De mieux en mieux : mais pour de vrai maintenant

À une époque où les menaces numériques évoluent rapidement, une culture de l’amélioration continue est cruciale pour une sécurité de l’information efficace. Les entreprises ne peuvent se contenter d’un inventaire ponctuel des risques ou d’une pile de politiques de sécurité ; elles doivent constamment affiner leurs processus. Le cycle Planifier-Faire-Vérifier-Agir (PDCA) - souvent appelé Planifier, Faire, Vérifier, Agir, ou Planifier, Exécuter, Vérifier, Ajuster - fournit une approche structurée pour y parvenir. Ce cycle PDCA est au cœur de nombreux programmes de qualité et de sécurité, et il est explicitement recommandé dans des normes telles que la norme ISO 27001 pour la sécurité de l’information.

• Planifier** : établir des objectifs et des plans d’amélioration (par exemple, de nouvelles mesures de sécurité) et définir des critères de mesure.
• Faire : exécuter les plans - mettre en œuvre le contrôle ou le changement.
• Vérification : mesurer et évaluer les résultats ; les changements ont-ils l’effet escompté ?
• Agir : obtenir des améliorations fructueuses ou procéder à des ajustements si nécessaire. Il est essentiel de noter qu’il ne s’agit pas d’un processus ponctuel, mais d’un cycle continu. À l’instar d’un cercle, le PDCA ne se termine jamais : après la phase d’action, vous recommencez à planifier, ce qui garantit une amélioration continue. Il garantit que votre organisation s’améliore un peu plus chaque jour.

Amélioration continue avec PDCA dans la sécurité de l’information

La sécurité de l’information bénéficie de la même philosophie d’amélioration continue que d’autres disciplines. Le règlement général sur la protection des données (RGPD), par exemple, mentionne même ce mécanisme ! Pour la sécurité de l’information, le cycle PDCA (Plan-Do-Check-Act) est un élément essentiel de la norme de sécurité de l’information ISO 27001. Les organisations qui mettent en œuvre la norme ISO 27001 sont tenues d’utiliser un système de gestion de la sécurité de l’information (SGSI) basé sur le cycle PDCA. Ce système aide les organisations à améliorer et à adapter en permanence leurs mesures de sécurité de l’information aux nouveaux risques et exigences.

Les menaces changent constamment et de nouvelles vulnérabilités apparaissent ; une organisation qui reste immobile prend rapidement du retard. Le cycle PDCA impose une approche structurelle et itérative : après avoir mis en œuvre des mesures de sécurité, il faut procéder à des contrôles (par exemple par le biais d’audits, de surveillances ou d’analyses d’incidents), puis ajuster les politiques et les mesures en fonction des résultats obtenus. Cela permet d’éviter de rester bloqué à un niveau de sécurité médiocre ou de laisser des vulnérabilités connues non résolues. Les analyses des experts montrent qu’en l’absence d’une telle boucle de rétroaction, de nombreuses équipes s’arrêtent après avoir mis en œuvre quelques “gains rapides” - les gens ne savent alors pas quels sont les contrôles supplémentaires qui apportent une valeur ajoutée et quels sont ceux qui ne sont que de la bureaucratie. En mesurant les expériences (phase de vérification), l’équipe apprend quelles mesures sont réellement efficaces. Elle peut ainsi se concentrer sur les mesures de sécurité qui apportent manifestement une valeur ajoutée, conformément aux objectifs de l’entreprise.

La concrétisation de ce processus passe par des évaluations régulières des risques, des audits internes, des revues de direction et la mise en œuvre d’actions d’amélioration. Dans l’idéal, la sécurité de l’information n’est pas un projet ponctuel, mais un processus continu ayant une place fixe dans l’organisation (par exemple, par le biais d’une équipe ou d’un comité de sécurité permanent).

PDCA sur papier et dans la pratique

Bien que le cycle PDCA semble simple sur le papier et qu’il soit souvent clairement énoncé dans les politiques, il ne fonctionne pas toujours bien dans la pratique. Certaines organisations disposent d’un manuel ISMS et d’un plan d’audit annuel, mais n’utilisent pas vraiment le cycle pour améliorer leur sécurité. Un écueil fréquent est que la sécurité de l’information dégénère en un exercice de mise en conformité, sans incidence sur les activités quotidiennes. Cela semble bien** sur le papier, mais si le cycle PDCA n’est suivi que pro forma, il reste une pensée linéaire au lieu d’une véritable itération.

On entend souvent dire que la sécurité informatique ne doit pas devenir un exercice purement administratif. La sécurité informatique doit renforcer l’activité de l’entreprise et ne pas devenir une simple tâche administrative qui se contente de respecter des lignes directrices. Ce qui me frappe alors, c’est que ce raisonnement devient la raison pour laquelle on laisse souvent les choses aller. En d’autres termes, une politique peut être magnifiquement rédigée - s’il n’y a pas de suivi concret des contrôles et des actions, aucune amélioration ne se produit et l’organisation ne devient pas vraiment plus sûre. Pire encore, vous continuez à répéter les mêmes erreurs, à utiliser les mêmes solutions bancales et à considérer la sécurité de l’information comme un coût ou une nuisance.

Des exemples pratiques le confirment. Ainsi, je constate régulièrement que les entreprises disposent de documents de politique et de procédures (par exemple pour la réponse aux incidents ou la gestion des accès) mais que, dans l’agitation de la vie quotidienne, ces documents ne sont pas strictement respectés ou évalués. En matière d’audit, nous parlons d’intention, d’existence et de fonctionnement pour une bonne raison. Mais dans la pratique, il existe encore parfois un fossé entre l’intention, l’existence et le fonctionnement.

Les tests réguliers des mesures (par exemple par des tests internes ou des simulations) sont alors omis, ou les résultats ne conduisent pas à des ajustements. Cela compromet le principe PDCA. Un audit annuel, par exemple, peut produire les mêmes résultats à plusieurs reprises sans les corriger de manière structurelle, ce qui est un signe d’échec de la phase “Act”. En l’absence d’un cycle d’amélioration vivant, les programmes de sécurité deviennent rapidement statiques et vulnérables. Pour que le PDCA fonctionne réellement, il faut un engagement de la part de la direction et des personnes chargées de la mise en œuvre : la direction doit soutenir et valider les améliorations, tandis que l’équipe chargée de la mise en œuvre doit mesurer et apprendre de manière active. Ce n’est qu’à cette condition que le cycle prendra vie et se traduira par une amélioration constante de la qualité de la sécurité de l’information.

Apprendre des autres secteurs : l’exemple de l’aviation

D’autres secteurs qui mettent l’accent sur la sécurité utilisent des mécanismes d’amélioration continue depuis des décennies. L’industrie de l’aviation** est considérée comme un excellent exemple : les vols sont aujourd’hui extrêmement sûrs, en partie grâce à des cycles d’amélioration systématique après les incidents et à des mesures proactives. Quelques exemples éloquents :

• Crew Resource Management (CRM) - Dans les années 1970 et 1980, l’aviation a introduit la formation CRM pour les équipages de cockpit en réponse à certains accidents graves impliquant un manque de travail d’équipe et de communication. Auparavant, le commandant de bord était considéré comme l’autorité suprême, ce qui conduisait parfois à des erreurs, les copilotes hésitant à intervenir. La CRM a appris aux équipes de pilotage à mieux communiquer, à partager la prise de décision et à se tenir mutuellement responsables d’éventuelles erreurs. La gestion de la relation client est désormais obligatoire pour les pilotes de ligne du monde entier. On peut dire que cela a permis de sauver des vies : le célèbre pilote, le capitaine Al Haynes, a attribué à la formation en CRM la réussite de l’atterrissage de l’avion endommagé du vol 232 de United Airlines en 1989 - sans cette formation, la coordination de l’équipe aurait fait beaucoup plus de victimes. La CRM s’est avérée si efficace pour réduire les erreurs humaines que le modèle a été adopté dans d’autres domaines, tels que la chirurgie et la médecine d’urgence. La formation continue et le perfectionnement de ces “compétences non techniques” constituent une forme d’amélioration continue de la culture de la sécurité aérienne.
• Listes de contrôle obligatoires pour les pilotes et les techniciens** - L’aviation a une culture dans laquelle aucune étape n’est trop banale pour être vérifiée. Les listes de contrôle sont une mesure simple mais cruciale pour un fonctionnement cohérent et sans erreur. Ce principe a été introduit, par exemple, après qu’un prototype Boeing modèle 299 (précurseur du bombardier B-17) se soit écrasé en 1935 parce que l’équipage avait oublié une opération simple (déverrouiller les gouvernes de direction) - l’avion était si complexe que “les pilotes ne pouvaient plus faire toutes les étapes par cœur”. Ils ont alors conçu des listes de contrôle pour le décollage, le vol et l’atterrissage, qui devaient désormais être respectées toujours. Depuis, les check-lists sont indispensables. Chaque pilote - du pilote de sport au commandant de bord - travaille avec des listes standardisées pour chaque phase du vol. Cela réduit considérablement le risque d’oublier des actions et garantit que, même en cas de stress (pensez à une situation d’urgence), rien d’essentiel n’est omis. L’utilisation de listes de contrôle accroît la cohérence et permet d’éviter les erreurs de mémoire humaine, ce qui contribue directement à la sécurité. Inversement, les études sur les catastrophes montrent que lorsque des erreurs cruciales sont commises par l’équipage, c’est très souvent parce que la liste de contrôle a été ignorée. Les ingénieurs de maintenance travaillent également avec des protocoles de liste de contrôle stricts, afin de s’assurer, par exemple, qu’après un entretien, tous les boulons sont resserrés au couple correct et qu’aucune étape n’est oubliée. L’évaluation et l’amélioration constantes de ces listes de contrôle (par exemple, en réponse à des enquêtes sur des incidents) est également une pratique de type PDCA : si quelque chose ne va pas quelque part, la liste de contrôle correspondante est révisée pour éviter que cela ne se reproduise.
• Maintenance préventive et remplacement des composants (fatigue des métaux) - Les cycles d’amélioration technique sont tout aussi importants. Chaque composant d’avion a une certaine durée de vie et est souvent remplacé avant qu’il ne tombe en panne, afin de minimiser les risques. Cette pratique découle des leçons tirées de la fatigue des métaux, entre autres. Dans les années 1950, le premier avion de ligne à réaction (le De Havilland Comet) a subi des accidents mortels dus à la fatigue des métaux dans le fuselage. Depuis lors, une compréhension approfondie de la fatigue des matériaux fait partie intégrante du processus de conception, d’inspection et de maintenance. Les aéronefs font l’objet d’inspections détaillées périodiques (par exemple, des essais non destructifs pour détecter les fissures) et sont soumis à des calendriers de révision stricts. Les constructeurs et les régulateurs fixent des limites opérationnelles : après un certain nombre d’heures de vol ou de cycles de décollage et d’atterrissage, un composant doit être remplacé ou un avion mis hors service. Cela permet d’éviter de manière proactive les accidents dus à l’usure. Il s’agit d’un mécanisme d’amélioration continue, car les limites sont constamment ajustées sur la base de l’expérience et de la recherche. Chaque fois qu’une fissure ou un défaut est découvert, cela conduit à des ajustements : intervalles d’inspection plus courts, matériaux améliorés, modifications de la conception ou nouvelles instructions d’entretien. Prenons l’exemple de l’incident d’Aloha Airlines en 1988, où la fatigue du métal a provoqué l’arrachement d’une partie du fuselage ; cela a précipité l’introduction de régimes d’inspection stricts pour les avions plus anciens. Ce système de précaution et d’apprentissage a considérablement réduit le risque lié à la fatigue des matériaux. Le personnel de maintenance est formé en permanence et les procédures sont mises à jour - un exemple pratique de PDCA : planifier (établir un calendrier de maintenance), faire (effectuer la maintenance), vérifier (analyser les résultats de l’inspection, enquêter sur les incidents) et agir (ajuster les calendriers ou la conception pour prévenir les problèmes futurs).

Le fil conducteur de ces exemples aéronautiques est l’amélioration continue : chaque erreur ou quasi-échec est une raison d’ajuster les procédures, la formation ou la technique. Le résultat est une statistique de sécurité impressionnante, obtenue en passant constamment par la “boucle de rétroaction” et en créant une culture dans laquelle tout le monde, du mécanicien au pilote, accepte les améliorations. Le cycle PDCA fait partie de cette culture mature.

Industrie pharmaceutique : amélioration continue de la qualité et de la sécurité

L’amélioration continue est également un concept central dans l’industrie pharmaceutique, bien que sous d’autres noms. Ce secteur est soumis à une réglementation stricte (pensez aux BPF - Bonnes pratiques de fabrication), précisément pour garantir la qualité et la sécurité des médicaments. Cela nécessite un cycle continu de mesures et d’améliorations. Par exemple, les entreprises pharmaceutiques disposent de systèmes CAPA (Corrective and Preventive Action) : pour chaque écart dans le processus de production ou chaque plainte concernant un produit, elles interviennent d’abord de manière corrective et cherchent ensuite préventivement comment éviter que cela ne se reproduise - une approche très similaire au PDCA (on planifie des actions d’amélioration, on les met en œuvre, on en vérifie l’efficacité et on les sécurise).

Un mécanisme clé est le système complet de gestion de la qualité, dans lequel le retour d’information est recueilli à tous les niveaux. Par exemple, au cours de la production, les lots de médicaments sont testés en permanence (en ligne ou à l’aide d’échantillons en laboratoire). Si une mesure de la qualité ne correspond pas aux spécifications, toute une procédure d’analyse et d’amélioration est lancée. Cela peut conduire à des ajustements du processus, à des formations supplémentaires pour les employés ou même à des modifications de la conception du produit. La recherche montre que dans les secteurs de la pharmacie et des soins de santé, il est encore plus nécessaire de mettre l’accent sur l’amélioration continue pour faire face à des problèmes complexes - cela implique de renforcer l’assurance qualité régulière par des techniques d’amélioration, de sorte que les employés puissent s’attaquer aux problèmes de processus de manière structurelle plutôt qu’individuelle. En d’autres termes, cultiver une culture où chaque écart est une opportunité d’amélioration est dans l’ADN des grandes entreprises pharmaceutiques.

Des exemples concrets montrent à quel point cela peut être efficace. Les entreprises pharmaceutiques, par exemple, appliquent les méthodes Lean et Six Sigma pour optimiser en permanence leurs processus. Pfizer, l’une des plus grandes entreprises pharmaceutiques au monde, a lancé un programme d’amélioration au milieu des années 2000 afin de réduire considérablement les délais de production et de distribution du Lipitor, un médicament hypocholestérolémiant. Grâce à l’analyse de la chaîne de valeur et à l’élimination des goulets d’étranglement, l’entreprise est parvenue à réduire le délai de livraison global de 75 % en l’espace de deux ans. Les patients ont ainsi reçu leurs médicaments plus rapidement et Pfizer a pu fonctionner de manière plus efficace - un résultat gagnant-gagnant grâce à l’amélioration continue. Un autre exemple est l’introduction à grande échelle de technologies d’analyse des processus et de surveillance en temps réel dans la production pharmaceutique, de sorte que des ajustements peuvent être effectués immédiatement en cas d’écart entre les paramètres. Autrefois, les problèmes de qualité n’étaient découverts qu’au moment de l’inspection finale ; aujourd’hui, nous apprenons tout au long du processus et pouvons prendre des mesures immédiates.

Dans l’industrie pharmaceutique, comme dans l’aviation, la sécurité est la force motrice. Chaque rappel de médicament ou chaque erreur de production découverte déclenche un cycle PDCA étendu : de l’enquête (Planifier ce qu’il faut améliorer) à la mise en œuvre de mesures correctives (Faire), en passant par la vérification au moyen d’audits et de tests supplémentaires (Contrôler) et l’adaptation des processus standard et de la formation (Agir). En outre, les pharmaciens procèdent périodiquement à des “revues de gestion” de leurs systèmes de qualité, au cours desquelles les tendances en matière de déviations et de plaintes sont analysées et des plans d’amélioration sont élaborés. Grâce à cette approche, les médicaments sont aujourd’hui d’une qualité très constante et les incidents de production graves sont relativement rares - et lorsqu’ils se produisent, l’ensemble du secteur en tire des enseignements (par le biais de lignes directrices communes, de mises à jour de la pharmacopée, etc.) L’amélioration continue est littéralement vitale pour la sécurité des patients. L’effet secondaire : des systèmes et des processus qui fonctionnent mieux, combinés à l’efficacité, vous permettent d’améliorer votre situation au lieu de vous contenter d’un coût.

Parallèles et leçons pour la sécurité de l’information

Les exemples de l’aviation et des produits pharmaceutiques montrent qu’une culture de l’amélioration structurelle offre d’énormes avantages en termes de sécurité et d’efficacité. Et bien que la sécurité de l’information soit un domaine différent, les principes sous-jacents sont très similaires. Quelques leçons clés et parallèles :

