Mesurer la maturité de sa sécurité, c’est un peu différent que de parler de ‘maturité’ au sens habituel du terme. Dans ce cas-ci, il ne s’agit nullement de jugement de valeur, mais d’une évaluation rigoureuse sur base de la capacité et des réalisations.
L’idée originale a été développée par l’Université Carnegie-Mellon aux Etats-Unis et est largement employée dans les grandes entreprises. Elle concernait au départ une évaluation de la qualité des logiciels et a été ensuite étendue à d’autres activités dont la gestion des ressources humaines. Le concept a évolué vers un système intégré (CMMi).
Le Capability Maturity Model (CMM)
Le CMM (Modèle de Maturité de la Capacité) est construit sur 5 niveaux.
La notion de base de ce modèle est la capacité : si vous n’avez pas appris la chose à réaliser ou si vous ne disposez pas des ressources (par exemples humaines) pour la réaliser, cela ne vous est pas imputable. Vous faites « ce que vous pouvez avec les moyens du bord. »
Chaque niveau construit sur le précédent.
Niveau 0
Ce niveau n’est pas décrit. C’est celui où on ne fait rien.
Niveau 1
Ce niveau est souvent appelé ‘initial’. Celui qui se sent investi d’une mission agit comme il le peut sur base de ce qu’il sait… ou croit savoir. Souvent, il imite les autres ou se contente de mettre en œuvre des solutions dont il a entendu parler – c’est pourquoi ce niveau s’appelle parfois ‘ad-hoc ou chaotique’. Ce n’est pas toujours efficace, mais c’est un premier pas encourageant.
Il n’y a pas de surveillance ni de communication. La réaction aux incidents se fait en mode d’urgence sans établissement des priorités. Les compétences du ‘héros’ sont la seule raison du succès ou de l’échec.
Niveau 2
Ce niveau, appelé ‘discipliné, géré ou documenté’ requiert plus de moyens. Il existe un plan développé par le ‘héros’ qui suit son idée jusqu’au bout. Il capitalise sur ses succès et ses échecs en documentant ce qui peut lui servir plus tard. Il s’améliore progressivement en apprenant des évènements et en adaptant sa façon de faire et sa documentation. Mais il ne reçoit toujours aucun support des échelons supérieurs dans l’organisation.
Niveau 3
A ce stade, le héros est reconnu par sa hiérarchie. Il reçoit des objectifs et des moyens, mais reste encore assez libre de ses actions en ce qui concerne la manière. Ce niveau est parfois appelé ‘standardisé’, parce que ce qui a marché dans une entité est poussé dans les autres. La capitalisation est donc centralisée. On crée un référentiel que tous doivent utiliser.
Le personnel est conscientisé et formé. Il sait ce qu’on attend de lui (responsabilités et devoirs).
Niveau 4
Les actions et leurs résultats sont mesurés quantitativement, ce qui lui donne son nom de ‘mesuré’. Les activités critiques sont identifiées par la direction et les attentes de performance sont identifiées et vérifiées.
Niveau 5
Les activités qui sont gérées quantitativement (niveau 4) sont constamment optimisées, d’où le titre ‘Optimisé’ doné à ce niveau. On anticipe les évolutions.
L’emploi pour le particulier
Comment employer ce modèle quand on n’est pas une grande entreprise et que le concept « d’organisation » et de standardisation des activités n’a pas beaucoup de sens ? Cela concerne tout le spectre des Petites et Moyennes Entreprises, jusqu’aux travailleurs indépendants et aux particuliers.
Le modèle de base a été adapté pour les entreprises aéronautiques américaines et d’autres où le concept du CMM n’avait de sens que dans une petite entité. Ils ont conçu le System Security Engineering – CMM (le CMM de l’ingénierie de la sécurité des systèmes).
Ce modèle utilise les cinq niveaux ‘classiques’, mais propose des sous-niveaux, ce qui permet de monter dans la maturité tout en restant, par exemple, au niveau 2 – niveau le plus intéressant pour petites entités et les particuliers.
Niveau 1 : Réalisé de façon informelle
On réalise les pratiques de base.
C’est le niveau que vous obtenez en agissant comme je vous le propose depuis bientôt trois ans ou quand vous appliquez les mesures de base recommandées par les médias.
Niveau2 : Planifié et tracé
Documenter ce que l’on fait permet de se projeter dans l’avenir et de s’améliorer.
2.1 On planifie la réalisation
2.2 On discipline la réalisation
2.3 On vérifie la réalisation (de façon qualitative : bon, moyen ou mauvais)
2.4 On trace la performance (on note de façon à s’améliorer à l’avenir)
Certaines séries d’articles de ce blog (sur la gestion des risques, sur la gestion des incidents par exemple ou, plus récemment sur la gestion des accès), vous poussent vers ce nivau 2.
Le SSE-CMM n’est pas généraliste et dissèque l’engineering de la sécurité des systèmes en 22 activités : 11 de gestion et 11 de sécurité (qui nous intéresseront particulièrement).
C’est ce que nous verrons dans le prochain article…
Disciplinez-vous vos actions de sécurité ? C’est ce qui vous permettra d’avancer et d’atteindre vos objectifs.
A bientôt, plus en sécurité avec vos informations.
Jean-Luc
Google+