© 2020, Amazon Web Services, Inc. ou ses sociétés apparentées Choix de la région Comment choisissez-vous les régions pour votre charge de travail ? SUS 1 Le choix de la région en fonction de votre charge de travail influe considérablement sur ses indicateurs de performance clés y compris les performances les coûts et l empreinte carbone Pour améliorer efficacement ces indicateurs de performance clés vous devez choisir les régions pour vos charges de travail en fonction des exigences et des objectifs de durabilité de votre entreprise … Choix de la région Alignement sur la demande Comment aligner les ressources du cloud sur votre demande ? SUS 2 La façon dont les utilisateurs et les applications consomment vos charges de travail et d autres ressources peut vous aider à identifier les améliorations nécessaires pour atteindre vos objectifs de durabilité Faites évoluer l infrastructure pour répondre en permanence à la demande et vérifiez que vous n utilisez que les ressources minimales requises pour prendre en charge vos utilisateurs Alignez les niveaux de service sur les besoins des clients Positionnez des ressources afin de limiter le réseau nécessaire aux utilisateurs et aux applications pour les consommer Supprimez les ressources inutilisées Fournissez aux membres de votre équipe des appareils qui répondent à leurs besoins et minimisent leur impact sur le développement durable … Alignement à la demande Logiciels et architecture Comment profiter des modèles logiciels et d'architecture afin de soutenir vos objectifs de durabilité ? SUS 3 Mettez en œuvre des modèles permettant de lisser les charges et de conserver une haute utilisation constante des ressources déployées afin de réduire les ressources consommées Les composants peuvent devenir inactifs s ils ne sont pas utilisés à la suite de changements de comportement des utilisateurs dans le temps Révisez les modèles et l architecture afin de consolider les composants sous utilisés et d augmenter l utilisation globale Mettez hors service les composants qui ne sont plus nécessaires Comprenez les performances des composants de vos charges de travail et optimisez les composants qui consomment le plus de ressources Soyez au courant des appareils que vos clients utilisent pour accéder à vos services et mettez en œuvre des modèles qui réduisent le besoin de mettre à niveau les appareils … Logiciels et architecture Données Comment tirez-vous parti des politiques et des modèles de gestion des données pour soutenir vos objectifs de durabilité ? SUS 4 Mettez en œuvre des pratiques de gestion des données afin de réduire le stockage alloué nécessaire pour assurer votre charge de travail et les ressources nécessaires à son utilisation Comprenez vos données et utilisez des technologies et des configurations de stockage qui soutiennent au mieux la valeur opérationnelle des données et leur utilisation Adoptez un cycle de vie des données offrant un stockage plus efficace et moins performant quand les exigences baissent et supprimez les données qui ne sont plus nécessaires … Données Matériel et services Comment choisissez-vous et utilisez-vous le matériel et les services du cloud dans votre architecture pour soutenir vos objectifs de durabilité ? SUS 5 Recherchez des possibilités de réduire les impacts en matière de durabilité de la charge de travail en modifiant vos pratiques de gestion du matériel Réduisez la quantité de matériel nécessaire à allouer et à déployer et sélectionnez le matériel et les services les plus efficaces pour votre charge de travail individuelle … Matériel et services Processus et culture Comment vos processus organisationnels soutiennent-ils vos objectifs de durabilité ? SUS 6 Recherchez des opportunités de réduire votre impact en matière de durabilité modifiant vos pratiques de développement de test et de déploiement … Processus et culture Les répercussions environnementales, économiques et sociétales à long terme de vos activités commerciales. La Commission mondiale sur l'environnement et le développement des Nations Unies définit le développement durable comme « un développement qui répond aux besoins du présent sans compromettre la capacité des générations futures à satisfaire les leurs ». Votre entreprise ou organisation peut avoir des impacts environnementaux négatifs, tels que des émissions carbone directes ou indirectes, des déchets non recyclables et des dommages causés aux ressources partagées comme l'eau potable. Durabilité Gestion financière du cloud Comment mettre en œuvre la gestion financière du cloud ? COST 1  Avec l adoption du cloud les équipes technologiques innovent plus rapidement grâce à la réduction des