Tableau de bord SSI - SSi-Conseil Sécurité des Systèmes d

Tableau de bord SSI
(07-09-2006) - - Dernière mise à jour : (03-02-2014)
"If you can’t measure it, you can’t manage it " (Peter Drucker)Outil indispensable de Pilotage de la
Sécurité, le tableau de bord SSI doit être assez synthétique pour permettre :Compréhension,
Evaluation,
Arbitrage.
- Le suivi de l'évolution du niveau de sécurité en reprenant les critères retenus dans la politique de sécurité,
- La remontée d'alertes,
- Une synthèse des actions du plan d'action sécurité en cours,
- Répondre aux exigences réglementaires (par exemple : Règlement bancaire, Bale II, Sox, LSF...),
- Répondre aux exigences de Risk Management et de contrôle interne.Il résulte du choix d'indicateurs pertinents, met en
œuvre des processus automatiques ou manuels de collecte.Chaque niveau d'indicateur sera alimenté par :
- des objectifs de sécurité issus de l' analyse de risques,
- des règles de sécurité issues de la politique de sécurité en accord avec la norme ISO 27001/ISO27002,
- d'actions issues du plan d'action sécurité, par mesures de sécurité et contrôles définis.son organisation doit refléter
sur 3 niveaux (synthétisant les indicateurs du niveau le plus bas vers le niveau le plus
haut). Niveau Fréquence Stratégique annuelle ou trimestrielle, inclus dans le tableau de bord de la DSI et de la
DG Fonctionnel mensuelle à destination des responsables d'un domaine technique ou métier Opérationnel. quotidienne,
doit, pour la partie opérations, alimenter aussi le suivi du contrat de service (ITIL).
La mise en place d'un tableau de bord est un projet (Objectifs, moyens, délais, coût, qualité, management).
Le Projet Tableau de Bord Sécurité (TBS) a pour objectif de mesurer l'efficacité de la politique sécurité établie pour
contrer les menaces. C'est-à-dire de suivre les progrès réalisés et d'être une aide à la décision pour orienter des
nouveaux objectifs. Pour apprécier l'efficacité, il faut trouver les indicateurs de mesure adéquats parmi les éléments
recueillis, les pondérer selon leur importance et déterminer la valeur cible et le seuil de tolérance.
La méthodologie préconisée passe par les étapes suivantes :
- Détermination du périmètre,
- Choix de la méthode d'évaluation,
- Fixation des objectifs et choix de la cible de sécurité,
- Identification des évènements et entités à mesurer,
- Choix des paramètres à prendre en compte,
- Sélection des indicateurs et détermination des valeurs cibles et de seuils de tolérance,
- Établissement des procédures de recueil de chaque indicateur,
- Établissement des procédures en cas de dépassement des seuils d'alertes,
- Mise en place,
- Exploitation et suivi du TBS,
- Contrôle et amélioration / révision continue du processus,
- Introduction / Suppression d'indicateurs.
Exemple des indicateurs d'un tableau de bord simplifié à 9 indicateurs (ce qui est simple est souvent efficace) :
- Politique de sécurité,
- Traitement de protection de l'information,
- Programme de sensibilisation,
- Communication et reporting,
- Sécurité physique,
- Conformité aux lois et règles internes et juridiques, (veille juridique),
- Sécurisation des infrastructures réseau et télécom,
- Sécurité des applications (acquises et développées),
- Continuité d'activité et continuité businessPour aller plus loin : Les 4 catégories d'indicateurs 2005 des Assises de la
Sécurité
Qui se cachent ICI : 2eme volet du Livre Blanc 2005 :Pdf de 96 Pages
http://www.ssi-conseil.com - SSi-Conseil Sécurité des Systèmes d'Information
Powered by Mambo
Generated: 17 April, 2014, 18:56
1- Indicateurs stratégiques :
Mise en oeuvre de la politique de sécurité
- Etat d'avancement de la mise en œuvre de la politique sécurité selon ses principaux axes
stratégiques, suivi des incidents
- Suivi des plans d'action correctifs ou additionnels
Cartographie des risques
- Suivi de la dangerosité des risques en fonction de leur typologie, de leur localisation et des
processus affectés
- Identification et suivi des dispositifs permettant de réduire la fréquence des risques identifiés ou
de limiter leurs conséquences2- Indicateurs financiers :
ROI
- Suivi des dépenses liées à la sécurité, par grands domaines
- Suivi du retour sur investissement en fonction de différents critères : nombre d'alertes,
d'incidents, coûts occasionnés par ces derniers, pertes de chiffre d'affaires, etc.
