Tableau de Bord Sécurité

LIVRE BLANC

Tableau de BordSécurité :Une approche par la maturité

LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ / PAR CLAIRE BERNISSON & LÉONARD KEAT

Tableau de BordSécurité :Une approche par la maturité

Par Claire Bernisson et Léonard Keat

2 LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ

L’évolution de l’environnement économique etréglementaire des dernières décennies a amenéles entreprises à adapter leur gouvernance et àtrouver un nécessaire équilibre entre performanceet conformité.

Dans ce contexte, la gouvernance de la sécuritédes systèmes d’information se doit de soutenir lagouvernance institutionnelle en permettant demaîtriser et réduire les risques, et la gouvernancedes activités métier de créer de la valeur et d’améliorer la performance.

En particulier, la stratégie de sécurité prend unenouvelle dimension dépassant la simple approchetechnique. Il s’agit de soutenir les métiers de l’en-treprise (mobilité de l’information, mobilité descollaborateurs, flexibilité et réactivité des sys-tèmes d’information, résilience…), de répondreaux contraintes légales et réglementaires, et d’as-surer la protection de son patrimoine information-nel au meilleur coût en respectant la culture de l’entreprise.

Comme le rappelait Sir Winston CHURCHILL, « However beautiful the strategy, you should occasionally look at the result1 ». Cependant,d’après le rapport de 2012 du CLUSIF portant surla sécurité du SI, une grande majorité des entreprises françaises (79%) n’a pas d’indicateursde mesure du niveau de la sécurité de l’information.Et lorsqu’ils existent, seulement 37% de cestableaux de bord sont remontés à la DirectionGénérale.

L’intérêt de mettre en œuvre un tableau de bordpour mesurer, contrôler et piloter la stratégie desécurité n’est pourtant plus à démontrer. Les principaux objectifs sont de :� Contrôler la bonne mise en oeuvre des mesureset moyens de sécurisation du SI

� Fournir une vue d'ensemble de la gestion desrisques de l’entreprise

� Comparer l'état actuel de la sécurité du SI avec les états précédents, par la fourniture

d’indicateurs calculés selon des méthodologiesrépétables et industrialisables� Aider à répondre aux questions récurrentes dutype : « Quel est notre niveau de sécurité ? » et « Sommes-nous conformes ? »

Une « panne » de tableau de bord à l’origine d’uncrash aérien2

29 décembre 1972. Le vol 401 Eastern Air Linesamorce son approche vers l’aéroport international deMiami. Au moment de sortir le train d’atterrissage,l’équipage se rend compte que la lumière du tableaude bord servant à indiquer le bon déroulement del’opération reste éteinte : soit le train n’est pas biensorti, soit l’ampoule est grillée. Une série de vérifica-tions visuelles liées à ce 1er incident est alors déroulée, occupant certains membres d’équipage horsde vue du tableau de bord. Dans le même temps,l’avion commence à perdre de l’altitude. Une alarme,concernant l’altitude cette fois-ci, apparait sur untableau de bord alors sans surveillance. L’alertehumaine n’est finalement donnée que quelques tempsplus tard, il n’est plus possible d’agir, l’avion s’écrase10 minutes après la découverte de la lampe grillée.

Une simple lumière verte ou rouge sur un tableau debord prend alors toute son importance. À partir decet exemple précis, 2 conclusions peuvent êtretirées : � Un risque majeur (perte d’altitude et décrochagede l’avion, mauvais fonctionnement du train d’atterrissage) peut être détecté via la mise enplace d’un indicateur « simple » (une lumière)

� L’absence de surveillance régulière d’un indica-teur particulier peut aboutir à des conséquencesdésastreuses

Des indicateurs inadaptés mis en cause dans desaccidents industriels3

« Juin 2007. Dans une usine de fabrication d’ammoniac et engrais, 200 kg d’oxydes d’azote (NOx)sont émis dans l’atmosphère via la cheminée de l’atelieracide nitrique en redémarrage après un arrêt de

1. Aussi belle soit la stratégie, vous devriez de temps en temps évaluer le résultat2. http://aviationknowledge.wikidot.com/asi:eastern-air-lines-flight-401-cfit-analysis3. Étude capteur barpi de juin 2012

PARTIE 1 : ENTRÉE EN MATIÈRE

LOIN DU MONDE DE LA SÉCURITÉDU SI

DE L’OPÉRATIONNEL À LA GOUVERNANCE

LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ 3

2 semaines pour maintenance […] L’émission se pour-suit 50 min jusqu’à ce que l’exploitant identifie lacause de l’incident : une défaillance du dispositif demesure […] L’inspection […] notera sur place que leseuil d’alarme de niveau haut […] n’est pas adaptéaux phases de démarrage […]. Seule les fuméesrousses ont alerté les opérateurs. »

A la même période, « un incendie se déclare à labase d’un séchoir à fécule. L’accident est probable-ment dû à un dépôt accidentel de fécule ayant subiun échauffement anormal. Compte tenu de la posi-tion inadaptée du capteur de température, l’injec-tion de vapeur automatique prévue pour éviter cetype d’incident n’a pas fonctionné ».

Ces deux exemples mettent en avant des élémentscomplémentaires qui s’appliquent parfaitementdans le cas des tableaux de bord de sécurité : � Un indicateur mal positionné, non relié à unrisque, est un indicateur inutile

� Un indicateur dont le seuil n’est pas défini correctement n’est pas efficace : soit il sera toujours bon et ne permettra pas de détecter lesrisques, soit il sera toujours « rouge » et onfinira par ne plus s’en préoccuper…

Qu’on les appelle « poste de supervision » ou « pupi-tre de commande », les tableaux de bord sont doncpartout. En entreprise, quels que soient les métiers(contrôle de gestion, production, informatique)depuis les services opérationnels aux comités dedirection, des tableaux de bord sont mis en place. Eten sécurité de l’information, comme pour une voi-ture ou un avion, un tableau de bord est nécessairepour permettre aux RSSI, aux directions généralesmais également aux opérationnels de la DSI deprendre des décisions sur le « pilotage » du disposi-tif de sécurité de l’information.

En effet le tableau de bord sécurité va :

� Mesurer les données essentielles et les tendances� Remonter les alarmes (voyants rouges/voyantsverts/voyants oranges)

� Permettre d’affirmer que les mesures correctivesdéployées sont efficaces ou non

C’est l’ensemble de ces éléments qui devront per-mettre au « pilote » de s’assurer que les dispositifsde sécurité fonctionnent et de prendre les bonnesdécisions en fonction d’un niveau de risque. Il fautcependant rappeler qu’un tableau de bord sécurité,contrairement aux exemples précédents, n’est pasun outil « temps réel ».

Toutes les normes et méthodologies existantesrelatives aux tableaux de bord sécurité (ISO27004, NIST SP800 55, etc.) se rejoignent surun certain nombre de points :

� Le tableau de bord de sécurité a pour objectifde mesurer l’atteinte d’un objectif ou d’unecible de sécurité

� Il présente souvent plusieurs vues, à destinationde publics différents

� Il est composé d’indicateurs calculés à partir demétriques ou de données de base

� Sa mise en place doit faire l’objet d’un projet àpart entière

� Son exploitation, son évolutivité et son maintienen conditions opérationnelles doivent être prisen compte dès sa définition

Mais surtout, il n’existe pas un seul et uniquetableau de bord sécurité : celui-ci doit être adaptéau contexte, aux objectifs et à la maturité de l’organisation en matière de sécurité.

La démarche présentée par la suite a étéconstruite par Lexsi afin de répondre au mieux àces problématiques. Les pistes que nous vous proposons vous donneront les clés d’une approchepragmatique et adaptée quel que soit le niveaud’intégration de la sécurité dans votre proprecontexte.

QU’EN EST-IL DE LA SÉCURITÉ DU SI ?

CE QU’EN DISENT LES NORMES ET LA LITTÉRATURE SPÉCIALISÉE

Un tableau de bord est nécessaire pour permettre aux RSSI, aux directions générales mais également aux opérationnels de la DSI de prendre des décisions sur le « pilotage » du dispositif de sécurité de l’information


Métriques, indicateurs, KRI : Quésako ?

Le vocabulaire, comme toujours en matière desécurité, est riche et varié. Il présente de nom-breuses subtilités souvent dues à l’adaptation destermes anglophones au français.

Voici quelques définitions sur lesquelles nousnous baserons par la suite :� Indicateur (parfois appelé KRI : Key RiskIndicator en anglais) : moyen de mesurer l’atteinte d’un objectif de sécurité (qui concourtà des objectifs métier), la couverture d’unrisque ou la résolution d’un problème de sécurité

� Métrique (Metrics/measures) : valeur unitairemesurée permettant, combinée ou non à d’autresmétriques, la construction d’un indicateur

� Valeur cible : valeur d’un indicateur reflétantl’atteinte d’un objectif de sécurité ou d’un objectifde progression de SSI. Une valeur cible peut êtreassociée à une plage de tolérance si elle concerneun objectif de sécurité [définition ANSSI4]

� Valeur seuil : niveau au-delà (ou en deçà)duquel la valeur d’un indicateur indique qu’unobjectif de sécurité n'est plus couvert ou qu'unobjectif de progression de SSI ne peut plus êtreatteint [définition ANSSI4] et entraine la géné-ration d’une alerte

Fondamental n°1 : Les différentes vues

Un tableau de bord sécurité a pour fonction principale la présentation d’indicateurs, qui vontfaire l’objet de publications périodiques à différents niveaux et vers différentes cibles.