cycles d approbation d achat et de déploiement des infrastructures Une nouvelle approche de la gestion financière dans le cloud est nécessaire pour générer de la valeur ajoutée et connaître le succès financier Cette approche appelée gestion financière dans le cloud permet de renforcer les capacités de votre organisation en mettant en œuvre des programmes des ressources et des processus de renforcement des connaissances à l échelle de l organisation De nombreuses organisations sont composées de nombreuses unités différentes avec des priorités différentes La capacité d aligner votre organisation sur un ensemble d objectifs financiers convenus et de lui fournir les mécanismes nécessaires pour les atteindre crée une organisation plus efficace Une organisation sera capable d innover et de créer plus rapidement d être plus agile et de s adapter à tous les facteurs internes ou externes … Pratiques en matière de gestion financière du cloud Gouvernance de l'utilisation Comment gérer l'utilisation ? COST 2 Utilisation et surveillance des coûts Comment surveillez-vous vos coûts et votre utilisation ? COST 3 Mise hors service des ressources Comment mettez-vous les ressources hors service ? COST 4 La flexibilité et la souplesse accrues que permet le cloud favorisent l innovation ainsi que le développement et le déploiement à un rythme soutenu Le Cloud élimine les processus manuels et les délais associés au provisionnement d une infrastructure locale y compris l identification des spécifications matérielles la négociation des devis la gestion des bons de commande la planification des livraisons et le déploiement des ressources Cependant la facilité d utilisation et la capacité illimitée et à la demande nécessitent une nouvelle façon d envisager les dépenses De nombreuses entreprises sont composées de plusieurs systèmes dirigés par diverses équipes La possibilité de répartir les coûts des ressources entre les différentes organisations ou les différents responsables de produits permet un comportement d utilisation efficace et contribue à réduire le gaspillage La répartition précise des coûts permet d identifier les produits réellement rentables et de prendre des décisions en connaissance de cause quant à la répartition du budget … Sensibilisation aux dépenses et à l'utilisation Sélection d'un service Comment évaluer les coûts lorsque vous sélectionnez des services ? COST 5 Sélection du type, de la taille et du nombre de ressources Comment atteindre les objectifs de coût lorsque vous sélectionnez le type, la taille et le nombre de ressources ? COST 6 Tarification de sélection de modèle Comment utiliser les modèles de tarification pour réduire les coûts ? COST 7 Planning de transfert de données Comment planifiez-vous les frais de transfert de données ? COST 8 L utilisation d instances et de ressources adaptées à votre charge de travail est l élément essentiel à la réalisation d économies Par exemple un processus de reporting peut prendre jusqu à cinq heures pour s exécuter sur un petit serveur mais seulement une heure sur un serveur plus grand et deux fois plus cher Vous obtiendrez les mêmes résultats avec les deux serveurs mais le plus petit implique un coût plus élevé au fil du temps Une charge de travail Well Architected utilise les ressources les plus rentables ce qui peut avoir un impact économique positif et significatif Vous pouvez également utiliser des services gérés pour réduire les coûts Par exemple plutôt que d entretenir des serveurs pour envoyer des e mails vous pouvez utiliser un service effectuant une facturation au message … Ressources rentables Gérer la demande et l’offre des ressources Comment gérez-vous la demande et l’offre des ressources ? COST 9 Lorsque vous migrez vers le cloud vous ne payez que ce dont vous avez besoin Vous pouvez fournir des ressources pour répondre à la demande de la charge de travail au moment où elles sont nécessaires ce qui élimine une sur allocation coûteuse et inutile Vous pouvez également modifier la demande à l aide d une limitation d une mémoire tampon ou d une file d attente pour la lisser et la gérer avec moins de ressources ce qui réduit les coûts ou la traiter ultérieurement avec un service de traitement par lots … Gérer la demande et les sources d'approvisionnement Nouveau service d'évaluation Comment évaluez-vous les nouveaux services? COST 10 Évaluation du coût de l’effort Comment évaluer le coût de l’effort ? COST 11 Tandis qu AWS propose de nouveaux services et de nouvelles fonctionnalités une bonne pratique consiste à vérifier vos choix architecturaux existants afin d être sûr qu ils continuent à être les plus rentables Lorsque vous besoins