Les tableaux de bord de SSI mènent la vie dure aux RSSI. De leur conception à leur mise en forme, en passant par l’épineux sujet de la collecte des données. Dans cet article, nous vous donnons les clés pour réussir vos tableaux de bord sécurité SSI. Comment choisir les indicateurs de suivi pour les tableaux de bord SSI ? Quels sont les indicateurs SSI conformes aux exigences de la norme ou du référentiel suivi ? Quels outils choisir pour piloter la mise en œuvre de la PSSI ? Découvrez nos conseils ainsi qu’un cas pratique avec le Département de la Haute Garonne.
Un tableau de bord SSI est un atout pour améliorer la qualité des services de sécurité. Et ainsi maîtriser le niveau de sécurité global de sécurité des systèmes d’information. Une mise en œuvre d’un plan opérationnel de la PSSI contribue à contrôler la déclinaison de la PSSI. Elle permet :
Afin de s’assurer que les objectifs sont atteints, il sera important que le RSSI valide au préalable avec sa direction et avec les responsables métiers quelles sont leurs attentes en matière d’indicateurs. Leur choix n’est donc pas anodin, et il faut trouver un juste équilibre entre la facilité à les établir et leur utilité.
Il est recommandé de se constituer un portefeuille minimal d’indicateurs, qui servira de socle de base. Leurs mesures devraient à minima être collectées tous les trimestres, afin que les indicateurs puissent être calculés, analysés et reportés à la même fréquence. Selon le contexte de l’organisation, il peut être nécessaire de le modifier. En tout état de cause, il est très utile de constituer un document de référence qui décrit les indicateurs choisis et leur mode de calcul.
Exemples d’indicateurs
Pour assurer la sécurité de leurs informations sensibles, les organisations peuvent s’appuyer sur la famille de normes ISO/IEC 27000. ISO/IEC 27001 est la norme de cybersécurité la plus connue de cette famille qui n’en compte pas moins d’une douzaine. Elle définit une méthodologie pour identifier les cyber-menaces, maîtriser les risques associés aux informations cruciales de votre organisation, mettre en place les mesures de protection appropriées afin d’assurer la confidentialité, la disponibilité et l’intégrité de l’information.
La norme ISO 27004 fournit des bonnes pratiques pour évaluer le niveau d’efficacité de son Système de management de la sécurité d’information (SMSI). La norme aborde les tableaux de bord et les indicateurs à la bonne gestion d’un SMSI. Ces indicateurs et tableaux de bord permettent à la direction des systèmes d’informations d’établir une relation entre la cible à atteindre (lors de l’établissement d’un SMSI) et les écarts existants sur le système d’information actuel de l’entreprise.
Le site de l’ANSSI présente un panorama des textes réglementaires en matière de sécurité numérique relatifs à la protection des systèmes d’information, à la confiance numérique, ainsi que, plus spécifiquement, à la cryptographie ou à d’autres réglementations techniques.
Le CD31 a partagé son retour d’expérience sur l’intégration de la composante sécurité aux projets de transformation numérique, lors du CoTer Numérique. La direction générale du département a été interpellée par les chiffres liés à la cybersécurité. En effet, depuis le début de la crise sanitaire +400 % de cyber menaces ont été recensées ! Pour coordonner tous les actions et projets découlant de cette politique de sécurité des systèmes d’information, la collectivité a choisi le logiciel Project Monitor. Un logiciel de gestion de portefeuille projets, permettant notamment la mise en place de tableaux de bord, véritable cockpit de pilotage de la cybersécurité.
Véritable cockpit du pilotage de de la cybersécurité, Project Monitor donne une vison à 360°. Des vues globales, intégrables dans un reporting au top management jusqu’aux vues opérationnelles permettant de prendre des décisions rapides sur les actions à prioriser.
Facilitez la gestion de votre portefeuille projets avec un seul logiciel. Planifiez, gérez, priorisez et visualisez votre portefeuille projet en quelques clics. Avec Project Monitor, facilitez le travail de vos équipes projets autour de toutes les parties prenantes du portefeuille. Vous suivrez et organiserez simplement vos projets, quel que soit leur niveau de complexité