« CI Sécurité Agile » : différence entre les versions
Aucun résumé des modifications |
|||
(22 versions intermédiaires par 3 utilisateurs non affichées) | |||
Ligne 1 : | Ligne 1 : | ||
{{Communauté d'intérêt | {{Communauté d'intérêt | ||
|ShortDescription=Accélérer ou permettre l'implémentation de la Sécurité dans des contextes agiles | |ShortDescription FR=Accélérer ou permettre l'implémentation de la Sécurité dans des contextes agiles. | ||
|ShortDescription EN=Accelerate or enable Security implementation in agile contexts. | |||
|Status=En cours | |||
}} | }} | ||
<translate> | |||
<!--T:1--> | |||
== Journal de bord du GT [[Sécurité Agile]] == | == Journal de bord du GT [[Sécurité Agile]] == | ||
'''Le 02/04/2024 : Point à date et coordination des travaux des 3 groupes de travail''' : gouvernance, Security Champions & SME, Technologie. | |||
* 1ère release candidate à l'été ou septembre 2024. | |||
* Pour chaque groupe de travail, les travaux individuels ont bien avancé, ils sont en cours de finalisation et restent les travaux de repasse et relecture croisée des différentes contributions. | |||
* les travaux de la CI Sécurité Agile seront présentés lors du Connect#2 en juin prochain | |||
'''Le 05/09/23, le GT Cybersécurité Agile s'est réuni en plénière pour faire l'état d'avancement des différents streams :''' | |||
* ''Stream Gouvernance'' : Nouvelles étapes proposées pour le SDLC, plus proche de la philosophie DevOps que le schéma traditionnel. Rédaction de la V2 du document, appel à commentaires. | |||
<!--T:2--> | |||
* ''Stream Security Champions & SME'' : Plan du document et positionnement de chacun sur les différentes sections. L’avancement est assez disparate, certains ont commencé à rédiger. | |||
<!--T:3--> | |||
* ''Stream Technologie'' : Evaluation de chaque technologie à chaque session avec une récurrence d’une fois par semaine. Faire un appel à la communauté d'intérêt pour demander des RETEX sur certaines technologies. | |||
L'objectif global est de se mettre d'accord sur une road map afin de finaliser les différents livrables pour la fin d'année. | |||
<!--T:4--> | |||
'''Le 27/06/23, le GT Cybersécurité Agile s'est réuni en plénière pour faire l'état d'avancement des différents streams :''' | |||
* ''Stream Gouvernance'' : Un premier brouillon du livrable du SSLDC sera finalisé à la rentrée. | |||
<!--T:5--> | |||
* ''Stream Security Champions & SME'' : Avancement sur la structure du SME. La forme du livrable sera définie la semaine prochaine. Les différentes sections seront rédigées cet été. Une relance sur le questionnaire va être faite dans la semaine. | |||
<!--T:6--> | |||
* ''Stream Technologie'' : La structure du livrable prend forme. La cartographie des technologies a été réalisée, désormais le stream travaille sur une évaluation de la pertinence de chaque technologie en fonction de différents critères et priorise les technologies afin de construire la stratégie de ramp up. Prochaine réunion de prévu fin août pour reprendre les travaux du livrable. | |||
Création de tâches attribuables avec deadlines pour chacun travaille en autonomie pendant la période juillet/août. | |||
<!--T:7--> | |||
'''Le 30/05/23, le GT Cybersécurité Agile s'est réuni en plénière pour faire l'état d'avancement des différents streams :''' | |||
* ''Stream Gouvernance'' : Finalisation du draft du SSDLC qui va continuer à être compléter. En parallèle, 4 grandes thématiques : | |||
** Scoping : définition et contrôle des risques et des impacts (lien avec la partie Threat Modeling) | |||
** Priorisation des vulnérabilités & finding : définition de critères et de moyens pour faciliter l’appréhension des outil | |||
** Training awareness | |||
** Ramp up : facilitation des pratiques de déploiement du SSDLC. | |||
<!--T:8--> | |||
