Dites-le aux Marines : Principes de leadership et sécurité des réseaux
C’est après les heures de bureau, un vendredi. Vous êtes en train de parler à un employé distant de l’installation d’un pare-feu de nouvelle génération. Aucun trafic ne passe par le réseau et maintenant vous êtes bloqué sur le projet jusqu’à ce qu’il soit réparé. Les fenêtres de maintenance en dehors des heures de travail du week-end au nom de l’amélioration de la posture de cybersécurité peuvent être parmi les projets les plus stressants, les plus risqués et les moins motivants entrepris par une organisation. Cependant, le risque et le stress peuvent être réduits en appliquant la méthodologie de planification utilisée par les réservistes du United States Marine Corps (USMC). Les concepts de planification de l’USMC peuvent être facilement adaptés aux projets de cybersécurité, ce qui augmente les chances de réussite.
La planification tactique de l’USMC se concentre sur l’application de six étapes de conduite des troupes. Il s’agit de l’approche fondamentale que les Marines utilisent pour toutes les opérations. Les Marines ont utilisé ces étapes (connues sous l’acronyme BAMCIS) pour planifier n’importe quoi, du bal annuel d’anniversaire du Corps des Marines le 10 novembre à l’assaut d’un nid de sniper ennemi. BAMCIS est l’acronyme de : Commencer la planification, Organiser la reconnaissance, Effectuer la reconnaissance, Compléter le plan, Donner l’ordre et Superviser, et c’est un principe de base du leadership du Corps des Marines. L’objectif de BAMCIS est de recueillir des informations, de faire un plan, d’exécuter et d’assurer le succès de la mission.1
En utilisant l’installation d’un pare-feu de nouvelle génération comme scénario d’illustration, nous allons parcourir ces étapes de conduite de troupe et identifier comment elles peuvent améliorer les chances que l’équipement fonctionne hors de la boîte et réduire les chances de passer un week-end entier à dépanner.
Étape 1 : Commencer la planification
L’analyse de la mission (ou la planification du projet) commence ici. Le jour où le feu vert est donné est le jour où la planification doit commencer : Déterminer combien de temps l’infrastructure parallèle devra rester en place. Identifier les ressources qui seront nécessaires pendant les migrations à chaud. Quantifier l’impact de la nouvelle infrastructure de sécurité réseau sur les utilisateurs de l’organisation. Préparez de nombreuses questions au cours de cette étape. Vous devrez formuler certaines hypothèses sur le projet afin de commencer la planification. Si le bureau distant se trouve en dehors des États-Unis, les barrières linguistiques, les restrictions d’exportation cryptographique et les questions douanières doivent être abordées le plus tôt possible. Il est difficile de déployer avec succès une infrastructure de sécurité réseau si l’infrastructure ou l’ingénieur est bloqué à la douane !
Étape 2 : organiser la reconnaissance
Dans une guerre conventionnelle, cette étape est celle où vous recueillez des informations sur la taille, les capacités et les faiblesses de l’ennemi. Cependant, cette étape répond en réalité à la question suivante : » Quelles sont les informations qui me manquent pour réussir ? « 2 Utilisez toutes les méthodes de collaboration disponibles pour vous assurer que toutes les informations nécessaires au déploiement réussi d’une infrastructure de sécurité réseau sont découvertes bien avant la mise en service. Les exigences physiques telles que l’alimentation et le refroidissement, les politiques de sécurité contrôlant l’accès à l’infrastructure et les photos du site doivent être obtenues. Selon l’organisation, obtenir les clarifications nécessaires peut devenir un projet en soi, mais l’obtention de ces informations est essentielle à la réussite.
Pensez également aux informations requises auprès du fournisseur d’équipement. Que vous vous procuriez le pare-feu de nouvelle génération directement auprès du fournisseur et que vous l’installiez vous-même ou que vous fassiez appel à un fournisseur de solutions externalisées, le fait de disposer de ces informations avant le déploiement effectif de l’infrastructure est essentiel à la réussite.
Étape 3 : Effectuer la reconnaissance
C’est ici que le leadership utilise tous les atouts disponibles pour combler les lacunes en matière d’information après l’organisation de la reconnaissance. Dans le cas du pare-feu de nouvelle génération, c’est ici que nous analyserions les spécifications pour assurer un espace, une puissance et une sécurité adéquats. Une infrastructure de cybersécurité située dans une pièce ordinaire avec un plafond suspendu, derrière une porte sans protection contre les bruits de pas, et non dans une armoire verrouillée, est un problème qui ne demande qu’à surgir.3 Si votre reconnaissance indique que le site ne répond pas aux normes de sécurité physique requises, il faut résoudre ce problème avant de poursuivre. Tendre la main aux équipes impactées par l’infrastructure de sécurité est la clé pour combler les lacunes d’information nécessaires pour éviter une expérience de dépannage douloureuse qui dure tout un week-end.
Étape 4 : Compléter le plan
À l’étape un, de nombreuses questions et hypothèses ont été formulées pour faire décoller le plan. Il est maintenant temps de répondre à ces questions et d’examiner toutes ces hypothèses. Ne tombez pas amoureux de votre plan. L’examen par les pairs est essentiel. Par exemple, lors de la rédaction des procédures d’installation, il faut parfois cinq minutes pour trouver une coquille liée à la connexion du pare-feu de nouvelle génération. Si cette coquille n’est pas trouvée, il faudra peut-être plusieurs heures pour déterminer pourquoi aucun trafic ne circule. Commencez à réfléchir à tous les modes d’échec potentiels liés au déploiement.4 La dernière chose que l’on souhaite est d’être moins sûr ou que la fenêtre de maintenance dépasse les attentes, ce qui aurait un impact négatif incommensurable sur l’organisation. Le plan complet doit tenir compte de la modification des informations d’identification du compte administratif par défaut, de la désactivation de tous les ports et services inutilisés et des meilleures pratiques recommandées par le fournisseur. Trop souvent, ces éléments sont omis lorsqu’on essaie de mettre en œuvre la solution avant les délais, alors assurez-vous de les inclure dans le plan.
