En tant que RSSI, votre priorité est de maintenir la sécurité des systèmes d’information de votre entreprise en améliorant constamment ses performances en matière de cybersécurité. Pour y parvenir, vous devez identifier des indicateurs clés dans le but de surveiller et évaluer les performances de votre entreprise. L’interprétation de ces données peut être un défi au quotidien, notamment pour votre direction générale. Alors comment savoir si vous êtes au bon niveau de sécurité ou si vous êtes plus vulnérable aux attaques que les entreprises de votre secteur ?
C’est là qu’intervient la nouvelle fonctionnalité « benchmark » de notre plateforme Tenacy. Elle vous aide à donner du contexte à vos KPIs et à évaluer si votre entreprise a atteint ses objectifs en matière de sécurité et de conformité. Dans cet article, nous allons explorer cette fonctionnalité et vous montrer comment vous pouvez l’utiliser pour interpréter vos données de manière plus efficace et prendre des décisions plus éclairées en matière de cybersécurité.
L’évaluation de sa propre performance en cybersécurité
L’évaluation de la cyber-performance de son organisation est une des clés permettant de garantir la protection de ses actifs informatiques et de ses données (sensibles ou non), ainsi que la confiance de ses clients et partenaires. Mais de quoi parlons-nous concrètement et comment l’évaluer ?
La notion de performance en cybersécurité
Ce concept renvoie à la capacité d’une entreprise à sécuriser son environnement informatique et ses systèmes d’information face à une multitude de cyber menaces en constante évolution. Cette notion englobe la mise en place de politiques de cybersécurité solides, l’application de normes et référentiels de sécurité reconnus et la mesure régulière des performances de l’entreprise via des indicateurs clés de performance (KPIs). Il est alors nécessaire de collecter de la donnée pour se projeter sur une norme ou un référentiel quelconque afin de mesurer sa performance. À chaque politique de sécurité correspond alors un score ou des actions régulières à effectuer. Baptiste David, Product Evangelist chez Tenacy rappelle tout de même que « dire que vous faites ne suffit pas ! Pour évaluer sa performance, il faut y apporter la notion de contrôle des opérations, avec la vérification des tâches récurrentes, et le suivi de la mesure de la performance autour de tableaux de bord avec les KPIs issus des plateformes de cybersécurité de l’entreprise. »
Qu’est-ce qu’un bon indicateur ?
Démarrons par la distinction entre un indicateur d’activité qui, selon Baptiste David « est complètement inutile car c’est une valeur qui ne permet aucune prise de décision » et un indicateur de performance, qui lui est un ratio mettant en évidence l’atteinte d’un objectif.
Par exemple, le nombre de personnes qui cliquent sur une campagne de phishing ne permet pas de mesurer la performance de la sensibilisation des collaborateurs. En revanche, fixer un objectif tel qu’avoir moins de X % de personnes qui cliquent permet de quantifier la performance et de déterminer si elle est satisfaisante ou non.
Autre exemple concernant la mesure de la performance d’un programme de sensibilisation des VIP d’une organisation (soulignons que nous parlons ici des personnes à risques qui peuvent être la cible d’attaquants et pas seulement la direction générale) : l’indicateur « participation des VIP aux ateliers de sensibilisation » peut être utilisé pour calculer un score de conformité en fonction des politiques et normes de l’entreprise.
Définir les bons indicateurs de performance est donc la première étape du processus d’élaboration de la performance en cybersécurité.
La nécessité de suivre l’évolution des indicateurs dans le temps
Avoir les bons KPI ne suffit pas. La seconde étape du processus consiste à suivre leur évolution dans le temps. En effet, les indicateurs de performance varient en fonction de nombreux facteurs (changements technologiques, nouvelles menaces, ajustements dans les politiques de sécurité…). En suivant l’évolution des indicateurs dans le temps, vous pouvez mesurer les retombées des actions correctives mises en place et détecter les fluctuations et les tendances. Vous avez entre les mains les pistes de compréhension des forces et des faiblesses de votre politique de cybersécurité.
L’importance des parties prenantes
L’évaluation de la performance ne se fait pas seule. En tant que RSSI vous avez besoin des acteurs internes de votre entreprise. Responsables métiers, équipes informatiques et utilisateurs finaux détiennent les connaissances et les expertises spécifiques. Leur implication est cruciale pour accéder aux ressources nécessaires à l’évaluation de la cybersécurité de votre entreprise. Seul, vous ne pouvez pas trouver l’information dont vous avez besoin.
L’importance de la comparaison de sa performance en cybersécurité
L’interprétation de ces KPIs représente un défi, en particulier pour les membres de votre direction générale. Il est donc essentiel d’établir un cadre de référence permettant de comprendre les performances et la posture cyber de votre entreprise et de les comparer à celles de vos concurrents. Avec cette approche structurée, la prise de décision en matière de cybersécurité sera éclairée et facilitée. Mais comment y parvenir ?
