iso 27001 est-il soluble dans l'agilité ?
TRANSCRIPT
27001 est-il soluble dans l’agilité ?
07/04/2016 Club 27001
Oxalide en quelques mots
Oxalide en quelques mots
Les intervenants
Maxime Kurkdjian Président
Guillaume Leccese Directeur Technique
Carole Tessier Responsable du SMSI
Oxalide en quelques mots
Les 3 missions
L’hébergement L’infogérance Le conseil Clouds publics Clouds privés
Clouds Mutualisés Serveurs physiques
Maintien en condition opérationnelle Gestion Continue du Changement
Réalisation de projets techniques DevOps
Architecture
Société de conseil, d’infogérance et d’hébergement de plateforme Web Open Source
Oxalide en quelques mots
En quelques chiffres
16 ans x2
chiffre d’affaires en 3 ans
75 Collaborateurs (65% d’ingés)
Direction générale 2 Ingénieurs EPITA
Certifiée en Juin 2015
+60 collaborateurs en 2 ans
Le contexte Un écosystème riche et diversifié
Le contexte d’Oxalide
Des secteurs d’activités variés
Presse et média Sites E-commerces Les opérateurs SaaS
Le contexte d’Oxalide
Des besoins différents
Efficience
Scalabilité
Performance
Disponibilité
Le contexte d’Oxalide
L’intégration de l’agilité
Contexte hérité du monde web
open source
Réalité depuis 2007 Fréquence des déploiements
en production
Raccourcir la feedback loop
entre le business et les dev
Le contexte d’Oxalide
Rapport de nos clients à la sécurité
Oxalide apporte pro-activement un niveau de sécurité en amont de l’application du client
Réseau public
Risque important compte tenu de l’exposition des serveurs sur
le réseau public Utilisation de technologies éprouvées et moins éprouvées. Mais correctifs disponibles rapidement.
Monde open source Faible maturité
Le niveau de sécurité exigé est rarement exprimé. Contraintes imposées par des intervenants externes (PCI DSS, clients).
Oxalide et 27001
Oxalide & 27001
Les motivations
Avoir une qualité constante
Formaliser
Démarche sécurité Capitaliser
Démarche d’amélioration continue
Plan Do Check Act
Pénétrer de nouveaux marchés Faciliter l’obtention d’autres certifications
Gestion des risques Maîtriser
!
Oxalide & 27001
Périmètre fonctionnel
Industrialisation
Périmètre 27001
Cloud privé Cloud mutualisé Serveurs physiques Cloud public
La méthode agile
L’agilité
Les 4 valeurs fondamentales
MANIFESTE AGILE
L’équipe
Les individus et les interactions plutôt que les outils et les processus.
L’application
Des logiciels opérationnels plus qu’une
documentation exhaustive.
La collaboration
La collaboration avec les clients plus que la négociation contractuelle.
L’acceptation du changement
L’adaptation au changement plus que le
suivi d’un plan
L’agilité
Manifeste Agile – résumé des principes
http://agilemanifesto.org/iso/fr/principles.html
Adéquation Recherche perpétuelle de l’adéquation avec le besoin client
Evolutivité Capacité à s’adapter rapidement et facilement au changement
Efficience Limiter le gaspillage en réalisant ce qui est nécessaire
Collaboration Faire collaborer le business et la technique
Amélioration continue Améliorer en permanence ce que l’on produit
Auto-organisation Rendre autonomes les équipes
MANIFESTE AGILE
L’équipe
Les individus et les interactions plutôt que les outils et les processus.
L’application
Des logiciels opérationnels plus qu’une
documentation exhaustive.
La collaboration
La collaboration avec les clients plus que la négociation contractuelle.
L’acceptation du changement
L’adaptation au changement plus que le
suivi d’un plan
L’agilité
Dans le contexte Web
• Industrialisation • Infra as code
• Test Driven Infra
• Auto Scalling
Agilité
DEV
OPS
Time to market Continious delivery Continious improvement Lead Time
• Scrum
• Intégration continue
• Git
• Etc…
Outils / Méthodes
27001 est-il soluble dans l’agilité ?
27001 est-il soluble dans l’agilité ?
Les idées reçues
J’ai pas le temps pour les sujets de sécu
Je ne veux pas consacrer du temps à
la sécurité
L’agilité est incompatible avec la
sécurité
On ne peut pas être agile et rigoureux à la
fois
Amélioration Continue
Ca prendra des lustres pour que mon besoin
soit pris en compte
Dev
Product Owner
RSSI
27001 est-il soluble dans l’agilité ?
Une méthodologie commune
Plan
Do
Check
Act 27001 Agilité
• Exigence de la norme
• Principe applicable à tous les niveaux
de la norme :
• Sur le SMSI en lui-même
• Les non conformités
• Sur la mise en place des
mesures de sécurité
• Sur la gestion des incidents
• etc
ISO 27001 Gestion par les risques
27001 est-il soluble dans l’agilité ?
