Mettre en oeuvre des tableaux de bord sécurité dans le cadre d’un SMSI

Comment constituer un système de tableaux de bord ?

L’objectif des tableaux de bord est de donner une vision de synthèse du niveau de risque.

Les tableaux de bord sécurité seront constitués à partir :

• des risques et enjeux principaux identifiés (suivi du niveau des risques majeurs)
• des mesures de sécurité issues d’une analyse de risques
• de procédures ou directives de sécurité issues d’une politique de sécurité de l’information
• des contrôles mis en oeuvre pour vérifier l’application de la politique de sécurité

Deux ou trois niveaux de tableaux de bord peuvent être élaborés :

• Décisionnel : vision synthétique de la situation de la sécurité pour la direction générale, que ce soit dans ses dimensions techniques ou fonctionnelles,
• Pilotage : avancement de la mise en oeuvre des mesures de sécurité par domaine (par exemple les 11 domaines de l’ISO 27002),
• Opérationnel : indicateurs de disponibilité des réseaux (locaux, distants), l’identification des incidents de sécurité (attaques virales, sauvegardes, comptes utilisateurs …), suivi des mises à niveau (OS, logiciels, progiciels, )…

Le choix des indicateurs sécurité

A l’issue d’une démarche d’analyse des risques, peuvent être identifiés les risques principaux et ainsi en déduire les menaces et principales mesures de sécurité à surveiller.

Ensuite pour chaque règle de sécurité définie, il faudra définir un ou des indicateurs, et pour chacun d’entre eux identifier :

• le mode de calcul de l’indicateur (fréquence d’actualisation),
• le mode de constitution de l’indicateur (attention aux indicateurs alimentés manuellement),
• le seuil et/ou la valeur cible,
• la présentation de l’indicateur.