Tableau de bord SSI - SSi-Conseil Sécurité des Systèmes d
Transcription
Tableau de bord SSI - SSi-Conseil Sécurité des Systèmes d
Tableau de bord SSI (07-09-2006) - - Dernière mise à jour : (03-02-2014) "If you can’t measure it, you can’t manage it " (Peter Drucker)Outil indispensable de Pilotage de la Sécurité, le tableau de bord SSI doit être assez synthétique pour permettre :Compréhension, Evaluation, Arbitrage. - Le suivi de l'évolution du niveau de sécurité en reprenant les critères retenus dans la politique de sécurité, - La remontée d'alertes, - Une synthèse des actions du plan d'action sécurité en cours, - Répondre aux exigences réglementaires (par exemple : Règlement bancaire, Bale II, Sox, LSF...), - Répondre aux exigences de Risk Management et de contrôle interne.Il résulte du choix d'indicateurs pertinents, met en œuvre des processus automatiques ou manuels de collecte.Chaque niveau d'indicateur sera alimenté par : - des objectifs de sécurité issus de l' analyse de risques, - des règles de sécurité issues de la politique de sécurité en accord avec la norme ISO 27001/ISO27002, - d'actions issues du plan d'action sécurité, par mesures de sécurité et contrôles définis.son organisation doit refléter sur 3 niveaux (synthétisant les indicateurs du niveau le plus bas vers le niveau le plus haut). Niveau Fréquence Stratégique annuelle ou trimestrielle, inclus dans le tableau de bord de la DSI et de la DG Fonctionnel mensuelle à destination des responsables d'un domaine technique ou métier Opérationnel. quotidienne, doit, pour la partie opérations, alimenter aussi le suivi du contrat de service (ITIL). La mise en place d'un tableau de bord est un projet (Objectifs, moyens, délais, coût, qualité, management). Le Projet Tableau de Bord Sécurité (TBS) a pour objectif de mesurer l'efficacité de la politique sécurité établie pour contrer les menaces. C'est-à-dire de suivre les progrès réalisés et d'être une aide à la décision pour orienter des nouveaux objectifs. Pour apprécier l'efficacité, il faut trouver les indicateurs de mesure adéquats parmi les éléments recueillis, les pondérer selon leur importance et déterminer la valeur cible et le seuil de tolérance. La méthodologie préconisée passe par les étapes suivantes : - Détermination du périmètre, - Choix de la méthode d'évaluation, - Fixation des objectifs et choix de la cible de sécurité, - Identification des évènements et entités à mesurer, - Choix des paramètres à prendre en compte, - Sélection des indicateurs et détermination des valeurs cibles et de seuils de tolérance, - Établissement des procédures de recueil de chaque indicateur, - Établissement des procédures en cas de dépassement des seuils d'alertes, - Mise en place, - Exploitation et suivi du TBS, - Contrôle et amélioration / révision continue du processus, - Introduction / Suppression d'indicateurs. Exemple des indicateurs d'un tableau de bord simplifié à 9 indicateurs (ce qui est simple est souvent efficace) : - Politique de sécurité, - Traitement de protection de l'information, - Programme de sensibilisation, - Communication et reporting, - Sécurité physique, - Conformité aux lois et règles internes et juridiques, (veille juridique), - Sécurisation des infrastructures réseau et télécom, - Sécurité des applications (acquises et développées), - Continuité d'activité et continuité businessPour aller plus loin : Les 4 catégories d'indicateurs 2005 des Assises de la Sécurité Qui se cachent ICI : 2eme volet du Livre Blanc 2005 :Pdf de 96 Pages http://www.ssi-conseil.com - SSi-Conseil Sécurité des Systèmes d'Information Powered by Mambo Generated: 17 April, 2014, 18:56 1- Indicateurs stratégiques : Mise en oeuvre de la politique de sécurité - Etat d'avancement de la mise en œuvre de la politique sécurité selon ses principaux axes stratégiques, suivi des incidents - Suivi des plans d'action correctifs ou additionnels Cartographie des risques - Suivi de la dangerosité des risques en fonction de leur typologie, de leur localisation et des processus affectés - Identification et suivi des dispositifs permettant de réduire la fréquence des risques identifiés ou de limiter leurs conséquences2- Indicateurs financiers : ROI - Suivi des dépenses liées à la sécurité, par grands domaines - Suivi du retour sur investissement en fonction de différents critères : nombre d'alertes, d'incidents, coûts occasionnés par ces derniers, pertes de chiffre d'affaires, etc. Formation / sensibilisation - Suivi des budgets liés à la formation et à la sensibilisation des utilisateurs et des personnes - Coût des formations / participant - Coût des formations / nombre des incidents liés aux utilisateurs (sur le poste client par exemple) 3- Indicateurs organisationnels et humains : Formation - Nombre de sessions de sensibilisation à la sécurité - Suivi des participations à ces formations - Identification et suivi des publics les plus sensibles Interlocuteurs - Suivi des changements dans les organigrammes prévus en cas d'incident - Suivi des formations aux procédures d'alerte suivies par les personnes clés Procédures - Suivi des procédures, en fonction des alertes, de leur criticité et des horaires 4- Indicateurs fonctionnels et opérationnels : Sécurité logicielle / applications - Nombre de failles logicielles / applicatives - Hiérarchisation de ces failles et évaluation de l'expertise nécessaire pour les exploiter - Suivi des mises à jour logicielles, progicielles et des systèmes d'exploitation Sécurité réseau - Bilan des alertes et incidents survenus - Hiérarchisation de ces alertes et incidents - Identification des causes - Bilan des audits et des tests de vulnérabilité éventuels Disponibilité des services - Taux de disponibilité HTTP, SMTP et DNS - Nombre et type des anomalies issues de l'analyse des fichiers logs - Identification et hiérarchisation des causes Contrôle d'accès et de contenu - Nombre de personnes habilitées en fonction des différents niveaux d'authentification - Technologies mises en œuvre selon les profils (single-sign-on, PKI...) - Analyse des logs - Fréquence des mises à jour anti-virus et des alertes répertoriées - Suivi du déploiement de ces mises à jour - Bilan des audits éventuellement réalisés Les indicateurs les plus utilisés selon l’enquête du Clusif : Menaces informatiques et pratiques de sécurité en France Édition 2010 : Exemple de synthèse stratégique : Chaque Indicateur est un composite d'indicateurs opérationnels, chaque axe représente une "valeur" contributive de sécurité des informations au business de l'entreprise : Maitrise des risques, Compétence des personnels, Traçabilité des accès, Conformité réglementaire et juridique, Maîtrise de la continuité d'activité en cas de sinistre, Proactivité concernant les vulnérabilité, Réactivité concernant les incidents et, in fine, efficacité du SMSI , c'est à dire de la réduction effective des risques à un niveau acceptable par un plan de traitement sous contrôle. et une politique de sécurité efficiente par rapport aux investissements consentis. Structurer ses indicateurs : du KPI au KRI en passant par les KPX : Collecte : http://www.ssi-conseil.com - SSi-Conseil Sécurité des Systèmes d'Information Powered by Mambo Generated: 17 April, 2014, 18:56 source :Clusif Divers niveaux d'agrégation : d'après Lexsi Exemples : SSi-Conseil vous asiste dans le choix, l'agrégation et la présentation de vos score-cards SSI. Ressources : DCSSI : Elaboration Tableau de bord SSi : Pdf 59 pages CLUSIF : Démarche de conception d'un tableau de bord Qualité appliqué à la sécurité : Pdf de 30 pages CLUSIF : Indicateurs de sécurité : pdf de 23 pages CIGREF : indicateurs de sécurité : pdf de 24 pages ISO27004 : 2009 : metrics standard Blog SSI : les 9 travaux d'Hercules JDN Solutions sécurité : Quels indicateurs pour le tableau de bord sécurité ? JDN Solutions sécurité : 12 indicateurs clés de la sécurité pour le DSI http://www.ssi-conseil.com - SSi-Conseil Sécurité des Systèmes d'Information Powered by Mambo Generated: 17 April, 2014, 18:56