Ce billet fait suite à un précédent billet sur le thème des tableaux de bord SSI.
Dans le précédent billet, nous avons vu que l’on usait des tableaux de bord principalement à des fins de pilotage ou de communication, mais aussi qu’il n’existait pas un tableau de bord unique, mais une multitude en fonction de leurs objectifs. Enfin était présenté le concept d’un tableau de bord de haut niveau, orienté risques, adapté à un reporting à fin de gouvernance SSI.
Ce type de tableau de bord est en pratique plutôt rare ; le principal frein étant le niveau de maturité SSI requis. En effet, un tableau de bord est un agrégat d’indicateurs, eux-mêmes élaborés sur des métriques construites à partir de données collectées. Pour que l’ensemble soit utile, il est donc de se doter d’indicateurs pertinents, et donc d’avoir clairement identifié ses besoins en matière de sécurité ainsi que la manière d’y répondre en termes techniques et organisationnels. Autant d’éléments qui relèvent d’un niveau de maturité sécurité minimum, qui est loin d’être atteint par toutes les démarches de gestion SSI.
D’autre part, certaines informations indispensables à la construction d’indicateurs pertinents ne sont pas toujours disponibles, en raison d’un manque de structuration du SI et des processus IT. Il en va ainsi par exemple des inventaires de biens (matériels, logiciels…), ou bien des critères de classification des risques ou des vulnérabilités. Informations sans lesquelles il devient difficile d’évaluer la bonne application des mesures sur son parc, ou bien de quantifier un risque ou l’exposition à une menace.
Egalement, pour que le tableau de bord soit utile, il faut qu’il soit alimenté en données à une fréquence permettant de montrer les évolutions et tendances sur une période donnée. Si les différentes métriques sont trop compliquées à obtenir, les collectes de données ont de grandes chances de ne pas être réalisées en temps et en heure, ou bien de manière simplifiée, ce qui ne permettra pas d’assurer la cohérence et donc l’utilité du tableau de bord dans le temps. La mise en place de collectes de données fiables, selon une procédure et à une fréquence bien cadrée, pour un coût adapté, relève là aussi d’un certain niveau de maturité.
Face à ces problématiques, la solution de facilité viserait à prendre les informations disponibles pour constituer le tableau de bord. Notamment les statistiques fournies directement par les solutions de sécurité, très tentantes …mais n’étant malheureusement pas toujours d’une grande pertinence, ou même biaisées. En effet que représente le nombre de virus bloqués ? Que faut-il déduire d’une évolution de ce nombre ? L’augmentation du nombre de virus ou de l’efficacité de la solution ? S’il faut investir du temps pour élaborer un tableau de bord, autant s’assurer que les indicateurs remontent des informations utiles.
Malgré les difficultés précédemment évoquées, il serait faux de croire que l’usage de tableaux de bord sécurité est à réserver aux seules organisations d’un niveau de maturité sécurité très élevé. Bien au contraire, cet outil peut contribuer à renforcer celle-ci, notamment en facilitant la mise en place d’une démarche qualité. L’élaboration du tableau va en premier lieu nécessiter d’exprimer clairement des objectifs fondamentaux à atteindre. Une partie des données collectées pour l’alimenter pourra être réutilisée dans le cadre d’un processus de contrôle interne faisant parfois défaut. La fourniture d’indicateurs pertinents, compris et acceptés par ses utilisateurs (équipes techniques, Directions…), permet d’instaurer un dialogue constructif basé sur des éléments factuels. Il fédère les équipes autour d’objectifs et d’actions concrètes qui finiront par ne plus être la seule préoccupation du RSSI. Enfin, l’évolution des indicateurs au cours de la vie du tableau de bord reflétera l’atteinte progressive des objectifs et l’élévation du niveau de sécurité. Des indicateurs plus exigeants fixeront de nouveaux axes de progrès, contribuant ainsi à la mise en œuvre du cercle vertueux de toute démarche qualité.
Au final, on s’aperçoit donc que si la question de la maturité SSI est fortement liée aux tableaux de bord de sécurité, elle ne constitue pas un frein à l’usage de ceux-ci, mais qu’au contraire un usage adapté d’indicateurs peut largement aider à construire et alimenter une démarche sécurité, dont l’élévation du niveau de sécurité apportera celle du niveau de sécurité.
Dans nos prochains billets, nous nous intéresserons au cœur du sujet, à savoir au choix d’indicateurs de sécurité pertinents et aux écueils à éviter lors de la mise en place d’un tableau de bord.
Le prochain billet traitera de l’élaboration des tableaux de bord.