LIVRE BLANC

Tableau de Bord
Sécurité :
Une approche par
la maturité

LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ / PAR CLAIRE ...
Tableau de Bord
Sécurité :
Une approche par
la maturité

Par Claire Bernisson et Léonard Keat
2

LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ

PARTIE 1 : ENTRÉE EN MATIÈRE
DE L’OPÉRATIONNEL À LA
GOUVERNANCE

d’indicateurs ...
LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ

2 semaines pour maintenance […] L’émission se poursuit 50 min jusqu’à ce que l’exp...
4

LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ

PARTIE 2 : DÉVELOPPER SON PROPRE TABLEAU DE BORD
VOCABULAIRE ET FONDAMENTAUX
Mé...
LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ

la collecte des informations et la mise en forme ne
doivent donc être prises en co...
6

LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ

de chacun des projets sécurité en cours de
mise en œuvre, calculé à partir de f...
LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ

objectifs du métier. En plus du tableau de bord
traditionnel, un « Balanced Scorec...
8

I

I

LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ

Le nombre et le type de vues : si mon tableau
de bord reste au sein de la...
LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ

relances), jusqu’à la publication d’une vue stratégique « pilote ». Tous les indic...
10

LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ

PARTIE 3 : POUR ALLER PLUS LOIN
Pour les opérationnels, le tableau de bord séc...
LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ

11

BIBLIOGRAPHIE
RÉFÉRENTIELS ET NORMES

Fournir des « arguments » quantifiables ...
QUELQUES MOTS SUR LE GROUPE LEXSI

Axant sa stratégie sur l’innovation depuis 1999, LEXSI est aujourd’hui le premier cabin...
www.lexsi.com

SIEGE SOCIAL :
Tours Mercuriales Ponant
40 rue Jean Jaurès
93170 Bagnolet

TÉL. (+33) 01 55 86 88 88
FAX. (...
Tableau de Bord Sécurité
Tableau de Bord Sécurité
Prochain SlideShare
Chargement dans…5
×

Tableau de Bord Sécurité

1 580 vues

Publié le

Avec l’évolution de l’environnement économique et l’arrivée de nombreuses réglementations, les entreprises doivent désormais être performantes tout en étant en conformité.
La stratégie de sécurité en entreprise prend alors une importance conséquente.
Ce livre blanc met en avant l’intérêt et les objectifs de la mise en place d’un tableau de bord pour mesurer, contrôler et piloter la sécurité de l’information.

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 580
Sur SlideShare
0
Issues des intégrations
0
Intégrations
132
Actions
Partages
0
Téléchargements
81
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Tableau de Bord Sécurité