Formation / sensibilisation
- Suivi des budgets liés à la formation et à la sensibilisation des utilisateurs et des personnes
- Coût des formations / participant
- Coût des formations / nombre des incidents liés aux utilisateurs (sur le poste client par exemple)
3- Indicateurs organisationnels et humains :
Formation
- Nombre de sessions de sensibilisation à la sécurité
- Suivi des participations à ces formations
- Identification et suivi des publics les plus sensibles
Interlocuteurs
- Suivi des changements dans les organigrammes prévus en cas d'incident
- Suivi des formations aux procédures d'alerte suivies par les personnes clés
Procédures
- Suivi des procédures, en fonction des alertes, de leur criticité et des horaires
4- Indicateurs fonctionnels et opérationnels :
Sécurité logicielle / applications
- Nombre de failles logicielles / applicatives
- Hiérarchisation de ces failles et évaluation de l'expertise nécessaire pour les exploiter
- Suivi des mises à jour logicielles, progicielles et des systèmes d'exploitation
Sécurité réseau
- Bilan des alertes et incidents survenus
- Hiérarchisation de ces alertes et incidents
- Identification des causes
- Bilan des audits et des tests de vulnérabilité éventuels
Disponibilité des services
- Taux de disponibilité HTTP, SMTP et DNS
- Nombre et type des anomalies issues de l'analyse des fichiers logs
- Identification et hiérarchisation des causes
Contrôle d'accès et de contenu
- Nombre de personnes habilitées en fonction des différents niveaux d'authentification
- Technologies mises en œuvre selon les profils (single-sign-on, PKI...)
- Analyse des logs
- Fréquence des mises à jour anti-virus et des alertes répertoriées
- Suivi du déploiement de ces mises à jour
- Bilan des audits éventuellement réalisés
Les indicateurs les plus utilisés selon l’enquête du Clusif : Menaces informatiques et pratiques de sécurité en
France Édition 2010 :
Exemple de synthèse stratégique :
Chaque Indicateur est un composite d'indicateurs opérationnels, chaque axe représente une "valeur" contributive de
sécurité des informations au business de l'entreprise : Maitrise des risques, Compétence des personnels, Traçabilité
des accès, Conformité réglementaire et juridique, Maîtrise de la continuité d'activité en cas de sinistre, Proactivité
concernant les vulnérabilité, Réactivité concernant les incidents et, in fine, efficacité du SMSI , c'est à dire de la
réduction effective des risques à un niveau acceptable par un plan de traitement sous contrôle. et une politique de
sécurité efficiente par rapport aux investissements consentis.
Structurer ses indicateurs : du KPI au KRI en passant par les KPX :
Collecte :
http://www.ssi-conseil.com - SSi-Conseil Sécurité des Systèmes d'Information
Powered by Mambo
Generated: 17 April, 2014, 18:56
source :Clusif
Divers niveaux d'agrégation :
d'après Lexsi
Exemples :
SSi-Conseil vous asiste dans le choix, l'agrégation et la présentation de vos score-cards SSI.
Ressources :
DCSSI : Elaboration Tableau de bord SSi : Pdf 59 pages
CLUSIF : Démarche de conception d'un tableau de bord Qualité appliqué à la sécurité : Pdf de 30 pages
CLUSIF : Indicateurs de sécurité : pdf de 23 pages
CIGREF : indicateurs de sécurité : pdf de 24 pages
ISO27004 : 2009 : metrics standard
Blog SSI : les 9 travaux d'Hercules
JDN Solutions sécurité : Quels indicateurs pour le tableau de bord sécurité ?
JDN Solutions sécurité : 12 indicateurs clés de la sécurité pour le DSI
http://www.ssi-conseil.com - SSi-Conseil Sécurité des Systèmes d'Information
Powered by Mambo
Generated: 17 April, 2014, 18:56