Mettre en oeuvre des tableaux de bord sécurité dans le cadre d’un SMSI
Comment constituer un système de tableaux de bord ?
L’objectif des tableaux de bord est de donner une vision de synthèse du niveau de risque.
Les tableaux de bord sécurité seront constitués à partir :
- des risques et enjeux principaux identifiés (suivi du niveau des risques majeurs)
- des mesures de sécurité issues d’une analyse de risques
- de procédures ou directives de sécurité issues d’une politique de sécurité de l’information
- des contrôles mis en oeuvre pour vérifier l’application de la politique de sécurité
Deux ou trois niveaux de tableaux de bord peuvent être élaborés :
- Décisionnel : vision synthétique de la situation de la sécurité pour la direction générale, que ce soit dans ses dimensions techniques ou fonctionnelles,
- Pilotage : avancement de la mise en oeuvre des mesures de sécurité par domaine (par exemple les 11 domaines de l’ISO 27002),
- Opérationnel : indicateurs de disponibilité des réseaux (locaux, distants), l’identification des incidents de sécurité (attaques virales, sauvegardes, comptes utilisateurs …), suivi des mises à niveau (OS, logiciels, progiciels, )…
Le choix des indicateurs sécurité
A l’issue d’une démarche d’analyse des risques, peuvent être identifiés les risques principaux et ainsi en déduire les menaces et principales mesures de sécurité à surveiller.
Ensuite pour chaque règle de sécurité définie, il faudra définir un ou des indicateurs, et pour chacun d’entre eux identifier :
- le mode de calcul de l’indicateur (fréquence d’actualisation),
- le mode de constitution de l’indicateur (attention aux indicateurs alimentés manuellement),
- le seuil et/ou la valeur cible,
- la présentation de l’indicateur.