Contrôles (4) : les caractéristiques-clés

Depuis le début des vacances, je vous parle des contrôles, des différentes façons de les cataloguer et du besoin de ‘panacher’ dans différents domaines et catégories.

Ces contrôles ont un objectif qui devrait être SMART-de.

Nous nous interrogeons aujourd’hui sur les caractéristiques principales des contrôles : le niveau et le temps.

Le niveau

Il y a deux niveaux à prendre en compte: un maximum et un minimum.

Le niveau attendu d’efficacité

C’est le niveau d’excellence prévu pour le contrôle afin de maitriser la vraisemblance (les contrôles préventifs et détectifs) et/ou l’impact (les contrôles réactifs et correctifs); par exemple: détecter et arrêter les logiciels malveillants, détecter et arrêter les accès et activités non désirées.

En fait, le niveau réel fluctuera dans une zone d’efficacité optimum attendue.

Le niveau minimum toléré

C’est le niveau en dessous duquel le contrôle est jugé (totalement) inefficace et ne répond plus aux objectifs. Nous sommes en présence d’une vulnérabilité franche ou d’un réel danger qu’il faut éviter à tout prix. Comme si nous étions dans ‘la réserve’ de carburant de notre voiture.

 

Dans l’espace entre ces deux niveaux, le contrôle est partiellement inefficace. Nous sommes dans une zone de vulnérabilité et il est temps de s’interroger sur sa mise à jour ou son remplacement

Le temps

Le temps est un facteur crucial qui est souvent sous-estimé, voire ignoré. On a trop tendance à se fier à un contrôle installé et à ne plus y penser.

Temps de montée

C’est le temps qu’il faut pour que, lors de son installation, le contrôle atteigne son niveau attendu d’efficacité.

Ce temps de montée est très variable. Il est souvent (très) court pour les contrôles techniques, mécaniques ou informatiques. Il faut en effet maximum quelques minutes pour installer un anti-virus.
Pour les contrôles portant sur l’organisation ou les personnes, ce temps est généralement (bien) plus long; par exemple quand il faut apprendre à appliquer une nouvelle procédure. Ne faut-il pas 21 jours d’attention soutenue pour prendre une bonne habitude ?

Temps de maintien

C’est le temps pendant lequel le contrôle reste dans sa zone optimale d’efficacité sans intervention.

A nouveau, selon le contrôle et le contexte, cette durée peut être très variable.

Temps de descente

C’est le temps qu’il faut au contrôle pour descendre de sa zone optimale d’efficacité jusqu’au niveau minimum tolérable sans intervention de notre part et pendant lequel nous nous trouvons dans la zone vulnérable.

A nouveau, cette durée peut être très variable.

C’est pendant cette période qu’il nous revient de veiller à replacer le contrôle dans sa zone optimale, ou à le remplacer, avant qu’il n’atteigne la zone de danger.
L’exemple le plus évident est l’antivirus dont les signatures doivent être remises à jour très régulièrement (et de manière automatique afin de ne pas l’oublier). Tout est fait pour rester dans la zone d’efficacité optimum ou très légèrement en dessous avant d’y revenir.

 

Cette réflexion est similaire à celle de la gestion des stocks en prenant en compte:

1° la consommation sur une période fixée (temps de descente),
2° le temps d’approvisionnement du nouveau stock (temps de montée),
3° le meilleur moment pour commander afin de ne pas se retrouver en rupture de stock.

Il ne faut que quelques minutes pour faire le plein de sa voiture. Mais il faut veiller à trouver une pompe à essence à temps pour ne pas se retrouver en panne sèche. Une fois le témoin de la réserve allumé, nous devenons anxieux si la prochaine station service est trop éloignée.

 

Ce qui est valable pour le contrôle l’est également pour les mesures qui le composent. Et les caractéristiques s’additionnent pour obtenir des ‘pentes’ complexes et des niveaux ‘composites’.

Je considère ces caractéristiques comme critiques alors que l’on ne s’inquiète généralement ni de l’un ni de l’autre. Et encore, ce que je viens d’exposer ne s’applique que quand le contrôle est connu et prêt à être installé. Il a encore trois durées à prendre en compte aussi bien avant l’installation du contrôle qu’après celle-ci.

Nous aborderons ce point la fois prochaine.

 

Cette réflexion est-elle réalisée dans votre entreprise ? Fait-elle partie de vos habitudes dans votre protection personnelle ?

A bientôt, plus en sécurité avec vos informations

Jean-Luc

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.