Définir les objectifs pour la sécurité de l’information pourrait ne pas être simple. On sait (voir ici) quelles informations (QUOI) ont suffisamment de valeur (POURQUOI) pour demander protection.
Mais le gros de la difficulté est de savoir contre quoi et contre qui se protéger. Sans cela, on protège à tort et à travers et cela nous coûte (même si ce n’est qu’en effort et en contrainte) bien plus que nécessaire.
Il y aura des objectifs à long, moyen et court terme. Il y aura des actions isolées, hors objectifs précis, parc qu’elles répondent à un besoin urgent et ponctuel. Ils devront aller dans le même sens que les actions planifiées, sinon on crée de l’inefficacité.
Méthode
En sécurité de l’information, les objectifs sont déterminés par un processus appelé gestion des risques. Je reviendrai sur ce sujet en long et en large ultérieurement.
Voici, en 10 étapes, comment cela s’articule une fois que l’on a décidé quelle information (ou groupe d’information de même valeur) que l’on veut protéger :
Etude du contexte
- on regarde le système d’informations et l’environnement dans lequel il se trouve
Evaluation des risques
- on liste les menaces et les contraintes (qui et comment, nos difficultés et faiblesses)
- on estime la vraisemblance et les conséquences directes (par exemple sur une échelle de 0 à 4)
- on calcule le niveau de risque (vraisemblance x conséquence)
- on classe les risques par ordre décroissant
Traitement des risques
- on décide des 4 options pour chacun des niveaux de risque – C’est le premier niveau d’objectifs.
- Retenir le risque (pour un certain temps, sans rien faire d’autre que de la surveiller)
- Réduire le risque (agir pour prévenir ou contrer)
- Partager le risque (p.ex. une alarme ou une assurance)
- Eviter le risque
- on recherche les meilleures solutions pour réaliser les options décidées sur le plus haut niveau de risque et on acquiert les moyens et les compétences nécessaires (second niveau d’objectifs) pour revenir à un niveau de risque acceptable (pas à Zéro, c’est inutile, impayable et irréaliste)
- on met en œuvre les solutions (troisième niveau d’objectifs) dans l’ordre le plus logique et le plus ‘efficace’
Opérations et gestion de la sécurité
- on s’assure que la solution mise en place fonctionne et qu’elle répond aux attentes (quatrième niveau d’objectifs)
- on ajuste et on améliore ce qui doit l’être (cinquième niveau d’objectifs.)
Quand le plus haut niveau de risque est assuré, on passe au suivant (une nouvelle évaluation sera peut-être nécessaire) en considérant comme acquises les solutions déjà mises en œuvre et ajustées. On ne devrait plus avoir de risques au niveau maximum.
Si vous êtes ‘pressés’, passer au niveau suivant, dès la fin de l’action 9.
Je prétend qu’en deux ou trois ‘passes’, tout ce qui vous gêne est mis hors d’état de nuire.
Mais, cinq niveaux d’objectifs, c’est beaucoup ! Sans doute, mais on passe facilement de l’un à l’autre. Certains demandent réflexion, d’autres deviennent vite des réflexes.
Décider où et comment vous allez passer vos vacances est un objectif de 1er niveau, traverser la rue est objectif du 5e niveau.
C’est difficile ?
Je ne vous cache pas que tout n’est pas toujours ‘simple’, mais un comportement ‘naturel’, logique, et faisant appel à l’imagination (et l’aide que je puis vous apporter sur ce blog) ce ne sera pas impossible.
Des questions ? Vous avez déjà déterminé ou atteint un objectif de sécurité ? Voulez-vous nous en parler ? Ecrivez-moi.
Vous avez remarqué, dans la colonne de droite, qu’il était possible de s’inscrire pour être informé de la publication des nouveaux articles, profitez-en. Cela me permet également de voir combien vous êtes à me lire et à m’être fidèle.
A bientôt, plus en sécurité avec vos informations…
Jean-Luc
Google+