Cyberagilité, épisode 1 : à la croisée de deux mondes

Difficile d’échapper aujourd’hui au buzzword “cybersécurité” ! C’est d’ailleurs plus qu’un buzzword, c’est une réalité. Il suffit d’écouter les actualités pour s’en rendre compte. Rendre résilient nos systèmes d’information face aux cyberattaques est une nécessité souvent critique, parfois vitale. Ainsi donc, de plus en plus, la transition vers un fonctionnement agile s’accompagne d’un codicille : y intégrer la cybersécurité !

Un mariage qui semble contre-nature

L’injonction va rarement plus loin que : “veuillez intégrer la cybersécurité à la démarche agile”. Pour point de départ, nous avons souvent quelques experts cybersécurité très compétents et quelques pratiques mises en place au niveau des équipes produit, telles que l’analyse ebios et les recommandations qui en découlent, des audits et des tests de pénétration.

Nous reviendrons plus loin sur le fonctionnement avec les experts. Pour le reste, disons le tout net : Ça ne commence pas bien. En effet, avec cette analyse en amont, les audits et tests en aval, nous voici déjà enfermés dans un cycle en cascade avant même d’avoir pu prononcer “boucle de feedback”.

Mais ce n’est pas tout : les fondamentaux même des deux approches ne paraissent pas conciliables.

Adopter l’’agilité, c’est se permettre de sortir des sentiers battus en s’autorisant l’adaptation et l’expérimentation. La démarche cybersécurité va elle chercher à ne pas sortir de ces sentiers, par la prévention et la réduction des risques, associé à une approche parfaitement cadrée.

Comme notre angle d’attaque sera l’agilité, voyons au-delà du cadre classique de la cybersécurité, si les principes et même avant tout les valeurs de l’agilité peuvent au contraire être des atouts pour une meilleure cybersécurité !

L’agilité à la rescousse de la cybersécurité !

Pour un agiliste, l'étoile du nord, c’est le manifeste agile. Nous allons regarder la cybersécurité au travers de ces valeurs.

Les individus et leurs interactions, de préférence aux processus et aux outils

La cybersécurité, c’est l’affaire de tous nous dit-on souvent. Et la plupart du temps on ajoute: c’est une affaire de spécialistes ! Ironiquement, les deux sont vrais. Les experts, aussi bons soient-ils, ne peuvent efficacement sécuriser des applications sans les équipes. Et ces dernières ont besoin de s’appuyer sur des experts.

Une équipe agile se veut autonome et pluridisciplinaire. L’ingrédient “cybersécurité” doit faire partie de cette pluridisciplinarité. D’abord avec une culture de base que doit partager les membres de l’équipe, puis avec des connaissances plus poussées, selon la criticité de l’application, portées par un ou plusieurs membres de l’équipe. L’équipe s’auto-organisera pour utiliser ces compétences quand cela est nécessaire, au moment cela le sera.

Et oui, certains sujets plus pointus nécessitent une expertise que l’équipe n’a pas vocation à héberger.

Des solutions opérationnelles, de préférence à une documentation exhaustive

Du point de vue de la cybersécurité, un système opérationnel, c’est un système qui adresse ses vulnérabilités.

Le facteur clé de succès dans le traitement des vulnérabilités est la rapidité de réaction entre la détection et une remédiation en production. C’est une capacité que les équipes agiles ont acquise depuis longtemps, que ce soit pour l’adaptation de leur produit ou pour la correction d’anomalies.

L’ingénierie agile, avec l’intégration continue, est parfaitement outillée pour embrasser ce challenge supplémentaire. Nous verrons comment lors d’un prochain article.

La collaboration avec les clients, de préférence aux négociations contractuelles

L’un des principes de la cybersécurité est de proposer une réponse adaptée et mesurée par rapport aux besoins. Le dogme de la “taille unique” en matière de sécurisation est révolu depuis longtemps. Trouver la réponse adéquate nécessite de prendre en compte :

• Les usages
• La criticité des ressources et des processus manipulés
• L’architecture des produits et du système d’information

Seul un dialogue intégrant le métier, l’équipe produit et les experts peut atteindre ce résultat. Le mode prescriptif ne le peut pas.

La réponse au changement, de préférence au respect d’un plan

En ouvrant la boîte de Pandore de la cybersécurité, on s'aperçoit rapidement qu’elle touche de nombreux aspects du système d’information et de son organisation : architecture, infrastructure, organisation, développement, déploiement, opérations, tests, gouvernance, etc. Chaque aspect se subdivise en thèmes et pratiques au sein desquels on trouvera des processus standardisés, des modèles de maturité, et j’en passe.

Il est tentant de vouloir adresser tous ces sujets de front et de construire un plan pour les adresser. Mais en ce sujet comme en d’autres, le temps est un facteur prépondérant : les nouvelles menaces qui apparaissent nécessitent que l’on puisse s’adapter rapidement.

Ici encore, la démarche agile va nous aider : elle va nous inviter à se fixer un cap, progresser par petits pas en adressant en premier les risques les plus importants. Elle nous conduit à réviser nos plans pour prendre en compte l'apparition de nouvelles vulnérabilités et l’évolution du paysage des menaces.

Nous développerons plus avant ce thème lors d’un article ultérieur.

Et maintenant ?

Nous avons à peine effleuré le sujet. Le but de cet article était de montrer que les fondamentaux  agiles sont des atouts dans la mise en œuvre de la cybersécurité.

Dans de prochains articles, nous éclairerons plus précisément ce terrain de jeux et, sans rentrer dans des expertises que nous n’avons pas, comment mettre en œuvre nos savoir-faire agile sur différents sujets. Rendez-vous au prochain épisode pour cela !