Tableau de Bord Sécurité

LIVRE BLANC
Tableau de Bord
Sécurité :
Une approche par
la maturité
LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ / PAR CLAIRE BERNISSON & LÉONARD KEAT
Tableau de Bord
Sécurité :
Une approche par
la maturité
Par Claire Bernisson et Léonard Keat
2
LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ
PARTIE 1 : ENTRÉE EN MATIÈRE
DE L’OPÉRATIONNEL À LA
GOUVERNANCE
d’indicateurs calculés selon des méthodologies
répétables et industrialisables
■ Aider à répondre aux questions récurrentes du
type : « Quel est notre niveau de sécurité ? » et
« Sommes-nous conformes ? »
L’évolution de l’environnement économique et
réglementaire des dernières décennies a amené
les entreprises à adapter leur gouvernance et à
trouver un nécessaire équilibre entre performance
et conformité.
LOIN DU MONDE DE LA SÉCURITÉ
DU SI
Dans ce contexte, la gouvernance de la sécurité
des systèmes d’information se doit de soutenir la
gouvernance institutionnelle en permettant de
maîtriser et réduire les risques, et la gouvernance
des activités métier de créer de la valeur et
d’améliorer la performance.
En particulier, la stratégie de sécurité prend une
nouvelle dimension dépassant la simple approche
technique. Il s’agit de soutenir les métiers de l’entreprise (mobilité de l’information, mobilité des
collaborateurs, flexibilité et réactivité des systèmes d’information, résilience…), de répondre
aux contraintes légales et réglementaires, et d’assurer la protection de son patrimoine informationnel au meilleur coût en respectant la culture de
l’entreprise.
Comme le rappelait Sir Winston CHURCHILL,
« However beautiful the strategy, you should
occasionally look at the result1 ». Cependant,
d’après le rapport de 2012 du CLUSIF portant sur
la sécurité du SI, une grande majorité des
entreprises françaises (79%) n’a pas d’indicateurs
de mesure du niveau de la sécurité de l’information.
Et lorsqu’ils existent, seulement 37% de ces
tableaux de bord sont remontés à la Direction
Générale.
L’intérêt de mettre en œuvre un tableau de bord
pour mesurer, contrôler et piloter la stratégie de
sécurité n’est pourtant plus à démontrer. Les
principaux objectifs sont de :
■ Contrôler la bonne mise en oeuvre des mesures
et moyens de sécurisation du SI
■ Fournir une vue d'ensemble de la gestion des
risques de l’entreprise
■ Comparer l'état actuel de la sécurité du SI
avec les états précédents, par la fourniture
Une « panne » de tableau de bord à l’origine d’un
crash aérien2
29 décembre 1972. Le vol 401 Eastern Air Lines
amorce son approche vers l’aéroport international de
Miami. Au moment de sortir le train d’atterrissage,
l’équipage se rend compte que la lumière du tableau
de bord servant à indiquer le bon déroulement de
l’opération reste éteinte : soit le train n’est pas bien
sorti, soit l’ampoule est grillée. Une série de vérifications visuelles liées à ce 1er incident est alors
déroulée, occupant certains membres d’équipage hors
de vue du tableau de bord. Dans le même temps,
l’avion commence à perdre de l’altitude. Une alarme,
concernant l’altitude cette fois-ci, apparait sur un
tableau de bord alors sans surveillance. L’alerte
humaine n’est finalement donnée que quelques temps
plus tard, il n’est plus possible d’agir, l’avion s’écrase
10 minutes après la découverte de la lampe grillée.
Une simple lumière verte ou rouge sur un tableau de
bord prend alors toute son importance. À partir de
cet exemple précis, 2 conclusions peuvent être
tirées :
■ Un risque majeur (perte d’altitude et décrochage
de l’avion, mauvais fonctionnement du train
d’atterrissage) peut être détecté via la mise en
place d’un indicateur « simple » (une lumière)
■ L’absence de surveillance régulière d’un indicateur particulier peut aboutir à des conséquences
désastreuses
Des indicateurs inadaptés mis en cause dans des
accidents industriels3
« Juin 2007. Dans une usine de fabrication
d’ammoniac et engrais, 200 kg d’oxydes d’azote (NOx)
sont émis dans l’atmosphère via la cheminée de l’atelier
acide nitrique en redémarrage après un arrêt de
1. Aussi belle soit la stratégie, vous devriez de temps en temps évaluer le résultat
2. http://aviationknowledge.wikidot.com/asi:eastern-air-lines-flight-401-cfit-analysis
3. Étude capteur barpi de juin 2012
LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ
2 semaines pour maintenance […] L’émission se poursuit 50 min jusqu’à ce que l’exploitant identifie la
cause de l’incident : une défaillance du dispositif de
mesure […] L’inspection […] notera sur place que le
seuil d’alarme de niveau haut […] n’est pas adapté
aux phases de démarrage […]. Seule les fumées
rousses ont alerté les opérateurs. »
A la même période, « un incendie se déclare à la
base d’un séchoir à fécule. L’accident est probablement dû à un dépôt accidentel de fécule ayant subi
un échauffement anormal. Compte tenu de la position inadaptée du capteur de température, l’injection de vapeur automatique prévue pour éviter ce
type d’incident n’a pas fonctionné ».
Ces deux exemples mettent en avant des éléments
complémentaires qui s’appliquent parfaitement
dans le cas des tableaux de bord de sécurité :
■ Un indicateur mal positionné, non relié à un
risque, est un indicateur inutile
■ Un indicateur dont le seuil n’est pas défini
correctement n’est pas efficace : soit il sera
toujours bon et ne permettra pas de détecter les
risques, soit il sera toujours « rouge » et on
finira par ne plus s’en préoccuper…
C’est l’ensemble de ces éléments qui devront permettre au « pilote » de s’assurer que les dispositifs
de sécurité fonctionnent et de prendre les bonnes
décisions en fonction d’un niveau de risque. Il faut
cependant rappeler qu’un tableau de bord sécurité,
contrairement aux exemples précédents, n’est pas
un outil « temps réel ».
CE QU’EN DISENT LES NORMES
ET LA LITTÉRATURE SPÉCIALISÉE
Toutes les normes et méthodologies existantes
relatives aux tableaux de bord sécurité (ISO
27004, NIST SP800 55, etc.) se rejoignent sur
un certain nombre de points :
■
■
■
■
QU’EN EST-IL DE LA SÉCURITÉ
DU SI ?
Qu’on les appelle « poste de supervision » ou « pupitre de commande », les tableaux de bord sont donc
partout. En entreprise, quels que soient les métiers
(contrôle de gestion, production, informatique)
depuis les services opérationnels aux comités de
direction, des tableaux de bord sont mis en place. Et
en sécurité de l’information, comme pour une voiture ou un avion, un tableau de bord est nécessaire
pour permettre aux RSSI, aux directions générales
mais également aux opérationnels de la DSI de
prendre des décisions sur le « pilotage » du dispositif de sécurité de l’information.
En effet le tableau de bord sécurité va :
■
■
■
Mesurer les données essentielles et les tendances
Remonter les alarmes (voyants rouges/voyants
verts/voyants oranges)
Permettre d’affirmer que les mesures correctives
déployées sont efficaces ou non
3
■
Le tableau de bord de sécurité a pour objectif
de mesurer l’atteinte d’un objectif ou d’une
cible de sécurité
Il présente souvent plusieurs vues, à destination
de publics différents
Il est composé d’indicateurs calculés à partir de
métriques ou de données de base
Sa mise en place doit faire l’objet d’un projet à
part entière
Son exploitation, son évolutivité et son maintien
en conditions opérationnelles doivent être pris
en compte dès sa définition
Mais surtout, il n’existe pas un seul et unique
tableau de bord sécurité : celui-ci doit être adapté
au contexte, aux objectifs et à la maturité de
l’organisation en matière de sécurité.
La démarche présentée par la suite a été
construite par Lexsi afin de répondre au mieux à
ces problématiques. Les pistes que nous vous
proposons vous donneront les clés d’une approche
pragmatique et adaptée quel que soit le niveau
d’intégration de la sécurité dans votre propre
contexte.
Un tableau de bord est nécessaire pour
permettre aux RSSI, aux directions générales
mais également aux opérationnels de la DSI
de prendre des décisions sur le « pilotage »
du dispositif de sécurité de l’information
4
LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ
PARTIE 2 : DÉVELOPPER SON PROPRE TABLEAU DE BORD
VOCABULAIRE ET FONDAMENTAUX
Métriques, indicateurs, KRI : Quésako ?
Le vocabulaire, comme toujours en matière de
sécurité, est riche et varié. Il présente de nombreuses subtilités souvent dues à l’adaptation des
termes anglophones au français.
Voici quelques définitions sur lesquelles nous
nous baserons par la suite :
■ Indicateur (parfois appelé KRI : Key Risk
Indicator en anglais) : moyen de mesurer
l’atteinte d’un objectif de sécurité (qui concourt
à des objectifs métier), la couverture d’un
risque ou la résolution d’un problème de
sécurité
■ Métrique (Metrics/measures) : valeur unitaire
mesurée permettant, combinée ou non à d’autres
métriques, la construction d’un indicateur
■ Valeur cible : valeur d’un indicateur reflétant
l’atteinte d’un objectif de sécurité ou d’un objectif
de progression de SSI. Une valeur cible peut être
associée à une plage de tolérance si elle concerne
un objectif de sécurité [définition ANSSI4]
■ Valeur seuil : niveau au-delà (ou en deçà)
duquel la valeur d’un indicateur indique qu’un
objectif de sécurité n'est plus couvert ou qu'un
objectif de progression de SSI ne peut plus être
atteint [définition ANSSI4] et entraine la génération d’une alerte
quelles l’ensemble du tableau de bord ne doit pas
être communiqué.
