Demandez à une poignée de RSSI ce qu’est pour eux un tableau de bord sécurité et vous obtiendrez probablement autant de réponses qu’il y a d’interlocuteurs. « Ce qui est certain c’est que la demande pour les tableaux de bord sécurité est liée à la tendance du pilotage de la sécurité par le risque. Et qui dit pilotage de la sécurité par le risque dit tableaux de bord. Le problème c’est que sorti de ça le tableau de bord reste une notion encore floue pour beaucoup de RSSI », confirme Alexandre Fernandez-Toro, responsable des activités ISO 27001 chez HSC.

Pourtant, il y a de quoi s’y intéresser de près tant les bénéfices d’un projet de tableaux de bord sécurité sont nombreux. Un bon dashboard se révélera ainsi vite essentiel pour mesurer la pertinence des contrôles mis en place par la SSI : rendent-ils le service promis et leur coût est-il toujours justifié ? Il permettra également de déterminer de manière justifiable où concentrer les efforts (et les ressources) afin d’atteindre la meilleure efficacité. Il s’agira donc tout à la fois d’un excellent outil d’aide à la décision (quel projet lancer en priorité, quel front renforcer) et d’identification des problèmes (connaître par exemple immédiatement les entités à la traîne en matière d’application de la politique de sécurité). Et c’est enfin un excellent outil de responsabilisation pour les différentes entités de l’entreprise qui peuvent désormais être mises en concurrence sur des bases rationnelles.

Reste à savoir par quel bout prendre le projet. Car le rôle dévolu au dashboard peut être très variable : il n’y a en réalité pas un mais des tableaux de bord sécurité. « Nous voyons trois grandes familles de tableaux de bord pour la sécurité : organisationnels, techniques et conformité. Et pour chacun deux orientations possibles : soit il servira au RSSI à présenter son travail, à justifier ses actions et à montrer à sa Direction le niveau de maturité et d’exposition au risque de l’entreprise, soit il l’aidera à piloter la sécurité au quotidien et à gérer ses priorités. Un bon dashboard saura toutefois faire les deux, notamment en offrant de bons tableaux de synthèses », explique Edouard Jeanson, Directeur du centre de compétences sécurité chez Sogeti.

Et puis hors de question de vouloir attaquer directement par le projet de tableau de bord : le propre d’un projet de dashboard sécurité est qu’il y a rarement… de projet de dashboard sécurité ! « C’est très rare d’avoir des demandes pour un tableau de bord sécurité seul. Ce que l’on voit le plus souvent en revanche ce sont des missions organisationnelles qui incluent la création d’un dashboard », explique Alexandre Fernandez-Toro.

« Je n’ai jamais vu d’entreprise attaquer directement par un tableau de bord. Cela démarre le plus souvent par une analyse de risque, puis par la définition d’un schéma directeur à trois ou cinq ans qui va permettre d’identifier les chantiers à mener. Ensuite il faut encore aller chercher les budgets, mener les audits nécessaires et préparer les travaux (définitions des rôles pour la gestion des identités, classification des données pour le DLP, etc…). Et avec tout ça, on n’a pas encore démarré les chantiers techniques proprement dits (IAM, DLP, etc…) ! Le tableau de bord sécurité ne peut venir qu’ensuite », confirme Edouard Jeanson.

Cela ne signifie toutefois pas qu’il faille attendre le dernier moment pour penser à son tableau de bord. Qu’il soit technique, organisationnel ou dédié à la conformité le dashboard a besoin de sources d’information en entrée (les indicateurs) et il n’est pas idiot d’essayer d’avoir une vision claire de ces derniers au préalable. « Mon astuce lors de la conception d’un tableau de bord est d’oublier que l’on cherche des indicateurs et de procéder plutôt à partir de questions fondamentales posées aux métiers, telle que, par exemple : ‘pour vous, qu’est-ce que serait un système de prise de commandes qui fonctionnerait correctement’. A partir des réponses l’on peut alors déterminer les indicateurs dont on aura besoin. Hélas si beaucoup de documents couvrent la seconde partie d’un projet de tableau de bord sécurité (décrire les processus de construction, contrôler que les indicateurs fonctionnent comme convenu, etc..), je constate qu’il y a un gros manque sur le choix des bons indicateurs. A mon sens la clé est ici mais je n’ai pas encore trouvé de réponse satisfaisante en la matière », explique Alexandre Fernandez-Toro.

Cela semble évident mais ça va mieux en le disant : un indicateur doit être attendu par quelqu’un ! Il faudra résister à la tendance de produire tout et n’importe quoi uniquement parce que les sources sont disponibles. Si personne dans l’entreprise n’attend tel indicateur pour agir en fonction, mieux vaut l’oublier.

Et même s’il est attendu, un bon indicateur doit permettre une action : il ne sert par exemple pas à grand chose de mesurer le nombre de collaborateurs qui ont suivi le programme de sensibilisation à la sécurité si on ne sait pas quels services sont à la traîne ou quel volet du programme est le moins suivi afin de permettre une action correctrice ciblée. « Je constate de manière chronique chez les RSSI qui veulent déployer des tableaux de bord sécurité qu’ils oublient qu’il s’agit d’un outil d’action. Ils ont prévu de présenter leurs camemberts en comité de direction en oubliant que cela doit déboucher aussi sur des actions concrètes », confirme Alexandre Fernandez-Toro.