* ''Stream Security Champions & SME'' : Révision du questionnaire. Discussion sur un potentiel livrable intermédiaire qui synthétisera les réponses du questionnaire. | |||
<!--T:9--> | |||
* ''Stream Technologies'' : Cartographie de technologies en cours de finalisation pour le premier livrable d'ici l'été. | |||
* ''Stream Threat Modeling'' : Au regard du peu de participants, report du stream à la rentrée ou fusion avec le stream Gouvernance. | |||
<!--T:10--> | |||
'''Le 16/05/23, le GT Cybersécurité Agile s'est réuni en plénière pour faire l'état d'avancement des différents streams :''' | |||
* ''Stream Gouvernance'' : Finalisation en cours du 1er draft du livrable sur les étapes du SSDLC | |||
<!--T:11--> | |||
* ''Stream Security Champions & SME'' : Révision du questionnaire d'ici le 6 juin pour envoi à l'ensemble des membres de la communauté d'intérêt Sécurité Agile | |||
<!--T:12--> | |||
* ''Stream Technologies'' : Cartographie de technologies en cours de finalisation pour le premier livrable d'ici l'été. | |||
Rédaction d'un texte chapeau pour l'ensemble des livrables du GT. | |||
<!--T:13--> | |||
'''Le 02/05/23, le GT Cybersécurité Agile s'est réuni en plénière pour faire l'état d'avancement des différents streams :''' | |||
<!--T:14--> | |||
* ''Stream Gouvernance'' : Compliqué d’établir un SSDLC car difficulté à cadrer. Changement de format avec des réflexions en groupe restreint sur la direction à donner puis proposition au groupe élargi. Etablir une task force. | |||
<!--T:15--> | |||
* ''Stream Security Champions & SME'' : Révision du questionnaire qui a été raccourci et simplifié. A finaliser le 06 juin en plénière. | |||
<!--T:16--> | |||
* ''Stream Technologies'' : Cartographie en cours de rédaction. Mise à l'écrit des RETEX. | |||
<!--T:17--> | |||
'''Le 18/04/23, le GT Cybersécurité Agile s'est réuni en plénière pour faire l'état d'avancement des différents streams :''' | |||
<!--T:18--> | |||
* ''Stream Gouvernance'' : Définition des différentes étapes du SSDLC avec ses prérequis de sécurité et input. Priorisation de ces étapes par la suite. L'objectif est, dans un premier temps, de faire une v1 du SSDLC pour le présenter aux membres du GT et avoir du feedback. | |||
<!--T:19--> | |||
* ''Stream Security Champions & SME'' : Rédaction d'un questionnaire à adresser à la communauté d'intérêt pour obtenir des RETEX et dégager des pratiques communes. | |||
* ''Stream Threat Modeling'' : Récolte de RETEX. Livrables en cours de discussion. | |||
<!--T:20--> | |||
* ''Stream Technologies'' : Récolte de RETEX sur les expériences de chacun en termes de déploiement technologique. L'objectif est d'établir une stratégie de ramp up sur l'axe technologique. Pour ce faire, il est nécessaire de lister toutes les technologies à considérer. | |||
<!--T:21--> | |||
'''Le 04/04/23, le GT Cybersécurité Agile s'est réuni en plénière pour faire l'état d'avancement des différents streams :''' | |||
<!--T:22--> | |||
* ''Stream Gouvernance'' : Kick off pour définir la fréquence des réunions et connaître les attendus des différents membres. Document chapeau à rédiger, avec les différents process et les prérequis. Pas de livrables définis pour le moment. Le SSDLC va être un élément central de la gouvernance. | |||
<!--T:23--> | |||
* ''Stream Security Champions & SME'' : Plusieurs questions pour guider un retex sur l'approche Security Champions sont en cours d'écriture. Faire passer une communication à la communauté d’intérêt --> Co-leader du stream envoient le contenu du message au Campus Cyber pour relai message et obtenir un retex plus large qui bénéficiera à tous. | |||
* ''Stream Threat Modeling'' --> livrables potentiels : | |||
** Process de Threat Modeling au sein du SSDLC sur 3 niveaux de maturité avec RACI | |||
** Modélisation d’attaques —> format d’échanges sur les infos pertinentes pour les activités de TM. | |||
** Critères et pièges à éviter dans les outils de TM. Mutualisation de menaces | |||
** Modules de formation (identifier cibles, famille de compétences) et mapping | |||
<!--T:24--> | |||
