Skip to content
Elevation of Privilege

Elevation of Privilege est un jeu de cartes qui permet de modéliser les menaces sur un système.

Elevation of Privilege

Méthode agile : Présentation générale

Modèle de menace

Un modèle de menace est un outil qui permet de déterminer à l’avance les fragilités d’un système et les moyens d’y remédier.

Dans la méthode agile, il est continuellement mis à jour. Il doit suivre le produit existant et s’adapter rapidement aux nouvelles évolutions.

Comment y parvenir ?

Schémas et diagrammes

Dans un premier temps, il est nécessaire de documenter votre projet. Il doit avoir des représentations visuelles de ses composants et des flux d’informations.

Une des manières de représenter ces données est le langage UML. Le problème est que ce langage est complexe à écrire et à mettre à jour pour un être humain.

Il est donc préférable d’automatiser au maximum la documentation et ses diagrammes (qu’ils soient en UML ou une autre représentation) pour pouvoir les produire facilement à chaque évolution du projet.

Si les diagrammes sont faits manuellement, des dessins de patates suffisent. Il faut juste qu’ils soient compréhensibles par tous les membres de l’équipe.

Une fois ces diagrammes faits, on va pouvoir les étudier pour en déceler les failles. Et ce, de façon ludique, grâce au jeu « Elevation of Privilege ».

Les règles du jeu

Pour cela, prévoyez une phase de la cérémonie de sprint dédiée à ça.

L’équipe est assise autour d’une table. Le diagramme de la partie du projet à analyser est étalé sur la table visible de tous.

Le jeu de carte « Elevation of Privilege » est disponible en dessous.

Distribuez toutes les cartes aux joueurs. La partie commence avec le « 3 of tampering ». Jouez dans le sens des aiguilles d’une montre.

Cela ressemble beaucoup aux règles du Tarot.

Chaque joueur continue dans la même suite s’il a une carte dans la suite. Sinon, il joue une carte d’une autre suite.

Chaque pli (un tour de table) est gagné par celui qui a la plus haute carte dans la suite demandée au départ, sauf si une carte « Elevation of Privilege » est jouée (dans ce cas c’est la plus forte de ces cartes qui l’emporte).

Pour jouer une carte, le joueur doit l’annoncer et essayer de trouver sa menace sur le diagramme. Le système peut être résistant à cette menace. Dans ce cas, il est impossible de trouver la menace sur le diagramme.

Le joueur doit annoncer clairement sa menace. Pour être valide, elle doit amener à la création d’une histoire (NFR d’ouverture de bug, User Story, …) dans le projet.

À la fin du pli (quand tous les joueurs ont posé une carte de leur main), tous ceux qui ont réussi à trouver leur menace sur le diagramme ont un point. Si celui qui a gagné le pli a réussi aussi à trouver sa menace sur le diagramme, il gagne un point supplémentaire.

Le gagnant du pli démarre le pli suivant et choisit la suite de départ. Prenez quelques minutes entre chaque pli pour étudier les menaces.

Les cartes « Elevation of privilege » gagnent sur toutes les autres. Elles ne peuvent être jouées que quand le joueur n’a pas de carte dans la suite demandée (ou si la suite demandée est elle-même « Elevation of privilege »).

Les « As » sont des cartes qui permettent de trouver des menaces non prévues dans la suite demandée. Le joueur doit expliquer la menace elle-même.

Quand toutes les cartes ont été jouées (tous les plis ont été faits), celui qui a le plus de points l’emporte.

Annotez votre diagramme en fonction des menaces trouvées.

Vous pouvez faire passer les mains d’un joueur à l’autre entre chaque pli. Cela permet que les joueurs spécialisés puissent jouer des cartes que des joueurs précédents ne comprenaient pas.

D’autres joueurs que celui qui annonce sa carte peuvent surenchérir sur sa carte en trouvant la menace annoncée à d’autres emplacements que ceux trouvés par celui qui joue. Ils gagnent un point supplémentaire.

Téléchargez « Elevation of Privilege » et son extension « Elevation of Privacy », avec les règles EoP et une planche de dos de cartes.

Sources

Nous suivre
© 2020 Coppint Market Place Ltd, All rights reserved.