Peut-on vraiment associer la rigueur de la cybersécurité à la célérité de l’Agile ? La cybersécurité peut-elle être, elle même, Agile ?

Par Thierry Cartalas, Associé, TNP Consultants
et Athur Chedeville, Consultant Sénior, TNP Conultants

À première vue, la cybersécurité s’oppose à l’agilité du fait des contraintes qu’elle fait peser sur les équipes de développement. Si l’agilité apporte une organisation et des méthodes pour livrer plus rapidement des produits de meilleure qualité, la cybersécurité apparaît encore comme un frein, qui ralentit les cycles de développement, et donc le time-to-market.
Ce constat semble partagé par un grand nombre d’acteurs. Mais face à l’explosion du risque cyber, et à des moyens de protection souvent insuffisants, le Responsable de la Sécurité des Systèmes d’Information (RSSI) doit tenir son rôle.

Les modèles de sécurité périmétriques, reposant sur la robustesse des infrastructures (modèle du château fort) semblent également dépassés face à l’évolution des applications et des usages de données. La cybersécurité doit donc revenir au plus près de la conception des produits, et puisqu’ils sont agiles, elle se doit de le devenir. Mais peut-elle y parvenir ?

« SHIFT LEFT », LE VIRAGE À GAUCHE DE LA SÉCURITÉ

Le développement d’un produit se fait en quatre phases principales : conception, développement, tests (notamment les tests de sécurité), livraison. Les tests de sécurité interviennent donc après les phases de développement et aboutissent souvent à la découverte de problèmes à résoudre, ce qui a un impact sur le coût et le planning de livraison du produit.

Le « shift left » consiste à faire intervenir la sécurité plus tôt dans le cycle de développement, en intégrant les tests et les contrôles de sécurité dans les activités quotidiennes de l’équipe projet. Des représentants de la sécurité accompagnent les équipes dès la phase de conception pour définir les scénarios de risque à couvrir et les mesures à implémenter, puis suivent au cours des sprints les contrôles et les tests de sécurité.

Dans les approches telles que le DevSecOps, les contrôles de sécurité s’appuient sur les outils de sécurité dans l’usine logicielle DevOps. On y retrouve par exemple des solutions d’audit de code (analyse statique et dynamique), un outil de gestion des dépendances externes (librairies), un scanner de vulnérabilités, ou des systèmes d’alerting interfacés avec un SOC.

Cependant, l’utilisation de ces solutions ne doit pas se substituer à la réalisation d’audits manuels ou de tests d’intrusion permettant d’apporter une dimension fonctionnelle aux tests réalisés. La réalisation de campagnes de bug bounty est aussi un excellent moyen d’assurer un maintien en condition de sécurité (MCS) de son application.

« EVIL USER STORY », L’ANALYSE DE RISQUE EN MODE AGILE

Afin de s’intégrer au mieux dans les pratiques agiles des équipes de développement, des organisations ont fait le choix d’opérer un rituel dédié à la sécurité en début de projet.
Ce rituel qui s’effectue en présence de l’équipe projet, du Security Champion et d’un représentant de l’équipe sécurité (qui n’est plus nécessaire une fois l’équipe mature), a pour objectif d’identifier pour chaque User Story, une Evil User Story afin de mettre en avant un scenario d’exploitation malveillant du produit.
Pour être aisément compréhensible par l’équipe de développement, les Evil User Stories pourront être rédigées de la manière suivante : « En tant que (source de risque), je veux (exploitation d’une vulnérabilité) afin de (impact métier). »

Pour chaque Evil User Story identifiée, des mesures de sécurité seront définies et intégrées au backlog de l’équipe.

« SECURITY GATES », L’AUTOMATISATION DES TESTS DE SÉCURITÉ

Les équipes DevOps utilisent régulièrement des « quality gates » pour arrêter ou faire échouer la compilation du code si un problème est détecté. Ce mode de fonctionnement est de plus en plus appliqué à la sécurité.
Après avoir enrichi l’usine logicielle avec des outils d’analyse de code statique et dynamique (ex : CheckMarx, Fortify…), l’équipe sécurité peut définir les critères de réussite ou d’échec de ces revues de sécurité, ce qui permet d’identifier au plus tôt de potentielles vulnérabilités.

LE « SECURITY CHAMPION », L’ALLIÉ DU RSSI

L’équipe du RSSI est rarement suffisamment dimensionnée pour couvrir l’ensemble des problématiques sécurité d’une organisation et pour accompagner chaque projet dans l’identification et la mitigation des risques cyber. La question de la décentralisation de l’expertise sécurité apparaît nécessaire pour éviter un goulet d’étranglement et un ralentissement de la livraison des produits.
L’OWASP (Open Web Application Security Project) recommande la nomination de « Security Champions » au sein des équipes pour assurer la prise en compte des problématiques liées à la sécurité à chaque étape du projet.

Loin d’être un expert en sécurité, le Security Champion est avant tout un développeur disposant d’une appétence pour la sécurité, qui allouera une partie de sa charge de travail à la prise en compte des exigences sécurité. Véritable relais au sein des équipes, la mise en place d’un réseau de Security Champions dans les feature teams est un atout considérable pour une équipe sécurité afin de maîtriser son SI.

Il existe donc des leviers qui rendent plus agiles les processus liés à la cybersécurité. Cependant, leur mise en œuvre requiert un changement organisationnel, culturel, et un sponsorship au plus haut niveau pour démontrer des résultats sur la durée. Il est donc recommandé d’intégrer ces pratiques progressivement et de s’appuyer sur un nouvel acteur de la sécurité : le Security Champion.

 

A lire également dans notre série thématique sur l’Agile :

 

De l’importance de l’architecture SI dans la transformation agile d’une entreprise
Comment l’agile peut déployer une application auprès de 150 000 utilisateurs en 6 mois…
Comment réussir un projet agile en télétravail ?

 

Management Agile (3/3) : maîtriser les leviers technologiques
Management Agile (2/3) : les processus métiers
Management Agile (1/3) : le leader d’équipe

 

ERP et agilité, enfin possible ?
L’Agile, un levier pour surmonter la crise.
L’Agile au forfait, comment changer la posture des Achats ?
Comment impliquer le Métier dans les projets Agile ?
Être Agile sans « soft skills », est-ce possible ?
L’Agile a-t-il besoin d’un chef de projet ?
L’automatisation, une nécessité pour créer de la valeur en Agile
Transformation Agile à l’échelle : quelle stratégie pour votre entreprise ?
Le bien-être de l’équipe, l’autre vertu de l’Agile
Convertir son entreprise à l’Agile… en douceur
Méthodes agiles : il est temps de passer à l’échelle !