La norme ISO 27004 fournit des bonnes pratiques pour évaluer le niveau d’efficacité de son SMSI (système de management de la sécurité d’information). Il s’agit d’une exigence pour être certifié ISO 27001 et HDS, issue de la clause 9.1 « surveillance, mesures, analyse et évaluation ». L’organisation doit déterminer ce qu’il est nécessaire de surveiller, les méthodes, la fréquence, les responsabilités et les conditions d’analyse et de traitement des résultats. Au-delà de la certification ISO 27001, il est fondamental de mesurer son niveau afin de prendre les décisions de pilotage adéquates et de justifier les ressources, en particulier financières allouées à la cyber sécurité. D’autres documents fournissent des recommandations intéressantes comme le NIST 800–55 (performance measurement guide for information security) et la norme ISO 15939 (processus de mesure pour l’ingénierie des systèmes et du logiciel).

Les indicateurs

Les thèmes qui peuvent faire l’objet d’indicateurs sont variés : les incidents, les niveaux de durcissement systèmes et réseaux, la sensibilisation des employés, les plans de remédiation d’audit, les plans de traitement des risques, le niveau de sécurité des sous-traitants, la continuité des activités et la protection physique des bâtiments. La fréquence de collecte des informations de mise à jour des indicateurs doit être adaptée aux moyens de l’entité. Trop élevé le rythme sera difficile à maintenir sur la durée, trop faible cela ne sera pas suffisant pour prendre les bonnes décisions. On distingue généralement les mesures de performance des mesures d’efficacité. Les mesures de performance expriment un niveau de conformité d’une mesure de sécurité. Par exemple le pourcentage de serveurs à jour en termes de correctifs de sécurité. Les mesures d’efficacité sont orientées sur les risques et les conséquences sur l’atteinte des objectifs de sécurité. Par exemple l’évaluation d’une formation des développeurs ou d’une campagne de sensibilisation des employés. C’est ce type d’indicateurs orientés vers les objectifs de sécurité qui seront particulièrement utiles dans le cadre de la revue direction pour évaluer l’efficacité du SMSI et prendre les actions d’amélioration le cas échéant.

Processus de mesure

La norme ISO 27004 propose de suivre les étapes suivantes :

• Identifier les besoins. On pourra ainsi intégrer les demandes des parties prenantes (par exemples les clients d’un hébergeur) et les résultats du plan de traitement des risques.
• Sélectionner les indicateurs et mettre en place les moyens techniques et organisationnels pour les produire en définissant clairement les responsabilités. Souvent, il est intéressant d’utiliser des mesures déjà existantes dans des rapports projets ou de conformité par exemple.
• Rédiger des procédures simples pour encadrer le processus.
• Appliquer le processus avec les moyens manuels et automatiques définis préalablement.
• Analyser les résultats. Cette phase, souvent mal conduite par faute de temps, est pourtant très importante. De sa qualité dépend l’intérêt du processus de mesure. Si l’analyse est pauvre, la mesure ne sera pas efficace en termes d’amélioration et deviendra une activité administrative et chronophage sans intérêt. Si l’analyse est de qualité, c’est un gage fort de qualité et d’efficacité pour la sécurité, et aussi à moyen terme d’un gain en termes de coût. Par exemple, des ressources humaines, rares en cybersécurité, mal positionnées ou sous-utilisées peuvent entrainer des surcouts sans réel intérêt pour le niveau réel de protection. Les guides qualité peuvent être dans ce cadre très utile, par exemple le document ISO 10017 sur les techniques statistiques relatives à ISO 9001.
• Evaluer régulièrement le processus de mesure pour l’améliorer le cas échéant. Si on s’aperçoit qu’un indicateur n’est pas ou n’est plus utile, il ne faut pas hésiter à le supprimer et revenir vers l’objectif de cette mesure pour trouver d’autres indicateurs plus pertinents.

PROSICA propose des missions de conseil ciblées pour définir ou améliorer son système de mesure des processus cyber :  contact at prosica.fr.

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :