Les objectifs de sécurité – 2e niveau

Capture d’écran 2014-06-12 à 18.00.51

Que faire pour atteindre les cibles définies (objectifs 1e niveau) en coordonnant les 8 domaines de sécurité, afin de se donner l’assurance de la réussite ? C’est le rôle des objectifs de 2e niveau.

Retrouvez l’article de base de cette série…

Chaque risque (ou scénario de risque) doit avoir ses objectifs 2e niveau, dans la mesure où

  1. ils sont inacceptables,
  2. ils impactent les objectifs 1er niveau.

Mais c’est quoi, un scénario de risque ?

C’est une très courte histoire qui raconte QUI fait QUOI, OU, COMMENT, SUR QUOI et avec QUEL EFFET en rapport avec vos informations importantes ou les traitements auxquels vous les soumettez.

Exemple : Un concurrent peut copier un projet porteur dont une copie traîne à côté de la photocopieuse et il  gagne le marché parce que ses prix sont plus bas.

On s’aperçoit que le risque est composé de deux parties : l’événement et les conséquences. Selon l’importance relative de l’un ou de l’autre, vos objectifs e 2e niveau pourront être différents.

Agir sur l’événement

Comme il n’est pas toujours possible ou facile de contrer l’acteur de l’événement et ses motivations, on peut jouer sur notre exposition à la menace, sur la facilité d’entrer en contact avec nos informations, sur la facilité de faire des dégâts. On cherche à réduire ou éviter la survenance de l’évènement.

C’est le groupe de PREVENTION.

Exemple 1 : Pour prévenir les incendies on interdit de fumer dans les bâtiments ; pour éviter que les feux soient graves on installe des extincteurs et on forme le personnel à les utiliser.

Exemple 2: On ne laisse pas trainer les documents sensibles à côté de la photocopieuse, on le laisse pas le concurrent visiter nos bureaux sans l’escorter et on s’assure qu’il n’emporte rien de chez nous.

Même si l’événement se produit, on aimerait que le dommage soit limité dans son ampleur et dans son coût. On met en œuvre des moyens prévus (les extincteurs et la formation) pour lutter contre l’événement. Pour autant qu’il ait été détecté !

C’est le groupe de REACTION.

Exemple : On prévoit une erreur ou une marque dans le document qui l’identifie comme nôtre, ce qui permet de porter plainte pour vol.

Naturellement, il est rarement possible de reprendre ses activités normales tant que l’événement n’est pas maîtrisé. Qui reprend le travail dans un immeuble qui brûle encore, ou quand les pompiers sont encore à pied d’œuvre pour éviter que le feu ne reprenne ?

Agir sur les conséquences

Une fois sauf et à l’abri, il faut penser à reprendre ses activités. Mais pour cela il faut d’abord récupérer, réparer ou remplacer ce qui a été perdu, volé ou détruit. On fait porter les conséquences sur l’auteur de l’évènement ou on fait appel à une assurance qui couvre les dégâts.

On commencera sans doute ‘petit’ et, quand tout aura été remis en place, on pourra revenir à la normale.

C’est le groupe de CORRECTION.

Exemple: On porte plainte pour vol ou plagiat et on réclame des dommages et intérêts. On montre au marché que le concurrent et malhonnête.

Résultat

Vos objectifs de sécurité de 2e niveau seront donc de prévention, de réaction ou de correction. Vous vous trouverez souvent dans le cas où deux domaines – ou les trois – devront décliner des objectifs.

Mais ce n’est pas tout. C’est ici que l’on se raccroche aux domaines de sécurité présentés la semaine dernière. Je le disait déjà, ces domaines sont ceux où les risques existent et où les solutions sont possibles.

Puisque vous êtes sages, vous ne mettez pas tous vos œufs dans le même panier. Pourquoi limiter vos solutions de sécurité (vos objectifs 2e niveau) au domaine technologique ?

Une voiture en bon état n’est pas suffisante pour atteindre votre destination sur la route. Respecter le code de la route et faire attention à tout ce qui se passe autour de vous est tout aussi important. D’où le besoin de combiner des mesures actives dans des domaines différents. Vous veillerez à ce qu’ils se recouvrent un peu ou beaucoup, de sorte que si l’un d’eux n’est pas assez solide, il vous reste un filet de sécurité.

Avez-vous déjà dressé votre première liste d’objectifs de 2e niveau destinés à atteindre vos objectifs de 1er niveau ? Avez-vous des difficultés à vous en sortir ? Avez-vous des idées qui peuvent servir aux autres ? Ecrivez-moi ci-dessous.

 

A Bientôt, plus en sécurité avec vos informations

Jean-Luc

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *