Finding The Hidden InfoSec Story

Pourquoi le cycle de Deming contribue-t-il à une meilleure gestion de la sécurité


Le cycle de Deming (Plan – Do – Check – Act) est connu dès que l’on parle d’amélioration continue dans les systèmes de management (ISO 9001, ISO 20000, ISO 22301, ISO 27000, ..)

Les quatre grandes phases peuvent être décrites comme suit :

 

P: Objectifs et processus nécessaires pour fournir des résultas
D: Implementer le Plan, Executer le processus , Réaliser le Produit, …
C: KPI (Key Performances Indicators) – Mesures
A: Actions correctrices

Dans la sécurité de l’information, c’est la norme ISO/IEC 27001:2013 qui est d’application. Elle a pour but la mise en place d’un Système de Management de la Sécurité de l’Information (SMSI) ou Système de Gestion de la Sécurité de l’information (SGSI).

Nous pouvons nous appuyer sur la norme ISO/IEC 27003 dont le but est de fournir de l’aide et des conseils dans la mise en œuvre d’un SMSI pour implémenter l’ISO/IEC 27001:2013.

En respectant une méthodologie adéquate, une organisation peut s’assurer de couvrir les besoins minimums pour respecter l’implémentation d’un SMSI, elle peut dès lors profiter de l’amélioration continue engendrée par la mise en place de cette méthodologie.

Pour un SMSI, les grandes étapes de mise en oeuvre sont décrites dans la figure ci-dessous :

 

Fig1

La gestion de la sécurité est tout aussi importante pour le plongeur loisir, car il en va de sa propre vie.

 

Le plongeur loisir, de part sa formation est déjà sensibilisé à l’amélioration continue. Elle lui permet de réduire considérablement les risques liés à la plongée et de s’améliorer afin de continuer à profiter pleinement de son loisir et ceci lors de chaque plongée et le plus longtemps possible.

Nous comparons brièvement le cycle de Deming avec ce que réalise un plongeur formé pour exercer sa passion (avant la plongée, pendant la plongée, après la plongée,…)

Fig2

Là où le cycle de Deming se découpe globalement en 4 grandes étapes successives, le plongeur le fait en 3 étapes. L’étape Check, se fait dans l’étape Do (pendant toute la durée de la plongée). On n’attend pas d’être sorti de l’eau pour vérifier si son Buddy a un problème ou si il nous reste suffisamment d’air, on vérifie ceci en continu pendant la plongée.

P: Planifier la plongée 

Le plongeur prépare et vérifie son matériel avant de plonger (seul et avec son buddy), il revoit les gestes ad-hoc à exécuter sous-l’eau avec son buddy. Il suit une procédure établie pour préparer son matériel.

Il définit ce qu’il va faire pendant la plongée. Ceci se fait lors de chaque plongée, même si on plonge toujours avec le même buddy et toujours au même endroit, car chaque plongée est unique, et il existe tellement de facteurs de risques différents qui peuvent en influencer le cours. Le briefing permet de réviser ou découvrir l’endroit où on va plonger (schémas, explications sur les courants, marées, animaux et menaces spéciales …).Le plongeur configure son ordinateur de plongée (en fonction du type d’eau, de l’altitude, du mélange gazeux, de l’heure locale, de son état de fatigue, etc…)

 

Do : On plonge
    C’est l’étape la plus courte à décrire et la plus Fun pour un plongeur !
         Check :  en plongée, le check se fait de manière continue dans le DO

Le plongeur vérifie constamment qu’il respecte le plan de plongée, les courants, l’environnement local, qu’il garde le bon cap.  Il vérifie régulièrement l’air de sa bouteille (et le niveau d’air de son Buddy). Il vérifie son ordinateur (sa profondeur, si il doit faire des paliers et de combien temps en fonction de l’air qui lui reste)

Restons pragmatiques, le plongeur ne reste pas rivé sur l’écran de son ordinateur de plongée sinon il ne profite plus de la plongée, il le regarde plutôt à intervalles réguliers. Vous verrez très souvent les plongeurs se faire le signe OK entre eux. C’est un des premiers gestes que l’on apprend, et il permet de vérifier si tout va bien. La réponse attendue est un OK, sinon il existe bien entendu d’autres gestes spéciaux pour décrire le problème que l’on a. Détecter rapidement les incidents est une qualité nécessaire pour un plongeur, cela réduit fortement les risques d’accidents de plongée dont certains peuvent conduire à une paralysie voire à la mort du plongeur.