changent n hésitez pas à mettre hors service les ressources les services entiers et les systèmes devenus inutiles … Optimiser dans le temps Possibilité d'exécuter des systèmes pour proposer une valeur commerciale au prix le plus bas. Optimisation des coûts Choix d’architecture Comment sélectionnez-vous les ressources cloud et les modèles d’architecture appropriés à votre charge de travail ? PERF 1 La solution optimale pour une charge de travail peut varier et les solutions combinent souvent plusieurs approches Les charges de travail Well Architected utilisent plusieurs solutions et permettent à différentes fonctionnalités d améliorer les performances … Choix d'architecture Informatique et matériel Comment sélectionnez-vous et utilisez-vous les ressources de calcul dans votre charge de travail ? PERF 2 Le choix d une solution de calcul optimale pour une charge de travail particulière peut varier selon la conception de l application les modèles d utilisation et les paramètres de configuration Les architectures peuvent utiliser différentes solutions de calcul pour divers composants et permettent différentes fonctionnalités pour améliorer les performances Choisir une solution de calcul inadaptée pour une architecture peut nuire à ses performances … Informatique et matériel Gestion des données Comment stockez-vous les données de votre charge de travail, comment les gérez-vous et comment y accédez-vous ? PERF 3 La solution optimale de gestion des données pour un système particulier varie en fonction du type de données bloc fichier ou objet des modèles d accès aléatoire ou séquentiel du débit requis de la fréquence d accès en ligne hors ligne archivage de la fréquence de mise à jour WORM dynamique ainsi que des contraintes de disponibilité et de durabilité Les charges de travail bien architecturées utilisent des magasins de données sur mesure qui intègrent différentes fonctionnalités pour améliorer les performances … Gestion des données Mise en réseau et diffusion de contenu Comment sélectionnez-vous et configurez-vous les ressources de mise en réseau de votre charge de travail ? PERF 4 La solution de mise en réseau optimale pour une charge de travail varie en fonction de la latence des exigences de débit de l instabilité et de la bande passante Le choix des options d emplacement est tributaire des contraintes physiques telles que les ressources pour utilisateur ou sur site Ces contraintes peuvent être compensées avec les emplacements périphériques ou le placement des ressources … Mise en réseau et diffusion de contenu Processus et culture Quel processus utilisez-vous pour améliorer les performances de votre charge de travail ? PERF 5 Lors de la création de l architecture des charges de travail vous pouvez adopter certains principes et certaines pratiques pour optimiser l exécution de charges de travail cloud efficaces et performantes … Processus et culture La capacité à utiliser efficacement les ressources informatiques pour satisfaire aux exigences système et à maintenir cette efficacité au fur et à mesure que la demande change et que les technologies évoluent. Efficacité en matière de performance Contraintes et quotas de service Comment gérez-vous les quotas et les contraintes de service ? REL 1 Topologie du réseau Comment planifiez-vous la topologie de votre réseau ? REL 2 Les exigences de base sont celles dont le champ d application s étend au delà d une seule charge de travail ou d un seul projet Avant de concevoir l architecture d un système les exigences de base qui influent sur la fiabilité doivent être mises en place Par exemple vous devez avoir une bande passante réseau suffisante pour votre centre de données … Bases Architecture de service Comment concevez-vous l'architecture de service de votre charge de travail ? REL 3 Concevoir des interactions pour éviter les défaillances Comment concevez-vous des interactions dans un système distribué pour éviter les défaillances ? REL 4 Concevoir des interactions pour atténuer les défaillances Comment concevez-vous des interactions dans un système distribué pour atténuer ou résister aux défaillances ? REL 5 Une charge de travail fiable commence par des décisions de conception initiales pour le logiciel et l infrastructure Vos choix d architecture ont un impact sur votre comportement de charge de travail sur les cinq piliers Well Architected Pour des raisons de fiabilité vous devez suivre des modèles spécifiques … Architecture de charge de travail Surveillance des ressources Comment surveillez-vous les ressources de charge de travail ? REL 6 Traitement de la demande Comment concevez-vous votre charge de travail pour s'adapter aux changements