Afin de gérer la sécurité des informations conformément à l’approche énoncée dans la norme internationale ISO 27001 (étapes Plan, Do, Check, Act), il est nécessaire de définir des indicateurs (ou éléments de mesure) de sécurité, qui permettront de réaliser l’étape de contrôle (Check).
Les indicateurs de sécurité permettent d’avoir un aperçu de la situation de la vulnérabilité des informations, à un instant donné et à intervalles réguliers. Ils permettent donc d’observer la progression de la situation. Ils constituent la base de l’étape de contrôle.
Des indicateurs doivent donc être définis par les entreprises, collectés dans les diverses filiales et sites, analysés, interprétés, communiqués et reportés au management.
Plus particulièrement, les indicateurs de sécurité seront utiles pour :
- évaluer le niveau de sécurité ;
- évaluer le respect des lois et réglementations métiers ;
- mesurer les écarts entre les objectifs de sécurité et le niveau réel constaté ;
- suivre l’évolution du niveau de sécurité global dans le temps ;
- communiquer, rapporter ;
- piloter les projets de sécurité ;
- auditer.
Tous les objectifs qui figurent dans la politique de sécurité (PSSI) de l’entreprise doivent être suivis au moyen d’indicateurs. Les indicateurs de sécurité doivent être « S.M.A.R.T » :
- Spécifiques : centrés sur chaque objectif précis de la PSSI.
- Mesurables : se référant à des objectifs qui peuvent être mesurés.
- Atteignables : collectés facilement et rapidement, de manière intégrée dans les activités quotidiennes des services.
- Répétables : les mesures doivent être reproductibles.
- Temps : les mesures doivent permettre d’analyser la progression dans le temps.
Les mesures de base seront collectées par la DSI et les autres départements de l’entreprise, ainsi que par le responsable de la sécurité de l’information ou la direction des risques. Une étape de mise en place du circuit de collecte sera donc nécessaire, l’idéal étant de réussir à l’insérer dans des processus existants afin de ne pas créer de lourdeurs supplémentaires, ou de risquer un échec de la collecte.
Le responsable de la sécurité de l’information rassemblera ensuite, à fréquence régulière, les mesures de base, et les utilisera pour calculer les indicateurs et les présenter sous forme d’un tableau de bord (feuille Excel, ou tout autre outil de gestion de tableaux de bord). Idéalement, le tableau de bord montrera les valeurs numériques détaillées, ainsi que des graphiques plus synthétiques.
Le tableau de bord présente trois avantages : d’abord, il est l’outil quotidien du responsable de la sécurité de l’information pour apprécier le niveau de sécurité et adapter ses priorités d’actions si nécessaire. Ensuite, il est le moyen de communication du RSSI vers les responsables métiers des différents départements de l’entreprise, dans le but d’améliorer leur information et leur compréhension du niveau de sécurité, et d’obtenir leur support et leur coopération. Enfin, le tableau de bord est le moyen de reporting du RSSI vers sa direction.
Afin de s’assurer que ces objectifs sont atteints, il sera important que le RSSI valide au préalable avec sa direction et avec les responsables métiers quelles sont leurs attentes en matière d’indicateurs. Leur choix n’est donc pas anodin, et il faut trouver un juste équilibre entre la facilité à les établir et leur utilité.
Beaucoup d’indicateurs différents peuvent être définis pour assurer le suivi de la sécurité des informations. D’une part, des indicateurs stratégiques, pour suivre le management de la sécurité et l’organisation du SMSI (système de management de la sécurité des informations, au sens de la norme ISO 27001). D’autre part, des indicateurs opérationnels pour suivre le niveau de sécurité réel obtenu dans les divers domaines (sécurité des personnes, des locaux, des documents, des systèmes d’information, des incidents, de la conformité…).
Il est recommandé de se constituer un portefeuille minimal d’indicateurs, qui servira de socle de base. Leurs mesures devraient être collectées au minimum tous les trimestres, afin que les indicateurs puissent être calculés, analysés et reportés à la même fréquence. Selon le contexte de l’organisation, il peut être nécessaire de le modifier.
