DevOps au coeur de la transformation digitale
Le téléchargement de votre SlideShare est en cours.
×
Consultez-les par la suite
Suggestions
Plus De Contenu Connexe
Diaporamas pour vous (20)
Les utilisateurs ont également aimé (20)
Similaire à ISO 27001 est-il soluble dans l'agilité ? (20)
Plus par Oxalide (20)
Plus récents (20)
ISO 27001 est-il soluble dans l'agilité ?
- 1. 27001 est-il soluble dans l’agilité ? 07/04/2016 Club 27001
- 2. Oxalide en quelques mots
- 3. Oxalide en quelques mots Les intervenants Maxime Kurkdjian Président Guillaume Leccese Directeur Technique Carole Tessier Responsable du SMSI
- 4. Oxalide en quelques mots Les 3 missions L’hébergement L’infogérance Le conseil Clouds publics Clouds privés Clouds Mutualisés Serveurs physiques Maintien en condition opérationnelle Gestion Continue du Changement Réalisation de projets techniques DevOps Architecture Société de conseil, d’infogérance et d’hébergement de plateforme Web Open Source
- 5. Oxalide en quelques mots En quelques chiffres 16ans x2chiffre d’affaires en 3 ans 75Collaborateurs (65% d’ingés) Direction générale 2 Ingénieurs EPITA Certifiée en Juin 2015 +60collaborateurs en 2 ans
- 6. Le contexte Un écosystème riche et diversifié
- 7. Le contexte d’Oxalide Des secteurs d’activités variés Presse et média Sites E-commerces Les opérateurs SaaS
- 8. Le contexte d’Oxalide Des besoins différents Efficience Scalabilité Performance Disponibilité
- 9. Le contexte d’Oxalide L’intégration de l’agilité Contexte hérité du monde web open source Réalité depuis 2007 Fréquence des déploiements en production Raccourcir la feedback loop entre le business et les dev
- 10. Le contexte d’Oxalide Rapport de nos clients à la sécurité Oxalide apporte pro-activement un niveau de sécurité en amont de l’application du client Réseau public Risque important compte tenu de l’exposition des serveurs sur le réseau public Utilisation de technologies éprouvées et moins éprouvées. Mais correctifs disponibles rapidement. Monde open source Faible maturité Le niveau de sécurité exigé est rarement exprimé. Contraintes imposées par des intervenants externes (PCI DSS, clients).
- 11. Oxalide et 27001
- 12. Oxalide & 27001 Les motivations Avoir une qualité constante Formaliser Démarche sécurité Capitaliser Démarche d’amélioration continue Plan Do Check Act Pénétrer de nouveaux marchés Faciliter l’obtention d’autres certifications Gestion des risques Maîtriser !
- 13. Oxalide & 27001 Périmètre fonctionnel Industrialisation Périmètre 27001 Cloud privé Cloud mutualisé Serveurs physiquesCloud public
- 14. La méthode agile
- 15. L’agilité Les 4 valeurs fondamentales MANIFESTE AGILE L’équipe Les individus et les interactions plutôt que les outils et les processus. L’application Des logiciels opérationnels plus qu’une documentation exhaustive. La collaboration La collaboration avec les clients plus que la négociation contractuelle. L’acceptation du changement L’adaptation au changement plus que le suivi d’un plan
- 16. L’agilité Manifeste Agile – résumé des principes http://agilemanifesto.org/iso/fr/principles.html Adéquation Recherche perpétuelle de l’adéquation avec le besoin client Evolutivité Capacité à s’adapter rapidement et facilement au changement Efficience Limiter le gaspillage en réalisant ce qui est nécessaire Collaboration Faire collaborer le business et la technique Amélioration continue Améliorer en permanence ce que l’on produit Auto-organisation Rendre autonomes les équipes MANIFESTE AGILE L’équipe Les individus et les interactions plutôt que les outils et les processus. L’application Des logiciels opérationnels plus qu’une documentation exhaustive. La collaboration La collaboration avec les clients plus que la négociation contractuelle. L’acceptation du changement L’adaptation au changement plus que le suivi d’un plan
- 17. L’agilité Dans le contexte Web • Industrialisation • Infra as code • Test Driven Infra • Auto Scalling Agilité DEV OPS Time to market Continious delivery Continious improvement Lead Time • Scrum • Intégration continue • Git • Etc… Outils / Méthodes
- 18. 27001 est-il soluble dans l’agilité ?
