L'atelier d'analyse des risques
Distillées à l'essentiel, nos recommandations concrètes envers les équipes agiles peuvent se résumer en une phrase : l'équipe se réunit, à intervalles réguliers, pour discuter de façon structurée des risques numériques qui peuvent impacter les usagers de son service ou son produit, et décide comment traiter ces risques. Le moteur de la prise en compte des risques est donc un format d'atelier.
L’atelier type d’analyse de risque lors d’une itération se déroule dans les conditions usuelles pour des équipes agiles :
le format est présentiel,
toute l'équipe est présente — et seulement l'équipe, mais nous allons nuancer ci-dessous,
la durée est limitée, quitte à programmer plusieurs ateliers (une durée de une à trois heures, pause comprise, est appropriée).
Le support d’animation de l’atelier peut consister en une feuille au format paper board ou Post-It géant. Au fur et à mesure de la discussion les éléments d’analyse des risques émergeront sous la forme de post-its de couleurs différentes. Nous allons détailler plus loin ces éléments et le canevas pour les structurer, mais voici à quoi cela pourrait ressembler :
==> Pour l'équipe d'infographie : ici sera inséré, en lieu et place des deux visuels, une photo ou un visuel illustrant un atelier.
Quand faut-il tenir ces ateliers ?
L’adage est bien connu: « Le meilleur moment pour planter un arbre, c’était il y a 20 ans; le deuxième meilleur moment, c’est maintenant. » En matière de sécurité numérique, le meilleur moment pour aborder la question des risques numériques, c’est dès le début des travaux de réalisation, voire d’investigation. Le deuxième meilleur moment, c’est maintenant !
En particulier, le fait que l'équipe ait déjà réalisé un ou plusieurs incréments de fonctionnalité, voire que son produit soit déjà accessible à de premiers usagers, ne saurait constituer une raison valable de ne pas se livrer à l'exercice.
Comment animer l'atelier ?
Les conditions de succès pour un atelier d'analyse des risques sont à rapprocher de celles d'autres « rituels » Agiles, comme la rétrospective par exemple. Le rôle de l'animateur·trice, en charge de la facilitation, est particulièrement important. Il comprend entre autres responsabilités :
s'assurer que la parole est bien répartie entre les différents participants à l'atelier
s'assurer que le groupe ne dévie pas du sujet à traiter
maintenir un climat bienveillant
surveiller l'horloge… un bon atelier ne déborde pas (trop) du temps imparti
Pour une animation efficace, il est donc important de bien maîtriser le canevas d'analyse des risques ; celui-ci est présenté schématiquement ci-dessous (section « Notion de risques : les bases à connaître et à transmettre ») et de façon plus détaillé et analytique en fiche mémo.
Faut-il se faire accompagner ?
La présence d'un·e expert·e en sécurité des systèmes d'information (SSI) n'est pas indispensable pour la réussite de la démarche. Quelles que soient les conclusions de l'analyse des risques, c'est à l'équipe dans son ensemble qu'il incombera de les mettre en oeuvre — c'est une conséquence de notre définition d'une équipe « agile ». Les personnes pertinentes pour cet atelier sont donc les membres de l'équipe et eux seuls.
Notez bien en particulier qu'un atelier de travail n'est pas une réunion ; l'efficacité d'un atelier est conditionnée par une prise de parole et d'initiative à peu près équilibrée entre les différents participants, elle risque d'être diminuée par la présence d'observateurs, et a fortiori si des personnes qui n'ont pas de responsabilité pour la réalisation du produit y prennent une part active.
Pour autant, il est également vrai que le niveau de maturité et de compétence au sein de l'équipe en matière de sécurité numérique pèsera de façon déterminante sur les résultats de la démarche. Si l'équipe ne maîtrise pas suffisamment ces compétences au démarrage, il lui faudra donc les acquérir. La présence d'un·e expert·e SSI, dans une posture de service et d'accompagnement, peut donc être un facteur de réussite. Il ou elle pourra jouer un rôle d'animation ou de facilitation, mais également injecter son expertise à des moments opportuns.
Last updated