La filiale cloud d’Amazon a annoncé le lancement d’AWS Security Incident Response, un service conçu pour aider les organisations à gérer les incidents de cybersécurité. Ce service vise à alléger la charge des clients afin qu’ils puissent se concentrer sur la remédiation et la continuité de leurs activités.
Fournir des services managés en cybersécurité, c’est la tendance forte du moment pour diminuer la pression qui pèse sur les entreprises tout en optimisant la gestion des incidents. Présentée lors de la conférence annuelle Re:Invent, la solution AWS Security Incident Response est destinée à accélérer la reprise des activités après une cyberattaque pour les clients AWS.
Triage automatique des alertes
Le service propose l’automatisation du triage, de l’investigation et de la résolution des alertes issues d’Amazon GuardDuty, l’outil de détection des menaces d’AWS, ainsi que d’autres solutions intégrées dans AWS Security Hub. AWS Security Incident Response identifie les incidents prioritaires. Pour les alertes ne pouvant être résolues automatiquement, des incidents de sécurité sont créés, et des notifications sont envoyées aux parties prenantes concernées.
AWS offre également un support disponible 24/7, assuré par des experts de son équipe Customer Incident Response Team (CIRT), capable d’intervenir « à chaque étape du cycle de réponse aux incidents, de la préparation à la détection, l’analyse et la récupération », selon un communiqué de l’entreprise. Les clients peuvent choisir de gérer les incidents de manière autonome ou solliciter des services tiers, selon leurs besoins et exigences.
Un tableau de bord pour suivre les progrès en interne
Pour coordonner les différentes parties prenantes, AWS Security Incident Response donne accès à une console centralisée avec des outils de messagerie, de transfert sécurisé de données et de visioconférence. Le service est accessible via des API ou directement depuis une console de gestion AWS.
De plus, l’outil permet de générer des rapports de sécurité, libérant ainsi les équipes pour qu’elles puissent se concentrer sur la remédiation et la récupération.
AWS propose également un tableau de bord comprenant des métriques pour suivre les performances en matière de réponse aux incidents. Ces indicateurs incluent :
Le temps moyen de résolution (MTTR),
Le nombre de cas actifs et clôturés sur une période donnée,
Le nombre de détections triées,
Et d'autres indicateurs clés de performance (KPI).
Disponibilité limitée pour l’instant
Pour l’instant, le service n’est disponible que dans 12 régions AWS situées aux États-Unis, en Asie et au Canada. En Europe, AWS Security Incident Response est accessible dans un premier temps à Francfort, Irlande, Londres et Stockholm. Aucune date de disponibilité n’a encore été annoncée pour la France.