Nos publications

Cyberagilité, épisode 2 : La carte et le territoire

Lors du premier épisode, nous avons évoqué qu’il existait une convergence inattendue entre cybersécurité et agilité. Il est temps d’entrer dans le concret : d’abord en prenant connaissance du terrain lors de cet épisode, puis en voyant comment les principes agiles s’y déclinent dans un suivant.

Vraiment, il n’est pas facile de comprendre de quoi on parle quand on évoque la cybersécurité. De là à penser que c’est une sorte de concept abstrait que l’on peut remplir de bric et de broc, il n’y a parfois qu’un pas…

Et d’abord, pourquoi “cybersécurité” ? Sachez que le terme est inspiré d’un roman de sciences-fiction : Le Neuromancien, de William Gibson, publié en 1984. On lui doit les termes de “cyberspace” et de “hacktivisme”. La science-fiction ne reste pas toujours fiction…

Le territoire

Nous n’allons pas prétendre nous transformer en  expert de la cybersécurité. Mais il n’y aura pas de coloration agile non plus pour cet épisode ! La représentation que nous allons voir ensemble ne s’appuie pas sur un quelconque référentiel. Nous l’avons estampillée “cyberagilité” !

Nous nous plaçons du point de vue de l’entreprise, de son système d’information et de la manière dont nous catégorisons les menaces auxquelles nous devons faire face. Ce faisant, nous avons exclu le point de vue des attaquants. Du moins pour l’instant, car nous y reviendrons dans un épisode ultérieur. De même l’architecture des attaques les plus élaborées nous obligerait à considérer l’ensemble de l’Internet. Nous allons laisser cela aux experts et nous limiter à l’entreprise.

Voilà pour le territoire !

Et maintenant…

La carte

La voici sans plus attendre.

Cette représentation en vaut sans doute une autre. Nous allons l’utiliser pour illustrer maintenant la nature des protections à envisager, et dans un prochain épisode pour comprendre comment l’approche Cyberagilité fait évoluer les interactions entre acteurs projet et experts sur chacun de ces trois volets

Le social engineering

Ce sont toutes les attaques qui permettent d’obtenir des informations et plus important encore des accès en s’appuyant sur le comportement des personnes.

On pense immédiatement au Spear Phishing, mais il peut aussi s’agir de recommandations d’un soi-disant tiers de confiance sur des réseaux sociaux, d’informations de connexion obtenues auprès du support, voire même tout simplement d’accès physique aux locaux.

Le social engineering est très souvent la première étape d’une attaque plus structurée sur l’un des deux autres volets. Mais il peut être aussi utilisé à tout instant pour obtenir ou conserver l'accès à des informations. L'enquête menée sur Edward Snowden a révélé qu'il en a fait usage à de nombreuses reprises (1).

Les vulnérabilités

Les produits que nous développons, les infrastructures ou librairies sur lesquels nous nous appuyons peuvent receler des failles qui peuvent être exploitées par des attaquants.

Ce que nous appelons “vulnérabilités internes” sont des faiblesses au niveau de la conception ou du développement. Les attaques (réussies) les plus fréquentes sont répertoriées régulièrement par l’OWASP dans son projet “Top 10 (2). A titre d’exemple, le “SQL injection” reste un grand classique depuis plus de 20 ans !

Les librairies et produits que nous employons peuvent aussi receler des failles, parfois plus subtiles. Elles sont souvent publiées, ce qui permet de s’attaquer à leur résolution… Mais les attaquants aussi s’intéressent à ces publications ! Nous reviendrons les vulnérabilités dans un futur épisode.

Le mouvement DevSecOps aujourd’hui très visible prend place ici. Mais nous devons aussi considérer cette chaîne de fabrication de manière plus systémique, avec les fournitures externes et les sous-traitants, et nous parlerons aussi de Supply Chain plus tard.

Architecture de défense

Le but des attaques est d’accéder aux avoirs les plus précieux de l’entreprise, qu’il s’agisse de données, de services ou même de matériels, pour accéder à des informations confidentielles, corrompre ces avoirs ou les rendre inaccessibles.

A l’image des châteaux-forts médiévaux constitués de plusieurs lignes de défense, l’architecture de sécurité IT est constitué de séries de dispositifs allant des plus génériques (tels les firewalls) là ou le SI est en connexion avec l’Internet vers des plus spécifiques là où sont situés les asset de l’entreprise au coeur du SI.

