Comment les Bonnes Pratiques abordent-elles la sécurité?

Lors de sa précédente Interview (Comment les Bonnes Pratiques abordent-elles la communication ?), Xavier Van Lindt nous expliquait comment les Bonnes Pratiques permettent d’éviter les problèmes de communication rencontrés par les SI.

Dans ce deuxième article, Xavier nous présente comment les Bonnes Pratiques permettent d’éviter les problèmes de sécurité rencontrés par les SI.

En effet, la seconde problématique observée qui rejoint le premier point sur le manque de communication est la sécurité. La sécurité est le résultat d’une communication efficace entre la direction métier et le service informatique. La sécurité informatique n’est qu’un alignement sur les besoins en sécurité évoqués par le métier.

Là aussi l’impact se répand sur les 3 niveaux hiérarchiques de l’entreprise (stratégique/tactique/opérationnel).
C’est donc la gouvernance qui va permettre de savoir quels sont les besoins et les exigences des métiers vis-à-vis de la sécurité.

 

Bonnes pratiques en matière de sécurité.

Plusieurs Bonnes Pratiques abordent le thème de la sécurité. Dans le cadre ITIL 4, la sécurité est étudiée dans les modules stratégiques ITIL Direct Plan and Improve et ITIL Digital and IT Strategy. Dans DevOps, il existe un module dédié à la sécurité, qui est un de ses principes fondamentaux, DevSecOps.

Contrairement aux idées préconçues, la sécurité n’est pas qu’un souci de conception. Il ne suffit pas de mettre des mots de passe, des firewalls ou des ISP. Les modules DevOps enseignent que la sécurité est présente au quotidien quand on est dans le RUN (la production).

Lorsqu’on est dans le run, le concept primordial de la sécurité s’appelle l’observabilité. Souvent ce que l’on oublie c’est qu’il est capital d’observer tout ce qui se passe pour ne rien louper au niveau de la sécurité.

La sécurité ne se résume pas simplement au hacking, le phishing ou le spamming. La sécurité concerne également la disponibilité des données, en plus de la confidentialité et de l’intégrité. DevOps, à travers ses modules SRE, Continuous Delivery et DevSecOps se concentre sur le fait de mesurer tout ce qui se passe en production pour être certain de garantir la disponibilité.

Le référentiel maître de la sécurité reste la série ISO 27000.

ITIL mentionne la sécurité en tant que pratique mais DevOps, d’une façon très opérationnelle se focalise sur l’observabilité et la culture. Dans DevOps Foundation et DevSecOps la sécurité n’est pas que le rôle du RSSI mais le problème de TOUS les membres de l’organisation, ce qui en fait un phénomène culturel.

La sécurité n’a rien de technique, elle est avant tout culturelle et vient du métier.
Tout le monde doit être concerné, ce qui est bien mentionné par DevOps.

Ainsi, ce qu’on va attendre du RSSI n’est pas simplement d’évoquer des politiques de sécurité (comme évoqué dans la formation ITIL 4) mais également une évangélisation de toute la DSI, ainsi que des utilisateurs et des clients aux niveaux des différents aspects de sécurité, (tactique stratégique ou opérationnelle).

La sécurité est partout et concerne tout le monde et pour y remédier, il faut communiquer !
Comme la sécurité n’est pas qu’une histoire de politique, des mécanismes ou systèmes doivent être conçus, testés et supervisés en exploitation.

 

5 concepts universels pour protéger les informations

Il existe 5 concepts universels que l’on retrouve dans les référentiels DevOps, ISO et ITIL, pour protéger les informations dont l’organisation a besoin pour mener à bien ses activités :

  • La confidentialité : accès aux données limitées aux personnes autorisées.
  • L’intégrité : exactitude dans tout le système.
  • La disponibilité : donnée disponible quand, où et pour qui.
  • L’authentification : s’assurer de l’identité du demandeur.
  • La non-répudiation : pouvoir prouver l’action exécutée.

Cependant, le cadre DevSecOps élargit le sujet, le rend culturel en plus d’être technologique et fait un focus énorme sur l’observabilité. Savoir tout ce qui se passe dans le quotidien de la production fait partie intégrante de la sécurité.

Malheureusement, même si quasiment toutes les entreprises ont des outils d’observabilité, il n’y a pas toujours quelqu’un devant les écrans pour voir ce qui se passe ou on ne voit pas vraiment ce qu’on devrait voir, cela revient alors à donner un coup d’épée dans l’eau.

ITIL appelle cette pratique “la gestion des évènements”;
DevOps, “l’observabilité” mais c’est surtout DevOps qui se concentre sur la criticité de la sécurité et de la gestion des évènements.

Pour un professionnel qui souhaiterait exécuter la sécurité, je préconise la formation ISO 27000 et pour le professionnel qui souhaite comprendre la problématique de la sécurité dans sa globalité je préconise plutôt une formation DevSecOps.

Vous avez aimé le deuxième volet de l’interview ?
Consultez notre troisième et dernier article sur le recrutement de nouveaux talents : Comment les Bonnes Pratiques répondent-elles à la problématique du recrutement de talents, rencontrée par les SI ?