Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CLUSIF : Indicateurs stratégiques de Sécurité une aide indispensable pour les RSSI

octobre 2017 par Marc Jacob

Pour ce nouveau débat du CLUSIF, les indicateurs stratégiques de sécurité ont été mis à l’honneur avec leur corolaire les tableaux de bord. Pour nos experts ces indicateurs et tableaux de bord sont des aides indispensables pour les RSSI pour piloter les risques mais aussi obtenir des budgets.

Thierry Chiofalo explique en introduction que pour piloter une activité on a toujours besoin de tableau de bord qui est une sorte de GPS, mais aussi un jauge à essence... grâce à ces derniers, on réduit les risques, et on atteint ces buts plus rapidement. Toutefois, il faut que le tableau de bord soit réaliste en fonction des besoins. Bien sûr la finalité de ces tableaux est de pouvoir définir et obtenir des budgets. En outre, ils permettent de se « benchmarker » et d’améliorer son appréciation des risques.

Philippe Molines, de Nes Conseil a proposé un retour d’expérience. Dans son entreprise, il a mis en place un tableau de bord des risques. Il a retenu uniquement neufs indicateurs dont trois seulement sont présentés à la direction générale tous les mois. Il a aussi utilisé puis produit des indicateurs SSI qui sont diffusés a des cadences plus rapides. Ils permettent d’être plus réactif.

Enfin, il a travaillé sur des indicateurs opérationnels qui étaient produit tous les jours. Ils permettent d’avoir un suivi sur les patchs, les antivirus...

Philippe Molines est rapidement décrit chacun d’entre eux. Ainsi, pour les indicateurs de risque l’importance est le commentaire. Pour les autres ce qui est important c’est leur lisibilité, leur efficacité et leur rapidité de mise en œuvre. De plus, il a expliqué qu’un indicateur doit être reproductible et fiable. Par ailleurs, il faut être pragmatique et opportuniste. Ainsi, dans un premier temps, si on ne peut pas couvrir l’ensemble de l’IT, il est possible de donner des indicateurs sur un plus petit périmètre. Par contre dans ce cas, il faut bien le mentionner. La mise en place d’indicateurs parcellaires doit être itérative, il faut bien sûr qu’il soit évolutif et suive les modifications des infrastructures.

Pour lui, il faut à la fois mesurer les niveaux de menaces et de protections. Il considère que ces tableaux de bords doivent être partagés non seulement avec la direction générale mais aussi avec les équipes opérationnelles qui y travaillent. Il rappelle qu’il est nécessaire d’être très vigilant sur les informations contenues dans les tableaux de bord car ils peuvent être diffusés à d’autres personnes comme par exemple les auditeurs.

Au final, l’objectif, pour un RSSI, est donc de définir et de produire des indicateurs qui soient pertinents et donc directement utiles au pilotage de son activité, et qui soient également réalistes, c’est-à-dire réalisables à un coût, technologique et humain, compatible avec les capacités de l’équipe.

Comment mesurer les évolutions en cours et...à venir

Il a mentionné trois points le datalake, le big data avec la mise en avant de signaux faibles enfin le RGPD qu’il est aujourd’hui nécessaire de mettre en place. Pour ce dernier il conseille de remonter le nombre de données traitées.

Lorsque l’on pilote un entreprise par les risques

Jean-Philippe Jouas a abordé les tableaux de bords des risques et de pilotage par les risques. En préambule, il explique qu’un certain nombre d’entreprises aborde le pilotage par les risques. Cela implique que l’on puisse apprécier les risques, mais aussi avoir des outils de mesures des risques suites à des décisions prises. Il faut donc déterminer une cible de risque et une grille d’acceptabilité des risques et différents niveau de risque. Un fois ce travail réalisé il est nécessaire de les faire comprendre à la direction générale. Cela permet d’arriver à un panorama des risques où chacun d’entre eux est classé. Il permet de planifier une réduction des risques en fonction de leur gravité. Une fois le panorama réalisé il est possible de mettre en place des plans d’actions. Puis, on a besoin d’un outil de simulation pour vérifier que le nombre de risque diminue dans le temps. Ces actions prennent souvent plusieurs années. Cet outil permet de négocier des budgets avec la direction qui va parfois vouloir réduire certains risques critiques.

Les indicateurs doivent donner un état en temps réel du niveau de sécurité

Jean-Paul Joanany a proposé un retour d’expérience au sein de son entreprise. Au départ sa mission était d’assurer la sécurité, améliorer le niveau de Sécurité... il doit tous les jours gérer les risques IT, faire des tableaux de bords, faire de la communication, suivre les outils déployer, réaliser de la sensibilisation... il a expliqué rapidement l’ampleur de son travail et les relations avec les autres services, les sous-traitants... pour lui ce qui intéresse les directions c’est de remonter le niveau de sécurité et les risques. Il a mis des indicateurs sur les niveaux de sensibilisation du personnel. Ces tableaux de bords permettent de donner une image en temps réel des niveaux de risques. Il explique qu’il surveille tout particulièrement les incidents de sécurité, mais aussi les postes de travail. Il trace régulièrement si les patchs sont déployés. Il fait aussi de la gestion de vulnérabilités en suivant les recommandations de l’OWAPS. Sans compter qu’il produit des indicateurs pour les plateformes Jboss, les comptes à privilèges... De plus, il a construit des indicateurs sur les architectures. Actuellement, il met en place des indicateurs sur le RGPD.

Un tableau de bord doit être simple, exploitable rapidement, synthétique et visuel

Frédéric Malmartel et Hélène Sauvant membres du groupe de travail du « Clusif sur les indicateurs » ont présenté leur retour d’expérience. Frédéric Malmartel explique que dans son organisation il y a une grande force d’inertie ce qui crée un certain nombre de problèmes. Bien sûr, les indicateurs doivent être différents en fonction des services auxquels ils sont destinés comme la Direction générale, les métiers, le opérationnels... les tableaux de bords servent à quantifier les risques, à mesurer les tendances, à avoir des appuis pour trouver les budgets... il a mis en places des indicateurs pérennes et d’autres qui sont plus ponctuels en fonction des événements de sécurité comme par exemple la crise de Wannacry ou Petya. Pour se faire aider à la mise en place de tableau de bords, il faut se servir de ceux produits par le Clusif, l’ANSSI ou encore l’ISO 27004 qui vient de sortir. Cette dernière propose une méthodologie pour construire des indicateurs. De plus elle est en cohérence avec l’ISO 27001. Il estime que les tableaux de bords doivent servir au RSSI, à la DG, aux auditeurs, aux autorités réglementaires de tutelles... c’est au final un outil de décision qui doit être simple, exploitable rapidement, synthétique et visuel. Il faut en outre qu’ils soient évolutifs. Pour conclure ils ont montré des exemples des tableaux.

Les indicateurs doivent être le reflet de la vraie vie

Après ces retours d’expériences un débat animé par Jean-Marc Gremy, le Président du Clusif a été lancé.

Gérard Gaudin Président du RG2S estime que les indicateurs sont les reflets de la vraie vie. De ce fait, ils sont effectivement complexes à monter, ainsi, il faut toujours choisir ce qui est le plus simple et le plus facile à comprendre pour les directions générales. Dans le référentiel du RG2S qui est un contenant pour l’ISO 27004, 98 indicateurs ont été construits.

François Gratiolet de Cyrating explique que son agence notation va collecter des informations sur l’état de Cybersécurité des entreprises. Ainsi, elle va produire des indicateurs homogènes en s’appuyant sur certains standards. Pour lui les DG ont besoin d’un seul indicateur. Murielle Thibierge-Batude pour sa part considère que le seul indicateur important est celui du client. Pour Gérard Gaudin chaque service à besoin d’indicateurs différents, par exemple pour lui aujourd’hui l’image de marque est un référentiel important. François Gratiolet rapporte que certains médias publient aujourd’hui des notations de la digitalisation des entreprises ce qui est important pour les directions générales. Pour sa part Gérard Gaudin considère que les RSSI qui se cachent n’ont plus d’avenir. Ils doivent aujourd’hui communiquer afin de démontrer la difficulté de leur métier. En effet, 70% des incidents de Sécurité proviennent de l’humain donc même s’ils ont en charge la sensibilisation, ces incidents sont souvent indépendants de leur volonté.




Voir les articles précédents

    

Voir les articles suivants