- 19. 27001 est-il soluble dans l’agilité ? Les idées reçues J’ai pas le temps pour les sujets de sécu Je ne veux pas consacrer du temps à la sécurité L’agilité est incompatible avec la sécurité On ne peut pas être agile et rigoureux à la fois Amélioration Continue Ca prendra des lustres pour que mon besoin soit pris en compte Dev Product Owner RSSI
- 20. 27001 est-il soluble dans l’agilité ? Une méthodologie commune Plan Do Check Act 27001 Agilité • Exigence de la norme • Principe applicable à tous les niveaux de la norme : • Sur le SMSI en lui-même • Les non conformités • Sur la mise en place des mesures de sécurité • Sur la gestion des incidents • etc ISO 27001 Gestion par les risques
- 21. 27001 est-il soluble dans l’agilité ? Une méthodologie commune Plan Do Check Act 27001 Agilité • Exigence de la norme • Principe applicable à tous les niveaux de la norme : • Sur le SMSI en lui-même • Les non conformités • Sur la mise en place des mesures de sécurité • Sur la gestion des incidents • etc • Plan : établir le contenu d’un sprint et le « définition of done » (Sprint planning) • Do : réaliser le sprint et les mêlées quotidienne • Check : démo du sprint avec réalisation des tests • Act : analyser les écarts constatés et en tirer les enseignements (Rétrospective du sprint) ISO 27001 Gestion par les risques Agilité Gestion par la valeur
- 22. 27001 est-il soluble dans l’agilité ? Nos constats Nos constats Nos difficultés • Méthodologie comparable • Donner de la vitesse aux projets et Tâches orientés « sécurité » • Approche et but différent • Sensibiliser les équipes produits / projets • Réserver du temps pour les « technical story » vs « user story »
- 23. 27001 est-il soluble dans l’agilité ? Les idées reçues On est obligé de trouver des solutions officieuses Je ne veux pas castrer l’innovation à cause des contraintes sur la sécurité Ils font du Shadow IT avec toutes les solutions en SaaS Les tech ne suivent aucune méthode, n’ont aucune organisation Processus et formalisation Le RSSI nous contraint et ne nous apporte pas de solutions Product Owner RSSI Dev
- 24. 27001 est-il soluble dans l’agilité ? Des cadres communs et adaptés Référentiel documentaire Gestion d’incident Revue direction Gestion des risques • La norme est composée d’exigences formant un cadre défini visant à : • Maitriser, améliorer et vérifier l’efficacité du SMSI • Apprécier et traiter les risques • Impliquer la Direction ISO 27001 Cadre de la norme
- 25. 27001 est-il soluble dans l’agilité ? Des cadres communs et adaptés Fiche d’innovation continue Backlog Cérémonies Sprint • La norme est composée d’exigences formant un cadre défini visant à : • Maitriser, améliorer et vérifier l’efficacité du SMSI • Apprécier et traiter les risques • Impliquer la Direction • L’agilité est une méthode qui apporte un cadre/formalisme • Backlog • Cérémonies • Une durée de sprint définie en amont • Cadrer l’innovation via des « fiches d’innovation continue » ISO 27001 Cadre de la norme Agilité Cadre formalisé
- 26. 27001 est-il soluble dans l’agilité ? Des cadres communs et adaptés Nos constats Nos difficultés • Agile n’est sans contrainte • Agile est malléable • ISO 27001 s’adapte au contexte Obtenir l’adhésion
- 27. 27001 est-il soluble dans l’agilité ? Les idées reçues Je n’ai pas le temps de mettre à jour mes serveurs J’ai jamais eu d’incident de sécurité, pourquoi investir du temps? Etre véloce se fait au détriment de la sécurité et de la qualité Les devs n’aiment pas documenter Industrialisation La sécurité ralentit le business Product Owner RSSI Dev
- 28. 27001 est-il soluble dans l’agilité ? L’industrialisation : une qualité constante Receipe Server 1 Server 2 Server 3 ISO 27001 • Qualité constante • Traçabilité • Auditabilité des actifs • Suivi et application des bonnes pratiques de sécurité • Standardisation des actifs
- 29. 27001 est-il soluble dans l’agilité ? L’industrialisation : une qualité constante Receipe Server 1 Server 2 Server 3 ISO 27001 Agilité • Qualité constante • Traçabilité • Auditabilité des actifs • Suivi et application des bonnes pratiques de sécurité • Standardisation des actifs • Facilité de déployer de nouvelles briques technologiques (et de rollback) • Intégration continue • Test Driven Infrastructure • Uniformité des configurations • Capitalisation sur les configurations
- 30. 27001 est-il soluble dans l’agilité ? Les bénéfices de l’industrialisation : une qualité constante Nos constats Nos difficultés • Outil commun • Efficience • Maîtrise du risque / des environnements • Bénéfice pour l’automatisation des tâches • Effort conséquent pour intégrer une nouvelle solution • Difficultés classiques de l’industrialisation
- 31. Conclusion
- 32. Conclusion Oui mais … VS x • Rechercher l’adhésion • Lutter contre les préjugés de la sécurité/norme ISO • Sensibiliser aux problématiques de sécurité • Investir du temps dans la sécurité même en Agile • S’approprier les démarches
- 33. Industrialisation Equilibre Adhésion Amélioration continue L’industrialisation est un prérequis pour traduire sans douleur les exigences de 27001 dans une organisation Agile ISO 27001 ne doit pas être une contrainte mais doit apporter de la qualité à Agile Sensibiliser tous les acteurs à la sécurité Faire adhérer tous les acteurs à la démarche Agile S’approprier les démarches Le cycle PDCA est fondamental dans les deux univers. C’est le pilier de la cohabitation. Conclusion Les ingrédients indispensables pour dissoudre ISO 27001 dans l’Agilité
- 34. Des questions ? ?
