Tableau de bord sécurité

Le tableau de bord du responsable sécurité

La mise en action d'une politique sécurité se déroule selon un processus d'amélioration continue. Le responsable de la sécurité du système d'information sera assisté d'un tableau de bord de pilotage afin d'assurer un déploiement conforme aux attentes et de mesurer efficacement la performance des solutions sélectionnées (prévention, détection et plan de continuité) dans une logique de progrès permanent.
Toutes les entreprises ne disposent pas d'un acteur à temps plein attitré à la sécurité. Le pilotage effectif de la sécurité demeure dans tous les cas un impératif. Il sera assuré par un membre de la DSI, proche de la direction générale.

Conception du tableau de bord sécurité

Le tableau de bord de la sécurité est un tableau de bord de pilotage à part entière. Il n'est pas un recueil d'indicateurs piochés ci et là au fil des lectures ou de conseils des fournisseurs de solutions. Le choix des indicateurs et la structure du tableau de bord découlent directement de la politique de sécurité informatique, élaborée au préalable, des specificités de l'entreprise et du système d'information.
Pour bâtir un tableau de bord garant d'un pilotage maîtrisé de la sécurité des systèmes d'information, il n'est d'autre solution que de profiter du cadrage de conception et de réalisation d'une méthode aguerrie comme la méthode Gimsi.

La conception d'un tableau de bord en 5 points clés

1. Identifier les axes de progrès. Une politique sécurité correctement préparée détaille en différents volets l'orientation stratégique, les finalités, les voies pour y accéder, les moyens nécessaires. Elle se fonde aussi sur une précise analyse de risques. Les axes de progrès à piloter découlent en ligne directe de cette étude.
   Quelques pistes issues de l'expérience terrain :
   La sensibilisation active des utilisateurs et partenaires aux mesures de prévention est une brique maîtresse de la sécurité du système d'information d'entreprise. Cette tâche est partie intégrante du rôle du responsable sécurité. La qualité du feed back (signalisation systématique d'incidents, suggestion de nouvelles précautions, critiques constructives des plans de reprises) peut être la mesure de l'efficacité des actions engagées, séminaires, formations, webinars, publications...
2. Identifier les objectifs specifiques à la démarche de sécurité. Les objectifs sont concrets. Ils s'expriment quantitativement et qualitativement, matérialisent la direction à suivre et fixent la métrique de la mesure de la performance. Cette seconde étape est fondamentalement le passage de la vision théorique et des souhaits aux réalités pratiques et à l'action de terrain.
3. Définitions des indicateurs de performance KPI (Key Performance Indicators). L'étape de choix des indicateurs de performance n'intervient qu'en troisième lieu. Les indicateurs de la performance orientent non seulement les actions mais fixent aussi le rythme de la démarche. Pour un pilotage maîtrisé, les indicateurs de performance sont choisis selon la grille de lecture établie au cours des deux premières étapes.
   Les indicateurs d'efficacité orientés selon les axes choisis seront équilibrés avec les indicateurs financiers et de productivité.
   Quelques pistes pour le pilotage opérationnel
   • détections d'alertes,
   • analyse des anomalies logs,
   • des tentatives d'intrusions,
   • suivi des corrections logiciels,
   • suivi des mises à jour des versions logiciels,
   • résultat des audits et tests "blancs" de vulnérabilité....

   La sécurité, notamment la prévention, représente un coût significatif. Encore faut-il en démontrer l'efficience et le bon emploi des budgets consacrés. Le progrès s'exprimera en terme d'amélioration de la qualité et de la fiabilité du service et de l'accroissement de la confiance des utilisateurs et partenaires. C'est ainsi qu'il s'agit de mesurer le ROI, Retour sur Investissement.

4. La collecte des données

5. Le design du tableau de bord

Sur le même sujet

• Sécurité Informatique
• Sécurité des données
• Sécurité ISO 27001
• Sécurité des échanges et communication
• Terminologie de la sécurité internet
• Le responsable sécurité RSSI

Les ouvrages de référence

Les nouveaux tableaux de bord des managers Livre de référence 4ème éd. 2008 Eyrolles Le projet décisionnel en totalité Voir la fiche détaillée

L'essentiel du tableau de bord Guide pour concevoir le tableau de bord de gestion sous Excel Microsoft 2ème éd. 2008 Eyrolles Voir la fiche détaillée

  Recommandez cet article

     
              

---

Copyright : © Alain FERNANDEZ 1998-2010 Tous droits réservés Mentions légales

---