Agilité et sécurité : un couple gagnant ?

L’objectif de cette table-ronde est de présenter la méthode agile et les impératifs de sécurité imposés par cette nouvelle approche de la gestion de projet. Comment sécuriser ces nouveaux cycles de développement sans nuire à l’innovation ? Éléments d’explication.

Qu’est-ce que l’agilité en entreprise ?

Une gestion de projet mise en œuvre avec agilité répond à une succession de processus dont la première étape passe par les métiers de l’entreprise (marketing, commerce, etc.) qui formalisent les demandes dans un cahier des charges. Les étapes suivantes lui succèdent :

  1. Le product owner (PO), interlocuteur privilégié des différents métiers, constitue un backlog de produit, qui consiste en une liste des fonctionnalités attendues. Il s’attache ensuite à identifier des « epics » (épopées) et des « stories » (histoires) intégrées dans un cycle de développement de quelques semaines en vue d’obtenir des résultats.
  2. Les équipes de développement évaluent les stories en les priorisant, car toutes les fonctionnalités ne sont pas essentielles. Ces équipes désignent celles qui ont le plus de valeur pour le client.
  3. Une démonstration a lieu afin de visualiser les stories préalablement testées par les métiers. En théorie, les stories peuvent être mises en production après les démonstrations.
  4. Des rétrospectives ont lieu pour identifier les points positifs et les points négatifs du processus. Ce moment important permet de mettre en place des actions afin d’améliorer les éléments de friction.

Il s’agit donc d’une amélioration continue permettant de systématiquement réorienter les bonnes pratiques. Par ailleurs, tout au long du processus ont lieu des mêlées quotidiennes. Au cours de ces réunions, le PO, les équipes de développement et d’autres intervenants discutent de toutes les problématiques soulevées précédemment. Ils évoquent également les tâches à mettre en œuvre au cours de la journée.

Les quatre piliers de l’agilité

L’agilité en entreprise répond à un véritable état d’esprit qu’il importe de mettre en place pour assurer son fonctionnement :

  • L’individu et l’interaction sont plus importants que les processus et les outils. En d’autres termes, il est préférable d’expliquer un problème en face à face, au cours de réunion, qu’à travers des échanges de mails.
  • Un logiciel doit être opérationnel et la documentation est superflue. Effectuer des démonstrations fonction par fonction permet au client d’en visualiser les avantages. Cela est préférable à la rédaction de l’ensemble des fonctions au sein de plusieurs documents.
  • La collaboration est plus importante que la négociation. Une équipe a un but commun, les collaborateurs sont idéalement localisés au même endroit, et l’équipe doit être impliquée.
  • Il importe d’intégrer toute fonctionnalité avec une forte valeur client de manière positive, en la priorisant sur un prochain processus, plutôt que de la prendre en compte en fin de projet sous forme d’évolution. Toute nouvelle demande du client doit être intégrée en priorité pour répondre à des besoins immédiats, à forte valeur ajoutée.

Les avantages d’une méthode agile sont nombreux. En premier lieu, aucune documentation inutile n’est proposée. De plus, le client obtient rapidement des réponses à ses questions, et les collaborateurs bénéficient d’une vision constante des objectifs et des points les plus importants du projet. Les chefs de projet ont quant à eux une bonne visibilité des charges de travail, chaque personne est dédiée à une tâche et les problèmes peuvent être résolus rapidement lors des rétrospectives.
Comment intégrer la sécurité à la méthode agile ?

Pour la Banque de France, l’agilité est le produit de l’innovation et d’un choix stratégique en vue de mettre en place une directive européenne dans les délais les plus brefs. La Société Générale quant à elle a adopté cette méthode dans le cadre d’un mouvement de fond datant de plusieurs années, leur permettant à ce jour d’être à un niveau de maturité important.
Pour la banque de France, à chaque nouveau projet, les métiers exposent l’impact des risques et disposent d’un outillage de sécurité adapté à ces impacts. Le RSSI (Responsable de la sécurité des systèmes d’information) raisonne de son côté en termes de métier à tous les niveaux du projet. Par ailleurs, un risk manager de chaque service valide les méthodologies.
Du côté de la Société Générale, la sécurité répondait par le passé à un arsenal administratif lourd qui a été remplacé par un CSRO (Correspondant sécurité et risques opérationnels) accompagnant les équipes durant les phases clés et remplissant le backlog avec ses demandes de sécurité. Il est également présent durant les rétrospectives pour vérifier si ses demandes ont été prises en compte. La sécurité fait donc partie intégrante des projets à tous les niveaux.
Pour mettre en place de l’agilité en entreprise et y associer efficacement de la sécurité, il peut s’avérer indispensable de disposer d’un sponsor convaincu que la transformation agile est nécessaire. Il peut également être judicieux de choisir un projet pour s’approprier la méthode, définir une équipe et mettre en place l’ensemble du processus, avant de communiquer les succès des différentes mises en production. La sécurité, de son côté, doit être intégrée dès le départ.

En conclusion, la sécurité ne doit pas être vue comme une contrainte pour les métiers, mais comme un moyen d’aller plus vite. Les collaborateurs doivent voir la sécurité au service du métier, et non l’inverse.

Intervenants : Laurent FAUGERE, BANQUE DE FRANCE, Nabil JAAFOURA, SOCIETE GENERALE et Jean-Philippe LOPES, HODYSSE CONSEIL

VOIR LES AUTRES CONFERENCES