Cet article est le premier d’une série sur les tableaux de bord sécurité.
Les difficultés de conception et de maintien ou le manque de pertinence sont souvent à l’origine de tableaux de bord inefficaces. Il peut pourtant constituer le point central d’une montée en maturité et en-tout-cas, un outil de pilotage très efficace. Mais pour cela, il faut que la démarche d’élaboration du tableau de bord soit réfléchie et qu’il soit construit spécifiquement pour le dessein voulu. Nous allons tenter, dans une série de billets, de couvrir les différents aspects qui le composent comme ses objectifs, les écueils fréquents, mais surtout la problématique du niveau de maturité du Système d’Information nécessaire à la mise en place d’un bon tableau de bord SSI.
Afin d’appréhender correctement les prochains billets, il convient de définir clairement les objectifs qui lui sont généralement confiés. Ils sont essentiellement de deux natures : le pilotage et la communication.
Qu’il s’agisse d’un tableau de bord de conformité ou de suivi d’activité, il doit dans les deux cas, rendre compte avec exactitude de la situation, et fournir les éléments nécessaires à une prise de décisions ou au déclenchement d’actions. S’il est bien construit, il devient alors un élément central du pilotage.
Le tableau de bord de sécurité peut aussi constituer un excellent moyen de communication, en interne ou vers l’extérieur. Il permet de montrer de manière claire et synthétique un certain nombre d’éléments reflétant la situation du SI. Les finalités sont multiples en interne, comme mettre en avant l’évolution de la sécurité du SI, et justifier les investissements sécurité auprès de la direction des affaires financières, ou encore rassurer les métiers ou la direction générale. Il permet également une communication efficace vers l’extérieur, comme dans le cadre de la fourniture de service par exemple, où un tableau de bord présentant des informations comme le niveau de disponibilité ou le respect des accords de niveau de service constitue un document bilan adéquat à fournir au client ou un élément clé dans une réponse à un appel d’offres.
Ces deux objectifs mettent en exergue un aspect des tableaux de bord SSI à ne pas oublier : il n’existe pas de tableau de bord universel, mais une multitude de tableaux de bord relatifs aux cibles et destinataires qui leurs sont attribués. Il est par conséquent important de l’aligner sur ses principaux objectifs pour qu’il soit pertinent.
Ainsi, un RSSI concerné par la sécurité périmétrique de certains des équipements isolés de son SI n’aura que peu d’intérêt à contrôler l’inventaire des postes utilisateurs ou le respect des procédures de mise au rebus des équipements. À l’inverse, dans une entreprise où de nombreux employés travaillent avec des informations très sensibles (défense, recherche…) , il sera fortement concerné par ces mesures.
Chacun doit aligner son tableau sur ses objectifs, dans ces conditions, le tableau de bord sera très efficace. Qu’il s’agisse de vérifier sa conformité vis-à-vis d’un référentiel comme l’iso 27001, de la politique de sécurité du SI définie en amont ou de surveiller la vulnérabilité d’un périmètre sensible, l’image rendue sera juste et les actions à entreprendre pertinentes.
Suivant les objectifs du RSSI cet outil peut se décliner suivant deux orientations principales : le tableau de bord opérationnel, le tableau de bord stratégique :
Le tableau de bord opérationnel permet d’entretenir un lien fort avec les équipes d’exploitation ou de gestion de projet. En vérifiant la bonne application de mesures et le suivi de métriques relativement brutes, il est plus aisé d’intervenir sur des éléments techniques précis et d’assurer un pilotage opérationnel réactif.
À l’inverse, le tableau de bord stratégique va offrir un certain niveau d’abstraction permettant de raisonner en termes de risques et de niveau de vulnérabilité sur des périmètres donnés (entité géographique, filiale, activité, etc.) et de les confronter. Ce tableau va essentiellement permettre une communication vers les hauts niveaux de direction, pour justifier des dépenses SSI par exemple, mais aussi pour renforcer le niveau de confiance de nombreux acteurs comme les clients ou partenaires sans oublier les usagers internes.
Pour le suivi de la sécurité, l’outil idéal du RSSI serait un tableau orienté risque. Une telle approche, permettrait de présenter la situation sous l’angle du niveau de risque sur le SI et de prendre des décisions stratégiques.
Ce type de tableau de bord idéal nécessite une grande maturité du SI et une structuration très poussée des processus. Il est évident que le niveau de maturité va directement impacter la capacité d’avoir un outil haut-niveau, nous verrons dans un prochain billet quels liens peuvent être établis entre la maturité d’un SI et les possibilités de pilotage par tableau de bord.
L’article suivant traite des liens entre tableaux de bord et la maturité SSI.