Pour répondre à cet objectif, il est souvent faitmention de multiples vues (stratégique, pilotageet opérationnelle). En effet, il n’est pas possible(ni utile) de communiquer les mêmes informa-tions au Comité Opérationnel Sécurité qu’auComité de Direction de l’organisation.

Cette question peut également être posée dans lecontexte d’un groupe multi-filiales, pour les-

quelles l’ensemble du tableau de bord ne doit pasêtre communiqué.

Il est donc nécessaire de créer et d’adapter différentes représentations, en sélectionnant lesinformations et les visuels, en fonction du publicvisé.

Fondamental n°2 : la cinématique de calcul

Vous l’avez compris, quelle que soit l’approcheméthodologique choisie, il est nécessaire de dissocier :� les métriques : ce sont les valeurs brutes collec-tées directement en interrogeant les interlocu-teurs concernés, ou à partir d’outils techniquesnotamment (par exemple, le nombre de collabora-teurs sensibilisés dans l’année ou le nombre depostes de travail possédant un anti-virus)

� les mesures dérivées : ce sont des mesuresrésultant de la combinaison de plusieursmétriques (généralement des taux, des rapports, des fréquences)

� les indicateurs qui mesurent l’atteinte d’objec-tifs de sécurité, et sont calculés en comparantles mesures dérivées à leurs valeurs seuils oucibles (souvent restituées par le biais de visuelsvert/orange/rouge ou de OK/KO)

Ainsi, pour chacun des indicateurs produits, il estindispensable de définir attentivement la méthodede calcul et les métriques utilisées. En d’autrestermes, il faut garder en tête que tout calcul d’in-dicateur doit être reproductible, donc réalisépériodiquement exactement de la même façon.

Fondamental n°3 : Distinguer le fond et la forme

Du point de vue de l’implémentation technique, il est souvent judicieux de dissocier le fond (indicateurs, métriques, cinématiques de calcul)de la forme (vues, représentations graphiques).

D’une part, ces 2 aspects peuvent faire appel àdes outils totalement différents lors de leur miseen œuvre.

D’autre part, ce n’est pas l’outil qui doit guider la construction du tableau de bord mais bien les objectifs de sécurité et les publics visés. Les considérations et contraintes techniques pour

4. ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information. http://www.ssi.gouv.fr/

PARTIE 2 : DÉVELOPPER SON PROPRE TABLEAU DE BORD

VOCABULAIRE ET FONDAMENTAUX


la collecte des informations et la mise en forme nedoivent donc être prises en compte que dans unsecond temps.

Pour finir, l’objectif initial est souvent de construireune base de données pour ensuite publier le tableaude bord dans un outil dédié. Par retour d’expé-rience, les premières versions finissent par êtredéployées sous format Excel… après de longuestergiversations techniques ayant fait prendrebeaucoup de retard au projet global.

Prendre en compte son niveau maturité en matièrede sécurité SSI

En fonction du niveau de maturité de l’organisation enmatière de sécurité, le tableau de bord, son contenu etson fonctionnement sont très différents.

Il est donc important, lors de la mise en œuvre de l’outil, de prendre en compte ce niveau dematurité : � en se donnant un objectif trop ambitieux, lerésultat obtenu pourrait être perçu commeinsuffisant étant donné la difficulté de remonterl’ensemble des métriques voulues

� dans le cas contraire, en se limitant à desmesures basiques ou uniquement opération-nelles, les éléments restitués ne reflèteraientpas suffisamment le niveau acquis en matièrede sécurité et seraient difficilement diffusablesà un Comité de Direction

Nous présentons par la suite les grandes caracté-ristiques des tableaux de bord en fonction duniveau de maturité de l’organisation en matière desécurité :

1. Si vous en êtes à la DEFINITION de vos objectifsde sécuritéMettre en place immédiatement un tableau debord est assez prématuré. Mieux vaut attendre queles objectifs de sécurité existent et soient partagés par tous.

2. Si vous en êtes à l’IMPLEMENTATION de vosmesures de sécuritéLa mise en place d’un tableau de bord à cetteétape doit permettre de mesurer l’avancement de l’implémentation des mesures de sécurité.L’outil reste à destination du RSSI principalementet des équipes opérationnelles bien entendu. Lesindicateurs sont synthétiques, définis à partir desprojets et actions sécurité en cours. Ils sont repré-sentés par de simples pourcentages ou icones,souvent sous forme de liste.

