Comment évaluer la maturité de notre sécurité ?

Nos sommes tous en constante évolution, en recherche de l’amélioration de notre situation et de notre sécurité. Car l’insécurité ambiante nous traumatise.

Si nous relisons les travaux du sociologue Abraham Maslow (vers 1955), nous découvrons que la sécurité est le second besoin fondamental de l’homme. On parle de sécurité ou de protection contre des menaces visibles et concrètes. Pourquoi pas également contre des menaces plus sournoises et immatérielles comme celles qui pèsent sur nos informations ?

Évoluer, c’est donc monter dans la pyramide. C’est aussi gagner l’assurance que nous sommes, chaque jour ou à la fin de chaque étape, mieux préparé pour résister à ce qui peut se passer et rebondir si nous avons été touché.

Le modèle

Ce que je vous propose aujourd’hui est un regard sur un modèle d’évaluation de la maturité de notre capacité à agir. Il a été développé par le Software Engineering Institute de l’Université (SEI) Carnegie Mellon en Pennsylvanie (PA), un centre de recherche américain renommé.

Ce modèle à cinq niveaux nous permet d’évaluer et d’améliorer notre capacité à réaliser nos objectifs de façon durable et ré-évaluable.

Niveau 1 : Initial

A ce niveau, on commence à agir, ou plutôt à réagir, sur base de l’instinct, de recommandations reçues, voire même d’excellents conseils. Ils ne sont toutefois pas menés de façon cohérente ou à fond. Peu de choses sont formelles. Il est difficile d’identifier ce qui a amené les résultats que l’on a engrangés.

Niveau 2 : Répétable, Documenté

On continue à réagir, mais on s’arrange pour écrire ce qui a marché, de sorte de pouvoir répéter les actions une autre fois. On utilise certaines bonnes pratiques de façon consciente et cohérente. On ne sait pas encore bien d’où viennent les bons résultats.

Niveau 3 : Organisé, Géré

On a décidé d’un objectif et on s’organise en conséquence : ressources, moyens et documentation. Nous passons du stade ‘individuel’ à une vison commune et centralisée, tant pour les objectifs que pour les personnes. On détermine les roles et responsabilités. On commence à comprendre pourquoi ça marche… ou pas.

Niveau 4 : Contrôlé, Mesuré

On va plus loin et on mesure ce que l’on fait et les résultats obtenus. On est ainsi capable de modifier sa stratégie et ses moyens, ce que l’on fait de loin en loin, à des moments prévus.

Niveau 5 : Optimisé

Ce niveau se caractérise par une interprétation et une décision immédiates sur base des mesures faites. On est – en permanence – à l’écoute et au contrôle.

 

Il n’y a pas de niveau « zéro », mais nous nous rendons bien compte de ce qu’il signifie. On en est au stade de l’inconscience, de l’ignorance, de la négigence. La question considérée ne nous préoccupe pas.

Ce modèle, vous le voyez, peut s’appliquer à tout et à tous les domaines. Il est très utilisé en informatique et en sécurité. Plusieurs normes leurs sont consacrées.

Si vous voulez aller plus loin… recherchez: « CMMi ».

Pyramide des besoins de A. Maslow.

Comment l’utilise-t-on ?

Assez simplement, on évalue quel niveau est atteint pour chacune de nos activités de sécurité : gestion des risques, gestion des incidents, anti-virus, lutte contre l’usurpation d’identité, navigation internet sûre, etc.

Il n’est pas indiqué qu’il faut atteindre le même niveau (élevé) pour chaque activité. C’est à vous de décider, dans votre contexte, quel niveau est le plus approprié selon vos risques, votre capacité (donc vos moyens et ressources).

Dès qu’une activité nécessaire n’est pas de nos compétences, nous devrions la sous-traiter. A condition, toutefois d’être capable de bien identifier ce que nous voulons et d’évaluer ce que nous recevons à sa juste valeur (de quoi ne pas nous faire livrer un chat dans un sac.) Notre ‘niveau total’ est l’image obtenue. Le niveau moyen (qui donne souvent une idée fausse) est la ‘moyenne’ des évaluations ‘.

 

Ne nous laissons pas brider par nos croyances limitantes, surtout ens écurité. A ce sujet, je vous invite à vous tourner vers les nombreux blogs parlant de développement personnel…

 

A bientôt, plus en sécurité avec vos informations…

Jean-Luc

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *