Des objectifs SMART pour la sécurité de l’information

Capture d’écran 2014-05-15 à 20.39.21

Les objectifs SMART sont connus depuis longtemps et souvent recommandés et utilisés en gestion et en développement personnel et d’entreprise. Il n’y a pas de raison de ne pas les appliquer à la sécurité de l’information.

Mais en sécurité de l’information les objectifs sont déterminés au cours d’un processus-clé de gestion des risques.

Les lettres A et R sont les plus discutées, aussi donnerais-je plusieurs possibilités.

Mon exemple typique, prononcé par le Président John Fitzgerald Kennedy au début des années 1960 : « Nous Etats-Unis d’Amérique, nous marcherons sur la Lune avant la fin de cette décennie. » Il répond à tous les critères et, en plus, il est simple, synthétique et structuré. C’est donc un petit bijou.

Voici ces 5 critères

Spécifique :

Concerner tout ou partie du système d’informations : une information, une catégorie d’informations ou un niveau de classification ; un processus/traitement sur cette information ; un actif primaire ou secondaire.

Attention, « Qui trop embrasse mal étreint » dit la sagesse populaire.

Concerner un acteur – ou groupe d’acteurs – ciblé qui doit financer (= investir) ou agir pour atteindre l’objectif : dans ce cas, il faut s’assurer qu’il dispose de la compétence, des moyens et de l’autorité nécessaires… Et pourquoi pas l’intérêt ou l’envie ?

Un objectif trop large en terme d’acteur ne permettra pas à chacun de se sentir concerné et responsable.

Mesurable

Pour se rendre compte d’une manière ou d’une autre que l’on s’approche de l’objectif, que l’on l’a atteint et qu’il reste atteint sur durée prévue (voir ‘T’ ci-dessous). Il faut des indicateurs (tableau de bord) et des échelles de mesure.

Ainsi, la confidentialité, l’intégrité et la disponibilité sont des directions pas des objectifs… Réduire les incidents de virus informatiques ou de compromissions d’informations est insuffisant : mais « réduire de moitié la survenance et les conséquences des virus informatiques ou des compromissions d’informations » est clairement mesurable.

A…

Acceptable :

L’objectif doit être accepté par celui qui doit le financer ou agir ; sans quoi il reste lettre morte ou est contourné, contesté, non recherché et atteint, et donc ineffectif, inefficace et non rentable. Il en sera de même de la solution choisie.

Ambitieux :

Puisque tout change de façon continue et que ne pas s’améliorer s’est stagner et à terme reculer, il faut que l’objectif représente un certain effort – c’est également une bien meilleure récompense que d’atteindre un objectif difficile (tenir les pirates informatiques hors de notre système, assurer la protection des donnés à caractère personnel de nos clients et fournisseurs, etc.)

Actuel :

Répondre à un besoin d’aujourd’hui ou dans un avenir relativement proche, pas hier ou dans un avenir hypothétique – c’est pourquoi il est choisi lors de la gestion des risques (j’en reparlerai); et avec les connaissances du jour.

Atteignable :

C’est une des acceptions que j’aime le moins linguistiquement parlant et qui se rapproche trop du sens général donné à ‘R’. On doit disposer des moyens, des capacités et de la volonté (lié à acceptable) nécessaires pour atteindre l’objectif.

Atteindre le 6e étage d’un immeuble par l’escalier dans les cinq minutes est acceptable, actuel (ma petite amie y habite), atteignable et ambitieux (si notre timing habituel est de six minutes). Maitriser toutes les menaces, n’est ni spécifique ni atteignable.

R…

Réel :

Ni utopie, ni rêve, ni fantaisie ; du concret, du solide – on protège d’abord les informations qui ont le plus de valeur.

Réaliste :

L’objectif doit être à notre portée, moyennant l’effort nécessaire : éradiquer la cyber criminalité – criminalité informatique – est un leurre, avoir la confiance en chacun tout le temps également.

Réalisable :

On doit se donner la capacité, construire les moyens, apprendre ; créer et réaliser un plan d’actions.

Atteindre le 6e étage en sautant est irréaliste et irréalisable ; Il faut 1° que l’étage soit construit, 2° disposer d’un escalier ou d’un ascenseur.

Temporel ou lié au temps

L’objectif doit être atteint dans un délai fixé, avant une date fixée, en commençant à un moment fixé, pendant une durée fixée. Sans quoi, procrastination et loi de Parkinson obligent, personne ne bougera.

On pourra y ajouter deux autres

Durable :

L’objectif est poursuivi puis préservé sur une période suffisamment longue ou qui nous apportera ses bénéfices sur cette période. Il faut s’assurer également que les moyens et ressources nécessaires sont économiquement utilisés et gérés.

Evaluable/réévaluable:

Lié à ‘M’, on devrait disposer de critères et d’une échelle pour évaluer si l’objectif a du sens et répond aux critères non seulement au moment de le définir, mais également tout au long du chemin qui nous y conduit et sur toute sa durée de vie.
(merci à Mathieu Vénisse du Blog ‘Penser et Agir’ de m’y avoir initié dans sa formation ‘Efficacité Prouvée’.)

 

Avez-vous déjà fixé vos objectifs SMART-de pour la gestion ou la protection de vos informations ? Cela vous-a-t-il aidé à les atteindre ? utilisez-vous d’autres critères ?

A très bientôt, plus en sécurité avec vos informations…

Jean-Luc

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *