C’est l’histoire d’un RSSI anonyme. Lorsqu’il a pris son poste au sein d’un grand établissement bien connu, de son propre aveux, il débarquait. « J’ai été plongé dans le grand bain immédiatement et je ne savais pas par quel bout prendre les choses, par où commencer concrètement« , se souvient-il.

Sur son bureau, un pavé : la PSSI rédigée par son prédécesseur et basée sur la norme ISO 27002. « Au total plus de 200 bonnes pratiques (gérer ceci, faire des traces de cela, etc…). C’est un inventaire à la Prévert !« , explique notre RSSI. Oui mais voilà, c’est tout ce dont il dispose pour l’instant, et il lui faudra donc faire avec.

Il décide alors de partir de ce document et le confronter au terrain. « En me basant sur les contrôles extraits de cette PSSI j’ai lancé une auto-évaluation de ce que l’on couvre et ce que l’on ne couvre pas. J’ai voulu commencer petit, avec un barème très simple : 0 points pour ce que l’on ne fait pas, 50 pour ce que l’on fait partiellement et 100 pour ce que nous couvrons totalement« .

A ce stade il ne s’agit pas encore d’aller voir sur le terrain mais seulement d’observer et de poser des questions. « Mais cela m’a tout de même permis d’obtenir un premier chiffrage objectif de notre posture de sécurité« , explique le RSSI. Afin d’y voir plus clair il répartit ensuite ces notes selon 12 axes, qui correspondent aux grandes têtes de chapitres de la norme ISO 27002.

Il obtient ainsi deux outils extrêmement utiles : d’abord un tableur Excel qui documente en détail pour chacun des douze axes les mesures mises en oeuvre, et qu’il pourra enrichir au fil des progrès réalisés durant l’année. Ensuite, en reportant ces informations sur un graphique, il obtient son « radar ». Il s’agit d’une rosace très parlante qui indique visuellement la posture de sécurité sur chaque axe (zéro au centre, 100 aux extrémités). Son intérêt est double : d’une part voir d’un coup d’oeil les zones qui demeurent à améliorer. Et ensuite permettre une comparaison visuelle – et donc très parlante – des progrès réalisés d’une année sur l’autre. Il suffit pour cela de présenter à la suite les rosaces des années précédentes.

« Dans les premières années je m’en suis beaucoup servi à la fois comme d’un outil de pilotage, pour savoir où aller, mais aussi afin de montrer concrètement notre activité et nos progrès à mes interlocuteurs en dehors de la SSI« , poursuit-il. L’outil permet en effet de communiquer simplement, rapidement et de manière efficace, le travail de la SSI au fil du temps. Et lorsque se pose la moindre question quant aux critères employés (pourquoi 50% et pas 100% dans tel domaine, par exemple), il y a toujours le fichier Excel à envoyer aux curieux afin d’appuyer les choix.

En outre, dès les premières années, le tableau a permis d’aller rapidement décrocher des « quick wins » en ciblant de préférence les trous flagrants qui pouvaient être comblés rapidement par des projets d’envergure raisonnable. Le couple tableau / rosace jouait alors dans ce cas parfaitement son rôle d’outil de pilotage.

Aujourd’hui encore ce document est maintenu et demeure la ligne directrice de la SSI de son entreprise. Mais il va bientôt devenir beaucoup plus précis…

« Nous réfléchissons actuellement à valider la pertinence de nos indicateurs (le référentiel est-il suffisant ? Comment peut-on l’enrichir ? La question n’a-t-elle pas évolué avec de nouvelles contraintes ou des contrôles qui seraient mieux adaptés à la menace actuelle ?). En fait, j’aimerais que l’on se remette en cause en travaillant sur les axes où l’on a aujourd’hui un score compris entre 80 et 100% afin de voir comment rendre un peu plus précis les critères de notation, quitte à retomber alors à 60%. Mais nous aurons alors une vision beaucoup plus fine de notre posture de sécurité« , poursuit le RSSI.

