des Comptes AWS en fonction de vos besoins. 

1.  Mettez en œuvre des stratégies de sauvegarde et de restauration sécurisées pour vos configurations de contrôle, vos scripts et les données associées. 

## Ressources
<a name="resources"></a>

 **Bonnes pratiques associées:** 
+  [OPS05-BP01 Utilisation du contrôle de version](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_dev_integ_version_control.html) 
+  [OPS05-BP04 Utiliser des systèmes de gestion du développement et du déploiement](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_dev_integ_build_mgmt_sys.html) 
+  [REL08-BP05 Déployer les modifications avec l’automatisation](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_tracking_change_management_automated_changemgmt.html) 
+  [SUS06-BP01 Adopter des méthodes qui peuvent rapidement présenter des améliorations en matière de durabilité](https://docs.aws.amazon.com/wellarchitected/latest/framework/sus_sus_dev_a2.html) 

 **Documents connexes:** 
+  [Organisation de votre environnement AWS à l’aide de comptes multiple](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/deployments-ou.html) 

 **Exemples connexes:** 
+  [Automatiser la création de comptes et le provisionnement des ressources à l’aide de Service Catalog, AWS Organizations et AWS Lambda](https://aws.amazon.com/blogs/mt/automate-account-creation-and-resource-provisioning-using-aws-service-catalog-aws-organizations-and-aws-lambda/) 
+  [Renforcer le pipeline DevOps et protéger les données avec AWS Secrets Manager, AWS KMS et AWS Certificate Manager](https://aws.amazon.com/blogs/security/strengthen-the-devops-pipeline-and-protect-data-with-aws-secrets-manager-aws-kms-and-aws-certificate-manager/) 

 **Outils associés:** 
+  [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) 
+  [Accélérateur de zone de destination sur AWS](https://github.com/awslabs/landing-zone-accelerator-on-aws) 

# SEC01-BP07 Identifier les menaces et hiérarchiser les atténuations à l’aide d’un modèle de menaces
<a name="sec_securely_operate_threat_model"></a>

 Effectuez une modélisation des menaces pour identifier et gérer un registre actualisé des menaces potentielles et des mesures d’atténuation connexes pour votre charge de travail. Hiérarchisez vos menaces et adaptez vos atténuations des contrôles de sécurité pour les prévenir, les détecter et y répondre. Ajustez et maintenez ces mesures en fonction de votre charge de travail et de l’évolution de l’environnement de sécurité. 

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** élevé 

## Directives d’implémentation
<a name="implementation-guidance"></a>

 **Qu’est-ce que la modélisation des menaces?** 

 « La modélisation des menaces permet d’identifier, de communiquer et de comprendre les menaces et les mesures d’atténuation dans le contexte de la protection de quelque chose de valeur. » – [Modélisation des menaces liées aux applications dans le cadre de l’Open Web Application Security Project (OWASP](https://owasp.org/www-community/Threat_Modeling) 

 **Pourquoi devriez-vous modéliser les menaces?** 

 Les systèmes sont complexes et deviennent de plus en plus complexes et compétents au fil du temps, offrant plus de valeur opérationnelle, ainsi qu’une satisfaction et un engagement client accrus. Cela signifie que les décisions de conception informatique doivent tenir compte d’un nombre toujours croissant de cas d’utilisation. Cette complexité et ce nombre de permutations des cas d’utilisation nuisent généralement à l’efficacité des approches non structurées pour trouver et atténuer les menaces. Dans ces conditions, il est préférable d’adopter une approche systématique pour recenser les menaces potentielles qui pèsent sur le système, concevoir les atténuations et d’établir la priorité de ces atténuations afin de veiller à ce que les ressources limitées de votre organisation aient un impact maximal sur l’amélioration de la posture de sécurité globale du système. 

 La modélisation des menaces est conçue pour fournir cette approche systématique, dans le but de trouver et de régler les problèmes au début du processus de conception, lorsque les atténuations impliquent un coût relatif et des efforts limités par rapport à plus tard dans le cycle de vie. Cette approche est conforme au principe industriel de la sécurité basée sur le [https://owasp.org/www-project-devsecops-guideline/latest/00a-Overview](https://owasp.org/www-project-devsecops-guideline/latest/00a-Overview). Au final, la modélisation des menaces s’intègre au processus de gestion des risques d’une organisation et aide à prendre des décisions sur les contrôles à mettre en œuvre en utilisant une approche axée sur les menaces. 

 **Quand faut-il modéliser les menaces?** 

 Commencez la modélisation des menaces le plus tôt possible dans le cycle de vie de votre charge de travail, afin de bénéficier de plus de flexibilité pour la gestion des menaces identifiées. Comme pour les bogues logiciels, plus vous identifiez les menaces rapidement, plus leur résolution est économique. Un modèle de menace est un document évolutif et il doit continuer à évoluer avec vos charges de travail. Réexaminez vos modèles de menaces au fil du temps, notamment en cas de changement majeur, d’évolution du paysage des menaces ou d’adoption d’une nouvelle fonctionnalité ou d’un nouveau service. 

### Étapes d’implémentation
<a name="implementation-steps"></a>

 **Comment modéliser les menaces?** 

 Il existe de nombreuses façons de modéliser les menaces. Comme pour les langages de programmation, chaque méthode a ses avantages et ses inconvénients. À vous de choisir celle qui fonctionne le mieux pour votre organisation. L’une des approches consiste à commencer par le [cadre à 4 questions de Shostack pour la modélisation des menaces](https://github.com/adamshostack/4QuestionFrame), qui pose des questions ouvertes afin de structurer votre exercice de modélisation des menaces : 

1.  **Sur quoi travaillons-nous?** 

    Le but de cette question est de vous aider à comprendre et à vous mettre d’accord sur le système que vous créez et les détails associés qui sont pertinents pour la sécurité. La création d’un modèle ou d’un diagramme est le moyen le plus courant de répondre à cette question, car elle vous permet de visualiser ce que vous construisez, par exemple à l’aide d’un [diagramme de flux de données](https://en.wikipedia.org/wiki/Data-flow_diagram). Le fait de noter les hypothèses et les détails importants sur votre système vous aide également à définir ce qui est inclus dans le champ d’application. Cela permet à tous ceux qui contribuent au modèle de menaces de se concentrer sur la même chose et d’éviter les détours fastidieux pour étudier des sujets qui ne rentrent pas dans le champ d’application (y compris les versions obsolètes de votre système). Par exemple, si vous créez une application Web, il n’est probablement pas intéressant de consacrer du temps à la modélisation de la séquence de démarrage autorisé du système d’exploitation pour les clients du navigateur, car vous ne pouvez pas avoir un impact sur ce point avec votre conception. 

1.  **Quels problèmes pouvons-nous rencontrer?** 

    C’est là que vous identifiez les menaces qui pèsent sur votre système. Les menaces sont des actions ou des événements accidentels ou intentionnels qui ont des impacts indésirables et pourraient affecter la sécurité de votre système. Sans une compréhension claire de ce qui pourrait poser un problème, vous n’avez aucun moyen de faire quoi que ce soit. 

    Il n’existe pas de liste standard des problèmes potentiels. La création de cette liste nécessite un brainstorming et une collaboration entre tous les membres de votre équipe et les [personnes concernées impliquées](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/#tips) dans l’exercice de modélisation des menaces. Vous pouvez faciliter votre brainstorming en utilisant un modèle d’identification des menaces, tel que [STRIDE](https://en.wikipedia.org/wiki/STRIDE_(security)), qui suggère différentes catégories à évaluer : usurpation d’identité, falsification, répudiation, divulgation d’informations, déni de service et élévation de privilèges. En outre, vous pouvez faciliter le brainstorming en consultant les listes existantes et les recherches pour vous inspirer, notamment le [Top 10 de l’OWASP](https://owasp.org/www-project-top-ten/), le [catalogue des menaces HiTrust](https://hitrustalliance.net/hitrust-threat-catalogue/) et le catalogue des menaces de votre organisation. 

