Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

LES DOSSIERS TECHNIQUES Le tableau de bord de la sécurité, élément clé du dialo

LES DOSSIERS TECHNIQUES Le tableau de bord de la sécurité, élément clé du dialogue RSSI/Directions Octobre 2018 CLUB DE LA SECURITE DE L’INFORMATION FRANÇAIS 11 rue de Mogador - 75009 Paris Tél. : +33 1 53 25 08 80 – Fax : +33 1 53 25 08 88 clusif@clusif.fr – www.clusif.fr 2/41 Les tableaux de bord de la sécurité © CLUSIF 2018 La loi du 11 mars 1957 n'autorisant, aux termes des alinéas 2 et 3 de l'article 41, d'une part, que les « copies ou reproductions strictement réservées à l'usage privé du copiste et non destinées à une utilisation collective » et, d'autre part, que les analyses et les courtes citations dans un but d'exemple et d'illustration, « toute représentation ou reproduction intégrale, ou partielle, faite sans le consentement de l'auteur ou de ayants droit ou ayants cause est illicite » (alinéa 1er de l'article 40) Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait donc une contrefaçon sanctionnée par les articles 425 et suivants du Code Pénal. 3/41 Les tableaux de bord de la sécurité © CLUSIF 2018 Table des matières I. Introduction ........................................................................................................................ 6 I.1. Définitions .................................................................................................................... 6 I.1.1. Tableau de bord ................................................................................................... 6 I.1.2. Indicateur ............................................................................................................. 7 I.1.3. Typologie .............................................................................................................. 7 I.1.4. Normes et méthodologies existantes .................................................................. 7 II. Objectifs des tableaux de bord ........................................................................................... 8 II.1. Le niveau Stratégique .................................................................................................. 8 II.2. Le niveau Coordination ................................................................................................ 9 II.3. Le niveau Opérationnel ............................................................................................... 9 III. Comment procéder, quelle granularité ? ...................................................................... 11 III.1. Les acteurs ................................................................................................................. 11 III.2. La construction .......................................................................................................... 12 III.3. Bonnes pratiques ....................................................................................................... 12 III.4. La granularité ............................................................................................................. 13 III.5. Tableau de bord stratégique ..................................................................................... 13 III.6. Tableau de bord de coordination .............................................................................. 15 III.7. Tableau de bord opérationnel ................................................................................... 16 III.8. Tableau de bord « éphémère » ................................................................................. 16 IV. Cycle et dynamique de vie des tableaux de bord. ........................................................ 18 IV.1. PLAN : Identifier les besoins d'information ............................................................... 19 IV.2. DO : Création et maintien des indicateurs ................................................................ 20 IV.3. DO : Établir des procédures ....................................................................................... 22 IV.4. CHECK : Surveiller et mesurer ................................................................................... 22 IV.5. ACT : Analyser les résultats ....................................................................................... 23 IV.6. ACT : Évaluer les performances de sécurité de l'information et l'efficacité du SMSI 23 IV.7. ACT : Examiner et améliorer les processus de surveillance, de mesure, d'analyse et d'évaluation .......................................................................................................................... 24 IV.8. ACT : Conserver et communiquer des informations documentées .......................... 24 IV.9. Prise en compte de l’environnement interne et externe .......................................... 25 4/41 Les tableaux de bord de la sécurité © CLUSIF 2018 IV.9.1. Environnement Interne ...................................................................................... 25 IV.9.2. Environnement Externe ..................................................................................... 27 IV.9.3. Fréquence de rafraîchissement .......................................................................... 28 IV.9.4. Industrialiser au maximum la collecte des indicateurs ...................................... 28 V. Des Tableaux de bord, sous quelle forme ? ...................................................................... 30 V.1. La forme doit servir l’objectif .................................................................................... 30 V.2. Les différents visuels des indicateurs : ...................................................................... 30 V.3. Tableau de bord stratégique ..................................................................................... 32 V.4. Tableau de bord de Pilotage ...................................................................................... 33 V.5. Tableau de bord opérationnel ................................................................................... 34 V.6. Tableau de bord « flash » éphémère ........................................................................ 36 V.7. Outillage ..................................................................................................................... 