La sécurité d'une chaîne logicielle vit trop souvent dans quelques têtes : un expert sait comment relancer un build compromis, pourquoi telle protection existe, où trouver la bonne configuration. Le jour où cette personne est absente, en congé ou partie, ce savoir disparaît et l'équipe se retrouve paralysée face à un incident. Cette famille traite la documentation non comme une corvée administrative, mais comme le support qui rend la sécurité transmissible, reproductible et auditable.
Concrètement, ces exigences parent : la paralysie d'une équipe face à un incident dont la procédure n'existe nulle part, la perte de connaissance au départ d'une personne clé (le bus factor), une protection retirée par ignorance de ce qu'elle couvrait faute de décision tracée, et la fausse manœuvre commise avec confiance sur une documentation périmée.
Une sécurité qui ne vit que dans quelques têtes disparaît à leur départ ; non documentée, elle n'est ni transmissible ni auditable.
Les pièges à éviter
Section intitulée « Les pièges à éviter »Les erreurs les plus fréquentes sur ce périmètre :
Exigences
Section intitulée « Exigences »runbooks et procédures opérationnelles de sécurité à jour pour les composants critiques (build, déploiement, réponse à incident).#
Quand la procédure de réponse à incident ou de déploiement ne vit que dans la tête d'un expert, elle est inutilisable le jour J s'il est absent. Des runbooks à jour pour les composants critiques rendent l'action reproductible par n'importe qui de l'équipe, sous stress, plutôt que de dépendre d'une mémoire individuelle.
- Preuve attendue
- Runbooks et procédures opérationnelles de sécurité à jour pour les composants critiques (build, déploiement, réponse à incident).
Correspondances & menaces parées 3 standards
décisions d'architecture de sécurité tracées (ADR) et accessibles à l'équipe.#
Une décision de sécurité non tracée se perd : on refait les mêmes débats, ou on défait un choix sans en connaître la raison. Des ADR (décisions d'architecture) accessibles gardent le pourquoi des choix de sécurité, évitant qu'une protection soit retirée par ignorance de ce qu'elle couvrait.
- Preuve attendue
- Décisions d'architecture de sécurité tracées (ADR) et accessibles à l'équipe.
Correspondances & menaces parées 3 standards
base de connaissance de sécurité partagée et maintenue (pratiques, configurations de référence, retours d'incidents).#
Sans base de connaissance partagée, chaque équipe réapprend les mêmes leçons et répète les mêmes erreurs. Une base maintenue (pratiques, configurations de référence, retours d'incidents) diffuse ce qui a été appris une fois à toute l'organisation, transformant un incident isolé en savoir collectif réutilisable.
- Preuve attendue
- Base de connaissance de sécurité partagée et maintenue (pratiques, configurations de référence, retours d'incidents).
Correspondances & menaces parées 3 standards
documentation revue périodiquement et datée ; pas de document obsolète faisant autorité.#
Une documentation périmée est pire qu'absente : on agit avec confiance sur une procédure fausse. La revue périodique et datée, avec un propriétaire, garantit qu'un document fait toujours autorité parce qu'il est à jour, et signale ceux qui ont dérivé avant qu'ils n'induisent une mauvaise manœuvre.
- Preuve attendue
- Documentation revue périodiquement et datée ; pas de document obsolète faisant autorité.