de demande ? REL 7 Gestion des modifications Comment implémenter les modifications ? REL 8 Les modifications apportées à votre charge de travail ou à son environnement doivent être anticipées et prises en compte pour assurer un fonctionnement fiable de la charge de travail Les modifications incluent celles imposées à votre charge de travail telles que les pics de demande ainsi que celles venant de l intérieur comme les déploiements de fonctions et l installation de correctifs de sécurité … Gestion des modifications Sauvegarde des données Comment sauvegarder des données ? REL 9 Isolement des pannes Comment utilisez-vous l'isolement des pannes pour protéger votre charge de travail ? REL 10 Implémentation de la résilience Comment concevez-vous votre charge de travail pour la rendre résistante aux défaillances de composants ? REL 11 Test de fiabilité Comment tester la fiabilité ? REL 12 Reprise après sinistre Comment planifier la reprise après sinistre (DR) ? REL 13 Les pannes sont à prévoir dans tout système présentant un niveau de complexité raisonnable Pour que votre charge de travail soit fiable vous devez avoir connaissance des défaillances au moment où elles se produisent et prendre des mesures pour éviter qu elles aient un impact sur la disponibilité des services Les charges de travail doivent être en mesure de résister aux défaillances et de résoudre automatiquement les problèmes … Gestion des pannes Il s’agit de la capacité d’une charge de travail à exécuter correctement et de manière cohérente la fonction prévue au moment prévu. Cela inclut la possibilité d'exploiter et de tester la charge de travail tout au long de son cycle de vie. Ce livre blanc fournit de bonnes pratiques détaillées pour la mise en œuvre de charges de travail fiables sur AWS. Fiabilité Priorités opérationnelles Comment déterminer vos priorités ? OPS 1 Modèle d’exploitation Comment structurez-vous votre organisation pour soutenir les résultats de l'entreprise ? OPS 2 Culture organisationnelle Comment votre culture organisationnelle soutient-elle vos résultats opérationnels ? OPS 3  Vos équipes doivent avoir une compréhension commune de l ensemble de votre charge de travail de leur rôle dans celle ci et de leurs objectifs économiques communs afin de fixer les priorités qui permettent la réussite de l entreprise Des priorités bien définies maximiseront les bénéfices tirés de vos efforts Évaluer les besoins des clients internes et externes en impliquant les principales parties prenantes notamment les équipes commerciales de développement et d exploitation afin de déterminer où il est nécessaire de concentrer les efforts L évaluation des besoins des clients vous permet de vous assurer que vous avez une compréhension approfondie du soutien nécessaire pour atteindre les résultats économiques Assurez vous de connaître les lignes directrices ou les obligations définies par la gouvernance de votre entreprise ainsi que les facteurs externes tels que les exigences de conformité réglementaire et les normes sectorielles qui peuvent imposer un objectif spécifique ou mettre l accent sur ce dernier Vérifiez que vous disposez de mécanismes permettant d identifier les changements apportés à la gouvernance interne et aux exigences de conformité externe Si aucune exigence n est identifiée assurez vous d avoir effectué les vérifications préalables dans cette détermination Revoyez régulièrement vos priorités afin qu elles puissent être mises à jour en fonction de l évolution des besoins Évaluez les menaces pesant sur l entreprise par exemple les risques et les responsabilités de l entreprise et les menaces sur la sécurité des informations et conservez ces informations dans un registre des risques Évaluez l impact des risques et les compromis entre des intérêts concurrents ou des approches alternatives Par exemple l accélération de la mise sur le marché de nouvelles fonctionnalités peut être privilégiée par rapport à l optimisation des coûts ou vous pouvez choisir une base de données relationnelle pour les données non relationnelles afin de simplifier la migration d un système sans restructuration Gérez les avantages et les risques afin de prendre des décisions éclairées lorsqu il s agit de déterminer où il est nécessaire de concentrer les efforts Certains risques ou choix peuvent être acceptables pendant un certain temps il peut être possible d atténuer les risques associés ou il peut devenir inacceptable de laisser un risque subsister auquel cas vous prendrez des mesures pour y remédier Vos équipes doivent comprendre leur rôle dans l obtention des résultats de l entreprise Les équipes doivent comprendre leur rôle dans la réussite