Une méthodologie commune
Plan
Do
Check
Act 27001 Agilité
• Exigence de la norme
• Principe applicable à tous les niveaux
de la norme :
• Sur le SMSI en lui-même
• Les non conformités
• Sur la mise en place des
mesures de sécurité
• Sur la gestion des incidents
• etc
• Plan : établir le contenu d’un sprint et le
« définition of done » (Sprint planning)
• Do : réaliser le sprint et les mêlées
quotidienne
• Check : démo du sprint avec réalisation
des tests
• Act : analyser les écarts constatés et en
tirer les enseignements (Rétrospective du
sprint)
ISO 27001 Gestion par les risques
Agilité Gestion par la valeur
27001 est-il soluble dans l’agilité ?
Nos constats
Nos constats Nos difficultés
• Méthodologie comparable
• Donner de la vitesse aux projets et Tâches orientés « sécurité »
• Approche et but différent
• Sensibiliser les équipes produits / projets
• Réserver du temps pour les « technical story » vs « user story »
27001 est-il soluble dans l’agilité ?
Les idées reçues
On est obligé de trouver des solutions
officieuses
Je ne veux pas castrer l’innovation à cause des contraintes sur la
sécurité
Ils font du Shadow IT avec toutes les
solutions en SaaS
Les tech ne suivent aucune méthode,
n’ont aucune organisation
Processus et formalisation
Le RSSI nous contraint et ne nous apporte
pas de solutions
Product Owner
RSSI
Dev
27001 est-il soluble dans l’agilité ?
Des cadres communs et adaptés
Référentiel documentaire
Gestion d’incident
Revue direction
Gestion des risques
• La norme est composée d’exigences
formant un cadre défini visant à :
• Maitriser, améliorer et vérifier
l’efficacité du SMSI
• Apprécier et traiter les risques
• Impliquer la Direction
ISO 27001 Cadre de la norme
27001 est-il soluble dans l’agilité ?
Des cadres communs et adaptés
Fiche d’innovation
continue
Backlog
Cérémonies
Sprint
• La norme est composée d’exigences
formant un cadre défini visant à :
• Maitriser, améliorer et vérifier
l’efficacité du SMSI
• Apprécier et traiter les risques
• Impliquer la Direction
• L’agilité est une méthode qui apporte
un cadre/formalisme
• Backlog
• Cérémonies
• Une durée de sprint définie en
amont
• Cadrer l’innovation via des « fiches
d’innovation continue »
ISO 27001 Cadre de la norme
Agilité Cadre formalisé
27001 est-il soluble dans l’agilité ?
Des cadres communs et adaptés
Nos constats Nos difficultés
• Agile n’est sans contrainte • Agile est malléable • ISO 27001 s’adapte au contexte
Obtenir l’adhésion
27001 est-il soluble dans l’agilité ?
Les idées reçues
Je n’ai pas le temps de mettre à jour mes
serveurs
J’ai jamais eu d’incident de sécurité,
pourquoi investir du temps?
Etre véloce se fait au détriment de la sécurité et de la
qualité
Les devs n’aiment pas documenter
Industrialisation La sécurité ralentit le
business
Product Owner
RSSI
Dev
27001 est-il soluble dans l’agilité ?
L’industrialisation : une qualité constante
Receipe
Server 1
Server 2
Server 3
ISO 27001
• Qualité constante
• Traçabilité
• Auditabilité des actifs
• Suivi et application des bonnes
pratiques de sécurité
• Standardisation des actifs
27001 est-il soluble dans l’agilité ?
L’industrialisation : une qualité constante
Receipe
Server 1
Server 2
Server 3
ISO 27001 Agilité
• Qualité constante
• Traçabilité
• Auditabilité des actifs
• Suivi et application des bonnes
pratiques de sécurité
• Standardisation des actifs
• Facilité de déployer de nouvelles
briques technologiques (et de
rollback)
• Intégration continue
• Test Driven Infrastructure
• Uniformité des configurations
• Capitalisation sur les configurations
27001 est-il soluble dans l’agilité ?
Les bénéfices de l’industrialisation : une qualité constante
Nos constats Nos difficultés
• Outil commun • Efficience • Maîtrise du risque / des
environnements • Bénéfice pour l’automatisation des
tâches
• Effort conséquent pour intégrer une nouvelle solution
• Difficultés classiques de l’industrialisation
Conclusion
Conclusion
Oui mais …
VS x
• Rechercher l’adhésion • Lutter contre les préjugés de la sécurité/norme ISO • Sensibiliser aux problématiques de sécurité • Investir du temps dans la sécurité même en Agile • S’approprier les démarches
Industrialisation
Equilibre
Adhésion
Amélioration continue
L’industrialisation est un prérequis pour traduire sans douleur les exigences de 27001 dans une organisation Agile
ISO 27001 ne doit pas être une contrainte mais doit apporter de la qualité à Agile
Sensibiliser tous les acteurs à la sécurité Faire adhérer tous les acteurs à la démarche Agile S’approprier les démarches
Le cycle PDCA est fondamental dans les deux univers. C’est le pilier de la cohabitation.
Conclusion
Les ingrédients indispensables pour dissoudre ISO 27001 dans l’Agilité
Des questions ?
?