"Sécurité : processus permanent de maintien des risques perçus à un niveau acceptable."
Cette définition simple résume en quelques mots toute la richesse du concept de sécurité de l'information. Elle est elle-même composée de 2 élements fondamentaux :
- "
processus permanent de maintien:
cela sous-entend une action continue et sans fin.
La notion d'action continue dans le but d'améliorer sans cesse les procédés est au coeur de tout SMSI (Systèmes de Management de la Sécurité de l'Information).
Cette notion est modélisée par la roue de Deming qui illustre le processus infini consistant à identifier, mettre en place des mesures, surveiller leurs effets et corriger les écarts.
- "
risques perçus à un niveau acceptable" :
cela sous-entend que la plupart des risques auxquels l'organisation est soumise ont été préalablement caractérisés et traités par les décideurs en fonction des orientations et objectifs métiers et stratégiques.
Cette notion se retrouve complétement dans les méthodes d'analyse de risques de type ISO27005.
Que peut-on déduire de tout cela ?
* Si aucun processus de maintien n'existe et que l'on se contente de prendre des mesures sans PDCA ("les bonnes pratiques") on ne peut pas maintenir les risques à un niveau acceptable.
* Si certains risques ont mal été perçus voire oubliés, le processus de maintien est partiellement inefficace puisque ignorant.
* Si le niveau d'acceptabilité est mal choisi, certains risques seront sous/sur estimés et des mesures inadaptées (trop couteuses, peu robustes) seront prises.
Pour garantir la sécurité, les composantes "gestion des risques" et "processus de maintien" sont indispensables.
