SlideShare une entreprise Scribd logo
27001 est-il soluble dans l’agilité ?
07/04/2016
Club 27001
Oxalide
en quelques mots
Oxalide en quelques mots
Les intervenants
Maxime Kurkdjian
Président
Guillaume Leccese
Directeur Technique
Carole Tessier
Responsable du SMSI
Oxalide en quelques mots
Les 3 missions
L’hébergement L’infogérance Le conseil
Clouds publics
Clouds privés
Clouds Mutualisés
Serveurs physiques
Maintien en condition opérationnelle
Gestion Continue du Changement
Réalisation de projets techniques
DevOps
Architecture
Société de conseil, d’infogérance et d’hébergement de plateforme Web Open Source
Oxalide en quelques mots
En quelques chiffres
16ans
x2chiffre d’affaires en 3 ans
75Collaborateurs (65% d’ingés)
Direction générale
2 Ingénieurs EPITA
Certifiée en Juin 2015
+60collaborateurs en 2 ans
Le contexte
Un écosystème riche et diversifié
Le contexte d’Oxalide
Des secteurs d’activités variés
Presse et média Sites E-commerces Les opérateurs SaaS
Le contexte d’Oxalide
Des besoins différents
Efficience
Scalabilité
Performance
Disponibilité
Le contexte d’Oxalide
L’intégration de l’agilité
Contexte hérité
du monde web
open source
Réalité depuis 2007 Fréquence
des déploiements
en production
Raccourcir la
feedback loop
entre le business et
les dev
Le contexte d’Oxalide
Rapport de nos clients à la sécurité
Oxalide apporte pro-activement un niveau de sécurité en amont de l’application du client
Réseau public
Risque important compte tenu
de l’exposition des serveurs sur
le réseau public
Utilisation de technologies
éprouvées et moins éprouvées.
Mais correctifs disponibles
rapidement.
Monde open source Faible maturité
Le niveau de sécurité exigé est
rarement exprimé. Contraintes
imposées par des intervenants
externes (PCI DSS, clients).
Oxalide et 27001
Oxalide & 27001
Les motivations
Avoir une qualité
constante
Formaliser
Démarche sécurité
Capitaliser
Démarche d’amélioration
continue
Plan Do Check Act
Pénétrer de nouveaux marchés
Faciliter l’obtention d’autres certifications
Gestion des
risques
Maîtriser
!
Oxalide & 27001
Périmètre fonctionnel
Industrialisation
Périmètre 27001
Cloud privé Cloud mutualisé Serveurs physiquesCloud public
La méthode agile
L’agilité
Les 4 valeurs fondamentales
MANIFESTE AGILE
L’équipe
Les individus et les interactions plutôt que
les outils et les processus.
L’application
Des logiciels opérationnels plus qu’une
documentation exhaustive.
La collaboration
La collaboration avec les clients plus que la
négociation contractuelle.
L’acceptation du changement
L’adaptation au changement plus que le
suivi d’un plan
L’agilité
Manifeste Agile – résumé des principes
http://agilemanifesto.org/iso/fr/principles.html
Adéquation
Recherche perpétuelle de l’adéquation avec le besoin
client
Evolutivité
Capacité à s’adapter rapidement et facilement au
changement
Efficience
Limiter le gaspillage en réalisant ce qui est nécessaire
Collaboration
Faire collaborer le business et la technique
Amélioration continue
Améliorer en permanence ce que l’on produit
Auto-organisation
Rendre autonomes les équipes
MANIFESTE AGILE
L’équipe
Les individus et les interactions plutôt que
les outils et les processus.
L’application
Des logiciels opérationnels plus qu’une
documentation exhaustive.
La collaboration
La collaboration avec les clients plus que la
négociation contractuelle.
L’acceptation du changement
L’adaptation au changement plus que le
suivi d’un plan
L’agilité
Dans le contexte Web
•  Industrialisation
•  Infra as code
•  Test Driven Infra
•  Auto Scalling
Agilité
DEV
OPS
Time to market
Continious delivery
Continious improvement
Lead Time
•  Scrum
•  Intégration continue
•  Git
•  Etc…
Outils / Méthodes
27001 est-il soluble dans l’agilité ?
27001 est-il soluble dans l’agilité ?
Les idées reçues
J’ai pas le temps pour
les sujets de sécu
Je ne veux pas
consacrer du temps à
la sécurité
L’agilité est
incompatible avec la
sécurité
On ne peut pas être
agile et rigoureux à la
fois
Amélioration Continue
Ca prendra des lustres
pour que mon besoin
soit pris en compte
Dev
Product Owner
RSSI
27001 est-il soluble dans l’agilité ?
Une méthodologie commune
Plan
Do
Check
Act 27001
Agilité
•  Exigence de la norme
•  Principe applicable à tous les niveaux
de la norme :
•  Sur le SMSI en lui-même
•  Les non conformités
•  Sur la mise en place des
mesures de sécurité
•  Sur la gestion des incidents
•  etc
ISO 27001
Gestion par les risques
27001 est-il soluble dans l’agilité ?
Une méthodologie commune
Plan
Do
Check
Act 27001
Agilité
•  Exigence de la norme
•  Principe applicable à tous les niveaux
de la norme :
•  Sur le SMSI en lui-même
•  Les non conformités
•  Sur la mise en place des
mesures de sécurité
•  Sur la gestion des incidents
•  etc
•  Plan : établir le contenu d’un sprint et le
« définition of done » (Sprint planning)
•  Do : réaliser le sprint et les mêlées
quotidienne
•  Check : démo du sprint avec réalisation
des tests
•  Act : analyser les écarts constatés et en
tirer les enseignements (Rétrospective du
sprint)
ISO 27001
Gestion par les risques
Agilité
Gestion par la valeur
27001 est-il soluble dans l’agilité ?
Nos constats
Nos constats Nos difficultés
•  Méthodologie comparable
•  Donner de la vitesse aux projets et
Tâches orientés « sécurité »
•  Approche et but différent
•  Sensibiliser les équipes produits / projets
•  Réserver du temps pour les « technical
story » vs « user story »
27001 est-il soluble dans l’agilité ?
Les idées reçues
On est obligé de
trouver des solutions
officieuses
Je ne veux pas castrer
l’innovation à cause
des contraintes sur la
sécurité
Ils font du Shadow IT
avec toutes les
solutions en SaaS
Les tech ne suivent
aucune méthode,
n’ont aucune
organisation
Processus et formalisation
Le RSSI nous contraint
et ne nous apporte
pas de solutions
Product Owner
RSSI
Dev
27001 est-il soluble dans l’agilité ?
Des cadres communs et adaptés
Référentiel
documentaire
Gestion
d’incident
Revue
direction
Gestion des
risques
•  La norme est composée d’exigences
formant un cadre défini visant à :
•  Maitriser, améliorer et vérifier
l’efficacité du SMSI
•  Apprécier et traiter les risques
•  Impliquer la Direction
ISO 27001
Cadre de la norme
27001 est-il soluble dans l’agilité ?
Des cadres communs et adaptés
Fiche
d’innovation
continue
Backlog
Cérémonies
Sprint
•  La norme est composée d’exigences
formant un cadre défini visant à :
•  Maitriser, améliorer et vérifier
l’efficacité du SMSI
•  Apprécier et traiter les risques
•  Impliquer la Direction
•  L’agilité est une méthode qui apporte
un cadre/formalisme
•  Backlog
•  Cérémonies
•  Une durée de sprint définie en
amont
•  Cadrer l’innovation via des « fiches
d’innovation continue »
ISO 27001
Cadre de la norme
Agilité
Cadre formalisé
27001 est-il soluble dans l’agilité ?
Des cadres communs et adaptés
Nos constats Nos difficultés
•  Agile n’est sans contrainte
•  Agile est malléable
•  ISO 27001 s’adapte au contexte
Obtenir l’adhésion
27001 est-il soluble dans l’agilité ?
Les idées reçues
Je n’ai pas le temps
de mettre à jour mes
serveurs
J’ai jamais eu
d’incident de sécurité,
pourquoi investir du
temps?
Etre véloce se fait au
détriment de la
sécurité et de la
qualité
Les devs n’aiment pas
documenter
Industrialisation
La sécurité ralentit le
business
Product Owner
RSSI
Dev
27001 est-il soluble dans l’agilité ?
L’industrialisation : une qualité constante
Receipe
Server 1
Server 2
Server 3
ISO 27001
•  Qualité constante
•  Traçabilité
•  Auditabilité des actifs
•  Suivi et application des bonnes
pratiques de sécurité
•  Standardisation des actifs
27001 est-il soluble dans l’agilité ?
L’industrialisation : une qualité constante
Receipe
Server 1
Server 2
Server 3
ISO 27001 Agilité
•  Qualité constante
•  Traçabilité
•  Auditabilité des actifs
•  Suivi et application des bonnes
pratiques de sécurité
•  Standardisation des actifs
•  Facilité de déployer de nouvelles
briques technologiques (et de
rollback)
•  Intégration continue
•  Test Driven Infrastructure
•  Uniformité des configurations
•  Capitalisation sur les configurations
27001 est-il soluble dans l’agilité ?
Les bénéfices de l’industrialisation : une qualité constante
Nos constats Nos difficultés
•  Outil commun
•  Efficience
•  Maîtrise du risque / des
environnements
•  Bénéfice pour l’automatisation des
tâches
•  Effort conséquent pour intégrer une
nouvelle solution
•  Difficultés classiques de l’industrialisation
Conclusion
Conclusion
Oui mais …
VS x
•  Rechercher l’adhésion
•  Lutter contre les préjugés de la sécurité/norme ISO
•  Sensibiliser aux problématiques de sécurité
•  Investir du temps dans la sécurité même en Agile
•  S’approprier les démarches
Industrialisation
Equilibre
Adhésion
Amélioration
continue
L’industrialisation est un prérequis pour
traduire sans douleur les exigences de 27001
dans une organisation Agile
ISO 27001 ne doit pas être une contrainte mais doit
apporter de la qualité à Agile
Sensibiliser tous les acteurs à la sécurité
Faire adhérer tous les acteurs à la démarche Agile
S’approprier les démarches
Le cycle PDCA est fondamental dans les deux
univers. C’est le pilier de la cohabitation.
Conclusion
Les ingrédients indispensables pour dissoudre ISO 27001 dans l’Agilité
Des questions ?
?

