SolarWinds et la cybersécurité : Utiliser Scrum pour améliorer la sécurité nationale
Le piratage de SolarWinds est un scénario cauchemardesque réalisé. Les serveurs des principaux ministères et des grandes entreprises ont été compromis. Jusqu'à 250 organisations sont restées vulnérables pendant des mois - leurs alertes et leurs mesures de protection ont été rendues inutiles.. L'impact global et la portée du piratage restent inconnus.
Le monde moderne fonctionne effectivement à l'aide de logiciels. La cybersécurité doit évoluer en permanence, s'adapter et être déployée rapidement pour atténuer les risques. Si nous ne parvenons pas à suivre le rythme d'innovation des "mauvais acteurs", les logiciels dont nous dépendons deviendront des flancs numériques non surveillés, mûrs pour l'exploitation et l'attaque.
Bien que ce blog se concentre sur la cybersécurité dans le domaine de la sécurité nationale et du ministère américain de la défense, les menaces sont universelles.
Je suis prêt à parier que les leçons tirées ici s'appliquent autant à votre secteur et à votre organisation qu'à votre public principal.
La cybersécurité, c'est la sécurité nationale
Un rapport du Conseil d'innovation pour la défense rend les enjeux tout à fait clairs ;
La sécurité nationale des États-Unis repose de plus en plus sur les logiciels pour exécuter les missions, intégrer et collaborer avec les alliés et gérer l'entreprise de défense. La capacité de développer, d'acquérir, de garantir, de déployer et d'améliorer continuellement les logiciels est donc essentielle à la défense nationale.
En effet, la plupart des cinq plus grandes entreprises de défense américaines mettent en œuvre Scrum et Scrum@Scale dans le cadre de projets afin de mieux gérer l'évolution des besoins et de fournir de la valeur ajoutée plus rapidement que jamais. D'autres organisations du ministère de la défense adoptent également le Scrum et les techniques agiles. Toutefois, certains se demandent comment ces organisations peuvent s'assurer qu'elles ne sacrifient pas la cybersécurité lorsqu'elles adoptent l'agilité. Comment ces organisations peuvent-elles développer rapidement des solutions à forte valeur ajoutée qui soient également des produits sécurisés en utilisant Scrum ?
Prenons un moment pour répondre à ces préoccupations.
Démystifier l'erreur de la vitesse ou de la sécurité
Les équipes de développement traditionnelles peuvent aborder la cybersécurité tardivement dans le cycle de développement. Chaque département travaille de manière indépendante, ce qui peut entraîner un manque d'intégration et ne pas permettre d'identifier les problèmes de sécurité potentiels dès les premiers stades du développement.
La cybersécurité n'est souvent abordée qu'une fois le produit entièrement développé.
Dans un environnement agile, les équipes de développement ont la possibilité d'intégrer la sécurité de manière plus fluide et donc de détecter les problèmes plus tôt dans le processus, lorsqu'ils sont moins coûteux et moins longs à résoudre. D'aucuns diraient que le développement rapide d'un environnement agile entrave la sécurité, mais l'état d'esprit agile et les meilleures pratiques Scrum encouragent l'intégration de la cybersécurité de manière itérative et incrémentale.
Scrum Les équipes peuvent également rencontrer des difficultés pour mettre en œuvre la cybersécurité de manière agile, car elles doivent se conformer à des processus obsolètes et à la bureaucratie, tels que les listes de contrôle manuelles utilisées pour chaque version ou la normalisation obligatoire.
Scrum encourage l'utilisation d'une définition de l'acte accompli pour garantir le respect des normes de qualité et de sécurité.
Un autre problème courant auquel j'ai vu les équipes Scrum confrontées est l'accès et la collaboration avec les parties prenantes et les experts en la matière, y compris les spécialistes de la cybersécurité. En intégrant des spécialistes de la cybersécurité à l'équipe Scrum, les menaces potentielles pour la sécurité peuvent être identifiées et traitées tout au long du processus de développement. Scrum encourage l'engagement et la collaboration en faisant travailler des équipes interfonctionnelles en étroite collaboration.
En bref, le Scrum permet aux entreprises non seulement de développer plus rapidement de meilleurs produits, mais aussi de s'assurer que la cybersécurité est prise en compte de la manière la plus efficace et la moins coûteuse possible.
Il ne s'agit pas seulement de mon expérience ou de ma conviction, les études de cas du gouvernement américain le démontrent.
Études de cas sur la cybersécurité
Au début de l'année, le Government Accountability Office, organisme non partisan, a publié son rapport sur l'état de l'Union européenne. Guide d'évaluation Agile. Ce rapport comprend plusieurs études de cas indépendantes qui examinent l'agilité et la cybersécurité. J'aimerais en souligner deux.
Étude de cas GAO 1 : COMMANDE ET CONTRÔLE DE L'ESPACE Une planification et une surveillance globales pourraient aider la DOD à acquérir des capacités essentielles et à relever les défis.
