Quels sont les critères de sécurité d'un système d'information ?

Les objectifs de la sécurité informatique présentés dans cet article peuvent donc
être simplement résumés ainsi : elle protège la fiabilité, l'intégrité, l'authentification et
la confidentialité et la disponibilité des données

1. Le taux de vulnérabilité
Le taux de vulnérabilité renvoie au nombre de corrections effectuées au cours d'une
période donnée sur le nombre total de corrections identifiées et jugées à
réaliser en fonction de leur degré de criticité ou celle du système sous-jacent.
Il est conseillé d'établir cette mesure de façon annuelle.
"La mesure n'étant faite qu'annuellement, il convient de suivre spécifiquement le taux
de correction".

2. La disponibilité des systèmes

CAMTEL dispose de systèmes d’information (SI) qui regroupent les ressources lui
permettant de gérer ses informations. Ces systèmes d’information renvoient
notamment aux technologies, aux processus et aux responsables qui s’assurent de
leur bon fonctionnement. Cependant, aucun équipement informatique n’est
infaillible : ils sont tous exposés à différents risques ou à des problèmes
techniques. On qualifie de “disponibilité informatique” la probabilité qu’un
système informatique soit en mesure de fonctionner correctement à un
instant T. Plus le taux de disponibilité informatique est élevé, plus le système
informatique concerné est stable. Le calcul du Le taux de disponibilité système et
réseau fait en général partie des indicateurs permettant à l’entreprise de mesurer la
fiabilité de ses infrastructures informatiques et d’en assurer le bon
fonctionnement. Objectif ciblé en général : 99% de disponibilité.

Dans cette optique, anticiper l'évolution des besoins en ressources informatiques est le
maitre mot. Notamment dans le but d'éviter les surcharges lors des périodes de forte
activité pour les métiers.

3. Suivi des mises à jour des versions logiciels

Un état du nombre de composants matériels ou logiciels non maintenus doit être
réalisé par la DS via ses démembrements dans les différentes entités ( Bus et
Administration de Groupe) (Serveurs, postes de travail, outils de sécurité...), avec pour
objectif un ratio de moins de 10%.
Mais également un comptage du nombre de composants non-conformes, c'est-à-dire
des briques non-contrôlées pour lesquelles les règles de sécurité ne sont pas appliquées.
Typiquement, un système maintenu par un site et sur lequel la DS n'a pas la main.
Dans la même logique, le suivi des mises à jour passe également par la mesure de la
bonne installation des correctifs.

4. Le nombre d'attaques

Les principales suites de sécurité permettre d'assurer un premier suivi des attaques.
Pour chacune des entités de CAMTEL La revue du nombre d'attaques essuyées par le
système d'information s’effectuera sur une fréquence semestrielle. Cette mesure étant
déclinable sur quatre catégories d'attaques :
Les attaques en environnement de messagerie ;
Les attaques en environnement Intranet ;
Les attaques Internet.
Sachant que pour chaque attaque, s'ajoutera une évaluation du nombre d’actifs
informatiques (Postes de travail, serveurs, plateformes de services …) infectés.

5. Le degré de protection des données

L'analyse de risque est un préalable à toute politique de protection des données
Le niveau de protection des données se mesure par rapport à plusieurs indicateurs :
La part des métiers ayant réalisé une classification des données par niveaux de
criticité ;
La part des métiers ayant identifié les données à archiver ;
La part des projets pour lesquels la maitrise d'ouvrage a réalisé une analyse des
risques formalisée ;
La part des projets pour lesquels la MOA a exprimé des besoins en matière de sécurité ;
Le pourcentage d'applications couvertes par une politique de gestion des
accès.

6. Le temps de rétablissement en cas d'incident

Un incident peut toujours arriver. Le bon veut donc de prévoir les incidents les plus
courants.
Après le degré de criticité métier par application, l'une des principales jauges du DSI en
matière de sécurité n'est autre que le temps de rétablissement après incident par
systèmes. Les moyens mis en place pour chacune des plates-formes devront être mis en
cohérence avec le risque économique d'arrêt de l'application sur une certaine durée.
Pour mesurer cet indicateur, il est en général recommandé de réaliser des tests
grandeur nature sur des sites miroirs avec des configurations au plus proches de
celles du système en production.