Contenu connexe

Tendances

DevOps au coeur de la transformation digitale
DevOps au coeur de la transformation digitaleDevOps au coeur de la transformation digitale
DevOps au coeur de la transformation digitale
Samuel Metias
 
DEVOPS : Comment faire converger études et production ?
DEVOPS : Comment faire converger études et production ?DEVOPS : Comment faire converger études et production ?
DEVOPS : Comment faire converger études et production ?
itSMF France
 
Du cycle en V à DevOps, en passant par agile - Normation
Du cycle en V à DevOps, en passant par agile - NormationDu cycle en V à DevOps, en passant par agile - Normation
Du cycle en V à DevOps, en passant par agile - Normation
RUDDER
 
Afterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiquesAfterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiques
OCTO Technology Suisse
 
DevOps - Retour d’expérience - RivieraDev du 20 Octobre 2011
DevOps - Retour d’expérience - RivieraDev du 20 Octobre 2011DevOps - Retour d’expérience - RivieraDev du 20 Octobre 2011
DevOps - Retour d’expérience - RivieraDev du 20 Octobre 2011
Henri Gomez
 
Introduction à la démarche Devops
Introduction à la démarche DevopsIntroduction à la démarche Devops
Introduction à la démarche Devops
Romain Chalumeau
 
Séminaire DEVOPS, DÉMARCHE ET MISE EN ŒUVRE - ORSYS Formation
Séminaire DEVOPS, DÉMARCHE ET MISE EN ŒUVRE - ORSYS FormationSéminaire DEVOPS, DÉMARCHE ET MISE EN ŒUVRE - ORSYS Formation
Séminaire DEVOPS, DÉMARCHE ET MISE EN ŒUVRE - ORSYS Formation
ORSYS
 
TIAD : DevOps & continuous delivery dans le cloud
TIAD : DevOps & continuous delivery dans le cloudTIAD : DevOps & continuous delivery dans le cloud
TIAD : DevOps & continuous delivery dans le cloud
The Incredible Automation Day
 
DevOps vu par les ops
DevOps vu par les opsDevOps vu par les ops
DevOps vu par les ops
Michel HUBERT
 
Retour d’expérience de la transformation DevOps de Microsoft au DevOps REX
Retour d’expérience de la transformation DevOps de Microsoft au DevOps REXRetour d’expérience de la transformation DevOps de Microsoft au DevOps REX
Retour d’expérience de la transformation DevOps de Microsoft au DevOps REX
Samuel Metias
 
[devops REX 2017] Les unconférences au cœur de l’évangelisation DevOps chez C...
[devops REX 2017] Les unconférences au cœur de l’évangelisation DevOps chez C...[devops REX 2017] Les unconférences au cœur de l’évangelisation DevOps chez C...
[devops REX 2017] Les unconférences au cœur de l’évangelisation DevOps chez C...
devops REX
 
Sensibilisation à ITIL V3
Sensibilisation à ITIL V3Sensibilisation à ITIL V3
Sensibilisation à ITIL V3
COMPETENSIS
 
Le DevOps : La clé de la transformation digitale ?
Le DevOps : La clé de la transformation digitale ?Le DevOps : La clé de la transformation digitale ?
Le DevOps : La clé de la transformation digitale ?
Amico Fabien
 
[devops REX 2016] DevOps at Scale : ce qu’on fait, ce que l’on a appris chez ...
[devops REX 2016] DevOps at Scale : ce qu’on fait, ce que l’on a appris chez ...[devops REX 2016] DevOps at Scale : ce qu’on fait, ce que l’on a appris chez ...
[devops REX 2016] DevOps at Scale : ce qu’on fait, ce que l’on a appris chez ...
devops REX
 
Amener vos applications Dockerisées jusqu’en production avec XebiaLabs
Amener vos applications Dockerisées jusqu’en production avec XebiaLabs �Amener vos applications Dockerisées jusqu’en production avec XebiaLabs �
Amener vos applications Dockerisées jusqu’en production avec XebiaLabs
XebiaLabs
 
JSS2014 - L'agilité n'est pas une fatalité
JSS2014 - L'agilité n'est pas une fatalitéJSS2014 - L'agilité n'est pas une fatalité
JSS2014 - L'agilité n'est pas une fatalitéNicholas Suter
 
Presentation DevOps : enjeux , objectifs, consequences
Presentation DevOps : enjeux , objectifs, consequencesPresentation DevOps : enjeux , objectifs, consequences
Presentation DevOps : enjeux , objectifs, consequences
Stéphane Di Cioccio
 
[devops REX 2016] Les impacts techniques et organisationnels liés à devops
 [devops REX 2016] Les impacts techniques et organisationnels liés à devops [devops REX 2016] Les impacts techniques et organisationnels liés à devops
[devops REX 2016] Les impacts techniques et organisationnels liés à devops
devops REX
 
[devops REX 2016] Comment nous cultivons la philosophie DevOps grâce au Lean
[devops REX 2016] Comment nous cultivons la philosophie DevOps grâce au Lean[devops REX 2016] Comment nous cultivons la philosophie DevOps grâce au Lean
[devops REX 2016] Comment nous cultivons la philosophie DevOps grâce au Lean
devops REX
 
Catalyser votre transition agile avec le codéveloppement
Catalyser votre transition agile avec le codéveloppementCatalyser votre transition agile avec le codéveloppement
Catalyser votre transition agile avec le codéveloppement
CGI Québec Formation
 

Tendances (20)

DevOps au coeur de la transformation digitale
DevOps au coeur de la transformation digitaleDevOps au coeur de la transformation digitale
DevOps au coeur de la transformation digitale
 
DEVOPS : Comment faire converger études et production ?
DEVOPS : Comment faire converger études et production ?DEVOPS : Comment faire converger études et production ?
DEVOPS : Comment faire converger études et production ?
 
Du cycle en V à DevOps, en passant par agile - Normation
Du cycle en V à DevOps, en passant par agile - NormationDu cycle en V à DevOps, en passant par agile - Normation
Du cycle en V à DevOps, en passant par agile - Normation
 
Afterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiquesAfterwork Devops : vision et pratiques
Afterwork Devops : vision et pratiques
 
DevOps - Retour d’expérience - RivieraDev du 20 Octobre 2011
DevOps - Retour d’expérience - RivieraDev du 20 Octobre 2011DevOps - Retour d’expérience - RivieraDev du 20 Octobre 2011
DevOps - Retour d’expérience - RivieraDev du 20 Octobre 2011
 
Introduction à la démarche Devops
Introduction à la démarche DevopsIntroduction à la démarche Devops
Introduction à la démarche Devops
 
Séminaire DEVOPS, DÉMARCHE ET MISE EN ŒUVRE - ORSYS Formation
Séminaire DEVOPS, DÉMARCHE ET MISE EN ŒUVRE - ORSYS FormationSéminaire DEVOPS, DÉMARCHE ET MISE EN ŒUVRE - ORSYS Formation
Séminaire DEVOPS, DÉMARCHE ET MISE EN ŒUVRE - ORSYS Formation
 
TIAD : DevOps & continuous delivery dans le cloud
TIAD : DevOps & continuous delivery dans le cloudTIAD : DevOps & continuous delivery dans le cloud
TIAD : DevOps & continuous delivery dans le cloud
 
DevOps vu par les ops
DevOps vu par les opsDevOps vu par les ops
DevOps vu par les ops
 
Retour d’expérience de la transformation DevOps de Microsoft au DevOps REX
Retour d’expérience de la transformation DevOps de Microsoft au DevOps REXRetour d’expérience de la transformation DevOps de Microsoft au DevOps REX
Retour d’expérience de la transformation DevOps de Microsoft au DevOps REX
 
[devops REX 2017] Les unconférences au cœur de l’évangelisation DevOps chez C...
[devops REX 2017] Les unconférences au cœur de l’évangelisation DevOps chez C...[devops REX 2017] Les unconférences au cœur de l’évangelisation DevOps chez C...
[devops REX 2017] Les unconférences au cœur de l’évangelisation DevOps chez C...
 
Sensibilisation à ITIL V3
Sensibilisation à ITIL V3Sensibilisation à ITIL V3
Sensibilisation à ITIL V3
 
Le DevOps : La clé de la transformation digitale ?
Le DevOps : La clé de la transformation digitale ?Le DevOps : La clé de la transformation digitale ?
Le DevOps : La clé de la transformation digitale ?
 
[devops REX 2016] DevOps at Scale : ce qu’on fait, ce que l’on a appris chez ...
[devops REX 2016] DevOps at Scale : ce qu’on fait, ce que l’on a appris chez ...[devops REX 2016] DevOps at Scale : ce qu’on fait, ce que l’on a appris chez ...
[devops REX 2016] DevOps at Scale : ce qu’on fait, ce que l’on a appris chez ...
 
Amener vos applications Dockerisées jusqu’en production avec XebiaLabs
Amener vos applications Dockerisées jusqu’en production avec XebiaLabs �Amener vos applications Dockerisées jusqu’en production avec XebiaLabs �
Amener vos applications Dockerisées jusqu’en production avec XebiaLabs
 
JSS2014 - L'agilité n'est pas une fatalité
JSS2014 - L'agilité n'est pas une fatalitéJSS2014 - L'agilité n'est pas une fatalité
JSS2014 - L'agilité n'est pas une fatalité
 
Presentation DevOps : enjeux , objectifs, consequences
Presentation DevOps : enjeux , objectifs, consequencesPresentation DevOps : enjeux , objectifs, consequences
Presentation DevOps : enjeux , objectifs, consequences
 
[devops REX 2016] Les impacts techniques et organisationnels liés à devops
 [devops REX 2016] Les impacts techniques et organisationnels liés à devops [devops REX 2016] Les impacts techniques et organisationnels liés à devops
[devops REX 2016] Les impacts techniques et organisationnels liés à devops
 
[devops REX 2016] Comment nous cultivons la philosophie DevOps grâce au Lean
[devops REX 2016] Comment nous cultivons la philosophie DevOps grâce au Lean[devops REX 2016] Comment nous cultivons la philosophie DevOps grâce au Lean
[devops REX 2016] Comment nous cultivons la philosophie DevOps grâce au Lean
 
Catalyser votre transition agile avec le codéveloppement
Catalyser votre transition agile avec le codéveloppementCatalyser votre transition agile avec le codéveloppement
Catalyser votre transition agile avec le codéveloppement
 

En vedette

Varnish & blue/green deployments
Varnish & blue/green deploymentsVarnish & blue/green deployments
Varnish & blue/green deployments
Oxalide
 
Oxalide Workshop #4 - Docker, des tours dans le petit bassin
Oxalide Workshop #4 - Docker, des tours dans le petit bassinOxalide Workshop #4 - Docker, des tours dans le petit bassin
Oxalide Workshop #4 - Docker, des tours dans le petit bassin
Oxalide
 
Oxalide Academy : Workshop #3 Elastic Search
Oxalide Academy : Workshop #3 Elastic SearchOxalide Academy : Workshop #3 Elastic Search
Oxalide Academy : Workshop #3 Elastic Search
Oxalide
 
Morning tech #2 - Démarche performance slides
Morning tech #2 - Démarche performance slidesMorning tech #2 - Démarche performance slides
Morning tech #2 - Démarche performance slides
Oxalide
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
PRONETIS
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
PRONETIS
 
Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2
PRONETIS
 
Normes ISO : Nouvelle stratégie & dernière révision
Normes ISO : Nouvelle stratégie & dernière révision Normes ISO : Nouvelle stratégie & dernière révision
Normes ISO : Nouvelle stratégie & dernière révision
MOUJAHED Houssem
 
Docker compose
Docker composeDocker compose
Docker compose
Oxalide
 
Docker infiniband
Docker infinibandDocker infiniband
Docker infiniband
Syoyo Fujita
 
XebiCon'16 : Xebia Labs : Les outils de déploiement sont morts avec les Conta...
XebiCon'16 : Xebia Labs : Les outils de déploiement sont morts avec les Conta...XebiCon'16 : Xebia Labs : Les outils de déploiement sont morts avec les Conta...
XebiCon'16 : Xebia Labs : Les outils de déploiement sont morts avec les Conta...
Publicis Sapient Engineering
 
Introduction à docker.io
Introduction à docker.ioIntroduction à docker.io
Introduction à docker.io
Nicolas Hennion
 
[2C4]Clustered computing with CoreOS, fleet and etcd
[2C4]Clustered computing with CoreOS, fleet and etcd[2C4]Clustered computing with CoreOS, fleet and etcd
[2C4]Clustered computing with CoreOS, fleet and etcd
NAVER D2
 
Amazon EC2 Container Service in Action
Amazon EC2 Container Service in ActionAmazon EC2 Container Service in Action
Amazon EC2 Container Service in Action
Remotty
 
Présentation Docker
Présentation DockerPrésentation Docker
Présentation Docker
Colin LEVERGER
 
RancherOS Introduction
RancherOS IntroductionRancherOS Introduction
RancherOS Introduction
Remotty
 
Mesos on coreOS
Mesos on coreOSMesos on coreOS
Mesos on coreOS
충섭 김
 
[2A1]Line은 어떻게 글로벌 메신저 플랫폼이 되었는가
[2A1]Line은 어떻게 글로벌 메신저 플랫폼이 되었는가[2A1]Line은 어떻게 글로벌 메신저 플랫폼이 되었는가
[2A1]Line은 어떻게 글로벌 메신저 플랫폼이 되었는가
NAVER D2
 
ISO 27001
ISO 27001ISO 27001
ISO 27001 - Information security user awareness training presentation - part 3
ISO 27001 - Information security user awareness training presentation - part 3ISO 27001 - Information security user awareness training presentation - part 3
ISO 27001 - Information security user awareness training presentation - part 3
Tanmay Shinde
 

En vedette (20)

Varnish & blue/green deployments
Varnish & blue/green deploymentsVarnish & blue/green deployments
Varnish & blue/green deployments
 
Oxalide Workshop #4 - Docker, des tours dans le petit bassin
Oxalide Workshop #4 - Docker, des tours dans le petit bassinOxalide Workshop #4 - Docker, des tours dans le petit bassin
Oxalide Workshop #4 - Docker, des tours dans le petit bassin
 
Oxalide Academy : Workshop #3 Elastic Search
Oxalide Academy : Workshop #3 Elastic SearchOxalide Academy : Workshop #3 Elastic Search
Oxalide Academy : Workshop #3 Elastic Search
 
Morning tech #2 - Démarche performance slides
Morning tech #2 - Démarche performance slidesMorning tech #2 - Démarche performance slides
Morning tech #2 - Démarche performance slides
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
 
Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2
 
Normes ISO : Nouvelle stratégie & dernière révision
Normes ISO : Nouvelle stratégie & dernière révision Normes ISO : Nouvelle stratégie & dernière révision
Normes ISO : Nouvelle stratégie & dernière révision
 
Docker compose
Docker composeDocker compose
Docker compose
 
Docker infiniband
Docker infinibandDocker infiniband
Docker infiniband
 
XebiCon'16 : Xebia Labs : Les outils de déploiement sont morts avec les Conta...
XebiCon'16 : Xebia Labs : Les outils de déploiement sont morts avec les Conta...XebiCon'16 : Xebia Labs : Les outils de déploiement sont morts avec les Conta...
XebiCon'16 : Xebia Labs : Les outils de déploiement sont morts avec les Conta...
 
Introduction à docker.io
Introduction à docker.ioIntroduction à docker.io
Introduction à docker.io
 
[2C4]Clustered computing with CoreOS, fleet and etcd
[2C4]Clustered computing with CoreOS, fleet and etcd[2C4]Clustered computing with CoreOS, fleet and etcd
[2C4]Clustered computing with CoreOS, fleet and etcd
 
Amazon EC2 Container Service in Action
Amazon EC2 Container Service in ActionAmazon EC2 Container Service in Action
Amazon EC2 Container Service in Action
 
Présentation Docker
Présentation DockerPrésentation Docker
Présentation Docker
 
RancherOS Introduction
RancherOS IntroductionRancherOS Introduction
RancherOS Introduction
 
Mesos on coreOS
Mesos on coreOSMesos on coreOS
Mesos on coreOS
 
[2A1]Line은 어떻게 글로벌 메신저 플랫폼이 되었는가
[2A1]Line은 어떻게 글로벌 메신저 플랫폼이 되었는가[2A1]Line은 어떻게 글로벌 메신저 플랫폼이 되었는가
[2A1]Line은 어떻게 글로벌 메신저 플랫폼이 되었는가
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
ISO 27001 - Information security user awareness training presentation - part 3
ISO 27001 - Information security user awareness training presentation - part 3ISO 27001 - Information security user awareness training presentation - part 3
ISO 27001 - Information security user awareness training presentation - part 3
 

Similaire à ISO 27001 est-il soluble dans l'agilité ?

Vincent Biret Societic devops Sherbrooke
Vincent Biret Societic devops SherbrookeVincent Biret Societic devops Sherbrooke
Vincent Biret Societic devops Sherbrooke
Vincent Biret
 
Meetup daikibo 1
Meetup daikibo 1Meetup daikibo 1
Meetup daikibo 1
Michel Bruchet
 
Webinaire - SAFe : comprendre l’agilité à l’échelle d’une organisation
Webinaire - SAFe : comprendre l’agilité à l’échelle d’une organisationWebinaire - SAFe : comprendre l’agilité à l’échelle d’une organisation
Webinaire - SAFe : comprendre l’agilité à l’échelle d’une organisation
Technologia Formation
 
Impacts de l'adoption de Scrum
Impacts de l'adoption de ScrumImpacts de l'adoption de Scrum
Impacts de l'adoption de Scrum
Pyxis Technologies
 
L’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des servicesL’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des servicesitSMF France
 
Adoption de l'Agilité : principes et défis
Adoption de l'Agilité : principes et défisAdoption de l'Agilité : principes et défis
Adoption de l'Agilité : principes et défis
Pyxis Technologies
 
Agile du point de vue d'un PMP
Agile du point de vue d'un PMPAgile du point de vue d'un PMP
Agile du point de vue d'un PMP
Pyxis Technologies
 
Agile du point de vue d'un PMP
Agile du point de vue d'un PMPAgile du point de vue d'un PMP
Agile du point de vue d'un PMP
guestaaee88d
 
La Mise en Production : un gisement d'économies inexploité
La Mise en Production : un gisement d'économies inexploitéLa Mise en Production : un gisement d'économies inexploité
La Mise en Production : un gisement d'économies inexploitéitSMF France
 
Brochure Formations SmartView
Brochure Formations SmartViewBrochure Formations SmartView
Brochure Formations SmartView
clempoujol
 
L'agilité TI - Accélerez vos activités de développement et test avec Microsof...
L'agilité TI - Accélerez vos activités de développement et test avec Microsof...L'agilité TI - Accélerez vos activités de développement et test avec Microsof...
L'agilité TI - Accélerez vos activités de développement et test avec Microsof...
InCycle Software
 
La gestion de projet agile
La gestion de projet agileLa gestion de projet agile
La gestion de projet agile
Eugène ZENGOMONA
 
Agile expliqué aux managers
Agile expliqué aux managersAgile expliqué aux managers
Agile expliqué aux managers
Pyxis Technologies
 
ISlean consulting - Innovation dans une DSI centrale
ISlean consulting - Innovation dans une DSI centraleISlean consulting - Innovation dans une DSI centrale
ISlean consulting - Innovation dans une DSI centrale
Louis-Alexandre Louvet
 
Conquérir le terrain de l'innovation pour une DSI centrale - ISlean consulting
Conquérir le terrain de l'innovation pour une DSI centrale - ISlean consultingConquérir le terrain de l'innovation pour une DSI centrale - ISlean consulting
Conquérir le terrain de l'innovation pour une DSI centrale - ISlean consulting
Louis-Alexandre Louvet
 
Modern Monitoring dans Azure
Modern Monitoring dans AzureModern Monitoring dans Azure
Modern Monitoring dans Azure
Manon PERNIN
 
ATMTL23 - L'odysée d'un PMO vers un VMO par Elyes Dekhili et Karl Métivier
ATMTL23 - L'odysée d'un PMO vers un VMO par Elyes Dekhili et Karl MétivierATMTL23 - L'odysée d'un PMO vers un VMO par Elyes Dekhili et Karl Métivier
ATMTL23 - L'odysée d'un PMO vers un VMO par Elyes Dekhili et Karl Métivier
Agile Montréal
 
Le rôle de l'analyste d'affaires et la place de la documentation dans un proc...
Le rôle de l'analyste d'affaires et la place de la documentation dans un proc...Le rôle de l'analyste d'affaires et la place de la documentation dans un proc...
Le rôle de l'analyste d'affaires et la place de la documentation dans un proc...
Pyxis Technologies
 
5 bonnes raisons pour des projets analytiques en agile
5 bonnes raisons pour des projets analytiques en agile5 bonnes raisons pour des projets analytiques en agile
5 bonnes raisons pour des projets analytiques en agile
agileDSS
 
ItSMF 2011 : Tablettes, VDI, Cloud, Opportunités et impacts pour la Gestion d...
ItSMF 2011 : Tablettes, VDI, Cloud, Opportunités et impacts pour la Gestion d...ItSMF 2011 : Tablettes, VDI, Cloud, Opportunités et impacts pour la Gestion d...
ItSMF 2011 : Tablettes, VDI, Cloud, Opportunités et impacts pour la Gestion d...
Patrick Joubert
 

Similaire à ISO 27001 est-il soluble dans l'agilité ? (20)

Vincent Biret Societic devops Sherbrooke
Vincent Biret Societic devops SherbrookeVincent Biret Societic devops Sherbrooke
Vincent Biret Societic devops Sherbrooke
 
Meetup daikibo 1
Meetup daikibo 1Meetup daikibo 1
Meetup daikibo 1
 
Webinaire - SAFe : comprendre l’agilité à l’échelle d’une organisation
Webinaire - SAFe : comprendre l’agilité à l’échelle d’une organisationWebinaire - SAFe : comprendre l’agilité à l’échelle d’une organisation
Webinaire - SAFe : comprendre l’agilité à l’échelle d’une organisation
 
Impacts de l'adoption de Scrum
Impacts de l'adoption de ScrumImpacts de l'adoption de Scrum
Impacts de l'adoption de Scrum
 
L’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des servicesL’impact du Cloud sur la transition des services
L’impact du Cloud sur la transition des services
 
Adoption de l'Agilité : principes et défis
Adoption de l'Agilité : principes et défisAdoption de l'Agilité : principes et défis
Adoption de l'Agilité : principes et défis
 
Agile du point de vue d'un PMP
Agile du point de vue d'un PMPAgile du point de vue d'un PMP
Agile du point de vue d'un PMP
 
Agile du point de vue d'un PMP
Agile du point de vue d'un PMPAgile du point de vue d'un PMP
Agile du point de vue d'un PMP
 
La Mise en Production : un gisement d'économies inexploité
La Mise en Production : un gisement d'économies inexploitéLa Mise en Production : un gisement d'économies inexploité
La Mise en Production : un gisement d'économies inexploité
 
Brochure Formations SmartView
Brochure Formations SmartViewBrochure Formations SmartView
Brochure Formations SmartView
 
L'agilité TI - Accélerez vos activités de développement et test avec Microsof...
L'agilité TI - Accélerez vos activités de développement et test avec Microsof...L'agilité TI - Accélerez vos activités de développement et test avec Microsof...
L'agilité TI - Accélerez vos activités de développement et test avec Microsof...
 
La gestion de projet agile
La gestion de projet agileLa gestion de projet agile
La gestion de projet agile
 
Agile expliqué aux managers
Agile expliqué aux managersAgile expliqué aux managers
Agile expliqué aux managers
 
ISlean consulting - Innovation dans une DSI centrale
ISlean consulting - Innovation dans une DSI centraleISlean consulting - Innovation dans une DSI centrale
ISlean consulting - Innovation dans une DSI centrale
 
Conquérir le terrain de l'innovation pour une DSI centrale - ISlean consulting
Conquérir le terrain de l'innovation pour une DSI centrale - ISlean consultingConquérir le terrain de l'innovation pour une DSI centrale - ISlean consulting
Conquérir le terrain de l'innovation pour une DSI centrale - ISlean consulting
 
Modern Monitoring dans Azure
Modern Monitoring dans AzureModern Monitoring dans Azure
Modern Monitoring dans Azure
 
ATMTL23 - L'odysée d'un PMO vers un VMO par Elyes Dekhili et Karl Métivier
ATMTL23 - L'odysée d'un PMO vers un VMO par Elyes Dekhili et Karl MétivierATMTL23 - L'odysée d'un PMO vers un VMO par Elyes Dekhili et Karl Métivier
ATMTL23 - L'odysée d'un PMO vers un VMO par Elyes Dekhili et Karl Métivier
 
Le rôle de l'analyste d'affaires et la place de la documentation dans un proc...
Le rôle de l'analyste d'affaires et la place de la documentation dans un proc...Le rôle de l'analyste d'affaires et la place de la documentation dans un proc...
Le rôle de l'analyste d'affaires et la place de la documentation dans un proc...
 
5 bonnes raisons pour des projets analytiques en agile
5 bonnes raisons pour des projets analytiques en agile5 bonnes raisons pour des projets analytiques en agile
5 bonnes raisons pour des projets analytiques en agile
 
ItSMF 2011 : Tablettes, VDI, Cloud, Opportunités et impacts pour la Gestion d...
ItSMF 2011 : Tablettes, VDI, Cloud, Opportunités et impacts pour la Gestion d...ItSMF 2011 : Tablettes, VDI, Cloud, Opportunités et impacts pour la Gestion d...
ItSMF 2011 : Tablettes, VDI, Cloud, Opportunités et impacts pour la Gestion d...
 

Plus de Oxalide

Terraform & Vault - Un duo d'enfer!
Terraform & Vault - Un duo d'enfer!Terraform & Vault - Un duo d'enfer!
Terraform & Vault - Un duo d'enfer!
Oxalide
 
Workshop Docker & Kubernetes - Oxalide Academy
Workshop Docker & Kubernetes - Oxalide AcademyWorkshop Docker & Kubernetes - Oxalide Academy
Workshop Docker & Kubernetes - Oxalide Academy
Oxalide
 
Morning Tech#1 BigData - Oxalide Academy
Morning Tech#1 BigData - Oxalide AcademyMorning Tech#1 BigData - Oxalide Academy
Morning Tech#1 BigData - Oxalide Academy
Oxalide
 
Meetup Paris Monitoring #9 : Un système de gestion et de visualisation des al...
Meetup Paris Monitoring #9 : Un système de gestion et de visualisation des al...Meetup Paris Monitoring #9 : Un système de gestion et de visualisation des al...
Meetup Paris Monitoring #9 : Un système de gestion et de visualisation des al...
Oxalide
 
Paris hackers Meetup #12 - How to handle large audience
Paris hackers Meetup #12 - How to handle large audienceParis hackers Meetup #12 - How to handle large audience
Paris hackers Meetup #12 - How to handle large audience
Oxalide
 
AgoraCMS 2014 : Les bonnes pratiques de l'hébergement d'un CMS pour une meill...
AgoraCMS 2014 : Les bonnes pratiques de l'hébergement d'un CMS pour une meill...AgoraCMS 2014 : Les bonnes pratiques de l'hébergement d'un CMS pour une meill...
AgoraCMS 2014 : Les bonnes pratiques de l'hébergement d'un CMS pour une meill...
Oxalide
 
La performance de vos applications Drupal
La performance de vos applications DrupalLa performance de vos applications Drupal
La performance de vos applications Drupal
Oxalide
 
Les bonnes pratiques d'une architecture logicielle et infrastructure de l'héb...
Les bonnes pratiques d'une architecture logicielle et infrastructure de l'héb...Les bonnes pratiques d'une architecture logicielle et infrastructure de l'héb...
Les bonnes pratiques d'une architecture logicielle et infrastructure de l'héb...
Oxalide
 
201211 drupagora hostingdrupal
201211 drupagora hostingdrupal201211 drupagora hostingdrupal
201211 drupagora hostingdrupal
Oxalide
 
Cloud & physique, mauvaises et bonnes solutions
Cloud & physique, mauvaises et bonnes solutionsCloud & physique, mauvaises et bonnes solutions
Cloud & physique, mauvaises et bonnes solutionsOxalide
 
Comprendre pour choisir son hébergement
Comprendre pour choisir son hébergementComprendre pour choisir son hébergement
Comprendre pour choisir son hébergementOxalide
 
Gérer 100 000 visites par jour avec Magento - Les enjeux e-commerce de Prisma...
Gérer 100 000 visites par jour avec Magento - Les enjeux e-commerce de Prisma...Gérer 100 000 visites par jour avec Magento - Les enjeux e-commerce de Prisma...
Gérer 100 000 visites par jour avec Magento - Les enjeux e-commerce de Prisma...Oxalide
 
Performance barcampfinal
Performance barcampfinalPerformance barcampfinal
Performance barcampfinalOxalide
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Oxalide
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Oxalide
 
Clusif cloud-2010-datacenter
Clusif cloud-2010-datacenterClusif cloud-2010-datacenter
Clusif cloud-2010-datacenterOxalide
 
Clusif cloud-2010-securite
Clusif cloud-2010-securiteClusif cloud-2010-securite
Clusif cloud-2010-securiteOxalide
 
Monitoring Des Applications Php, Salon Des Solutions Linux Open Source
Monitoring Des Applications Php, Salon Des Solutions Linux Open SourceMonitoring Des Applications Php, Salon Des Solutions Linux Open Source
Monitoring Des Applications Php, Salon Des Solutions Linux Open SourceOxalide
 
Les bonnes pratiques de l'hébergement e-commerce open-source (Conférence E Co...
Les bonnes pratiques de l'hébergement e-commerce open-source (Conférence E Co...Les bonnes pratiques de l'hébergement e-commerce open-source (Conférence E Co...
Les bonnes pratiques de l'hébergement e-commerce open-source (Conférence E Co...Oxalide
 
200907 Petit Dejeuner Optimisation coûts 20m
200907 Petit Dejeuner Optimisation coûts 20m200907 Petit Dejeuner Optimisation coûts 20m
200907 Petit Dejeuner Optimisation coûts 20mOxalide
 

Plus de Oxalide (20)

Terraform & Vault - Un duo d'enfer!
Terraform & Vault - Un duo d'enfer!Terraform & Vault - Un duo d'enfer!
Terraform & Vault - Un duo d'enfer!
 