En tout état de cause, il est très utile de constituer un document de référence qui décrit les indicateurs choisis et leur mode de calcul. C’est ce que la norme ISO 27004 recommande.
| Un exemple d’indicateur stratégique | |
| Nom | Formation et sensibilisation |
| Objectif | Évaluer le nombre d’employés qui sont formés à la sécurité des informations, et dont le niveau de connaissances est à jour |
| Chapitre ISO 27002 | 8 – Sécurité liée au personnel |
| Description | Pourcentage de collaborateurs formés, par type de formation (première formation complète, sensibilisations de rappel) |
| Destinataires | Comité de direction, DRH |
| Source | RSSI, service de formation, communication interne… |
| Procédure d’élaboration |
|
| Fréquence de collecte | Trimestrielle |
| Méthode de calcul | Nombre de collaborateurs qui ont suivi la première formation complète à la sécurité des informations, et qui ont suivi ou reçu la sensibilisation annuelle multiplié par 100/nombre total de collaborateurs |
| Unité | Pourcentage |
| Valeur cible |
|
| Présentation | Histogramme |
| Interprétation | Si l’indicateur est inférieur à la cible, le RSSI doit organiser des formations et des sensibilisations, avec l’aide des responsables métiers, de la DRH… pour augmenter le nombre de collaborateurs formés |
| Source : La boîte à outils du RSSI : indicateurs stratégiques et opérationnels, Étude Best Research, 2011. | |
Les indicateurs de sécurité permettent d’avoir un aperçu de la situation de la vulnérabilité des informations, à un instant donné et à intervalles réguliers. Ils permettent donc d’observer la progression de la situation. Ils constituent la base de l’étape de Check. Des indicateurs doivent donc être définis par les entreprises, collectés dans les diverses filiales et sites, analysés, interprétés, communiqués et reportés au management.
Plus particulièrement, les indicateurs de sécurité seront utiles pour :
– Évaluer le niveau de sécurité
– Évaluer le respect des lois et règlementations métiers
– Mesurer les écarts entre les objectifs de sécurité et le niveau réel constaté
– Suivre l’évolution du niveau de sécurité global dans le temps
– Communiquer, rapporter
– Piloter les projets de sécurité
– Auditer
Tous les objectifs qui figurent dans la politique de sécurité (PSSI) de l’entreprise doivent être suivis au moyen d’indicateurs. Les indicateurs de sécurité doivent être « S.M.A.R.T » :
– Spécifiques : centrés sur chaque objectif précis de la PSSI.
– Mesurables : se référant à des objectifs qui peuvent être mesurés.
– Atteignables : collectés facilement et rapidement, de manière intégrée dans les activités quotidiennes des services.
– Répétables : les mesures doivent être reproductibles.
– Temps : les mesures doivent permettre d’analyser la progression dans le temps.
Les mesures de base seront collectées par la DSI et les autres départements de l’entreprise, ainsi que par le responsable de la sécurité de l’information ou la direction des risques. Une étape de mise en place du circuit de collecte sera donc nécessaire, l’idéal étant de réussir à l’insérer dans des processus existants afin de ne pas créer de lourdeurs supplémentaires, ou de risquer un échec de la collecte.
Le responsable de la sécurité de l’information rassemblera ensuite, à fréquence régulière, les mesures de base, et les utilisera pour calculer les indicateurs et les présenter sous forme d’un tableau de bord (feuille Excel, ou tout autre outil de gestion de tableaux de bord). Idéalement, le tableau de bord montrera les valeurs numériques détaillées, ainsi que des graphiques plus synthétiques.
Le tableau de bord présente trois avantages : d’abord, il est l’outil quotidien du responsable de la sécurité de l’information pour apprécier le niveau de sécurité et adapter ses priorités d’actions si nécessaire.
Ensuite, il est le moyen de communication du RSSI vers les responsables métiers des différents départements de l’entreprise, dans le but d’améliorer leur information et leur compréhension du niveau de sécurité, et d’obtenir leur support et leur coopération. Enfin, le tableau de bord est le moyen de reporting du RSSI vers sa direction.
Afin de s’assurer que ces objectifs sont atteints, il sera important que le RSSI valide au préalable avec sa direction et avec les responsables métiers quelles sont leurs attentes en matière d’indicateurs. Leur choix n’est donc pas anodin, et il faut trouver un juste équilibre entre la facilité à les établir et leur utilité.
Beaucoup d’indicateurs différents peuvent être définis pour assurer le suivi de la sécurité des informations. D’une part, des indicateurs stratégiques, pour suivre le management de la sécurité et l’organisation du SMSI (système de management de la sécurité des informations, au sens de la norme ISO 27001). D’autre part, des indicateurs opérationnels pour suivre le niveau de sécurité réel obtenu dans les divers domaines (sécurité des personnes, des locaux, des documents, des systèmes d’information, des incidents, de la conformité…).
Il est recommandé de se constituer un portefeuille minimal d’indicateurs, qui servira de socle de base. Leurs mesures devraient a minima être collectées tous les trimestres, afin que les indicateurs puissent être calculés, analysés et reportés à la même fréquence. Selon le contexte de l’organisation, il peut être nécessaire de le modifier. En tout état de cause, il est très utile de constituer un document de référence qui décrit les indicateurs choisis et leur mode de calcul. C’est ce que la norme ISO 27004 recommande.
Cet article a été écrit par Hélène Courtecuisse, consultante et fondatrice du cabinet Lisis Conseil (www.lisis-conseil.com).