Les 10 étapes du cycle de la sécurité de l’information

Le cycle de la sécurité de l'information

Je crois qu’il est temps d’associer les deux séries d’articles : objectifs et gestion des risques. Ces deux séries d’interpellent et s’interpénètrent. Au moins en ce qui concerne la phase de traitement des risques.

Reprenons pas à pas tout le cheminement que nous avons fait ensembles, en dix étapes.

N° 1. Déterminer ce qui est important.

C’est la classification des informations ou des activités sur les informations. Pour aller plus loin, nous choisissons nos axes de sensibilité.

N° 2. Déterminer l’objet de notre étude des risques.

C’est la première étape de la gestion des risques : que voulons-nous protéger ?

N° 3.Analyser le contexte de la gestion des risques

La seconde étape de la gestion des risques nous apprend quelles sont les contraintes qui vont nous gêner et nous y déterminons nos tables d’évaluation.

N° 4. Analyser les risques

La troisième étape de la gestion des risques facilite la détermination de la vraisemblance et de l’impact si quelque chose se produit.

N° 5. Apprécier les risques

Cette quatrième étape de la gestion des risques permet de comparer le risque avec ce qui est important, parce que c’est seulement cela que nous allons protéger.

N°6. Fixer les exigences de sécurité

Cette cinquième étape de la gestion des risques nous aide à choisir les options de traitement. Nous utilisons les critères SMART et nous entamons le premier pas des objectifs de sécurité par les exigences.

N° 7. Fixer les solutions de sécurité

Cette sixième étape de la gestion des risques est celle qui nous permet de décrire nos objectifs de sécurité et de préparer notre politique de sécurité. Souvenons-nous qu’il faut prendre en compte les 8 domaines.

N° 8. Concevoir le Plan d’Actions de sécurité

La septième étape de la gestion des risques nous apprend comment organiser la mise en œuvre progressive de nos solutions de sécurité. Le Plan d’Actions reprend toutes les solutions qui nous permettent de réaliser notre politique.

N°9. Mesurer l’avancement de notre Plan d’Actions

Nous voyons ici comment mesurer l’évolution de la mise en place de la politique de sécurité et du plan d’actions.

N° 10. Mesurer l’efficacité de notre Politique et de notre Plan d’Actions

Nous arrivons à la fin de notre voyage. Les solutions sont mises en place et il nous reste à vérifier si elles sont efficaces et que notre politique est passée du stade ‘potentiel’ à celui de ‘réelle et activée’.
Ces mêmes mesures sont ensuite répétées régulièrement pour nous assurer que nous restons sur les rails.

 

Rassurez-vous ! Si cette suite de dix pas vous a rassuré, vous pouvez recommencer avec un autre objet (N°2) qui peut provenir d’une nouvelle évaluation de la valeur des informations (N°1).

Ce cycle ne devrait jamais s’arrêter car il y aura toujours de nouvelles informations de valeur, des variations dans le contexte (N°3), de nouveaux risques ou des niveaux de risques qui évoluent (N°4).

Nous pouvons également constater que les solutions sont trop lourdes ou insuffisantes, et c’est alors le traitement qui doit être remis sur la table (N°6).

La sécurité est un cycle qui se renouvelle toujours. Comme la vie. Comme le temps dans le calendrier aztèque. En fait, quelque soit le domaine de sécurité, ce cycle doit être activé.

Voilà le cheminement qui m’occupe en permanence quand je conseille mes clients. J’y trouve la recherche commune d’un but, une interaction continue entre ce que nous faisons ensemble et les résultats, un défi régulier à relever, des aptitudes à mettre à jour et – c’est peut-être surprenant – un certain plaisir.

Eprouvez-vous également cette tension vers le but, la délivrance quand on atteint l’objectif et l’envie de recommencer ? C’est que je vous ai passé le virus. N’ayez crainte, si cela peut être contagieux, ce n’st pas dangereux. Au contraire. Vous vous approchez chaque fois un peu plus de l’assurance, de la confiance et de la quiétude alors que vous vous éloignez de dangers et de l’incertitude.

Dites-moi s’il vous reste des questions. Si vous le désirez, je vous préparerai une petite formation avec exercices. eE suis à votre écoute.

A bientôt, plus en sécurité avec vos informations

Jean-Luc

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *