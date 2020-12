Le tableau de bord du responsable sécurité

L e tableau de bord du responsable Sécurité permet non seulement d'assurer un suivi précis de la mise en oeuvre de la politique de sécurité des systèmes d'information mais aussi de piloter l'amélioration continue de la prévention.

Piloter la politique sécurité

La mise en action d'une politique sécurité se déroule selon un processus d'amélioration continue.

Le RSSI, responsable sécurité des systèmes d'information, profitera pleinement de l'assistance d'un tableau de bord de pilotage parfaitement adapté afin d'assurer un déploiement conforme aux attentes et de mesurer efficacement la performance des solutions sélectionnées (prévention, détection et plan de continuité) dans une logique de progrès constant.

RSSI

Toutes les entreprises ne disposent pas d'un acteur à temps plein attitré à cette indispensable fonction. Le pilotage effectif de la sécurité demeure dans tous les cas un impératif. Il sera assuré par un membre de la DSI , proche de la direction générale. Il est impossible de faire l'impasse.

Les risques et menaces s'accroissent d'une manière quasi exponentielle. les conséquences des attaques ou des négligences sont toujours très coûteuses non seulement sur le plan financier mais aussi sur celui de l'image de marque.

Le tableau de bord de la sécurité n'est pas un recueil d' indicateurs de performance piochés ci et là au fil des lectures ou de conseils des fournisseurs de solutions. Le choix des indicateurs et la structure de l'instrument de pilotage découlent directement de la politique de sécurité informatique , élaborée au préalable, des spécificités de l'entreprise et du système d'information.

Comment faire ?

La conception du tableau de bord du RSSI en 5 points-clés...

1) Identifier les axes de progrès

Quelques pistes issues de l'expérience terrain

Une politique sécurité correctement préparée détaille en différents volets l'orientation stratégique , les finalités, les voies pour y accéder, les moyens nécessaires. Elle se fonde aussi sur une précise analyse de risques. Les axes de progrès à piloter découlent en ligne directe de cette étude.La sensibilisation active des utilisateurs et partenaires aux mesures de prévention est une brique maîtresse de la sécurité du système d'information d'entreprise. Cette tâche est partie intégrante du rôle du RSSI . La qualité du feed back (signalisation systématique d'incidents, suggestion de nouvelles précautions, critiques constructives des plans de reprises) peut être la mesure de l'efficacité des actions engagées, séminaires, formations, webinars, publications...

2) Identifier les objectifs spécifiques à la démarche

3) Définir les indicateurs de performance KPI (Key Performance Indicators)

Les objectifs sont concrets. Ils s'expriment quantitativement et qualitativement, matérialisent la direction à suivre et fixent la métrique de la mesure de la performance. Cette seconde étape d'identification des objectifs est fondamentalement le passage de la vision théorique et des souhaits aux réalités pratiques et à l'action de terrain.L'étape de choix des indicateurs de performance n'intervient qu'en troisième lieu. Les indicateurs de la performance orientent non seulement les actions mais fixent aussi le rythme de la démarche. Pour un pilotage maîtrisé, les indicateurs de performance sont choisis selon la grille de lecture établie au cours des deux premières étapes.Les indicateurs d'efficacité orientés selon les axes choisis seront équilibrés avec les indicateurs financiers et de productivité.

Quelques pistes pour le pilotage opérationnel...

détections d'alertes

analyse des anomalies logs

tentatives d'intrusions

suivi des corrections logiciels

suivi des mises à jour des versions logiciels

résultats des audits et tests "blancs" de vulnérabilité

...

Les actions de prévention et de surveillance, représentent un coût significatif. Encore faut-il en démontrer l'efficience et le bon emploi des budgets consacrés. Le progrès s'exprimera en terme d'amélioration de la qualité et de la fiabilité du service et de l'accroissement de la confiance des utilisateurs et partenaires. C'est ainsi qu'il s'agit de mesurer le ROI, Retour sur Investissement.

4) Collecter les données

5) Soigner et améliorer le design du tableau de bord

Voir ici la page du site consacrée à la collecte des données Voir ici la page du site consacrée au design du tableau de bord

Ressources web

Voir aussi sur le site de l'ANSSI, Agence Nationale de la Sécurité des Systèmes d'Information, le Guide d’élaboration de tableaux de bord de sécurité des systèmes d’information.

Gestion des risques et sécurité du projet

La gestion des risques bien conduite se complète d'une gestion de la sécurité : confidentialité & intégrité. Exemple pratique...

Gestion des risques et sécurité du projet La gestion des risques bien conduite se complète d'une gestion de la sécurité : confidentialité & intégrité. Exemple pratique... Responsable qualité

