Nous avons vu que notre plan de sécurité doit comporter des mesures qui couvrent les risques importants et urgents. Selon que c’est la Potentialité de survenance du risque ou les Conséquences en cas de survenance, ce seront les mesures préventives, réactives ou correctives qui seront les plus pertinentes – ou toute combinaisons de celles-ci .
Nous avons également étudié les huit domaines dans lesquels les risques existent et trouvent leurs solutions.
Mais si ceci suffit pour les cas simples et domestiques, il se pourrait que les entreprises (Petites et Moyennes Entreprises, par exemple, mais surtout les grandes) aient besoin d’aller plus loin.
La B.S.C., c’est quoi?
D. Norton et S. Kaplan constatent que les entreprises s’occupent essentiellement des aspects financiers et délaissent les autres dans l’évaluation des stratégies d’entreprise. En 1992, ils créent la Balanced Score Card (BSC) [Tableau de Bord Prospectif en français] comme outil pour équilibrer les finances.
La B.S.C. cherche à s’assurer que Les Buts (financiers), La Satisfaction du Client, La Capacité interne et La capacité future sont bien sur les rails.
La BSC comporte quatre quadrants ou perspectives
- Client = Comment satisfaire nos clients ?
- Apprentissage et croissance = Capacité d’innovation et de création de valeur, maturité
- Support au métier = Qu’est-ce qui compte pour eux ? Comment atteindre l’excellence opérationnelle ?
- Financier = comment préserver et apporter de la valeur à nos processus ?
Chaque quadrant définit des objectifs, des mesures (ou solutions), des cibles (mesurables) et des initiatives pour les atteindre.
Ce n’est pas un outil pour choisir une stratégie, mais il permet de compléter et de mettre en œuvre cette stratégie. Chaque quadrant a une influence sur ses voisins et permet de créer un cercle vertueux. Si l’un d’eux est vide ou faible, il bloquera ou affaiblira la dynamique.
La B.S.C. Sécurité
Le Massachussetts Institute of Technology (le célèbre MIT), a eu l’idée, début des années 2000, d’utiliser les Balanced Score Cards pour le département IT. Il se fait que la sécurité de l’information peut également en bénéficier, sans difficultés.
La seule différence par rapport à la B.S.C. originale tient à la perspective : les ‘clients’ sont tous ceux (surtout au sein de l’entreprise) qui utilisent les solutions de sécurité ou informatiques.
Vous remarquerez que les deux premières catégories sont focalisées sur l’objet et l’emploi de la sécurité, et les deux dernières concernent la sécurité et ses acteurs.
Orientation métier
Comment soutient-on les besoins et les exigences du métier ?
Ceci contient l’étude des processus informationnels, le calcul de la valeur de l’information et la conformité légale.
Service au Client
Comment le ‘client’ peut-il profiter de nos services et en être satisfait ?
On y retrouve la sensibilisation et la formation, la réponse appropriée aux incidents, et surtout des solutions transparentes, non contraignantes et faciles à utiliser. On y trouve également ce qui responsabilise l’utilisateur.
Orientation future
Comment la sécurité peut-elle évoluer avec les besoins et les changements continus des menaces et des risques.
Ceci comporte la gestion des risques et la formation permanente en matière de sécurité.
Excellence opérationnelle
Comment maitrise-t-on les processus de sécurité ?
Ceci concerne la recherche de solutions de sécurité ‘by design’, avec le meilleur équilibre coût/efficacité et des solutions qui prennent en compte les besoins et les contraintes des utilisateurs.
Comment l’utiliser ?
- Classez vos mesures et solutions de sécurité dans une des catégories (une seule possibilité)
- Vérifiez si un équilibre suffisant existe entre les quatre catégories
- Complétez la ou les catégories vides ou peu fournies avec de nouvelles mesures.
Pour cela, vous devez revenir à vos risques et voir ce que vous pouvez trouver pour alimenter les catégories incomplètes. Un peu d’imagination suffit.
Vous conviendrez que l’imagination peut vite tomber à court. Il serait bien de disposer d’un référentiel de mesures réalisé par un organisme de confiance. Malheureusement, ces documents ne sont pas faciles d’accès quelle que soit la langue. Il faut savoir où chercher et manipuler ces documents parfois imposants.
Je vous prépare une liste basée sur des sources gratuites (en français, anglais et allemand). Je vous demande un peu de patience.
Quelles sont vos techniques pour vous assurer que vos mesures sont complètes et cohérentes ? Si vous les partagiez ?
A bientôt, plus en sécurité avec vos informations
Jean-Luc
Crédit photo: http://sicoraconsulting.com/balanced-scorecard/
et © Icefields | Dreamstime.com – Balanced Scorecard Photo