Il est donc nécessaire de créer et d’adapter
différentes représentations, en sélectionnant les
informations et les visuels, en fonction du public
visé.
Fondamental n°2 : la cinématique de calcul
Vous l’avez compris, quelle que soit l’approche
méthodologique choisie, il est nécessaire de
dissocier :
■ les métriques : ce sont les valeurs brutes collectées directement en interrogeant les interlocuteurs concernés, ou à partir d’outils techniques
notamment (par exemple, le nombre de collaborateurs sensibilisés dans l’année ou le nombre de
postes de travail possédant un anti-virus)
■ les mesures dérivées : ce sont des mesures
résultant de la combinaison de plusieurs
métriques (généralement des taux, des
rapports, des fréquences)
■ les indicateurs qui mesurent l’atteinte d’objectifs de sécurité, et sont calculés en comparant
les mesures dérivées à leurs valeurs seuils ou
cibles (souvent restituées par le biais de visuels
vert/orange/rouge ou de OK/KO)
Ainsi, pour chacun des indicateurs produits, il est
indispensable de définir attentivement la méthode
de calcul et les métriques utilisées. En d’autres
termes, il faut garder en tête que tout calcul d’indicateur doit être reproductible, donc réalisé
périodiquement exactement de la même façon.
Fondamental n°1 : Les différentes vues
Fondamental n°3 : Distinguer le fond et la forme
Un tableau de bord sécurité a pour fonction
principale la présentation d’indicateurs, qui vont
faire l’objet de publications périodiques à
différents niveaux et vers différentes cibles.
Pour répondre à cet objectif, il est souvent fait
mention de multiples vues (stratégique, pilotage
et opérationnelle). En effet, il n’est pas possible
(ni utile) de communiquer les mêmes informations au Comité Opérationnel Sécurité qu’au
Comité de Direction de l’organisation.
Cette question peut également être posée dans le
contexte d’un groupe multi-filiales, pour les-
Du point de vue de l’implémentation technique,
il est souvent judicieux de dissocier le fond
(indicateurs, métriques, cinématiques de calcul)
de la forme (vues, représentations graphiques).
D’une part, ces 2 aspects peuvent faire appel à
des outils totalement différents lors de leur mise
en œuvre.
D’autre part, ce n’est pas l’outil qui doit guider
la construction du tableau de bord mais bien
les objectifs de sécurité et les publics visés.
Les considérations et contraintes techniques pour
4. ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information. http://www.ssi.gouv.fr/
LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ
la collecte des informations et la mise en forme ne
doivent donc être prises en compte que dans un
second temps.
Pour finir, l’objectif initial est souvent de construire
une base de données pour ensuite publier le tableau
de bord dans un outil dédié. Par retour d’expérience, les premières versions finissent par être
déployées sous format Excel… après de longues
tergiversations techniques ayant fait prendre
beaucoup de retard au projet global.
DE QUEL TABLEAU DE BORD
AI-JE BESOIN ?
Prendre en compte son niveau maturité en matière
de sécurité SSI
En fonction du niveau de maturité de l’organisation en
matière de sécurité, le tableau de bord, son contenu et
son fonctionnement sont très différents.
Il est donc important, lors de la mise en œuvre
de l’outil, de prendre en compte ce niveau de
maturité :
■ en se donnant un objectif trop ambitieux, le
résultat obtenu pourrait être perçu comme
insuffisant étant donné la difficulté de remonter
l’ensemble des métriques voulues
■
5
dans le cas contraire, en se limitant à des
mesures basiques ou uniquement opérationnelles, les éléments restitués ne reflèteraient
pas suffisamment le niveau acquis en matière
de sécurité et seraient difficilement diffusables
à un Comité de Direction
Nous présentons par la suite les grandes caractéristiques des tableaux de bord en fonction du
niveau de maturité de l’organisation en matière de
sécurité :
1. Si vous en êtes à la DEFINITION de vos objectifs
de sécurité
Mettre en place immédiatement un tableau de
bord est assez prématuré. Mieux vaut attendre que
les objectifs de sécurité existent et soient
partagés par tous.
2. Si vous en êtes à l’IMPLEMENTATION de vos
mesures de sécurité
La mise en place d’un tableau de bord à cette
étape doit permettre de mesurer l’avancement
de l’implémentation des mesures de sécurité.
L’outil reste à destination du RSSI principalement
et des équipes opérationnelles bien entendu. Les
indicateurs sont synthétiques, définis à partir des
projets et actions sécurité en cours. Ils sont représentés par de simples pourcentages ou icones,
souvent sous forme de liste.