1.  **Qu’allons-nous faire à ce sujet?** 

    Comme pour la question précédente, il n’existe pas de liste standard avec toutes les atténuations possibles. Lors de cette étape, les informations utilisées sont les menaces, les acteurs et les domaines d’amélioration identifiés par rapport à l’étape précédente. 

    La sécurité et la conformité sont la [responsabilité partagée d’AWS et de vous](https://aws.amazon.com/compliance/shared-responsibility-model/). Il est important de comprendre que lorsque vous demandez « Qu’allons-nous faire à ce sujet ? », vous demandez également qui est responsable de ce qui doit être fait. En comprenant l’équilibre des responsabilités entre vous-même et AWS, vous pouvez évaluer votre exercice de modélisation des menaces en fonction des atténuations qui sont sous votre contrôle, c’est-à-dire, en règle générale, une combinaison des options de configuration du service AWS et vos propres atténuations spécifiques au système. 

    En ce qui concerne la partie AWS de la responsabilité partagée, vous constaterez que [les services AWS sont couverts par de nombreux programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/). Ces programmes vous aident à comprendre les contrôles rigoureux en place chez AWS afin de garantir la sécurité et la conformité du cloud. Les rapports d’audit de ces programmes peuvent être téléchargés par les clients AWS sur [AWS Artifact](https://aws.amazon.com/artifact/). 

    Quels que soient les services AWS que vous utilisez, il y a toujours un élément de responsabilité du client, et les mesures d’atténuation correspondant à ces responsabilités doivent être incluses dans votre modèle de menace. En ce qui concerne les atténuations en matière de contrôle de sécurité pour les services AWS eux-mêmes, envisagez l’implémentation de contrôles de sécurité dans tous les domaines, y compris la gestion des identités et des accès (authentification et autorisation), la protection des données (au repos et en transit), la sécurité de l’infrastructure, la journalisation et la surveillance. La documentation de chaque service AWS comporte un [chapitre dédié à la sécurité](https://docs.aws.amazon.com/security/) qui fournit des conseils sur les contrôles de sécurité à considérer comme des mesures d’atténuation. Il est surtout important de réfléchir au code que vous écrivez et à ses dépendances, ainsi que de penser aux contrôles que vous pourriez mettre en place pour résoudre ces menaces. Ces contrôles peuvent être des éléments tels que la [validation des entrées](https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html), la [gestion des sessions](https://owasp.org/www-project-mobile-top-10/2014-risks/m9-improper-session-handling) et la [gestion des limites](https://owasp.org/www-community/vulnerabilities/Buffer_Overflow). La plupart des vulnérabilités sont souvent introduites dans le code personnalisé, c’est pourquoi il est important de se concentrer sur ce domaine. 

1.  **Avons-nous fait du bon travail?** 

    L’objectif est que votre équipe et votre organisation améliorent la qualité des modèles de menaces et la vitesse à laquelle vous effectuez la modélisation des menaces au fil du temps. Ces améliorations découlent d’une combinaison de pratique, d’apprentissage, d’enseignement et de révision. Pour aller plus loin et vous familiariser avec le sujet, il est recommandé que vous et votre équipe suiviez le [cours sur la bonne modélisation des menaces pour les constructeurs](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop) ou l’[atelier](https://catalog.workshops.aws/threatmodel/en-US) sur ce sujet. En outre, si vous recherchez des conseils sur la manière d’intégrer la modélisation des menaces dans le cycle de développement des applications de votre entreprise, consultez l’article [Comment aborder la modélisation des menaces](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) sur le blog de sécurité AWS. 

