Vous souhaitez renforcer les processus de pilotage de votre cybersécurité et de votre conformité en utilisant un outil adapté à vos besoins ? Alors votre première étape clé dans la planification de ce projet est la rédaction d’un cahier des charges. Il permet de définir clairement les besoins et les attentes de votre entreprise. Mais au-delà des fonctionnalités essentielles et de la définition du niveau de services requis (formation, mise à jour, support utilisateur…), comment rédiger ce cahier des charges efficacement ? Et quels sont les pièges à éviter ?

Dans cet article, découvrez les étapes de rédaction de votre cahier des charges accompagnées de séries de questions pour vous aider à approfondir vos exigences et besoins.

1.     Définissez les fonctionnalités dont vous avez besoin

L’accent du cahier des charges est mis sur les fonctionnalités qui vont vous permettre de mesurer la performance de la cybersécurité de votre entreprise.

Un système d’information est un environnement en perpétuelle évolution. Il est donc important de définir des indicateurs de performances (KPI) qui soient pertinents dans le but de les suivre dans le temps afin de mesurer l’évolution de la cybersécurité de votre entreprise. Listez alors les indicateurs de performance des mesures de sécurité opérationnelles comme le taux de réussite des tests de pénétration, le temps de réponse aux incidents de sécurité ou bien encore les taux de détection des applications d’antivirus. Mais pensez également à la mesure de la performance du niveau d’avancement des différents projets de cybersécurité lié à l’application de votre politique des systèmes de sécurité informatique (PSSI) tels que des plans d’actions et des plans de contrôle. Une fois les indicateurs listés, réfléchissez à la visualisation des informations et à la communication de ces KPI auprès de vos différents interlocuteurs.

Posez-vous également ces questions :

• Quels sont les différents types de données que la solution recense ? Des métriques mais aussi des états d’avancement, des commentaires ou bien encore des plans d’action ?
• La solution possède-t-elle des indicateurs d’agrégation (de temps, de périmètre…) pour effectuer les reportings et visions consolidées pour ma direction ?
• Comment se gère la gestion des différents rôles (administrateurs, contributeurs, lecteurs…) ?
• Puis-je déléguer la saisie d’indicateurs à certains utilisateurs ?
• Un système d’approbation de certaines actions est-il permis afin d’avoir un contrôle de second niveau ?
• Est-ce que des saisies de preuve pour la réalisation d’action périodique peuvent être exigées en obligatoire (comme la mise à jour d’un logiciel à fréquence régulière par un contributeur de la plateforme) ?
• Est-ce possible de comparer un KPI sur plusieurs périmètres (par exemple, entre les filiales d’un groupe ou entre différents services) ?
• Est-ce que l’outil fournit des rapports détaillés pour aider les utilisateurs à prendre de décisions éclairées ?
• Comment s’effectue le partage d’un ou de plusieurs tableaux de bord ?

Au-delà de la visualisation des indicateurs de performance, l’outil de pilotage doit aussi permettre de suivre l’ensemble des projets de cybersécurité de votre entreprise : suivi des statuts d’avancement, du reste à faire, ou bien encore des plannings et des jalons. Mais votre future solution doit vous permettre d’identifier les projets en retard. Listez également vos besoins quant à la mise à jour.

Veillez également à vous interroger sur les axes suivants :

• Un suivi par projet peut-il être délégué aux utilisateurs concernés ?
• Quels sont les types de données qui peuvent être recueillis (ajout de pièces jointes, de commentaires ou bien changement de statut…) ?
• Pouvez-vous suivre les projets sur un périmètre donné ? Et au contraire pouvez-vous également suivre le pilotage des plans d’action sur l’ensemble des sites ?
• Pouvez-vous estimer les ressources (coût, temps) requises pour mettre en place un projet de sécurité dans l’outil de pilotage ?
• Pouvez-vous cartographier vos fournisseurs, piloter leurs évaluations de sécurité et leur associer un indice de criticité ?

Un autre pan de votre cahier des charges s’attachera à définir vos besoins de pilotage en matière de conformité informatique. Votre solution doit vous permettre de mesurer et suivre dans le temps le niveau de conformité de votre organisation sur l’ensemble des normes applicables à votre entreprise (ISO 27001, guide l’hygiène de l’ANSSI, PCI-DSS, HDS, 3CF, SWIFT, SecNumCloud, DORA…) ainsi que vos propres politiques internes. Mais pensez également aux évolutions des normes comme la version 2022 de l’ISO 27002 ou la directive NIS2. L’outil doit prendre en compte les évolutions de ces normes et mettre à jour automatiquement les indicateurs de suivi.

Assurez-vous de vous questionner également sur les sujets suivants :

• Comment fonctionne la modélisation des normes et politiques dans l’outil ?
• Puis-je effectuer une évaluation d’un ou plusieurs tiers (fournisseurs, partenaires, filiales) à partir d’un référentiel configurable ?
• Quels types de preuves puis-je mettre en face d’une déclaration de conformité ? Puis-je indiquer des commentaires, joindre des fichiers, noter des indicateurs ?
• L’outil dispose-t-il d’un catalogue de normes prêt à l’emploi ?
• Une évaluation de conformité est-elle reliée à des actions correctives ou de mise en conformité ?
• Comment sont pilotées les non-conformités et la justification du traitement des écarts remontés lors des audits ?

Dans votre futur outil de pilotage, assurez-vous également de pouvoir suivre les incidents de sécurité (traçage, inventaire, consignation) et d’avoir des indicateurs sur leur correction. Vous devez également avoir la possibilité de suivre les exceptions de sécurité, c’est-à-dire les autorisations de dérogation aux mesures définies dans vos politiques de sécurité, qu’elles soient temporaires ou permanentes.

