Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

5 1 b o u l e v a r d d e L a T o u r - M a u b o u r g - 7 5 7 0 0 P A R I S 0

5 1 b o u l e v a r d d e L a T o u r - M a u b o u r g - 7 5 7 0 0 P A R I S 0 7 S P - T é l 0 1 7 1 7 5 8 4 1 5 - F a x 0 1 7 1 7 5 8 4 0 0 PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d’information Sous Direction des Opérations Bureau Conseil Élaboration de tableaux de bord SSI MÉMENTO Version du 5 février 2004 Document édité par le bureau conseil de la DCSSI Page 2 sur 9 La problématique des tableaux de bord SSI Pourquoi élaborer un tableau de bord ? Un tableau de bord parfaitement adapté à chaque type de fonction de la "voie fonctionnelle SSI" est un atout pour améliorer la qualité des services de sécurité et maîtriser le niveau de sécurité global de sécurité des systèmes d’information. Il constitue en effet un outil de synthèse et de visualisation indispensable pour suivre toutes les actions liées à la SSI. Il contribue à contrôler que la stratégie définie dans la politique de sécurité est mise en œuvre par les niveaux de pilotage et opérationnel, et à la remontée d'informations pertinentes jusqu'aux décideurs. Pour le niveau stratégique, la mise en place d'un tableau de bord SSI permet : - de suivre l'application de la politique de sécurité, - d'établir des comparaisons avec d'autres organismes, - de préparer les choix de mise en place des ressources (définition de priorités, réévaluation de la menace et du risque). Pour le niveau de pilotage, la mise en place d'un tableau de bord SSI permet : - de contrôler la réalisation des objectifs par le niveau opérationnel, - d'améliorer la qualité de service. Pour le niveau opérationnel, la mise en place d'un tableau de bord SSI permet : - de préciser les besoins opérationnels à mettre en œuvre, - de mesurer la production et les efforts entrepris pour atteindre les objectifs visés en matière de production, - de motiver et dynamiser les équipes. Qu'est-ce qu'un tableau de bord SSI ? Un tableau de bord SSI permet de disposer, aux différents niveaux décisionnels, de pilotage et opérationnels, d’une vision synthétique de la situation de la sécurité, que ce soit dans ses dimensions techniques ou fonctionnelles (couverture des risques, qualité de la politique de sécurité, suivi des audits, des actions et des alertes…). Cette vision renseigne sur l'état et les tendances de la SSI. Les tableaux de bord SSI peuvent être constitués à partir : - d'objectifs de sécurité issus d'une analyse de risques (par exemple à l'aide de la méthode EBIOS®), - de règles de sécurité issues d'une politique de sécurité, - d'actions de sécurité issues d'un plan d'action. Dans une démarche structurée de la sécurité des systèmes d'information, les tableaux de bord SSI représentent la suite logique de l'élaboration d'une politique de sécurité et de l'identification des objectifs de sécurité. Document édité par le bureau conseil de la DCSSI Page 3 sur 9 En outre, d’autres éléments externes (résultats d’audits, évolution du contexte sécurité, évolution technique du SI…) peuvent impliquer une adaptation des tableaux de bord SSI. Cet outil reste ainsi en évolution tout au long de l’existence du SI qu’il couvre. La remontée des indicateurs d'un tableau de bord SSI peut se représenter comme suit : Degré de consolidation Information détaillée Synthèse Opérationnel Pilotage Stratégique Définition de la politique générale de sécurité du système d’information Élaboration de PSSI Réalisation d’analyse des risques SSI… Mise en œuvre de la sécurisation du système d’information Mise en œuvre de la sécurisation du système d’information Exploitation du système d’information sécurisé Exploitation du système d’information sécurisé Élaboration et mise en œuvre de tableaux de bord SSI État d'avancement de la mise en œuvre de la politique de sécurité Avancement de la mise en œuvre par domaine Avancement de la mise en œuvre par mesure de sécurité Exemple : Document édité par le bureau conseil de la DCSSI Page 4 sur 9 Différents indicateurs pourront être élaborés en parfaite cohérence avec les objectifs de sécurité : - au niveau stratégique : o l'état d'avancement de la mise en œuvre de la politique de sécurité, o l'évolution des incidents liés à la SSI, o … - au niveau fonctionnel : o l'avancement de la sécurisation par domaine (organisationnel, logiciels, applications, réseaux, sécurité physique, aspects humains), o le suivi des actions de sécurité (études, audits, mise en œuvre, formation), o … - au niveau opérationnel : o la disponibilité des réseaux, o