Search
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Oxalide rend la sécurité aussi agile que la production

janvier 2017 par CLEMENT OLIN

Oxalide, l’expert devops des infrastructures web critiques, réconcilie le RSSI avec les équipes de développement et les équipes opérationnelles, en exportant les méthodologies devops au bénéfice des normes ISO 27001.

Le « Quick & Dirty » security : confondre vitesse et précipitation

Les nouvelles méthodes de production, l’agilité et la rapidité avec lesquelles on est aujourd’hui en mesure de livrer et de déployer, ont contribué à accélérer le rythme de mise sur le marché. A contrario, l’objectif étant in fine d’améliorer la rentabilité d’une plateforme, la sécurité n’est pas perçue comme une priorité.

Pourtant, s’il est bien question de rentabilité, le vrai coût de la sécurité ne se mesure pas aux dépenses engagées pour l’assurer. Il se mesure au regard du chiffre d’affaires qu’on ne réalisera pas quand les données personnelles des clients auront été exposées. L’absence de sécurité coûte cher, comme la méconnaissance des enjeux.

Agilité et Sécurité, même méthode, même combat : l’amélioration continue

L’amélioration continue est une notion fondamentale des organisations modernes. C’est aussi un pilier d’ISO 27001. Elle porte sur de nombreux aspects comme la gestion du SMSI (système de management de la sécurité de l’information), la gestion des risques, la gestion des incidents... et s’articule autour du cycle « Plan / Do / Check / Act ». Elle offre de grandes similitudes avec les méthodologies Agiles et la méthode Scrum.

Dès lors que le cycle est le même, il devient naturel d’intégrer la sécurité, et sa gestion par les risques, dans une démarche Agile. Les mesures de sécurité deviennent partie intégrante du sprint, augmentant d’autant la valeur du produit.

Capitalisation et industrialisation : le combo pour améliorer sa sécurité

Les retours d’expérience montrent que Scrum est un accélérateur du SMSI lorsqu’on prend en compte les taches liées à la sécurité dans la construction du backlog. Une vélocité qu’il faut savoir capitaliser, au même titre qu’un sprint incite à capitaliser l’expérience en production.

L’Infrastructure as Code, une bonne pratique devops, offre au SMSI un moyen supplémentaire pour intégrer avec beaucoup de flexibilité la sécurité au quotidien. Avec des outils comme Chef, Puppet, Ansible, Salt pour la partie système et Terraform par exemple pour la partie infrastructure, l’industrialisation permet d’intégrer en douceur l’ensemble des contraintes de sécurité et de faire évoluer son socle de façon souple et pérenne dans le temps.

Oxalide relève son niveau de sécurité avec agilité

Oxalide reste ainsi véloce tout en relevant chaque jour le niveau de sécurité. Agilité et industrialisation offrent des solutions de déploiement d’un correctif en quelques minutes, sur l’ensemble des serveurs concernés. Le risque, en évolution constante, et d’autant mieux pris en compte.

Pour Guillaume Leccese, Directeur Technique chez Oxalide, c’est une évidence : « La norme n’est pas un carcan rigide et l’organisation agile n’est pas anarchique. L’Agilité, en tant que méthode mais aussi en tant que mouvement, est aujourd’hui capable de nous apporter la méthodologie adéquate pour intégrer dans nos processus quotidiens la composante sécurité. »

Une opportunité pour les entreprises dont les applicatifs sont d’ordinaire plus menacés que leur infrastructure. Elles ont désormais la possibilité d’inclure au prochain sprint planifié la correction de failles de sécurité ou la mise en place de contre-mesures. C’est ça la sécurité agile.




Voir les articles précédents

    

Voir les articles suivants