* ''Stream Technologies'' : Production d’une matrice de maturité technologique (par où commencer pour quels outils). Prochaine session : cartographier les technologies et les axes à considérer pour la matrice tels que la maîtrise du risque, la complexité de mise en oeuvre, le coût... | |||
<!--T:25--> | |||
'''Le 21/03/23, le GT Cybersécurité Agile a travaillé sur :''' | |||
<!--T:26--> | |||
* Les avancées et les prochaines étapes pour chaque stream | |||
* Les potentiels livrables des streams | |||
<!--T:27--> | |||
''Il a pris les décisions de :'' | |||
<!--T:28--> | |||
* Garder la récurrence de se retrouver toutes les deux semaines en plénière | |||
* Fixer la récurrence de chaque stream | |||
* Préparer les ateliers pour stream | |||
<!--T:29--> | |||
Il est à noter que le stream Outillage a été renommé "Technologie" | |||
<!--T:30--> | |||
'''Le 21/02/23, le GT Cybersécurité Agile a travaillé sur :''' | '''Le 21/02/23, le GT Cybersécurité Agile a travaillé sur :''' | ||
<!--T:31--> | |||
* Le cadrage des streams | * Le cadrage des streams | ||
<!--T:32--> | |||
''Il a pris les décisions de :'' | ''Il a pris les décisions de :'' | ||
<!--T:33--> | |||
* Mettre en place deux ateliers avant le prochain GT. Un avec les coordinateurs et les leaders de chaque stream et entre membres de streams. | * Mettre en place deux ateliers avant le prochain GT. Un avec les coordinateurs et les leaders de chaque stream et entre membres de streams. | ||
<!--T:34--> | |||
Il est à noter que le stream Spécificités et contraintes règlementaires a été remplacé par Outillage. | Il est à noter que le stream Spécificités et contraintes règlementaires a été remplacé par Outillage. | ||
<!--T:35--> | |||
'''Le 07/02/23, le GT Cybersécurité Agile a travaillé sur :''' | '''Le 07/02/23, le GT Cybersécurité Agile a travaillé sur :''' | ||
<!--T:36--> | |||
* La validation des streams : Gouvernance, Security Champions et SME, Threat modeling, Spécificités et contraintes règlementaires | * La validation des streams : Gouvernance, Security Champions et SME, Threat modeling, Spécificités et contraintes règlementaires | ||
* La répartition des membres du GT sur chaque stream en tant que leaders/contributeurs/relecteurs | * La répartition des membres du GT sur chaque stream en tant que leaders/contributeurs/relecteurs | ||
Ligne 25 : | Ligne 157 : | ||
<!--T:37--> | |||
'''Le 24/01/23, le GT Cybersécurité Agile a travaillé sur :''' | '''Le 24/01/23, le GT Cybersécurité Agile a travaillé sur :''' | ||
<!--T:38--> | |||
* Présentation des membres | * Présentation des membres | ||
* Les objectifs du GT | * Les objectifs du GT | ||
Ligne 33 : | Ligne 167 : | ||
<!--T:39--> | |||
''Il a pris les décisions de :'' | ''Il a pris les décisions de :'' | ||
<!--T:40--> | |||
* Se réunir tous les 15 jours en plénière | * Se réunir tous les 15 jours en plénière | ||
* S’organiser sous forme de sous streams à partir des propositions de thématiques, complétées par le GT lors de la prochaine session | * S’organiser sous forme de sous streams à partir des propositions de thématiques, complétées par le GT lors de la prochaine session | ||
Ligne 40 : | Ligne 176 : | ||
| | ||
<!--T:41--> | |||
Il est à noter que la date du prochain GT est à définir. | Il est à noter que la date du prochain GT est à définir. | ||
</translate> | |||
{{PageSubHeader Communauté d'intérêt}} |
Dernière version du 2 avril 2024 à 14:55
Accélérer ou permettre l'implémentation de la Sécurité dans des contextes agiles.
Catégorie : Communauté d'intérêt
Statut : En cours
Journal de bord du GT Sécurité Agile[modifier | modifier le wikicode]
Le 02/04/2024 : Point à date et coordination des travaux des 3 groupes de travail : gouvernance, Security Champions & SME, Technologie.
