Bibliographie
Les sources ci-après constituent un bon point de départ pour tout organisme souhaitant approfondir ses connaissances ou bâtir son propre référentiel en matière de démarche Agile, de développement sécurisé ou de pratiques d'homologation. Cette bibliographie ne se veut pas exhaustive. Les références externes à celles de l'ANSSI ou de la DINSIC sont données à titre d'information.
Démarche Agile
Le Manifeste Agile est le document « historique » et de ce fait incontournable pour qui souhaite maîtriser le sujet ; toute la littérature qui suit se répartit en deux catégories, des gloses sur le Manifeste et des retours d'expériences du terrain.
Le Référentiel des pratiques Agiles de l'Institut Agile, avec le soutien de l'association Agile Alliance, vise un recensement des pratiques les plus répandues dans la communauté. On l'utilisera avec profit comme un glossaire étendu permettant d'éviter des incompréhensions : la littérature sur le sujet est en effet riche en jargon, souvent anglophone, qui déroute parfois les néophytes.
Gestion de projet agile, avec Scrum, Lean, Extreme Programming... de Véronique Messager propose aux personnes ayant le rôle (formel ou informel) de Chef de Projet un tour d'horizon, tenant compte des spécificités du contexte français, de l'historique des démarches Agiles et des principales ruptures avec les doctrines antérieures de gestion de projet. Il s'appuie sur les témoignages de nombreux experts issus de la communauté Agile francophone.
The Phoenix Project de Gene Kim est une bonne introduction à l'un des domaines les plus récemment développés par la communauté Agile : les principes et pratiques regroupées sous l'étiquette Devops. Sous une forme inédite (c'est un roman) il constitue une entrée en matière accessible et efficace.
Développement sécurisé
Vous trouverez sur le site de l'ANSSI un ensemble de guides de recommandations et de bonnes pratiques vous permettant de sécuriser un produit et de lui conférer un socle de sécurité à l'état de l'art (cryptographie, postes de travail et serveurs, liaisons sans fil et mobilité, réseaux, applications Web, externalisation, systèmes industriels, technologies sans contact, archivage électronique, etc.) : http://www.ssi.gouv.fr/entreprise/bonnes-pratiques/.
OWASP Proactive Controls (Open Web Application Security Project) propose une liste de dix contrôles de sécurité préventifs dédiés au développement de logiciel. Ces techniques sont classées par ordre d’importance décroissant. Ce document a été écrit par des développeurs pour les développeurs afin d’accompagner ceux qui sont nouveaux dans le développement sécurisé : https://www.owasp.org/index.php/OWASP_Proactive_Controls#tab=Main.
SAFECode - Security Guidance for Agile Practitioners - propose des recommandations pratiques aux praticiens de l’Agile sous la forme de « user stories » centrées sur la sécurité et les tâches de sécurité qu'ils peuvent facilement intégrer dans leurs environnements de développement Agile : https://safecode.org/publications/.
Pratiques d'homologation et d'analyse de risque
Guide ANSSI "L'homologation de sécurité en 9 étapes simples": http://www.ssi.gouv.fr/entreprise/guide/lhomologation-de-securite-en-neuf-etapes-simples/
Méthode EBIOS "Expression des besoins et identification des objectifs de sécurité" : http://www.ssi.gouv.fr/entreprise/guide/ebios-2010-expression-des-besoins-et-identification-des-objectifs-de-securite/
Vous trouverez également sur le site de l'ANSSI d'autres guides vous permettant d'approfondir vos pratiques en matière par exemple de défense en profondeur, d'élaboration d'une PSSI, d'élaboration d'un plan de montée en maturité SSI : http://www.ssi.gouv.fr/entreprise/bonnes-pratiques/methodologie/
Nous citons enfin les outils pratiques suivants qui pourront vous aider à identifier, évaluer et prioriser les scénarios de menaces dans le cadre de vos ateliers d'analyse de risque :
base de connaissances EBIOS de l'ANSSI (http://www.ssi.gouv.fr/entreprise/guide/ebios-2010-expression-des-besoins-et-identification-des-objectifs-de-securite/),
Tactical Threat Modeling de SAFECode (https://safecode.org/publications/),
STRIDE Threat Model de Microsoft (https://www.owasp.org/index.php/Threat_Risk_Modeling#STRIDE),
DREAD Risk Rating Security Threats (https://wiki.openstack.org/wiki/Security/OSSA-Metrics#DREAD ou https://www.owasp.org/index.php/Threat_Risk_Modeling#DREAD).
Réglementation de sécurité
Le lecteur pourra se reporter au site de l'ANSSI qui présente un panorama des textes réglementaires en matière de cybersécurité, relatifs à la protection des systèmes d’information, à la confiance numérique, ainsi que plus spécifiquement à la cryptographie ou à d’autres réglementations techniques : https://www.ssi.gouv.fr/entreprise/reglementation/.
Concernant la cybersécurité des systèmes d'information d'importance vitale (SIIV), régie par l'Article 22 de la LPM, le lecteur pourra consulter le lien suivant : https://www.ssi.gouv.fr/entreprise/protection-des-oiv/protection-des-oiv-en-france/.
Last updated