On peut par exemple trouver, dans ce type detableau de bord, le niveau de risque (pourcentage)

DE QUEL TABLEAU DE BORD AI-JE BESOIN ?

ÉVOLUTION DU NIVEAU DE MATURITÉ EN SÉCURITÉ D’UNE ORGANISATION ET TABLEAUX DE BORD ASSOCIÉS


de chacun des projets sécurité en cours de mise en œuvre, calculé à partir de facteurs derisques tels que le manque de ressourceshumaines, financières et le manque de temps(principe binaire : « oui » = le facteur de risqueexiste ou « non » = il n’existe pas).

Généralement, à ce stade, le tableau de bord estassez consommateur de ressources car trèsmanuel, que ce soit pour la mise en œuvre initialeou pour la collecte des indicateurs. De plus, safiabilité est totalement liée au fait que les personnes interrogées lors de la collecte ne « déforment » pas la réalité.

3. Si votre dispositif de sécurité est implémenté,et que vous cherchez à optimiser son EFFICACITE

À cette étape, le tableau de bord sécurité a pourobjectif de mesurer l’efficacité des mesures desécurité mises en œuvre.

Il est doté d’une vue opérationnelle à destinationdes équipes de la DSI, d’une vue stratégique à destination du RSSI, du DSI voire du RiskManager.

Les indicateurs sont représentés sous forme degraphiques précis pour la vue opérationnelle, etd’icônes simples pour la vue stratégique.

Ils sont issus des politiques et des contrôles de sécurité qui y sont définis et peuvent être rattachés à des risques IT.

La mise en œuvre reste assez complexe tant quetous les processus liés à la sécurité ne sont pasparfaitement rodés et qu’il reste des actionsmanuelles de collecte à réaliser.

Par exemple, vous pouvez intégrer dans le tableaude bord la couverture du risque « Infection Virale »calculée à partir du taux de couverture des postes etdes serveurs par un anti-virus combiné au taux demise à jour du parc avec les dernières signaturesd’anti-virus.

4. Enfin, votre dispositif complet étant bien rodé ,vous souhaitez montrer que la sécurité a unIMPACT positif sur les activités METIER

À ce niveau, le but du tableau de bord est de mesurer l’impact de la sécurité sur l’atteinte des

46,4%

IMPLÉMENTATION des mesures (2) EFFICACITÉ du dispositif (3)

BALANCED SCORECARD (4)Prise en compte des IMPACTS MÉTIER (4)

Chantier « Promouvoir une culture sécurité »

Actions

Charteinformatique

Sensibilisation

Tiers

Risque

Fuited’information

Couverturedu risque Indicateurs

Sécurité périmétrique

Sensibilisation

Mobilité

Médias amovibles

Etat

Avancement

Pas de retard

Pas de retard

En retard

Facteur derisque RH

Non

Non

Oui

Facteur derisquefinancier

Non

Non

Oui

État

(••

(••

I••

(••

)••

(••

I••

50

40

30

20

10

0

Scans de vulnérabilités : Corrections

•• •

• •••• •

• ••0

15

1

32

0

320

19

16

100

13

9

26

0

28

37

9

0

14 09

0

21

janv-12

fev-12

mars-12

avr-12

mai-12

juin-12

juil-12

août-12

sept-12

oct-12

nov-12

dec-12

Nb Vuln. Criticité 5 non corrigées

Nb Nouvelles Vuln. Criticité 5

Nb Vuln. Corrigées Croticité 5

•

Rentabilité financièreObj 1 : Optimisation descoûts liés à la sécuritéObj 2 : La sécurité aide à lacroissance financièreProcessus opérationnels

performants

Obj 1 : Changementsadaptés et efficaces

Obj 2 : Améliorationcontinue des processus

ClientsObj 1 : Niveau de service etde continuité fourni élévéObj 2 : La sécurité est unavantage concurrentiel

Augmentation descompétences et croissanceObj 1 : Amélioration descompétences et connaissances

Obj 2 : Projection du savoir faire

ILLUSTRATIONS D’INDICATEURS POUR CHAQUE NIVEAU DE MATURITÉ


objectifs du métier. En plus du tableau de bordtraditionnel, un « Balanced Scorecard » peut êtremis en œuvre, à destination de la DirectionGénérale, du Conseil d’Administration et desactionnaires.

Dans ce dernier, les indicateurs sont définis à par-tir des objectifs métier sur lesquels la sécuritépeut avoir un impact (réduction des coûts, gain declients ou de chiffre d’affaires, avantage concur-rentiel, croissance de l’organisation, etc.).

Le balanced scorecard propose une représentationbeaucoup plus abstraite et éloignée des probléma-tiques opérationnelles de la sécurité mais plusproche des enjeux métier et institutionnels.

Le tableau de bord traditionnel qui l’accompagneest identique à celui du niveau « Efficacité »,mais est pratiquement totalement automatisé.

Tout d’abord, il ne faut pas se méprendre sur lerôle du tableau de bord sécurité. Il ne s’agit enaucun cas d’un outil de suivi opérationnel entemps réel : s’il ne remplace pas les consoles desupervision ou autres corrélateurs de logs, ni lestableaux de bord de production fournis par le service informatique, il ne remplace pas non plusun processus de gestion des incidents bien rodé !

D’autre part, il n’existe pas un tableau de bordsécurité identique entre deux entreprises ou organisations. Chaque tableau de bord doit êtredéfini en fonction des objectifs à atteindre.

Cependant, il est possible d’identifier des principes et des fondamentaux qui feront qu’untableau de bord sécurité est pertinent et opérationnel, et qu’il atteint ses objectifs :

� Il se base sur des métriques définies précau-tionneusement, et surtout réalistes et reproduc-tibles en matière de collecte (la charge de tra-vail nécessaire à la collecte de chaque métriquedoit notamment être évaluée) afin de s’assurerde leur fiabilité

� Il inclut des seuils représentatifs et ajustables,adaptés au contexte et à l’organisation

� Il repose sur des calculs issus d’une cinéma-tique claire et logique

� Il est facilement évolutif� Chaque vue est associée à un public bien défini

Une démarche en 5 phases

À partir de ces constats et de son retour d’expérience, Lexsi a souhaité proposer sa propreméthodologie, conforme à l’ISO 270045, afin d’accompagner ses clients dans la définition, l’implémentation et le maintien de leurs tableauxde bord sécurité.

Cette méthodologie relativement simple reposesur les cinq phases suivantes :

1 Définir ses objectifs

La première phase consiste à répondre aux inter-rogations suivantes : � Quel est mon niveau de maturité ? � Mes objectifs de sécurité sont-ils bien définis ?� A qui s’adresse le tableau de bord, dois-je prévoir une diffusion au niveau du Comité deDirection ?

Les réponses obtenues permettront de fixer lesparamètres importants du tableau de bord :

EXISTE-T-IL UN « BON » TABLEAUDE BORD SÉCURITÉ ?

PROPOSITION MÉTHODOLOGIQUEPOUR COMPOSER SON TABLEAUDE BORD ET CHOISIR SES INDICATEURS

1. Définir sesobjectifs

5. Maintenir sontableau de bord

2. Choisir etorganiser lesindicateurs

4. Réaliser un pilote

3. Construire les vues

5. Information Technology –ISMS-Measurement


� Le nombre et le type de vues : si mon tableaude bord reste au sein de la DSI, 2 vues peuventêtre suffisantes ; par contre, si mon tableau debord sécurité doit être présenté à un Comité deDirection voire diffusé à des actionnaires, il seranécessaire de disposer d’une vue stratégique,peut-être même d’un Scorecard ! Et si je dois lemontrer à un Risk Manager, une vue représen-tant la couverture des risques IT ou métier (ITrelated Business Risk) sera indispensable.

� Le type d’informations collectées : si je suisencore en phase d’implémentation de mesmesures de sécurité, je ne pourrai pas évaluerleur efficacité mais uniquement l’avancementdes plans d’actions ; au contraire, si mes poli-tiques et directives sont définies et les mesuresimplémentées (et efficaces !), pourquoi ne pasessayer de montrer qu’elles collaborent à l’at-teinte des objectifs métiers de mon entreprise ?

2 Choisir et organiser les indicateurs

La phase de sélection des différentes données quiapparaissent dans le tableau de bord, est unephase délicate mais cruciale. Afin d’obtenir un résultat pragmatique et rapide,nous préconisons de « partir par chacun des bouts »(voir illustration), c'est-à-dire :

1. Définir le plus haut niveau de données(indicateurs stratégiques - IS ) qui doit figurerdans le tableau de bord (domaines de sécurité ?risques ? objectifs métiers ?) et éviter de lesmultiplier (8 à 10 maximum).

2. Identifier les métriques de base à collecter enpartant de données déjà existantes, exploitablesfacilement ou des contrôles de sécurité simplesdéfinis dans la Politique de Sécurité. Pour com-mencer, mieux vaut les limiter au maximumdans les premières versions du tableau de bord.C’est à ce moment-là qu’on identifie les fré-quences de collecte possibles.

3. Construire si besoin les mesures dérivées à partir du regroupement d’une ou plusieursmétriques de base ce qui définira une 1èreétape dans la cinématique de calcul (taux,pourcentage, somme...).

4. Effectuer le « matching » entre les mesuresdérivées et les indicateurs stratégiques, ce qui complètera la cinématique de calcul.

5. Si certains indicateurs stratégiques ne peuventêtre couverts dans un 1er temps, les retirer dutableau de bord.

Il sera toujours temps par la suite d’ajouter desmétriques et des indicateurs afin de compléter untableau de bord dont les mécanismes seront bienrodés.

3 Construire les vues

À cette étape, le contenu du tableau de bord estconnu. Il est alors primordial d’adapter la forme aupublic visé pour chacune des vues identifiées (1 vue = 1 public). Pour ce faire, il n’existe pas derecette toute faite. S’il y a déjà des tableaux debord au sein de la structure, il peut être intéres-sant de se calquer sur l’existant, et de reprendreles mêmes types de représentations et de chartegraphique.

Certaines organisations disposent parfois déjà dereporting graphique au sein duquel il est faciled’intégrer un tableau de bord sécurité. Mais pourcommencer, un simple tableau de bord implé-menté sous Excel peut suffire. De manière générale, il faut éviter le plus possible d’utilisertrop d’outils pour un seul tableau de bord pourdes raisons évidentes de maintenance et de facilité d’utilisation.

4 Réaliser un pilote

Le tableau de bord est désormais opérationnelmais « vide ». Arrive donc la phase pilote, quidoit permettre d’éprouver l’ensemble du proces-sus de fonctionnement du tableau de bord,depuis la collecte des métriques de base (et les

IS1

ISn

1 4 3 2

Vue stratégique Vue intermédiaire Vue opérationnelle

LégendeMD : Mesure DérivéeIS : Indicateur Stratégique ordre de réalisation

Poids

TBI

OK

TBI

2

1

2

IS2

MD1

MDn

Poids

OK

KO

KO

Valeur : 98%

Valeur : 11%

Valeur : 74%

2

1

2

MD2

Métriquede base 1

Métriquede base n

Métriquede base 2

EXEMPLE DE RÉSULTAT POUR CETTE ÉTAPE.


relances), jusqu’à la publication d’une vue stra-tégique « pilote ». Tous les indicateurs n’étantpas produits à la même fréquence, il est généra-lement nécessaire que cette phase s’étende surplusieurs mois afin de valider les processus etcharges de collecte au fil du temps, la pertinencedes métriques, indicateurs et seuils choisis, lalisibilité des représentations graphiques, etc.C’est à l’issue de cette phase que le fameux « Tableau de bord de sécurité » est enfin pleine-ment opérationnel !

5 Maintenir son Tableau de bord

Dans la logique d’amélioration continue du SMSI6,un tableau de bord doit faire l’objet d’une maintenance régulière afin :� De prendre en compte les modifications desobjectifs de sécurité, ou de l’organisation

� D’être ajusté au niveau de maturité en matièrede sécurité de l’organisation

� D’intégrer de nouveaux indicateurs ou de nouvelles vues

Ces aspects de maintenance et de mise à jour doivent être pensés dès le début de la démarche,afin que les modifications soient effectivementpossibles. Celles-ci seront également simplifiéespar la formalisation d’une documentation complète de l’outil et son contenu ainsi que duprocessus de collecte.

Les éléments qui suivent faciliteront le déroule-ment de votre propre projet tableau de bord.

Les facteurs clés de succès

� Considérer le projet de mise en place d’untableau de bord sécurité comme un projet à partentière, avec un sponsor de type DirectionGénérale ou au moins un membre du Comité de Direction, un planning, un budget et descontributeurs

� S’assurer de la disponibilité régulière descontributeurs : ce type de démarche est consom-matrice de ressources dans différentes entités de l’organisation

� Évaluer son niveau de maturité en sécurité

au préalable (par exemple en se référant aux ques-tions « Êtes-vous prêt? » figurant à la fin de ce livreblanc)

� Partir d’objectifs de sécurité clairs et partagés� S’appuyer sur des métriques de base déjà existantesou très faciles à collecter

� Réaliser un feedback régulier dès la première publication

� Garantir un maintien de ressources et une organisa-tion pour que le TBSSI soit pérenne dans le temps

� Prendre en compte dès le début du projet les évolutions futures

Les écueils à éviter

� Imaginer couvrir tous les aspects de la sécurité dèsla première version. Cela se traduit souvent par tropd’indicateurs, et un tableau de bord trop long à pro-duire mais également à analyser.

� Ne pas impliquer suffisamment les contributeurs, nisuffisamment tôt dans le projet (notamment les res-ponsables de la collecte). Cela entraine générale-ment par la suite une défaillance de la collecte parabsence de mobilisation.

� Ne pas automatiser ou semi-automatiser les collectes et calculs dès le départ, quand cela estpossible, la production du tableau de bord devientalors une contrainte supplémentaire loin des priorités opérationnelles.

� Négliger la phase de développement technique : lepilote Excel initial se transforme souvent en outilfinal, les investissements, la base de données etl’outil de tableau de bord initialement prévus étantabandonnés.

� Fixer des seuils trop ou pas assez ambitieux : untableau de bord « tout vert » ou « tout rouge » n’estsouvent pas représentatif de la réalité. L’outil perdalors toute sa pertinence, et son intérêt.

� Ne pas prendre en compte les cas où les valeursne sont pas remontées : afin d’éviter que des indi-cateurs soient présentés comme « mauvais » suiteà une lacune du processus de collecte, il vautmieux prévoir à l’avance cette situation. Par exem-ple, on peut reprendre la valeur précédente ouindiquer un taux de fiabilité d’un indicateur.

� Ne pas penser à stocker l’historique des valeurs collectées : les indicateurs sont souvent jugés bonsou mauvais en fonction de leur évolution, d’une tendance. La conservation d’un historique (généra-lement 13 mois) est donc nécessaire.

RÉUSSIR SON PROJET « TABLEAU DE BORD »

6. SMSI : Système de Management de la Sécurité de l’Information


L’importance d’avoir un tableau de bord sécurité

Comme pour un pilote d’avion de ligne, il estimpossible de piloter la sécurité du SI sanstableau de bord. A partir du moment où unedémarche de gouvernance et de management dela sécurité est lancée, le tableau de bord sécu-rité devient un outil indispensable. Il va permet-tre, au fur et à mesure que le niveau de matu-rité augmente, de s’assurer que les projets sécu-rité avancent, puis qu’ils répondent aux objec-tifs de sécurité fixés, enfin que les risquesmétiers sont couverts voire que la sécurité estdevenue un atout mesurable suivant les objec-tifs et missions de l’organisation.

Pour les opérationnels, le tableau de bord sécuritéva permettre d’identifier les actions prioritaires enmatière d’exploitation, de production et d’amélioreret fiabiliser les processus au quotidien.

Pour le RSSI, le tableau de bord sécurité va servirà valider que les actions entreprises et lesmesures en place concourent bien à l’atteinte desobjectifs de sécurité fixés.

Pour les décideurs, ce tableau de bord va rassurerou alerter sur la bonne couverture des risquesexistants de l’organisation liés au Systèmed’Information.

Ces différents éléments étant tous nécessaires etcomplémentaires si l’on a entrepris une démarcheplus globale de sécurité, le projet de mise enplace d’un tableau de bord devient alors aussi évident que l’écriture d’une politique de sécurité.

PARTIE 3 : POUR ALLER PLUS LOIN

CONCLUSION

Les cinq questions à se poser

1. Mes objectifs de sécurité sont-ils définis ?

2. Ai-je à disposition des métriques facilementmesurables (avancement de projets liés à unschéma directeur sécurité, mesures techniquesdéjà en place, processus de sécurité formaliséset appliqués ?)

3. Mes décideurs sont-ils convaincus de la pertinence et l’importance de la démarchesécurité en cours ?

4. Les contributeurs éventuels sont-ils sensibleset sensibilisés à la sécurité ?

5. Existe-t-il déjà d’autres tableaux de bord dansmon organisation, notamment à la DSI ?

Quand peut-on se lancer ?

Si vous avez répondu « Oui » aux questions précédentes, vous pouvez y aller !

Comme nous l’avons exposé tout au long de celivre blanc, un bon tableau de bord sécurité estcelui qui s’adapte au niveau de maturité sécuritéde l’organisation.

Si la « culture sécurité » n’en est qu’à ses balbutiements, que tout reste à faire, en particulier convaincre les décideurs, nous vousconseillons d’attendre un peu avant de vous lancer dans un projet tableau de bord. Consacrerplutôt vos efforts à l’amélioration de leur prise deconscience de l’importance de la sécurité ausein de votre organisation.

ÊTES-VOUS PRÊT ?


ISO 27004 (Information Technology - ISMS -Measurement)

Publiée en décembre 2009, l’ISO27004 proposeune liste de recommandations qui définissent :� Un modèle de mesure de l’efficacité d’unSystème de Management de la Sécurité del’Information� Une organisation autour du modèle de mesure� Le processus de construction des mesures etd’implémentation du Programme de Mesure de laSécurité du SI ainsi que son amélioration continue

L’ISO base sa méthode sur une double approche« Top-down/Bottom-Up », ainsi que sur 3 niveaux de mesures : les métriques de base,les métriques dérivées et les indicateurs.

Elle inclut dans son approche méthodologiquedes modèles ainsi que des exemples deconstruction d’indicateurs mais ne fournit pasun outillage complet pour mettre en place sontableau de bord.

NIST SP 800 55 (Performance MeasurementGuide for Information Security, publié en 2008)

Le NIST propose une démarche pour implémen-ter un processus complet de mesure du niveaude sécurité d’un organisme, qui lorsqu’il atteintson niveau le plus haut, fait le lien entre la per-formance de la Sécurité et les objectifs de l’organisation. En attendant que le niveau dematurité soit suffisant pour atteindre cet objectif, le NIST propose d’adapter à ce niveaude maturité le tableau de bord et les indicateursqui lui sont liés.

Les objectifs d’un tableau de bord sécuritéselon le NIST sont les suivants:� Accroitre la prise de responsabilité au sein del’organisation en matière de sécurité� Améliorer l’efficience de la SSI en permettantde mesurer l’efficacité des mesures de sécurité� Démontrer la conformité avec les lois, lesnormes et PSSI

� Fournir des « arguments » quantifiables pourobtenir des budgets

ANSSI (Agence Nationale de la Sécurité du SI)

L’ANSSI propose également depuis 2004 uneméthodologie permettant de mettre en place sontableau de bord sécurité, intégrant des conceptssimilaires à la méthodologie du CLUSIR publiéeen 1997 (approche Top-Down, 3 niveaux : stratégique, pilotage et opérationnel) et dont la1ère étape est également la définition desobjectifs de sécurité.

Autres

Pour compléter ce panorama vous pourrez trouver des compléments d’informations sur lesnormes et publications existantes. Cette listen’est pas exhaustive :

Publication du CIGREF en 2007 : « INDICATEURSSECURITE - Guide pratique pour un tableau debord sécurité stratégique et opérationnel »

Publication du CLUSIR en juin 1997 « Démarchede conception d’un tableau de bord qualité appliqué à la sécurité » et en mai 2009 « lesmétriques dans le cadre de la série 27000 ».

Publication de l’IATAC en mai 2009 « MeasuringCyber Security and Information Assurance »

COBIT Domaine « Surveillance et Evaluation »(Monitor and Evaluate)

BIBLIOGRAPHIE

RÉFÉRENTIELS ET NORMES

Léonard KEAT est consultant en sécurité de l’information et en continuité d’activité depuis plus de 10 ans. Il a réalisé plusieurs types de tableaux de bord en sécurité du SI (opérationnel, stratégique et pilotage de lasécurité) dans le secteur bancaire et celui de l’énergie. Il est également formateur au sein de l’Université LEXSIsur les modules liés au SMSI et aux tableaux de bord SSI. Il est certifié Lead Auditor ISO 27001.

Léonard KEAT+33 (0)6 34 47 32 [email protected]

Claire BERNISSON est consultante en sécurité de l’information et en continuité d’activité chez Lexsi depuisplus de 5 ans. Elle travaille quotidiennement sur des projets de tableaux de bord en sécurité du SI, que ce soitpour leur réalisation ou dans le cadre de leur fonctionnement opérationnel. Elle est également certifiée LeadAuditor ISO 27001.

Claire BERNISSON+33 (0)6 16 26 48 [email protected]

LES AUTEURS

Axant sa stratégie sur l’innovation depuis 1999, LEXSI est aujourd’hui le premier cabinet indépendant en sécuritéde l’information et en gestion des risques. Sa singularité réside dans une alliance unique de technologies, deméthodes et de talents, pour protéger les intérêts de ses clients. LEXSI est actif à l’international à travers ses filialesde Montréal et Singapour. Il a pour mission d’aider les entreprises à renforcer leur sécurité et à gérer leurs risques,à travers 4 grands métiers :

• Cybercrime : Veille technologique & lutte contre la fraude• Conseil : Conseil en sécurité de l’information et gestion des risques• Audit : Audit des systèmes d’information• Université LEXSI : Formation de la Sécurité du SI

LEXSI dispose d’un pôle de compétence Management de la Sécurité et Gestion des Risques qui contribue à l’atteinte des objectifs de création de valeur et de protection des entreprises. Nos missions de stratégie et gouver-nance : accompagnement des RSSI, gestion des risques, SMSI, tableaux de bord ….

QUELQUES MOTS SUR LE GROUPE LEXSI

www.lexsi.com

www.lexsi.com

SIEGE SOCIAL :Tours Mercuriales Ponant40 rue Jean Jaurès93170 Bagnolet

TÉL. (+33) 01 55 86 88 88FAX. (+33) 01 55 86 88 89

LEXSI - INNOVATIVE SECURITYPARIS, LYON, LILLE, MONTREAL, SINGAPOUR