sécurité de l'information et gestion des risques informatiques
 
 Accueil 
 Contact 
  
Domaines sécurité
Les enjeux
de la sécurité
Organiser
la sécurité
La gestion
des risques
La continuité
d'activité
Les méthodes
de sécurité
La méthode
Mehari
Les normes
de sécurité

ISO 17799 et BS7799-2

Les aspects juridiques

La sécurité
des échanges

Les types d'attaques

Nos Prestations
Assistance
et conseil
Formations
à la sécurité

Les tableaux de bord de la sécurité de l’information
sp

Pourquoi mettre en œuvre des tableaux de bord de sécurité ?

Certaines directions générales voudraient avoir une réponse claire à leur question : Quel est le niveau de sécurité de mon Système d’Information ? Les indicateurs globaux s'améliorent t'ils ?

Pour apporter une réponse claire deux éléments doivent être définis :

  • Que veut on protéger et avec quels moyens ?
  • Comment contrôler l’efficacité des moyens alloués ?

La première question induit évidemment une analyse des enjeux pour l’entreprise, des risques potentiels et un choix de mesures de sécurité (typiquement une analyse des risques).

A la deuxième question, il est indispensable d’y intégrer des métriques pour les mesures de sécurité définies, intégrer des seuils d’alerte, … Les tableaux de bord sécurité sont la matérialisation de la couverture des risques, la qualité de la politique de sécurité, du suivi des audits, des actions et des alertes….

Si un incident de sécurité peut se définir comme une violation de la politique de sécurité, il faut avoir réfléchi à ce qui est acceptable ou non.

Un tableau de bord sécurité doit se décliner en différents niveaux (2 ou 3) :

  • Décisionnel : vision synthétique de la situation de la sécurité pour la direction générale, que ce soit dans ses dimensions techniques ou fonctionnelles,
  • Pilotage : avancement de la mise en oeuvre des mesures de sécurité par domaine (par exemple les 11 domaines de l’ISO 17799),
  • Opérationnel : indicateurs de disponibilité des réseaux (locaux, distants), l'identification des incidents de sécurité (attaques virales, sauvegardes, comptes utilisateurs …), suivi des mises à niveau (OS, logiciels, progiciels, )…
Dans une entreprise de taille petite ou moyenne , les tableaux de bord Décisionnels et de Pilotage seront souvent fusionnés.

sp spacer

sp

Comment établir un tableau de bord ?

Les tableaux de bord de sécurité doivent être constitués à partir :

  • d'objectifs de sécurité issus d'une analyse de risques (Mehari, …),
  • de règles de sécurité issues d'une politique de sécurité (ISO 17799, ..),
  • d'actions de sécurité issues des mesures de sécurité et des contrôles définis.

La démarche de mise en œuvre de tableaux de bord doit faire l’objet d’une organisation de projet (ressources, moyens, objectifs, …). Mais sans avoir travaillé sur une analyse des risques et défini une politique de sécurité, le choix des indicateurs sera forcément hasardeux (ou plutôt non corrélé aux besoins de sécurité).

Pour chaque règle de sécurité définie, il faudra définir un ou des indicateurs, et pour chacun d’entre eux identifier :

  • le mode de calcul de l’indicateur,
  • le mode de constitution de l’indicateur (attention aux indicateurs alimentés manuellement),
  • le seuil et/ou la valeur cible ,
  • la présentation de l’indicateur .

 

pix1 pix2 pix3 pix4