Les modalités de surveillance et de suivi
Introduction
L’organisation doit évaluer les performances de sécurité de l’information, ainsi que l’efficacité du système de management de la sécurité de l’information. Cette évaluation nécessite donc la définition d’éléments de surveillance adaptés, à même de fournir les informations nécessaires sur les deux axes gouvernance et sécurité.
La surveillance : un élément essentiel de l’amélioration
Nous avons tous en tête l’image des contrôles de vitesse, et avons tendance à perdre de vue l’aspect positif de l’amélioration de la sécurité routière lorsque trop souvent contrôle rime avec sanction. Nous avons en mémoire les contrôles scolaires donnant plus souvent lieu à remontrances qu’à opportunités d’amélioration. Et si la confiance n’exclut pas le contrôle, certains collaborateurs sensibles peuvent voir dans les reportings demandés, peut-être pas de la défiance, mais une part de soupçon quant à leur investissement ou leur capacité.
De sorte que, comme le mot audit, le mot contrôle est souvent assez mal perçu par les collaborateurs qui rechignent à remonter les éléments - qui n’a pas oublié les résultats de contrôle dans son cartable ? - voire à mettre en place les éléments nécessaires.
Il convient donc d’aborder ce chapitre en commençant par dédramatiser la notion de contrôle ; peut-être même faut-il employer un autre mot à connotation moins négative, supervision par exemple ? Ou surveillance, comme la norme le propose. Des éléments de surveillance donc ; cela sonne de manière plus positive.
Pourquoi des éléments de supervision sont-ils nécessaires ? Parce qu’ils sont exigés par la norme, ce qui est une raison suffisante en soi. Il faut évaluer les performances...
Contrôle et suivi : que surveiller ?
Si elle formule une exigence quant à l’obligation de mettre en place des éléments de surveillance et de suivi, la norme laisse à l’organisation le choix de déterminer ce qu’il convient de mesurer et de surveiller, ainsi que les méthodes pour ce faire. Elle indique cependant deux axes de contrôle, la gouvernance d’une part, les performances de sécurité d’autre part.
Il convient d’user de cette latitude de manière intelligente : définir des indicateurs à bon escient, en faire assez, ne pas en faire trop, et ce de manière progressive.
1. Définir des indicateurs à bon escient
Il est des organisations qui mettent en place des indicateurs non pour identifier des possibilités d’amélioration, mais dans le but de souscrire à la norme. Sont alors définis quelques indicateurs souvent fantaisistes, qui prennent certes peu de temps à renseigner, mais n’apporte à peu près aucune information supplémentaire quant à la gouvernance ou la sécurité. À titre d’exemple, il nous a été donné de voir un indicateur sur le nombre d’audits internes effectué par l’organisation, sachant que le plan d’action n’en prévoyait qu’un. Quel intérêt offre ce mesurage binaire ? Le plan d’action nous informe déjà sur ce statut fait/pas fait de l’audit.
La définition des indicateurs doit permettre de répondre à des interrogations, d’identifier rapidement des dysfonctionnements potentiels...
De manière progressive et adaptée
En matière d’indicateurs également, l’amélioration continue doit être de mise. Il convient d’adopter une démarche progressive, de donner le temps aux opérationnels de se familiariser avec cette logique de supervision, de laisser également aux comités l’opportunité de se rôder à la lecture de ces éléments. Il convient aussi de gagner en efficacité dans le renseignement des points de contrôle afin que l’introduction d’un nouvel indicateur soit acceptable en matière de charge et d’attractivité. On cherchera donc, progressivement, à améliorer les points de contrôle de manière à couvrir, à terme, l’ensemble des éléments à risque du système : mesures adressant des risques sécurité critiques dont il convient de contrôler l’efficacité, risques de sécurité acceptés qu’il convient de surveiller, exigences présentant des risques quant à l’acceptabilité, la faisabilité…
Il est également pertinent de s’interroger sur la fin de vie d’un point de contrôle : tel élément de surveillance, présentant un intérêt en début de projet par exemple, peut ne plus s’avérer pertinent par la suite (la participation aux comités de pilotage est parfaitement ancrée et ne nécessite plus de contrôle, l’application des patches est devenue routinière, etc.). On aura soin alors de faire évoluer...
