Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Innovation : pour une SSI agile, ouverte et « geek »

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Commentaires Commentaires fermés sur Innovation : pour une SSI agile, ouverte et « geek »

Le rôle de la SSI vis-à-vis des projets les plus innovants de l’entreprise est crucial. Sans un détour par la « case sécurité » ces initiatives peuvent faire peser sur l’entreprise un risque beaucoup plus élevé que les gains potentiels. Mais s’ils passent trop longtemps entre les mains de l’équipe sécurité et de ses processus de validation parfois castrateurs, ces projets peuvent perdre leurs caractéristiques les plus innovantes, leur élan créatif ou, plus probablement, rater leur fenêtre de mise sur le marché.

La SSI est donc confrontée à deux défis : détecter à temps les projets les plus innovants, qui ne suivent pas toujours les processus de validation de l’entreprise, et les traiter de manière adaptée et rapide, afin de limiter au maximum son impact sur leur cycle de développement atypique.

Pour y parvenir la SSI doit d’abord s’affranchir du giron exclusif de la DSI : beaucoup des projets innovants naissent de manière organique et partent d’un besoin métier spécifique (origine métiers) ou d’une connaissance intime du client (« customer pain point« , venant de la force de vente), sans suivre le chemin formel qui implique la DSI suffisamment tôt. Ils imitent ainsi le chemin suivi par la plupart des entrepreneurs à succès, qui ont d’abord cherché à répondre à leurs propres besoins.

Ces projets naissent donc dans les métiers, et ils peuvent y demeurer un certain temps : l’accessibilité des solutions externalisées, en mode SaaS par exemple, et la forte capacité de prototypage des technologies web (aussi bien les langages que les services) font qu’un side-project initié au sein des métiers pourra être déjà très avancé lorsqu’il deviendra visible au niveau de la SSI pour la première fois.

Sortir de la DSI, donc, mais pas seulement. La SSI doit également, plus que jamais, s’imprégner de la culture de l’entreprise dans laquelle elle évolue. Car de tels projets innovants sont avant tout le reflet de la culture de l’entreprise. Sans cette acclimatation, le RSSI et son équipe ne pourront créer les (bonnes) relations nécessaires à l’identification des projets informels. L’armée américaine, dans sa stratégie de contre-insurection, parle de « gagner les coeurs et les esprits » et la SSI pourrait bien s’en inspirer. Sa position doit être celle du réseau, de l’ouverture d’esprit, de la découverte, de l’écoute et du « renvoi d’ascenseur » permanent.

Ce rapprochement peut être facilité si la SSI marque un intérêt réel pour l’activité des métiers, et si les geeks de part et d’autre communiquent librement sur leurs idées et leurs réalisations. A ce titre il peut être utile de faciliter ces échanges, par exemple en créant au sein de l’entreprise des rencontres informelles de geeks, pourquoi pas à l’image du mythique « Homebrew Computer Club » de Menlo Park ? En tout cas, la passion des geeks et leur culture de l’échange est une force transversale au sein de l’entreprise sur laquelle il serait dommage de ne pas capitaliser.

L’étape suivante, bien entendu, pourrait être d’associer la SSI à une éventuelle Direction de l’Innovation, comme le suggèrent les participants à la table ronde « Innovation » modérée par Jean-François Louapre (RSSI AG2R La Mondiale) durant notre dernier CSO Interchange. Mais cela dénote déjà un degré de maturité important.

Une fois les projets identifiés et la SSI mise dans la boucle, encore faut-il qu’elle ne déçoive pas. Car les projets innovants sont très différents de ceux nés dans le berceau habituel de l’entreprise. Dans le bon comme dans le mauvais sens : ils peuvent avoir pris des raccourcis dangereux, mais sont aussi souvent en pointe et offrir à l’entreprise une avance considérable… s’ils sont mis sur le marché à temps ! « Plutôt que de parler de projets innovants, on devrait d’ailleurs peut-être parler de projets à Time to Market réduit » , explique ainsi Jean-François Louapre (le compte-rendu de sa table ronde est disponible pour les participants du CSO Interchange sur la Communauté Qualys)

Dans ce contexte le rôle de la SSI demeure d’abord, évidemment, de procéder à l’analyse de risque du projet et de proposer des mesures correctives éventuelles. Mais elle doit le faire sans ralentir le projet et sans en tuer l’élan créatif.

Première exigence : la réactivité. Pour y parvenir, les participants à la table ronde de Jean-François Louapre préconisent une analyse de risque en deux temps : un premier passage, avec une méthode d’analyse rapide à définir, afin de lever les premières alertes, et une seconde, plus fouillée, si nécessaire. Cela afin de ne pas bloquer le projet sans raison. Et évidemment, ce processus est itératif au fil des évolutions du développement. La SSI doit alors être pro-active et s’assurer de suivre elle-même l’avancée du projet.

La question de la méthode d’analyse, cependant, demeure sans réponse, et notamment dans le cadre des projets menés en développement Agile. Quelle méthode est la plus rapide à dérouler sur une première passe ? La plus souple afin de pouvoir s’adapter au plus grand nombre de projets ? La plus légère afin de ne pas ralentir le développement à chaque passe ? Peut-être reste-t-elle même à inventer !

Autre changement spécifique à ces projets : il peut-être nécessaire d’associer une composante juridique à l’analyse de risque purement SSI, plutôt que de suivre le processus linéaire habituel. Là encore, la méthode d’articulation entre les deux univers reste à définir, mais le besoin est réel. Le cycle de développement de ces projets peut en effet rendre difficile leur passage par la Direction Juridique avant/après l’intervention SSI. Il peut être alors bénéfique de créer un projet d’analyse commun, justifiable par l’exigence de réactivité de ces projets et le fait que la sécurité de l’information est de plus en plus régulièrement le partenaire de fait des juristes de l’entreprise (un rapprochement qui sera facilité, évidemment, par un éventuel rattachement de la SSI à une Direction des Risques).

Ce qui est certain, en revanche, c’est que l’attitude de la SSI doit évoluer afin d’être en mesure d’accompagner ces projets innovants et autre side-projects. Car beaucoup de professionnels estiment qu’ils vont se multiplier à l’avenir jusqu’à devenir une pratique commune.

En résumé la SSI doit donc, pour y parvenir, changer de sponsor au sein de l’entreprise, mais pas seulement. Elle devra aussi – et ce sera le plus difficile – refléter pleinement la culture de l’entreprise si celle-ci est propice à faire naître des initiatives créatives de la sorte, être plus encore au contact de ses métiers, savoir être humble et réactive, créer du lien entre les créatifs et les geeks de l’entreprise, faire preuve de bonne volonté et enfin savoir fertiliser les projets d’un trait de sécurité « by design » sans pour autant se montrer intrusive.

Oui, il s’agit presque d’un nouveau métier…


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.