- 1ère release candidate à l'été ou septembre 2024.
- Pour chaque groupe de travail, les travaux individuels ont bien avancé, ils sont en cours de finalisation et restent les travaux de repasse et relecture croisée des différentes contributions.
- les travaux de la CI Sécurité Agile seront présentés lors du Connect#2 en juin prochain
Le 05/09/23, le GT Cybersécurité Agile s'est réuni en plénière pour faire l'état d'avancement des différents streams :
- Stream Gouvernance : Nouvelles étapes proposées pour le SDLC, plus proche de la philosophie DevOps que le schéma traditionnel. Rédaction de la V2 du document, appel à commentaires.
- Stream Security Champions & SME : Plan du document et positionnement de chacun sur les différentes sections. L’avancement est assez disparate, certains ont commencé à rédiger.
- Stream Technologie : Evaluation de chaque technologie à chaque session avec une récurrence d’une fois par semaine. Faire un appel à la communauté d'intérêt pour demander des RETEX sur certaines technologies.
L'objectif global est de se mettre d'accord sur une road map afin de finaliser les différents livrables pour la fin d'année.
Le 27/06/23, le GT Cybersécurité Agile s'est réuni en plénière pour faire l'état d'avancement des différents streams :
- Stream Gouvernance : Un premier brouillon du livrable du SSLDC sera finalisé à la rentrée.
- Stream Security Champions & SME : Avancement sur la structure du SME. La forme du livrable sera définie la semaine prochaine. Les différentes sections seront rédigées cet été. Une relance sur le questionnaire va être faite dans la semaine.
- Stream Technologie : La structure du livrable prend forme. La cartographie des technologies a été réalisée, désormais le stream travaille sur une évaluation de la pertinence de chaque technologie en fonction de différents critères et priorise les technologies afin de construire la stratégie de ramp up. Prochaine réunion de prévu fin août pour reprendre les travaux du livrable.
Création de tâches attribuables avec deadlines pour chacun travaille en autonomie pendant la période juillet/août.
Le 30/05/23, le GT Cybersécurité Agile s'est réuni en plénière pour faire l'état d'avancement des différents streams :
- Stream Gouvernance : Finalisation du draft du SSDLC qui va continuer à être compléter. En parallèle, 4 grandes thématiques :
- Scoping : définition et contrôle des risques et des impacts (lien avec la partie Threat Modeling)
- Priorisation des vulnérabilités & finding : définition de critères et de moyens pour faciliter l’appréhension des outil
- Training awareness
- Ramp up : facilitation des pratiques de déploiement du SSDLC.
- Stream Security Champions & SME : Révision du questionnaire. Discussion sur un potentiel livrable intermédiaire qui synthétisera les réponses du questionnaire.
- Stream Technologies : Cartographie de technologies en cours de finalisation pour le premier livrable d'ici l'été.
- Stream Threat Modeling : Au regard du peu de participants, report du stream à la rentrée ou fusion avec le stream Gouvernance.
Le 16/05/23, le GT Cybersécurité Agile s'est réuni en plénière pour faire l'état d'avancement des différents streams :
- Stream Gouvernance : Finalisation en cours du 1er draft du livrable sur les étapes du SSDLC
- Stream Security Champions & SME : Révision du questionnaire d'ici le 6 juin pour envoi à l'ensemble des membres de la communauté d'intérêt Sécurité Agile
- Stream Technologies : Cartographie de technologies en cours de finalisation pour le premier livrable d'ici l'été.
Rédaction d'un texte chapeau pour l'ensemble des livrables du GT.
Le 02/05/23, le GT Cybersécurité Agile s'est réuni en plénière pour faire l'état d'avancement des différents streams :
- Stream Gouvernance : Compliqué d’établir un SSDLC car difficulté à cadrer. Changement de format avec des réflexions en groupe restreint sur la direction à donner puis proposition au groupe élargi. Etablir une task force.
- Stream Security Champions & SME : Révision du questionnaire qui a été raccourci et simplifié. A finaliser le 06 juin en plénière.
- Stream Technologies : Cartographie en cours de rédaction. Mise à l'écrit des RETEX.