des autres équipes le rôle des autres équipes dans leur réussite et avoir des objectifs communs Comprendre la responsabilité la propriété la manière dont les décisions sont prises et qui a le pouvoir de prendre des décisions vous aide à concentrer les efforts et à maximiser les avantages de vos équipes Les besoins d une équipe seront déterminés par le client qu elle soutient son organisation la composition de l équipe et les caractéristiques de sa charge de travail Il n est pas raisonnable de s attendre à ce qu un modèle d exploitation unique puisse soutenir toutes les équipes et leurs charges de travail dans votre entreprise Assurez vous qu il existe des propriétaires identifiés pour chaque application charge de travail plate forme et composant d infrastructure et que chaque processus et procédure a un propriétaire identifié responsable de sa définition et des propriétaires responsables de leur performance La compréhension de la valeur ajoutée de chaque composant processus et procédure de la raison pour laquelle ces ressources sont en place ou ces activités exécutées et de la raison pour laquelle cette propriété existe éclaire les actions des membres de votre équipe Définissez clairement les responsabilités des membres de l équipe afin qu ils puissent agir de manière appropriée et disposer de mécanismes permettant d identifier la responsabilité et la propriété Mettez en œuvre des mécanismes permettant de demander des ajouts des modifications et des exceptions afin de ne pas entraver l innovation Définissez des accords entre les équipes décrivant la manière dont elles travaillent ensemble pour se soutenir mutuellement et soutenir les résultats de votre entreprise Fournissez un soutien aux membres de votre équipe afin qu ils puissent être plus efficaces dans leur action et soutenir les résultats de votre entreprise Les dirigeants engagés doivent fixer des attentes et mesurer le succès Ils doivent être le sponsor l avocat et le moteur de l adoption des bonnes pratiques et de l évolution de l organisation Donnez aux membres de l équipe les moyens d agir lorsque les résultats sont menacés afin de minimiser l impact et de les encourager à remonter jusqu aux décideurs et aux parties prenantes lorsqu ils estiment qu il existe un risque afin de pouvoir le traiter et éviter les incidents Fournissez en temps utile des communications claires et exploitables sur les risques connus et les événements prévus afin que les membres de l équipe puissent prendre des mesures appropriées en temps opportun Encouragez l expérimentation pour accélérer la formation et maintenir l intérêt et l engagement des membres de l équipe Les équipes doivent développer leurs compétences pour adopter les nouvelles technologies et pour soutenir l évolution des besoins et des responsabilités Soutenez et encouragez cette démarche en accordant du temps structurel à la formation Assurez vous que les membres de votre équipe disposent des ressources à la fois des outils et des membres de l équipe nécessaires à la réussite et à la mise à l échelle pour soutenir les résultats de l entreprise Exploitez la diversité inter organisationnelle pour rechercher des perspectives multiples et uniques Utilisez cette perspective pour accroître l innovation remettre en question vos hypothèses et réduire le risque de biais de confirmation Développez l inclusion la diversité et l accessibilité au sein de vos équipes afin d obtenir des perspectives bénéfiques … Organisation Mise en œuvre de l’observabilité Comment mettre en œuvre l'observabilité dans votre charge de travail ? OPS 4 Développement et intégration Comment réduire les défauts, faciliter les corrections et améliorer le flux dans la production ? OPS 5 Atténuation des risques de déploiement Comment réduisez-vous les risques de déploiement ? OPS 6 Disponibilité opérationnelle Comment savoir si vous êtes prêt à assurer une charge de travail ? OPS 7  Pour vous préparer à l excellence opérationnelle il est nécessaire de comprendre vos charges de travail et les comportements attendus Vous pourrez ensuite les concevoir pour fournir des informations de leur statut et créer les procédures nécessaires pour les soutenir Concevez votre charge de travail de manière à ce qu elle vous fournisse les informations nécessaires pour comprendre son état interne par exemple les mesures les journaux les événements et les traces dans tous ses composants à des fins d observation et de résolution des problèmes Itérez pour développer la télémesure nécessaire pour surveiller l état de votre charge de travail identifier quand les résultats sont menacés et répondre efficacement Lorsque vous instrumentez votre charge