SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
Tableau de bord SSI Convertir en PDF Version imprimable Suggérer par mail
07-09-2006
"If you can’t measure it, you can’t manage it " (Peter Drucker)

Outil indispensable de Pilotage de la Sécurité, le tableau de bord SSI doit être assez synthétique pour permettre :
Compréhension,

Evaluation,

Arbitrage.
 
  • Le suivi de l'évolution du niveau de sécurité en reprenant les critères retenus dans la politique de sécurité,
  • La remontée d'alertes,
  • Une synthèse des actions du plan d'action sécurité en cours,
  • Répondre aux exigences réglementaires (par exemple : Règlement bancaire, Bale II, Sox, LSF...),
  • Répondre aux exigences de Risk Management et de contrôle interne.
Il résulte du choix d'indicateurs pertinents, met en œuvre des processus automatiques ou manuels de collecte.
Chaque niveau d'indicateur sera alimenté par :
  • des objectifs de sécurité issus de l' analyse de risques,
  • des règles de sécurité issues de la  politique de sécurité en accord avec la norme ISO 27001/ISO27002,
  • d'actions issues du plan d'action sécurité, par mesures de sécurité et contrôles définis.
son organisation doit refléter sur 3 niveaux (synthétisant les indicateurs du niveau le plus bas vers le niveau le plus haut).

 Niveau Fréquence
 Stratégique
 annuelle ou trimestrielle, inclus dans le tableau de bord de la DSI et de la DG
 Fonctionnel
 mensuelle à destination des responsables d'un domaine technique ou métier
 Opérationnel. quotidienne, doit, pour la partie opérations, alimenter aussi le suivi du contrat de service (ITIL).


La mise en place d'un tableau de bord est un projet  (Objectifs, moyens, délais, coût, qualité, management).
Le Projet Tableau de Bord Sécurité (TBS) a pour objectif de mesurer l'efficacité de la politique sécurité établie pour contrer les menaces. C'est-à-dire de suivre les progrès réalisés et d'être une aide à la décision pour orienter des nouveaux objectifs. Pour apprécier l'efficacité, il faut trouver les indicateurs de mesure adéquats parmi les éléments recueillis, les pondérer selon leur importance et déterminer la valeur cible et le seuil de tolérance.
La méthodologie préconisée passe par les étapes suivantes :
  • Détermination du périmètre,
  • Choix de la méthode d'évaluation,
  • Fixation des objectifs et choix de la cible de sécurité,
  • Identification des évènements et entités à mesurer,
  • Choix des paramètres à prendre en compte,
  • Sélection des indicateurs et détermination des valeurs cibles et de seuils de tolérance,
  • Établissement des procédures de recueil de chaque indicateur,
  • Établissement des procédures en cas de dépassement des seuils d'alertes,
  • Mise en place,
  • Exploitation et suivi du TBS,
  • Contrôle et amélioration / révision continue du processus,
  • Introduction / Suppression d'indicateurs.

Exemple des indicateurs d'un tableau de bord simplifié à 9 indicateurs (ce qui est simple est souvent efficace) :

  • Politique de sécurité,
  • Traitement de protection de l'information,
  • Programme de sensibilisation,
  • Communication et reporting,
  • Sécurité physique,
  • Conformité aux lois et règles internes et juridiques, (veille juridique),
  • Sécurisation des infrastructures réseau et télécom,
  • Sécurité des applications (acquises et développées),
  • Continuité d'activité et continuité business
Pour aller plus loin : Les 4 catégories d'indicateurs 2005 des Assises de la Sécurité
Qui se cachent ICI : 2eme volet du Livre Blanc 2005 :Pdf de 96 Pages

1- Indicateurs stratégiques :
Mise en oeuvre de la politique de sécurité
- Etat d'avancement de la mise en œuvre de la politique sécurité selon ses principaux axes
stratégiques, suivi des incidents
- Suivi des plans d'action correctifs ou additionnels
Cartographie des risques
- Suivi de la dangerosité des risques en fonction de leur typologie, de leur localisation et des
processus affectés
- Identification et suivi des dispositifs permettant de réduire la fréquence des risques identifiés ou
de limiter leurs conséquences
2- Indicateurs financiers :
ROI
- Suivi des dépenses liées à la sécurité, par grands domaines
- Suivi du retour sur investissement en fonction de différents critères : nombre d'alertes,
d'incidents, coûts occasionnés par ces derniers, pertes de chiffre d'affaires, etc.
Formation / sensibilisation
- Suivi des budgets liés à la formation et à la sensibilisation des utilisateurs et des personnes
- Coût des formations / participant
- Coût des formations / nombre des incidents liés aux utilisateurs (sur le poste client par exemple)
3- Indicateurs organisationnels et humains :
Formation
- Nombre de sessions de sensibilisation à la sécurité
- Suivi des participations à ces formations
- Identification et suivi des publics les plus sensibles
Interlocuteurs
- Suivi des changements dans les organigrammes prévus en cas d'incident
- Suivi des formations aux procédures d'alerte suivies par les personnes clés
Procédures
- Suivi des procédures, en fonction des alertes, de leur criticité et des horaires
4- Indicateurs fonctionnels et opérationnels :
Sécurité logicielle / applications
- Nombre de failles logicielles / applicatives
- Hiérarchisation de ces failles et évaluation de l'expertise nécessaire pour les exploiter
- Suivi des mises à jour logicielles, progicielles et des systèmes d'exploitation
Sécurité réseau
- Bilan des alertes et incidents survenus
- Hiérarchisation de ces alertes et incidents
- Identification des causes
- Bilan des audits et des tests de vulnérabilité éventuels
Disponibilité des services
- Taux de disponibilité HTTP, SMTP et DNS
- Nombre et type des anomalies issues de l'analyse des fichiers logs
- Identification et hiérarchisation des causes
Contrôle d'accès et de contenu
- Nombre de personnes habilitées en fonction des différents niveaux d'authentification
- Technologies mises en œuvre selon les profils (single-sign-on, PKI...)
- Analyse des logs
- Fréquence des mises à jour anti-virus et des alertes répertoriées
- Suivi du déploiement de ces mises à jour
- Bilan des audits éventuellement réalisés
Les indicateurs les plus utilisés selon l’enquête du  Clusif : Menaces informatiques et pratiques de sécurité en France Édition 2010 :
Indicateurs suivis dans le tableau de bord de la sécurité
Indicateurs suivis dans le tableau de bord de la sécurité

Exemple de synthèse stratégique :
Chaque Indicateur est un composite d'indicateurs opérationnels, chaque axe représente une "valeur" contributive de sécurité des informations au business de l'entreprise : Maitrise des risques, Compétence des personnels, Traçabilité des accès, Conformité réglementaire et juridique, Maîtrise de la continuité d'activité en cas de sinistre, Proactivité concernant les vulnérabilité, Réactivité concernant les incidents et, in fine, efficacité du SMSI , c'est à dire de la réduction effective des risques à un niveau acceptable par un plan de traitement sous contrôle. et une politique de sécurité efficiente par rapport aux investissements consentis.
Image

Structurer ses indicateurs : du KPI au KRI en passant par les KPX  :

Collecte :
Image
source :Clusif

Divers niveaux d'agrégation :
Image
d'après Lexsi

Exemples :
Image
SSi-Conseil vous asiste dans le choix, l'agrégation et la présentation de vos score-cards SSI.

Ressources :
DCSSI : Elaboration Tableau de bord SSi : Pdf 59 pages
CLUSIF : Démarche de conception d'un tableau de bord Qualité appliqué à la sécurité : Pdf de 30 pages
CLUSIF : Indicateurs de sécurité : pdf de 23 pages
CIGREF : indicateurs de sécurité : pdf de 24 pages
ISO27004 : 2009 : metrics standard
Blog SSI : les 9 travaux d'Hercules
JDN Solutions sécurité : Quels indicateurs pour le tableau de bord sécurité ?
JDN Solutions sécurité : 12 indicateurs clés de la sécurité pour le DSI

Dernière mise à jour : ( 03-02-2014 )
< Précédent   Suivant >
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.