On peut par exemple trouver, dans ce type de
tableau de bord, le niveau de risque (pourcentage)
ÉVOLUTION DU NIVEAU DE MATURITÉ EN SÉCURITÉ D’UNE ORGANISATION
ET TABLEAUX DE BORD ASSOCIÉS
6
LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ
de chacun des projets sécurité en cours de
mise en œuvre, calculé à partir de facteurs de
risques tels que le manque de ressources
humaines, financières et le manque de temps
(principe binaire : « oui » = le facteur de risque
existe ou « non » = il n’existe pas).
Généralement, à ce stade, le tableau de bord est
assez consommateur de ressources car très
manuel, que ce soit pour la mise en œuvre initiale
ou pour la collecte des indicateurs. De plus, sa
fiabilité est totalement liée au fait que les
personnes interrogées lors de la collecte ne
« déforment » pas la réalité.
3. Si votre dispositif de sécurité est implémenté,
et que vous cherchez à optimiser son EFFICACITE
À cette étape, le tableau de bord sécurité a pour
objectif de mesurer l’efficacité des mesures de
sécurité mises en œuvre.
Il est doté d’une vue opérationnelle à destination
des équipes de la DSI, d’une vue stratégique
à destination du RSSI, du DSI voire du Risk
Manager.
Les indicateurs sont représentés sous forme de
graphiques précis pour la vue opérationnelle, et
d’icônes simples pour la vue stratégique.
Ils sont issus des politiques et des contrôles
de sécurité qui y sont définis et peuvent être
rattachés à des risques IT.
La mise en œuvre reste assez complexe tant que
tous les processus liés à la sécurité ne sont pas
parfaitement rodés et qu’il reste des actions
manuelles de collecte à réaliser.
Par exemple, vous pouvez intégrer dans le tableau
de bord la couverture du risque « Infection Virale »
calculée à partir du taux de couverture des postes et
des serveurs par un anti-virus combiné au taux de
mise à jour du parc avec les dernières signatures
d’anti-virus.
4. Enfin, votre dispositif complet étant bien rodé,
vous souhaitez montrer que la sécurité a un
IMPACT positif sur les activités METIER
À ce niveau, le but du tableau de bord est de
mesurer l’impact de la sécurité sur l’atteinte des
ILLUSTRATIONS D’INDICATEURS POUR CHAQUE NIVEAU DE MATURITÉ
IMPLÉMENTATION des mesures (2)
EFFICACITÉ du dispositif (3)
Scans de vulnérabilités : Corrections
Tiers
Oui
15
0
•
• •
• •
10
19
Indicateurs
Etat
Sécurité périmétrique
••
Sensibilisation
)
Mobilité
(
(
••
Médias amovibles
I
Fuite
d’information
•
•
9
•
0
0
14
21
0
9
Nb Vuln. Corrigées Croticité 5
Nb Vuln. Criticité 5 non corrigées
Nb Nouvelles Vuln. Criticité 5
Rentabilité financière
Couverture
du risque
26
13
28
BALANCED SCORECARD (4)
Prise en compte des IMPACTS MÉTIER (4)
Risque
•
0
no
v12
Oui
10
•
16
• •
de
c12
En retard
••
Non
0
32
37
0
oc
t-1
2
Non
Non
32
9
ju
il12
ao
ût
-1
2
se
pt
-1
2
Non
•
0
ju
in
-1
2
Pas de retard
20
0
av
r-1
2
••
1
30
m
ai
-1
2
Pas de retard
(
••
40
ja
nv
-1
2
Sensibilisation
Avancement
(
Charte
informatique
État
I
Actions
Facteur de Facteur de
risque
risque RH
financier
fe
v12
m
ar
s12
Chantier « Promouvoir une culture sécurité »
46,4%
50
••
••
Obj 1 : Optimisation des
coûts liés à la sécurité
Obj 2 : La sécurité aide à la
croissance financière
Processus opérationnels
performants
Clients
Obj 1 : Niveau de service et
de continuité fourni élévé
Obj 2 : La sécurité est un
avantage concurrentiel
Augmentation des
compétences et croissance
Obj 1 : Changements
adaptés et efficaces
Obj 1 : Amélioration des
compétences et
connaissances
Obj 2 : Amélioration
continue des processus
Obj 2 : Projection du
savoir faire
LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ
objectifs du métier. En plus du tableau de bord
traditionnel, un « Balanced Scorecard » peut être
mis en œuvre, à destination de la Direction
Générale, du Conseil d’Administration et des
actionnaires.
Dans ce dernier, les indicateurs sont définis à partir des objectifs métier sur lesquels la sécurité
peut avoir un impact (réduction des coûts, gain de
clients ou de chiffre d’affaires, avantage concurrentiel, croissance de l’organisation, etc.).
Le balanced scorecard propose une représentation
beaucoup plus abstraite et éloignée des problématiques opérationnelles de la sécurité mais plus
proche des enjeux métier et institutionnels.
Le tableau de bord traditionnel qui l’accompagne
est identique à celui du niveau « Efficacité »,
mais est pratiquement totalement automatisé.
EXISTE-T-IL UN « BON » TABLEAU
DE BORD SÉCURITÉ ?
Tout d’abord, il ne faut pas se méprendre sur le
rôle du tableau de bord sécurité. Il ne s’agit en
aucun cas d’un outil de suivi opérationnel en
temps réel : s’il ne remplace pas les consoles de
supervision ou autres corrélateurs de logs, ni les
tableaux de bord de production fournis par le
service informatique, il ne remplace pas non plus
un processus de gestion des incidents bien rodé !
D’autre part, il n’existe pas un tableau de bord
sécurité identique entre deux entreprises ou
organisations. Chaque tableau de bord doit être
défini en fonction des objectifs à atteindre.
Cependant, il est possible d’identifier des
principes et des fondamentaux qui feront qu’un
tableau de bord sécurité est pertinent et
opérationnel, et qu’il atteint ses objectifs :
■
■
Il se base sur des métriques définies précautionneusement, et surtout réalistes et reproductibles en matière de collecte (la charge de travail nécessaire à la collecte de chaque métrique
doit notamment être évaluée) afin de s’assurer
de leur fiabilité
Il inclut des seuils représentatifs et ajustables,
adaptés au contexte et à l’organisation
5. Information Technology –ISMS-Measurement
■
■
■
7
Il repose sur des calculs issus d’une cinématique claire et logique
Il est facilement évolutif
Chaque vue est associée à un public bien défini
PROPOSITION MÉTHODOLOGIQUE
POUR COMPOSER SON TABLEAU
DE BORD ET CHOISIR
SES INDICATEURS
Une démarche en 5 phases
À partir de ces constats et de son retour
d’expérience, Lexsi a souhaité proposer sa propre
méthodologie, conforme à l’ISO 270045, afin
d’accompagner ses clients dans la définition,
l’implémentation et le maintien de leurs tableaux
de bord sécurité.
Cette méthodologie relativement simple repose
sur les cinq phases suivantes :
1. Définir ses
objectifs
5. Maintenir son
tableau de bord
4. Réaliser
un pilote
2. Choisir et
organiser les
indicateurs
3. Construire
les vues
1 Définir ses objectifs
La première phase consiste à répondre aux interrogations suivantes :
■ Quel est mon niveau de maturité ?
■ Mes objectifs de sécurité sont-ils bien définis ?
■ A qui s’adresse le tableau de bord, dois-je
prévoir une diffusion au niveau du Comité de
Direction ?
Les réponses obtenues permettront de fixer les
paramètres importants du tableau de bord :
8
■
■
LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ
Le nombre et le type de vues : si mon tableau
de bord reste au sein de la DSI, 2 vues peuvent
être suffisantes ; par contre, si mon tableau de
bord sécurité doit être présenté à un Comité de
Direction voire diffusé à des actionnaires, il sera
nécessaire de disposer d’une vue stratégique,
peut-être même d’un Scorecard ! Et si je dois le
montrer à un Risk Manager, une vue représentant la couverture des risques IT ou métier (IT
related Business Risk) sera indispensable.
Le type d’informations collectées : si je suis
encore en phase d’implémentation de mes
mesures de sécurité, je ne pourrai pas évaluer
leur efficacité mais uniquement l’avancement
des plans d’actions ; au contraire, si mes politiques et directives sont définies et les mesures
implémentées (et efficaces !), pourquoi ne pas
essayer de montrer qu’elles collaborent à l’atteinte des objectifs métiers de mon entreprise ?
2 Choisir et organiser les indicateurs
La phase de sélection des différentes données qui
apparaissent dans le tableau de bord, est une
phase délicate mais cruciale.
Afin d’obtenir un résultat pragmatique et rapide,
nous préconisons de « partir par chacun des bouts »
(voir illustration), c'est-à-dire :
1. Définir le plus haut niveau de données
(indicateurs stratégiques - IS ) qui doit figurer
dans le tableau de bord (domaines de sécurité ?
risques ? objectifs métiers ?) et éviter de les
multiplier (8 à 10 maximum).
2. Identifier les métriques de base à collecter en
partant de données déjà existantes, exploitables
facilement ou des contrôles de sécurité simples
définis dans la Politique de Sécurité. Pour commencer, mieux vaut les limiter au maximum
dans les premières versions du tableau de bord.
C’est à ce moment-là qu’on identifie les fréquences de collecte possibles.
3. Construire si besoin les mesures dérivées à
partir du regroupement d’une ou plusieurs
métriques de base ce qui définira une 1ère
étape dans la cinématique de calcul (taux,
pourcentage, somme...).