37 VI. Annexe : Thématiques où créer des indicateurs sécurité de l’information .................. 39 5/41 Les tableaux de bord de la sécurité © CLUSIF 2018 Remerciements Le CLUSIF tient à mettre ici à l'honneur les personnes qui ont rendu possible la réalisation de ce document, tout particulièrement : Le responsable du groupe de travail : Frédéric MALMARTEL ACOSS Le représentant du CDSE (Club des directeurs de sécurité et de sûreté des entreprises) : Alain JEANDAT EDF D.S.P. Les contributeurs : Grégory ADROT ARMAND THIERY SAS Thibault BASSET MINISTERE DES ARMEES William BOURGEOIS IN EXTENSO OPERATIONNEL Xavier CHAPELLE TOTAL Frédérique DRON PARDO POLE EMPLOI Emmanuel GARNIER GIE AG2R REUNICA Cédric GASPARD SYNETIS SAS Fabrice IDIER CONSEIL DEPARTEMENTAL DE LA SEINE-SAINT- DENIS Guillaume KERMARREC VEOLIA ENVIRONNEMENT Thomas LE GALLAIS CDC CAISSE DES DEPOTS ET CONSIGNATIONS Alain MELAMED CYBERSEL S.R.L. Hélène SAUVANT IDNA Hervé SCHAUER HS2 – HERVE SCHAUER SECURITE Dominique SOULIER AGENCE DE LA BIOMEDECINE Le CLUSIF remercie également les adhérents ayant participé à la relecture. 6/41 Les tableaux de bord de la sécurité © CLUSIF 2018 I. Introduction La gouvernance de la sécurité des systèmes d’information (SSI) doit permettre de maîtriser et, le cas échéant, réduire les risques dans une approche technique comme dans une stratégie globale. Elle doit tenir compte de la menace cyber, i.e. menace sur les réseaux et les systèmes informatiques, et aussi de toutes les contraintes existantes : obligations légales et réglementaires, besoins des métiers et évolutions technologiques notamment. Elle justifie et maîtrise ses coûts. Elle s’appuie sur les tableaux de bord de la SSI pour disposer d’une vision globale, stratégique et dynamique de la sécurité atteinte en regard de celle exigible. Ainsi sera-t-elle à même de remplir au mieux sa tâche en effectuant les meilleurs choix. Le présent document propose un guide d’aide à la création de tableaux de bord de la SSI, destiné au lecteur désireux de la mettre en œuvre en s’appuyant sur eux. Il décrit les bonnes pratiques en la matière. Il identifie les utilisateurs et les utilisations possibles des tableaux de bord ainsi que les principaux écueils à éviter. Il illustre ses propos par l’exemple. Des compléments sont donnés en annexe. Les exemples donnés ne prétendent pas à l’exhaustivité. I.1. Définitions I.1.1. Tableau de bord Le tableau de bord est un ensemble structuré d’indicateurs objectifs et factuels, ce qui n’interdit pas d’être qualitatif. Il décrit, avec des éléments mesurables ou appréciables une situation et son évolution. Il se doit d’être synthétique pour être pertinent. Fonction de sa typologie, ses principaux objectifs sont de présenter : • Une vision claire du niveau de sécurité et de conformité à des réglementations, des normes ou par rapport à une politique interne. L’efficacité des mesures de sécurisation des SI • Les risques auxquels est exposée l’entité • L’évolution de la sécurisation • Le suivi et le contrôle des dépenses liées à la sécurité Il concerne tous les publics. Il doit permettre : gain de temps, ergonomie dans le travail, efficacité, disponibilité, confidentialité des données personnelles et professionnelles… tant aux niveaux direction et cadres, qu’employés. Il aide à la prise de décision. 7/41 Les tableaux de bord de la sécurité © CLUSIF 2018 Il implique tous les acteurs principaux de la sécurité : Direction Générale, Responsable de la sécurité du système d’information (RSSI), opérationnels de la direction des systèmes d’information (DSI), services juridiques, services achats… I.1.2. Indicateur Un indicateur est une information quantitative ou qualitative obtenue à partir d’une mesure permettant de donner une idée raisonnable sur une thématique particulière de la SSI. Il doit être reproductible. Il permet d’identifier les actions à mener, communication comprise. I.1.3. Typologie Il existe trois niveaux de tableaux de bord : stratégique, de coordination et opérationnel. Ils sont décrits dans le chapitre suivant. I.1.4. Normes et méthodologies existantes Les normes et documents ci-dessous ont servi à bâtir le document : • ISO 27004:2016 – Management de la sécurité de l'information - Surveillance, mesurage, analyse et évaluation. • Cigref : 2007 – Guide pratique pour un tableau de bord sécurité stratégique et opérationnel. • ANSSI : 2004 – Elaboration de tableaux de bord SSI. • CLUSIF : 2001 – Indicateurs de sécurité. • CLUSIF : 2008 – Les métriques dans le cadre de la série 27000. • Swedish Civil Contingencies Agency : 2011 – Information Security Metrics. • NIST SP 800-55. 8/41 Les tableaux de bord de la sécurité © CLUSIF 2018 II. Objectifs des tableaux de bord Les tableaux de bord sont des outils de pilotage qui répondent à des objectifs différents selon leur typologie. 2 typologies d’indicateurs ont été identifiées : • La catégorie « Scorecard » dans laquelle on trouve le tableau de bord de niveau stratégique. • La catégorie « Dashboard » dans laquelle on trouve généralement 2 niveaux : le tableau de bord de coordination et le tableau de bord opérationnel. Il existe également une notion de tableau de bord éphémère, qui peut être construit pour réaliser un suivi d’activité en rapport avec l’actualité. Par exemple, dans le cadre d’une faille de sécurité annoncée, il permettra de faire un point de situation en regard de l’exposition de l’organisation à cette faille, d’identifier les actions de maîtrise à définir, et informer sur le suivi de ces actions. Une fois la faille pleinement maîtrisée, ce tableau de bord éphémère ne sera pas reconduit. Il dispose ainsi d’une durée de vie limitée. Il est important que la filière sécurité SI (ou filière SSI) partage l’ensemble des informations de ces tableaux de bord (toutes typologies et niveaux confondus). Par filière SSI, nous entendons l’ensemble des acteurs contribuant au travers de leurs missions quotidiennes à la sécurité des systèmes d’information (on parle également de « chaîne fonctionnelle de la sécurité des SI ») II.1. Le niveau Stratégique Ce niveau correspond au niveau de suivi le plus élevé. Il permet de consolider une vision des risques SSI au niveau de l’organisation. Les indicateurs permettent de fixer des orientations à court, moyen et long terme, de uploads/Management/ le-tableau-de-board-de-la-securite.pdf