 **Threat Composer** 

 Pour vous aider et vous guider dans la modélisation des menaces, pensez à utiliser l’outil [Threat Composer](https://github.com/awslabs/threat-composer#threat-composer), qui vise à réduire le délai de rentabilisation lors de la modélisation des menaces. L’outil vous permet d’effectuer les opérations suivantes : 
+  Rédiger des déclarations de menace utiles, alignées sur la [grammaire des menaces](https://catalog.workshops.aws/threatmodel/en-US/what-can-go-wrong/threat-grammar), qui fonctionnent dans un flux de travail naturel non linéaire 
+  Générer un modèle de menaces lisible par l’homme 
+  Générer un modèle de menaces lisible par machine pour vous permettre de traiter les modèles de menaces comme du code 
+  Identifier rapidement les domaines dans lesquels la qualité et la couverture peuvent être améliorées à l’aide du tableau de bord 

 Pour de plus amples informations, rendez-vous sur Threat Composer et passez à l’**exemple d’espace de travail** défini par le système. 

## Ressources
<a name="resources"></a>

 **Bonnes pratiques associées:** 
+  [SEC01-BP03 Identifier et valider les objectifs de contrôle](sec_securely_operate_control_objectives.md) 
+  [SEC01-BP04 Connaître les menaces et recommandations en matière de sécurité](sec_securely_operate_updated_threats.md) 
+  [SEC01-BP05 Réduire la portée de la gestion de la sécurité](sec_securely_operate_reduce_management_scope.md) 
+  [SEC01-BP08 Évaluer et mettre en œuvre régulièrement de nouveaux services et de nouvelles fonctions de sécurité](sec_securely_operate_implement_services_features.md) 

 **Documents connexes:** 
+  [Comment aborder la modélisation des menaces](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) (blog sur la sécurité AWS) 
+ [ NIST : Guide de modélisation des menaces système centrées sur les données ](https://csrc.nist.gov/publications/detail/sp/800-154/draft)

 **Vidéos connexes:** 
+ [AWS Summit ANZ 2021 - How to approach threat modelling ](https://www.youtube.com/watch?v=GuhIefIGeuA)
+ [AWS Summit ANZ 2022 - Scaling security – Optimise for fast and secure delivery ](https://www.youtube.com/watch?v=DjNPihdWHeA)

 **Formations associées:** 
+ [ Modéliser les menaces de la bonne manière pour les constructeurs : formation virtuelle à suivre à leur rythme avec AWS Skill Builder ](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop)
+ [ Modéliser les menaces de la bonne manière pour les constructeurs — Atelier AWS](https://catalog.workshops.aws/threatmodel)

 **Outils associés:** 
+  [Threat Composer](https://github.com/awslabs/threat-composer#threat-composer) 

# SEC01-BP08 Évaluer et mettre en œuvre régulièrement de nouveaux services et de nouvelles fonctions de sécurité
<a name="sec_securely_operate_implement_services_features"></a>

 Évaluez et mettez en œuvre les services et fonctions de sécurité proposés par AWS et les partenaires AWS qui vous permettent de faire évoluer le niveau de sécurité de votre charge de travail.  

 **Résultat escompté :** vous avez mis en place une pratique standard qui vous informe des nouvelles fonctionnalités et des nouveaux services publiés par AWS et par les partenaires AWS. Vous évaluez l’influence de ces nouvelles fonctionnalités sur la conception des contrôles actuels et nouveaux pour vos environnements et vos charges de travail. 

 **Anti-modèles courants:** 
+  Vous ne vous abonnez pas à des blogs AWS ni à des flux RSS pour découvrir rapidement les nouvelles fonctionnalités et services pertinents. 
+  Vous vous fiez aux actualités et aux mises à jour concernant les services et fonctionnalités de sécurité provenant de sources secondaires. 
+  Vous n’encouragez pas les utilisateurs AWS de votre organisation à rester informés des dernières mises à jour. 

