Escolar Documentos
Profissional Documentos
Cultura Documentos
INDICATEURS SECURITE
Guide pratique pour un tableau de bord scurit stratgique et oprationnel
Promouvoir l'usage des systmes d'information comme facteur de cration de valeur et source d'innovation pour l'entreprise
Indicateurs scurit
Guide pratique pour un tableau de bord scurit stratgique et oprationnel
Publications du CIGREF en 2006-2007 Analyse et Gestion des risques dans les grandes entreprises : impacts et rles pour la DSI Baromtre Gouvernance SI : Evaluer sa dmarche de gouvernance du systme dinformation Changement et transformation du SI : Note de synthse Exemples doffshoring : Retours dexpriences et leons apprises au sein de grandes entreprises Faire face aux changements de primtre dentreprise : guide de survie lusage des dirigeants en cas de changement de primtre dentreprise Gestion des actifs immatriels : kit de dmarrage et tudes de cas Les dossiers du Club Achats : Synthse des activits 2007 Management dun Centre de Services Partags informatiques : Quels modles ? Quels bnfices pour lentreprise ? Quels impacts sur le mtier de DSI ? Marketing de la DSI : Cadre de mise en uvre Outil de scnarisation prospective des besoins Ressources Humaines de la SI : Facteurs cls de lvolution des mtiers et des comptences Pilotage conomique du Systme dinformation : Prsentation des cots informatiques et fiches damlioration par processus Plan Stratgique Systme dInformation Tableau de bord des Ressources Humaines : Indicateurs clefs Tableau de bord Scurit : Indicateurs clefs de la scurit systme dinformation
Indicateurs scurit
Guide pratique pour un tableau de bord scurit stratgique et oprationnel
Le CIGREF tient remercier les personnes qui ont particip llaboration de ce document, pour leurs conseils, expriences et suggestions damlioration. Nous tenons remercier tout particulirement :
Xavier Bernaert Alain Bouill Brigitte Cohen Alain Delboy Jrme Galerne Emmanuel Garnier Jean-Claude Gaume Eric Grospeiller Jean-Christophe Krebs Franois Jolivet Christophe Moreau Guy Nicolas Jean-Marie Pilot Didier Quincerot Colette Rodionoff Marie-Christine Sudre Jean Vergnoux
LVMH Caisse des Dpts BNP Paribas Air Liquide Auchan Systalians GMF ANPE Crdit Agricole SA Socit Gnrale MAAF Nexans CNAV SMABTP EDF GMF Renault
Cette activit a t pilote par Alain Bouill, RSSI Groupe Caisse des Dpts Ce document a t rdig par Stphane Rouhier, charg de mission au CIGREF
Indicateurs scurit
Guide pratique pour un tableau de bord scurit stratgique et oprationnel
Sommaire
1 Contexte et objectifs............................................................................................................. 7 2 Destinataires ......................................................................................................................... 8 3 Liste des indicateurs retenus ................................................................................................ 8 3.1 Les indicateurs stratgiques ......................................................................................... 8 Conformit ........................................................................................................... 9 Image de lentreprise (et signaux faibles) ............................................................ 9 Protection de linformation .................................................................................. 9 Efficacit de la politique (risques couverts et non couverts) ............................... 9 Vols .................................................................................................................... 11 Attaques et sinistralit ........................................................................................ 11 Protection de linformation ................................................................................ 11 Efficacit de la politique / risques couverts / non couverts................................ 11 3.1.1 3.1.2 3.1.3 3.1.4 3.2 3.2.1 3.2.2 3.2.3 3.2.4
4 Frquence de collecte ......................................................................................................... 13 5 Mthode de calcul .............................................................................................................. 13 6 Reprsentation graphique................................................................................................... 13 7 Enrichissement et processus damlioration du document ................................................ 13 8 Contact CIGREF : .............................................................................................................. 13
Indicateurs scurit
Guide pratique pour un tableau de bord scurit stratgique et oprationnel
Avertissement
Ce document constitue une boite outils pour les entreprises dsireuses de mettre en place des indicateurs de mesure de la scurit de leur SI. Il sagit dune boite outils que chacun est libre de s'approprier dans son usage, aprs un travail dadaptation au contexte et lorganisation de son entreprise
1 Contexte et objectifs
Dans le cadre de ses travaux sur la gouvernance, la performance durable et le pilotage des SI, le CIGREF a dcid dlaborer une srie dindicateurs, car la mesure est perue comme un outil de diagnostic, de benchmarking, une dmarche qualit mais aussi comme un lment dun processus damlioration continue. Le CIGREF a dj ainsi mis en place des indicateurs RH. La dmarche a t tendue aux indicateurs scurit. Les objectifs sont de permettre aux entreprises de disposer dindicateurs communs, standards et partags, leur permettant de : sensibiliser les mtiers communiquer vers les directions gnrales, mesurer le niveau de maturit de leur politique et pratiques de scurit, progresser et amliorer leur politique de scurit, sappuyer sur les bonnes pratiques de la communaut CIGREF, se comparer au sein de leur entreprise dans le temps, se comparer au sein de leur entreprise, entre filiales, se comparer entre entreprises, de taille, secteur et organisation similaires.