l'avancement de la mise en œuvre des mesures de sécurité, o l'identification des incidents, o suivi des contrôles de sécurité, o … Les données constitutives seront elles-aussi collectées de manière cohérente avec les objectifs de sécurité, principalement au niveau opérationnel. Il peut s'agir par exemple : - d'analyses des journaux (pare-feu, antivirus, traces…), - de rapports de mise en œuvre, - de fiches d'incidents, - de rapports de contrôles ou d'audit, - … Les indicateurs utilisés pour la constitution des tableaux de bord SSI s’appuient sur des données, dont une partie est issue des divers éléments du système d’information et notamment des dispositifs de sécurisation (pare-feu, antivirus, analyse des traces…). Tableau de bord sécurité Tableau de bord sécurité xxx xxx xxx xxx xxx ### ### ### ### ### ### AAA BBB CCC DDD EEE Tableau de bord sécurité Tableau de bord sécurité xxx xxx xxx xxx xxx ### ### ### ### ### ### xxx xxx xxx xxx xxx ### ### ### ### ### ### AAA BBB CCC DDD EEE AAA BBB CCC DDD EEE Document édité par le bureau conseil de la DCSSI Page 5 sur 9 Le guide d'élaboration de tableaux de bord SSI La réalisation d'indicateurs permettant de renseigner un tableau de bord est un travail complexe. Un guide d'élaboration de tableau de bord SSI a donc été réalisé par la DCSSI afin de faciliter ce travail et d'homogénéiser les méthodes. Ce guide propose une démarche et des outils directement utilisables. Il est suffisamment souple pour être facilement adapté à des besoins spécifiques. Section 1 – Méthodologie La démarche d'élaboration est décomposée en cinq étapes successives décrites ci-après. Cette démarche itérative permet de garantir la cohérence des tableaux de bord SSI avec les objectifs stratégiques et les évolutions du contexte (du SI, des risques, des destinataires…). Lors de la première itération, les étapes sont généralement réalisées successivement. Par la suite, les étapes d'exploitation et d'évolution des tableaux de bord peuvent donner lieu à de nouvelles itérations. Étape 1 - Pré-requis La première étape consiste à rassembler des éléments préalables à l'élaboration de tableaux de bord SSI : - identification des destinataires des tableaux de bord SSI, - formalisation des utilisations prévues, - formalisation des périodicités souhaitées, - expression des objectifs de sécurité (issus d'une analyse des risques SSI), - expression des objectifs de progression du niveau de SSI (issus d'un plan d'action), - informations sur le SI, - identification des sources de données possibles, - bilan sur le budget et les moyens mis en œuvre. Étape 2 - Mise en place du projet "Tableaux de bord SSI" La mise en place consiste ensuite à identifier et mobiliser les acteurs pour constituer des groupes de travail : - un groupe "utilisation" définit le besoin en tableaux de bord SSI en partant des besoins fonctionnels identifiés, - un groupe "technique" valide la faisabilité des tableaux de bord SSI ainsi que de leur pertinence par rapport aux réalités techniques du système d’information, - un groupe "pilotage" maîtrise les coûts et charges récurrents associés aux tableaux de bord SSI en phase de production, - un groupe "exploitation" s’assure que les tableaux de bord SSI et les procédures associées pourront être exploités aisément autant dans leur aspect constitution que dans leur aspect utilisation. Étape 3 - Élaboration des tableaux de bord SSI L'étape suivante permet de construire les tableaux de bord SSI en se basant sur les différents objectifs identifiés : Document édité par le bureau conseil de la DCSSI Page 6 sur 9 - formalisation des objectifs mesurables, - sélection des sources de données exploitables, - élaboration des indicateurs correspondants, - constitution des tableaux de bord SSI à partir des indicateurs, - élaboration des procédures d'alimentation des tableaux de bord SSI, - validation de l'applicabilité des tableaux de bord SSI. Étape 4 - Exploitation des tableaux de bord SSI Cette étape consiste à éditer et exploiter les tableaux de bord SSI selon les périodicités prévues. Il s'agit donc de : - recueillir les données constitutives : o collationnement, o traitement, o calcul des indicateurs ; - d'utiliser les tableaux de bord SSI dans le processus de décision. Étape 5 - Évolution des tableaux de bord SSI Le suivi des tableaux de bord SSI permet de vérifier s'ils nécessitent une évolution, du fait d'une observation parmi les suivantes : - défaut de qualité des indicateurs (ergonomie, cohérence, pertinence…), - évolution du contexte, uploads/Management/ tableau-bord-securite-2007.pdf