Que faire après chaque atelier ?

L'atelier initial ne sera peut-être pas suffisant pour que l'équipe se sente entièrement en confiance quant à son traitement des risques numériques, notamment si c'est la première fois qu'elle met en pratique cette démarche, ou si le sujet est particulièrement sensible. Il est parfaitement normal que vous ressentiez le besoin de répéter l'exercice, et tout à fait cohérent avec une approche itérative et incrémentale.

Pour favoriser la continuité de ce travail d'un atelier à l'autre, il est utile d’en formaliser les résultats d'une façon qui soit complémentaire avec la démarche Agile choisie par l'équipe. Les détails dépendront bien entendu de chaque équipe et de ses pratiques d'organisation et d'ingénierie, mais voici quelques pistes :

• l’analyse des risques peut être consignée dans un wiki ou autre espace documentaire facilement accessible par tous les membres de l’équipe

• les Abuser Stories pourront être traitées comme les User Stories et ajoutées au backlog

• si l’équipe le fait pour les User Stories, elles peuvent être priorisées, annotées par leurs définitions de “Done” et éventuellement “Ready”

• la démonstration de la prise en compte des risques associés à une Abuser Story peut être faite par le biais de tests automatisés, comme c’est le cas pour les User Stories: au lieu de démontrer par un test qu’un scénario fonctionnel aboutit, on cherchera à démontrer au contraire qu’un vecteur d’attaque n’aboutit pas.

(Une littérature abondante traite de l'automatisation des tests par les équipes agiles au titre de la recette du bon fonctionnement des produits, mais elle est nettement moins étoffée s'agissant de la prise en compte des mesures de sécurité. Nous espérons qu'une prochaine édition de ce guide, enrichie de retours d'expérience issus de la mise en oeuvre de ces propositions, permettra de traiter ce sujet de façon plus complète.)