Dans un premier temps, lobjectif suivi court terme est de permettre aux entreprises de disposer dune boite outils dindicateurs afin de communiquer en interne et de se comparer en interne entre filiales. Dans un second temps, les entreprises pourront ventuellement se comparer entre elles, si elles le souhaitent, soit de gr gr, soit en se runissant au CIGREF et en dfinissant une mthode commune de calcul des indicateurs.
Indicateurs scurit
Guide pratique pour un tableau de bord scurit stratgique et oprationnel
2 Destinataires
Ces indicateurs sont destins aux responsables scurit des systmes dinformation, directeurs scurit des systmes dinformation, risk manager de grandes entreprises. Ces indicateurs ont pour vocation dalimenter des tableaux de bords destins plusieurs cibles, directions gnrales ou pilotes oprationnels.
Les indicateurs ont t retenus en fonction de deux critres : leur pertinence leur mesurabilit
Selon lobjectif et la cible suivis, lentreprise choisira de mettre laccent sur les indicateurs stratgiques ou les indicateurs oprationnels.
Indicateurs scurit
Guide pratique pour un tableau de bord scurit stratgique et oprationnel
10. Taux de prestataires externes sur les postes sensibles (administrateurs rseaux, chefs de projets) 11. Taux de personnes sensibilises / Cible 12. Nombre de sites web vitrines contrefaits / parodis 13. Nombre de noms de domaines (marques) usurps 14. Pourcentage de projets pour lesquels la Maitrise dOuvrage (MOA) a procd une analyse de risque formalise 15. Pourcentage de nouveaux projets dont la MOA a exprim le besoin de scurit 16. Pourcentage dapplications - sensibles ou non - couvertes par une politique daccs 17. Tenue des comits scurit stratgiques
Ces indicateurs stratgiques peuvent tre reclasss en 4 grandes sous catgories qui peuvent correspondre des quivalents dans ISO 17799 ou Ble 2 :
3.1.1 Conformit
Audit - Taux de contrle Audit - Taux de conformit Audit - Taux de correction
Indicateurs scurit
Guide pratique pour un tableau de bord scurit stratgique et oprationnel
Nombre de composants matriels ou applicatifs nonconformes, non maintenus Taux de prestataires externes sur les postes sensibles (administrateurs rseaux, chefs de projet, ) (indicateur non pertinent en cas dinfogrance globale) Taux de personnes sensibilises / Cible Tenue des comits scurit stratgiques
Source : CIGREF
Indicateurs scurit
Guide pratique pour un tableau de bord scurit stratgique et oprationnel
24. Attaques en environnement intranet 25. Attaques en environnement internet 26. Disponibilit des applications critiques 27. Pourcentage de sites physiques audits 28. Mise jour des antivirus / patches 29. Bonne installation des patches 30. Frquence et cart mesurs dans les audits de comptes 31. Evolution du nombre d'identifiants gnriques 32. Pourcentage d'application en production ayant un dossier scurit formalis 33. Tenue des runions du comit de scurit oprationnel 34. Nombre de correspondants SSI
3.2.1 Vols
Nombre de vols et pertes - PC fixes Nombre de vols et pertes - Terminaux mobiles
Indicateurs scurit
Guide pratique pour un tableau de bord scurit stratgique et oprationnel
Source : CIGREF
12
Indicateurs scurit
Guide pratique pour un tableau de bord scurit stratgique et oprationnel
4 Frquence de collecte
La frquence de collecte des donnes est variable, elle est gnralement semestrielle ou annuelle. Les indicateurs stratgiques sont plutt collects sur une base annuelle, les indicateurs oprationnels pouvant tre collects selon sur une base semestrielle ou annuelle. Certains RSSI prconisent mme de collecter et communiquer tous les six mois sur les indicateurs stratgiques et tous les mois sur les indicateurs oprationnels.
5 Mthode de calcul
La mthode de calcul est explique en annexe. Lunit de mesure, lchelle ou la valeur cible respecter ou atteindre ont galement t fixes lorsquelles faisaient lobjet dun consensus de la part du groupe.
6 Reprsentation graphique
Le groupe a galement travaill sur les modles de reprsentation graphique. Une srie de reprsentations graphiques des indicateurs est propose en annexe.
8 Contact CIGREF :
Stphane Rouhier +33 1 56 59 70 11 / +33 6 85 40 27 91
stephane.rouhier@cigref.fr
13
Indicateurs scurit
Guide pratique pour un tableau de bord scurit stratgique et oprationnel
Axe 1 - Conformit
Conformit Unit de mesure Primtre Echelle / Cible Mthode de calcul Nb d'audits effectus / Nb d'audits cible Nb d'audits effectus avec succs / nb d'audits effectus Nb d'audits corrigs / Nb d'audits dfectueux Frquence de collecte Illustration graphique
groupe
annuelle Radar
Audit - Taux de contrle
groupe
annuelle
Audit - Taux de correction
groupe
annuelle
nombre
groupe
annuelle
nombre
groupe
annuelle
Bton
Plaintes internes et externes 12
10 10
nombre
groupe
annuelle
15
Indicateurs scurit
Guide pratique pour un tableau de bord scurit stratgique et oprationnel
Analyse de risque
groupe
annuelle
Bton
Classification de l'information 80% 75%
Classification de linformation
groupe
100%
nb mtiers en conformit
70% 60%
annuelle
Archivage Propritaires mtiers ayant fait une dmarche didentification des donnes mtiers archiver Pourcentage de projets dont la MOA a procd une analyse de risque formalise
groupe
annuelle
Bton
% de projets dont la MOA a procd une analyse de risque formalise
groupe
>50%
40%
annuelle
30%
20%
10%
0%
% de nouveaux projets dont la MOA a exprim le besoin de scurit (DICP) Gestion des accs - Pourcentage dapplications sensibles ou non couvertes par une politique daccs.
entit
>50%
Bton
% de nouveaux projets dont la MOA a exprim le besoin de scurit (DICP) 60% 50% 50%
annuelle
40%
30%
20%
10%
0%
Bton
% d'applications sensibles ou non couvertes par une politique d'accs / habilitation 80% 70% 75%
groupe
annuelle
16
Indicateurs scurit
Guide pratique pour un tableau de bord scurit stratgique et oprationnel
groupe
1 fois par an
0,6
annuelle
Continuit - Correction du PCA
0,4 0,2 0
nombre
groupe
<10%
( rduire)
12%
10%
annuelle
10% 8% 6% 4% 2% 0%
Bton
Taux de prestataires externes sur les postes sensibles (administrateurs rseaux, chefs de projets) 35% 30% 30%
groupe
<20%
annuelle
groupe
100%
nb personnes ayant suivi une formation (qqsoit) ddie SSI / nb personnes concernes
Bton
Taux de personnes sensibilises / Cible 90% 80% 80% 70%
annuelle
Bton
Tenue des runions du comit de scurit stratgique
85%
groupe
annuelle
17
Indicateurs scurit
Guide pratique pour un tableau de bord scurit stratgique et oprationnel
Axe 1 - Vols
Vols
Nombre de vols & pertes - PC fixes Nombre de vols & pertes Terminaux mobiles
Unit de mesure
nombre
Primtre
Echelle / Cible
Mthode de calcul
PC fixes vols / Parc total de PC fixes Terminaux mobiles vols / Parc total de terminaux
Frquence de collecte
annuelle
groupe
100
50
nombre
groupe
annuelle
Unit de mesure
Primtre
Echelle / Cible
Mthode de calcul
Frquence de collecte
Illustration graphique
nombre
groupe
semestrielle
Radar