Workshop Docker & Kubernetes - Oxalide Academy
Workshop Docker & Kubernetes - Oxalide AcademyWorkshop Docker & Kubernetes - Oxalide Academy
Workshop Docker & Kubernetes - Oxalide Academy
 
Morning Tech#1 BigData - Oxalide Academy
Morning Tech#1 BigData - Oxalide AcademyMorning Tech#1 BigData - Oxalide Academy
Morning Tech#1 BigData - Oxalide Academy
 
Meetup Paris Monitoring #9 : Un système de gestion et de visualisation des al...
Meetup Paris Monitoring #9 : Un système de gestion et de visualisation des al...Meetup Paris Monitoring #9 : Un système de gestion et de visualisation des al...
Meetup Paris Monitoring #9 : Un système de gestion et de visualisation des al...
 
Paris hackers Meetup #12 - How to handle large audience
Paris hackers Meetup #12 - How to handle large audienceParis hackers Meetup #12 - How to handle large audience
Paris hackers Meetup #12 - How to handle large audience
 
AgoraCMS 2014 : Les bonnes pratiques de l'hébergement d'un CMS pour une meill...
AgoraCMS 2014 : Les bonnes pratiques de l'hébergement d'un CMS pour une meill...AgoraCMS 2014 : Les bonnes pratiques de l'hébergement d'un CMS pour une meill...
AgoraCMS 2014 : Les bonnes pratiques de l'hébergement d'un CMS pour une meill...
 
La performance de vos applications Drupal
La performance de vos applications DrupalLa performance de vos applications Drupal
La performance de vos applications Drupal
 
Les bonnes pratiques d'une architecture logicielle et infrastructure de l'héb...
Les bonnes pratiques d'une architecture logicielle et infrastructure de l'héb...Les bonnes pratiques d'une architecture logicielle et infrastructure de l'héb...
Les bonnes pratiques d'une architecture logicielle et infrastructure de l'héb...
 
201211 drupagora hostingdrupal
201211 drupagora hostingdrupal201211 drupagora hostingdrupal
201211 drupagora hostingdrupal
 
Cloud & physique, mauvaises et bonnes solutions
Cloud & physique, mauvaises et bonnes solutionsCloud & physique, mauvaises et bonnes solutions
Cloud & physique, mauvaises et bonnes solutions
 
Comprendre pour choisir son hébergement
Comprendre pour choisir son hébergementComprendre pour choisir son hébergement
Comprendre pour choisir son hébergement
 
Gérer 100 000 visites par jour avec Magento - Les enjeux e-commerce de Prisma...
Gérer 100 000 visites par jour avec Magento - Les enjeux e-commerce de Prisma...Gérer 100 000 visites par jour avec Magento - Les enjeux e-commerce de Prisma...
Gérer 100 000 visites par jour avec Magento - Les enjeux e-commerce de Prisma...
 
Performance barcampfinal
Performance barcampfinalPerformance barcampfinal
Performance barcampfinal
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009
 
Clusif cloud-2010-datacenter
Clusif cloud-2010-datacenterClusif cloud-2010-datacenter
Clusif cloud-2010-datacenter
 
Clusif cloud-2010-securite
Clusif cloud-2010-securiteClusif cloud-2010-securite
Clusif cloud-2010-securite
 
Monitoring Des Applications Php, Salon Des Solutions Linux Open Source
Monitoring Des Applications Php, Salon Des Solutions Linux Open SourceMonitoring Des Applications Php, Salon Des Solutions Linux Open Source
Monitoring Des Applications Php, Salon Des Solutions Linux Open Source
 
Les bonnes pratiques de l'hébergement e-commerce open-source (Conférence E Co...
Les bonnes pratiques de l'hébergement e-commerce open-source (Conférence E Co...Les bonnes pratiques de l'hébergement e-commerce open-source (Conférence E Co...
Les bonnes pratiques de l'hébergement e-commerce open-source (Conférence E Co...
 
200907 Petit Dejeuner Optimisation coûts 20m
200907 Petit Dejeuner Optimisation coûts 20m200907 Petit Dejeuner Optimisation coûts 20m
200907 Petit Dejeuner Optimisation coûts 20m
 

ISO 27001 est-il soluble dans l'agilité ?

  • 1. 27001 est-il soluble dans l’agilité ? 07/04/2016 Club 27001
  • 3. Oxalide en quelques mots Les intervenants Maxime Kurkdjian Président Guillaume Leccese Directeur Technique Carole Tessier Responsable du SMSI
  • 4. Oxalide en quelques mots Les 3 missions L’hébergement L’infogérance Le conseil Clouds publics Clouds privés Clouds Mutualisés Serveurs physiques Maintien en condition opérationnelle Gestion Continue du Changement Réalisation de projets techniques DevOps Architecture Société de conseil, d’infogérance et d’hébergement de plateforme Web Open Source
  • 5. Oxalide en quelques mots En quelques chiffres 16ans x2chiffre d’affaires en 3 ans 75Collaborateurs (65% d’ingés) Direction générale 2 Ingénieurs EPITA Certifiée en Juin 2015 +60collaborateurs en 2 ans
  • 6. Le contexte Un écosystème riche et diversifié
  • 7. Le contexte d’Oxalide Des secteurs d’activités variés Presse et média Sites E-commerces Les opérateurs SaaS
  • 8. Le contexte d’Oxalide Des besoins différents Efficience Scalabilité Performance Disponibilité
  • 9. Le contexte d’Oxalide L’intégration de l’agilité Contexte hérité du monde web open source Réalité depuis 2007 Fréquence des déploiements en production Raccourcir la feedback loop entre le business et les dev
  • 10. Le contexte d’Oxalide Rapport de nos clients à la sécurité Oxalide apporte pro-activement un niveau de sécurité en amont de l’application du client Réseau public Risque important compte tenu de l’exposition des serveurs sur le réseau public Utilisation de technologies éprouvées et moins éprouvées. Mais correctifs disponibles rapidement. Monde open source Faible maturité Le niveau de sécurité exigé est rarement exprimé. Contraintes imposées par des intervenants externes (PCI DSS, clients).
  • 12. Oxalide & 27001 Les motivations Avoir une qualité constante Formaliser Démarche sécurité Capitaliser Démarche d’amélioration continue Plan Do Check Act Pénétrer de nouveaux marchés Faciliter l’obtention d’autres certifications Gestion des risques Maîtriser !
  • 13. Oxalide & 27001 Périmètre fonctionnel Industrialisation Périmètre 27001 Cloud privé Cloud mutualisé Serveurs physiquesCloud public
  • 15. L’agilité Les 4 valeurs fondamentales MANIFESTE AGILE L’équipe Les individus et les interactions plutôt que les outils et les processus. L’application Des logiciels opérationnels plus qu’une documentation exhaustive. La collaboration La collaboration avec les clients plus que la négociation contractuelle. L’acceptation du changement L’adaptation au changement plus que le suivi d’un plan
  • 16. L’agilité Manifeste Agile – résumé des principes http://agilemanifesto.org/iso/fr/principles.html Adéquation Recherche perpétuelle de l’adéquation avec le besoin client Evolutivité Capacité à s’adapter rapidement et facilement au changement Efficience Limiter le gaspillage en réalisant ce qui est nécessaire Collaboration Faire collaborer le business et la technique Amélioration continue Améliorer en permanence ce que l’on produit Auto-organisation Rendre autonomes les équipes MANIFESTE AGILE L’équipe Les individus et les interactions plutôt que les outils et les processus. L’application Des logiciels opérationnels plus qu’une documentation exhaustive. La collaboration La collaboration avec les clients plus que la négociation contractuelle. L’acceptation du changement L’adaptation au changement plus que le suivi d’un plan
  • 17. L’agilité Dans le contexte Web •  Industrialisation •  Infra as code •  Test Driven Infra •  Auto Scalling Agilité DEV OPS Time to market Continious delivery Continious improvement Lead Time •  Scrum •  Intégration continue •  Git •  Etc… Outils / Méthodes
  • 18. 27001 est-il soluble dans l’agilité ?
  • 19. 27001 est-il soluble dans l’agilité ? Les idées reçues J’ai pas le temps pour les sujets de sécu Je ne veux pas consacrer du temps à la sécurité L’agilité est incompatible avec la sécurité On ne peut pas être agile et rigoureux à la fois Amélioration Continue Ca prendra des lustres pour que mon besoin soit pris en compte Dev Product Owner RSSI
  • 20. 27001 est-il soluble dans l’agilité ? Une méthodologie commune Plan Do Check Act 27001 Agilité •  Exigence de la norme •  Principe applicable à tous les niveaux de la norme : •  Sur le SMSI en lui-même •  Les non conformités •  Sur la mise en place des mesures de sécurité •  Sur la gestion des incidents •  etc ISO 27001 Gestion par les risques
  • 21. 27001 est-il soluble dans l’agilité ? Une méthodologie commune Plan Do Check Act 27001 Agilité •  Exigence de la norme •  Principe applicable à tous les niveaux de la norme : •  Sur le SMSI en lui-même •  Les non conformités •  Sur la mise en place des mesures de sécurité •  Sur la gestion des incidents •  etc •  Plan : établir le contenu d’un sprint et le « définition of done » (Sprint planning) •  Do : réaliser le sprint et les mêlées quotidienne •  Check : démo du sprint avec réalisation des tests •  Act : analyser les écarts constatés et en tirer les enseignements (Rétrospective du sprint) ISO 27001 Gestion par les risques Agilité Gestion par la valeur
  • 22. 27001 est-il soluble dans l’agilité ? Nos constats Nos constats Nos difficultés •  Méthodologie comparable •  Donner de la vitesse aux projets et Tâches orientés « sécurité » •  Approche et but différent •  Sensibiliser les équipes produits / projets •  Réserver du temps pour les « technical story » vs « user story »
  • 23. 27001 est-il soluble dans l’agilité ? Les idées reçues On est obligé de trouver des solutions officieuses Je ne veux pas castrer l’innovation à cause des contraintes sur la sécurité Ils font du Shadow IT avec toutes les solutions en SaaS Les tech ne suivent aucune méthode, n’ont aucune organisation Processus et formalisation Le RSSI nous contraint et ne nous apporte pas de solutions Product Owner RSSI Dev
  • 24. 27001 est-il soluble dans l’agilité ? Des cadres communs et adaptés Référentiel documentaire Gestion d’incident Revue direction Gestion des risques •  La norme est composée d’exigences formant un cadre défini visant à : •  Maitriser, améliorer et vérifier l’efficacité du SMSI •  Apprécier et traiter les risques •  Impliquer la Direction ISO 27001 Cadre de la norme
  • 25. 27001 est-il soluble dans l’agilité ? Des cadres communs et adaptés Fiche d’innovation continue Backlog Cérémonies Sprint •  La norme est composée d’exigences formant un cadre défini visant à : •  Maitriser, améliorer et vérifier l’efficacité du SMSI •  Apprécier et traiter les risques •  Impliquer la Direction •  L’agilité est une méthode qui apporte un cadre/formalisme •  Backlog •  Cérémonies •  Une durée de sprint définie en amont •  Cadrer l’innovation via des « fiches d’innovation continue » ISO 27001 Cadre de la norme Agilité Cadre formalisé
  • 26. 27001 est-il soluble dans l’agilité ? Des cadres communs et adaptés Nos constats Nos difficultés •  Agile n’est sans contrainte •  Agile est malléable •  ISO 27001 s’adapte au contexte Obtenir l’adhésion
  • 27. 27001 est-il soluble dans l’agilité ? Les idées reçues Je n’ai pas le temps de mettre à jour mes serveurs J’ai jamais eu d’incident de sécurité, pourquoi investir du temps? Etre véloce se fait au détriment de la sécurité et de la qualité Les devs n’aiment pas documenter Industrialisation La sécurité ralentit le business Product Owner RSSI Dev
  • 28. 27001 est-il soluble dans l’agilité ? L’industrialisation : une qualité constante Receipe Server 1 Server 2 Server 3 ISO 27001 •  Qualité constante •  Traçabilité •  Auditabilité des actifs •  Suivi et application des bonnes pratiques de sécurité •  Standardisation des actifs
  • 29. 27001 est-il soluble dans l’agilité ? L’industrialisation : une qualité constante Receipe Server 1 Server 2 Server 3 ISO 27001 Agilité •  Qualité constante •  Traçabilité •  Auditabilité des actifs •  Suivi et application des bonnes pratiques de sécurité •  Standardisation des actifs •  Facilité de déployer de nouvelles briques technologiques (et de rollback) •  Intégration continue •  Test Driven Infrastructure •  Uniformité des configurations •  Capitalisation sur les configurations
  • 30. 27001 est-il soluble dans l’agilité ? Les bénéfices de l’industrialisation : une qualité constante Nos constats Nos difficultés •  Outil commun •  Efficience •  Maîtrise du risque / des environnements •  Bénéfice pour l’automatisation des tâches •  Effort conséquent pour intégrer une nouvelle solution •  Difficultés classiques de l’industrialisation
  • 32. Conclusion Oui mais … VS x •  Rechercher l’adhésion •  Lutter contre les préjugés de la sécurité/norme ISO •  Sensibiliser aux problématiques de sécurité •  Investir du temps dans la sécurité même en Agile •  S’approprier les démarches
  • 33. Industrialisation Equilibre Adhésion Amélioration continue L’industrialisation est un prérequis pour traduire sans douleur les exigences de 27001 dans une organisation Agile ISO 27001 ne doit pas être une contrainte mais doit apporter de la qualité à Agile Sensibiliser tous les acteurs à la sécurité Faire adhérer tous les acteurs à la démarche Agile S’approprier les démarches Le cycle PDCA est fondamental dans les deux univers. C’est le pilier de la cohabitation. Conclusion Les ingrédients indispensables pour dissoudre ISO 27001 dans l’Agilité