A l’honneur de cette nouvelle conférence du CLUSIF, les indicateurs stratégiques de sécurité, le tableau de bord du RSSI pour piloter la sécurité. Selon Thierry Chiofalo, qui a ouvert les débats ces indicateurs et autres tableaux de bord sont de précieux outils. « C’est comme dans une voiture, sans GPS ou jauge à essence, vous augmentez votre risque d’erreur ». Pour l’administrateur du CLUSIF, s’il n’est pas question de sacrifier la sécurité opérationnelle aux outils, nous avons besoin de bons instruments de pilotage pour mieux appréhender les risques. À condition que ces outils soient « pertinents et réalistes ». Sans ces conditions indispensables, peu d’espoir de glaner des budgets auprès d’une direction générale.
Les tableaux de bord aujourd’hui et demain Philippe MOLINES, NES Conseil
Lors de ce premier avis d’expert, Philippe Molines, directeur technique de NES Conseil, propose un retour d’expérience sur 6 ans de production d’indicateurs à la Société Générale.
Dans cette banque, il a retenu neufs indicateurs clés de risque. Ces tableaux de bords doivent être partagés non seulement avec la direction générale mais aussi avec les équipes opérationnelles qui y travaillent. Trois seulement, tous les trimestres, ont vocation à être remontés à la direction générale.
Les indicateurs de pilotage tactique et de sécurité opérationnelle sont eux partagés aux responsables sécurité et autres fonctions opérationnelles (conformité, risques, régulateurs…) mensuellement, voire toutes les semaines sinon tous les jours pour mettre en place des plans d’actions rapides. Pour que ces indicateurs risques et sécurité soient efficaces, il est nécessaire, selon Philippe Molines, que les résultats soient reproductibles (par l’audit interne, l’inspection générale, commissaires au compte…) et fiables. La démarche doit être « pragmatique et opportuniste », explique-t-il. Exemple : si l’on ne peut pas couvrir l’ensemble de l’IT, les indicateurs peuvent être explicitement parcellaires pour couvrir de petits périmètres dans une démarche itérative. Ces indicateurs, réalistes au regard des coûts financiers, technologiques et humains de l’entreprise doivent enfin évoluer avec le système d’information et couvrir les nouvelles technologies (suivi des patchs, des antivirus…)”, précise-t-il. RGPD, Datalake et Big Data serviront à mesurer les évolutions de ces indicateurs. Que faut-il mesurer ? Le niveau des menaces comme le niveau de protection. Deux approches complémentaires et non exclusives, selon Philippe Molines, pour connaître le nombre d’attaques en déni de service (impacts, nombre de vulnérabilités, gravité) comme le nombre de postes de travail (ou de serveurs) correctement protégés.
Tableau de bord des risques : Comment les constituer pour un pilotage par les risques ? Jean-Philippe JOUAS, fondateur de MEHARI et ancien président du CLUSIF
Piloter par les risques induit que la gestion des risques est un objectif prioritaire. Encore faut-il, pour Jean-Philippe Jouas, pouvoir les identifier, évaluer chacun d’eux (en termes de vraisemblance, probabilité et impacts potentiels) afin de pouvoir estimer leur caractère admissible ou non et décider des mesures à prendre pour les rendre acceptables. Il faut enfin les contrôler, c’est-à-dire mettre en place un suivi permanent et une vision prospective des risques et de leurs niveaux. Cela nécessite d’avoir une bonne représentation de l’état des risques et une vision claire de la cible. Pour cela, il faut bien travailler les critères de décision sur le caractère admissible de chacun d’eux, anticiper les risques futurs, puis dresser un tableau général de synthèse. Une « grille d’acceptabilité des risques » est très efficace pour décrire les cibles. Elle donnera une vision globale de l’état actuel et futur des risques.
Restera ensuite à partager et faire entendre ce panorama, qui permet de planifier une réduction des risques en fonction de leur gravité, à la direction générale. « La mise en place des plans d’actions est un processus long qui peut prendre parfois des années dans les grandes structures », prévient Jean-Philippe Jouas. Des outils de simulation seront utiles pour vérifier la diminution du nombre risque dans le temps. « Si parfois la direction générale aura tendance à vouloir en réduire certains jugés pourtant critiques, les indicateurs mis en place permettront de mieux négocier les budgets », affirme Jean-Philippe Jouas.
Les tableaux de bord de la SSI : Mesurer pour s’améliorer Jean-Paul JOANANY, RSSI GENERALI
En préambule, Jean-Paul Joanany rappelle les activités de la SSI de Generali en matière de gouvernance (pilotage, architecture, communication, formation…), de contrôle (gestion des habilitations, audit, conformité), de veille (technologique, réglementaire, cybercriminalité) et d’activités opérationnelles (gestion de crise, accès, correctifs, supports aux utilisateurs et aux projets, investigations numériques, outils cryptographiques…). Son retour d’expérience a pour périmètre environ 2 500 serveurs, 15 000 postes de travail, 600 applications (dont 200 applications métiers) pour 1 000 personnes à l’IT (700 en interne).