 

A: On agit 

Le plongeur est sorti de l’eau, et c’est le moment d’échanger avec les autres plongeurs. On apprend ce qu’on a découvert (nouveau poisson, gestion sous l’eau, flottabilité, erreurs…). On synchronise notre ordinateur de plongée avec un logiciel de gestion de plongée installé sur notre Laptop. On peut ainsi comparer notre consommation d’oxygène au fil des plongées (Check).

Lorsqu’on choisit un contrôle (ordinateur de plongée), nous devons être capable de le mesurer (DiveLog), sinon à quoi bon vouloir s’améliorer. Il en va de même pour les systèmes d’information.

Le profile de plongée ci-dessous, nous montre que le plongeur est descendu à 35m, y est resté environ 10 minutes et a ensuite commencé sa remontée. Il a connu un problème à 15m (remontée trop rapide), et est resté à 10m jusque la fin de la plongée. Enfin nous voyons qu’il est encore remonté trop vite de 10m à 5m. Il a terminé sa plongée par un pallier de décompression d’au moins 3 minutes à 5m. Ce pallier permet d’éliminer les dernières bulles d’azote encore présentes dans le corps du plongeur et permet ainsi de réduire le risque d’accident. Il voit tout ceci sur l’écran de son ordinateur de plongée, mais en exportant les données vers un logiciel adéquat, cela lui permet de comparer ses plongées et ainsi de s’améliorer.

Fig4

Pour rédiger cet article, je me suis aussi un peu penché sur les normes ISO dans la plongée.
J’en ai retenu deux pour la plongée loisir.

ISO 24801-1:2014 Recreational diving services — Requirements for the training of recreational scuba divers — Part 1: Level 1 — Supervised diver
ISO 24801-2:2014 Recreational diving services — Requirements for the training of recreational scuba divers — Part 2: Level 2 — Autonomous diver

Les écoles de plongée qui veulent former des plongeurs loisirs doivent donc elles aussi respecter une norme ISO. Ces normes ne sont pas suivies telles quel par les écoles, mais les associations telles que PADI ou Scuba School International les ont dérivées pour les intégrer dans leurs différents programmes de formation et de certification. Il y a donc aussi des audits chez les plongeurs !!

Conclusions

Le cycle de Deming permet de répéter les choses, de définir des standards, de s’améliorer en évitant de reculer, tout comme le permet un système de management.

Nous avons vu qu’il est à la fois utile pour gérer la sécurité de l’information mais également la sécurité du plongeur loisir. Le cycle de Deming peut être utilisé dans la vie quotidienne et certaines organisations l’utilisent sans même en avoir conscience, car au fond, tout est question de bon sens.

En sécurité de l’information, pour répondre de manière efficace aux nouveaux types de menaces, risques, et autres incidents, les organisations doivent continuer à s’améliorer et mesurer l’efficacité de leurs systèmes d’information. En respectant les lignes de conduite d’une amélioration continue, les organisations peuvent s’assurer un niveau minimum de sécurité à atteindre. Elles garderont en tête qu’une fois les contrôles choisis, ces derniers doivent êtres mesurés (Check).

Le plongeur suit lui aussi un cycle de Deming, sa motivation intrinsèque à plonger, fait aussi en sorte qu’il va naturellement se documenter sur le matériel, les articles spécialisés, sur les accidents (comment les prévenir, réduire les risques), pour finalement rester conscientisé et à jour. Il n’hésite pas à échanger ses expériences avec d’autres plongeurs. Les plongeurs sont déjà sensibilisés aux risques et à la gestion des incidents.

L’amélioration continue peut être appliquée à tous les domaines de la vie, la chose peut être la plus difficile à accepter est « le changement », c’est pourtant le passage obligé vers le progrès. Les erreurs ne sont des erreurs que si nous n’en faisons rien, par contre si on en profite pour apporter des actions correctrices, nous sommes alors dans la bonne direction.

Il ne suffit pas de connaître notre niveau, seul compte le niveau que l’on veut atteindre.

 

An English version of this analogy will be posted on Thursday 5th February.

Share This Post On