Le document aborde la possibilité d'intégrer la norme ISO 27001 dans un cadre agile, soulignant la nécessité d'une qualité constante et d'une amélioration continue dans la sécurité. Il présente des défis, des idées reçues et des solutions pour harmoniser les exigences de sécurité avec les méthodes agiles, tout en insistant sur l'importance de sensibiliser et d'impliquer tous les acteurs. La conclusion affirme que l'industrialisation est essentielle pour allier sécurité et agilité, rendant ainsi ISO 27001 bénéfique pour les organisations agiles.

1. 27001 est-il soluble dans l’agilité ?
07/04/2016
Club 27001

2. Oxalide
en quelques mots

3. Oxalide en quelques mots
Les intervenants
Maxime Kurkdjian
Président
Guillaume Leccese
Directeur Technique
Carole Tessier
Responsable du SMSI

4. Oxalide en quelques mots
Les 3 missions
L’hébergement L’infogérance Le conseil
Clouds publics
Clouds privés
Clouds Mutualisés
Serveurs physiques
Maintien en condition opérationnelle
Gestion Continue du Changement
Réalisation de projets techniques
DevOps
Architecture
Société de conseil, d’infogérance et d’hébergement de plateforme Web Open Source

5. Oxalide en quelques mots
En quelques chiffres
16ans
x2chiffre d’affaires en 3 ans
75Collaborateurs (65% d’ingés)
Direction générale
2 Ingénieurs EPITA
Certifiée en Juin 2015
+60collaborateurs en 2 ans

6. Le contexte
Un écosystème riche et diversifié

7. Le contexte d’Oxalide
Des secteurs d’activités variés
Presse et média Sites E-commerces Les opérateurs SaaS

8. Le contexte d’Oxalide
Des besoins différents
Efficience
Scalabilité
Performance
Disponibilité

9. Le contexte d’Oxalide
L’intégration de l’agilité
Contexte hérité
du monde web
open source
Réalité depuis 2007 Fréquence
des déploiements
en production
Raccourcir la
feedback loop
entre le business et
les dev

10. Le contexte d’Oxalide
Rapport de nos clients à la sécurité
Oxalide apporte pro-activement un niveau de sécurité en amont de l’application du client
Réseau public
Risque important compte tenu
de l’exposition des serveurs sur
le réseau public
Utilisation de technologies
éprouvées et moins éprouvées.
Mais correctifs disponibles
rapidement.
Monde open source Faible maturité
Le niveau de sécurité exigé est
rarement exprimé. Contraintes
imposées par des intervenants
externes (PCI DSS, clients).

11. Oxalide et 27001

12. Oxalide & 27001
Les motivations
Avoir une qualité
constante
Formaliser
Démarche sécurité
Capitaliser
Démarche d’amélioration
continue
Plan Do Check Act
Pénétrer de nouveaux marchés
Faciliter l’obtention d’autres certifications
Gestion des
risques
Maîtriser
!

13. Oxalide & 27001
Périmètre fonctionnel
Industrialisation
Périmètre 27001
Cloud privé Cloud mutualisé Serveurs physiquesCloud public

14. La méthode agile

15. L’agilité
Les 4 valeurs fondamentales
MANIFESTE AGILE
L’équipe
Les individus et les interactions plutôt que
les outils et les processus.
L’application
Des logiciels opérationnels plus qu’une
documentation exhaustive.
La collaboration
La collaboration avec les clients plus que la
négociation contractuelle.
L’acceptation du changement
L’adaptation au changement plus que le
suivi d’un plan

16. L’agilité
Manifeste Agile – résumé des principes
http://agilemanifesto.org/iso/fr/principles.html
Adéquation
Recherche perpétuelle de l’adéquation avec le besoin
client
Evolutivité
Capacité à s’adapter rapidement et facilement au
changement
Efficience
Limiter le gaspillage en réalisant ce qui est nécessaire
Collaboration
Faire collaborer le business et la technique
Amélioration continue
Améliorer en permanence ce que l’on produit
Auto-organisation
Rendre autonomes les équipes
MANIFESTE AGILE
L’équipe
Les individus et les interactions plutôt que
les outils et les processus.
L’application
Des logiciels opérationnels plus qu’une
documentation exhaustive.
La collaboration
La collaboration avec les clients plus que la
négociation contractuelle.
L’acceptation du changement
L’adaptation au changement plus que le
suivi d’un plan

17. L’agilité
Dans le contexte Web
• Industrialisation
• Infra as code
• Test Driven Infra
• Auto Scalling
Agilité
DEV
OPS
Time to market
Continious delivery
Continious improvement
Lead Time
• Scrum
• Intégration continue
• Git
• Etc…
Outils / Méthodes

18. 27001 est-il soluble dans l’agilité ?