Cette étape exige bien entendu une grande concertation afin de déterminer des indicateurs à la fois réalistes et adaptés à la menace courante. Car plus l’on se rapproche des métiers, moins l’on peut se contenter de réponses floues. Il faut alors interroger les parties prenantes afin de déterminer en détail des indicateurs réellement pertinents. « Le débat est très important afin de faire le tri dans les critères retenus, de savoir ce qui est normal ou non et de décider des exceptions éventuelles. Tout le monde a sa vision du risque et pour cela je trouve essentiel de pouvoir débattre entre les études, l’exploitation et moi-même« , explique notre témoin.

Mais ce n’est là encore que la seconde phase de son plan en trois étapes.

Après être parti des critères de la norme pour se mesurer (première étape), puis désormais essayer d’affiner ces derniers afin de les faire coller au plus près de la menace et des métiers (seconde étape), il compte désormais descendre sur le terrain afin d’alimenter son document Excel à partir d’indicateurs réels et non plus seulement d’une auto-évaluation.

« Mon objectif à terme est d’aller au delà du déclaratif et de transposer la mesure sur le papier en indicateurs issus du terrain. Si par exemple tous les postes doivent avoir un antivirus, l’étape suivante est de savoir si sur le terrain la mesure correspond à la réalité. Le tout, bien sûr, sans ajouter de charge de travail supplémentaire aux exploitants« , précise le RSSI.

Pour cela, il espère pouvoir s’appuyer sur des informations existantes, des traces d’outils (pas forcément de sécurité) encore inexploitées mais qui permettraient de faire remonter les informations nécessaires. « Nous avons par exemple installé un outil de mesure de la performance des postes de travail. Il fonctionne en collectant un certains nombre d’informations sur la configuration du poste (processus actifs, liste des exécutables installés, etc…). Ce n’est pas un outil de sécurité, mais certaines de ces informations peuvent nous aider à créer des indicateurs fiables, comme par exemple le pourcentage de machines équipées de tel ou tel navigateur qui n’est pas supporté dans le cadre de notre politique de sécurité« .

Bien entendu, il s’agit là d’un travail considérable, et de longue haleine. Mais qui permettra de « boucler la boucle » et de valider de manière concrète, et irréfutable, l’auto-évaluation existante. « En espérant que les deux mesures soient cohérentes !  » plaisante le RSSI… Autre avantage de cette approche, au delà d’avoir une vision concrète de la posture de sécurité basée sur des traces du terrain, elle pourrait permettre de contrôler régulièrement la pertinence de la PSSI vis-à-vis des solutions déployées sur le terrain, et peut-être aussi de la remettre à jour plus régulièrement.

Aurait-il fallu pour autant s’attaquer directement à ces indicateurs terrain et remonter ensuite vers la PSSI, afin de disposer d’emblée d’une vision fidèle de l’existant ? « Il est bien sûr possible de procéder ainsi. Mais cela demande plus de ressources que la démarche inverse, surtout lorsque, comme nous, il n’y a pas d’incident majeur pour motiver le projet, et donc aucune raison particulière de se pencher sur tel process plutôt qu’un autre. Sans compte que j’ai commencé seul ! Je trouve que l’approche top-down que j’ai privilégié est moins gourmande en ressources« , se justifie le RSSI.

Moins gourmande, et peut-être aussi plus méthodique : il est en effet facile de se laisser déborder par les détails, voire de s’y noyer, en tentant de tout couvrir à partir de la masse d’indicateurs potentiels. Tandis qu’en partant d’un cadre limité (les douze axes d’ISO 27002) et en faisant une première mise en ordre purement déclarative – mais néanmoins grossièrement juste – cela permet d’obtenir une vue « d’altitude » du SI, ainsi qu’une couverture certes simple mais cohérente, des risques.

Et il sera alors plus simple depuis cette plate-forme de se pencher ensuite sur certains axes privilégiés (les plus simples, par exemple) afin d’expérimenter le grand plongeon dans le détail et des affres du terrain. Le temps de se faire la main, et de passer aux suivants…

RSSI, vous souhaitez débattre sur ce thème ? Apporter votre contribution ou partager votre méthode ou vos indicateurs avec vos pairs ? Venez en discuter entre vous dans le sujet spécial créé au sein de notre Coin des RSSI !