Professional Documents
Culture Documents
Cyberun #30 Tableaux de Bord
Cyberun #30 Tableaux de Bord
net
J U I L
2 0 2 3
C Y B E R S E C U R I T Y S T R AT E G I E S
Tableaux de bord
ne pas permettre le suivi des objectifs stratégiques et opérationnels Les besoins opérationnels doivent correspondre à des
de l’entreprise, de définir des actions correctrices pertinentes, indicateurs proches de la réalité du terrain, la finalité
des priorités d’exécution ou de concentrer effort et budget sur les clairement comprise par tous les acteurs concernés.
périmètres les plus à risque. Automatiser la collecte des données nécessaire
Un tableau de bord doit synthétiser des tendances clés et faciliter la au calcul des indicateurs améliore la productivité
et la qualité des résultats. Ce processus étant
prise de décision, et traite donc d’un périmètre donné. Les indicateurs
généralement coûteux, entamez-le seulement
sont construits en tenant compte des destinataires, de la fréquence après avoir validé la pertinence de l’indicateur.
des revues, mais aussi de leur pertinence à déclencher une discussion,
Le tableau de bord destiné au COMEX est centré sur les
de leur coût de calcul ou de leur maintenabilité dans le temps.
potentiels impacts business. L’utilisation systématique
On distingue les KPI (Key Performance Indicators), qui mesurent des mêmes indicateurs facilite l’appropriation et la
la performance d’une équipe ou d’un plan stratégique, les KRI visualisation des tendances/écarts avec l’objectif fixé.
(Key Risk Indicators), qui apprécient un risque redouté, et les KCI Pour le RSSI, les tableaux de bord sont l’un des outils
(Key Compliance Indicators), qui indiquent un taux de conformité. les plus efficaces pour fluidifier la gouvernance cyber.
La quête du Graal I N D I C AT E U R S
L’ E N Q U Ê T E des indicateurs “high level” Pour mesurer l’objectif de maîtrise des
Le choix des indicateurs est une étape cruciale. Ils vont matérialiser incidents de sécurité grâce à une supervision
le tableau de bord, alimenter l’analyse souhaitée par cet outil de pilo- permanente et une réponse efficace, on peut
QUELS INDICATEURS POUR UN BON PILOTAGE ? tage et permettre de faire passer des messages à ses destinataires. croiser le pourcentage de couverture du SI
Ce travail de synthèse peut devenir un casse-tête lorsque les desti- par le SOC, avec le temps moyen de détection
Il n’existe pas d’indicateur unique magique ! Chaque organisation nataires ne sont pas des experts de la cyber… Comment identifier et et de réaction (les fameux “mean time to
produire des indicateurs pouvant être interprétés et appréciés par detect” et “mean time to respond”). Et pour les
doit définir ses propres indicateurs pertinents, inhérents à l’activité
des responsables métiers ou par la direction générale ? plus matures, on peut ajouter le pourcentage
de l’entreprise. d’incidents gérés de façon automatique sans
Les indicateurs techniques sont souvent vite exclus d’un tableau de bord “high level”.
intervention humaine. On pourrait aussi
Trop ciblés ou trop experts, ils sont vite sortis du débat. Certains indicateurs de déploiement
intégrer des éléments sur le plan de formation
d’une mesure de sécurité peuvent être intéressants. “L’EDR n’est toujours pas déployé
des équipes SecOps pour une vision encore
à X % sur le périmètre de votre métier alors que c’est un objectif global…” : voilà qui peut
plus globale.