Pour approfondir votre réflexion, pensez aux questions suivantes :

• L’outil de pilotage vous permet-il de lier des actions de remédiation aux incidents de sécurité ?
• Pouvez-vous lier des actions aux dérogations ? Pouvez-vous les trier en fonction de statuts, les commenter, valider les demandes ou bien encore y associer des contre-mesures ?

2.     Etablissez vos exigences de services au-delà des fonctionnalités

La solution de pilotage de la sécurité ne peut pas être un outil isolé du reste de votre système d’information. Au contraire, il doit s’interconnecter à un ensemble de solutions techniques permettant de collecter de manière automatique les données des différentes solutions de sécurité. SIEM, annuaire d’entreprise, EDR, applications cloud… Autant d’environnements sur lesquels l’outil de pilotage doit pouvoir récupérer des informations automatiquement.

Précisez votre besoin et obtenez les réponses à ces questions :

• Comment la plateforme peut-elle s’intégrer à vos outils de sécurité existants ? Et quels vont être les efforts nécessaires pour intégrer la plateforme dans mon infrastructure existante ?
• Quels sont les connecteurs déjà mis en place par la solution ? Correspondent-ils à vos besoins ?
• Le cas échéant, est-ce que le fournisseur de la solution peut mettre en place de nouveaux connecteurs pour répondre à votre besoin ?

Pour garantir une adoption de la solution de pilotage, il est essentiel que les utilisateurs naviguent facilement et trouvent simplement les fonctionnalités recherchées. En cela, l’interface utilisateur doit être conçue de manière ergonomique et intuitive. Ne sous-estimez pas les pertes liées à la mauvaise expérience utilisateur : perte de temps, démobilisation, temps de formation plus long, augmentation du risque d’erreurs ou de problèmes d’utilisation…

De plus, vous pouvez vous interroger sur les thèmes suivants :

• Est-ce que l’interface utilisateur est personnalisable, tels que la personnalisation des tableaux de bord et des rapports ?
• Est-ce que l’outil offre des fonctionnalités de collaboration pour permettre aux utilisateurs de travailler ensemble sur des projets de sécurité ?

La solution proposée doit s’accompagner d’une assistance par l’éditeur tout au long du contrat. Bénéficier d’un support aux utilisateurs est indispensable. La définition des canaux de communication et des plages horaires de l’assistance doivent être définies. Mais interrogez-vous également sur la correction des défauts de fonctionnement constatés et sur la montée en compétences des utilisateurs sur ce nouvel outil.

• Quel est le niveau de support offert par le fournisseur de la plateforme en termes de temps de réponse, d’assistance technique et de résolution de problèmes ?
• Quelle est la méthodologie d’intégration (feuilles de route SSI, plan de contrôle, suivi des risques) ?
• Quelles sont les formations prévues et leurs modalités ? Comment se déroule l’onboarding des utilisateurs ?

3.   Soyez prévoyant et incluez vos exigences complémentaires pour l’avenir

La plateforme se doit d’évoluer selon vos besoins et d’être fiable. Mais alors comment s’en assurer ?

Vous le savez, la cybersécurité est un domaine en constante évolution, où les changements sont nombreux et rapides. Vous devez constamment vous adapter à de nouvelles contraintes et enjeux, tels que l’augmentation du nombre d’utilisateurs, l’augmentation du volume de données, la modification des solutions de cybersécurité dans l’écosystème ou bien encore l’ajout de nouveaux services à votre organisation. Pour répondre à ces défis, il est essentiel que l’outil de pilotage de la cybersécurité puisse s’adapter à cette évolution continue. Il doit être capable de s’ajuster rapidement et efficacement aux nouvelles exigences. C’est pourquoi, votre cahier des charges doit vous permettre de choisir un outil de pilotage de la cybersécurité fiable et évolutif, sans prestation supplémentaire.

• Comment créer un nouvel utilisateur ou changer facilement les droits d’un utilisateur ?
• La plateforme est-elle capable de gérer une charge importante en termes de nombre d’utilisateurs et de volume de données ? Et comment gère-t-elle l’expansion future des besoins de l’entreprise ?
• Comment faire évoluer son périmètre en intégrant de nouvelles politiques de sécurité ? De nouveaux fournisseurs ?
• Est-ce qu’un environnement de sandbox est disponible pour tester les nouvelles fonctionnalités ou les imports ?

Le dernier point de cet article, et non des moindres, concerne la performance et la fiabilité de l’outil de pilotage. Respect des bonnes pratiques de développement du code (le fameux concept de Security by design), gestion de la disponibilité de la plateforme, confidentialité des données hébergées, gestion des incidents… Vérifier que l’éditeur est conforme à vos exigences de sécurité.

Complétez votre réflexion avec ces quelques questions :

• Les données sont-elles hébergées sur le territoire français ? L’hébergeur est-il certifié SecNumCloud pour répondre aux standards de sécurité de l’ANSSI ?
• Est-ce que la solution est compatible avec de l’authentification forte ?
• Quelles sont les certifications de l’éditeur ?

En conclusion

Élaborer un cahier des charges pour un outil de pilotage de la cybersécurité et de la conformité est une étape clé du projet, qu’il ne faut pas négliger. N’hésitez pas également à rechercher ou à réclamer des témoignages des clients afin d’obtenir une vision claire de la performance et de la fiabilité de l’outil, et des avantages qu’il offre pour votre entreprise. Vous pourrez ainsi vous faire une idée de la facilité d’utilisation de l’outil, de la qualité du service client, de l’efficacité du suivi des indicateurs de performance et de la conformité réglementaire, ainsi que de la capacité de l’outil à s’adapter aux besoins de votre entreprise.

Parlons-en ensemble, un expert Tenacy vous répondra précisément sur chacun de vos besoins !