Pour partager la vision de la sécurité avec les nombreux acteurs externes (audit, contrôle interne, commissaires aux comptes, certificateurs, clients, partenaires…), le RSSI doit être un bon communicant. Mais selon Jean-Paul Joanany, il n’y a qu’un seul véritable indicateur : le nombre d’incidents de sécurité. « Ce qui intéresse au premier chef les directions, c’est de remonter le niveau de sécurité et les niveaux de risque en temps réel », appuie-t-il.
Pour ce faire, il faut mesurer le niveau de menace (rapports sur la cybercriminalité, climat social…), voir ce que renvoient les systèmes de détection (SOC, supervision, utilisateurs, clients) dans l’entreprise, mesurer le niveau de préparation des personnels. Comme les failles de sécurité proviennent souvent du personnel, il a développé des indicateurs sur les niveaux de sensibilisation de celui-ci. Si les incidents de sécurité sont particulièrement surveillés, il en est de même des postes de travail avec des traçages réguliers vérifiant le déploiement des patchs. Des indicateurs sont également produits pour les plateformes JBoss, les comptes à privilèges, comptes non nominatifs, les architectures et à venir pour la RGPD.
Dialogue autour du tableau de bord la sécurité Hélène SAUVANT, associée iDNA ; Frédéric MALMARTEL, ACOSS, FSSI
Ces deux membres du groupe de travail du CLUSIF sur les indicateurs nous présentent leur retour d’expérience dans une grande administration publique (Urssaf). « Les grandes structures ont parfois la force d’inertie d’un paquebot, il faut parfois beaucoup de temps pour infléchir une situation et prendre des décisions », note Frédéric Malmartel. Au vu de la multiplicité des acteurs (métiers, SSI, DSI…) des interlocuteurs (direction, partenaires, autorité de tutelle) et des demandes et usages divers, les indicateurs doivent avoir plusieurs temporalités. Exemples : des indicateurs pérennes mis en place par Frédéric Malmartel, et d’autres, plus ponctuels et éphémères en fonction d’événements de sécurité tels la crise de Wannacry ou NotPetya.
Les deux experts préconisent des indicateurs et tableaux de bords, qui se doivent pour convaincre d’être « simples », « exploitables rapidement », « synthétiques » et « visuels ». Pour vendre la démarche d’indicateurs sécurité dans une grande structure, il s’agit, en d’autres termes d’insuffler de la simplicité dans un monde complexe.
Comment se faire aider pour la mise en place de tableaux de bord ? Les référentiels produits par le CLUSIF, l’ANSSI ou encore l’ISO 27004 sont très précieux. Cette dernière norme propose notamment une méthodologie pour construire des indicateurs, en cohérence avec l’ISO 27001. En plus d’être simple, exploitable rapidement, synthétique et visuel, ces outils de décisions que sont les indicateurs doivent être évolutifs. « Pour l’instant, peu d’entreprises sont au point », conclut Hélène Sauvant.
Table Ronde animée par Jean-Marc Grémy, président du CLUSIF Frédéric MALMARTEL (Agence Centrale des Organismes de Sécurité Sociale – ACOSS), Gérard GAUDIN (président R2GS), François GRATIOLET (Cyrating), Murielle THIBIERGE-BATUDE (CS).
Comment choisir ses indicateurs ? Sur quoi les bâtir ? Sont-ils efficients ? Des questions qui ont été abordées au cours de cette table ronde. Gérard Gaudin président du RG2S qui a construit un référentiel international de 98 indicateurs opérationnels (incidents, vulnérabilité, conformité…), commence par faire remarquer que la question des indicateurs n’est pas nouvelle. Plus de trente ans qu’on se la pose sans pouvoir y répondre. « Les indicateurs sont les reflets de la vie », explique-t-il. C’est pour cela qu’ils sont complexes à monter.
Et pourtant le défi reste de faire au plus simple et au plus facile pour se faire entendre des directions générales. François Gratiolet de Cyrating explique que son agence de notation collecte des informations sur l’état de cybersécurité des entreprises sur Internet ou des sources semi-ouvertes. Ainsi, elle va produire des indicateurs homogènes en s’appuyant sur certains standards. Mais selon lui, le Comex ne demande souvent qu’un seul indicateur. Pour Murielle Thibierge-Batude de CS, s’il n’y avait qu’un seul indicateur à retenir ce serait le client. Frédéric Malmartel retiendrait lui, comme seul indicateur, le nombre d’atteintes réussies. Peu importe finalement le nombre d’attaques et de virus subis. « Derrière ce bruit de fond, mieux vaut s’intéresser au moment où la coque est percée, où l’on est atteint », précise-t-il. Gérard Gaudin observe, pour sa part, la montée en puissance de « l’image de marque » qui devient peu à peu un référentiel incontournable. François Gratiolet, abonde.
« Les classements, tel celui du journal Les Echos sur la digitalisation des entreprises, sont de plus en plus regardés par les directions générales ». Les indicateurs, une arme à double tranchant pour les RSSI ? Pour Gérard Gaudin, oui, les RSSI seront comme d’autres disciplines à l’avenir plus évalués. « Mais ceux qui se cachent en ayant peur d’annoncer un certain nombre de faits n’ont pas d’avenir. Les RSSI doivent communiquer et démontrer la difficulté de leur métier. 70% des incidents de sécurité impliquent l’humain », rappelle-t-il. « Le RSSI reste très dépendant des utilisateurs ».