4. Effectuer le « matching » entre les mesures
dérivées et les indicateurs stratégiques,
ce qui complètera la cinématique de
calcul.
5. Si certains indicateurs stratégiques ne peuvent
être couverts dans un 1er temps, les retirer du
tableau de bord.
Il sera toujours temps par la suite d’ajouter des
métriques et des indicateurs afin de compléter un
tableau de bord dont les mécanismes seront bien
rodés.
Vue stratégique
Vue intermédiaire
Poids
Vue opérationnelle
Poids
IS1
2
TBI
MD1
2
OK
Métrique
de base 1
Valeur : 98%
IS2
1
OK
MD2
1
KO
Métrique
de base 2
Valeur : 11%
ISn
2
TBI
MDn
2
KO
Métrique
de base n
Valeur : 74%
1
4
3
2
Légende
MD : Mesure Dérivée
IS : Indicateur Stratégique
ordre de réalisation
EXEMPLE DE RÉSULTAT POUR CETTE ÉTAPE.
3 Construire les vues
À cette étape, le contenu du tableau de bord est
connu. Il est alors primordial d’adapter la forme au
public visé pour chacune des vues identifiées
(1 vue = 1 public). Pour ce faire, il n’existe pas de
recette toute faite. S’il y a déjà des tableaux de
bord au sein de la structure, il peut être intéressant de se calquer sur l’existant, et de reprendre
les mêmes types de représentations et de charte
graphique.
Certaines organisations disposent parfois déjà de
reporting graphique au sein duquel il est facile
d’intégrer un tableau de bord sécurité. Mais pour
commencer, un simple tableau de bord implémenté sous Excel peut suffire. De manière
générale, il faut éviter le plus possible d’utiliser
trop d’outils pour un seul tableau de bord pour
des raisons évidentes de maintenance et de
facilité d’utilisation.
4 Réaliser un pilote
Le tableau de bord est désormais opérationnel
mais « vide ». Arrive donc la phase pilote, qui
doit permettre d’éprouver l’ensemble du processus de fonctionnement du tableau de bord,
depuis la collecte des métriques de base (et les
LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ
relances), jusqu’à la publication d’une vue stratégique « pilote ». Tous les indicateurs n’étant
pas produits à la même fréquence, il est généralement nécessaire que cette phase s’étende sur
plusieurs mois afin de valider les processus et
charges de collecte au fil du temps, la pertinence
des métriques, indicateurs et seuils choisis, la
lisibilité des représentations graphiques, etc.
C’est à l’issue de cette phase que le fameux
« Tableau de bord de sécurité » est enfin pleinement opérationnel !
■
■
■
■
■
9
au préalable (par exemple en se référant aux questions « Êtes-vous prêt? » figurant à la fin de ce livre
blanc)
Partir d’objectifs de sécurité clairs et partagés
S’appuyer sur des métriques de base déjà existantes
ou très faciles à collecter
Réaliser un feedback régulier dès la première
publication
Garantir un maintien de ressources et une organisation pour que le TBSSI soit pérenne dans le temps
Prendre en compte dès le début du projet les
évolutions futures
5 Maintenir son Tableau de bord
Les écueils à éviter
Dans la logique d’amélioration continue du SMSI6,
un tableau de bord doit faire l’objet d’une
maintenance régulière afin :
■ De prendre en compte les modifications des
objectifs de sécurité, ou de l’organisation
■ D’être ajusté au niveau de maturité en matière
de sécurité de l’organisation
■ D’intégrer de nouveaux indicateurs ou de
nouvelles vues
Ces aspects de maintenance et de mise à jour
doivent être pensés dès le début de la démarche,
afin que les modifications soient effectivement
possibles. Celles-ci seront également simplifiées
par la formalisation d’une documentation
complète de l’outil et son contenu ainsi que du
processus de collecte.
RÉUSSIR SON PROJET
« TABLEAU DE BORD »
Les éléments qui suivent faciliteront le déroulement de votre propre projet tableau de bord.
■
■
■
■
■
■
Les facteurs clés de succès
■
■
■
Considérer le projet de mise en place d’un
tableau de bord sécurité comme un projet à part
entière, avec un sponsor de type Direction
Générale ou au moins un membre du Comité
de Direction, un planning, un budget et des
contributeurs
S’assurer de la disponibilité régulière des
contributeurs : ce type de démarche est consommatrice de ressources dans différentes entités de
l’organisation
Évaluer son niveau de maturité en sécurité
6. SMSI : Système de Management de la Sécurité de l’Information
■
Imaginer couvrir tous les aspects de la sécurité dès
la première version. Cela se traduit souvent par trop
d’indicateurs, et un tableau de bord trop long à produire mais également à analyser.