être utile pour faire avancer un projet, mais ce n’est parfois qu’une priorité parmi tant
d’autres pour le RSSI. B O N N E S P R AT I Q U E S
Pour prendre un peu de recul, on peut faire appel à des indicateurs d’avancement du
Il faut partir des risques et/ou des objectifs
plan d’action et s’appuyer sur l’arsenal des chefs de projet : suivi de l’âge des actions,
prioritaires de la cybersécurité dans
âge de l’action la plus ancienne, moyenne des actions clôturées dans les délais prévus…
ARNAUD LEGORJUS | Directeur stratégie & opérations, Tanium l’organisation dans une logique de “top down”
Avec un processus de suivi des tâches plutôt rigoureux, ces indicateurs sont simples à
(et non “bottom up”).
produire. Et si l’on souhaite faire un lien avec la cyber, on peut envisager une matrice
DIDIER BARZIN croisant la complexité des actions et leur impact sur le niveau de sécurité. Une telle Il ne faut pas avoir peur de mélanger les
La première chose que doit faire un RSSI, c’est s’aligner sur RSSI, Centre hospitalier Émile Mayrisch
matrice est utile pour débloquer des actions “quick win”. Mais elle présente le risque de disciplines, de faire cohabiter les résultats
les objectifs business de la direction de son entreprise. Il doit Luxembourg
laisser s’embourber des travaux plus complexes ou plus pénibles… de la campagne de sensibilisation avec le taux
être en capacité de bien les comprendre – sachant qu’ils
de déploiement d’une solution de sécurité.
Pour les échanges avec la direction, le tableau de bord est parfois intégré dans un
sont propres à chaque organisation et à chaque direction –
pour concevoir et adapter sa stratégie, et ainsi être en phase
Arrêtons les feuilles tableau de bord plus global. Il est parfois demandé un reporting synthétisé à l’extrême,
C’est finalement représentatif de ce qui fait
avec ce que l’on attend de ses indicateurs (KPI). de calcul ! avec un seul indicateur.
une démarche de sécurité, un subtil mélange
de technique, de process et d’humain.
Si, dans le domaine de la finance ou du retail, la norme PCI DSS est critique et Deming est un outil Open Source disponible sur Évaluation du niveau de sécurité, comparaison avec les concurrents, juste allocation
La méthode de calcul n’est pas universelle ni
doit être prise en compte, elle sera moins prioritaire pour une organisation qui GitHub et distribué sous licence GPL qui facilite le des dépenses, avancement des travaux, identification des nouvelles menaces, etc. : on
normée. Elle est à définir pour donner du sens
opère dans l’industrie. Les pays dans lesquels vend l’entreprise peuvent avoir processus de contrôle du système de manage- souhaiterait que cet indicateur magique modélise tous ces éléments. Les agences de
à l’indicateur. Elle sera spécifique, mais doit
un impact majeur sur le choix des indicateurs (Cloud Act aux USA, PIPL en ment de la sécurité de l’information (SMSI) en rating cyber s’y sont essayées et proposent cet indicateur unique, en reprenant des
être documentée… et rationnelle !
Chine, etc.) et cela impacte bien sûr le choix des indicateurs. Le RSSI doit donc automatisant la génération des tableaux de bord, codes qui parlent aux dirigeants. On souhaite tous être “A+”, logique ! Mais, pour le
choisir ses indicateurs en fonction du “scorecard” de son entreprise et de ses le planning des activités, la conservation des moment, le calcul de cette note est tantôt flou (peu ou pas d’information sur la ERREURS À ÉVITER
activités. Rappelons que tous les indicateurs doivent être SMART : Spécifique, preuves et le suivi des plans d’action. méthode), tantôt incomplet (évaluation basée essentiellement sur les actifs exposés),
Mesurable, Atteignable, Réaliste et Temporellement défini. Parmi les questions tantôt déséquilibré (poids trop fort accordé à certains sujets, comme la qualité du SSL/ L’indicateur est important pour matérialiser,
Deming a été conçu afin de pouvoir s’adapter aux comparer, analyser. Mais le plus important
à se poser avant de choisir ses indicateurs, il est important de savoir si le RSSI TLS sur les sites web de l’entité évaluée). Et cela a fait récemment réagir le CESIN.
besoins de n’importe quelle organisation. Il est est le dialogue qui en découle. Préparez
rend des comptes à la DSI ou au COMEX (ou aux deux à la fois). Tous n’auront Au risque d’être défaitiste, il y a encore du travail pour trouver cet indicateur unique,
fourni avec un ensemble de mesures de sécurité les messages qui l’accompagnent !
pas les mêmes besoins en termes d’indicateurs. qui conviendrait à n’importe quelle structure, dans n’importe quel pays, au sein de
issues de la norme ISO 27001:2022, mais peut être
n’importe quel secteur d’activité…
Indicateurs stratégiques et opérationnels adapté à d’autres normes, comme PCI DSS, HDS
ou NIST 800-53.
On peut distinguer deux principales typologies d’indicateurs : les indicateurs
stratégiques et les indicateurs opérationnels. Les indicateurs opérationnels Mettre en place et suivre au jour le jour un système processus de certification mis en place par son organisation. Visualisation des indicateurs clés de performance (KPI) : les
permettent un suivi progressif et factuel. Ils offrent des mesures quantifiables. de management de la sécurité de l’information est L’utilisation d’un outil de gestion facilite la collecte et l’organisation tableaux de bord sont essentiels pour surveiller les performances
Par exemple, on y retrouve le nombre de vulnérabilités, le nombre d’alertes de un travail fastidieux qui nécessite énormément des données, la visualisation des KPI, le suivi du planning, l’auto- du SMSI. Cela permet de visualiser les KPI pertinents pour évaluer
sécurité, le bilan d’un test d’intrusion ou la fréquence des mises à jour, etc. d’énergie de la part du RSSI. Un SMSI de taille matisation des rapports, la prise de décision éclairée, ainsi que la la sécurité de l’information et pour suivre et communiquer les
moyenne contient souvent plus d’une centaine de communication avec la direction et la sensibilisation des parties progrès réalisés.
Les indicateurs stratégiques, quant à eux, sont tout aussi essentiels, mais moins
mesures de sécurité, qu’il faut, selon son organi- intéressées.
facilement quantifiables. S’ils permettent également un suivi dans le temps, ils Automatisation des rapports : les tableaux de bord et les rapports
sation et le cadre légal, contrôler une ou deux fois
ont comme principale caractéristique d’être adaptés aux risques liés à l’activité Suivi des contrôles : la planification des contrôles est facilitée, on fournissent une vision synthétique et claire de la situation de la
par année, et cela parfois sur plusieurs sites. Le
de l’entreprise. Bien sûr, ces risques diffèrent d’une organisation à une autre. dispose d’une vue sur la charge de travail et sur l’état d’avancement sécurité de l’information. Ils aident à prendre des décisions éclai-
RSSI doit planifier les activités, rédiger des fiches
Un OIV n’est pas soumis aux mêmes risques et pressions qu’une entreprise qui du travail de vérification de l’efficacité des contrôles. rées en identifiant les problèmes, les tendances et les domaines
de contrôle, conserver des preuves, mettre en
commercialise des biens de grande consommation. Il est très important de Déléguer des contrôles : une seule personne ne peut pas tout nécessitant une attention particulière, et ainsi rapidement repérer
place des tableaux de bord, suivre des plans d’ac-
bien choisir les responsables et de s’appuyer dessus. Cela implique que le RSSI vérifier seule, déléguer le travail de vérification à d’autres membres les écarts par rapport aux objectifs fixés et prendre des mesures
tion et animer des réunions de pilotage. Pour cela
soit capable de bien communiquer avec les bons propriétaires de chaque de l’équipe permet d’améliorer la compréhension des objectifs au appropriées pour les résoudre.
