Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

ISO 27001 est-il soluble dans l'agilité ?

2,365 views

Published on

Retour d'expérience d'Oxalide sur la certification de sécurité 27001 et l'agilité au club 27001.

La sécurité est vue comme une contrainte qui ralentit le business. Traitée en bout de chaîne, elle intervient souvent de manière réactive et ne fait que combler des failles. Au-delà des contre-mesures, la bonne pratique est de traiter la sécurité en continu, c’est-à-dire du début jusqu’à la fin du projet. Le challenge est le suivant : »Comment marier la sécurité et l’agilité dans une organisation qui doit produire de plus en plus vite ? »

Voici notre retour d’expérience qui vise à améliorer la sécurité au sein d’une organisation qui doit avoir des résultats.

Published in: Internet
  • DOWNLOAD FULL BOOKS, INTO AVAILABLE FORMAT ......................................................................................................................... ......................................................................................................................... 1.DOWNLOAD FULL. PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. doc Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. doc Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

ISO 27001 est-il soluble dans l'agilité ?

  1. 1. 27001 est-il soluble dans l’agilité ? 07/04/2016 Club 27001
  2. 2. Oxalide en quelques mots
  3. 3. Oxalide en quelques mots Les intervenants Maxime Kurkdjian Président Guillaume Leccese Directeur Technique Carole Tessier Responsable du SMSI
  4. 4. Oxalide en quelques mots Les 3 missions L’hébergement L’infogérance Le conseil Clouds publics Clouds privés Clouds Mutualisés Serveurs physiques Maintien en condition opérationnelle Gestion Continue du Changement Réalisation de projets techniques DevOps Architecture Société de conseil, d’infogérance et d’hébergement de plateforme Web Open Source
  5. 5. Oxalide en quelques mots En quelques chiffres 16ans x2chiffre d’affaires en 3 ans 75Collaborateurs (65% d’ingés) Direction générale 2 Ingénieurs EPITA Certifiée en Juin 2015 +60collaborateurs en 2 ans
  6. 6. Le contexte Un écosystème riche et diversifié
  7. 7. Le contexte d’Oxalide Des secteurs d’activités variés Presse et média Sites E-commerces Les opérateurs SaaS
  8. 8. Le contexte d’Oxalide Des besoins différents Efficience Scalabilité Performance Disponibilité
  9. 9. Le contexte d’Oxalide L’intégration de l’agilité Contexte hérité du monde web open source Réalité depuis 2007 Fréquence des déploiements en production Raccourcir la feedback loop entre le business et les dev
  10. 10. Le contexte d’Oxalide Rapport de nos clients à la sécurité Oxalide apporte pro-activement un niveau de sécurité en amont de l’application du client Réseau public Risque important compte tenu de l’exposition des serveurs sur le réseau public Utilisation de technologies éprouvées et moins éprouvées. Mais correctifs disponibles rapidement. Monde open source Faible maturité Le niveau de sécurité exigé est rarement exprimé. Contraintes imposées par des intervenants externes (PCI DSS, clients).
  11. 11. Oxalide et 27001
  12. 12. Oxalide & 27001 Les motivations Avoir une qualité constante Formaliser Démarche sécurité Capitaliser Démarche d’amélioration continue Plan Do Check Act Pénétrer de nouveaux marchés Faciliter l’obtention d’autres certifications Gestion des risques Maîtriser !
  13. 13. Oxalide & 27001 Périmètre fonctionnel Industrialisation Périmètre 27001 Cloud privé Cloud mutualisé Serveurs physiquesCloud public
  14. 14. La méthode agile
  15. 15. L’agilité Les 4 valeurs fondamentales MANIFESTE AGILE L’équipe Les individus et les interactions plutôt que les outils et les processus. L’application Des logiciels opérationnels plus qu’une documentation exhaustive. La collaboration La collaboration avec les clients plus que la négociation contractuelle. L’acceptation du changement L’adaptation au changement plus que le suivi d’un plan
  16. 16. L’agilité Manifeste Agile – résumé des principes http://agilemanifesto.org/iso/fr/principles.html Adéquation Recherche perpétuelle de l’adéquation avec le besoin client Evolutivité Capacité à s’adapter rapidement et facilement au changement Efficience Limiter le gaspillage en réalisant ce qui est nécessaire Collaboration Faire collaborer le business et la technique Amélioration continue Améliorer en permanence ce que l’on produit Auto-organisation Rendre autonomes les équipes MANIFESTE AGILE L’équipe Les individus et les interactions plutôt que les outils et les processus. L’application Des logiciels opérationnels plus qu’une documentation exhaustive. La collaboration La collaboration avec les clients plus que la négociation contractuelle. L’acceptation du changement L’adaptation au changement plus que le suivi d’un plan
  17. 17. L’agilité Dans le contexte Web •  Industrialisation •  Infra as code •  Test Driven Infra •  Auto Scalling Agilité DEV OPS Time to market Continious delivery Continious improvement Lead Time •  Scrum •  Intégration continue •  Git •  Etc… Outils / Méthodes
  18. 18. 27001 est-il soluble dans l’agilité ?
  19. 19. 27001 est-il soluble dans l’agilité ? Les idées reçues J’ai pas le temps pour les sujets de sécu Je ne veux pas consacrer du temps à la sécurité L’agilité est incompatible avec la sécurité On ne peut pas être agile et rigoureux à la fois Amélioration Continue Ca prendra des lustres pour que mon besoin soit pris en compte Dev Product Owner RSSI