Nombre dattaques reues 100 80 60 Nb de postes infects 40 50 20 0 20 50 Nb de postes infects
nombre
groupe
semestrielle
Nombre dattaques reues 100
10
Nb de postes infects
nombre
groupe
semestrielle
19
Indicateurs scurit
Guide pratique pour un tableau de bord scurit stratgique et oprationnel
Frquence de collecte
Illustration graphique
Bton Histogramme
Evolution du nombre d'identifiants gnriques ( rduire) 60 50 50
nombre
groupe
< 5%
annuelle
40
35
30
20
10
Bton
Perte de mots de passe
nombre
groupe
30 25
annuelle
25
20
15
10
% ou nb
groupe
0%
Bton
% d'accs non autoriss sur les applications sensibles 12% 10% 10%
annuelle
8%
6%
4%
2%
0%
120,00%
99,99%
groupe
99%
semestrielle
100,00%
80,00%
60,00%
40,00%
20,00%
0,00%
groupe
vert
nb corrections menes / nb total de corrections apporter liste des sites et note de conformit associe
Feux annuelle
Bton
% de sites audits
70%
65%
60%
note
groupe
annuelle
50%
40%
30%
20%
10%
0%
20
Indicateurs scurit
Guide pratique pour un tableau de bord scurit stratgique et oprationnel
Efficacit
Mise jour des antivirus / patches (serveurs, postes de travail, infrastructures)
Unit de mesure
Primtre
Echelle / Cible
Mthode de calcul
nb poste mis jour / nb postes total Idem pour les serveurs
Frquence de collecte
Illustration graphique
Radar
sur les95% serveurs, 100% 80%
groupe
100%
annuelle
groupe
100%
annuelle
sur les infrastructures 85%
Bton Frquence et cart mesurs Frquence dans les audits de / priode comptes
Frquence et cart mesurs dans les audits de comptes 12
groupe
annuelle
10 10
Bton % d'application en production ayant un dossier scurit formalis % entit >50% nb applis avec dossier scurit / nb applis
% d'application en production ayant un dossier scurit formalis 70% 60% 60%
annuelle
Bton Tenue des runions du comit de scurit oprationnel % groupe >80% nb runions (thorie 3/an) / nb filiales
Tenue des runions du comit de scurit stratgique 90% 80% 85%
annuelle
Bton
Nombre de correspondants SSI
groupe
80% 70%
75%
annuelle
21
Indicateurs scurit
Guide pratique pour un tableau de bord scurit stratgique et oprationnel
Procdure de fabrication
Frquence de remonte
Mthode de calcul
Le CIGREF, Club Informatique des Grandes Entreprises Franaises, est une association dentreprises. Sa mission est de promouvoir lusage des systmes dinformation comme facteur de cration de valeur et source dinnovation pour lentreprise. Le CIGREF regroupe des grandes entreprises de tous secteurs (assurance, banque, distribution, nergie, industrie, services, services sociaux et sant et transport). Le CIGREF favorise le partage dexpriences et lmergence des meilleures pratiques. Cest un interlocuteur des pouvoirs publics franais et europens sur les domaines des technologies de linformation. Le CIGREF fait valoir les attentes lgitimes des grands utilisateurs dinformatique et de tlcommunications. Les thmatiques dchanges du CIGREF sont le SI au service des mtiers de la DG, la performance durable du SI et le management de la fonction SI.
CIGREF 21, avenue de Messine 75008 Paris Tl. 01 56 59 70 00 Fax 01 56 59 70 01 E-mail : cigref@cigref.fr www.cigref.fr
Promouvoir l'usage des systmes d'information comme facteur de cration de valeur et source d'innovation pour l'entreprise