ARSSI : comment concevoir des indicateurs utiles pour chaque niveau décisionnel

    | 9 min de lecture

Un indicateur de sécurité mal conçu ou mal présenté peut induire en erreur. Cet article montre pourquoi il est essentiel d’adapter les tableaux de bord à leur public cible. Il donne également les clés pour construire des indicateurs réellement exploitables, alignés sur les attentes de chaque niveau de décision.

1. Pourquoi l’indicateur est la clé d’un tableau de bord utile

Bien conçus, les tableaux de bord sécurité facilitent grandement la prise de décision. Mal conçus, ils énumèrent des données abstraites et dénués de sens, ce qui fait perdre du temps et embrouille l’analyse.

Il est important de comprendre que l’indicateur est l’élément clé du tableau de bord. Sa pertinence influe fortement sur la compréhension des messages que l’on souhaite transmettre.

L’objectif d’une mesure va être primordial lors de la construction d’un tableau de bord. Est-ce que l’objectif est de produire un tableau de bord opérationnel afin d’accompagner les équipes exploitantes sur la priorisation des sujets dans le cadre de leurs activités ? Ou alors stratégique afin de faciliter la prise de décision des équipes dirigeantes de l’entreprise ? C’est cet élément qui va déterminer la forme et le message à faire passer dans un tableau de bord.

Grâce à son rôle de garant de la sécurité de l’entreprise et sa connaissance du Système d’Information (SI), le RSSI et son équipe seront en capacité de produire des tableaux de bords et ainsi développer des métriques qui répondent au public cible.

Pour éviter de se tromper, il faut d’abord comprendre comment fonctionne la construction d’un indicateur pour la production d’un tableau de bord sécurité adapté à un auditoire donné.

2. Construire un indicateur pertinent

La construction d’un indicateur est une épreuve délicate. L’absence de patience et de réflexion conduit fréquemment à des erreurs dans la construction des indicateurs. L’indicateur doit par essence mesurer la réalisation d’un objectif de sécurité préalablement défini.

La pertinence va donc dépendre de la capacité de l’indicateur à répondre aux caractéristiques suivantes :

  • La couverture : Le champs d’application de la mesure est représentatif du champ d’application visé
  • La fiabilité : Les résultats doivent être conformes à la réalité
  • La représentativité : L’indicateur illustre correctement l’objectif de sécurité visé

Des besoins plus structurels énoncés dans la norme ISO27004:2016 peuvent compléter ces caractéristiques. Celle-ci a pour objectif d’assister les entreprises à évaluer la performance d’un système d’information et l’efficacité d’un système de management de la sécurité de l’information, exigence requise dans le cadre de l’application de la norme ISO27001.

Un indicateur, pour être valide, doit structurellement répondre alors à deux impératifs :

  • Comparable :  Un indicateur efficace doit être comparable dans toutes les situations et dans le temps. Cela permet un suivi sans faille des objectifs de sécurité. En outre, si la méthode de mesure change, les tests doivent garantir des résultats comparables entre les anciennes et les nouvelles méthodes.
  • Reproductible : Un indicateur doit pouvoir être reproduit en utilisant les mêmes matériaux que pour sa production initiale. Ceci garantit un processus clair et efficace dans le cadre de l’élaboration de celui-ci.

Ces cinq caractéristiques assurent une pertinence avancée des critères suivis de sécurité. Mais il est important de définir aussi pour chaque mesure la fréquence, le collecteur, le seuil d’acceptation et l’évolution.

Une fois que les indicateurs et ses différents éléments clés sont définis, l’étape suivante est d’identifier le public cible du tableau de bord qui lui sera présenté.

3. Adapter le tableau de bord sécurité à l’auditoire

Des attentes différentes selon les publics

Les destinataires des tableaux de bord de sécurité ont des clés de compréhension différentes qui peuvent être diamétralement opposées. Présenter les mêmes indicateurs aux équipes opérationnelles et aux dirigeants est une erreur classique. Outre la barrière technique, les enjeux des tableaux de bord ne seront pas les mêmes.