  20. 20. 27001 est-il soluble dans l’agilité ? Une méthodologie commune Plan Do Check Act 27001 Agilité •  Exigence de la norme •  Principe applicable à tous les niveaux de la norme : •  Sur le SMSI en lui-même •  Les non conformités •  Sur la mise en place des mesures de sécurité •  Sur la gestion des incidents •  etc ISO 27001 Gestion par les risques
  21. 21. 27001 est-il soluble dans l’agilité ? Une méthodologie commune Plan Do Check Act 27001 Agilité •  Exigence de la norme •  Principe applicable à tous les niveaux de la norme : •  Sur le SMSI en lui-même •  Les non conformités •  Sur la mise en place des mesures de sécurité •  Sur la gestion des incidents •  etc •  Plan : établir le contenu d’un sprint et le « définition of done » (Sprint planning) •  Do : réaliser le sprint et les mêlées quotidienne •  Check : démo du sprint avec réalisation des tests •  Act : analyser les écarts constatés et en tirer les enseignements (Rétrospective du sprint) ISO 27001 Gestion par les risques Agilité Gestion par la valeur
  22. 22. 27001 est-il soluble dans l’agilité ? Nos constats Nos constats Nos difficultés •  Méthodologie comparable •  Donner de la vitesse aux projets et Tâches orientés « sécurité » •  Approche et but différent •  Sensibiliser les équipes produits / projets •  Réserver du temps pour les « technical story » vs « user story »
  23. 23. 27001 est-il soluble dans l’agilité ? Les idées reçues On est obligé de trouver des solutions officieuses Je ne veux pas castrer l’innovation à cause des contraintes sur la sécurité Ils font du Shadow IT avec toutes les solutions en SaaS Les tech ne suivent aucune méthode, n’ont aucune organisation Processus et formalisation Le RSSI nous contraint et ne nous apporte pas de solutions Product Owner RSSI Dev
  24. 24. 27001 est-il soluble dans l’agilité ? Des cadres communs et adaptés Référentiel documentaire Gestion d’incident Revue direction Gestion des risques •  La norme est composée d’exigences formant un cadre défini visant à : •  Maitriser, améliorer et vérifier l’efficacité du SMSI •  Apprécier et traiter les risques •  Impliquer la Direction ISO 27001 Cadre de la norme
  25. 25. 27001 est-il soluble dans l’agilité ? Des cadres communs et adaptés Fiche d’innovation continue Backlog Cérémonies Sprint •  La norme est composée d’exigences formant un cadre défini visant à : •  Maitriser, améliorer et vérifier l’efficacité du SMSI •  Apprécier et traiter les risques •  Impliquer la Direction •  L’agilité est une méthode qui apporte un cadre/formalisme •  Backlog •  Cérémonies •  Une durée de sprint définie en amont •  Cadrer l’innovation via des « fiches d’innovation continue » ISO 27001 Cadre de la norme Agilité Cadre formalisé
  26. 26. 27001 est-il soluble dans l’agilité ? Des cadres communs et adaptés Nos constats Nos difficultés •  Agile n’est sans contrainte •  Agile est malléable •  ISO 27001 s’adapte au contexte Obtenir l’adhésion
  27. 27. 27001 est-il soluble dans l’agilité ? Les idées reçues Je n’ai pas le temps de mettre à jour mes serveurs J’ai jamais eu d’incident de sécurité, pourquoi investir du temps? Etre véloce se fait au détriment de la sécurité et de la qualité Les devs n’aiment pas documenter Industrialisation La sécurité ralentit le business Product Owner RSSI Dev
  28. 28. 27001 est-il soluble dans l’agilité ? L’industrialisation : une qualité constante Receipe Server 1 Server 2 Server 3 ISO 27001 •  Qualité constante •  Traçabilité •  Auditabilité des actifs •  Suivi et application des bonnes pratiques de sécurité •  Standardisation des actifs
  29. 29. 27001 est-il soluble dans l’agilité ? L’industrialisation : une qualité constante Receipe Server 1 Server 2 Server 3 ISO 27001 Agilité •  Qualité constante •  Traçabilité •  Auditabilité des actifs •  Suivi et application des bonnes pratiques de sécurité •  Standardisation des actifs •  Facilité de déployer de nouvelles briques technologiques (et de rollback) •  Intégration continue •  Test Driven Infrastructure •  Uniformité des configurations •  Capitalisation sur les configurations
  30. 30. 27001 est-il soluble dans l’agilité ? Les bénéfices de l’industrialisation : une qualité constante Nos constats Nos difficultés •  Outil commun •  Efficience •  Maîtrise du risque / des environnements •  Bénéfice pour l’automatisation des tâches •  Effort conséquent pour intégrer une nouvelle solution •  Difficultés classiques de l’industrialisation
  31. 31. Conclusion
  32. 32. Conclusion Oui mais … VS x •  Rechercher l’adhésion •  Lutter contre les préjugés de la sécurité/norme ISO •  Sensibiliser aux problématiques de sécurité •  Investir du temps dans la sécurité même en Agile •  S’approprier les démarches
  33. 33. Industrialisation Equilibre Adhésion Amélioration continue L’industrialisation est un prérequis pour traduire sans douleur les exigences de 27001 dans une organisation Agile ISO 27001 ne doit pas être une contrainte mais doit apporter de la qualité à Agile Sensibiliser tous les acteurs à la sécurité Faire adhérer tous les acteurs à la démarche Agile S’approprier les démarches Le cycle PDCA est fondamental dans les deux univers. C’est le pilier de la cohabitation. Conclusion Les ingrédients indispensables pour dissoudre ISO 27001 dans l’Agilité
  34. 34. Des questions ? ?

×