Nous avons nos exigences, sorties tout droit de l’évaluation des risques et déterminées par le choix des options de traitement. Nous savons ce qui est important et urgent.
Nous avons nos objectifs ‘généraux’ et les 9 types de solutions groupées en 3 catégories. Cela devrait être assez…
Eh non. Nous devons nous souvenir que les solutions doivent se soutenir et remplir les 8 domaines de la sécurité, puisque c’est aussi dans ces domaines que se trouvent les risques. Ainsi, un risque physique peut être couvert par des solutions organisationnelle, procédurale et physique.
Le choix des solutions du Plan d’Actions
Il nous faut donc traduire nos objectifs génériques en solutions concrètes dans les différents domaines. Ces solutions doivent nous sembler accessibles et engageantes – un peu d’ambition, que diable –, non rébarbatives (vous vous souvenez des critères SMART?) Sinon nous n’aurons jamais envie de les appliquer.
Devons-nous ‘traduire’ nos objectifs généraux dans tous les domaines ?
Bien sûr que non. Il faut que cela ait un sens et serve à soutenir d’autres solutions, ou leur préparer le terrain – leur servir de fondations.
Il nous faudra un peu d’imagination car les recueils de bons conseils ne sont pas légions et ne sont généralement pas gratuits. L’un d’eux est la norme ISO/IEC 27002 (édition 201) traduite en français par l’AFNOR et disponible chez eux. La majorité des autres recueils sont en anglais (certains sont gratuits dont ceux édités par le NIST américain). Je tenterai un jour d’en faite l’inventaire ou d’en créer un moi-même.
Attention cependant, certaines sources ne semblent s’intéresser qu’à l’aspect informatique des solutions et laissent les autres domaines dans l’ombre.
Une fois notre ‘liste de courses’ faite – et rédigée selon les critères QQCQOP -, focalisons-nous sur l’action, sur les choses à accomplir, sur les bénéfices que nous en retirerons. Alors que beaucoup continueront à s’inquiéter de leurs risques, nous nous intéressons à nos solutions, à du po-si-tif.
L’organisation du Plan d’Actions
Nous nous rendons vite compte que la liste des solutions peut être longue et très variée. Nous ne pourrons jamais les mettre en œuvre ensemble d’un seul coup … sauf de baguette magique.
Allons-y progressivement et décidons de la première action à prendre.
Quelle est la solution la plus naturelle, la plus facile à réaliser ? De quoi a-t-elle besoin ? Il ne devrait pas être difficile de trouver une ou deux solutions qui nous font faire le premier pas. C’est le plus important.
Coulons donc nos fondations et laissons-les reposer afin qu’elles se solidifient et deviennent résistantes.
Rappelons-nous, la sécurité est un état instable que nous allons maîtriser. Amateurs de surf à vos marques !
Et si, au lieu d’y aller solution par solution – cela peut prendre du temps et ne nous sentons pas toujours que nous avançons dans la bonne direction -, nous composions des groupes de solutions qui devraient être activées en même temps ou dans un même élan ?
Au lien de petits cailloux, fabriquons des blocs ! C’est bien comme cela qu’on construit une maison, non ? Chaque bloc est bien visible, mesurable et nous pouvons fêter chaque avancée.
Arrangeons-nous pour créer des blocs qui couvrent au moins un peu tous nos risques majeurs. Ainsi, même s’ils ne sont pas entièrement couverts, ils auront été rabotés.
Rassemblons un groupe de blocs en un tout cohérent qui sera notre ligne de base, le socle minimum de sécurité que nous voulons assurer et assumer. Le reste se construira dessus au fur et à mesure étage par étage. Comme la pyramide qui illustre cet article.
Le temps dans le Plan d’Actions Sécuerité
Je l’ai dit lus tôt, le temps est une des clés. Parfois, il faut aller vite, parfois avancer à pas de loups. Parfois, il faut s’arrêter et se reposer.
Mais un calendrier est souvent nécessaire. Il nous permet de voir si on reste à la traîne ou pas.
N’oublions pas l’urgence donnée par le niveau de risque. A rester exposé trop longtemps, nous pourrions oublier le but ou, pire, nous tracasser sur du négatif au lieu de nous réjouir du positif que nous engrangeons petit à petit.
Alors, prêts à préparer votre plan d’actions ? Prêts à le mettre en œuvre ? S’il vous reste des questions, je suis à cotre écoute.
A Bientôt, plus en sécurité avec vos informations.
Jean-Luc
(c) Crédit photo: Réserve personnelle (18/10/2014)
Google+