Le tableau de bord SSI est l’outil de pilotage indispensable du RSSI. Qu’il soit utilisé dans un but opérationnel, de coordination ou stratégique, il permet de visualiser l’état de la sécurité du système d’information et de mesurer l’écart entre la PSSI (politique de sécurité du système d’information) de l’entreprise et la réalité du terrain. Votre SI évolue constamment. En tant que RSSI vous devez prendre des décisions rapides et éclairées ! Mais avez-vous les bons indicateurs pour faire cela ? Est-ce que les données dont vous disposez sont pertinentes, objectives ou encore compréhensibles ? Avez-vous intégré l’ensemble des équipements présents sur votre infrastructure ? Avez-vous les bons indicateurs sous les yeux pour prendre des décisions quant à la sécurité de votre entreprise ?

Dans cet article, découvrez 5 exemples d’indicateurs de performance à intégrer dans votre tableau de bord SSI.

C’est quoi un indicateur de performance SSI ?

Dans un premier temps, accordons-nous sur la notion d’indicateur. D’après l’ANSSI, un indicateur de performance (ou KPI, Key Performance Indicators) est une « donnée statistique combinant la mesure d’un ou plusieurs points-clés et utilisée en comparaison avec un historique, une (des) valeur(s) cible(s) et/ou une (des) valeur(s) seuil(s) ». D’une manière plus simple, l’indicateur de performance vous permet de suivre l’évolution d’une activité ou le résultat d’actions sur la base d’un historique de ces mêmes données. Au travers de comparaisons et de seuils, ils fournissent un outil décisionnel au RSSI.

Les indicateurs SSI sont généralement issus de la PSSI (Politique de Sécurité des Systèmes d’Informations) mise en place au sein de l’organisation. Ils suivent notamment les objectifs de sécurité suite à une analyse de risques, d’actions de sécurité issues d’un plan d’action ou bien encore d’objectifs liés à des obligations légales ou de respects de normes et certifications. Chaque entreprise définit ainsi ses KPI en fonction de ses besoins, objectifs et moyens, pour mesurer l’efficacité de la sécurité du SI.

« Pour mener à une prise de décision éclairée, il est avant tout essentiel de bien choisir ses indicateurs SSI. Et au-delà, c’est la visualisation de ce KPI qui doit permettre au RSSI en un coup d’œil d’apprécier la situation. »  
Baptiste David, - Head of PreSales & Delivery, Tenacy

Les indicateurs fournissent au RSSI une vision à plusieurs niveaux. À un niveau stratégique, les indicateurs permettent de suivre l’application de la PSSI. À un niveau de pilotage, ils  permettent, selon l’ANSSI, de « contrôler la réalisation des objectifs et d’améliorer la qualité de service. » Quant à l’aspect opérationnel, les indicateurs de performance permettent de mesurer l’état de la production et les besoins techniques à mettre en œuvre.

Dans son tableau des performances, le RSSI visualise l’état de son système d’information sous une forme synthétique. Cela représente une aide indispensable pour présenter de manière claire la situation aussi bien à sa direction qu’aux équipes opérationnelles. L’objectif d’un indicateur clé de performance SSI est ainsi de faciliter la prise de décision à tous les niveaux.

  • 1. Le taux de déploiement des patchs et correctifs de sécurité par application

    Le premier des indicateurs-clés de cette liste concerne la mesure de la vulnérabilité de votre parc informatique. Le patch management, terme anglais pour la gestion des correctifs logiciels, consiste à rechercher les logiciels et systèmes d’exploitation sur les postes de travail et serveurs qui ne seraient pas mis à jour.

    Face à la multiplication des attaques cyber, il est impératif de minimiser le risque de failles de sécurité et de vulnérabilités sur son système d’informations. En 2017, le ransomware WannaCry avait exploité une faille de sécurité du protocole SMB v1 de Microsoft Windows et infecté plus de 250 000 systèmes à travers le monde. C’est pourquoi maintenir un parc informatique à jour est primordial pour le RSSI et son entreprise.

    Tout le monde est conscient de l’enjeu ! Mais êtes-vous bien à jour dans la mise en place des correctifs et sont-ils supportés par vos équipements ? Piloter un indicateur de vulnérabilité tel que le taux de déploiement des patchs et/ou correctifs de sécurité par application permet de prendre la réelle mesure de l’état de son parc informatique. Le suivi de cette donnée dans le temps permet de prendre les décisions nécessaires pour diminuer le risque de cyber-attaques via des failles de sécurité non patchées.

  • 2. Le volume d’activités de vos agents EDR sur le parc informatique

    La seconde métrique à suivre dans un tableau de bord dédié à la sécurité de votre système informatique concerne la protection des postes de travail. Avec l’avènement des agents EDR, les équipes de sécurité ont aujourd’hui accès à un ensemble de logs et d’alertes pour chaque poste de travail. En analysant la couverture de protection de vos agents EDR, vous serez certainement étonnés de découvrir le nombre réel d’installations manquantes, obsolètes et mal configurées.

    Le monitoring du volume de menace des agents vous permet également de cibler plus efficacement les équipes visées par les cybercriminels dans votre entreprise et ainsi de prendre des actions correctives.

    Saviez-vous que 380 000 nouveaux fichiers malveillants[1] étaient recensés par jour ? Attaque par ransomware, fileless malware, accès RDP détourné, déplacement latéral, de nombreuses menaces ciblent les postes de travail.

    En analysant l’activité de vos agents EDR, vous avez la capacité de réagir en cas d’attaque sur l’une de vos machines et ainsi d’éviter la paralysie de votre infrastructure.

  • 3. Le volume de processus lancé par un super administrateur

    Le troisième indicateur clé concerne la mesure des accès à privilèges. Les administrateurs système sont une cible de choix pour les cyber attaquants, car ils permettent l’accès et la gestion de ressources informatiques. D’après un éditeur[2] spécialisé dans la gestion des accès à privilèges (PAM ou Privileged Access Manager), 79 % des entreprises ont subi une violation liée à l’identité au cours des 2 dernières années.

    Alors qui est administrateur de quoi ? Procédez à des revues périodiques des comptes à privilèges et suivez l’évolution du volume de processus lancés avec l’utilisateur root. Vous suivrez alors l’activité tout en évitant de laisser des portes d’entrée pour les hackers.

    La connaissance de cet indicateur contribue à l’évaluation de la sécurité du SI et de son niveau de risques. Il permet d’analyser la justification des accès et de rectifier les situations à risque en supprimant les accès inadéquats ou obsolètes.

  • 4. Le volume de connexion par MFA

    Une quatrième donnée de mesure indispensable au RSSI pour piloter la sécurité de son SI consiste à mesurer la sécurité des connexions. L’activation de l’authentification multifacteur ou MFA (également connue sous sa variante de double authentification, 2FA) est une mesure phare pour protéger l’accès réseau des utilisateurs. Pour accéder à une application, un compte en ligne ou un VPN, l’utilisateur doit présenter au minimum deux facteurs de vérification d’identité. Ainsi après avoir entré son identifiant et mot de passe, l’accès reste verrouillé et nécessite d’entrer un second code à usage unique (One-Time Password ou OTP en anglais) reçu via une seconde boîte email, sms ou bien encore via une application qui génère des codes à usage unique tel que Google Authenticator, Microsoft Authenticator ou bien encore Twilio Authy. Les facteurs d’identification peuvent également être biométrique avec l’usage de l’empreinte digitale, la reconnaissance rétinienne ou encore faciale de l’utilisateur.

     

    « A l’heure d’Office 365 et du tout Cloud, les gens doivent utiliser l’authentification multifacteur. Ce n’est plus une option pour la cybersécurité de l’entreprise ! En Europe, il est même obligatoire de proposer la double authentification dans le secteur bancaire. Le RSSI doit être en capacité de suivre cet indicateur phare et son évolution afin de prendre les décisions appropriées pour la sécurité de son entreprise. »

    Baptiste David, Head of PreSales & Delivery, Tenacy

     

    Pilotez le taux de connexion par MFA permet de s’assurer que l’accès aux applications, notamment les plus critiques, soient sécurisées.

  • 5. Le niveau de formation des collaborateurs

    Le cinquième KPI de cet article concerne la mesure du niveau de formation des salariés aux risques cyber. Selon une étude d’un éditeur expert de la sensibilisation des utilisateurs face aux cyber attaques[1], 85% des brèches de données impliquent l’élément humain. La sensibilisation des utilisateurs n’est donc plus à démontrer.

    Mais comment s’assurer que vos collaborateurs aient réellement pris conscience des dangers et pas seulement écouter distraitement lors de la dernière formation cyber ? Si vous suivez le taux de participation aux formations de sensibilisation aux risques et menaces cyber, êtes-vous certains de suivre le bon indicateur ? Est-ce qu’un excellent taux serait gage de bons réflexes de la part des utilisateurs en cas d’attaque ?

     

    « Dire “je fais de la sensibilisation” aujourd’hui cela ne suffit pas. Il faut mesurer cette performance. Et c’est concrètement ce que permet la plateforme Tenacy. »

    Baptiste David, Head of PreSales & Delivery, Tenacy,

     

    Monitorez plutôt le taux de clic de vos utilisateurs lors d’une fausse campagne de phishing ! Plus votre taux est élevé, plus les efforts de sensibilisation de vos collaborateurs seront importants. Vous aurez la visibilité nécessaire pour la mise en place de nouvelles actions préventives. En suivant l’évolution de ce taux de clic, vous aurez la réelle mesure de la sensibilisation de vos usagers et donc la mesure de votre performance !

Vous l’avez constaté en lisant cet article, définir des indicateurs pertinents est primordial pour obtenir la bonne vision de la sécurité de son SI. Votre prochaine étape, et non des moindres, sera de déterminer comment vous allez récupérer et agréger facilement vos datas. Choix des indicateurs, mise en place d’indicateurs, suivi des performances… Pour vous aider, Tenacy met à votre disposition des tableaux de bord SSI personnalisés basés sur des indicateurs mesurables et pertinents. Ouvrir les yeux, c’est le premier pas pour se protéger !