Définition des éléments de contrôle et de suivi : les indicateurs
Sur cette définition encore, le vocabulaire employé mérite d’être précisé. Bien entendu, il ne s’agit pas de policer le système, mais bien de relever des indications quant au fonctionnement de certains éléments soigneusement identifiés. On gardera en tête la notion d’outil d’évaluation et d’aide à la décision, poteau indicateur de l’amélioration continue.
1. Élaboration d’un indicateur
La définition des éléments de contrôle et de suivi que constituent les indicateurs doit suivre des règles précises pour en faciliter la compréhension et l’appropriation par les acteurs concernés. Par acteur concerné, on entend les personnes en charge de renseigner et d’exploiter ces éléments de mesure. Cela comprend donc en particulier la raison d’être de cet indicateur, l’algorithmie sous-jacente (c’est-à-dire le mode de calcul), un support à l’analyse des résultats et les acteurs concernés.
Exemple de définition d’un indicateur :
Indicateurs
Exemple d’éléments de suivi d’un indicateur :
Liste indicateurs
Graphe indicateurs
Identifiant
Il peut être utile d’associer un identifiant à l’indicateur pour en faciliter le repérage. Il n’y a là rien de fondamentalement indispensable.
Objectif
Il convient de définir la causalité de la mise en place de l’indicateur. Cela a été souligné...
Quelques indicateurs de gouvernance
La norme, cela a été souligné, ne contraint pas ce que doit faire l’objet de contrôle, pas plus en ce qui concerne la gouvernance que la sécurité. Cette section propose quelques éléments parmi les plus pertinents à suivre, afin de rester dans une logique de définition d’indicateurs à bon escient.
Mesure de l’atteinte des objectifs stratégiques
Si l’on peut comparer les indicateurs à des phares pour leur capacité à faciliter le positionnement et montrer le reste à faire, la mesure de l’atteinte des objectifs stratégiques en est la quintessence. Cette mesure nécessite en effet d’être en position d’établir des liens entre objectifs stratégiques, objectifs de sécurité, exigences réglementaires et contractuelles, de savoir mesurer l’atteinte de ces éléments et de pouvoir consolider ces mesures pour calculer le positionnement au regard des objectifs stratégiques.
Mesure de l’atteinte des objectifs de sécurité
Là encore, cette mesure nécessite une très forte maturité pour être mise en place, puisqu’il faut associer aux objectifs de sécurité des mesures et des actions, et savoir en contrôler l’avancement et l’efficacité pour construire un indicateur à même de se positionner au regard de l’atteinte des objectifs de sécurité.
Mesure de couverture des risques
Il faut également une forte maturité pour lier les risques aux mesures (plan de traitement...
Quelques indicateurs d’efficacité des mesures de sécurité
Les indicateurs les plus fréquemment mis en place, parce que les plus significatifs, portent principalement sur les mesures de sécurité suivantes :
-
Contrôle d’accès : indicateur basé sur une revue périodique des droits, sur le nombre de machines adressées au travers de comptes génériques, sur le nombre d’applications forçant l’utilisation d’authentification forte ou implémentant une politique de mots de passe renforcée.
-
Protection contre les logiciels malveillants : mesure de couverture des antivirus et de leur actualisation.
-
Gestion des sauvegardes : mesure de taux d’échec.
-
Gestion des incidents : nombre, durée, taux de résolution, répartition en fonction d’un indice de gravité.
-
Exploitation : gestion des versions et de l’application des patches de sécurité.
-
Dimensionnement réseau, systèmes.
-
Disponibilité.
Exploitation des indicateurs
On l’a souligné déjà, l’exploitation des indicateurs doit prendre en considération la dimension ponctuelle de la mesure ainsi que sa dimension temporelle.
Par dimension ponctuelle, on entend le relevé, dans l’absolu, d’un indicateur à un instant donné. S’il dépasse le seuil d’acceptation, tout est conforme. S’il ne franchit pas le seuil de rejet, il convient de prendre des actions correctives en collaboration avec les acteurs concernés.
