This article can als be found on the SI Digital Magazine here.
Danilo Biella has a master in computer science and works as an Agile and Quality Consultant. He is also involved in the wider Agile community and a member of SI, always advocating for more quality in Agile. At the talk on April 27 in Forum Genève, he talked about how Agile was changed through the pandemic and through its growing appeal , what makes a perfect team and how Agile can clash with the work that needs to get done.
Agile software development emerged in the early 2000s as a response to the limitations of traditional software development methodologies, such as the waterfall model. The Agile Manifesto, created by a group of software developers in 2001, outlined a set of values and principles for agile software development.
Agile emphasizes collaboration, flexibility, and responsiveness to change. Instead of a rigid, linear process, Agile is iterative and focuses on delivering working software in small, incremental steps. This allows teams to respond to feedback and changing requirements quickly.
There are several popular Agile frameworks, including Scrum, Kanban, and Extreme Programming (XP), each with its own specific practices and approaches. Agile has become a widely adopted approach to software development, with benefits including faster time-to-market, improved quality, and increased customer satisfaction. To fit a bigger setup, scaled agile frameworks as Safe and Nexus have been introduced with the possibility to deliver bigger software projects but also in need of more coordination.
A central point of Danilo’s discussion of Agile was the ‘perfect team’. Ideally, the members of this team have both the practical knowledge and the teamwork to make software development work smoothly. They are able to plan a project and code it until they reach a stumbling block which sends them back to the planning stage, repeating this cycle until completion. This ideal setup is rare to fictitious and brings its own set of problems in a wider context. For example, how do you train new members for the team? How do you deal with team members leaving and taking their know-how with them? How are you selling the project you are creating? While Agile aims to solve these disparities, it can lead to conflict between the core team, management and coaches who are brought in to help with communication between the two.
However, Agile not only struggles with internal conflicts but is also changed through external pressures. Danilo highlighted how working through the pandemic has brought some of the advantages of remote work for Agile to the forefront. While the Agile Manifesto holds face to face communication as the best form of communication, the need to work from home made remote work more sustainable. People gained more awareness of the challenges of remote work and developed habits to counteract them. They now have the equipment and the knowhow to more easily setup remote meetings and collaborate and are more familiar with the tools that an online environment offers. The desire to work from home will not disappear and Agile frameworks will have to acknowledge this reality and work with it instead of against it.
As Agile grew to encompass more people within its framework, Danilo also described a proliferation of terms, factoids and pseudo-science that went along with this growth. Frameworks that are used to create an agile project came with their own terminology, which intermingled and gave rise to a plethora of ideas that are no longer grounded in topical research. Instead, they rely on the Agile name to seem credible. This makes Agile less approachable and more prone to being abused. It also further complicates the relationship between different sides of a project, as different parties insist on the frameworks and terminologies they are familiar with, while refusing to adapt to the needs of their current project.
Danilo highlighted these troubles within Agile and pointed to a return to Agile’s roots as a solution. Instead of insisting on formal rules, he advocated for more cooperation and trust between developers, marketing and management. Trust within a team and with the customer is more important and more beneficial for an end product than strictly following a framework. Also, it is often better to shed rules and terms that are not working, and instead use the overall idea as a guiding light rather than a solid system. While other parties in an IT project are also important, the actual IT practitioners should lead the way with experience, quality control and team spirit grounded in research.
follow us
Pour lancer notre année d'événements axés sur la sécurité, qui culminera avec la SITC 2025, nous avons organisé une soirée de discussion sur la sécurité avec Stefan Dydak, consultant en sécurité. Sous le titre « Cybersécurité : Au-delà du battage médiatique », Stefan Dydak a exploré les pièges les plus courants en matière de sécurité, les mesures banales que nous pouvons prendre pour nous protéger et les raisons pour lesquelles ces mesures sont souvent bien plus importantes que nous ne le pensons.
Si le potentiel de la blockchain et de l'IA générative - à la fois comme outils de protection et comme risques pour la sécurité - fait l'objet d'une grande attention, leur mise en œuvre est souvent à la traîne. Malgré les progrès réalisés en matière d'infrastructures et de capacités, bon nombre des mêmes vieux problèmes persistent. Au fond, la cybersécurité est moins une question de technologie que de personnes et de processus.
Dans son exposé, Stefan Dydak a mis en évidence cinq aspects clés nécessaires à la sécurisation d'un système : La gestion des actifs, la confiance zéro, les processus de sécurité, la sécurité de la chaîne d'approvisionnement et la gestion de crise.
La gestion des actifs est rarement bien faite, et il est difficile de bien l'exécuter. Au fur et à mesure que les systèmes se développent et évoluent, ils dépendent d'un nombre croissant d'actifs qui doivent être correctement contrôlés, suivis et mis hors service si nécessaire. Malheureusement, ces processus sont souvent relégués au second plan, laissant des données sensibles exposées et créant des opportunités d'accès non autorisé. Il ne suffit pas de gérer les actifs standard ; les organisations doivent également tenir compte des dispositifs périphériques apparents, tels que les capteurs de température dans les centres de données ou les unités de climatisation automatisées. Ces dispositifs ne sont souvent pas conçus dans un souci de sécurité, alors qu'ils doivent accéder à des systèmes critiques, ce qui en fait des vulnérabilités potentielles.
Même une gestion complète des actifs ne peut pas protéger un système sans adhérer aux principes de la confiance zéro. L'ingénierie sociale constitue toujours une menace importante, et si quelqu'un accède à un point d'entrée, il peut exploiter des ports non sécurisés pour accéder à des données sensibles. Les organisations doivent s'assurer que l'accès est à la fois soigneusement accordé et rapidement révoqué et que tous les utilisateurs peuvent être identifiés avec certitude, idéalement au moyen d'une authentification à deux facteurs.
Si les technologies de sécurité peuvent fournir des informations précieuses sur les vulnérabilités potentielles, ces outils sont inefficaces si des processus et des contrôles appropriés ne sont pas mis en place. La communication et la coordination entre les responsables de la sécurité sont essentielles. Les processus doivent être conçus pour permettre la sécurité et résister aux contournements.
Des défis similaires existent dans la sécurité de la chaîne d'approvisionnement, en particulier avec les fournisseurs externes. Lorsque des fournisseurs tiers sont introduits, ils peuvent, par inadvertance, introduire des vulnérabilités. Pour garantir un système réellement sûr, les équipes de sécurité internes doivent être impliquées à chaque étape de la chaîne d'approvisionnement.
S'il est essentiel de prévenir les failles de sécurité, il est tout aussi important de disposer d'un plan de réaction solide. Une gestion de crise efficace nécessite un plan de réponse aux incidents bien conçu, testé et mis à jour de manière active. Ce plan doit prévoir une coordination avec les ressources externes, telles que la police et ses unités de lutte contre la cybercriminalité, et donner la priorité à une communication claire et proactive avec les employés. L'information et l'engagement des employés permettent d'éviter la paralysie et de maintenir la continuité opérationnelle en cas d'incident.
À la fin de son exposé, Stefan Dydak a résumé trois principes essentiels en matière de cybersécurité : une cyberhygiène de base, un soutien descendant et une approche fondée sur les risques. En gardant ces principes à l'esprit, vos systèmes peuvent atteindre un niveau de sécurité nettement plus élevé.