 **Avantages liés au respect de cette bonne pratique :** lorsque vous restez au fait des nouveaux services et fonctionnalités de sécurité, vous pouvez prendre des décisions éclairées concernant la mise en œuvre des contrôles dans vos environnements cloud et vos charges de travail. Ces sources contribuent à sensibiliser à l’évolution du paysage de la sécurité et à la manière dont les services AWS peuvent être utilisés pour se protéger contre les menaces nouvelles et émergentes.   

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** bas 

## Directives d’implémentation
<a name="implementation-guidance"></a>

 AWS informe les clients des nouveaux services et fonctionnalités de sécurité par le biais de plusieurs canaux : 
+  [AWS Nouveautés](https://aws.amazon.com/new) 
+  [AWS Blog d’actualités](https://aws.amazon.com/blogs/aws/) 
+  [AWS Blog de sécurité](https://aws.amazon.com/blogs/security/) 
+  [AWS Bulletins de sécurité](https://aws.amazon.com/security/security-bulletins/) 
+  [AWS Aperçu de la documentation](https://aws.amazon.com/documentation/) 

 Vous pouvez vous abonner à une rubrique consacrée aux [mises à jour quotidiennes des fonctionnalités AWS](https://aws.amazon.com/blogs/aws/subscribe-to-aws-daily-feature-updates-via-amazon-sns/) à l’aide d’Amazon Simple Notification Service (Amazon SNS) pour obtenir un résumé quotidien complet des mises à jour. Certains services de sécurité, tels qu’[Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_sns.html) et [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-announcements.html), proposent leurs propres rubriques SNS pour rester informé des nouvelles normes, des résultats et des autres mises à jour relatives à ces services en particulier. 

 Les nouveaux services et fonctionnalités sont également annoncés et décrits en détail lors de [conférences, d’événements et de webinaires](https://aws.amazon.com/events/) organisés chaque année dans le monde entier. Il convient de noter en particulier la conférence annuelle sur la sécurité [AWS re:Inforce](https://reinforce.awsevents.com/) et la conférence plus générale [AWS re:Invent](https://reinvent.awsevents.com/). Les chaînes d’informations AWS mentionnées précédemment partagent les annonces de ces conférences sur la sécurité et d’autres services, et vous pouvez suivre des séances de formation approfondies en petits groupes en ligne sur la [chaîne YouTube AWS Events](https://www.youtube.com/c/AWSEventsChannel). 

 Vous pouvez également demander à votre [équipe Compte AWS](https://aws.amazon.com/startups/learn/meet-your-aws-account-team) les dernières mises à jour et recommandations des services de sécurité. Vous pouvez contacter votre équipe via le [formulaire de Support commercial](https://aws.amazon.com/contact-us/sales-support/) si vous ne disposez pas de ses coordonnées directes. De même, si vous êtes abonné au [Support aux entreprises AWS,](https://aws.amazon.com/premiumsupport/plans/enterprise/)vous recevrez des mises à jour hebdomadaires de la part de votre gestionnaire de compte technique (TAM) et pourrez planifier une réunion de révision régulière avec lui. 

### Étapes d’implémentation
<a name="implementation-steps"></a>

1.  Abonnez-vous aux différents blogs et bulletins à l’aide de votre lecteur RSS préféré ou à la rubrique SNS des mises à jour quotidiennes des fonctionnalités. 

1.  Évaluez les événements AWS auxquels vous devez participer pour être parmi les premiers à connaître les nouvelles fonctionnalités et les nouveaux services. 

1.  Organisez des réunions avec votre équipe Compte AWS pour toute question concernant la mise à jour des services et fonctionnalités de sécurité. 

1.  Envisagez de vous abonner à Enterprise Support pour discuter régulièrement avec un gestionnaire de compte technique (TAM). 

## Ressources
<a name="resources"></a>

 **Bonnes pratiques associées:** 
+  [PERF01-BP01 Découvrir et se familiariser avec les services et fonctionnalités cloud disponibles](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_architecture_understand_cloud_services_and_features.html) 
+  [COST01-BP07 Suivre les nouvelles versions des services](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_cloud_financial_management_scheduled.html)