Comment les Bonnes Pratiques abordent-elles la sécurité?

Date: 11/05/2021| Catégorie: Gestion des services informatiques (ITSM)| Tags: ,

Lors de sa précédente Interview, Xavier Van Lindt nous expliquait comment les Bonnes Pratiques permettent d’éviter les problèmes de communication rencontrés par les SI.

Dans ce deuxième article, Xavier nous présente comment les Bonnes Pratiques permettent d’éviter les problèmes de sécurité rencontrés par les SI.

En effet, la seconde problématique observée qui rejoint le premier point sur le manque de communication est la sécurité. La sécurité est le résultat d’une communication efficace entre la direction métier et le service informatique. La sécurité informatique n’est qu’un alignement sur les besoins en sécurité évoqués par le métier. Là aussi l’impact se répand sur les 3 niveaux hiérarchiques de l’entreprise (stratégique/tactique/opérationnel). C’est donc la gouvernance qui va permettre de savoir quels sont les besoins et les exigences des métiers vis-à-vis de la sécurité.

Plusieurs Bonnes Pratiques abordent le thème de la sécurité. Dans le cadre ITIL 4, la sécurité est étudiée dans les modules stratégiques ITIL 4 DPI et ITIL 4 DITS. Dans DevOps, il existe un module dédié à la sécurité, qui est un de ses principes fondamentaux, DevSecOps.

Contrairement aux idées préconçues, la sécurité n’est pas qu’un souci de conception. Il ne suffit pas de mettre des mots de passe, des firewalls ou des ISP. Les modules DevOps enseignent que la sécurité est présente au quotidien quand on est dans le RUN (la production). Lorsqu’on est dans le run, le concept primordial de la sécurité s’appelle l’observabilité. Souvent ce que l’on oublie c’est qu’il est capital d’observer tout ce qui se passe pour ne rien louper au niveau de la sécurité. La sécurité ne se résume pas simplement au hacking, le phishing ou le spamming. La sécurité concerne également la disponibilité des données, en plus de la confidentialité et de l’intégrité. DevOps, à travers ses modules SRE, Continuous Delivery et DevSecOps se concentre sur le fait de mesurer tout ce qui se passe en production pour être certain de garantir la disponibilité.

Le référentiel maître de la sécurité reste la série ISO 27000. ITIL mentionne la sécurité en tant que pratique mais DevOps, d’une façon très opérationnelle se focalise sur l’observabilité et la culture. Dans DevOps Foundation et DevSecOps la sécurité n’est pas que le rôle du RSSI mais le problème de TOUS les membres de l’organisation, ce qui en fait un phénomène culturel. La sécurité n’a rien de technique, elle est avant tout culturelle et vient du métier. Tout le monde doit être concerné, ce qui est bien mentionné par DevOps.

Ainsi, ce qu’on va attendre du RSSI n’est pas simplement d’évoquer des politiques de sécurité (comme évoqué dans la formation ITIL 4) mais également une évangélisation de toute la DSI, ainsi que des utilisateurs et des clients aux niveaux des différents aspects de sécurité, (tactique stratégique ou opérationnelle). La sécurité est partout et concerne tout le monde et pour y remédier, il faut communiquer ! Comme la sécurité n’est pas qu’une histoire de politique, des mécanismes ou systèmes doivent être conçus, testés et supervisés en exploitation.

Il existe 5 concepts universels que l’on retrouve dans les référentiels DevOps, ISO et ITIL, pour protéger les informations dont l’organisation a besoin pour mener à bien ses activités :

  • La confidentialité : accès aux données limitées aux personnes autorisées
  • L’intégrité : exactitude dans tout le système
  • La disponibilité : donnée disponible quand, où et pour qui.
  • L’authentification : s’assurer de l’identité du demandeur
  • La non-répudiation : pouvoir prouver l’action exécutée.

Cependant, le cadre DevSecOps élargit le sujet, le rend culturel en plus d’être technologique et fait un focus énorme sur l’observabilité. Savoir tout ce qui se passe dans le quotidien de la production fait partie intégrante de la sécurité.

Malheureusement, même si quasiment toutes les entreprises ont des outils d’observabilité, il n’y a pas toujours quelqu’un devant les écrans pour voir ce qui se passe ou on ne voit pas vraiment ce qu’on devrait voir, cela revient alors à donner un coup d’épée dans l’eau. ITIL appelle cette pratique “la gestion des évènements”; DevOps, “l’observabilité” mais c’est surtout DevOps qui se concentre sur la criticité de la sécurité et de la gestion des évènements.

Pour un professionnel qui souhaiterait exécuter la sécurité, je préconise la formation ISO 27000 et pour le professionnel qui souhaite comprendre la problématique de la sécurité dans sa globalité je préconise plutôt une formation DevSecOps.

Vous avez aimé le deuxième volet de l’interview ? Consultez notre troisième et dernier article sur le recrutement de nouveaux talents : Comment les Bonnes Pratiques répondent-elles à la problématique du recrutement de talents, rencontrée par les SI ?

Partagez ce post, choisissez votre plateforme !

Newsletter

Abonnez-vous à la newsletter QRP International pour recevoir des articles, du contenu utile et des invitations pour nos événements à venir.

QRP International utilisera les informations que vous fournissez dans ce formulaire pour vous envoyer des e-mails. Nous aimerions continuer à vous tenir informé des dernières actualités et contenus innovants et informatifs. Ces contenus sont conçus pour vous aider à être plus efficace dans votre rôle et conserver, mettre à jour vos compétences professionnelles.

Vous pouvez vous désinscrire à tout moment en cliquant sur le lien qui se trouve en bas de chacun de nos e-mails ou en nous contactant à marketing@qrpinternational.com. Nous traiterons vos informations avec respect. Pour plus d'information sur notre politique de confidentialité, visitez notre site internet. En cliquant ci-dessus, vous acceptez que nous puissions traiter vos informations conformément à ces termes.

We use Mailchimp as our marketing platform. By clicking below to subscribe, you acknowledge that your information will be transferred to Mailchimp for processing. Learn more about Mailchimp's privacy practices here.