Speaker #0Bonjour à toi et bienvenue dans Compliance Without Coma, le podcast qui parle cybersécurité, gouvernance et normes Iso, sans coma. Je suis Fabrice Depaepe et j'accompagne les organisations dans leur développement GRC. La semaine dernière... je t'ai partagé un sujet qui a bien résonné. Le logo ISO peut tuer un CISO. Merci d'ailleurs pour vos retours, vos messages privés, vos partages. Ça me booste. Avant de démarrer, pense à laisser un petit commentaire sur Apple Podcasts ou les 5 étoiles sur Spotify ou l'inverse. C'est rapide pour toi et énorme pour moi. Et pour la diffusion et le partage de ce podcast, merci à toi. Aujourd'hui, on va parler un peu développement. Mais je te rassure. Aucune ligne de côte à l'horizon, hein ? Difficile à expliquer en audio, n'est-ce pas ? Ouf, diront certains. Alors Agile, c'est quoi ? C'est une méthode de gestion de projet, fondée sur des cycles courts, les fameux sprints, comme tu as peut-être entendu parler, avec de l'adaptation continue et de la collaboration rapprochée avec le client. L'idée ? Livrer vite, ajuster, co-créer de la valeur. Mais attention, il n'y a pas qu'une seule méthode Agile. Aujourd'hui, on va monter d'un cran. On va se positionner au-dessus d'une méthode agile. Par exemple, Scrum ou Kanban. Laisse-les tomber. On est au-dessus de cela. Et je vais te dire pourquoi. On va parler de deux frameworks. Safe et Less. Safe pour Skilled Agile Framework. Et Less pour Large-Scale Scrum. Pour t'aider à visualiser... Pense à un chantier de construction. Scrum, c'est comme construire une maison. Une petite équipe, des outils simples, tu avances étape par étape et tu parles souvent au proprio. Mais SAFE ou LESS, c'est comme construire tout un quartier. 10 équipes, 10 bâtiments et un seul réseau de route, d'eau, d'électricité, gérer les impétrants. Le framework, il est là pour ça. Synchroniser, coordonner, standardiser, tout en laissant chaque équipe dans chaque maison. Restez agile. Et là, une question me turlupine. Quand tu construis un quartier, tu penses à la sécurité, non ? Le gaz, l'électricité, les différentes conformités. Tu vois l'idée avec la cybersécurité ? Je te laisse réfléchir une seconde. Tu préfères foncer tête baissée, livrer toutes les maisons vite fait ? où tu t'assures qu'il y a au moins quelques standards en place. Tu vois l'idée ? Consulter les plans de la ville, vérifier les arrivées de gaz, les prises électriques placées là où il faut. Tu fais des compromis intelligents, pas vrai ? Et toi-même, tu sais déjà comment trouver des solutions. Mais imagine, le robinet est monté à l'envers. Il y a une prise juste au-dessus de la baignoire. Va dire ça à Claude François. Et là, tu entends le chef de chantier, c'est pas grave, il faut livrer vite. Bon, tu vois où je veux en venir, tu penses déjà solution. Alors, on peut revenir à SAFe et à LeSS. Dans certaines boîtes, j'ai vu des équipes de 50, 60, 70 personnes tenter de faire du LeSS. Soyons clairs, quand l'agilité recommande des petites équipes focus, et qu'on se retrouve avec une tribune d'amphi, ça ressemble plus à une conférence qu'à un sprint agile. Alors, je pose la vraie question. SAFe ou LeSS ? Quelle approche protège vraiment votre sécurité ? Petit spoiler, il n'y a pas d'outil magique. Il y a de la gouvernance adaptée. Point. L'agilité à la base, c'est des itérations courtes, des feedbacks fréquents, et de l'amélioration continue. Mais Agile peut te faire livrer très vite, toi dans le mur, si tu oublies la gouvernance. Aujourd'hui, tout le monde vend des outils, des méthodes, des certifications, mais la vraie valeur, c'est la gouvernance, pas l'outil. Et en cybersécurité, la gouvernance n'est jamais une option. Jamais. Agile sans gouvernance ? C'est juste du chaos accéléré. La vraie question, c'est pas... Quel framework est le meilleur ? C'est plutôt, est-ce que mon entreprise est prête à l'utiliser correctement ? Parce qu'un super outil mal préparé, ça finit toujours mal. Et tu sais quoi ? Les erreurs, on les voit partout. Décision sans concertation, budget mal réparti, juniorisation à outrance, sans vision. Faisons un petit zoom sur SAFE. SAFE, c'est structuré. Il y a une gouvernance multiniveaux, il y a un alignement stratégique, on fait du Lean, de l'Agile et du DevOps. Le Lean, ça te permet d'avoir une gestion sans gaspillage. Ça peut être aussi au niveau IT. Le DevOps, c'est une collaboration entre les développeurs, les opérations, la qualité et la sécurité. Un bon compromis. Si je rajoute sécurité, j'irais même jusqu'à dire SecDevOps ou DevSecOps, selon les religions. Petit clin d'œil linguistique. « Safe » en anglais, ça veut dire aussi « sans danger » , n'est-ce pas ? C'est pas mal vu, non ? Faisons maintenant un zoom sur LeSS. LeSS, c'est plus bucolique. On dessine des fleurs dans un champ, il y a un zoom ou un Teams, on invite 50 développeurs, tout le monde dessine pour bien réaliser la méthode, il y a moins d'hierarchie, il y a plus d'autonomie, c'est très très très rapide. Mais, Moins de gouvernance. Et moins de gouvernance égale plus de risques. Et en cyber, en cyber-sécu, ça peut faire très mal. Je dis souvent d'ailleurs, less is less. Quand la sécurité disparaît au nom de la simplicité, ben désolé, il n'y a pas de sécu. Repense à mon quartier. Tu vois qu'il n'y a aucune norme, qu'il n'y a aucun standard, tout le monde travaille de manière désorganisée, mais très vite, super, on a livré des maisons. Au premier coup de vent, elle s'écroule. Et toi, est-ce que tu as déjà vu une appli qui n'a pas besoin de protéger la confidentialité, l'intégrité, la disponibilité, l'auditabilité, les fichiers journaux, l'authenticité des données ? Moi, non. Donc, si on veut faire un petit comparatif sympa entre SAFe, SAFe et LeSS, SAFe au niveau sécurité, Il y a un architecte de sécurité qui est dédié, ça a un bon point. Il y a une sécurité intégrée. LeSS, c'est flou. Les responsabilités sont diluées, mais il n'y a rien d'officiel au niveau de sécu. Il y a très peu de gouvernance. Si je regarde d'un point de vue conformité, CF est auditable. L'ES est fragmenté. Si je regarde d'un point de vue sécurité du développement, SAFe, on a des security champions. qui sont plutôt recommandés, c'est une option, mais au moins, ça a le mérite d'exister. Tandis que LeSS, les responsabilités sont ouvertes. Comment vas-tu faire ? Tu vas imaginer que ton PO, ton Product Owner, est sensibilisé à la sécurité de l'info, et que c'est lui qui va faire de la sécurité ? Ou c'est l'architecte ou le security champion ? Je pose la question qui dérange. Donc, conclusion. LeSS, c'est sexy, c'est fluide, ça vend du rêve. Mais... Si tu veux sécuriser à grande échelle, SAFe est bien mieux équipé. Voilà, c'était Compliance Without Comma, le podcast où la conformité ne te met pas dans le coma. Merci pour ton écoute. Retrouve-nous sur Spotify, Apple Podcasts, Amazon et Deezer. A très vite pour un prochain épisode et en attendant, reste agile, mais surtout, reste éveillé.