encore, beaucoup des RSSI font le suivi des indi-
indicateur. sein des équipes concernées. Communication et sensibilisation : les tableaux de bord sont des
cateurs et leurs tableaux de bord dans des feuilles
Autre écueil à éviter : les “listes à la Prévert”. La quantité ne fait pas la qualité. Il de calcul. Si un grain de sable vient à se glisser dans Collecter et organiser les preuves : collecter, organiser et centrali- outils puissants pour communiquer les résultats et les progrès en
faut bien identifier et lister les menaces qui sont réellement pertinentes pour ce processus, sous la forme d’une ligne disparue ser les données pertinentes pour le SMSI permet de faciliter le matière de sécurité de l’information à la direction et aux parties
son activité sans se perdre dans des menaces qui ne seront pas intéressantes ou d’une erreur dans une formule de calcul, cela processus d’audit. Il n’est plus nécessaire de rechercher les prenantes. Ils facilitent la sensibilisation à la sécurité et permettent
à surveiller. Pour cela, il faut bien connaître son parc, mais aussi la maturité et peut mener à une non-conformité majeure lors informations utilisées lors des vérifications dans différentes de démontrer la valeur ajoutée du SMSI et du maintien d’une
la culture de l’entreprise en matière de cyber. d’un audit d’un contrôle et mettre en péril tout le sources d’informations (outils métiers, partage réseau, mails, etc.). certification.
Le cycle de vie des projets, les architectures de sécurité, DevSecOps est une combinaison de pratiques et d’outils qui amé-
le développement sécurisé et la gestion des identités et des liore la capacité d’une organisation à livrer des applications et des
L’ E N Q U Ê T E accès sont centraux pour activer de nouvelles opportunités services à un rythme aligné avec ses besoins métiers (services aux
métiers et pour protéger les données qui sont véhiculées clients, gain de compétitivité, conformité réglementaire, etc.).
aux sein des organisations, mais également en dehors. Les avantages se matérialisent par la rapidité de livraison des
DÉVELOPPEMENT D’APPLICATIONS Dans les architectures dites “traditionnelles”, la défense en pro- applications, la fiabilité de ce qui est produit et l’amélioration du
processus de gestion des évolutions. Les équipes en charge
fondeur consiste à la mise en place de périmètre de sécurité
Mesurer la sécurité des applications doit s’inscrire au plus tôt dans couche par couche. Les nouvelles architectures basées sur la travaillent de façon synchronisée afin d’aboutir à la mise en
souscription à des services de type cloud (IaaS, PaaS, SaaS) via production d’applications pour lesquelles les risques d’atteinte
les phases de développement. à la disponibilité, à l’intégrité et la confidentialité sont réduits.
différents modes de déploiement (public/hybride/privé)
changent la donne : l’emplacement des données étant plus dis- La gestion des identités consiste en la mise en place, ainsi qu’en
parate, l’approche de l’architecture de sécurité fera alors un la gestion des dispositifs organisationnels et techniques visant
focus sur le contenu, et non sur le contenant. Il s’agira alors de à identifier, authentifier et autoriser des personnes et des
sécuriser la donnée (en mouvement et stockée), ainsi que la systèmes, leur permettant ainsi d’accéder à tout ou partie des
façon d’y accéder. données d’un système d’information.
I N D I C AT E U R S Le nombre de projets dans chacune des règles d’or, que nous espérons maintenant
phases du cycle de vie et le niveau de largement connues, que sont la séparation
Architecture de sécurité : réponse aux attendus (complétude des des tâches (où les tâches sont séparées
JULIEN BRUINAUD | Solutions Engineer Manager EME A , Checkmar x % d’incidents évités par la mise en place livrables, vérifications et validations en plusieurs actions devant être réalisées
d’un dispositif de contrôle des communi- devant être réalisées, etc.) par différentes personnes ou systèmes),
cations et des accès tel qu’un WAF, un IDS/ le principe de moindre privilège (les
Dans le cadre d’un processus de développe- SecDevOps ou DevSecOps :
HIPS, d’une protection contre les codes utilisateurs/systèmes n’accèdent qu’aux
ment logiciel, l’AppSec concerne les actions I N D I C AT E U R S Le nombre de projets de développement
malveillants au niveau des postes de informations et ressources qui leur sont
de recherche, de correction et de prévention ayant suivi le processus DevSecOps établi
a Couverture du portefeuille applicatif indique la couverture
L travail, d’une authentification à plusieurs nécessaires pour réaliser une tâche)
des vulnérabilités applicatives, idéalement au sein de l’organisation vs le nombre
des applications en fonction de leur criticité. facteurs protégeant l’accès à un système et le besoin d’en connaître (s’assurer que
le plus tôt possible. de projets de dév. de l’organisation.
La Tendance du risque (pondéré) démontre l’évolution ou un ensemble de données sensibles. l’utilisateur ou le système a une légitimité
Si les principaux programmes de gouvernance en matière de Le temps de disponibilité/d’indisponibilité à accéder à une ressource).
du risque au fil du temps. % de couverture du déploiement d’un
sécurité s’appuient sur des indicateurs clés pour évaluer l’adé- de l’application sur une période donnée, au
a Densité des vulnérabilités (pondérée) démontre les progrès
L patch de sécurité sur des composantes
quation de la sécurité, la qualité du programme, le ROI et les regard du niveau de service attendu (SLA). ERREURS À ÉVITER
de la qualité de la protection du code et de la réduction du système d’information.
évolutions vs les objectifs, il n’existe cependant pas de normes Le nombre de vulnérabilités identifiées
des risques et représente le nombre de vulnérabilités pour % de participation du middle management,
sur le code d’une application et leur Une absence de communication large au
de mesure universellement reconnues. En outre, le niveau de des représentants métiers et des représen-
1 000 lignes de code. sein de l’organisation du processus de
risque, ou le degré d’atténuation des risques demandé, est niveau de criticité.
tants de la sécurité aux comités architec-
Le Temps moyen de résolution (MTTR) (365 derniers jours) Le nombre d’échecs et de réussites gestion du cycle de vie des projets ou un
souvent lié aux spécificités de l’organisation. La méthodologie ture (CAB), etc.
est le temps moyen pour remédier aux vulnérabilités de l’application aux tests de sécurité processus trop complexe pourraient
APMA développée par Checkmarx vise à aider les RSSI dans
leurs démarches. Au-delà de simples indicateurs, il s’agit de (pertinent pour les programmes matures). Identity management : automatisés. conduire à des pratiques non souhaitées
Le Vieillissement des vulnérabilités présente les risques liés Nombre de comptes utilisateurs présents pouvant mettre en risque le système
mettre en place des KPI stratégiques, métriques opération- Le % de mise en production ayant échoué.
aux vulnérabilités exposées trop longtemps afin d’identifier dans l’annuaire de gestion des identités d’information et les données de l’organi-
nelles de haut niveau, qui vont présenter l’état du programme Le temps moyen nécessaire pour remettre
les équipes projets/développement nécessitant une attention vs le nombre de collaborateurs actifs pour sation (souscription à des services en
de sécurité applicative : où en est l’organisation et où veut-elle une application en condition
particulière. Par rapport au MTTR, il reflétera la totalité l’organisation. dehors du processus, création de portes
aller par rapport à la stratégie adoptée. L’objectif est ainsi d’ali- opérationnelle.
des problématiques, qu’elles aient été résolues ou non. d’entrée sur le système d’information sans
gner ces KPI – qui vont dépendre du niveau de maturité AppSec Nombre de comptes applicatifs présents
Le temps moyen entre les périodes forcément le savoir, non-respect de
de l’entreprise – avec des objectifs à long terme prédéfinis et dans l’annuaire de gestion des identités
de panne, etc.