Nous pouvons mettre en avant deux types principaux de tableaux de bord de sécurité :

  • Le tableau de bord opérationnel : Il va permettre aux équipes en charge de l’exploitation du système de détecter les inefficacités, les dysfonctionnements ou les comportements anormaux sur les actifs liés à leurs activités. Il servira également de levier pour la mise en œuvre d’actions correctives. Cela permettra lors de la prochaine occurrence d’évaluer l’efficacité des mesures pour atteindre les seuils et objectifs fixés.
  • Le tableau de bord stratégique :  Il va permettre au RSSI et son équipe sécurité de donner une vision synthétique de « l’état de santé » du système d’information aux dirigeants. Il démontrera aussi la capacité d’aligner la sécurité sur les objectifs stratégiques de l’entreprise. Cela permet de disposer d’une vision commune sur les axes importants du fonctionnement du SI. Les responsables utiliseront ainsi ce tableau de bord afin de décider des actions à prioriser, allouer les ressources et atteindre les objectifs initiaux.

Il est possible de schématiser l’adressage des tableaux de bord sécurité à partir de deux composantes (Cf. Fig1. Matrice d’adressage de tableau de bord sécurité) :

Choisir les bons indicateurs selon l’auditoire

  • La mobilisation / Temps d’analyse :  Le temps alloué à l’analyse du tableau de bord peut être plus ou moins long.
  • Le niveau de responsabilité de l’auditoire : L’auditoire peut occuper un rôle lié à la production, comme c’est le cas pour les équipes opérationnelles sur le système d’information mais il peut aussi s’agir de responsabilités stratégiques comme les équipes dirigeantes en charge du pilotage de l’entreprise au niveau global.

Ces deux composantes permettent d’établir le type de tableau de bord sécurité le plus adapté.

Dans la mesure du possible, les équipes dirigeantes comme les équipes de production doivent disposer de tableaux de bord sécurité composés principalement de vues graphiques permettant une compréhension claire et rapide du niveau de conformité face à l’objectif souhaité. Cette approche réduit le temps d’analyse et permet de répondre aux contraintes temporelles propres à chaque fonction de l’auditoire.

Le choix des métriques, défini dès la phase de conception en fonction de leur finalité, permet de différencier les deux tableaux de bord. Pour étayer ce point de vue, prenons le cas de deux exemples d’indicateurs adaptés aux différents auditoires :

  • Indicateur à l’attention des équipes de production : Taux d’échec dans le cadre des tests de restauration des sauvegardes. Il permettra de prendre des mesures correctives en cas de taux inférieur au seuil préalablement défini.
  • Indicateur à l’attention des équipes stratégiques : Taux d’avancement du plan d’action de conformité à la norme ISO27001. Il permettra de débloquer ou non des fonds pour une ressource supplémentaire en cas d’avancement trop lent dans la mise en conformité du SMSI face à la norme ISO27001.

Cette schématisation permet d’identifier un troisième tableau de bord, destiné en priorité au responsable global de la sécurité du système d’information. Il devra alors être plus détaillé et nécessitera un temps d’analyse plus long. Il permettra en grande partie d’établir un plan d’action à plus grande échelle et sur une temporalité plus longue dans le cadre de l’atteinte des objectifs de sécurisation du système d’information.  

Conclusion

En synthèse, la réalisation de tableaux de bord sécurité pertinents pour l’auditoire repose sur un élément clé qui est l’indicateur. Celui-ci doit, systématiquement, être formalisé de façon pertinente en respectant au mieux les caractéristiques qui lui sont assignées. Cette stratégie permet de réduire les risques d’erreur et de présentation non-adaptée à l’auditoire.

Cependant, bien que l’indicateur soit important pour matérialiser la complétion ou non des objectifs de sécurité, les messages qui y seront associés seront un élément clé pour assurer la bonne compréhension des enjeux.

Article écrit par Anthony ZORATTI.