Ne pas impliquer suffisamment les contributeurs, ni
suffisamment tôt dans le projet (notamment les responsables de la collecte). Cela entraine généralement par la suite une défaillance de la collecte par
absence de mobilisation.
Ne pas automatiser ou semi-automatiser les
collectes et calculs dès le départ, quand cela est
possible, la production du tableau de bord devient
alors une contrainte supplémentaire loin des
priorités opérationnelles.
Négliger la phase de développement technique : le
pilote Excel initial se transforme souvent en outil
final, les investissements, la base de données et
l’outil de tableau de bord initialement prévus étant
abandonnés.
Fixer des seuils trop ou pas assez ambitieux : un
tableau de bord « tout vert » ou « tout rouge » n’est
souvent pas représentatif de la réalité. L’outil perd
alors toute sa pertinence, et son intérêt.
Ne pas prendre en compte les cas où les valeurs
ne sont pas remontées : afin d’éviter que des indicateurs soient présentés comme « mauvais » suite
à une lacune du processus de collecte, il vaut
mieux prévoir à l’avance cette situation. Par exemple, on peut reprendre la valeur précédente ou
indiquer un taux de fiabilité d’un indicateur.
Ne pas penser à stocker l’historique des valeurs
collectées : les indicateurs sont souvent jugés bons
ou mauvais en fonction de leur évolution, d’une
tendance. La conservation d’un historique (généralement 13 mois) est donc nécessaire.
10
LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ
PARTIE 3 : POUR ALLER PLUS LOIN
Pour les opérationnels, le tableau de bord sécurité
va permettre d’identifier les actions prioritaires en
matière d’exploitation, de production et d’améliorer
et fiabiliser les processus au quotidien.
CONCLUSION
L’importance d’avoir un tableau de bord sécurité
Comme pour un pilote d’avion de ligne, il est
impossible de piloter la sécurité du SI sans
tableau de bord. A partir du moment où une
démarche de gouvernance et de management de
la sécurité est lancée, le tableau de bord sécurité devient un outil indispensable. Il va permettre, au fur et à mesure que le niveau de maturité augmente, de s’assurer que les projets sécurité avancent, puis qu’ils répondent aux objectifs de sécurité fixés, enfin que les risques
métiers sont couverts voire que la sécurité est
devenue un atout mesurable suivant les objectifs et missions de l’organisation.
Pour le RSSI, le tableau de bord sécurité va servir
à valider que les actions entreprises et les
mesures en place concourent bien à l’atteinte des
objectifs de sécurité fixés.
Pour les décideurs, ce tableau de bord va rassurer
ou alerter sur la bonne couverture des risques
existants de l’organisation liés au Système
d’Information.
Ces différents éléments étant tous nécessaires et
complémentaires si l’on a entrepris une démarche
plus globale de sécurité, le projet de mise en
place d’un tableau de bord devient alors aussi
évident que l’écriture d’une politique de sécurité.
ÊTES-VOUS PRÊT ?
Les cinq questions à se poser
Quand peut-on se lancer ?
1. Mes objectifs de sécurité sont-ils définis ?
Si vous avez répondu « Oui » aux questions
précédentes, vous pouvez y aller !
2. Ai-je à disposition des métriques facilement
mesurables (avancement de projets liés à un
schéma directeur sécurité, mesures techniques
déjà en place, processus de sécurité formalisés
et appliqués ?)
3. Mes décideurs sont-ils convaincus de la
pertinence et l’importance de la démarche
sécurité en cours ?
4. Les contributeurs éventuels sont-ils sensibles
et sensibilisés à la sécurité ?
5. Existe-t-il déjà d’autres tableaux de bord dans
mon organisation, notamment à la DSI ?
Comme nous l’avons exposé tout au long de ce
livre blanc, un bon tableau de bord sécurité est
celui qui s’adapte au niveau de maturité sécurité
de l’organisation.
Si la « culture sécurité » n’en est qu’à
ses balbutiements, que tout reste à faire, en
particulier convaincre les décideurs, nous vous
conseillons d’attendre un peu avant de vous
lancer dans un projet tableau de bord. Consacrer
plutôt vos efforts à l’amélioration de leur prise de
conscience de l’importance de la sécurité au
sein de votre organisation.
LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ
11
BIBLIOGRAPHIE
RÉFÉRENTIELS ET NORMES
Fournir des « arguments » quantifiables pour
obtenir des budgets
■
ANSSI (Agence Nationale de la Sécurité du SI)
ISO 27004 (Information Technology - ISMS Measurement)
Publiée en décembre 2009, l’ISO27004 propose
une liste de recommandations qui définissent :
■ Un modèle de mesure de l’efficacité d’un
Système de Management de la Sécurité de
l’Information
■ Une organisation autour du modèle de mesure
■ Le processus de construction des mesures et
d’implémentation du Programme de Mesure de la
Sécurité du SI ainsi que son amélioration continue
L’ISO base sa méthode sur une double approche
« Top-down/Bottom-Up », ainsi que sur
3 niveaux de mesures : les métriques de base,
les métriques dérivées et les indicateurs.
