• Home
  • About
    • Jean-Baptiste JOLY photo

      Jean-Baptiste JOLY

    • Learn More
    • Email
    • Twitter
    • LinkedIn
    • Instagram
    • Github
  • Posts
    • All Posts
    • All Tags

Pratique de sécurité dans l’agilité

02 Sep 2019

Reading time ~2 minutes

Un bon outillage c’est bien … quand on sait s’en servir !

Vous serez d’accord pour dire que l’automatisation et les outils ne font pas tout dans le monde de la sécurité informatique. Il faut prendre les outils (Dependency Check, CMDB applicative, etc.) comme des opportunités pour intégrer la sécurité dans les projets agiles mais ce ne sont pas des outils magiques. Pour que cette automatisation soit parlante au plus grand nombre, il faut que les KPI utilisées soient partagées et compris par tout le monde.

La présence de ces outils ne doit pas être non plus un prétexte pour surveiller ou contrôler le travail qui est réalisé. Ils sont là pour aider à maintenir un bon niveau de sécurité, et non pas pour surveiller les gens.

Et l’humain dans tout ça ?

La formation et les aspects humains sont également une part importante pour intégrer la sécurité dans l’agilité. Il faut, bien sûr, former les équipes de développement aux bonnes pratiques de sécurité dans le code, mais il ne faut pas oublier non plus de former les Product Owner (PO) à la sécurité et à la rédaction d’US sécurité afin que toute l’équipe travaille avec les mêmes objectifs.

Un nouveau rôle apparait dans les équipes :

Une pratique se développe de plus en plus dans les projets agiles : désigner un “Security Ambassador” qui s’occupera de l’évangélisation des équipes aux bonnes pratiques de sécurité et au respect de celles-ci. Il sera le garant de la sécurité dans le projet.

Plutôt que d’avoir des développeurs qui corrigent les failles de sécurité révélées par différents outils sans chercher à les comprendre, on souhaite responsabiliser les équipes aux sujets de sécurité. Le Security Ambassador devra s’assurer que chacun s’approprie les bonnes pratiques.

Concrètement qu’est ce qu’on peut mettre en place ?

  • Pour créer une émulation au sein des équipes, autour des bonnes pratiques de sécurité, il ne faut pas hésiter à user de campagne de sensibilisation, de newsletters orientées sécurité.
  • On peut également inviter les collaborateurs à s’investir dans des clubs ou communautés en lien avec les sujets de sécurité, où chacun peut poser ses questions ou proposer des sujets à traiter.
  • La collaboration entre les différents membres des équipes est également un point important. Il ne doit plus y avoir de débat pour savoir qui est responsable d’une action ou d’un problème de sécurité. Tous ensemble, les membres d’une équipe doivent avancer vers un même but.

postsécuritéagilité Share Tweet +1