"On n'a pas le choix de se conformer"
Le contexte
Un client nous a contacté avec une demande bien particulière. L'entreprise produisait un logiciel qui était gagnait de plus en plus de traction dans le marché. Cette petite entreprise venait de remporter un contrat de service pour la fournir un service dans grandes organisations: une canadienne et une américaine. Ces organisation avait toutefois un requis et c'est la conformité à la norme ISO 27001 qui requiert entre autre aux entreprises de suivre et documenter tous les changements de production.
Cette entreprise nous a contacter avec le mandat suivant:
"Nous utilisons Jira pour suivre les tâches de développement. Chaque mise en production est également documenter dans JIRA. Nous avons plusieurs mois d'historique de modification dans JIRA et nous devons faire la correlation de ces "requêtes" avec les év`ènements de notre environnement Azure. Autrement, dit lorsque UtilisateurX planifie une maintenance et qu'elle est autorisée, nous voulons savoir chaque actions correspondantes dans l'environnement Azure (modification à la base de donnée, ajout/retrait de ressource, modification de fichiers, etc). Nous avons actuellement un stagiaire qui fait cette corrélation manuellement, mais cette tâche est presqu'à temps plein, c'est insoutenable d'avoir quelqu'un payé 30h/ semaine juste pour faire ça."
Comment avons nous résolu le problème?
Dans un premier temps, nous avons bien entendu fait un script pour rapidement automatiser la corrélation des journaux JIRA avec les journaux Azure.
Voir en dehors de la boîte
Nous avons approché le client avec une suggestion. Et voici ce que nous avons implanter.
Dans un premier temps, nous avons fait une petite refonte de la sécurité et nous avons défini des rôles d'administrations. Ainsi, les développeurs avaient maintenant 2 comptes: un compte "normal" pour les opérations courantes, l'accès à leur courriel etc et un compte pour les tâches de mise en production/d'administration.
Ensuite nous avons créé des groupes de rôles bien défini qui donnaient seulement à des ressources spécifiques.
Nous avons alors fait un logiciel, hébergé comme un service dans leur environeement Azure. Ce logiciel est déclencher par Jira. Lorsqu'une période de maintenance est définie dans JIRA, supposons de 20h00 à 22h00 le vendredi soir, alors 5 minutes avant la période de maintenance:
- un courriel est envoyé au développeur l'informant que son compte "administrateur" a été activé avec les rôles demandés pour une période de 2h (selon l'exemple) ainsi qu'un bouton dans le courriel "maintenance terminée".
- Le programme activait par la suite le compte administrateur de l'utilisateur et lui attribuait le(s) rôle(s) nécessaire(s) à la maintenance
- Le développeur pouvait ainsi se connecter et effectuer la maintenance. Toutes les actions ainsi effectuées avec son compte administrateur étaient alors journalisées et associées au JIRA en question, respectant ainsi la conformité.
- Une fois la maintenance terminé, le développeur n'avait qu'à cliquer sur le bouton "maintenance terminée" du courriel précédent pour terminer prématurément la maintenance et désactiver son compte ou, le compte se désactivait automatiquement à la fin de la période. Il y avait un courriel de rappel avant la fin de la maintenance (si elle n'a pas été terminée) invitant le développeur à obtenir plus de temps pour compléter sa maintenance.
Les bénéfices?
- Économie d'une ressource complète, car ce poste, effectué dès lors par un stagiaire, aurait couté 40000$ ou 50000$ par année sans ajouter de valeur réelle
- Diminution des risques de sécurité pour l'entreprise par la sécurisation des comptes
- Élimination des oublies puisqu'il n'est plus possible de faire de modification sans obtenir l'autorisation préalable.
- Gestion beaucoup plus efficaces des journaux d'évènements et de la traçabilité des actions
- Conformité avec la norme en question effectuée automatiquement.