Par dimension temporelle, on entend l’exploitation du relevé dans la continuité des relevés précédents : la tendance s’inscrit-elle dans une amélioration ou au contraire dans une dégradation de la pratique mesurée ? Y a-t-il une discontinuité dans les relevés qui nécessite des investigations complémentaires ?
Communication, acceptation par les équipes
La mise en place des indicateurs vise à asseoir le travail des comités de pilotage stratégiques et opérationnels et est donc destinée aux membres de ces comités. Mais ce serait une erreur que de ne pas les exploiter aussi et surtout avec les équipes en charge : s’interroger ensemble sur des indicateurs non renseignés, afin de savoir si la cause en est le manque de temps, l’incompréhension de la demande, la lourdeur de la tâche, un manque d’appropriation par les intéressés ou un rejet du contrôle, et trouver des éléments de remédiation. Il convient de se questionner également en commun sur des résultats en deçà du seuil d’acceptabilité ou en dégradation marquée afin de trouver des axes d’amélioration. On pourra se féliciter également lorsque les indicateurs affichent des résultats satisfaisants ou en progrès.
Définition des éléments de contrôle et de suivi : les tableaux de bord
Les tableaux de bord consistent en une sélection des éléments de contrôle et de suivi, effectuée en fonction de l’auditoire. L’utilisation d’un logiciel de gouvernance permet de construire rapidement ces tableaux et d’offrir les vues adaptées aux besoins.
En tant que pilote de la gouvernance, le responsable du système de management doit disposer d’un tableau de bord complet présentant une vision globale des choses.
Le comité de pilotage stratégique doit disposer d’un tableau de bord dédié, rassemblant essentiellement les éléments de gouvernance.
Le comité de pilotage opérationnel doit disposer d’un tableau de bord lui permettant de piloter les éléments qui le concerne.
Enfin, chaque direction concernée pourra également disposer d’un tableau de bord afin de suivre les événements la concernant.
Tableau de bord gouvernance
Le tableau de bord de la gouvernance doit offrir au pilote de la sécurité l’ensemble des éléments de pilotage nécessaire. Cela comprend essentiellement le plan d’action intégrant :
-
La mise en œuvre et le pilotage de la gouvernance
-
La mise en œuvre et le pilotage des chantiers et mesures de sécurité
-
Les éléments de suivi de la gouvernance
-
Les éléments de suivi opérationnels
Tableau de bord stratégique
Le tableau de bord stratégique est destiné au comité stratégique et rassemble l’ensemble...
Rappel des points clés
Afin d’évaluer les performances de sécurité et l’efficacité du système de gouvernance, il est nécessaire de mettre en place des indicateurs susceptibles d’apporter les éléments de contrôle et de suivi nécessaires.
Ces indicateurs sont définis en collaboration avec les équipes opérationnelles en charge de les renseigner, ou qui sont parties prenantes dans cette activité de suivi.
Il convient de positionner des indicateurs à bon escient, de contrôler les points stratégiques (mesures réduisant des risques élevés, activité importante de l’organisation, exigences dont la faisabilité mérite d’être contrôlée, etc.). Dans tous les cas, on adoptera une montée en puissance progressive du nombre d’indicateurs et on évitera de surcharger infructueusement les opérationnels avec les opérations de suivi.
Dans leur définition, les indicateurs comportent l’ensemble des éléments nécessaires à leur exploitation : propriétaire, équipe en charge de les renseigner, comité destinataire, fréquence de relevé et d’analyse, logique de calcul, seuil d’acceptation et de rejet.
L’exploitation des indicateurs peut être ponctuelle (analyse de la valeur à l’instant t) mais une lecture continue (analyse de la tendance de la série chronologique) est souvent plus enrichissante.
Les indicateurs peuvent être consolidés pour constituer des tableaux de bord, éléments...
Cas pratique
Le cas pratique présente quelques exemples de définition d’indicateurs :
Exigences
Traitement