L’architecture de défense se matérialise par différentes approches : défense de périmètre, défense en profondeur ou zero trust. L’architecte sécurité oriente son choix en fonction de l’architecture IT et des facteurs de risque. Quelle que soit l’approche retenue, celle-ci va …

Des territoires de collaboration

Et maintenant ?

Notre approche Cyberagilité va nous conduire à appliquer nos principes agiles à la cybersécurité. Identifier et appréhender ces 3 niveaux va nous permettre de comprendre comment cette déclinaison va s’opérer spécifiquement sur chacun d’entre eux.

Ce sera le sujet du prochain épisode.

Notes

  1. De nombreux articles relatent l’usage du social engineering par Edward Snowden. Celui-ci résume bien les faits : https://www.dice.com/career-advice/snowden-social-engineered-his-nsa-colleagues
  2. L’OWASP (Open Web Application Security Project) est sans doute la communauté la plus importante et la plus connue sur la cybersécurité. Elle abrite de nombreux projets, l plus connu est le “top 10” : https://owasp.org/www-project-top-ten/

Cyberagilité, épisode 1 : à la croisée de deux mondes

Difficile d’échapper aujourd’hui au buzzword “cybersécurité” ! C’est d’ailleurs plus qu’un buzzword, c’est une réalité. Il suffit d’écouter les actualités pour s’en rendre compte. Rendre résilient nos systèmes d’information face aux cyberattaques est une nécessité souvent critique, parfois vitale. Ainsi donc, de plus en plus, la transition vers un fonctionnement agile s’accompagne d’un codicille : y intégrer la cybersécurité !

Un mariage qui semble contre-nature

L’injonction va rarement plus loin que : “veuillez intégrer la cybersécurité à la démarche agile”. Pour point de départ, nous avons souvent quelques experts cybersécurité très compétents et quelques pratiques mises en place au niveau des équipes produit, telles que l’analyse ebios et les recommandations qui en découlent, des audits et des tests de pénétration.

Nous reviendrons plus loin sur le fonctionnement avec les experts. Pour le reste, disons le tout net : Ça ne commence pas bien. En effet, avec cette analyse en amont, les audits et tests en aval, nous voici déjà enfermés dans un cycle en cascade avant même d’avoir pu prononcer “boucle de feedback”.

Mais ce n’est pas tout : les fondamentaux même des deux approches ne paraissent pas conciliables.

Adopter l’’agilité, c’est se permettre de sortir des sentiers battus en s’autorisant l’adaptation et l’expérimentation. La démarche cybersécurité va elle chercher à ne pas sortir de ces sentiers, par la prévention et la réduction des risques, associé à une approche parfaitement cadrée.

Comme notre angle d’attaque sera l’agilité, voyons au-delà du cadre classique de la cybersécurité, si les principes et même avant tout les valeurs de l’agilité peuvent au contraire être des atouts pour une meilleure cybersécurité !

L’agilité à la rescousse de la cybersécurité !

Pour un agiliste, l'étoile du nord, c’est le manifeste agile. Nous allons regarder la cybersécurité au travers de ces valeurs.

Les individus et leurs interactions, de préférence aux processus et aux outils

La cybersécurité, c’est l’affaire de tous nous dit-on souvent. Et la plupart du temps on ajoute: c’est une affaire de spécialistes ! Ironiquement, les deux sont vrais. Les experts, aussi bons soient-ils, ne peuvent efficacement sécuriser des applications sans les équipes. Et ces dernières ont besoin de s’appuyer sur des experts.

Une équipe agile se veut autonome et pluridisciplinaire. L’ingrédient “cybersécurité” doit faire partie de cette pluridisciplinarité. D’abord avec une culture de base que doit partager les membres de l’équipe, puis avec des connaissances plus poussées, selon la criticité de l’application, portées par un ou plusieurs membres de l’équipe. L’équipe s’auto-organisera pour utiliser ces compétences quand cela est nécessaire, au moment cela le sera.

Et oui, certains sujets plus pointus nécessitent une expertise que l’équipe n’a pas vocation à héberger.

Des solutions opérationnelles, de préférence à une documentation exhaustive

Du point de vue de la cybersécurité, un système opérationnel, c’est un système qui adresse ses vulnérabilités.