7. Impact des attaques informatiques sur l'image de

l'entreprise
Les campagnes d’hameçonnage ciblant une entreprise ou une administration impactent
directement son image.
Piratage de sites Web et campagnes d’hameçonnage (Phishing), présentent un impact
direct sur l'image d'une entreprise. D'où l'importance d'un tableau de bord pour assurer le
suivi de cette dimension de la sécurité.
Du point de vue du DSI, cette grille intègre en général trois principaux indicateurs :
Le nombre de sites Web contrefaits ;
Le nombre de noms de domaine usurpés ;
Le nombre de plaintes extérieures - portant par exemple sur du phishing.

8. Le taux de prestataires intervenant sur des systèmes

sensibles
L'intervention des prestataires dans les centres de données de l'entreprise nécessite des
procédures de contrôle.
C'est en général un indicateur de sécurité jugé critique par les DSI et responsable de la
sécurité des systèmes d'information : le taux de consultants externes intervenant
sur des systèmes sensibles.
Plus important encore, la part des prestataires externes occupant des postes IT
critiques (administrateurs réseaux...) doit faire l'objet d'un compte-rendu annuel.
Sur ce plan, ne pas excéder un ratio de 20%.

9. Le taux de collaborateurs sensibilisés à la sécurité

informatique

Comment mesurer le degré de sensibilisation des collaborateurs aux problématiques de

sécurité informatiques ? Difficile de trouver un indicateur objectif sur ce terrain.
Il pourra s'agir par exemple de mesurer la part des collaborateurs accédant au SI qui
ont suivi une formation sur la sécurité informatique, au cours des trois dernières
années par exemple.
Il est recommandé à cet effet de réaliser un état annuel de ce chiffre. L'objectif étant
d'atteindre sur un an un ratio proche de 100% pour les salariés intervenant sur
des systèmes critiques.

10. Le taux d'applications dotées de politique de gestion

des accès

Plusieurs indicateurs permettent de piloter la gestion des accès au système

d'information :
Le pourcentage d’applications dotées d'une politique de gestion d'accès.
Le pourcentage d'accès non-autorisés à des systèmes sensibles ;
 Les pertes de mots de passe, en réalisant un comptage des mots de
passe réinitialisés ;

L'évolution du nombre d'identifiants génériques, avec comme objectif de le

réduire à moins de 5%.

11. Le niveau de conformité du système d'information

La traçabilité des données est nécessaire pour répondre aux audits, liés à des
réglementations européennes ou françaises (Siège du parlement européen à Bruxelles).
Les procédures de sécurité IT sont-elles correctement appliquées par la DSI et les métiers,
notamment en matière de protection et de traçabilité des données ?
Sur cette question, le Cigref recommande d'appliquer trois indicateurs annuels :
Le taux de contrôle (nombre d'audits de sécurité effectué sur le nombre d'audits
cible) ;
Le taux de conformité (nombre d'audits effectués avec succès sur le nombre d'audits
effectués) ;
Le taux de correction (nombre d'audits corrigés sur le nombre d'audits défectueux).

12. L'état de l'organisation et de la gouvernance de la

sécurité
Salle de réunion dédiée au comité de direction d'IBM France, au siège de la filiale française
du groupe à Bois-Colombes en banlieue parisienne.
Plusieurs éléments permettent de prendre la mesure du niveau de structuration de
l'organisation et de la gouvernance de la sécurité du système d'information. Les comités
de sécurité stratégique - en général au moins une fois par an - ont-ils bien lieu ?
Qu'en est-il des comités de sécurité opérationnels - dont la tenue doit être en principe
trimestrielle ?
Enfin, le nombre de correspondants SSI responsables de la bonne application
des règles de sécurité informatiques est-il suffisant ? Quel est leur nombre au regard du
nombre de filiales du groupe ?