A qui s'adresse ce guide ?

Ce guide est intitulé « Intégrer la sécurité numérique dans une démarche Agile ». Il n'a pas pour intention d'épuiser le sujet, ni d'être exhaustif sur les bases théoriques de la sécurité numérique ou de la démarche Agile, mais de donner un canevas pratique et concret pour les équipes concernées et qui souhaitent traiter la question de la sécurité.

Nous vous renvoyons notamment aux fiches mémo présentes en annexe, qui rentrent dans le détail de la démarche d'analyse et de traitement des risques numériques, ou à la bibliographie pour des sources proposant des bases de connaissances en matière de développement sécurisé, et permettant d'approfondir ce qu'on entend par « Agile » - une question qui entraîne des débats sans fin.

Pour les cerner de façon concrète, nous avons conçu ce guide pour des équipes dans lesquelles :

• le principal objectif est de livrer rapidement et fréquemment un produit ou un service à ses usagers, pour résoudre un problème auquel ceux-ci sont confrontés ;

• des personnes dotées de compétences diverses (techniques et non techniques) travaillent ensemble au quotidien ;

• les membres de l'équipe ont assez d'autonomie pour décider ensemble, sans en référer à leur hiérarchie, de l'organisation de leur propre travail ;

• l'équipe porte une attention particulière à la qualité de ce qu'elle produit, s'outille en conséquence et cherche en permanence à s'améliorer.

Généralement, ces caractéristiques s'observent dans des équipes plutôt réduites (souvent de 5 à 10 personnes), et s'accompagnent de pratiques telles que le management visuel (task board, etc.), l'utilisation systématique de tests automatisés, le déploiement continu et les outils Devops, le cadencement du travail en itérations, et ainsi de suite; cependant, prises individuellement aucune de ces propriétés n'est essentielle à « l'Agilité ».

Nous désignons l'ensemble des intervenants d'une telle équipe par le terme « équipe produit ». Afin d'éviter de trop ancrer notre discours dans celui de telle ou telle « chapelle » de cette grande communauté qu'est le mouvement Agile, nous ne distinguerons pas les rôles au sein de l'équipe de façon plus spécifique.

Quant à la question de la sécurité numérique, elle concerne toutes les organisations et tous les types de projets. L'approche d'identification et de traitement des risques proposée dans ce guide permet d'identifier un ensemble de risques numériques dimensionnants dans un contexte donné, incluant des menaces purement cybersécuritaires (e.g. rançongiciel), mais également des risques connexes relevant de cas de fraude, de détournement d'usage, voire de problèmes de gouvernance.