Tableaux de bord SSI : faut-il les abandonner ?

De leur conception à leur mise en forme, en passant par l’épineux sujet de la collecte des données, les tableaux de bord de SSI mènent la vie dure aux RSSI. Complexité de l’environnement, difficultés à engager les contributeurs, outils inadaptés… les raisons ne manquent pas pour expliquer la perte de temps et les frustrations générées, à tel point que certains RSSI seraient presque tentés de baisser les bras en utilisant des tableaux prédéfinis et techniques, fournis par la multitude des solutions technologiques existant sur les réseaux d’entreprise.

Et si la solution consistait à continuer à faire des tableaux de bord, mais autrement ?

Partage

Pourquoi les tableaux de bord SSI restent indispensables

Malgré l’ampleur des obstacles rencontrés dans leur élaboration puis dans leur suivi, les tableaux de bord demeurent incontournables. Non seulement parce qu’ils permettent au RSSI de voir, mais aussi de rendre visible la cybersécurité en générale, et l’action du RSSI en particulier !

Les tableaux de bord pour piloter la sécurité

Aujourd’hui encore, les tableaux de bord SSI restent peu déployés dans les entreprises de plus de 100 salariés. Selon la dernière étude du CLUSIF sur les menaces informatiques et pratiques de sécurité en France (édition 2020), seulement 30% des organisations interrogées (350 au total) en seraient dotées.

Mais à quoi peut bien servir la mise en place d’une politique de sécurité, s’il s’avère impossible ensuite de déterminer le niveau de risque de l’organisation et sa conformité à son (ou ses) référentiel(s) de prédilection ?

La réponse est sans appel : à rien ! Pour protéger l’entreprise, le RSSI n’a d’autre choix que de passer par la case « tableaux de bord », la création d’outils sur–mesure (généralement à base d’Excel) étant le seul moyen pour lui de suivre toutes les actions liées à la SSI et de mettre en place un système d’amélioration continue.

Le tableau de bord joue ainsi deux rôles :

  • D’une part, il renseigne et permet le diagnostic. Le RSSI est ainsi en mesure de contrôler la mise en œuvre effective de la politique de sécurité, et ce à tous les niveaux de l’organisation.
  • D’autre part, il permet de réagir, de décider, c’est-à-dire de maîtriser le niveau de sécurité global de l’entreprise en menant les actions appropriées.

Chaque type de tableau de bord répond par ailleurs à un besoin spécifique, raison pour laquelle les RSSI se doivent d’adopter trois vues (hors le monitoring de ce qui se passe en temps réel) :

  • La vue opérationnelle, pour détecter les anomalies et incidents, préciser les besoins opérationnels à mettre en œuvre notamment
  • La vue pilotage, pour permettre la prise de décision, connaître le niveau de conformité et suivre les tendances
  • La vue stratégique, pour rendre des comptes au COMEX sur la couverture des risques et le niveau de conformité et l’orienter dans ses décisions

Les tableaux de bord comme outils de communication

Tous les RSSI le savent : les enjeux de la cybersécurité sont encore mal connus et mal compris, ce qui a pour conséquence la difficulté à obtenir des différentes parties prenantes (équipes opérationnelles et direction) les bonnes réactions.

Bien conçu, un tableau de bord peut changer les choses, en permettant au RSSI de se positionner non plus comme un technicien, mais bien comme un expert dont la mission principale est de supporter le business.

Dans ce cas, le tableau de bord SSI devient ainsi un outil gagnant/gagnant (servir l’organisation et le RSSI) : le top management apprécie de comprendre rapidement la situation de la sécurité dans l’organisation et se sent aidé dans la prise de décision, tandis que le RSSI augmente ses chances d’obtenir la validation des actions qu’il propose, et le budget qui en découle.

La même remarque vaut aussi pour l’opérationnel. Très souvent perçu comme une contrainte supplémentaire, le tableau de bord peut devenir un outil pour visualiser leur contribution au maintien de la sécurité. A la clé, cela signifie une collecte des données « mieux vécue » par les collaborateurs, et plus d’informations remontées pour le RSSI.

Le tout, sous réserve, bien évidemment, d’en finir avec les tableaux de bord complexes et rébarbatifs !

Comment repenser les tableaux de bord SSI ?

