CI Sécurité Agile

Journal de bord du GT Sécurité Agile[modifier | modifier le wikicode]

Le 18/04/23, le GT Cybersécurité Agile s'est réuni en plénière pour faire l'état d'avancement des différents streams :

• Stream Gouvernance : Définition des différentes étapes du SSDLC avec ses prérequis de sécurité et input. Priorisation de ces étapes par la suite. L'objectif est, dans un premier temps, de faire une v1 du SSDLC pour le présenter aux membres du GT et avoir du feedback.

• Stream Security Champions & SME : Rédaction d'un questionnaire à adresser à la communauté d'intérêt pour obtenir des RETEX et dégager des pratiques communes.
• Stream Threat Modeling : Récolte de RETEX. Livrables en cours de discussion.

• Stream Technologies : Récolte de RETEX sur les expériences de chacun en termes de déploiement technologique. L'objectif est d'établir une stratégie de ramp up sur l'axe technologique. Pour ce faire, il est nécessaire de lister toutes les technologies à considérer.

Le 04/04/23, le GT Cybersécurité Agile s'est réuni en plénière pour faire l'état d'avancement des différents streams :

• Stream Gouvernance : Kick off pour définir la fréquence des réunions et connaître les attendus des différents membres. Document chapeau à rédiger, avec les différents process et les prérequis. Pas de livrables définis pour le moment. Le SSDLC va être un élément central de la gouvernance.

• Stream Security Champions & SME : Plusieurs questions pour guider un retex sur l'approche Security Champions sont en cours d'écriture. Faire passer une communication à la communauté d’intérêt --> Co-leader du stream envoient le contenu du message au Campus Cyber pour relai message et obtenir un retex plus large qui bénéficiera à tous.
• Stream Threat Modeling --> livrables potentiels :
  • Process de Threat Modeling au sein du SSDLC sur 3 niveaux de maturité avec RACI
  • Modélisation d’attaques —> format d’échanges sur les infos pertinentes pour les activités de TM.
  • Critères et pièges à éviter dans les outils de TM. Mutualisation de menaces
  • Modules de formation (identifier cibles, famille de compétences) et mapping

• Stream Technologies : Production d’une matrice de maturité technologique (par où commencer pour quels outils). Prochaine session : cartographier les technologies et les axes à considérer pour la matrice tels que la maîtrise du risque, la complexité de mise en oeuvre, le coût...

Le 21/03/23, le GT Cybersécurité Agile a travaillé sur :

• Les avancées et les prochaines étapes pour chaque stream
• Les potentiels livrables des streams

Il a pris les décisions de : ​

• Garder la récurrence de se retrouver toutes les deux semaines en plénière
• Fixer la récurrence de chaque stream
• Préparer les ateliers pour stream

Il est à noter que le stream Outillage a été renommé "Technologie"

Le 21/02/23, le GT Cybersécurité Agile a travaillé sur :

• Le cadrage des streams

Il a pris les décisions de : ​

• Mettre en place deux ateliers avant le prochain GT. Un avec les coordinateurs et les leaders de chaque stream et entre membres de streams.

Il est à noter que le stream Spécificités et contraintes règlementaires a été remplacé par Outillage.

Le 07/02/23, le GT Cybersécurité Agile a travaillé sur :

• La validation des streams : Gouvernance, Security Champions et SME, Threat modeling, Spécificités et contraintes règlementaires
• La répartition des membres du GT sur chaque stream en tant que leaders/contributeurs/relecteurs

Le 24/01/23, le GT Cybersécurité Agile a travaillé sur :

• Présentation des membres​
• Les objectifs du GT ​
• Les livrables ​
• Le calendrier ​

Il a pris les décisions de : ​

• Se réunir tous les 15 jours en plénière ​
• S’organiser sous forme de sous streams à partir des propositions de thématiques, complétées par le GT lors de la prochaine session​
• S’accorder sur les contenus des streams et les rôles de chacun​

​

Il est à noter que la date du prochain GT est à définir.​