Le 18/04/23, le GT Cybersécurité Agile s'est réuni en plénière pour faire l'état d'avancement des différents streams :
- Stream Gouvernance : Définition des différentes étapes du SSDLC avec ses prérequis de sécurité et input. Priorisation de ces étapes par la suite. L'objectif est, dans un premier temps, de faire une v1 du SSDLC pour le présenter aux membres du GT et avoir du feedback.
- Stream Security Champions & SME : Rédaction d'un questionnaire à adresser à la communauté d'intérêt pour obtenir des RETEX et dégager des pratiques communes.
- Stream Threat Modeling : Récolte de RETEX. Livrables en cours de discussion.
- Stream Technologies : Récolte de RETEX sur les expériences de chacun en termes de déploiement technologique. L'objectif est d'établir une stratégie de ramp up sur l'axe technologique. Pour ce faire, il est nécessaire de lister toutes les technologies à considérer.
Le 04/04/23, le GT Cybersécurité Agile s'est réuni en plénière pour faire l'état d'avancement des différents streams :
- Stream Gouvernance : Kick off pour définir la fréquence des réunions et connaître les attendus des différents membres. Document chapeau à rédiger, avec les différents process et les prérequis. Pas de livrables définis pour le moment. Le SSDLC va être un élément central de la gouvernance.
- Stream Security Champions & SME : Plusieurs questions pour guider un retex sur l'approche Security Champions sont en cours d'écriture. Faire passer une communication à la communauté d’intérêt --> Co-leader du stream envoient le contenu du message au Campus Cyber pour relai message et obtenir un retex plus large qui bénéficiera à tous.
- Stream Threat Modeling --> livrables potentiels :
- Process de Threat Modeling au sein du SSDLC sur 3 niveaux de maturité avec RACI
- Modélisation d’attaques —> format d’échanges sur les infos pertinentes pour les activités de TM.
- Critères et pièges à éviter dans les outils de TM. Mutualisation de menaces
- Modules de formation (identifier cibles, famille de compétences) et mapping
- Stream Technologies : Production d’une matrice de maturité technologique (par où commencer pour quels outils). Prochaine session : cartographier les technologies et les axes à considérer pour la matrice tels que la maîtrise du risque, la complexité de mise en oeuvre, le coût...
Le 21/03/23, le GT Cybersécurité Agile a travaillé sur :
- Les avancées et les prochaines étapes pour chaque stream
- Les potentiels livrables des streams
Il a pris les décisions de :
- Garder la récurrence de se retrouver toutes les deux semaines en plénière
- Fixer la récurrence de chaque stream
- Préparer les ateliers pour stream
Il est à noter que le stream Outillage a été renommé "Technologie"
Le 21/02/23, le GT Cybersécurité Agile a travaillé sur :
- Le cadrage des streams
Il a pris les décisions de :
- Mettre en place deux ateliers avant le prochain GT. Un avec les coordinateurs et les leaders de chaque stream et entre membres de streams.
Il est à noter que le stream Spécificités et contraintes règlementaires a été remplacé par Outillage.
Le 07/02/23, le GT Cybersécurité Agile a travaillé sur :
- La validation des streams : Gouvernance, Security Champions et SME, Threat modeling, Spécificités et contraintes règlementaires
- La répartition des membres du GT sur chaque stream en tant que leaders/contributeurs/relecteurs
Le 24/01/23, le GT Cybersécurité Agile a travaillé sur :
- Présentation des membres
- Les objectifs du GT
- Les livrables
- Le calendrier
Il a pris les décisions de :
- Se réunir tous les 15 jours en plénière
- S’organiser sous forme de sous streams à partir des propositions de thématiques, complétées par le GT lors de la prochaine session
- S’accorder sur les contenus des streams et les rôles de chacun
Il est à noter que la date du prochain GT est à définir.
Groupes de travail
Status | Description | |
---|---|---|
Cybersécurité Agile : SSDLC | En cours | Schéma de SSDLC qui intègre le design, l'architecture, le developpement, le testing et la maintenance |
Cybersécurité Agile : Security Champions & SME | En cours | Identifier l'intérêt pour les organisations d'avoir des Security Champions et Subject Matter Expert |
Cybersécurité Agile : Technologies | En cours | Mise en place d'un ramp-up technologique pour définir une stratégie et un plan de mise en œuvre |