Le SANS Institute liste d’autres attributs nécessaires à un bon indicateur : il doit être peu coûteux à produire (ou sinon il sera rapidement abandonné), il doit pouvoir être produit régulièrement, de manière fiable dans le temps et exprimé dans une métrique constante (pas de changement d’unité de mesure). Il doit en outre de préférence être exprimé dans une unité cardinale (pas de classement, pas de « feu vert / feu rouge ») afin de permettre une prise de décision concrète. Il sera toujours temps, ensuite, « d’abrutir » les indicateurs pour une synthèse à la Direction !

Attention enfin aux valeurs absolues : un pourcentage (et donc deux valeurs) est mieux adapté à la mesure des évolutions qu’une valeur absolue.

Quelle forme donner ensuite au tableau de bord ? Peu importe le flacon, disent en substance nos experts, tant que l’ivresse est là. « Je ne crois pas trop aux outils spécifiques. Le nerf de la guerre c’est la phase de sélection de bons indicateurs significatifs pour les métiers. Et ça, c’est encore très empirique. L’outil va se contenter de la mise en forme, par exemple visuellement sur une rosace où onze lignes concentriques couvrent les onze points de la norme 27001. C’est joli, mais personnellement je vois surtout beaucoup d’Excel et de PowerPoint ! », s’amuse Alexandre Fernandez-Toro.

Les dashboards de sécurité peuvent être classés en trois grande familles :

– Organisationnels : « Ici on prend par exemple les différents chantiers de l’ISO 27001 et pour chacun on évalue le niveau de maturité de l’entreprise et le niveau cible, avec des étapes à 3 et 5 ans », explique Edouard Jeanson. Les indicateurs ici sont donc des audits techniques et des analyses de risque, associés à l’état d’avancement des projets structurants. « Un tel tableau de bord s’inscrit dans une roadmap sécurité à moyen terme », poursuit Edouard Jeanson. Il faudra alors être prêt à lancer les analyses de risques et les audits nécessaires à l’alimentation du tableau de bord et surtout à procéder à son alignement régulier.

– Techniques : le tableau de bord technique va mesurer le nombre d’incidents, éventuellement les temps de réaction, voire le bon fonctionnement de systèmes critiques. En entrée, donc, essentiellement des sources purement techniques telles que les remontées d’IPS, les journaux, etc… Le tableau de bord technique peut également inclure la posture de sécurité de l’entreprise en agrégeant des information de gestion des outils de sécurité (nombre d’antivirus à jour de leurs correctifs, état du patch management, etc). L’association des événements sécurité (temps réel) et de la posture de sécurité (différé), le tout afin de présenter l’évolution des mesures dans le temps (tendances) est caractéristique d’un dashboard technique. Ce n’est donc pas uniquement un SIEM, ni qu’une console de type ePolicy Orchestrator, mais bien une couche au dessus de ces deux solutions.

– Conformité : comment l’entreprise se situe-t-elle vis-à-vis de ses obligations réglementaires ? Le tableau de bord de conformité est censé répondre à cette question. Bonne nouvelle : « Même s’il y a différentes réglementations, il est souvent possible d’intégrer leur suivi dans un tableau de bord unique car bien que tous les référentiels insistent sur des points différents il y a globalement beaucoup de choses communes entre eux », explique Alexandre Fernandez-Toro. Mauvaise nouvelle : « Ce type de tableau de bord est plus complexe car il doit consolider des sources très diverses, par seulement liées à la sécurité et pas uniquement IT », prévient Scott Crawford, Directeur de recherche chez l’analyste EMA. Un périmètre plus vaste qui peut échapper en partie à la DSI et des liens forts avec le juridique font de ces tableaux bord de vrais projets à part.

Quel que soit le type de tableau de bord mis en oeuvre, une fois en place il reste encore à l’entretenir ! « Il faut faire très attention au maintien en condition opérationnelle : un tableau de bord sécurité, c’est comme un PRA ! Il faut lui allouer des ressources officielles, par exemple en l’incluant dans la fiche de poste d’un collaborateur, et faire en sorte que dans ses objectifs figure le maintient du dashboard. D’ailleurs dans les grands groupes du CAC 40 c’est un métier à plein temps ! », explique Edouard Jeanson. Le responsable du tableau de bord sécurité a un rôle crucial et très transversal : il est dans tous les projets, au courant de l’état d’avancement de toutes les initiatives sécurité. Il doit en outre s’assurer que le dashboard reste corrélé à la réalité, notamment en faisant des analyses régulières et en comparant les résultats avec les informations du tableau de bord. Il ne s’agira donc pas d’un poste junior !

La fréquence d’alignement du tableau de bord est elle aussi critique : un dashboard technique gagnera à être aligné chaque semaine tandis que les tableaux de bord organisationnels ou de conformité peuvent l’être tous les six mois, voire un an. Certains grands groupes alignent cependant leurs tableaux de bords organisationnels tous les mois. « Il s’agit alors d’entreprises dont le niveau de maturité sécurité est très élevé et chez qui le projet de tableau de bord a obtenu le soutien sans faille de la direction générale. C’est encore relativement rare », tempère Scott Crawford. Considérant que l’alignement d’un tableau de bord organisationnel demande idéalement une nouvelle analyse de risque, on le comprend aisément !

Enfin, et comme si cela ne suffisait pas d’avoir lancé tous ces chantiers et d’avoir un tableau de bord à jour, encore faut-il savoir l’interpréter. « Choisir les indicateurs et les agréger est une chose, savoir comment interpréter ce que nous mesurons en est une autre. La business intelligence de la sécurité est encore loin ! Les tableaux de bords ne sont qu’un tout premier pas dans la bonne direction », conclue Scott Crawford.