Les tableaux de bord prennent du temps et de l’énergie, parfois pour bien peu de satisfaction à l’arrivée : ils ne sont pas remplis par les équipes, et consultés avec bien peu d’intérêt par la direction. Les RSSI ont donc tout intérêt à concevoir leurs tableaux de bord en allant à l’essentiel.

L’intérêt de limiter les indicateurs

Face à la masse de travail que représentent l’élaboration et le suivi des tableaux de bord, nul doute que tout RSSI ferait bien de se poser deux questions préalables :

  • Dois-je faire figurer dans mon tableau de bord tout ce dont j’aimerais faire part à ma direction/ tout ce que je suis capable de montrer ?
  • L’objectif consiste-t-il à démontrer que je pourrais être ceinture noire d’Excel ?

Dans les deux cas, une réponse négative s’impose !

Encore une fois, le tableau de bord est un outil de pilotage et de communication. A ce titre, il doit présenter uniquement des indicateurs revêtant certaines caractéristiques :

  • Représentativité : il est inutile de faire apparaître des indicateurs qui ne seraient pas reliés à un risque. Mieux vaut cibler, en commençant par identifier un grand risque par métier, et le décomposer. Cette approche permet la comparaison entre la situation actuelle du système de l’information et celle que le RSSI souhaite atteindre et maintenir à terme.
  • Pertinence : les indicateurs pour lesquels il n’existe pas de données disponibles de façon régulière et systématique doivent être écartés, de façon à ne faire figurer dans le tableau de bord que des éléments connus et fiables.
  • Adaptation aux destinataires : les indicateurs à retenir pour un tableau de bord opérationnel ne peuvent pas, par essence, être similaires à ceux utilisés dans un tableau de bord stratégique. Nul besoin donc de faire figurer les causes des incidents de sécurité dans un tableau adressé à un COMEX ! L’information intéressera les opérationnels en capacité de changer leurs pratiques, mais pas le top management, qui n’aura pas la solution et se préoccupe davantage de la stratégie.

L’importance de customiser ses tableaux de bord

Avouons-le : Excel n’est pas sexy ! Pour ne pas décourager les destinataires de ses tableaux de bord, le RSSI se doit donc de ruser, en adaptant sa présentation aux attentes.

Concrètement, un tableau de bord agréable à consulter pour un non-sachant est avant tout synthétique. Un tableau de bord SSI stratégique doit ainsi permettre aux décideurs de comprendre très rapidement où se trouvent les problèmes potentiels, et quel niveau d’investissement consentir pour couvrir le risque. Pour rappel, l’ANSSI (alors nommée DCSSI à l’époque) recommandait déjà en 2004 de se limiter à 6 indicateurs dans les tableaux de bord stratégiques, pour répondre aux besoins des directions de ne disposer que d’informations concises et génériques.

Bien évidemment, la forme compte également : un bon tableau de bord doit aussi être clair, lisible et même « parlant ». Les RSSI, pour améliorer leur présentation peuvent ainsi avoir recours à deux bonnes pratiques :

  • Les représentations visuelles : il est possible de représenter le risque de bien des façons, que ce soit avec un simple schéma en deux dimensions (impact du risque/fréquence par exemple) ou sous forme de radar. Ce type de présentations offre l’avantage de mettre en lumière certains constats, et de soutenir ainsi le discours du RSSI.
  • Les codes couleurs : vert pour signifier la conformité, orange pour alerter sur une non-conformité sans mise en danger du SI, et rouge pour les non-conformités qui révèlent un risque.

Tenacy pour changer d’avis sur les tableaux de bord

Savez-vous qu’il existe désormais un outil conçu par des RSSI pour les RSSI, et qui permet de faire des tableaux de bord plus facilement, plus rapidement, et de façon plus complète ?

C’est l’une des fonctionnalités et atout de Tenacy !

Développée par Excube au sein d’une solution Saas adaptable et collaborative, notre solution de pilotage de la cybersécurité offre la possibilité aux RSSI de mettre au point et de gérer leurs tableaux de bord SSI efficacement, grâce à des fonctionnalités 100% adaptées à leur métier :

  • Paramétrage des indicateurs propres à leur politique de sécurité
  • Indicateurs préconfigurés
  • Construction sur mesure, modulaire et intuitive
  • Gestion dynamique des périmètres et des regroupements
  • Collaboratif (web, rôles et périmètres, workflow et rappels)
  • Collecte multiples (GUI-XLS-API)

Envie d’en savoir plus sur Tenacy ?

Contactez-nous