Les Devops et l’Agilité…les pires ennemis de la Sécurité…ou pas ! (1/2)

Il était une fois la Sécurité des SI…
Les standards et les pratiques régissant la Sécurité Informatique s’articulent toujours autour d’une approche top-down. Cet « écosystème » prend naissance à partir de directives générales provenant de normes internationales ou sectorielles, des législations…qui se traduisent en Politique Générale de Sécurité des Systèmes d’information qu’une entreprise formalise et veille à appliquer. Pour ce faire, des analyses de risque (selon des approches diverses : MEHARI, EBIOS…) sont réalisées. L’idée étant d’apprécier l’exposition de l’entreprise (dans la totalité de son activité ou sur une partie) aux menaces potentielles, afin de cibler les investissements et les efforts à déployer sur les différentes composantes de son Système d’Information.

L’Output de ces travaux se concrétise sur le plan opérationnel par un ensemble de procédures, best practices, kits de durcissements…mis en œuvre par l’entreprise. Celle-ci s’appuie alors sur ses fournisseurs et intégrateurs IT mais aussi sur des solutions techniques ad hoc (appelées alors Solutions de Sécurité). Ces mesures techniques (mais aussi organisationnelles) ont pour vocation de réduire les risques auxquels l’entreprise est exposée.

Ces dispositifs sont alors orchestrés par des mécanismes et des processus de supervision, de reporting et de gestion d’incidents dont le but est de contrôler l’efficience des mesures mis en œuvre et éventuellement les ajuster selon les résultats qu’elles auront réalisés. C’est ce qui est communément appelé cycle PDCA (Plan, Do, Check, Act), ou encore roue de Deming.

Un modèle parfait ? Non !

En théorie efficace, le modèle de management de la sécurité montre souvent ses limites en particulier par rapport à la complexité (voire la lourdeur) de sa mise en œuvre. C’est un système qui mobilise beaucoup de ressources (en efforts et investissements). Dans certains cas de figure, il peut même s’avérer contre-productif car il met en jeu des processus peu résilients aux changements et aux évolutions.  Cette limitation prend tout son sens pour les grandes entreprises ayant des SI complexes.

Tous ceux qui ont pratiqué les métiers de la Sécurité Informatique (ou du moins côtoyé des intervenants les pratiquant) tout aussi bien sur l’aspect conceptuel (RSSI, risk management…) qu’opérationnel, se sont certainement confrontés des choix cornéliens donnant lieu à des dilemmes et débats.

D’un côté les prérogatives Sécurité (souvent qualifiées de rigides), de l’autre celles du Business (toujours plus ambitieuses) !

J’ai un business innovant et porté vers le digital. Qu’est-ce que je fais ?

Aux antipodes des processus Sécurité classiques, le contexte business actuel est régi par de nouvelles règles de jeu. Les méthodologies de gestion de projet agiles, couplées aux techniques DevOps bousculent les concepts de sécurité et les mettent à rude épreuve ! On parle de time-to-market, mais encore de cycles de vie très courts pour les changements et les déploiements (quelques semaines, voire quelques jours contre quelques mois à quelques années pour les cycles classiques).

Paradoxalement, pour rassurer les consommateurs des services digitaux, les besoins en sécurité sont accrus du fait de l’exposition et des risques croissants qui pèsent sur les plateformes et les données.

Le décalage entre les besoins des Product Owners et des Sponsors d’une part et la capacité à satisfaire les besoins en sécurité d’autre part n’a jamais été aussi compliqué à gérer.  Nous assistons à un véritable « face off » Business Sécurité ! C’est tout de même un affrontement qui ne doit pas déboucher sur un vainqueur car Business et Sécurité ne peuvent avancer que de pair.

 

Nous sommes probablement à l’aube d’un tournant dans les technologies utilisées et le mind-set du métier Sécurité.

 

La suite dans un prochain article. Pour échanger à ce sujet, prenez contact avec iDNA contact@idna.fr

Articles associés

Les IA font évoluer les attaques

7 février 2024
  Jusqu’à présent, les attaques liées à l’ingénierie sociale (Social Engineering) étaient en tête sur la liste des vecteurs de compromission initiale. C’était sans compter sur l’IA (Intelligence Artificielle) qui est en passe de faire exploser les records !   Une accélération des attaques Depuis fin 2022, le nombre de phishing a été multiplié par […]

La méthode FAIR : un guide vers une gestion efficace des risques pour votre entreprise.

13 décembre 2023
  Cette méthode, qui gagne en popularité, offre une perspective unique et pragmatique pour évaluer et gérer les risques de manière plus efficace et précise. Cet article revient sur les principes fondamentaux de la méthode FAIR et son application concrète.     FAIR: Factor Analysis of Information Risk Le standard FAIR est un modèle analytique […]
Partager cet article
Derniers articles

Le groupe iDNA soutient le Challenge de Marine

Il y a quelques mois, nous avions lancé un appel à projets auprès de nos collaborateurs. Notre jury a décidé de soutenir le projet proposé par Marine : le Défi de la Muzelle. Elle répond à nos questions :   Qui es-tu et quel est ton poste au sein du groupe iDNA ? Je m’appelle Marine, je viens […]

Portrait de Francisca, Chargée des Ressources Humaines au sein du groupe iDNA

Depuis juin 2021, Francisca occupe le poste de Chargée des Ressources Humaines au sein du groupe iDNA. Elle a accepté de nous livrer son parcours, son poste et ses spécificités, mais aussi sa vision et ses valeurs.   Peux-tu te présenter rapidement ? Je m’appelle Francisca, j’habite en banlieue parisienne et je suis chargée des Ressources […]

Portrait d’Aurore, Responsable des Ressources Humaines au sein du groupe iDNA

Depuis 8 ans maintenant, Aurore occupe le poste de Responsable des Ressources Humaines au sein du groupe iDNA. C’est avec un grand sourire qu’elle a accepté de répondre à nos questions. Découvrez son parcours, son poste et ses spécificités, mais aussi sa vision et ses valeurs.    Peux-tu te présenter rapidement ? Je m’appelle Aurore, j’ai […]

Les IA font évoluer les attaques

  Jusqu’à présent, les attaques liées à l’ingénierie sociale (Social Engineering) étaient en tête sur la liste des vecteurs de compromission initiale. C’était sans compter sur l’IA (Intelligence Artificielle) qui est en passe de faire exploser les records !   Une accélération des attaques Depuis fin 2022, le nombre de phishing a été multiplié par […]