| |
|
 |
| Tableaux de bord de SSI |
|
|
| |
Les principes de gouvernance appliqués à
la gestion de risques liés au système d'information imposent
la mise en œuvre, à différents niveaux décisionnels
de l'entreprise, d'un dispositif de pilotage permettant de mesurer le
déploiement de la stratégie de sécurité adoptée
et sa pertinence à l'égard des risques majeurs susceptibles
d'affecter les activités clés.
La pertinence des moyens de sécurité déployés
peut s'appréhender au travers d'un système d'indicateurs
fournissant des éléments de réponse aux questions
suivantes :
|
|
| |
|
| |
 |
Quel est le degré d'exposition résiduel
de l'entreprise (ou de certaines de ses activités) aux risques
liés au système d'information, compte tenu des enjeux
pour le business que ce dernier représente ? |
| |
|
Quelle est la capacité des processus de sécurité
déployés à piloter, évaluer, réduire,
surveiller et contrôler ces risques ? |
|
|
Quelles sont l'efficacité et l'efficience
obtenues, notamment au regard des incidents avérés,
des pertes constatées, des efforts déployés
? |
|
|
|
| |
Au-delà d'une interprétation très
variée de la notion de " tableaux de bord " qui ne facilite
pas l'appréhension de la problématique, on observe fréquemment
une confusion entre les notions de suivi " opérationnel
" ou " décisionnel " de la sécurité
: |
|
| |
|
| |
|
Le premier a vocation, principalement,
à fournir de l'information a posteriori, à dominante
statique (en général issue de statistiques), souvent
produite à l'aide d'outils implantés au niveau des
infrastructures informatiques et télécoms (sondes,
dispositifs de surveillance, outils de QoS, …) |
|
|
Le second a vocation à servir
de véritable dispositif de pilotage proactif de la sécurité
; il peut se révéler délicat à élaborer
et à mettre en œuvre car : |
 |
Les procédures associées sont en général
inexistantes ; |
|
Les outils de collecte des indicateurs analytiques
nécessaires sont souvent complexes à mettre en œuvre
(par exemple ceux basés sur des modèles tels que le
" Balanced SoreCard "), dans un marché où
l'offre est très embryonnaire. |
|
|
|
| |
Démarche préconisée par LYNX
TECHNOLOGIES |
|
|
| |
Dans le contexte de complexité actuelle, l'approche
imaginée par Lynx Technologies en matière de conception
et de mise en place de tableaux de bord de sécurité SI se
veut avant tout pragmatique. Elle s'appuie sur un concept méthodologique
clé destiné à augmenter progressivement la confiance
dans le système d'indicateurs qui se caractérise par : |
|
| |
|
|
| |
|
Un ciblage préalable à la réflexion,
centré sur les missions et objectifs prioritaires des destinataires
des tableaux de bord à l'égard de la sécurité
du SI ; |
| |
|
La mise en place d'un système simplifié
d'indicateurs qui apporte une visibilité rapide
sur la faisabilité, au prix éventuel de certaines
imprécisions / tolérances ; |
|
|
Un enrichissement progressif du dispositif
initial (automatisation, augmentation de la précision), favorisée
par une prise de conscience progressive du management de la valeur
ajoutée générée. |
|
|
|
| |
|
Résultats fournis |
|
|
| |
|
A l'issue de la réflexion, le client dispose : |
|
| |
|
|
| |
|
De la modélisation de la structure
cible du tableau de bord de sécurité du système
d'information, sur le périmètre retenu pour l'étude
; |
|
|
D'un plan de mise en œuvre du dispositif,
chiffré (coûts d'investissements et de fonctionnement),
mettant en évidence les priorités à court terme
afin d'obtenir des éléments rapidement visibles. |
|
 |
| |
|
|
|
