Actualité web & High tech sur Usine Digitale

Sécurité numérique en démarche agile : le délicat mariage de la carpe et du lapin

Twitter Facebook Linkedin Google + Email
×

Chaque semaine, les avocats Eric Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri se relaient pour décrypter les évolutions juridiques et judiciaires nées de la digitalisation. Aujourd'hui, Pascal Agosti aborde la question de la méthode "agile" en matière de sécurité numérique et les enjeux du Guide de l’ANSSI et de la DINSIC.

Sécurité numérique en démarche agile : le délicat mariage de la carpe et du lapin
Sécurité numérique en démarche agile : le délicat mariage de la carpe et du lapin © Brnzwngs - Flickr - C.C.

Sécurité agile : un oxymore qui ne doit plus en être un !

Sécurité numérique et méthode agile de développement informatique semblent aux antipodes l’une de l’autre. En effet, si parler de sécurité numérique présuppose rigueur et procédures strictes, les méthodes agiles de développement sont beaucoup moins formalisées et peu documentées. Pourtant, le Marché doit parvenir à faire une synthèse utile de ces deux extrêmes : l’un ne pouvant désormais pas aller sans l’autre.
 

Succès des méthodes agiles de développement…

En effet, de plus en plus de projets informatiques recourent à une démarche agile, caractérisée par un mode de développement :

  • A la fois itératif, incrémental et adaptatif, où le système se construit dans le temps au travers de différentes itérations ;
  • Intégré, la conception (BUILT) et la mise en production (RUN) étant des phases regroupées pour chaque itération.

La preuve du succès de la méthode agile et de sa diffusion se trouve dans les prétoires, l’une d’entre elles ayant été l’objet d’un contentieux. La démarche agile se veut donc souple, afin de pouvoir rapidement "sorti" le produit et respecter un "time to market" de plus en plus court et une efficience économique réelle (quoique discutable parfois).
 

… sans oublier la sécurité numérique

Mais, l’autre besoin évident aujourd’hui à l’aune des différents scandales en termes de privacy, c’est bien la sécurité numérique. Les entreprises qui vont recourir à telle application ou à tel logiciel attendent que son mode de conception soit fiable et non susceptible d’un piratage trop simple. Or, il s’agit bien souvent d’une lacune des méthodes agiles de développement. Alors, que faire ?
 

Une prise en compte importante : le Guide de l’ANSSI et de la DINSIC

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a lancé un appel à commentaires qui se terminera le 15 septembre 2017 autour d’un Guide intitulé "Intégrer la sécurité numérique en démarche Agile" et coproduit avec la Direction Interministérielle du Numérique et des Systèmes d’Information et de Communication (DINSIC). Ce guide, soumis à commentaires, a pour vocation d’aider les organismes publics et privés pour concilier ces intérêts (time to market vs sécurité) souvent divergents et à se projeter éventuellement dans une démarche d’homologation de sécurité.
 

Il est censé répondre notamment aux objectifs suivants :

  • Obtenir le niveau de sécurité correspondant aux enjeux du projet ;
  • Traiter les risques de manière rigoureuse et itérative.
     

Mais, ce Guide peut également servir de bonnes pratiques et d’outil pédagogique à destination de tout projet de développement agile. L’approche retenue se cale sur une démarche classique ISO 27001 mais simplifiée. Par exemple, les risques sont décrits sous la forme d’une « abuser story », c’est-à-dire un scénario de risques significatifs en termes de sécurité de système d’information. Par la suite, il faut recenser les mesures de sécurité pertinentes en fonction de l’abuser story.

D’autres points sont particulièrement bien détaillés dans le guide autour des phases :

  • D’analyse de risques numériques pour tout le projet mais aussi pour chaque itération ;
  • De traitement des risques communs et des interactions entre plusieurs itérations.

     

Une autre utilité au guide : des guidelines pour des clauses de Contrat agile et les documents sécurité

Enfin, ce guide permet d’intégrer des clauses pertinentes dans les contrats de prestations en termes de sécurité des systèmes d’information en cas de recours à un prestataire dit agile lorsque le produit attendu doit répondre à des exigences de cet ordre mais aussi dans les documents névralgiques au sein des directions des systèmes d’information des grands groupes (PSSI, chartes…).

Il est donc urgent de se pencher sur ce guide et d’apporter sa contribution à un écosystème Frenchtech de plus en plus vaillant !
 

Pascal AGOSTI, Avocat associé, Docteur en droit, Membre de Jurisdefi

Les avis d'experts et points de vue sont publiés sous la responsabilité de leurs auteurs et n’engagent en rien la rédaction

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale