Question : Merci d’avoir accepté cet échange sur la cybersécurité et le lean. Est-ce que tu aurais en tête les trois grands sujets sur lesquels le lean IT pourrait aider une entreprise dans ce domaine ?

Christian Ignace : Oui, absolument. Pour commencer, on peut aider l’entreprise à quantifier le risque qu’elle encourt, c’est-à-dire à évaluer la volumétrie des menaces. Par exemple, un retailer européen a lancé un inventaire et a découvert qu’ils avaient environ 1900 vulnérabilités. 1 900 ! Ce nombre leur a permis de mieux comprendre l’ampleur des risques auxquels ils étaient exposés.

Le deuxième point concerne la sensibilisation des échelons de l’entreprise. Chez François, RSSI (Responsable Sécurité des Services Informatiques), une des grandes victoires a été de convaincre le DSI de suivre un indicateur de cybersécurité. Avant cela, la sécurité n’était pas dans son radar. Mais avec un indicateur de suivi, il pouvait voir régulièrement l’état des plans de remédiation, ce qui lui permettait de suivre l’évolution de la cybersécurité à son niveau.

Question : Et cet indicateur, c’était quoi ?

Christian Ignace : Il s’agissait de l’état des plans de remédiation, c’est-à-dire un suivi de l’avancement des mesures correctives mises en place pour pallier les vulnérabilités. Cela permettait d’avoir une vision claire des actions de remédiation en cours ou à venir.

Question : Bien, donc le deuxième point, c’est d’intégrer des indicateurs de suivi pour sensibiliser les différents niveaux de l’entreprise à la cybersécurité. Et le troisième point ?

Christian Ignace : Le troisième point concerne l’accélération de la mise en œuvre des plans de sécurité. Pour cela, il est essentiel de changer la perspective des responsables de la sécurité. En général, ils fonctionnent comme des « contrôleurs internes », ou des responsables sécurité qui émettent des demandes sans forcément comprendre pourquoi certaines mesures ne sont pas appliquées par les autres équipes. Il faut les aider à adopter un rôle d’accompagnement pour comprendre les obstacles que les autres services rencontrent, et pour les aider à y remédier.

Question : Je comprends. Donc, en changeant leur posture, ils passent d’un rôle de donneur d’ordres à celui d’un partenaire qui aide les autres équipes à mettre en place les mesures de sécurité ?

Christian Ignace : Exactement. Sinon, ils envoient des e-mails et attendent que les autres équipes se débrouillent, et si ça ne marche pas, tant pis. En adoptant une posture d’accompagnement, ils peuvent lever les obstacles et s’assurer que les mesures de sécurité sont bien appliquées. Et cela est crucial pour assurer la sécurité dans le temps, même quand des systèmes deviennent obsolètes.

Question : C’est logique. Et qu’en est-il de l’inventaire des postes de travail et des équipements ?

Christian Ignace : C’est également fondamental. Une entreprise doit avoir une CMDB (Configuration Management Database) à jour. Cela permet, en cas de risque avéré, de pouvoir stopper ou redémarrer correctement les machines. Si l’on ne connaît pas exactement ce qui est présent dans le système, il devient impossible de gérer les risques efficacement.

Question: Donc, il faut non seulement que la CMDB soit à jour, mais aussi que tout ce qui est obsolète soit identifié.

Christian Ignace : Oui, c’est bien ça. L’une des entreprises que j’accompagne a été jusqu’à mettre en place un système qui leur indique, par domaine d’activité, combien de serveurs sont obsolètes, quelles versions de firewall sont en place, etc. Cela permet d’avoir une visibilité sur l’obsolescence et d’agir en conséquence.

Question : D’accord, mais la mise à jour de la CMDB et la gestion de l’obsolescence sont deux choses distinctes, n’est-ce pas ?

Christian Ignace : Tout à fait. L’inventaire consiste à savoir où se trouvent les actifs, tandis que la gestion de l’obsolescence concerne la mise à jour des systèmes et le remplacement de ceux qui ne sont plus sécurisés. Lorsqu’un système est obsolète, il est essentiel d’en avoir connaissance pour limiter les risques.

Question : En résumé, on a donc trois axes : la quantification des risques, l’intégration d’indicateurs de suivi pour la sensibilisation, et l’accélération des remédiations en changeant la posture des responsables sécurité.

Christian Ignace : C’est bien cela. On peut ajouter aussi un quatrième point sur la mise en place de technologies modernes, comme le chiffrement des bases de données ou les firewalls avancés, pour que l’entreprise soit capable de se défendre plus efficacement contre les menaces. Cela nécessite une veille technologique continue pour adopter ces outils sans prendre de retard.

Le lean IT va permettre aux équipes Tech de s’approprier de nouvelles technologies bien plus rapidement et de les diffuser dans les SI. L’un de nos clients a ainsi travaillé avec nous sur des « systèmes bastion » pour protéger les données sensibles en production, en restreignant les accès aux personnes autorisées. La technologie était installée mais le processus était si difficile à maitriser que peu d’internes et très peu d’externes y étaient déclarés. Nous avons « débuggé » ensemble le processus, jusqu’à ce qu’il fonctionne au nominal.

Question : Et du côté des utilisateurs ?

Christian Ignace : La technologie ne peut pas tout, il faut que l’utilisateur participe à la politique cyber. Le lean permet par exemple de revoir le processus des tests de phising pour qu’ils soient de plus en plus fréquents. Ces tests permettent d’identifier les utilisateurs qui ne se méfient pas assez et cliquent sur des fichiers comportant des virus. En augmentant par 10 le nombre de campagnes, on sensibilise plus souvent tout le monde.

Question : Donc, pour la mise en œuvre, tu parlais d’une approche structurée avec le Hoshin Kanri pour aligner les actions avec la stratégie globale de cybersécurité, c’est bien ça ?

Christian Ignace : Oui, exactement. Le Hoshin Kanri permet de définir une « étoile du Nord » pour l’alignement stratégique en cybersécurité. L’objectif est d’assurer un niveau de maîtrise adéquat des systèmes d’information pour réduire autant que possible le risque cyber. C’est le point de départ de tout le processus.

Question : Et ensuite, une fois cette stratégie définie ?

Christian Ignace : Une fois l’objectif stratégique clarifié, on décline cela en plans d’action spécifiques, qui sont suivis sur des A3. Chaque plan cible un axe précis de la cybersécurité, comme la gestion des vulnérabilités, l’amélioration des indicateurs de suivi, ou encore la mise en place de nouvelles technologies. C’est ici que le Lean intervient pour structurer et piloter ces plans de manière continue.

Question : Et concrètement, le Lean apporte quoi dans ces plans ?

Christian Ignace : Le Lean fournit un cadre pour piloter et ajuster les plans dans un cycle d’amélioration continue. Par exemple, en utilisant des outils visuels et des indicateurs partagés (on parle d’obeya), le Lean permet de suivre l’avancement de chaque plan et d’identifier les obstacles en temps réel. Cela facilite aussi la communication avec la direction et les équipes, car tout le monde voit où on en est par rapport aux objectifs.

Question : Donc le Hoshin pour définir l’orientation stratégique, puis des plans d’action pilotés en mode Lean pour garantir l’alignement et l’amélioration continue. C’est bien ça ?

Christian Ignace : Oui, exactement. Le Lean aide à accélérer certains aspects, comme la gestion de l’obsolescence ou le prototypage de nouvelles solutions de cybersécurité, et il facilite la résolution de problèmes pour les obstacles qui ralentissent la progression des plans.

Vous souhaitez être accompagné sur vos problématiques de cybersécurité et échanger avec Christian Ignace sur les pistes qu’il propose ? Il est disponible en visio de 14h à 15h le lundi et de 13h à 14h le vendredi. Prenez rendez-vous ci-dessous.