Elle inclut dans son approche méthodologique
des modèles ainsi que des exemples de
construction d’indicateurs mais ne fournit pas
un outillage complet pour mettre en place son
tableau de bord.
NIST SP 800 55 (Performance Measurement
Guide for Information Security, publié en 2008)
Le NIST propose une démarche pour implémenter un processus complet de mesure du niveau
de sécurité d’un organisme, qui lorsqu’il atteint
son niveau le plus haut, fait le lien entre la performance de la Sécurité et les objectifs de
l’organisation. En attendant que le niveau de
maturité soit suffisant pour atteindre cet
objectif, le NIST propose d’adapter à ce niveau
de maturité le tableau de bord et les indicateurs
qui lui sont liés.
Les objectifs d’un tableau de bord sécurité
selon le NIST sont les suivants:
■ Accroitre la prise de responsabilité au sein de
l’organisation en matière de sécurité
■ Améliorer l’efficience de la SSI en permettant
de mesurer l’efficacité des mesures de sécurité
■ Démontrer la conformité avec les lois, les
normes et PSSI
L’ANSSI propose également depuis 2004 une
méthodologie permettant de mettre en place son
tableau de bord sécurité, intégrant des concepts
similaires à la méthodologie du CLUSIR publiée
en 1997 (approche Top-Down, 3 niveaux :
stratégique, pilotage et opérationnel) et dont la
1ère étape est également la définition des
objectifs de sécurité.
Autres
Pour compléter ce panorama vous pourrez
trouver des compléments d’informations sur les
normes et publications existantes. Cette liste
n’est pas exhaustive :
Publication du CIGREF en 2007 : « INDICATEURS
SECURITE - Guide pratique pour un tableau de
bord sécurité stratégique et opérationnel »
Publication du CLUSIR en juin 1997 « Démarche
de conception d’un tableau de bord qualité
appliqué à la sécurité » et en mai 2009 « les
métriques dans le cadre de la série 27000 ».
Publication de l’IATAC en mai 2009 « Measuring
Cyber Security and Information Assurance »
COBIT Domaine « Surveillance et Evaluation »
(Monitor and Evaluate)
QUELQUES MOTS SUR LE GROUPE LEXSI
Axant sa stratégie sur l’innovation depuis 1999, LEXSI est aujourd’hui le premier cabinet indépendant en sécurité
de l’information et en gestion des risques. Sa singularité réside dans une alliance unique de technologies, de
méthodes et de talents, pour protéger les intérêts de ses clients. LEXSI est actif à l’international à travers ses filiales
de Montréal et Singapour. Il a pour mission d’aider les entreprises à renforcer leur sécurité et à gérer leurs risques,
à travers 4 grands métiers :
• Cybercrime : Veille technologique & lutte contre la fraude
• Conseil : Conseil en sécurité de l’information et gestion des risques
• Audit : Audit des systèmes d’information
• Université LEXSI : Formation de la Sécurité du SI
LEXSI dispose d’un pôle de compétence Management de la Sécurité et Gestion des Risques qui contribue à
l’atteinte des objectifs de création de valeur et de protection des entreprises. Nos missions de stratégie et gouvernance : accompagnement des RSSI, gestion des risques, SMSI, tableaux de bord ….
LES AUTEURS
Léonard KEAT est consultant en sécurité de l’information et en continuité d’activité depuis plus de 10 ans.
Il a réalisé plusieurs types de tableaux de bord en sécurité du SI (opérationnel, stratégique et pilotage de la
sécurité) dans le secteur bancaire et celui de l’énergie. Il est également formateur au sein de l’Université LEXSI
sur les modules liés au SMSI et aux tableaux de bord SSI. Il est certifié Lead Auditor ISO 27001.
Léonard KEAT
+33 (0)6 34 47 32 79
[email protected]
Claire BERNISSON est consultante en sécurité de l’information et en continuité d’activité chez Lexsi depuis
plus de 5 ans. Elle travaille quotidiennement sur des projets de tableaux de bord en sécurité du SI, que ce soit
pour leur réalisation ou dans le cadre de leur fonctionnement opérationnel. Elle est également certifiée Lead
Auditor ISO 27001.
Claire BERNISSON
+33 (0)6 16 26 48 44
[email protected]
www.lexsi.com
SIEGE SOCIAL :
Tours Mercuriales Ponant
40 rue Jean Jaurès
93170 Bagnolet
TÉL. (+33) 01 55 86 88 88
FAX. (+33) 01 55 86 88 89
www.lexsi.com
LEXSI - INNOVATIVE SECURITY
PARIS, LYON, LILLE, MONTREAL, SINGAPOUR