Transcription of Guide pratique pour un tableau de bord sécurité ...
1 Promouvoir l'usage des syst mes d'information comme facteur de cr ation de valeur et source d'innovation pour l'entreprise INDICATEURS SECURITE Guide pratique pour un tableau de bord s curit strat gique et op rationnel 2007 Indicateurs s curit Guide pratique pour un tableau de bord s curit strat gique et op rationnel 2 Publications du CIGREF en 2006-2007 Analyse et Gestion des risques dans les grandes entreprises : impacts et r les pour la DSI Barom tre Gouvernance SI : Evaluer sa d marche de gouvernance du syst me d information Changement et transformation du SI : Note de synth se Exemples d offshoring : Retours d exp riences et le ons apprises au sein de grandes entreprises Faire face aux changements de p rim tre d entreprise : Guide de survie l usage des dirigeants en cas de changement de p rim tre d entreprise Gestion des actifs immat riels : kit de d marrage et tudes de cas Les dossiers du Club Achats : Synth se des activit s 2007 Management d un Centre de Services Partag s informatiques : Quels mod les ?
2 Quels b n fices pour l entreprise ? Quels impacts sur le m tier de DSI ? Marketing de la DSI : Cadre de mise en uvre Outil de sc narisation prospective des besoins Ressources Humaines de la SI : Facteurs cl s de l volution des m tiers et des comp tences Pilotage conomique du Syst me d information : Pr sentation des co ts informatiques et fiches d am lioration par processus Plan Strat gique Syst me d Information tableau de bord des Ressources Humaines : Indicateurs clefs tableau de bord S curit : Indicateurs clefs de la s curit syst me d information Indicateurs s curit Guide pratique pour un tableau de bord s curit strat gique et op rationnel 3 Le CIGREF tient remercier les personnes qui ont particip l laboration de ce document, pour leurs conseils, exp riences et suggestions d am lioration.
3 Nous tenons remercier tout particuli rement : Xavier Bernaert LVMH Alain Bouill Caisse des D p ts Brigitte Cohen BNP Paribas Alain Delboy Air Liquide J r me Galerne Auchan Emmanuel Garnier Systalians Jean-Claude Gaume GMF Eric Grospeiller ANPE Jean-Christophe Krebs Cr dit Agricole SA Fran ois Jolivet Soci t G n rale Christophe Moreau MAAF Guy Nicolas Nexans Jean-Marie Pilot CNAV Didier Quincerot SMABTP Colette Rodionoff EDF Marie-Christine Sudre GMF Jean Vergnoux Renault Cette activit a t pilot e par Alain Bouill , RSSI Groupe Caisse des D p ts Ce document a t r dig par St phane Rouhier, charg de mission au CIGREF Indicateurs s curit Guide pratique pour un tableau de bord s curit strat gique et op rationnel 5 Sommaire 1 Contexte et 7 2 Destinataires.
4 8 3 Liste des indicateurs retenus ..8 Les indicateurs strat giques .. 8 Conformit .. 9 Image de l entreprise (et signaux faibles) .. 9 Protection de l information .. 9 Efficacit de la politique (risques couverts et non couverts) .. 9 Les indicateurs op rationnels .. 10 Vols .. 11 Attaques et sinistralit .. 11 Protection de l information .. 11 Efficacit de la politique / risques couverts / non 11 4 Fr quence de collecte .. 13 5 M thode de calcul .. 13 6 Repr sentation graphique .. 13 7 Enrichissement et processus d am lioration du document.
5 13 8 Contact CIGREF : .. 13 Indicateurs s curit Guide pratique pour un tableau de bord s curit strat gique et op rationnel 7 Avertissement Ce document constitue une boite outils pour les entreprises d sireuses de mettre en place des indicateurs de mesure de la s curit de leur SI. Il s agit d une boite outils que chacun est libre de s'approprier dans son usage, apr s un travail d adaptation au contexte et l organisation de son entreprise 1 Contexte et objectifs Dans le cadre de ses travaux sur la gouvernance, la performance durable et le pilotage des SI, le CIGREF a d cid d laborer une s rie d indicateurs, car la mesure est per ue comme un outil de diagnostic, de benchmarking, une d marche qualit mais aussi comme un l ment d un processus d am lioration continue.
6 Le CIGREF a d j ainsi mis en place des indicateurs RH. La d marche a t tendue aux indicateurs s curit . Les objectifs sont de permettre aux entreprises de disposer d indicateurs communs, standards et partag s, leur permettant de : sensibiliser les m tiers communiquer vers les directions g n rales, mesurer le niveau de maturit de leur politique et pratiques de s curit , progresser et am liorer leur politique de s curit , s appuyer sur les bonnes pratiques de la communaut CIGREF, se comparer au sein de leur entreprise dans le temps, se comparer au sein de leur entreprise, entre filiales, se comparer entre entreprises, de taille, secteur et organisa-tion similaires.
7 Dans un premier temps, l objectif suivi court terme est de permettre aux entreprises de disposer d une boite outils d indicateurs afin de communiquer en interne et de se comparer en interne entre filiales. Dans un second temps, les entreprises pourront ventuellement se comparer entre elles, si elles le souhaitent, soit de gr gr , soit en se r unissant au CIGREF et en d finissant une m thode commune de calcul des indicateurs. Indicateurs s curit Guide pratique pour un tableau de bord s curit strat gique et op rationnel 8 2 Destinataires Ces indicateurs sont destin s aux responsables s curit des syst mes d information, directeurs s curit des syst mes d information, risk manager de grandes entreprises.
8 Ces indicateurs ont pour vocation d alimenter des tableaux de bords destin s plusieurs cibles, directions g n rales ou pilotes op rationnels. 3 Liste des indicateurs retenus Les travaux du groupe ont conduits distinguer deux niveaux d indicateurs : des indicateurs strat giques pour un reporting vers la DSI et la direction g n rale des indicateurs op rationnels pour le pilotage de la s curit au quotidien. Les indicateurs ont t retenus en fonction de deux crit res : leur pertinence leur mesurabilit Selon l objectif et la cible suivis, l entreprise choisira de mettre l accent sur les indicateurs strat giques ou les indicateurs op rationnels.
9 Les indicateurs strat giques Les indicateurs strat giques sont les suivants : 1. Analyse de risque 2. Classification de l'information 3. Plaintes internes et externes 4. Audit - Taux de contr le 5. Audit - Taux de conformit 6. Audit - Taux de correction 7. Archivage - Propri taires m tiers ayant fait une d marche d'identification des donn es m tiers archiver 8. Continuit - Fr quence et r ussite du test du Plan de Continuit d Activit (PCA) 9. Nombre de composants mat riels ou applicatifs non-conformes, non maintenus Indicateurs s curit Guide pratique pour un tableau de bord s curit strat gique et op rationnel 9 10.
10 Taux de prestataires externes sur les postes sensibles (administrateurs r seaux, chefs de ) 11. Taux de personnes sensibilis es / Cible 12. Nombre de sites web vitrines contrefaits / parodi s 13. Nombre de noms de domaines ( ) usurp s 14. Pourcentage de projets pour lesquels la Maitrise d Ouvrage (MOA) a proc d une analyse de risque formalis e 15. Pourcentage de nouveaux projets dont la MOA a exprim le besoin de s curit 16. Pourcentage d applications - sensibles ou non - couvertes par une politique d acc s 17. Tenue des comit s s curit strat giques Ces indicateurs strat giques peuvent tre reclass s en 4 grandes sous cat gories qui peuvent correspondre des quivalents dans ISO 17799 ou B le 2.