  1. 1. LIVRE BLANC Tableau de Bord Sécurité : Une approche par la maturité LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ / PAR CLAIRE BERNISSON & LÉONARD KEAT
  2. 2. Tableau de Bord Sécurité : Une approche par la maturité Par Claire Bernisson et Léonard Keat
  3. 3. 2 LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ PARTIE 1 : ENTRÉE EN MATIÈRE DE L’OPÉRATIONNEL À LA GOUVERNANCE d’indicateurs calculés selon des méthodologies répétables et industrialisables I Aider à répondre aux questions récurrentes du type : « Quel est notre niveau de sécurité ? » et « Sommes-nous conformes ? » L’évolution de l’environnement économique et réglementaire des dernières décennies a amené les entreprises à adapter leur gouvernance et à trouver un nécessaire équilibre entre performance et conformité. LOIN DU MONDE DE LA SÉCURITÉ DU SI Dans ce contexte, la gouvernance de la sécurité des systèmes d’information se doit de soutenir la gouvernance institutionnelle en permettant de maîtriser et réduire les risques, et la gouvernance des activités métier de créer de la valeur et d’améliorer la performance. En particulier, la stratégie de sécurité prend une nouvelle dimension dépassant la simple approche technique. Il s’agit de soutenir les métiers de l’entreprise (mobilité de l’information, mobilité des collaborateurs, flexibilité et réactivité des systèmes d’information, résilience…), de répondre aux contraintes légales et réglementaires, et d’assurer la protection de son patrimoine informationnel au meilleur coût en respectant la culture de l’entreprise. Comme le rappelait Sir Winston CHURCHILL, « However beautiful the strategy, you should occasionally look at the result1 ». Cependant, d’après le rapport de 2012 du CLUSIF portant sur la sécurité du SI, une grande majorité des entreprises françaises (79%) n’a pas d’indicateurs de mesure du niveau de la sécurité de l’information. Et lorsqu’ils existent, seulement 37% de ces tableaux de bord sont remontés à la Direction Générale. L’intérêt de mettre en œuvre un tableau de bord pour mesurer, contrôler et piloter la stratégie de sécurité n’est pourtant plus à démontrer. Les principaux objectifs sont de : I Contrôler la bonne mise en oeuvre des mesures et moyens de sécurisation du SI I Fournir une vue d'ensemble de la gestion des risques de l’entreprise I Comparer l'état actuel de la sécurité du SI avec les états précédents, par la fourniture Une « panne » de tableau de bord à l’origine d’un crash aérien2 29 décembre 1972. Le vol 401 Eastern Air Lines amorce son approche vers l’aéroport international de Miami. Au moment de sortir le train d’atterrissage, l’équipage se rend compte que la lumière du tableau de bord servant à indiquer le bon déroulement de l’opération reste éteinte : soit le train n’est pas bien sorti, soit l’ampoule est grillée. Une série de vérifications visuelles liées à ce 1er incident est alors déroulée, occupant certains membres d’équipage hors de vue du tableau de bord. Dans le même temps, l’avion commence à perdre de l’altitude. Une alarme, concernant l’altitude cette fois-ci, apparait sur un tableau de bord alors sans surveillance. L’alerte humaine n’est finalement donnée que quelques temps plus tard, il n’est plus possible d’agir, l’avion s’écrase 10 minutes après la découverte de la lampe grillée. Une simple lumière verte ou rouge sur un tableau de bord prend alors toute son importance. À partir de cet exemple précis, 2 conclusions peuvent être tirées : I Un risque majeur (perte d’altitude et décrochage de l’avion, mauvais fonctionnement du train d’atterrissage) peut être détecté via la mise en place d’un indicateur « simple » (une lumière) I L’absence de surveillance régulière d’un indicateur particulier peut aboutir à des conséquences désastreuses Des indicateurs inadaptés mis en cause dans des accidents industriels3 « Juin 2007. Dans une usine de fabrication d’ammoniac et engrais, 200 kg d’oxydes d’azote (NOx) sont émis dans l’atmosphère via la cheminée de l’atelier acide nitrique en redémarrage après un arrêt de 1. Aussi belle soit la stratégie, vous devriez de temps en temps évaluer le résultat 2. http://aviationknowledge.wikidot.com/asi:eastern-air-lines-flight-401-cfit-analysis 3. Étude capteur barpi de juin 2012
  4. 4. LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ 2 semaines pour maintenance […] L’émission se poursuit 50 min jusqu’à ce que l’exploitant identifie la cause de l’incident : une défaillance du dispositif de mesure […] L’inspection […] notera sur place que le seuil d’alarme de niveau haut […] n’est pas adapté aux phases de démarrage […]. Seule les fumées rousses ont alerté les opérateurs. » A la même période, « un incendie se déclare à la base d’un séchoir à fécule. L’accident est probablement dû à un dépôt accidentel de fécule ayant subi un échauffement anormal. Compte tenu de la position inadaptée du capteur de température, l’injection de vapeur automatique prévue pour éviter ce type d’incident n’a pas fonctionné ». Ces deux exemples mettent en avant des éléments complémentaires qui s’appliquent parfaitement dans le cas des tableaux de bord de sécurité : I Un indicateur mal positionné, non relié à un risque, est un indicateur inutile I Un indicateur dont le seuil n’est pas défini correctement n’est pas efficace : soit il sera toujours bon et ne permettra pas de détecter les risques, soit il sera toujours « rouge » et on finira par ne plus s’en préoccuper… C’est l’ensemble de ces éléments qui devront permettre au « pilote » de s’assurer que les dispositifs de sécurité fonctionnent et de prendre les bonnes décisions en fonction d’un niveau de risque. Il faut cependant rappeler qu’un tableau de bord sécurité, contrairement aux exemples précédents, n’est pas un outil « temps réel ». CE QU’EN DISENT LES NORMES ET LA LITTÉRATURE SPÉCIALISÉE Toutes les normes et méthodologies existantes relatives aux tableaux de bord sécurité (ISO 27004, NIST SP800 55, etc.) se rejoignent sur un certain nombre de points : I I I I QU’EN EST-IL DE LA SÉCURITÉ DU SI ? Qu’on les appelle « poste de supervision » ou « pupitre de commande », les tableaux de bord sont donc partout. En entreprise, quels que soient les métiers (contrôle de gestion, production, informatique) depuis les services opérationnels aux comités de direction, des tableaux de bord sont mis en place. Et en sécurité de l’information, comme pour une voiture ou un avion, un tableau de bord est nécessaire pour permettre aux RSSI, aux directions générales mais également aux opérationnels de la DSI de prendre des décisions sur le « pilotage » du dispositif de sécurité de l’information. En effet le tableau de bord sécurité va : I I I Mesurer les données essentielles et les tendances Remonter les alarmes (voyants rouges/voyants verts/voyants oranges) Permettre d’affirmer que les mesures correctives déployées sont efficaces ou non 3 I Le tableau de bord de sécurité a pour objectif de mesurer l’atteinte d’un objectif ou d’une cible de sécurité Il présente souvent plusieurs vues, à destination de publics différents Il est composé d’indicateurs calculés à partir de métriques ou de données de base Sa mise en place doit faire l’objet d’un projet à part entière Son exploitation, son évolutivité et son maintien en conditions opérationnelles doivent être pris en compte dès sa définition Mais surtout, il n’existe pas un seul et unique tableau de bord sécurité : celui-ci doit être adapté au contexte, aux objectifs et à la maturité de l’organisation en matière de sécurité. La démarche présentée par la suite a été construite par Lexsi afin de répondre au mieux à ces problématiques. Les pistes que nous vous proposons vous donneront les clés d’une approche pragmatique et adaptée quel que soit le niveau d’intégration de la sécurité dans votre propre contexte. Un tableau de bord est nécessaire pour permettre aux RSSI, aux directions générales mais également aux opérationnels de la DSI de prendre des décisions sur le « pilotage » du dispositif de sécurité de l’information
  5. 5. 4 LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ PARTIE 2 : DÉVELOPPER SON PROPRE TABLEAU DE BORD VOCABULAIRE ET FONDAMENTAUX Métriques, indicateurs, KRI : Quésako ? Le vocabulaire, comme toujours en matière de sécurité, est riche et varié. Il présente de nombreuses subtilités souvent dues à l’adaptation des termes anglophones au français. Voici quelques définitions sur lesquelles nous nous baserons par la suite : I Indicateur (parfois appelé KRI : Key Risk Indicator en anglais) : moyen de mesurer l’atteinte d’un objectif de sécurité (qui concourt à des objectifs métier), la couverture d’un risque ou la résolution d’un problème de sécurité I Métrique (Metrics/measures) : valeur unitaire mesurée permettant, combinée ou non à d’autres métriques, la construction d’un indicateur I Valeur cible : valeur d’un indicateur reflétant l’atteinte d’un objectif de sécurité ou d’un objectif de progression de SSI. Une valeur cible peut être associée à une plage de tolérance si elle concerne un objectif de sécurité [définition ANSSI4] I Valeur seuil : niveau au-delà (ou en deçà) duquel la valeur d’un indicateur indique qu’un objectif de sécurité n'est plus couvert ou qu'un objectif de progression de SSI ne peut plus être atteint [définition ANSSI4] et entraine la génération d’une alerte quelles l’ensemble du tableau de bord ne doit pas être communiqué. Il est donc nécessaire de créer et d’adapter différentes représentations, en sélectionnant les informations et les visuels, en fonction du public visé. Fondamental n°2 : la cinématique de calcul Vous l’avez compris, quelle que soit l’approche méthodologique choisie, il est nécessaire de dissocier : I les métriques : ce sont les valeurs brutes collectées directement en interrogeant les interlocuteurs concernés, ou à partir d’outils techniques notamment (par exemple, le nombre de collaborateurs sensibilisés dans l’année ou le nombre de postes de travail possédant un anti-virus) I les mesures dérivées : ce sont des mesures résultant de la combinaison de plusieurs métriques (généralement des taux, des rapports, des fréquences) I les indicateurs qui mesurent l’atteinte d’objectifs de sécurité, et sont calculés en comparant les mesures dérivées à leurs valeurs seuils ou cibles (souvent restituées par le biais de visuels vert/orange/rouge ou de OK/KO) Ainsi, pour chacun des indicateurs produits, il est indispensable de définir attentivement la méthode de calcul et les métriques utilisées. En d’autres termes, il faut garder en tête que tout calcul d’indicateur doit être reproductible, donc réalisé périodiquement exactement de la même façon. Fondamental n°1 : Les différentes vues Fondamental n°3 : Distinguer le fond et la forme Un tableau de bord sécurité a pour fonction principale la présentation d’indicateurs, qui vont faire l’objet de publications périodiques à différents niveaux et vers différentes cibles. Pour répondre à cet objectif, il est souvent fait mention de multiples vues (stratégique, pilotage et opérationnelle). En effet, il n’est pas possible (ni utile) de communiquer les mêmes informations au Comité Opérationnel Sécurité qu’au Comité de Direction de l’organisation. Cette question peut également être posée dans le contexte d’un groupe multi-filiales, pour les- Du point de vue de l’implémentation technique, il est souvent judicieux de dissocier le fond (indicateurs, métriques, cinématiques de calcul) de la forme (vues, représentations graphiques). D’une part, ces 2 aspects peuvent faire appel à des outils totalement différents lors de leur mise en œuvre. D’autre part, ce n’est pas l’outil qui doit guider la construction du tableau de bord mais bien les objectifs de sécurité et les publics visés. Les considérations et contraintes techniques pour 4. ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information. http://www.ssi.gouv.fr/
  6. 6. LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ la collecte des informations et la mise en forme ne doivent donc être prises en compte que dans un second temps. Pour finir, l’objectif initial est souvent de construire une base de données pour ensuite publier le tableau de bord dans un outil dédié. Par retour d’expérience, les premières versions finissent par être déployées sous format Excel… après de longues tergiversations techniques ayant fait prendre beaucoup de retard au projet global. DE QUEL TABLEAU DE BORD AI-JE BESOIN ? Prendre en compte son niveau maturité en matière de sécurité SSI En fonction du niveau de maturité de l’organisation en matière de sécurité, le tableau de bord, son contenu et son fonctionnement sont très différents. Il est donc important, lors de la mise en œuvre de l’outil, de prendre en compte ce niveau de maturité : I en se donnant un objectif trop ambitieux, le résultat obtenu pourrait être perçu comme insuffisant étant donné la difficulté de remonter l’ensemble des métriques voulues I 5 dans le cas contraire, en se limitant à des mesures basiques ou uniquement opérationnelles, les éléments restitués ne reflèteraient pas suffisamment le niveau acquis en matière de sécurité et seraient difficilement diffusables à un Comité de Direction Nous présentons par la suite les grandes caractéristiques des tableaux de bord en fonction du niveau de maturité de l’organisation en matière de sécurité : 1. Si vous en êtes à la DEFINITION de vos objectifs de sécurité Mettre en place immédiatement un tableau de bord est assez prématuré. Mieux vaut attendre que les objectifs de sécurité existent et soient partagés par tous. 2. Si vous en êtes à l’IMPLEMENTATION de vos mesures de sécurité La mise en place d’un tableau de bord à cette étape doit permettre de mesurer l’avancement de l’implémentation des mesures de sécurité. L’outil reste à destination du RSSI principalement et des équipes opérationnelles bien entendu. Les indicateurs sont synthétiques, définis à partir des projets et actions sécurité en cours. Ils sont représentés par de simples pourcentages ou icones, souvent sous forme de liste. On peut par exemple trouver, dans ce type de tableau de bord, le niveau de risque (pourcentage) ÉVOLUTION DU NIVEAU DE MATURITÉ EN SÉCURITÉ D’UNE ORGANISATION ET TABLEAUX DE BORD ASSOCIÉS
  7. 7. 6 LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ de chacun des projets sécurité en cours de mise en œuvre, calculé à partir de facteurs de risques tels que le manque de ressources humaines, financières et le manque de temps (principe binaire : « oui » = le facteur de risque existe ou « non » = il n’existe pas). Généralement, à ce stade, le tableau de bord est assez consommateur de ressources car très manuel, que ce soit pour la mise en œuvre initiale ou pour la collecte des indicateurs. De plus, sa fiabilité est totalement liée au fait que les personnes interrogées lors de la collecte ne « déforment » pas la réalité. 3. Si votre dispositif de sécurité est implémenté, et que vous cherchez à optimiser son EFFICACITE À cette étape, le tableau de bord sécurité a pour objectif de mesurer l’efficacité des mesures de sécurité mises en œuvre. Il est doté d’une vue opérationnelle à destination des équipes de la DSI, d’une vue stratégique à destination du RSSI, du DSI voire du Risk Manager. Les indicateurs sont représentés sous forme de graphiques précis pour la vue opérationnelle, et d’icônes simples pour la vue stratégique. Ils sont issus des politiques et des contrôles de sécurité qui y sont définis et peuvent être rattachés à des risques IT. La mise en œuvre reste assez complexe tant que tous les processus liés à la sécurité ne sont pas parfaitement rodés et qu’il reste des actions manuelles de collecte à réaliser. Par exemple, vous pouvez intégrer dans le tableau de bord la couverture du risque « Infection Virale » calculée à partir du taux de couverture des postes et des serveurs par un anti-virus combiné au taux de mise à jour du parc avec les dernières signatures d’anti-virus. 