• Culture et comportement humain:** La gestion de la relation client dans le cockpit et la culture de la qualité dans l’industrie pharmaceutique reposent toutes deux sur le fait que les gens se sentent libres de soulever et de résoudre les problèmes. Il en va de même pour la sécurité de l’information : une culture ouverte de signalement des incidents de sécurité ou des quasi-incidents (par exemple, un employé qui a failli cliquer sur un lien de phishing, mais qui le signale) crée des opportunités d’apprentissage. Si les employés cachent leurs erreurs par peur des sanctions, ces précieuses informations Check sont perdues. Encourager la coopération entre la direction, le personnel chargé de la sécurité informatique et les utilisateurs finaux (comme le CRM encourage le travail d’équipe entre le capitaine et le copilote) permet de s’assurer que les signaux sont captés à temps et que les améliorations sont portées à la connaissance de tous. La formation joue également un rôle : les sessions régulières de sensibilisation à la sécurité pour le personnel et les exercices pour les équipes informatiques (tels que les exercices de plan d’urgence) peuvent être comparés à la formation annuelle obligatoire à la gestion de la relation client pour les pilotes. Ils maintiennent la sensibilisation à la sécurité et perfectionnent continuellement les compétences. Cela va au-delà d’un moment de sensibilisation annuel.
• Procédures et listes de contrôle:** La sécurité de l’information peut bénéficier directement de la “pensée de la liste de contrôle” de l’aviation. Les processus informatiques complexes - comme le déploiement de nouveaux serveurs ou la réponse à un cyberincident - se prêtent bien à l’établissement de listes de contrôle standardisées pour éviter tout oubli. Par exemple, une liste de contrôle pour la gestion des correctifs (Planifier : quels correctifs, Faire : déployer en test, Vérifier : surveiller les systèmes, Agir : déployer en production ou revenir en arrière) ou un manuel de réponse aux incidents avec des actions étape par étape. À l’instar des pilotes, les listes de contrôle réduisent le risque d’erreurs dans les situations stressantes. Plus important encore, ces procédures sont vivantes : après chaque “vol” (c’est-à-dire après chaque incident ou changement informatique important), il convient d’évaluer si la procédure est toujours suffisante ou si elle doit être adaptée. Ce retour d’information est similaire à la mise à jour d’une liste de contrôle ou d’un manuel à la suite d’un accident évité de justesse. Un exemple bien connu dans le domaine des technologies de l’information est l’organisation d’un “post-mortem” après chaque échec à grande échelle, afin de déterminer ce qui n’a pas fonctionné et comment l’éviter à l’avenir - une pratique qui incarne exactement la phase de vérification et d’action du PDCA.
• Technologie et maintenance préventive : le principe consistant à remplacer les composants à temps pour éviter les accidents a son équivalent dans le domaine de la sécurité de l’information. Il s’agit ici d’éliminer progressivement les systèmes obsolètes ou les composants qui présentent des vulnérabilités en temps voulu. Tout comme un avion subit une révision complète après X heures de vol, une entreprise doit, par exemple, retirer de la production les logiciels anciens qui ne sont plus mis à jour avant qu’ils ne provoquent un incident. L’application de correctifs consiste à remplacer/réparer les éléments de logiciel “usés” (failles de sécurité) avant qu’ils ne soient exploités. La gestion de la capacité et les tests de résistance peuvent également être considérés comme des mesures préventives : il s’agit d’empêcher la “fatigue du métal” - en termes informatiques, le fait que les systèmes tombent en panne sous la charge ou que les fichiers journaux se remplissent. En effectuant des mesures en continu (par exemple, des analyses de vulnérabilité, des tests de pénétration, des contrôles de performance), vous découvrez rapidement où l’usure se produit et vous pouvez planifier des actions. La marge de sécurité que l’aviation prévoit (remplacer un composant bien avant la limite de rupture) est un bon exemple pour les technologies de l’information : n’attendez pas qu’une violation de données se produise, mais améliorez-vous en fonction de petits signaux (par exemple, une augmentation des incidents de quasi hameçonnage est un signal pour dispenser une formation supplémentaire avant même que quelqu’un ne tombe dans le piège).
• La réglementation et les normes comme catalyseurs : dans l’aviation et l’industrie pharmaceutique, la réglementation joue un rôle important dans la mise en œuvre de l’amélioration continue - pensez à la déclaration obligatoire des incidents aux autorités de réglementation ou à l’obligation de se conformer à des normes de plus en plus strictes. Dans le domaine de la sécurité informatique, nous observons une tendance similaire avec les lois et les règlements (AVG/GDPR, NIS2, normes ISO, etc.). Toutefois, la leçon à tirer est que la conformité en soi ne suffit pas - elle doit être soutenue de manière substantielle. De même qu’une compagnie aérienne ne se contente pas d’introduire des listes de contrôle pour se conformer à l’autorité aéronautique, mais surtout pour assurer la sécurité de ses propres vols, une entreprise ne devrait pas se contenter de vouloir se certifier ISO 27001, mais plutôt utiliser le cycle PDCA pour devenir vraiment plus sûre. L’un n’empêche pas l’autre : une bonne réglementation peut favoriser l’amélioration continue, à condition que les organisations en adoptent l’esprit et pas seulement la lettre.

Enfin, la comparaison montre que la sûreté et la sécurité sont des objectifs dynamiques. Qu’il s’agisse de minimiser les accidents d’avion, de prévenir les erreurs de production de médicaments ou de lutter contre les cyberattaques, l’immobilisme équivaut à un retour en arrière. L’amélioration continue par le biais d’un cycle tel que le PDCA consiste à utiliser chaque événement, bon ou mauvais, pour devenir plus intelligent et plus fort. En matière de sécurité de l’information, cela se traduit par une diminution du nombre d’incidents, une détection plus rapide, un impact moindre et une organisation capable de réagir avec souplesse aux nouvelles menaces. Le cycle PDCA contribue à créer une “organisation apprenante” : une organisation qui tire les leçons de chaque incident et adapte ses mesures de sécurité en conséquence. Une telle organisation n’est pas seulement conforme sur le papier, mais surtout résiliente dans la pratique - et c’est bien de cela qu’il s’agit en fin de compte.