Étape 5 : Émettre l’ordre
La plupart des opérations militaires impliquent l’émission d’un « ordre d’opération en cinq paragraphes ». Il s’agit d’un résumé clair et concis des informations essentielles nécessaires à la réalisation de l’opération. Nous visons à avoir le même genre d’instructions claires et concises.5 Toutes les informations pour un déploiement réussi de l’infrastructure de sécurité réseau doivent être transmises à ceux qui font le travail. Cela inclut des instructions écrites, l’utilisation de conférences téléphoniques, de tableaux blancs virtuels et de captures d’écran. Un vaste plan de communication peut résoudre de nombreuses questions avant qu’elles ne deviennent des problèmes. Bien que personne n’ait envie d’être coincé dans des réunions toute la journée, après l’envoi des instructions finales, prenez le temps de vous assurer d’une compréhension commune bien avant que le changement d’infrastructure de sécurité réseau ne commence. Supposez que personne ne lit réellement vos emails ou n’écoute vos idées dans la salle de conférence, posez des questions aux membres de l’équipe sur le plan et assurez-vous qu’ils répondent avec les bonnes réponses !
Étape 6 : Superviser
Sans supervision, la probabilité que les Marines prennent de mauvaises décisions, comme ne pas boire suffisamment d’eau avant une course chaude de trois miles dans le désert ou déclencher en état d’ébriété une alarme incendie qui recouvre plusieurs avions de mousse augmente6. Une supervision adéquate, en revanche, peut amener les marines à prendre des décisions judicieuses qui changent le cours de l’histoire. Les projets d’infrastructure de sécurité des réseaux ne sont pas différents. La supervision est essentielle pour garantir que le travail est effectué selon le plan et conformément aux normes établies. L’USMC considère la supervision comme l’élément le plus important du commandement des troupes. La supervision n’est pas seulement la responsabilité du leadership. Tous les participants au projet ont la responsabilité de s’exprimer chaque fois qu’ils observent quelque chose d’insatisfaisant, comme un manque de documentation ou une mauvaise mise en œuvre des règles de filtrage du trafic d’un pare-feu – comme ils le voient se produire. Il est facile de corriger la documentation immédiatement après la mise en œuvre lorsqu’un superviseur demande à voir comment le pare-feu filtre le trafic. Il est difficile de la corriger des années plus tard lors du dépannage pour savoir pourquoi une nouvelle application est incorrectement filtrée.
Plus les membres de l’équipe sont en mesure de répéter les changements de sécurité réseau, moins ils risquent d’avoir des interruptions de production dues à ces changements.
Avec l’essor de la virtualisation et des technologies Cloud, il devient plus facile de répéter les projets d’infrastructure de sécurité réseau dans un environnement contrôlé avant de les mettre en production. Tout comme un commandant de bataillon d’infanterie inculquerait aux troupes les valeurs suivantes : » entraîne-toi comme tu te bats, bats-toi comme tu t’entraînes » lorsqu’elles se préparent au combat, la direction d’une organisation doit inculquer les valeurs liées aux tests et à la formation appropriés avant que les solutions ne soient en production. Plus les membres de l’équipe sont en mesure de répéter les changements apportés à la sécurité du réseau, moins ils risquent de subir des interruptions de production dues à ces changements. La plupart des gens conviendraient qu’un nouveau marine doit apprendre les bases de la navigation terrestre dans un environnement d’entraînement contrôlé avant d’être censé diriger une patrouille déployée dans une zone de guerre. De même, le personnel de la cybersécurité doit avoir la possibilité d’apprendre comment la configuration de son infrastructure de sécurité réseau aura un impact sur les données en mouvement de l’organisation dans un laboratoire avant d’être déployé dans le cyberespace de production.
Bien que chaque organisation soit unique, ces six étapes de conduite des troupes, provenant du Corps des Marines, sont applicables à d’autres organisations. Même la plus civile des organisations peut appliquer quelques leçons apprises de l’armée qui pourraient juste conduire à moins d’expériences douloureuses de dépannage en dehors des heures de travail.
Disclaimer : Les opinions exprimées dans cet article sont celles des auteurs et ne représentent pas nécessairement les opinions des organisations auxquelles ils sont associés.
Sources
- http://www.marines.mil/Portals/59/Publications/MCWP%203-11.2%20Marine%20Rifle%20Squad.pdf
- http://www.trngcmd.marines.mil/Portals/207/Docs/TBS/B2B2367%20Tactical%20Planning.pdf
- Mitnick, Kevin D., et William L. Simon. Ghost in the Wires : Mes aventures en tant que pirate informatique le plus recherché au monde. Little, Brown & Co, 2012.
- http://global.datacenterworld.com/dcwg18/Custom/Handout/Speaker0_Session1019658_2.pdf
- http://www.trngcmd.marines.mil/Portals/207/Docs/FMTBE/Student%20Materials/FMST/209.pdf
- https://www.stripes.com/news/pacific/drunk-marine-releases-fire-suppression-system-in-kadena-hangar-1.351940
.