4. Enfin, votre dispositif complet étant bien rodé, vous souhaitez montrer que la sécurité a un IMPACT positif sur les activités METIER À ce niveau, le but du tableau de bord est de mesurer l’impact de la sécurité sur l’atteinte des ILLUSTRATIONS D’INDICATEURS POUR CHAQUE NIVEAU DE MATURITÉ IMPLÉMENTATION des mesures (2) EFFICACITÉ du dispositif (3) Scans de vulnérabilités : Corrections Tiers Oui 15 0 • • • • • 10 19 Indicateurs Etat Sécurité périmétrique •• Sensibilisation ) Mobilité ( ( •• Médias amovibles I Fuite d’information • • 9 • 0 0 14 21 0 9 Nb Vuln. Corrigées Croticité 5 Nb Vuln. Criticité 5 non corrigées Nb Nouvelles Vuln. Criticité 5 Rentabilité financière Couverture du risque 26 13 28 BALANCED SCORECARD (4) Prise en compte des IMPACTS MÉTIER (4) Risque • 0 no v12 Oui 10 • 16 • • de c12 En retard •• Non 0 32 37 0 oc t-1 2 Non Non 32 9 ju il12 ao ût -1 2 se pt -1 2 Non • 0 ju in -1 2 Pas de retard 20 0 av r-1 2 •• 1 30 m ai -1 2 Pas de retard ( •• 40 ja nv -1 2 Sensibilisation Avancement ( Charte informatique État I Actions Facteur de Facteur de risque risque RH financier fe v12 m ar s12 Chantier « Promouvoir une culture sécurité » 46,4% 50 •• •• Obj 1 : Optimisation des coûts liés à la sécurité Obj 2 : La sécurité aide à la croissance financière Processus opérationnels performants Clients Obj 1 : Niveau de service et de continuité fourni élévé Obj 2 : La sécurité est un avantage concurrentiel Augmentation des compétences et croissance Obj 1 : Changements adaptés et efficaces Obj 1 : Amélioration des compétences et connaissances Obj 2 : Amélioration continue des processus Obj 2 : Projection du savoir faire
  8. 8. LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ objectifs du métier. En plus du tableau de bord traditionnel, un « Balanced Scorecard » peut être mis en œuvre, à destination de la Direction Générale, du Conseil d’Administration et des actionnaires. Dans ce dernier, les indicateurs sont définis à partir des objectifs métier sur lesquels la sécurité peut avoir un impact (réduction des coûts, gain de clients ou de chiffre d’affaires, avantage concurrentiel, croissance de l’organisation, etc.). Le balanced scorecard propose une représentation beaucoup plus abstraite et éloignée des problématiques opérationnelles de la sécurité mais plus proche des enjeux métier et institutionnels. Le tableau de bord traditionnel qui l’accompagne est identique à celui du niveau « Efficacité », mais est pratiquement totalement automatisé. EXISTE-T-IL UN « BON » TABLEAU DE BORD SÉCURITÉ ? Tout d’abord, il ne faut pas se méprendre sur le rôle du tableau de bord sécurité. Il ne s’agit en aucun cas d’un outil de suivi opérationnel en temps réel : s’il ne remplace pas les consoles de supervision ou autres corrélateurs de logs, ni les tableaux de bord de production fournis par le service informatique, il ne remplace pas non plus un processus de gestion des incidents bien rodé ! D’autre part, il n’existe pas un tableau de bord sécurité identique entre deux entreprises ou organisations. Chaque tableau de bord doit être défini en fonction des objectifs à atteindre. Cependant, il est possible d’identifier des principes et des fondamentaux qui feront qu’un tableau de bord sécurité est pertinent et opérationnel, et qu’il atteint ses objectifs : I I Il se base sur des métriques définies précautionneusement, et surtout réalistes et reproductibles en matière de collecte (la charge de travail nécessaire à la collecte de chaque métrique doit notamment être évaluée) afin de s’assurer de leur fiabilité Il inclut des seuils représentatifs et ajustables, adaptés au contexte et à l’organisation 5. Information Technology –ISMS-Measurement I I I 7 Il repose sur des calculs issus d’une cinématique claire et logique Il est facilement évolutif Chaque vue est associée à un public bien défini PROPOSITION MÉTHODOLOGIQUE POUR COMPOSER SON TABLEAU DE BORD ET CHOISIR SES INDICATEURS Une démarche en 5 phases À partir de ces constats et de son retour d’expérience, Lexsi a souhaité proposer sa propre méthodologie, conforme à l’ISO 270045, afin d’accompagner ses clients dans la définition, l’implémentation et le maintien de leurs tableaux de bord sécurité. Cette méthodologie relativement simple repose sur les cinq phases suivantes : 1. Définir ses objectifs 5. Maintenir son tableau de bord 4. Réaliser un pilote 2. Choisir et organiser les indicateurs 3. Construire les vues 1 Définir ses objectifs La première phase consiste à répondre aux interrogations suivantes : I Quel est mon niveau de maturité ? I Mes objectifs de sécurité sont-ils bien définis ? I A qui s’adresse le tableau de bord, dois-je prévoir une diffusion au niveau du Comité de Direction ? Les réponses obtenues permettront de fixer les paramètres importants du tableau de bord :
  9. 9. 8 I I LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ Le nombre et le type de vues : si mon tableau de bord reste au sein de la DSI, 2 vues peuvent être suffisantes ; par contre, si mon tableau de bord sécurité doit être présenté à un Comité de Direction voire diffusé à des actionnaires, il sera nécessaire de disposer d’une vue stratégique, peut-être même d’un Scorecard ! Et si je dois le montrer à un Risk Manager, une vue représentant la couverture des risques IT ou métier (IT related Business Risk) sera indispensable. Le type d’informations collectées : si je suis encore en phase d’implémentation de mes mesures de sécurité, je ne pourrai pas évaluer leur efficacité mais uniquement l’avancement des plans d’actions ; au contraire, si mes politiques et directives sont définies et les mesures implémentées (et efficaces !), pourquoi ne pas essayer de montrer qu’elles collaborent à l’atteinte des objectifs métiers de mon entreprise ? 2 Choisir et organiser les indicateurs La phase de sélection des différentes données qui apparaissent dans le tableau de bord, est une phase délicate mais cruciale. Afin d’obtenir un résultat pragmatique et rapide, nous préconisons de « partir par chacun des bouts » (voir illustration), c'est-à-dire : 1. Définir le plus haut niveau de données (indicateurs stratégiques - IS ) qui doit figurer dans le tableau de bord (domaines de sécurité ? risques ? objectifs métiers ?) et éviter de les multiplier (8 à 10 maximum). 2. Identifier les métriques de base à collecter en partant de données déjà existantes, exploitables facilement ou des contrôles de sécurité simples définis dans la Politique de Sécurité. Pour commencer, mieux vaut les limiter au maximum dans les premières versions du tableau de bord. C’est à ce moment-là qu’on identifie les fréquences de collecte possibles. 3. Construire si besoin les mesures dérivées à partir du regroupement d’une ou plusieurs métriques de base ce qui définira une 1ère étape dans la cinématique de calcul (taux, pourcentage, somme...). 4. Effectuer le « matching » entre les mesures dérivées et les indicateurs stratégiques, ce qui complètera la cinématique de calcul. 5. Si certains indicateurs stratégiques ne peuvent être couverts dans un 1er temps, les retirer du tableau de bord. Il sera toujours temps par la suite d’ajouter des métriques et des indicateurs afin de compléter un tableau de bord dont les mécanismes seront bien rodés. Vue stratégique Vue intermédiaire Poids Vue opérationnelle Poids IS1 2 TBI MD1 2 OK Métrique de base 1 Valeur : 98% IS2 1 OK MD2 1 KO Métrique de base 2 Valeur : 11% ISn 2 TBI MDn 2 KO Métrique de base n Valeur : 74% 1 4 3 2 Légende MD : Mesure Dérivée IS : Indicateur Stratégique ordre de réalisation EXEMPLE DE RÉSULTAT POUR CETTE ÉTAPE. 3 Construire les vues À cette étape, le contenu du tableau de bord est connu. Il est alors primordial d’adapter la forme au public visé pour chacune des vues identifiées (1 vue = 1 public). Pour ce faire, il n’existe pas de recette toute faite. S’il y a déjà des tableaux de bord au sein de la structure, il peut être intéressant de se calquer sur l’existant, et de reprendre les mêmes types de représentations et de charte graphique. Certaines organisations disposent parfois déjà de reporting graphique au sein duquel il est facile d’intégrer un tableau de bord sécurité. Mais pour commencer, un simple tableau de bord implémenté sous Excel peut suffire. De manière générale, il faut éviter le plus possible d’utiliser trop d’outils pour un seul tableau de bord pour des raisons évidentes de maintenance et de facilité d’utilisation. 4 Réaliser un pilote Le tableau de bord est désormais opérationnel mais « vide ». Arrive donc la phase pilote, qui doit permettre d’éprouver l’ensemble du processus de fonctionnement du tableau de bord, depuis la collecte des métriques de base (et les
  10. 10. LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ relances), jusqu’à la publication d’une vue stratégique « pilote ». Tous les indicateurs n’étant pas produits à la même fréquence, il est généralement nécessaire que cette phase s’étende sur plusieurs mois afin de valider les processus et charges de collecte au fil du temps, la pertinence des métriques, indicateurs et seuils choisis, la lisibilité des représentations graphiques, etc. C’est à l’issue de cette phase que le fameux « Tableau de bord de sécurité » est enfin pleinement opérationnel ! I I I I I 9 au préalable (par exemple en se référant aux questions « Êtes-vous prêt? » figurant à la fin de ce livre blanc) Partir d’objectifs de sécurité clairs et partagés S’appuyer sur des métriques de base déjà existantes ou très faciles à collecter Réaliser un feedback régulier dès la première publication Garantir un maintien de ressources et une organisation pour que le TBSSI soit pérenne dans le temps Prendre en compte dès le début du projet les évolutions futures 5 Maintenir son Tableau de bord Les écueils à éviter Dans la logique d’amélioration continue du SMSI6, un tableau de bord doit faire l’objet d’une maintenance régulière afin : I De prendre en compte les modifications des objectifs de sécurité, ou de l’organisation I D’être ajusté au niveau de maturité en matière de sécurité de l’organisation I D’intégrer