Le Clusif (Club de la sécurité de l’information français) a organisé une série de conférences sur les indicateurs stratégiques de sécurité et le tableau de bord du RSSI. Avec des réponses à quatre questions essentielles : pourquoi élaborer un tableau de bord, avec quels indicateurs, quelles caractéristiques et comment construire une grille de criticité.
1. Un tableau de bord sécurité, pour quoi faire ?
Le tableau de bord sécurité constitue un outil indispensable pour tout RSSI et DSI. « C’est un outil de décision, qui illustre l’exposition aux risques, exploitable rapidement, synthétique, visuel et simple, malgré la complexité du système d’information », résume Frédéric Malmartel, RSSI de l’Acoss, pour qui « notre rôle de RSSI n’est pas de rassurer ou de faire peur à la direction générale, c’est de lui dire la vérité.
Le tableau de bord sert à savoir où l’on va, à quantifier les risques, à mesurer les tendances, à vérifier la conformité et à convaincre les décideurs pour trouver des ressources. » Gérard Gaudin, président du RG2S qui a construit un référentiel international de 98 indicateurs opérationnels (incidents, vulnérabilité, conformité…), rappelle que « ceux qui se cachent en ayant peur d’annoncer un certain nombre de faits n’ont pas d’avenir. Les RSSI doivent communiquer et démontrer la difficulté de leur métier. »
Thierry Chiofalo, administrateur du Clusif et consultant chez Intrinsec, confirme que « n’importe quelle entreprise a besoin de piloter sa sécurité. Certes, on peut piloter sans tableau de bord, si l’on retient une analogie avec une voiture, même sans tableau de bord et sans jauges de mesure, on parviendra toujours à destination : mais est-ce au meilleur coût et avec la meilleure efficacité ? Avec un tableau de bord, c’est moins cher, ça va plus vite et c’est moins risqué ! »
Pour Jean-Philippe Jouas, fondateur de la méthode Mehari (www.meharipedia.org) et ancien président du Clusif, un tableau de bord sécurité répond à plusieurs objectifs : identifier les risques, les évaluer, décider des mesures pour diminuer le niveau de vulnérabilité et pouvoir contrôler l’évolution du niveau de sécurité, avec un suivi permanent et une vision prospective. « Il faut disposer d’une vision claire de la cible pour identifier si les risques sont acceptables ou non, représenter l’état de ces menaces et pouvoir simuler l’état futur des vulnérabilités en fonction des plans d’action définis », précise Jean-Philippe Jouas.
Mais élaborer un tableau de bord sécurité peut s’avérer difficile. « Il faut à la fois répondre aux différents besoins et améliorer la crédibilité de la fonction sécurité, autrement dit rendre simple un système complexe », souligne Frédéric Malmartel, RSSI de l’Acoss. En outre, ajoute-t-il, « les indicateurs ont des temporalités différentes, face à une diversité d’interlocuteurs et de demandes, qui complexifient nos missions. »
2. Quels types d’indicateurs doit-on retenir ?
Philippe Molines, directeur des activités SOC et audit chez NES, société de conseil en sécurité, distingue trois types d’indicateurs qui correspondent à trois niveaux : stratégique, tactique et opérationnel.
Au niveau stratégique, les indicateurs clés de risques sont destinés à la direction générale. « Ils apportent de la visibilité, identifient les tendances, avec des commentaires », résume Philippe Molines, qui suggère de limiter les indicateurs à une dizaine, « qui tiennent sur une feuille A4. » Au niveau tactique, les indicateurs de pilotage ont pour objectif, pour les RSSI, de piloter la sécurité avec des explications sur les tendances pour comprendre ce qui s’est passé et des plans d’action.
Dans l’idéal, ils sont produits chaque mois. Au niveau opérationnel, les indicateurs, publiés sur un rythme quotidien ou hebdomadaire, sont davantage orientés techniques, avec, par exemple, des mesures sur les antivirus activés et à jour, le management des patches, les comptes à privilèges. « Les objectifs de ces différents types d’indicateurs ne sont pas les mêmes, d’où une fréquence de publication et des moyens associés qui sont, eux aussi, différents », note Philippe Molines.
| Les différents types d’indicateurs de sécurité | ||
| Niveau | Objectif | Types d’indicateurs |
| Stratégique | Communiquer vers la DG | Indicateurs de risques |
| Tactique | Évaluer et gérer les risques | Indicateurs de pilotage |
| Opérationnel | Garantir la sécurité | Indicateurs de sécurité opérationnelle |
Jean-Paul Joanany, RSSI de l’assureur Generali, rappelle que les indicateurs sur la sécurité intéressent de nombreuses parties prenantes : auditeurs, commissaires aux comptes, CNIL, partenaires, clients, autorités de contrôle… Le RSSI suggère de se poser plusieurs questions : quel est le niveau de la menace ? Qu’est-ce qui est ressenti par les utilisateurs ? Quel est le niveau de préparation/formation des utilisateurs ? Où en sont les plans d’action et d’amélioration ? L’entreprise dispose-t-elle des meilleurs outils de sécurité ? Chez Generali, le suivi de la sécurité est assuré avec trois catégories d’indicateurs : le tableau de bord sécurité, les indicateurs de suivi de gestion des incidents et les indicateurs sur les postes de travail (Cf. tableau).
| Exemples d’indicateurs de sécurité chez Generali | |
| Types d’indicateurs | Contenus des indicateurs |
| Tableau de bord |
|
| Suivi de gestion des incidents |
|
| Postes de travail |
|
| Source : Generali. | |
3. Quelles sont les caractéristiques des indicateurs d’un tableau de bord sécurité ?
Philippe Molines suggère que l’élaboration d’un tableau de bord sécurité repose sur trois piliers. D’abord, la répétabilité et la fiabilité des indicateurs. « Il importe que les résultats produits par les indicateurs soient reproductibles et cohérents, ne serait-ce qu’en cas d’audit ou de demande des commissaires aux comptes. » Par conséquent, il faut veiller à la qualité des données qui servent de matière première.
Ensuite, le pragmatisme et l’opportunisme. « Il faut produire avec les données dont on dispose, car cela coûte très cher de vouloir considérer 100 % du périmètre d’un SI, même si c’est louable de vouloir en augmenter la couverture », note Philippe Molines. Enfin, les indicateurs, qui mesurent le niveau de menace et/ou de protection, doivent évoluer avec le système d’information.
Par exemple, il est inutile d’exploiter des indicateurs issus de postes de travail sous Windows XP, alors que le parc a migré vers Windows 10. Ces évolutions doivent également prendre en compte des éléments tels que le Big Data, nécessaire pour identifier les signaux faibles et les tendances cachés, les Data Lakes, bien plus utiles qu’un tableur pour croiser les données et extraire les bonnes combinaisons, sans oublier le RGPD, qui implique de créer de nouveaux indicateurs pour vérifier la conformité à la nouvelle législation européenne.
4. Comment construire une grille de criticité et d’acceptabilité des risques ?
Pour mieux piloter les risques, Jean-Philippe Jouas suggère l’usage d’une grille d’acceptabilité des risques (Cf. tableau), en fonction de deux variables : la vraisemblance/probabilité de survenance du risque et les conséquences/impacts. Quatre niveaux de criticité sont à privilégier : négligeable, toléré, inadmissible (risques à réduire ou éliminer) et insupportable (risques qui doivent faire l’objet de mesures d’urgence, en dehors de cycles budgétaires). Dans chaque case de la grille, on indique le nombre de risques concernés.
Un exemple de grille d’acceptabilité du risque
