6 critères pour définir les actions de sécurité de l’information

Critères QQPQOC

La grille de Laswell (1902-1978) est un outil commun de développement et de communication que chacun doit s’approprier selon le type de message à transmettre. Parfois nous voulons réaliser une action pour atteindre un objectif mais ne disposons pas soit des compétences soit du temps pour le faire et nous allons confier ou déléguer l’action à quelqu’un d’autre. Il s’agit de clairement exprimer ce que l’on veut voir réaliser. Trop souvent on se contente du ‘Comment’ et on ignore le reste… ce qui est la cause de tous les problèmes. Ces critères sont les classiques QQPQOC (ouQ3POC). Ils sont complémentaires aux critères SMART.

 Critères

QUI : Nous désignons clairement la personne qui réalisera l’action et la compétence qu’il doit avoir. QUOI : Nous exprimons l’objet, le périmètre et la portée de l’action. Nous pouvons ajouter quelques éléments du contexte avec les contraintes à respecter par l’acteur. POURQUOI : Quelle est la raison de l’action et le but poursuivi à court, moyen et long terme. C’est un des meilleurs moyens de motiver l’acteur. QUAND : Nous déterminons à quel moment l’acteur doit commencer et quand il doit avoir fini. A la rigueur, nous définissons la durée de l’action, si le moment du début dépend de facteurs externes inconnus au départ.

C’est entre autres le cas en cas d’événement ou d’incident puisque nous ne savons pas à l’avance quand l’événement se produira. Par exemple, les équipes d’intervention devraient être sur place endéans les 20 minutes. Tout retard indique un problème à résoudre.

OU : Nous indiquons en quels lieux et endroits l’action doit se réaliser. Ce peut être un processus ou un système d’information ou un moyen informatique. Il est parfois nécessaire de préciser les domaines d’actions et de responsabilité.

Par exemple on définira quand l’acteur doit « faire appel à l’équipe ».

COMMENT : Quelle est, en fait, l’action? Que doit faire l’acteur pour atteindre le but fixé ? Quel est le comportement attendu ? Au plus nous serons concrets, au plus le « comment » sera décrit et précis. Mais il vaut souvent mieux laisser à l’acteur une certaine marge de manœuvre et une zone de créativité. Nous pouvons également ajouter quels moyens pourront être utilisés pour réaliser l’action et quel support l’acteur peut attendre pour agir et en cas de problème.

Contrôle

En tant que ‘décideur’, nous pouvons aussi prévenir l’acteur que nous allons contrôler l’action qu’il a réalisée, comment il l’a fait et le résultat atteint. Nous serons aussi précis que possible pour que l’acteur dans le contrôle que nous ferons : indicateur, détecteur, surveillance ponctuelle ou continue. Les écarts entre ce qui est réalisé et attendu serviront à améliorer la communication de l’action future ainsi qu’à améliorer l’action elle-même et sa réalisation.

L’acteur

Si l’acteur est un proche ou du personnel de notre entreprise, nous disposons de tous les moyens pour lui expliquer clairement ce que nous voulons et avons l’autorité pour nous faire entendre et obéir. Si l’acteur est un tiers – un professionnel – que nous payons, ce qui est décrit ci-dessus sera clairement mis dans le contrat. Nous avons ainsi en main tout ce qu’il faut pour bloquer le règlement de la facture tant que notre demande n’a pas été totalement respectée. Si notre demande n’est pas claire et complète, si nous n’avons pas prévu de contrôle en fin d’action nous n’avons qu’à nous en prendre à nous-mêmes si le résultat n’est pas celui que nous escomptions.   Si vous vous souvenez, ces mêmes critères ont déjà été cités comme éléments constitutifs d’une politique de sécurité. Avez-vous avec ce dernier article de la série des ‘Objectifs de sécurité, tout ce dont c-vous avez besoin pour enfin passer à l’action ? N’hésitez pas à me signaler en plaçant un commentaire ci-dessous ce qui vous manque et je vous répondrai. A bientôt, plus en sécurité avec vos informations. Jean-Luc

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *