Indicateurs de sécurité : le rôle central du RSSI

Identifier les écarts entre le planifié et le réalisé, mesurer l'efficacité du SMSI (Système de Management de la Sécurité de l'Information), établir des comparatifs entre les différents services d'une entreprise, communiquer, piloter ou encore déclencher des actions (notamment suite à un franchissement de seuil) : les indicateurs de sécurité servent des buts multiples au sein des organisations.

Leur élaboration et leur suivi sont par conséquent cruciaux, ne serait-ce qu'en tant qu'outils de performance et de réactivité.

"Du fait du passage d'un mode réactif à un mode proactif, savoir effectivement quelles sont les actions menées et à quels résultats elles aboutissent est indispensable. Dans une logique de gouvernance de la sécurité, et non plus uniquement simplement d'exploitation, cela passe par des mesures et la construction d'indicateurs", rappelle Christophe Canonne, directeur général de Cyber Networks.

"Nos demandes auprès de l'exploitation pour mettre en œuvre une stratégie de gestion des patchs ne débouchant pas, nous avons décidé de nous munir d'une sonde de détection des vulnérabilités. Une décision qui nous permettait de réaliser des tableaux de bord, puis de les remonter à la direction afin de la sensibiliser aux dangers", explique William Morichon, responsable sécurité du GIE Agirc-Arrco.

Les rapports édités par la sonde placée en coupure sur le réseau ont ainsi permis de bénéficier d'une visibilité sur l'état des vulnérabilités et de leur évolution au cours du temps, leur niveau de dangerosité, les services exposés ou mal configurés, et les mesures correctives à appliquer pour chacune d'entre elles. L'ensemble des informations est ainsi agrégé dans des tableaux de bord, analysés ensuite mensuellement lors d'une réunion entre les responsables sécurité, la production et le DSI.

Toutefois, les sources constitutives d'indicateurs sont multiples. Il ne s'agira en effet pas uniquement des données collectées par les applications de sécurité ou les équipements du réseau. Les ressources humaines constituent ainsi des réservoirs d'indicateurs, tout comme les rapports du support utilisateurs. Quant à l'analyse, l'agrégation, la corrélation et la mise en forme des multiples logs, elle pourront s'appuyer notamment sur les modules de reporting des consoles d'administrations des produits de sécurité et les SIM (Security Information Management).

"Le RSSI construit son organisation. Pour vérifier l'adéquation de celle-ci et son efficacité, il cherche et teste des indicateurs, et plus il avance et maîtrise son processus, plus alors il peut aller loin dans l'industrialisation et la généralisation de ceux-ci, notamment à l'aide d'outils comme les SIMs. Mais, au départ, le RSSI doit démarrer avec des indicateurs qu'il produit lui-même, puis ceux déjà produits, généralement de manière automatique, par l'exploitation, pour ses propres besoins. Il faut aussi partir en top-down du tableau de bord avec pas plus de 3 variables qu'il faudra montrer au comité de direction chaque année", précise le dirigeant du cabinet de sécurité HSC, Hervé Schauer.

"Pour les grandes entreprises, se développe un besoin d'indicateurs supplémentaires ayant trait à la conformité. Dans le cadre de la loi Sarbanes-Oxley notamment, les sociétés doivent ainsi mettre en place des mesures de traçabilité, pouvoir démontrer l'existence des moyens affectés, et enfin s'assurer de leur efficacité", ajoute Christophe Canonne.

La norme ISO 27001 (la norme ISO 27004 est en cours d'élaboration) insiste sur l'importance des indicateurs et apporte aux responsables sécurité de nombreuses clefs pour concevoir les indicateurs les plus adaptés.

Quelle que soit l'entreprise, l'identification d'un indicateur devra répondre à trois questions : quel fait permet de savoir si la mesure de sécurité est appliquée ou efficace ? Ce fait est-il mesurable ? Comment obtenir concrètement la mesure ? Dans tous les cas, l'indicateur doit donner une image fiable de l'efficacité et de l'adéquation du SMSI.