Plan d’actions

Maintenant que nous savons ce que sont les contrôles et comment les cataloguer et en décrire le comportement, il est temps de les ordonner et de les coordonner aussi bien dans le temps que dans l’espace.

Le temps

Encore… et toujours

Il faudra choisi l’ordre logique et chronologique dans lequel les contrôles seront mis en œuvre en veillant bien à disposer de fondations solides avant de construire dessus. On ne monte pas le toit d’une maison en premier lieu !

Objectifs

Nous commencerons donc par la politique de sécurité (de l’information) qui fixe tous les objectifs que nous voulons atteindre … de façon continue. Ensuite viennent les directives qui explicitent des objectifs ainsi que les processus qui vont être développés. Ceci comprend la détermination des rôles et responsabilités pour les différents acteurs impliqués.

C’est également au tout début que vous identifiez

  • les biens essentiels (informations et traitements) et les biens supports (tout le reste) qui ont besoin de protection
  • le niveau de protection requis
  • les personnes et entités qui recevrons accès
  • les droits et règles d’accès et d’utilisation des biens.

Contrôles

Viennent ensuite les différents contrôles successifs en veillant à accorder le calendrier de mise en place avec la disponibilité des ressources et moyens nécessaires afin d’éviter les conflits, leurs absences et manques d’efficience.

Supervision et formation

Il s’agit également de prévoir et d’installer en parallèle aux contrôles les moyens et capacités de supervision et de sensibilisation voire de formation tant sur les contrôles que sur leurs objectifs et la sécurité de l’information en général.

Le Plan

Il est évident que tout ne se fait pas « à la queue leu leu » ou simultanément. Mais il est sûr que, selon les ressources, moyens et compétences disponibles que l’on peut mobiliser, certaines choses seront réalisées ‘en parallèle’.

Il sera judicieux de prévoir un plan divisé en phases constituées de différentes actions et étapes. Chacune disposera de ses objectifs mesurables de sorte que l’on puisse régulièrement mesurer et évaluer le chemin parcouru ainsi que de réévaluer la suite du plan avec les mises au point et ajustements nécessaires.
Qui sait, il est possible que, compte tenu du temps prévu pour la réalisation du plan complet, l’objectif final pourrait également avoir changé… et il serait particulièrement contreproductif de poursuivre des objectifs qui ont disparu !

L’espace

Les contrôles seront installés en plusieurs couches qui seront mises en place progressivement depuis le bien à protéger et de plus en plus loin.

On parle de Défense en profondeur. La conception habituelle est cependant généralement erronée et mal comprise.

Les ‘couches’

Il ne s’agit pas de mettre différents contrôles les uns sur les autres comme des poupées russes. Comme dans un oignon, les différentes ‘couches’ enserrent et protègent toutes le centre ‘totalement’

Chaque ‘couche’ doit contenir un élément de chacune des dimensions de la sécurité que vous avez décidé de combler.

Les voies d’approvisionnement

Ce sont les chemins par lesquels l’information nous arrive et repart vers ses destinataires. Il y en a dans chacune des dimensions de sécurité.

Il serait donc de bonne pratique de placer des contrôles ou des obstacles sur la route des agressions de loin en loin, en commençant par la position la plus proche de ce que l’on veut protéger. Trois barrières est un minimum.
Pour des biens physiques, c’est facile à comprendre : l’armoire, le local et le bâtiment (fermés quand personne n’est là pour surveiller, bien entendu ! – ce qui nous permet d’allier la sécurité physique et la sécurité par les personnes.)

Cela est bien moins facile à imaginer dans des dimensions plus immatérielles. Par exemple le réseau entre personnes et organisations. C’est dans cette dimension que nous nous assurons que l’information que nous collectons est fiable et que l’on peut faire confiance aux personnes et aux contacts divers que l’on établit.

Les voies de communication

Ce sont les liens entre les différents contrôles sur une même couche de protection.

Il est essentiel de prévoir un moyen de communication entre les différents contrôles afin de s’assurer

  • qu’ils fonctionnent comme attendu
  • qu’ils détectent la présence ou le passage de ce que l’on veut arrêter
  • qu’ils se surveillent et se renforcent mutuellement.

 

Pouvez-vous imaginer un jeu de contrôles sur d’autres dimensions que la dimension physique ?
Que peut-on dire ou que doit-on taire à nos « amis » pour que nos bijoux restent à l’abri des tentations et des cambrioleurs ?

Vous remarquerez vite que ce n’est pas si difficile.

 

Il nous reste à coordonner le tout, ce sera l’objet de notre prochain article.

A bientôt, plus en sécurité avec vos informations

Jean-Luc

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.