à fort impact pour l’organisation. B O N N E S P R AT I Q U E S certaines exigences réglementaires, etc.).
vs les applications auxquelles les comptes
Il convient en amont de répondre aux questions suivantes : permettent d’accéder. B O N N E S P R AT I Q U E S Une absence de sécurisation des codes
1 Ne pas tout mesurer, mais se concentrer sur les données produits. En effet, l’accès aux codes
comment la sécurité de l’information contribue-t-elle à la réa- Nombre de comptes génériques présents
clés qui permettront à l’organisation de tendre vers Mettre en place une architecture de produits et en cours de production doit
lisation de la stratégie globale de l’entreprise ? Quelles sont les et leurs périmètres d’utilisation (oui, il y
l’accomplissement de ses objectifs sur le long terme. sécurité avec une approche multidimen- faire l’objet d’une attention particulière.
initiatives stratégiques mises en place en matière de sécurité en a, même si cette pratique devrait être
applicative ? Les décisions stratégiques doivent avoir une inci- 2 Aligner les KPI sur des buts et objectifs précis pour mesurer proscrite pour des raisons de traçabilité sionnelle en réponse à la stratégie Les dispositifs de contrôles d’accès ne
la progression et les succès. et d’imputabilité des actions). opérationnelle de l’organisation, aux doivent pas être exclusivement intégrés
dence sur les décisions tactiques, qui elles-mêmes vont se
enjeux de sécurité et de conformité de aux solutions de stockage des codes,
répercuter sur les décisions opérationnelles. 3 Les KPI définis doivent être concis et pas trop nombreux. % d’utilisation de l’authentification
l’organisation, ainsi qu’à la maîtrise des mais s’appuyer sur des dispositifs
Pour le RSSI, les KPI stratégiques doivent suivre la valeur du à plusieurs facteurs.
risques. d’authentification à plusieurs facteurs
programme en termes de risque, de conformité et de réponses ERREURS À ÉVITER Nombre de comptes ayant des privilèges
La bonne compréhension du triptyque et externes aux applications.
aux incidents au niveau de l’organisation, sur le long terme. élevés sur les systèmes et les applications.
Ne pas prendre l’ensemble des données, mais les filtrer sur people/processus/technologie permettra Ne pas prendre le DevSecOps uniquement
Pour le responsable AppSec, les KPI tactiques doivent mesurer Nombre de comptes n’ayant pas
différents niveaux pour obtenir des KPI stratégiques à plus grande de mettre en place les dispositifs organisa- via le prisme des solutions techniques
l’efficacité de l’implémentation de la stratégie définie, mais sur de propriétaire identifié, etc.
valeur ajoutée : privilégier le suivi des branches de version destinées tionnels et techniques adaptés de gestion de stockage et de contrôle des codes et
le court terme (ex. : réduire le risque identifié à un niveau à aller en production pour avoir une représentation pertinente Project lifecycle : des identités et des accès. Une politique ne pas s’arrêter uniquement aux aspects
acceptable). de la posture de risques applicatifs, ainsi que le triage des résultats, Le nombre de projets ayant suivi le de classification de l’information sera par techniques de production du code car il y
Pour le DevOps Manager, les indicateurs opérationnels doivent qui permettra aussi d’augmenter la précision des indicateurs en processus complet d’intégration de la exemple utile pour définir le bon niveau a un après, lorsque l’application produite
fournir des données pour le suivi du fonctionnement du réduisant le bruit (faux positifs). Ces données devront être organi- sécurité et de la conformité dans les d’accès à l’information par les groupes de doit être maintenue en condition de
programme AppSec au quotidien. sées en fonction de leur degré de criticité avant d’établir les KPI. projets vs le nombre de projets. personnes et les systèmes en fonction des sécurité et en condition opérationnelle.
Qui sommes-nous ?
Cyberun est un magazine totalement indépendant, édité par
financement participatif. Il fédère une large communauté d’acteurs
de la cybersécurité qui souhaitent partager leurs expertises
et leurs expériences. Pour favoriser l’échange de connaissances
et ne pas se contenter d’approximations, chaque numéro est dédié
à un thème unique.