de travail capturez un grand ensemble d informations pour connaître la situation par exemple changements d état activité des utilisateurs accès privilégiés compteurs d utilisation en sachant que vous pouvez utiliser des filtres pour sélectionner les informations les plus utiles dans le temps Adoptez des approches qui améliorent le flux des changements en production et qui permettent la restructuration un retour d information rapide sur la qualité et la correction des bogues Ces approches accélèrent l entrée des modifications bénéfiques dans l environnement de production limitent les problèmes déployés et permettent d identifier et de corriger rapidement les problèmes introduits par les activités de déploiement ou découverts dans vos environnements Adoptez des approches qui fournissent un retour d information rapide sur la qualité et permettent une reprise rapide à la suite de changements qui n offrent pas les résultats escomptés L utilisation de ces pratiques diminue l impact des problèmes découlant du déploiement des modifications Prévoyez les modifications qui échouent afin de pouvoir réagir plus rapidement si nécessaire et testez et validez les changements que vous apportez Tenez compte des activités planifiées dans vos environnements afin de pouvoir gérer le risque des modifications affectant les activités planifiées Mettez l accent sur les modifications fréquentes minimes et réversibles pour limiter leur portée Ainsi vous facilitez la résolution des problèmes et accélérez les corrections avec la possibilité d annuler une modification Cela signifie également que vous pouvez tirer profit plus souvent de modifications importantes Évaluez l état de préparation opérationnelle de votre charge de travail de vos processus de vos procédures et de votre personnel afin de comprendre les risques opérationnels liés à votre charge de travail Vous devez utiliser un processus cohérent y compris des listes de contrôle manuelles ou automatisées pour déterminer quand vous êtes prêt à mettre en service votre charge de travail ou un changement Cela vous permet également d identifier tous les domaines d amélioration nécessaire Dotez vous de runbooks qui documentent vos activités de routine et de playbooks qui guident vos processus pour la résolution des problèmes Déterminez les avantages et les risques afin de prendre des décisions éclairées pour autoriser les changements dans l environnement de production … Préparer Observabilité de la charge de travail Comment exploitez-vous l'observabilité de la charge de travail dans votre organisation ? OPS 8 État des opérations Comment comprendre l'état de vos opérations ? OPS 9 Répondre à un événement Comment gérer les événements relatifs à la charge de travail et aux opérations ? OPS 10  Le bon fonctionnement d une charge de travail se mesure à l aune des résultats obtenus par les entreprises et les clients Définissez les résultats attendus déterminez comment le succès sera mesuré et identifiez les paramètres qui seront utilisés dans ces calculs pour déterminer le succès de votre charge de travail et des opérations L état opérationnel comprend à la fois l état de la charge de travail et l état et le succès des activités opérationnelles menées pour soutenir la charge de travail par exemple déploiement et réponse aux incidents Établissez des métriques de référence pour l amélioration l investigation et l intervention collectez et analysez vos métriques puis validez votre compréhension du succès des opérations et de leur évolution dans le temps Utilisez les métriques collectées pour déterminer si vous satisfaites vos clients et vos besoins commerciaux et pour identifier les points à améliorer Une efficacité opérationnelle et une gestion efficace des événements sont requises pour atteindre une excellence opérationnelle Cela s applique à la fois aux événements opérationnels planifiés et imprévus Utilisez les runbooks établis pour les événements bien compris et utilisez les playbooks pour faciliter l investigation et la résolution des problèmes Prioriser les réponses aux événements en fonction de leur impact sur l entreprise et les clients Assurez vous que si une alerte est générée en réponse à un événement il existe un processus associé à exécuter avec un propriétaire spécifiquement identifié Définissez à l avance le personnel requis pour résoudre un événement et inclure des déclencheurs de remontée pour engager du personnel supplémentaire si nécessaire en fonction de l urgence et de l impact Identifiez et engagez des personnes habilitées à prendre une décision sur les mesures à prendre lorsqu une réponse à un événement non traité auparavant a un impact opérationnel