Dans le cadre de la Étude de cas sur le commandement et le contrôle de l'espaceLe GAO a analysé les mesures de cybersécurité au début du développement. Les pratiques de pointe de l'industrie du développement de logiciels encouragent les programmes à élaborer des mesures de cybersécurité solides dès le début du développement du programme. En outre, le programme Space C2 a déclaré qu'il mettait en œuvre des pratiques DevSecOps pour répondre aux préoccupations en matière de cybersécurité dans la conception du programme.
La cybersécurité est au cœur de l'actualité mondiale et revêt une importance particulière pour des organisations telles que Space Command & Control. L'abandon des méthodes traditionnelles de développement en cascade pour les solutions de cybersécurité au profit de l'agilité dans les pratiques cybernétiques peut renforcer les défenses d'une organisation contre les cyberattaques.
Étude de cas du GAO 2 : DOD SPACE ACQUISITIONS L'implication précoce et fréquente des utilisateurs dans le développement de logiciels pourrait être bénéfique pour les programmes
Les Système de contrôle opérationnel de nouvelle génération de l'armée de l'air (OCX) est conçu pour remplacer le système actuel de contrôle au sol des anciens et nouveaux satellites GPS. Le logiciel OCX est développé en plusieurs blocs : Le bloc 0 fournit le système de lancement et de vérification et prend en charge les essais initiaux des satellites GPS III et les avancées en matière de cybersécurité. Les blocs 1 et 2 sont prévus pour assurer la commande et le contrôle des générations précédentes de satellites et des satellites GPS III, ainsi que la surveillance et le contrôle des signaux actuels et modernisés.
L'objectif de l'AI (également appelée cybersécurité) est de veiller à ce que les systèmes du ministère de la défense puissent résister aux cyberattaques et continuer à fonctionner en gérant les risques et en mettant en œuvre des mesures de protection. Les responsables du contractant de ce projet ont décrit les menaces de cybersécurité comme étant en constante évolution, et ont indiqué que l'armée de l'air et eux-mêmes ont dû adapter leur interprétation, au fil du temps, de la manière de répondre aux exigences de l'AI en matière de développement d'OCX afin de faire face à l'évolution des menaces.
Compte tenu de l'importance du GPS pour les communautés militaires et civiles et de l'augmentation des menaces en matière de cybersécurité, l'armée de l'air n'a renoncé à aucune exigence en matière d'IA pour OCX. Par conséquent, l'entrepreneur a constaté qu'il avait largement sous-estimé le coût et le temps nécessaires pour répondre à ces exigences. Selon les responsables du programme, la plupart des problèmes liés aux exigences ont été résolus au début de l'année 2015.
L'un des enseignements que l'on peut en tirer est que les dirigeants devraient aligner leur organisation sur les objectifs et les normes de cybersécurité dès le début, et veiller à ce que les équipes Agile intègrent ces normes de cybersécurité dans leur définition de l'action à mener. Les équipes peuvent déterminer quand et comment mener des pratiques de cybersécurité telles que les revues de code, les évaluations de vulnérabilité et les tests de pénétration plus tôt dans le processus. Les sous-traitants du ministère de la défense devraient encourager le personnel chargé de la cybersécurité à collaborer avec les équipes de développement afin de garantir la sécurité du travail.
Conclusion et CMMC
Les organisations du DoD qui souhaitent intégrer des pratiques de cybersécurité dans leurs équipes Scrum peuvent commencer modestement et adopter les principes de la sécurité agile de manière progressive et itérative, comme elles le feraient pour n'importe quel autre effort de développement agile. Bien que le développement soit principalement axé sur les besoins fonctionnels, les équipes Scrum devraient également prendre en compte les exigences non fonctionnelles, telles que la sécurité et la protection de la vie privée, dès le début et tout au long de l'effort de développement.
Les équipes qui négligent les exigences non fonctionnelles peuvent développer un système qui n'est pas conforme aux normes fédérales en vigueur, telles que la norme Certification du modèle de maturité de la cybersécurité (CMMC)qui vise à mesurer les capacités, l'état de préparation et la sophistication des entreprises de défense dans le domaine de la cybersécurité.
Que vous travailliez pour une organisation du ministère de la défense ou pour un entrepreneur, l'expérience et les données montrent que les équipes agiles sont plus réactives. L'utilisation par Scrum de cycles de retour d'information rapides, d'inspection et d'adaptation, et d'équipes interfonctionnelles réduit les risques en permettant à la cybersécurité d'être pleinement intégrée dans un produit et non pas un ajout une fois que la production est presque achevée.
Comme l'agilité elle-même, la cybersécurité est un voyage, pas un état final. Vos équipes doivent être au moins aussi réactives, innovantes et capables de fournir de la valeur aussi rapidement que vos adversaires si vous voulez réussir.
Ce blog a été mis à jour avec des informations sur le piratage de SolarWinds.