Tableaux de bord securite

Mettre en oeuvre des tableaux de bord sécurité dans le cadre d'un SMSI

Comment constituer un système de tableaux de bord ?

L'objectif des tableaux de bord est de donner une vision de synthèse du niveau de risque.

Les tableaux de bord sécurité seront constitués à partir :

  • des risques et enjeux principaux identifiés (suivi du niveau des risques majeurs)
  • des mesures de sécurité issues d'une analyse de risques
  • de procédures ou directives de sécurité issues d'une politique de sécurité de l'information
  • des contrôles mis en oeuvre pour vérifier l'application de la politique de sécurité

Deux ou trois niveaux de tableaux de bord peuvent être élaborés :

  • Décisionnel : vision synthétique de la situation de la sécurité pour la direction générale, que ce soit dans ses dimensions techniques ou fonctionnelles,
  • Pilotage : avancement de la mise en oeuvre des mesures de sécurité par domaine (par exemple les 11 domaines de l’ISO 27002),
  • Opérationnel : indicateurs de disponibilité des réseaux (locaux, distants), l'identification des incidents de sécurité (attaques virales, sauvegardes, comptes utilisateurs …), suivi des mises à niveau (OS, logiciels, progiciels, )…

Le choix des indicateurs sécurité

A l'issue d'une démarche d'analyse des risques, peuvent être identifiés les risques principaux et ainsi en déduire les menaces et principales mesures de sécurité à surveiller.

Ensuite pour chaque règle de sécurité définie, il faudra définir un ou des indicateurs, et pour chacun d’entre eux identifier :

  • le mode de calcul de l’indicateur (fréquence d'actualisation),
  • le mode de constitution de l’indicateur (attention aux indicateurs alimentés manuellement),
  • le seuil et/ou la valeur cible,
  • la présentation de l’indicateur.

Copyright Ysosecure © 2002 - 2018