Communiquez l état opérationnel des charges de travail au moyen de tableaux de bord et de notifications adaptés au public cible par exemple clients entreprises développeurs opérations afin qu il puisse prendre les mesures appropriées que leurs attentes soient gérées et qu il soit informé lorsque les opérations normales reprennent … Exploiter Évolution des opérations Comment faire évoluer vos opérations ? OPS 11  Vous devez apprendre partager et améliorer continuellement pour maintenir l excellence opérationnelle Consacrez des cycles de travail à la réalisation continuelle d améliorations supplémentaires Effectuez une analyse post incident de tous les événements ayant un impact sur le client Identifiez les facteurs contributifs et les mesures préventives pour limiter ou empêcher la récurrence Communiquez les facteurs contributifs aux communautés concernées le cas échéant Évaluez régulièrement et priorisez les possibilités d amélioration par exemple les demandes de fonctionnalités la correction des problèmes et les exigences de conformité y compris la charge de travail et les procédures opérationnelles Introduisez des boucles de rétroaction au sein de vos procédures pour identifier rapidement les domaines d amélioration et de tirer des enseignements de l exécution d opérations Partagez les leçons retenues et leurs avantages entre les équipes Analysez les tendances dans les leçons apprises et effectuez une analyse rétrospective entre les équipes des opérations de métriques pour identifier les opportunités et les méthodes d amélioration Mettez en œuvre les changements destinés à apporter des améliorations et évaluez les résultats pour déterminer le succès … Évoluer Capacité de soutenir le développement et de gérer efficacement les charges de travail, de recueillir des informations sur leurs opérations et d'améliorer continuellement les processus et procédures de soutien afin de fournir de la valeur ajoutée. Excellence opérationnelle Opérations sécurisées Comment gérer votre charge de travail en toute sécurité ? SEC 1 Vous devez appliquer de bonnes pratiques générales à chaque domaine de la sécurité pour gérer votre charge de travail en toute sécurité Appliquez à tous les domaines les conditions et les processus que vous avez définis en matière d excellence opérationnelle au niveau de l organisation et de la charge de travail … Sécurité Authentification Comment gérez-vous les identités des personnes et des machines ? SEC 2 Autorisation et contrôle d'accès Comment gérez-vous les autorisations des personnes et des machines ? SEC 3 Identity and access management est un élément essentiel d un programme de protection des informations En effet il garantit que seuls les utilisateurs et les composants autorisés et authentifiés sont en mesure d accéder à vos ressources et uniquement comme vous le décidez Par exemple vous devez définir des mandataires c est à dire les comptes les utilisateurs les rôles et les services qui peuvent effectuer des actions dans votre compte élaborer des stratégies conformes à ces mandataires et mettre en œuvre une gestion solide des informations d identification Ces éléments de gestion des privilèges constituent la base de l authentification et de l autorisation … Identity & Access Management Les événements de sécurité Comment détectez-vous et enquêtez-vous sur les événements de sécurité ? SEC 4 Vous pouvez utiliser les contrôles de détection pour identifier une menace ou un incident de sécurité potentiel Ils constituent un élément essentiel des cadres de gouvernance et peuvent être utilisés pour soutenir un processus de qualité une obligation légale ou de conformité et pour identifier les menaces et renforcer les moyens d intervention Il existe différents types de contrôles de détection Par exemple effectuer un inventaire des ressources et de leurs attributs détaillés favorise une prise de décision plus efficace et des contrôles du cycle de vie pour contribuer à établir des bases de référence opérationnelles Vous pouvez également utiliser un audit interne un examen des contrôles liés aux systèmes d informations pour vous assurer que les pratiques répondent aux politiques et aux exigences et que vous avez défini les notifications d alerte automatique correctes en fonction des conditions définies Ces contrôles sont des facteurs réactifs importants qui peuvent aider votre organisation à identifier et à comprendre la portée des activités anormales … Détection Protection réseau Comment protégez-vous vos ressources réseau ? SEC 5 Calcul de protection De quelle façon pouvez-vous assurer la protection de vos ressources de calcul ? SEC 6 La protection de l infrastructure