Passer au contenu principal

Le cycle de vie d'un projet

Mis à jour il y a plus de 8 mois

Dans Tenacy les projets suivent un cycle séquentiel basé sur les bonnes pratiques du domaine :

image.png

À chaque étape correspond une activité sécurité. L'étape courante apparait en négatif.

Il est possible de passer à l'étape suivante (mais pas une étape ultérieure) en cliquant dessus. La date de fin réelle de l'étape en cours est alors demandée.

Il est aussi possible de revenir à une étape précédente en cliquant dessus.

Initialisation

image

Dans cette étape, une analyse du projet permet de déterminer :

  • Une éventuelle revue de la criticité du périmètre associé (incluant application ou fournisseur)

  • Les exigences applicables dans le cadre du projet, sous forme de questionnaires et politiques que l'on associera au périmètre (l'affectation à un groupement de périmètres facilite cette gestion)

  • Les tests de validation sécurité qui seront à effectuer avant mise en production.

Onglet Tests

L'onglet "Tests" permet d'identifier les tests sécurité qui seront à réaliser.

Pour ajouter un test, cliquez sur image.png

image.png

Les scores des tests seront normalement renseignés dans l'étape de Validation.

Besoins

image.png

Cette étape consiste à identifier les actions nécessaires en termes de sécurité de l'information. Cette identification se fait en évaluant la conformité par rapport aux exigences sécurité et en listant les actions nécessaires à la correction des écarts constatés.

Onglet Évaluations

Vous pouvez créer des campagnes d'évaluation pour les politiques concernées, utilisez le bouton image.png

Deux grands choix sont possibles dans la configuration des évaluations.

  1. Configuration des actions

Vous pouvez permettre ou imposer la saisie d'actions pour les réponses non conformes, ce qui permet d'alimenter un plan d'action pour le projet que l'on pourra suivre ensuite.

image.png

image.png

     2. Évaluation évolutive ou ré-évaluation

💡Vous pouvez choisir de laisser l'évaluation ouverte pendant la durée du projet. Si des actions de correction sont identifiées dans le cadre de l'évaluation, une révision de cette évaluation sera proposée lorsque ces actions sont complétées.

La conformité évolue donc dans le temps mais il n'y a pas conservation du niveau de conformité initial. C'est l'option recommandée.

Vous pouvez aussi choisir de fermer la première campagne pour figer le résultat.

Si vous souhaitez voir le changement suite à la prise en compte des correctifs, vous devrez lancer une nouvelle campagne d'évaluation, et la complétion des actions n'aura pas d'effet direct sur l'évaluation pendant la durée du projet.

Reprise des résultats

Si des évaluations ont déjà été faites sur certaines politiques (dans le cadre du même projet ou de précédents projets) les résultats seront transférables.

Lancement des évaluations

Pour démarrer une évaluation, cliquez sur l'icône contextuelle sous l'onglet Evaluations :

image.png

Cliquez ensuite sur la ligne pour réaliser l'évaluation. Le principe est le même que pour les évaluations dans le cadre de campagnes.

Il est possible à tout moment de consulter les résultats détaillés de l'évaluation en cliquant sur l'icône contextuelle :

image.png


Onglet Actions

💡Il est important dans la phase d'évaluation de capturer les actions nécessaires de mise en conformité car ce sont ces dernières qui seront suivies dans les phases suivantes.

Les actions identifiées sont listées sous l'onglet Actions.

image.png

Cliquez sur une action pour la modifier.

Conception

image.png

Au début de la phase conception, les évaluations devraient être terminées et l'ensemble des actions requises pour traiter les écarts, identifiées.

Cette phase consiste à assurer la bonne prise en compte des actions requises et donc leur planification pour réalisation dans la phase de Construction.

On attend donc en fin d'étape que toutes les actions soient planifiées.

Construction

image.png

Au début de la phase de construction toutes les actions devraient être planifiées.

Cette phase consiste à suivre la réalisation des actions identifiées pour corriger les écarts.

On attend en fin d'étape que toutes les actions soient terminées.

Validation

image.png

Dans cette étape la construction est normalement terminée et l'application est disponible dans un environnement pour la réalisation des éventuels tests. Sur la base de l'évaluation, de la correction des écarts et des scores de test l'intervenant sécurité rend un avis pour la mise en production de l'application.

Consignation des résultats de test

L'onglet Tests contient la liste des tests à réaliser. Pour chaque test, il est possible de renseigner un score (à transposer entre 0 et 100, 100 étant le résultat idéal).

image.png

Des fichiers de résultats détaillés peuvent être ajoutés pour référence dans l'onglet "Fichiers".

Actions complémentaires

À ce stade les actions de construction sont normalement terminées mais il peut être nécessaire de créer des actions correctives, notamment suite aux tests, par exemple des vulnérabilités ou failles à corriger.

Les actions peuvent être ajoutées depuis l'onglet Actions avec le bouton

image.png

Avis sécurité

image.png

L'avis sécurité peut avoir trois valeurs :

  • Défavorable - on recommande de ne pas mettre l'application en production en l'état car les risques ne sont pas acceptables

  • Avec réserve - l'application peut être mise en production mais des risques subsistent et devraient faire l'objet de corrections dans des délais raisonnables

  • Favorable - l'application peut être mise en production en l'état.

À la saisie d'un avis Avec réserve ou Défavorable il vous sera proposé de spécifier un message explicatif qui sera automatiquement ajouté au fil d'activité.

💡Si un responsable projet non externe (compte utilisateur) a été défini pour le projet, il recevra immédiatement un email de notification de l'avis sécurité avec l'éventuel message associé.

Production

image.png

Dans cette étape on attend la mise en production du projet. L'activité sécurité peut consister en la levée des réserves liées à la fermeture des dernières actions.

Les actions restantes peuvent être suivies dans l'onglet Actions. De nouvelles actions peuvent être créées.

L'intervenant sécurité peut mettre à jour l'avis sécurité (par exemple passer de "Avec réserve" à "Favorable").

Enfin, des tests complémentaires pourraient être réalisés.

Suivi

image.png

L'étape de suivi est optionnelle. Si toutes les actions sont terminées, le projet est directement fermé après la phase de Production.

S'il reste des actions ouvertes alors le projet passe en Suivi. Il est en production mais il reste des actions à traiter.

En suivi il est encore possible de modifier l'avis sécurité, de créer ou mettre à jour des actions. Un bouton permet à tout moment de fermer le projet même s'il reste des actions en cours : image

Les actions resteront dans l'état au moment de la fermeture. Les campagnes d'évaluation seront fermées.

🔎Il est possible de consulter un projet fermé mais plus de modifier les informations associées (évaluations, score des tests, avis sécurité, ...).

Onglet Fil d'activité

Un fil d'activité, accessible à l'aide du bouton image.png, permet d'échanger des commentaires et inclut aussi tous les changements de statut, de décision sécurité et de renseignement des scores des tests.

image.png

Articles connexes
Paramétrer une campagne d'évaluation
Évaluer sa conformité à une politique grâce à une campagne d'évaluation
Créer un projet
Comprendre la différence entre l’efficacité et la performance d’une mesure de sécurité
Tenacy : comprendre les bases et les modules
Avez-vous trouvé la réponse à votre question ?