Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

19/01/2023

Cybersecurity Insights

Tableaux de bord et indicateur SSI : un outil indispensable à l’aide à la décision ?

Ce premier article sur le sujet des tableaux de bord et indicateurs a pour objectif de présenter une méthode de définition et de mise en œuvre d’indicateurs et d’un tableau de bord de la Sécurité des Systèmes d’Information (SSI).

En 2020, les tableaux de bord SSI demeuraient peu déployés dans les entreprises de plus de 100 salariés, selon la dernière étude du CLUSIF sur les menaces informatiques et pratiques de sécurité en France. En effet, en 2020, seulement 30% des organisations interrogées (350 au total) en étaient dotées. La mise en place de tableaux de bord peut se révéler chronophage et énergivore, parfois pour des résultats difficilement utilisables. Ces tableaux de bord, finissent par ne plus être alimentés ni consultés. Les RSSI ont donc tout intérêt à concevoir leurs tableaux de bord en allant à l’essentiel.

Une définition des tableaux de bord SSI :

Pourquoi l’utilisation de tableau de bord SSI reste plébiscitée malgré ces difficultés ?

Toute activité nécessite un pilotage et donc une prise de décisions régulière. Des informations liées à chaque activité pilotée doivent être présentées pour faciliter (sans trahir) la compréhension de la réalité d’une situation et aider à la prise de décision. La consolidation des informations nécessaires à la prise de décision est le principal objectif des tableaux de bord, qui sont de fait, indispensables au pilotage d’une activité.

La cybersécurité a également besoin de pilotage, et donc de tableaux de bord fournissant une présentation synthétique des informations nécessaires à la prise de décision. Comme tout tableau de bord, Ils doivent se présenter sous la forme de visuel lisible, agréable et synthétique, reportant donc la situation de la sécurité, que ce soit dans ses dimensions techniques ou fonctionnelles : couverture des risques, efficacité de la politique de sécurité, suivi des audits, des actions et des alertes…

Des tableaux de bord pour le suivi de la sécurité à 3 niveaux :

Il n’existe pas un tableau de bord (outil de pilotage) unique pour la sécurité des SI. La sécurité des SI se déploie à plusieurs niveaux, il faut donc disposer de tableaux de bord pour chaque niveau. On distingue habituellement 3 points de vue :

  • Au niveau stratégique, un tableau de bord présentera les paramètres ou critères pouvant influencer la stratégie de l’entreprise, adapter la stratégie de sécurité de l’entreprise et préparer les choix de mise en place des ressources : définition de priorités, évolution de la menace et du risque, etc.
  • Un tableau de bord tactique présentera une vue de pilotage des processus de cybersécurité de l’entreprise. On y retrouve les principales activités de gestion des risques, des incidents, du traitement des vulnérabilités. Ce tableau de bord fournira une vue synthétique de l’état de fonctionnement des processus mis en œuvre dans l’entreprise.
  • Le tableau de bord de niveau opérationnel fournira une synthèse des indicateurs de terrain qui permettra de mettre en évidence des situations constatées, des tendances, ainsi des ajustements opérationnels à mettre en œuvre dans un premier temps. Par exemple, des indicateurs de la navigation Internet des utilisateurs du SI identifieront une consommation de services de transfert de fichiers hors contrôle de la direction informatique (wetransfer, grosfichier.com), indiquant un risque de divulgation d’information qui peut être traité par un verrouillage technique de l’usage de ces services, des actions de sensibilisation… Les résultats des actions seront évalués aux prochaines instances de tableaux de bord, permettant de démontrer les résultats obtenus par les efforts entrepris, ce qui in fine, peut aider à motiver et dynamiser les équipes ;

Construire un tableau de bord cybersécurité en 5 étapes :

Malgré les 3 niveaux de sécurité différents qui nous amènent à traiter des objectifs différents, nous pouvons déterminer une méthodologie de construction commune qui s’appuie sur les étapes suivantes :

Schemas-tbd-ssi

Etape 1 > déterminer les enjeux de l’entreprise aux différents niveaux (opérationnels, stratégiques ou pilotage de la sécurité). Les enjeux sont, au sens littéral, la somme d’argent ou les biens qui sont risqués au cours d’un jeu ou d’un pari et qui sont attribués au vainqueur à l’issue de la partie. Par extension, le terme désigne tout ce qui peut être remporté ou perdu par une entreprise.  

  • Ex : « Garantir la confidentialité des informations personnelles des clients » 

Etape 2 > déterminer des objectifs mesurables afin de répondre à un enjeu de l’entreprise. L’objectif est l’objet dont on pourra mesurer l’atteinte ce qui aide à répondre à un enjeu. Ici, l’objectif doit re présenter un but concret, accessible et mesurable que l’on recherche à atteindre dans un délai déterminé. Il peut être quantitatif ou qualitatif.  

  • Ex : « Tous les comptes ayant accès à ces informations personnelles sont soumis à un processus d’habilitation » 

Etape 3 > déterminer les risques qui pèsent sur l’atteinte des objectifs. Le RSSI est garant de la sécurité des SI. Son action passe essentiellement par la maîtrise des risques et menaces qui pèsent sur le SI. A travers l’analyse des risques, le RSSI déterminera ceux qui peuvent porter atteinte aux objectifs de l’entreprise et ainsi définir ceux qui doivent faire l’objet d’un traitement. Il en découlera un plan de traitement des risques composé de mesures de sécurité. Ces mesures feront l’objet de contrôles, établissant ainsi des preuves objectives d’un état qui alimenteront alors des indicateurs. 

Ces mesures et contrôles sont les éléments indispensables de traitement des risques. L’analyse des preuves de réalisation constitue des valeurs mesurées ou indicateurs qui répondent à la question de la maîtrise des risques dont est responsable le RSSI. 

  • Ex : Un risque identifié sera le désalignement entre les comptes habilités à accéder à une catégorie d’information client et le personnel d’une équipe. 
  • Ex : Une mesure de sécurité sera le processus de gestion des habilitations
  • Ex : Une revue de habilitations réalisée chaque trimestre permettra de contrôler si les comptes habilités correspondent bien aux effectifs du personnel 

Etape 4 > formaliser l’indicateur et les valeurs mesurées devant aider. Les contrôles génèrent des preuves qui, analysées, permettent d’établir un indicateur, ou une valeur mesurée d’une situation. Il n’est pas nécessaire que ces valeurs soient exhaustives. Le travail d’échantillonnage doit permettre de remonter une information estimée représentative de la réalité de l’ensemble testé.  

  • Ex : 5% des comptes sont vérifiés. Sur ces 5% des comptes vérifié, des indicateurs sont définis pour refléter la situation mesurée. 
  • L’absence d’erreur génère un indicateur de satisfaction « maîtrise des habilitations »
  • La détection d’une seule erreur génère un indicateur avertissement 
  • La détection de plus d’une erreur génère un indicateur d’alerte 

Etape 5 > consolider ces indicateurs pour une vision de pilotage. In fine, le dernier travail consiste à rassembler dans une vue consolidée et simplifié l’ensemble des indicateurs obtenus par les contrôles et de mettre en évidence ceux qui nécessite une prise de conscience et des actions. Il ne s’agit pas ici de considérer que toute alerte mérite action, mais de choisir à partir de quels critères (répétition des anomalies constatées, absence d’indicateurs), des informations liées à la situation des risques doit être partagée ou des actions entreprises. 

Illustration en 3 niveaux :

Malgré les 3 niveaux de sécurité différents qui nous amènent à traiter des objectifs différents, nous pouvons déterminer une méthodologie de construction commune qui s’appuie sur les étapes suivantes :

Etapes de la méthodologie
Exemple opérationnel
Exemple stratégique​
Exemple de pilotage​
1- Identifier les enjeux (SSI)​
Le contrôle de l’accès à l’information
La réputation et l’image de notre groupe
Le pilotage et le suivi rigoureux de la sécurité​
2- Identifier les objectifs (SSI)
Nos données sont accessibles par les personnes légitimes uniquement
Aucun incident de sécurité perceptible pour les utilisateurs

La communication est maîtrisée en cas de crise
100% de nos vulnérabilités découvertes, qualifiées critiques sont corrigées ou traitées​
3- Déterminer les risques entravants l’atteinte des objectifs (SSI)​
Absence de politiques de gestion des accès / Défaillance de la gestion des habilitations
Attaques entraînant un(e) vol/publication de données privées/personnelles ​ Publication d’articles ou avis (presse, CNIL) d’incidents de sécurité ou d’écarts à la règlementation​
Absence de politique/dispositifs de correction de vulnérabilités connues | Absence de dispositif/politique de détection de vulnérabilité​
4- Déterminer l’indicateur et ses valeurs mesurées (SSI)
Indicateur : Gestion des accès​ # de comptes traçables, # de comptes à privilèges, comptes par défaut, # de comptes ayant obtenus un accès non-autorisé​
Indicateur : Protection de la réputation de l’entreprise​ Nombre de plaintes, articles, attaques avec impact,​ Pourcentage des métiers ayant réalisés une classification de l’information​
Indicateur : Assurance du suivi de la sécurité et de la détection​ Ratio audits / Nb contre-audit, Ratio mises à jour effectuées/mises à jour à faire, Niveau de maturité cyber, Taux de correction des vulnérabilités connues/ # d’alertes​

En synthèse :

Les indicateurs de tableaux de bord doivent être choisis avec attention étant donné qu’ils remplissent une fonction d’aide à la décision et permettent le suivi de l’atteinte des objectifs. Il est donc fortement conseillé de considérer la construction d’un tableau de bord dans un processus d’amélioration continue /suivi continu de l’atteinte des objectifs.

Le tableau doit aussi être adapté au contexte de l’entreprise, présenté sous forme attractive, permettant de répondre réellement aux besoins et questions des parties prenantes et d’en déterminer des actions pour les pilotes d’activités.

Lissaka NGOUONI

Consultante Governance, Risks & Compliance

Voir les derniers Cybersecurity Insights

13 November 2023
Comme chaque année, SWIFT met à jour son standard CSCF et apporte son lot de nouveautés. Nous vous proposons ici quelques clés de lecture associées aux changements fondamentaux apportés par le CSCF v2023
11 October 2023
Comme chaque année, SWIFT met à jour son standard CSCF et apporte son lot de nouveautés. Nous vous proposons ici quelques clés de lecture associées aux changements fondamentaux apportés par le CSCF v2023
5 October 2023
Nouvelles menaces cyber, nouvelles solutions : téléchargez le Threat Landscape 2022-2023 Almond !
16 June 2023
Le SASE en 7 min chrono : décrypter le SASE, sa fonction et ses usages. Pour y voir plus clair, nous vous proposons d’entrer en immersion dans les plateformes SASE des experts du secteur. Découvrons ensemble, la solution SASE proposée par Cato Networks. Joseph Fernando, SE Manager South EMEA, chez Cato Networks réalise une démonstration technique de la solution Cato SASE Cloud, au côté de Benoit Vérove, Partner et Lead Security Integration chez Almond.
12 June 2023
Comme chaque année, SWIFT met à jour son standard CSCF et apporte son lot de nouveautés. Nous vous proposons ici quelques clés de lecture associées aux changements fondamentaux apportés par le CSCF v2023
5 June 2023
Depuis 2021, tous les clients SWIFT se trouvent dans l’obligation de réaliser une évaluation de conformité dans le cadre du Customer Security Program (CSP) de SWIFT.
2 June 2023
Décryptez la technologie SASE, au travers d'une démonstration technique de la solution Harmony Connect proposée par Check Point.
2 June 2023
Le 24 mai 2023, le gouvernement Américain a publiquement attribué à la Chine une série d’attaques ciblant des infrastructures critiques situées aux États-Unis ainsi que sur l’île de Guam.
26 May 2023
La Chine étant devenue un acteur incontournable du cyberespace, elle s’implique également dans l’élaboration d’un régime de protection des données.
4 May 2023
Après quelques rappels de la Directive NIS 1, l'article présentera les évolutions attendues avec l'adoption de la Directive NIS 2 et sa date d'entrée en vigueur.

Jour 4 : Quel type d'attaque peut être qualifié de "triple extorsion" ?

  • Réponse 1 : Une attaque par ransomware
  • Réponse 2 : Une attaque par hameçonnage
  • Réponse 3 : Une attaque par déni de service
  • Réponse 4 : Une attaque par empoisonnement du cache DNS

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !

Jour 3 : Parmi ces quatre choix, lequel définit le mieux ce qu’est l’ISO 27001 ?

  • Réponse 1 : Un standard listant un ensemble d’exigences relatives à la sécurité des systèmes informatiques d’une entreprise
  • Réponse 2 : Une norme listant un ensemble de bonnes pratiques permettant d’optimiser la cybersécurité au sein d’une l’entreprise
  • Réponse 3 : Une norme listant un ensemble d’exigences relatives à la sécurité des informations nécessaires à une entreprise
  • Réponse 4 : Un standard listant un ensemble de méthodes pour optimiser les pratiques relatives à la sécurité des informations utilisées par une entreprise

Laïus explicatif : L’ISO 27001 est une norme internationale, dont les entreprises peuvent se prévaloir en se faisant certifier par un organisme indépendant ; elle contient un ensemble d’exigences que chaque entreprise, quels que soient sa taille et son domaine d’activité, doit impérativement appliquer pour obtenir sa certification ; ses exigences constituent donc le référentiel des audits de certification. A ne pas confondre avec la norme ISO 27002 qui est constituée de recommandations, basées sur les bonnes pratiques internationales, permettant d’aider une entreprise à appliquer les exigences de la norme ISO 27001 (donc norme qui ne donne pas lieu à une certification).

Les exigences de la norme ISO 27001 portent sur les informations nécessaires à une entreprise, recueillies et/ou traitées, quel que soit son support, électronique, papier et oral.

Les trois critères de sécurité retenus par la norme ISO 27001 sont la confidentialité, l’intégrité et la disponibilité des informations. Tout événement, qu’il soit d’origine environnementale ou humaine, intentionnelle ou involontaire, impactant un de ces trois critères, relève de cette norme.

Jour 2 : Qu'est-ce qu'une attaque DDoS?

  • Réponse 1 : Un logiciel espion qui enregistre ce qu’écrit un utilisateur
  • Réponse 2 : Un procédé visant à perturber l’accès à un site ou une application
  • Réponse 3 : Un virus informatique qui chiffre l’OS de votre ordinateur en échange d’une rançon
  • Réponse 4 : Une attaque Informatique visant à détermine votre mot de passe en testant un grand nombre de possibilité

Laïus explicatif : Une attaque DDoS ou “Distributed Denial of Service” est une attaque visant à rendre indisponible un site en le submergeant de requêtes provenant de multiples sources. Dans le cas où toutes les requêtes proviennent de la même source, on parle simplement d’attaque DoS (« Denial of Service »), ou « par déni de service ».

Jour 1 : Qu'est-ce que DORA?

  • Réponse 1 : Une jeune exploratrice bilingue
  • Réponse 2 : Un protocole de communication décrit dans le RFC 9364
  • Réponse 3 : Une organisation internationale de régulation de la cybersécurité
  • Réponse 4 : Un règlement qui s’applique aux entités financières et aux tiers prestataires de services informatiques

Laïus explicatif : DORA ou Digital Operational Resilience Act est un règlement européen publié en 2022 et en vigueur depuis janvier 2023. Le règlement traite de la résilience opérationnelle numérique du secteur financier. Il est applicable aux entités financières comme les banques, assurances, entreprises d’investissement, les établissements de paiement, etc. mais également aux tiers prestataires de services informatiques. Les entreprises concernées ont deux ans pour se mettre en conformité. Ils devront donc l’être en 2025 !

Le pilier relatif à la gestion des risques liés aux prestataires tiers de services TIC apparait comme l’un des plus difficile à mettre en place et à maintenir dans le temps pour les entreprises concernées. En quelques mots, les entreprises devront considérer ces risques comme faisant partie intégrante du risque lié aux technologies de l’information et de la communication (TIC) et notamment le risque de concentration, au niveau de l’entreprise mais également au niveau de l’ensemble du secteur financier européen. En effet, les autorités devront analyser ce risque en analysant les registres tenus et communiqués par les entreprises concernées par DORA et qui recense notamment la liste des tiers prestataires de services TIC avec lesquelles les entités financières conclues des contrats.

Pour plus d’informations, consultez notre avis d’expert sur le sujet : https://almond.eu/cybersecurity-insights/explorons-dora/