comprend des méthodologies de contrôle telles que la défense en profondeur nécessaires au respect des bonnes pratiques et des obligations organisationnelles ou réglementaires L utilisation de ces méthodologies est essentielle au succès des opérations en cours que ce soit dans le cloud ou sur site … Protection de l'infrastructure Classification des données Comment classer vos données ? SEC 7 Protection des données inactives Comment protéger les données au repos ? SEC 8 Protection des données en transit Comment protéger vos données en transit ? SEC 9 Avant de concevoir l architecture d un système les pratiques de base qui influent sur la sécurité doivent être en place Par exemple la classification des données permet de classer les données organisationnelles en fonction des niveaux de sensibilité et le chiffrement protège les données en les rendant incompréhensibles en cas d accès non autorisé Ces outils et techniques sont importants car ils soutiennent des objectifs tels que la prévention des pertes financières ou le respect des obligations réglementaires … Protection des données Réponse aux incidents Comment anticipez-vous les incidents, y répondez et y parvenez-vous ? SEC 10 Même avec des contrôles préventifs et de détection matures votre organisation doit mettre en place des mécanismes pour répondre aux incidents de sécurité et en atténuer l impact potentiel Votre préparation affectera fortement la capacité de vos équipes à opérer efficacement lors d un incident à analyser isoler et contenir les problèmes et à rétablir les opérations à un état de fonctionnement correct La mise en place des outils et des accès avant un incident de sécurité puis la pratique régulière de la réponse aux incidents pendant des exercices de simulation vous permettent de rétablir les opérations tout en minimisant les interruptions d activité … Réponse aux incidents Sécurité des applications Comment intégrer et valider les propriétés de sécurité des applications tout au long du cycle de vie de la conception, du développement et du déploiement ? SEC 11 La sécurité des applications AppSec décrit le processus global de conception d élaboration et de test des propriétés de sécurité des charges de travail que vous développez Vous devez disposer de personnes correctement formées dans votre organisation comprendre les propriétés de sécurité de votre infrastructure de création et de diffusion et utiliser l automatisation pour identifier les problèmes de sécurité L adoption de tests de sécurité des applications dans le cadre du cycle de développement des logiciels SDLC et des processus de validation permet de s assurer que vous disposez d un mécanisme structuré pour identifier corriger et prévenir les problèmes de sécurité des applications dans votre environnement de production Votre méthodologie de développement d applications doit inclure des contrôles de sécurité lors de la conception de l élaboration du déploiement et de l exploitation de vos charges de travail Ce faisant alignez le processus afin de limiter les défauts en continu et de minimiser la dette technique Par exemple l utilisation de la modélisation des menaces au cours de la phase de conception permet de découvrir rapidement les défauts de conception ce qui les rend plus faciles et moins coûteux à corriger que d attendre et de les atténuer plus tard Généralement plus vous avancez dans le cycle de vie du développement logiciel plus le coût et la complexité de la résolution des failles augmentent Le moyen le plus simple de résoudre les problèmes est de ne pas en avoir C est pourquoi le fait de commencer par élaborer un modèle de menace permet de se concentrer sur les bons résultats dès la phase de conception À mesure que votre programme AppSec gagne en maturité vous pouvez augmenter la quantité de tests effectués à l aide de l automatisation améliorer la pertinence des commentaires aux concepteurs et réduire le temps nécessaire pour les examens de sécurité Toutes ces actions améliorent la qualité du logiciel que vous créez et accélèrent la mise en production des fonctionnalités Ces lignes directrices pour l implémentation se concentrent sur quatre domaines l organisation et la culture la sécurité du pipeline la sécurité dans le pipeline et la gestion des dépendances Chaque domaine fournit un ensemble de principes que vous pouvez implémenter ainsi qu une vue d ensemble de la manière dont vous concevez développez construisez déployez et exploitez les charges de travail … Sécurité des applications La capacité à protéger les données, ainsi que les systèmes et les ressources à utiliser pour tirer parti des technologies cloud et améliorer votre sécurité. Sécurité