Le facteur clé de succès dans le traitement des vulnérabilités est la rapidité de réaction entre la détection et une remédiation en production. C’est une capacité que les équipes agiles ont acquise depuis longtemps, que ce soit pour l’adaptation de leur produit ou pour la correction d’anomalies.

L’ingénierie agile, avec l’intégration continue, est parfaitement outillée pour embrasser ce challenge supplémentaire. Nous verrons comment lors d’un prochain article.

La collaboration avec les clients, de préférence aux négociations contractuelles

L’un des principes de la cybersécurité est de proposer une réponse adaptée et mesurée par rapport aux besoins. Le dogme de la “taille unique” en matière de sécurisation est révolu depuis longtemps. Trouver la réponse adéquate nécessite de prendre en compte :

  • Les usages
  • La criticité des ressources et des processus manipulés
  • L’architecture des produits et du système d’information

Seul un dialogue intégrant le métier, l’équipe produit et les experts peut atteindre ce résultat. Le mode prescriptif ne le peut pas.

La réponse au changement, de préférence au respect d’un plan

En ouvrant la boîte de Pandore de la cybersécurité, on s'aperçoit rapidement qu’elle touche de nombreux aspects du système d’information et de son organisation : architecture, infrastructure, organisation, développement, déploiement, opérations, tests, gouvernance, etc. Chaque aspect se subdivise en thèmes et pratiques au sein desquels on trouvera des processus standardisés, des modèles de maturité, et j’en passe.

Il est tentant de vouloir adresser tous ces sujets de front et de construire un plan pour les adresser. Mais en ce sujet comme en d’autres, le temps est un facteur prépondérant : les nouvelles menaces qui apparaissent nécessitent que l’on puisse s’adapter rapidement.

Ici encore, la démarche agile va nous aider : elle va nous inviter à se fixer un cap, progresser par petits pas en adressant en premier les risques les plus importants. Elle nous conduit à réviser nos plans pour prendre en compte l'apparition de nouvelles vulnérabilités et l’évolution du paysage des menaces.

Nous développerons plus avant ce thème lors d’un article ultérieur.

Et maintenant ?

Nous avons à peine effleuré le sujet. Le but de cet article était de montrer que les fondamentaux  agiles sont des atouts dans la mise en œuvre de la cybersécurité.

Dans de prochains articles, nous éclairerons plus précisément ce terrain de jeux et, sans rentrer dans des expertises que nous n’avons pas, comment mettre en œuvre nos savoir-faire agile sur différents sujets. Rendez-vous au prochain épisode pour cela !

Cyberagilité

La cyberagilité, c'est la rencontre entre le monde de l'agilité et de la cybersécurité. Il ne s'agit pas de se substituer aux professionnels de la cybersécurité, mais d'utiliser les valeurs, principes et pratiques agiles pour en favoriser l'adoption et améliorer les interaction entre les experts et les équipes produit.
Nous avons regroupé ici les liens vers les ressources traitant directement de ce sujet ou apportant les connaissances nécessaires pour supporter l'approche.

Nos articles sur la cyberagilité

A la croisée de deux mondes : cet article introduit le concept de cyberagilité en transposant les valeurs agiles au domaine de la cybersécurité.
Cyberagilité, épisode 2 : La carte et le territoire : Nous allons, dans cet article, à la rencontre de l'univers de la cybersécurité. Nous la structurons en 3 étages, ce qui guidera tout notre propos à venir. Il s'agit donc tout autant d'une carte que d'une boussole.
Cyberagilité, épisode 3 : South by Southwest :

Les ressources externes à ne pas manquer

Schneier on Security : Bruce Schneier est une figure majeure de la cybersécurité, et son blog pratiquement un passage obligé.

Nos recommandations de lecture

 
Session OKR et transformation présetée à Agile Tour Bordeaux 2022

OKR & transformation

Keynote d'ouverture de Agile Tour Bordeaux 2022 : "OKR : un outil puissant au service de votre transformation agile"

GBureau : Simulation PIP

Un atelier simple pour faire expérimenter un PI Planning

Affinage@scale

On m'a récemment demandé d'expliciter un peu plus l'affinage dans une organisation agile à l'échelle. C'est effectivement un sujet qui bien que théoriquement simple se révèle assez complexe à mettre en œuvre correctement dès lors qu'on y implique plusieurs équipes.