San Gen Shugi
(Source iofc.org)
Le management c'est avant tout une question de méthode(s). Grâce aux nombreux audits de cybersécurité que j'ai effectués pour des entreprises, notamment au Japon, j'ai pu approcher une méthode qualité qui s'applique en fait à tout type de management. Cette méthode s'appelle en Japonais "San Gen Shugi", en Français "le principe (ou la philosophie) des trois réalités".
Lorsque un manager (ou n'importe quel type de gouvernance) est confronté à un problème et qu'il cherche à le résoudre, il dispose de plusieurs méthodes. Tout démarre d'une information correspondant à un événement perturbateur ou un défaut constaté. Le but ici n'est pas de couvrir la méthode pour s'apercevoir d'un défaut et son escalade, ce qui est un sujet à part entière, mais d'aborder la méthode de résolution d'un problème une fois celui-ci identifié.
Qu'est-ce qu'un problème ? C'est lorsque plusieurs événements perturbateurs semblables (incidents) se produisent dans un certain laps de temps ou qu'une système, supposé stable avant, commence à dysfonctionner. La première chose à faire en tant que manager c'est de se saisir du problème. L’occulter (ou ne pas l'escalader si on fait partie du middle management) ou procrastiner ne fera qu'empirer les choses.
Nous sommes donc finalement face à un gros problème. Toutes les tribus indiennes sont sur le pied de guerre: Il y a les fameux "Faukon", les (grands) "Yaka", les (petits) "Yapuka", les (sages) "Yorefallukeu", les (fuyants) "Cepamoiceeu"… On se réunit à 25 dans une salle de réunion et on s'invective dans la confusion la plus totale. Le "grand chef" (indien) intervient finalement. "Je vous donne une semaine pour régler le problème, je veux un plan d'action pour demain matin sur mon bureau"... Vous connaissez tous la suite: On monte un groupe de travail pour écrire le plan d'action, etc…
Il existe une méthode qualité qui fonctionne très bien dans le domaine automobile (inventée par Toyota), permettant une autre approche plus efficace de la résolution des problèmes: Le San Gen Shugi. Cette méthode s'appuie sur trois "réalités": Le Genba – l'endroit où s'est produit le problème, le Genbutsu – le système affecté par le problème et les Genjitsu c'est à dire les éléments factuels du problème.
Qu'est-ce que ça veut dire ? Prenons un exemple: Après le confinement lié à la crise du COVID-19, un certain nombre d'ordinateurs sont revenus au sein des entreprises, éventuellement contaminés (les ordinateurs dans le cas qui nous intéresse). On constate que tous les jours, des entreprises, y compris de grande taille, disposant de services informatiques importants, sont bloquées par des ransomwares. Qu'en est-il chez nous ?
Genba: Emplacement du problème. Le manager demande quels types de systèmes sont concernés et il le demande aux personnes responsables de la gestion de ces systèmes. Le manager se rend sur place. La première erreur à éviter ici est de demander un rapport sans s'y rendre soi-même. Bien entendu, une web-conf revient au même dans les cas où il n'y a pas d'éléments physiques à évaluer, à condition de faire participer les "contributeurs" directs du système et non pas leur hiérarchie. Dans ce cas, il s'agit concrètement des personnes qui gèrent le parc informatique et la cybersécurité opérationnelle.
Genbutsu: Le périmètre du problème. En échangeant avec eux, le manager se rend compte que la messagerie peut-être également impactée parce que les personnes qui ont été en télétravail ont utilisé leurs ordinateurs personnels dans certains cas pour récupérer et répondre à leurs emails. Du coup, il faut aussi savoir protéger le BYOD (Bring Your Own Device), les matériels qui sont utilisés à la maison pour l'entreprise. Qui dit messagerie, dit utilisation aussi des smartphones perso pour relever les emails. Et la box internet perso qui permet la connexion à distance ? Quels sont les protections de tout cela ? On ajoute alors dans le périmètre les contributeurs messagerie, des smartphones et des réseaux. Personne ne s'est penché sur les box internet à ce jour, ni chez les télétravailleurs, ni sur les sites connectés au siège… En fait, on en apprend plus avec une réunion de "contributeurs" sur place, qu'en plusieurs mois de rapports édulcorés…
Genjitsu: Les faits, rien que les faits. Cette phase est fondamentale dans la résolution du problème. Combien d'ordinateurs sont concernés ? Combien de télétravailleurs sont concernés ? Combien et quelles boites email ? Quelles box sont concernées, où sont-elles, chez qui ? Peut-on lister tous les BYOD ? Quel est le taux de protection efficace antiviral et le taux de patches (correctifs de sécurité) sur ces matériels ?