Se comparer aux autres : impossible sans un outil adapté
Pour comparer votre performance, vous avez besoin d’une perspective objective du marché et d’éviter les biais ou croyances internes qui fausseraient l’interprétation des indicateurs. Avoir une vision externe est alors indispensable. Le recours à un benchmark vous permet de vous comparer à des organisations similaires et de mesurer votre performance relative. Il va sans dire que le choix du référentiel doit être adapté à votre taille d’entreprise et votre secteur d’activité. Une PME ne se compare pas à une entreprise du CAC40, et les mêmes contraintes de sécurité d’une entreprise du secteur bancaire diffèrent de celles d’une usine de production. Réaliser un tel comparatif est mission impossible sans un outil.
C’est pourquoi, Tenacy propose une nouvelle fonctionnalité dans sa plateforme de gouvernance : Benchmark. Vous pouvez désormais comparer vos scores de conformité aux politiques publiques de sécurité avec ceux de vos pairs. [NDLR : Nous tenons à vous rassurer tout de suite, il s’agit bien évidemment de données totalement anonymisées].
La comparaison pour donner du contexte et comprendre son niveau de performance
Devez-vous vous satisfaire d’un KPI à 80% ? Impossible d’y répondre sans contexte ni élément de comparaison. Un benchmark permet l’interprétation des résultats et de « commenter un score pour ceux qui ne connaissent pas le domaine ou pour ceux qui n’ont pas la culture risque » souligne Baptiste David. Effectivement, pouvoir donner du contexte et des points de référence à un indicateur de performance en cybersécurité, permet de le commenter à un instant T et de suivre son évolution également.
En se comparant aux entreprises similaires à la vôtre, vous avez en main les clés de compréhension du taux de performance. Même si en tant que RSSI, vous avez cette connaissance du contexte, cela vous permet de donner des éléments de lecture auprès des personnes non expertes comme votre Comité de Direction. À ce sujet Baptiste David rappelle que « pour comprendre les KPIs de cybersécurité, il faut une maturité et une connaissance spécifique. Le benchmark va servir au RSSI qui doit parler sécurité à des personnes qui n’ont pas de connaissances ou de maturité cyber, généralement les membres du COMEX. Il donnera des éléments factuels pour pouvoir commenter les résultats et d’appréhender la notion de risque qui consiste à dire : “regardez, nous ne sommes pas bons alors que les autres y arrivent. Le problème, c’est bien nous.” et d’amener à des prises de décision éclairées pour remédier aux problèmes. »
La comparaison pour faire prendre conscience de ses points faibles
La comparaison permet de mettre en évidence les écarts et les lacunes potentielles afin de renforcer sa posture de cybersécurité. Une entreprise qui est plus mauvaise que les autres sur un item sera plus vulnérable aux attaques que les autres. Mais attention cependant aux fausses croyances : « Ce n’est pas parce que vous avez un bon score que vous ne risquez rien, alerte Baptiste David. Celui qui a le plus mauvais score, même avec un indicateur jugé “bon”, à plus de risque de se faire attaquer que les autres. Et à l’inverse, ce n’est pas parce que vous êtes le meilleur que vous ne risquez rien. Des entreprises certifiées et conformes peuvent aussi se faire attaquer. Il faut éviter le faux sentiment de sécurité. Le risque zéro n’existe pas. ».
La comparaison pour renforcer sa crédibilité et mieux communiquer
La comparaison avec des références pertinentes, telles que des entreprises similaires à la vôtre, renforce la crédibilité de votre entreprise en matière de cybersécurité. En mettant en place des plans d’action pour améliorer votre niveau de sécurité, vous êtes en capacité de suivre vos indicateurs et d’évaluer si vous comblez les lacunes par rapport aux autres. Cette comparaison facilite également la communication des enjeux cyber auprès de personnes non expertes, démontrant ainsi votre engagement dans l’amélioration continue de la performance de votre entreprise dans ce domaine.
Conclusion
Vous l’avez compris, la comparaison de la performance n’empêchera pas les risques et il faut vous prémunir du faux sentiment de sécurité, lié à la bonne conformité de votre entreprise. Mais savoir se situer par rapport aux autres vous permet de donner du contexte à vos résultats et indicateurs de performance. Terminons cet article par une bonne pratique conseillée par Baptiste David : « Pour que la démarche de comparaison soit intéressante, faites-le avec franchise et transparence. Ne vous surestimez pas ou ne sous-estimez pas en se disant “vu que je vais être comparé, je dis que je suis meilleur” ou “au contraire, pour obtenir des budgets supplémentaires, je vais montrer que je ne suis pas bon” ».