Appel à commentaires : Intégrer la sécurité numérique dans une démarche Agile


Les modes d’attaques évoluent et exploitent des vulnérabilités présentes nativement ou structurellement dans les systèmes ou au sein de leurs environnements. Des risques encore accrus par la dématérialisation mais aussi par l’interconnexion de l’information et des usages. Pour répondre à ces enjeux, le management des risques lors de la gestion de projet doit évoluer.

Dans le cycle de vie d’un système d’information, c’est dès le stade du projet, souvent développés selon une démarche Agile, que la sécurité se joue. L’approche Agile est une méthode de pilotage et de réalisation de projets qui se caractérise par un mode de développement :

  • à la fois itératif, incrémental et adaptatif, où le système se construit dans le temps au travers d’étapes de développements successives (« sprints ») ;
  • intégré, la conception (« built ») et la mise en production (« run ») étant regroupées à chaque « sprint ».

Les enjeux de management des risques numériques et d’homologation de sécurité doivent s’intégrer dans ce schéma, sans concession, au même titre que pour les systèmes développés selon un cycle en V.

 

Un guide de la sécurité pour la démarche Agile

Le guide « Intégrer la sécurité numérique dans une démarche Agile » a pour vocation d’aider les organismes publics et privés à intégrer la sécurité numérique dans un projet Agile, particulièrement dans le cadre d’une démarche d’homologation de sécurité.

Coproduit par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la Direction interministérielle du numérique et des systèmes d’information et de communication (DINSIC), il propose une approche simple et pratique, adaptée au mode de développement Agile, pour analyser et traiter les risques numériques, construire une politique de sécurité du système et conduire une homologation.

Ce document s’accompagne d’un guide annexe qui présente les outils méthodologiques et les bases de connaissances nécessaires.

 

Un outil pour toutes les organisations

Le guide est utilisable par toute organisation, quelles que soient sa nature et sa taille.

Ce guide s’adresse plus particulièrement :

  • aux maîtrises d’ouvrage et aux maîtrises d’œuvre ;
  • aux chefs de projets SI ;
  • aux responsables de la sécurité des systèmes d’information (RSSI) ;
  • aux concepteurs, développeurs, exploitants de produits informatiques ;
  • aux producteurs et exploitants de services publics et privés ;
  • à la communauté Agile d’une façon générale.

 

Le guide « Intégrer la sécurité numérique dans une démarche Agile » est aujourd’hui soumis à commentaires.

Nous vous invitons à nous faire part de vos retours avant le 15 septembre via la plateforme de la DINSIC.