Arrive alors la phase de résolution du problème: Nous avons déjà, comme au théâtre une unité de lieu, de temps et d'action ! Il s'agit maintenant de décider de manière éclairée. Il faut éviter surtout qu'un ransomware paralyse nos systèmes. Il y plusieurs scénarios qui sont issus de notre approche San Gen Shugi: L'ordinateur de l'entreprise contaminé qui se rebranche sur le réseau une fois le télétravailleur revenu, même temporairement au bureau (il suffit d'une fois). L'email du télétravailleur qui contient une charge virale et qui se répand dans l'entreprise par transfert de la pièce jointe contaminée. Le piratage d'un ou plusieurs comptes internet (réseaux sociaux, messagerie perso, sites marchands) qui permettent la récupération du login-mot de passe (crédentiel) d'accès au système de l'entreprise. L'installation d'un "mouchard" sur les smartphones perso permettant de récupérer des informations ou d'écouter des conversations sensibles.
La première décision inappropriée est de continuer à interdire le BYOD (ordinateurs, box et smartphones). Celle appropriée consiste à intégrer ces éléments BYOD dans l'inventaire informatique. Du coup, ils bénéficient du support et des protections des éléments "internes" (notamment anti-virus et patches). L'intérêt du Genjitsu ici est d'avoir la liste de ces matériels et donc de pouvoir contacter et traiter les utilisateurs concernés immédiatement.
La deuxième décision est de changer de méthode d'accès distant. Le VPN (Virtual Private Network) habituel consiste à pouvoir se connecter à distance à travers un tunnel chiffré. Cela permet d'accéder à toutes les ressources de l’entreprise y compris parfois l'accès à internet. Si l'ordinateur source est contaminé, à moins de disposer d'un "sas de décontamination" en entrée du VPN, il va répandre tout son contenu viral dans le réseau interne. A la place on va utiliser un "proxy filtrant" sur Internet directement et les ressources de l'entreprise seront accessibles à travers une virtualisation du bureau informatique (VDI). Cela permettra de confiner l'attaque sur un ordinateur à l'extérieur de l’environnement de l’entreprise. L'isolation de cet environnement sera cruciale pour empêcher la diffusion de l'attaque.
La troisième décision est de doter le système de stockage de fichiers de l'entreprise d'un système de sauvegarde avec "rollback" (retour arrière), en cas de contamination de type ransomware qui chiffre les fichiers. La plupart des solutions cloud disposent aujourd'hui de cette fonction de "file restore". L'utilisateur peut lui-même procéder au nettoyage et à la restauration des fichiers. Ici un exemple avec OneDrive:
La quatrième décision, qui est plus liée à la nécessité que le problème ne se reproduise plus, est de considérer l’ensemble des composants informatiques comme non sécurisés et donc ne leur accorder aucune confiance. C'est le paradigme du "zéro trust". Je reviendrai sur les actions liées à cette décision dans un prochain article. Il faudra également faire signer une charte de télétravail aux utilisateurs qui intégrera toutes les décisions prises sous forme d'accord explicite et de comportement associé. (Par exemple, ne pas désinstaller l'anti-virus fourni, faciliter et vérifier l'installation des patches de sécurité).
Un ticket de problème est alors créé avec tous les éléments qui ont été récoltés ou qui doivent l'être. Tous les contributeurs accèdent et mettent à jour le ticket au fur et à mesure. Un plan d'action est alors superflu, chacun sait ce qu'il a à faire. Le management suit en temps réel l'avancée des actions, sans besoin de rapports ou de réunions de mise au courant. Finies les chaines d'emails et les réunions d'information de 3 heures. Bienvenue dans la qualité !