de nouveaux indicateurs ou de nouvelles vues Ces aspects de maintenance et de mise à jour doivent être pensés dès le début de la démarche, afin que les modifications soient effectivement possibles. Celles-ci seront également simplifiées par la formalisation d’une documentation complète de l’outil et son contenu ainsi que du processus de collecte. RÉUSSIR SON PROJET « TABLEAU DE BORD » Les éléments qui suivent faciliteront le déroulement de votre propre projet tableau de bord. I I I I I I Les facteurs clés de succès I I I Considérer le projet de mise en place d’un tableau de bord sécurité comme un projet à part entière, avec un sponsor de type Direction Générale ou au moins un membre du Comité de Direction, un planning, un budget et des contributeurs S’assurer de la disponibilité régulière des contributeurs : ce type de démarche est consommatrice de ressources dans différentes entités de l’organisation Évaluer son niveau de maturité en sécurité 6. SMSI : Système de Management de la Sécurité de l’Information I Imaginer couvrir tous les aspects de la sécurité dès la première version. Cela se traduit souvent par trop d’indicateurs, et un tableau de bord trop long à produire mais également à analyser. Ne pas impliquer suffisamment les contributeurs, ni suffisamment tôt dans le projet (notamment les responsables de la collecte). Cela entraine généralement par la suite une défaillance de la collecte par absence de mobilisation. Ne pas automatiser ou semi-automatiser les collectes et calculs dès le départ, quand cela est possible, la production du tableau de bord devient alors une contrainte supplémentaire loin des priorités opérationnelles. Négliger la phase de développement technique : le pilote Excel initial se transforme souvent en outil final, les investissements, la base de données et l’outil de tableau de bord initialement prévus étant abandonnés. Fixer des seuils trop ou pas assez ambitieux : un tableau de bord « tout vert » ou « tout rouge » n’est souvent pas représentatif de la réalité. L’outil perd alors toute sa pertinence, et son intérêt. Ne pas prendre en compte les cas où les valeurs ne sont pas remontées : afin d’éviter que des indicateurs soient présentés comme « mauvais » suite à une lacune du processus de collecte, il vaut mieux prévoir à l’avance cette situation. Par exemple, on peut reprendre la valeur précédente ou indiquer un taux de fiabilité d’un indicateur. Ne pas penser à stocker l’historique des valeurs collectées : les indicateurs sont souvent jugés bons ou mauvais en fonction de leur évolution, d’une tendance. La conservation d’un historique (généralement 13 mois) est donc nécessaire.
  11. 11. 10 LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ PARTIE 3 : POUR ALLER PLUS LOIN Pour les opérationnels, le tableau de bord sécurité va permettre d’identifier les actions prioritaires en matière d’exploitation, de production et d’améliorer et fiabiliser les processus au quotidien. CONCLUSION L’importance d’avoir un tableau de bord sécurité Comme pour un pilote d’avion de ligne, il est impossible de piloter la sécurité du SI sans tableau de bord. A partir du moment où une démarche de gouvernance et de management de la sécurité est lancée, le tableau de bord sécurité devient un outil indispensable. Il va permettre, au fur et à mesure que le niveau de maturité augmente, de s’assurer que les projets sécurité avancent, puis qu’ils répondent aux objectifs de sécurité fixés, enfin que les risques métiers sont couverts voire que la sécurité est devenue un atout mesurable suivant les objectifs et missions de l’organisation. Pour le RSSI, le tableau de bord sécurité va servir à valider que les actions entreprises et les mesures en place concourent bien à l’atteinte des objectifs de sécurité fixés. Pour les décideurs, ce tableau de bord va rassurer ou alerter sur la bonne couverture des risques existants de l’organisation liés au Système d’Information. Ces différents éléments étant tous nécessaires et complémentaires si l’on a entrepris une démarche plus globale de sécurité, le projet de mise en place d’un tableau de bord devient alors aussi évident que l’écriture d’une politique de sécurité. ÊTES-VOUS PRÊT ? Les cinq questions à se poser Quand peut-on se lancer ? 1. Mes objectifs de sécurité sont-ils définis ? Si vous avez répondu « Oui » aux questions précédentes, vous pouvez y aller ! 2. Ai-je à disposition des métriques facilement mesurables (avancement de projets liés à un schéma directeur sécurité, mesures techniques déjà en place, processus de sécurité formalisés et appliqués ?) 3. Mes décideurs sont-ils convaincus de la pertinence et l’importance de la démarche sécurité en cours ? 4. Les contributeurs éventuels sont-ils sensibles et sensibilisés à la sécurité ? 5. Existe-t-il déjà d’autres tableaux de bord dans mon organisation, notamment à la DSI ? Comme nous l’avons exposé tout au long de ce livre blanc, un bon tableau de bord sécurité est celui qui s’adapte au niveau de maturité sécurité de l’organisation. Si la « culture sécurité » n’en est qu’à ses balbutiements, que tout reste à faire, en particulier convaincre les décideurs, nous vous conseillons d’attendre un peu avant de vous lancer dans un projet tableau de bord. Consacrer plutôt vos efforts à l’amélioration de leur prise de conscience de l’importance de la sécurité au sein de votre organisation.
  12. 12. LIVRE BLANC - TABLEAU DE BORD SÉCURITÉ 11 BIBLIOGRAPHIE RÉFÉRENTIELS ET NORMES Fournir des « arguments » quantifiables pour obtenir des budgets I ANSSI (Agence Nationale de la Sécurité du SI) ISO 27004 (Information Technology - ISMS Measurement) Publiée en décembre 2009, l’ISO27004 propose une liste de recommandations qui définissent : I Un modèle de mesure de l’efficacité d’un Système de Management de la Sécurité de l’Information I Une organisation autour du modèle de mesure I Le processus de construction des mesures et d’implémentation du Programme de Mesure de la Sécurité du SI ainsi que son amélioration continue L’ISO base sa méthode sur une double approche « Top-down/Bottom-Up », ainsi que sur 3 niveaux de mesures : les métriques de base, les métriques dérivées et les indicateurs. Elle inclut dans son approche méthodologique des modèles ainsi que des exemples de construction d’indicateurs mais ne fournit pas un outillage complet pour mettre en place son tableau de bord. NIST SP 800 55 (Performance Measurement Guide for Information Security, publié en 2008) Le NIST propose une démarche pour implémenter un processus complet de mesure du niveau de sécurité d’un organisme, qui lorsqu’il atteint son niveau le plus haut, fait le lien entre la performance de la Sécurité et les objectifs de l’organisation. En attendant que le niveau de maturité soit suffisant pour atteindre cet objectif, le NIST propose d’adapter à ce niveau de maturité le tableau de bord et les indicateurs qui lui sont liés. Les objectifs d’un tableau de bord sécurité selon le NIST sont les suivants: I Accroitre la prise de responsabilité au sein de l’organisation en matière de sécurité I Améliorer l’efficience de la SSI en permettant de mesurer l’efficacité des mesures de sécurité I Démontrer la conformité avec les lois, les normes et PSSI L’ANSSI propose également depuis 2004 une méthodologie permettant de mettre en place son tableau de bord sécurité, intégrant des concepts similaires à la méthodologie du CLUSIR publiée en 1997 (approche Top-Down, 3 niveaux : stratégique, pilotage et opérationnel) et dont la 1ère étape est également la définition des objectifs de sécurité. Autres Pour compléter ce panorama vous pourrez trouver des compléments d’informations sur les normes et publications existantes. Cette liste n’est pas exhaustive : Publication du CIGREF en 2007 : « INDICATEURS SECURITE - Guide pratique pour un tableau de bord sécurité stratégique et opérationnel » Publication du CLUSIR en juin 1997 « Démarche de conception d’un tableau de bord qualité appliqué à la sécurité » et en mai 2009 « les métriques dans le cadre de la série 27000 ». Publication de l’IATAC en mai 2009 « Measuring Cyber Security and Information Assurance » COBIT Domaine « Surveillance et Evaluation » (Monitor and Evaluate)
  13. 13. QUELQUES MOTS SUR LE GROUPE LEXSI Axant sa stratégie sur l’innovation depuis 1999, LEXSI est aujourd’hui le premier cabinet indépendant en sécurité de l’information et en gestion des risques. Sa singularité réside dans une alliance unique de technologies, de méthodes et de talents, pour protéger les intérêts de ses clients. LEXSI est actif à l’international à travers ses filiales de Montréal et Singapour. Il a pour mission d’aider les entreprises à renforcer leur sécurité et à gérer leurs risques, à travers 4 grands métiers : • Cybercrime : Veille technologique & lutte contre la fraude • Conseil : Conseil en sécurité de l’information et gestion des risques • Audit : Audit des systèmes d’information • Université LEXSI : Formation de la Sécurité du SI LEXSI dispose d’un pôle de compétence Management de la Sécurité et Gestion des Risques qui contribue à l’atteinte des objectifs de création de valeur et de protection des entreprises. Nos missions de stratégie et gouvernance : accompagnement des RSSI, gestion des risques, SMSI, tableaux de bord …. LES AUTEURS Léonard KEAT est consultant en sécurité de l’information et en continuité d’activité depuis plus de 10 ans. Il a réalisé plusieurs types de tableaux de bord en sécurité du SI (opérationnel, stratégique et pilotage de la sécurité) dans le secteur bancaire et celui de l’énergie. Il est également formateur au sein de l’Université LEXSI sur les modules liés au SMSI et aux tableaux de bord SSI. Il est certifié Lead Auditor ISO 27001. Léonard KEAT +33 (0)6 34 47 32 79 lkeat@lexsi.com Claire BERNISSON est consultante en sécurité de l’information et en continuité d’activité chez Lexsi depuis plus de 5 ans. Elle travaille quotidiennement sur des projets de tableaux de bord en sécurité du SI, que ce soit pour leur réalisation ou dans le cadre de leur fonctionnement opérationnel. Elle est également certifiée Lead Auditor ISO 27001. Claire BERNISSON +33 (0)6 16 26 48 44 cbernisson@lexsi.com
  14. 14. www.lexsi.com SIEGE SOCIAL : Tours Mercuriales Ponant 40 rue Jean Jaurès 93170 Bagnolet TÉL. (+33) 01 55 86 88 88 FAX. (+33) 01 55 86 88 89 www.lexsi.com LEXSI - INNOVATIVE SECURITY PARIS, LYON, LILLE, MONTREAL, SINGAPOUR

×