19. 27001 est-il soluble dans l’agilité ?
Les idées reçues
J’ai pas le temps pour
les sujets de sécu
Je ne veux pas
consacrer du temps à
la sécurité
L’agilité est
incompatible avec la
sécurité
On ne peut pas être
agile et rigoureux à la
fois
Amélioration Continue
Ca prendra des lustres
pour que mon besoin
soit pris en compte
Dev
Product Owner
RSSI

20. 27001 est-il soluble dans l’agilité ?
Une méthodologie commune
Plan
Do
Check
Act 27001
Agilité
• Exigence de la norme
• Principe applicable à tous les niveaux
de la norme :
• Sur le SMSI en lui-même
• Les non conformités
• Sur la mise en place des
mesures de sécurité
• Sur la gestion des incidents
• etc
ISO 27001
Gestion par les risques

21. 27001 est-il soluble dans l’agilité ?
Une méthodologie commune
Plan
Do
Check
Act 27001
Agilité
• Exigence de la norme
• Principe applicable à tous les niveaux
de la norme :
• Sur le SMSI en lui-même
• Les non conformités
• Sur la mise en place des
mesures de sécurité
• Sur la gestion des incidents
• etc
• Plan : établir le contenu d’un sprint et le
« définition of done » (Sprint planning)
• Do : réaliser le sprint et les mêlées
quotidienne
• Check : démo du sprint avec réalisation
des tests
• Act : analyser les écarts constatés et en
tirer les enseignements (Rétrospective du
sprint)
ISO 27001
Gestion par les risques
Agilité
Gestion par la valeur

22. 27001 est-il soluble dans l’agilité ?
Nos constats
Nos constats Nos difficultés
• Méthodologie comparable
• Donner de la vitesse aux projets et
Tâches orientés « sécurité »
• Approche et but différent
• Sensibiliser les équipes produits / projets
• Réserver du temps pour les « technical
story » vs « user story »

23. 27001 est-il soluble dans l’agilité ?
Les idées reçues
On est obligé de
trouver des solutions
officieuses
Je ne veux pas castrer
l’innovation à cause
des contraintes sur la
sécurité
Ils font du Shadow IT
avec toutes les
solutions en SaaS
Les tech ne suivent
aucune méthode,
n’ont aucune
organisation
Processus et formalisation
Le RSSI nous contraint
et ne nous apporte
pas de solutions
Product Owner
RSSI
Dev

24. 27001 est-il soluble dans l’agilité ?
Des cadres communs et adaptés
Référentiel
documentaire
Gestion
d’incident
Revue
direction
Gestion des
risques
• La norme est composée d’exigences
formant un cadre défini visant à :
• Maitriser, améliorer et vérifier
l’efficacité du SMSI
• Apprécier et traiter les risques
• Impliquer la Direction
ISO 27001
Cadre de la norme

25. 27001 est-il soluble dans l’agilité ?
Des cadres communs et adaptés
Fiche
d’innovation
continue
Backlog
Cérémonies
Sprint
• La norme est composée d’exigences
formant un cadre défini visant à :
• Maitriser, améliorer et vérifier
l’efficacité du SMSI
• Apprécier et traiter les risques
• Impliquer la Direction
• L’agilité est une méthode qui apporte
un cadre/formalisme
• Backlog
• Cérémonies
• Une durée de sprint définie en
amont
• Cadrer l’innovation via des « fiches
d’innovation continue »
ISO 27001
Cadre de la norme
Agilité
Cadre formalisé

26. 27001 est-il soluble dans l’agilité ?
Des cadres communs et adaptés
Nos constats Nos difficultés
• Agile n’est sans contrainte
• Agile est malléable
• ISO 27001 s’adapte au contexte
Obtenir l’adhésion

27. 27001 est-il soluble dans l’agilité ?
Les idées reçues
Je n’ai pas le temps
de mettre à jour mes
serveurs
J’ai jamais eu
d’incident de sécurité,
pourquoi investir du
temps?
Etre véloce se fait au
détriment de la
sécurité et de la
qualité
Les devs n’aiment pas
documenter
Industrialisation
La sécurité ralentit le
business
Product Owner
RSSI
Dev

28. 27001 est-il soluble dans l’agilité ?
L’industrialisation : une qualité constante
Receipe
Server 1
Server 2
Server 3
ISO 27001
• Qualité constante
• Traçabilité
• Auditabilité des actifs
• Suivi et application des bonnes
pratiques de sécurité
• Standardisation des actifs

29. 27001 est-il soluble dans l’agilité ?
L’industrialisation : une qualité constante
Receipe
Server 1
Server 2
Server 3
ISO 27001 Agilité
• Qualité constante
• Traçabilité
• Auditabilité des actifs
• Suivi et application des bonnes
pratiques de sécurité
• Standardisation des actifs
• Facilité de déployer de nouvelles
briques technologiques (et de
rollback)
• Intégration continue
• Test Driven Infrastructure
• Uniformité des configurations
• Capitalisation sur les configurations

30. 27001 est-il soluble dans l’agilité ?
Les bénéfices de l’industrialisation : une qualité constante
Nos constats Nos difficultés
• Outil commun
• Efficience
• Maîtrise du risque / des
environnements
• Bénéfice pour l’automatisation des
tâches
• Effort conséquent pour intégrer une
nouvelle solution
• Difficultés classiques de l’industrialisation

31. Conclusion

32. Conclusion
Oui mais …
VS x
• Rechercher l’adhésion
• Lutter contre les préjugés de la sécurité/norme ISO
• Sensibiliser aux problématiques de sécurité
• Investir du temps dans la sécurité même en Agile
• S’approprier les démarches

33. Industrialisation
Equilibre
Adhésion
Amélioration
continue
L’industrialisation est un prérequis pour
traduire sans douleur les exigences de 27001
dans une organisation Agile
ISO 27001 ne doit pas être une contrainte mais doit
apporter de la qualité à Agile
Sensibiliser tous les acteurs à la sécurité
Faire adhérer tous les acteurs à la démarche Agile
S’approprier les démarches
Le cycle PDCA est fondamental dans les deux
univers. C’est le pilier de la cohabitation.
Conclusion
Les ingrédients indispensables pour dissoudre ISO 27001 dans l’Agilité

34. Des questions ?
?