Tableau De Bord Ssiad
Comment repenser les tableaux de bord SSI? Les tableaux de bord prennent du temps et de l'énergie, parfois pour bien peu de satisfaction à l'arrivée: ils ne sont pas remplis par les équipes, et consultés avec bien peu d'intérêt par la direction. Les RSSI ont donc tout intérêt à concevoir leurs tableaux de bord en allant à l'essentiel. L'intérêt de limiter les indicateurs Face à la masse de travail que représentent l'élaboration et le suivi des tableaux de bord, nul doute que tout RSSI ferait bien de se poser deux questions préalables: Dois-je faire figurer dans mon tableau de bord tout ce dont j'aimerais faire part à ma direction/ tout ce que je suis capable de montrer? L'objectif consiste-t-il à démontrer que je pourrais être ceinture noire d'Excel? Dans les deux cas, une réponse négative s'impose! Encore une fois, le tableau de bord est un outil de pilotage et de communication. A ce titre, il doit présenter uniquement des indicateurs revêtant certaines caractéristiques: Représentativité: il est inutile de faire apparaître des indicateurs qui ne seraient pas reliés à un risque.
Tableau De Bord Ssl.Panoramio.Com
Face à ces problématiques, la solution de facilité viserait à prendre les informations disponibles pour constituer le tableau de bord. Notamment les statistiques fournies directement par les solutions de sécurité, très tentantes …mais n'étant malheureusement pas toujours d'une grande pertinence, ou même biaisées. En effet que représente le nombre de virus bloqués? Que faut-il déduire d'une évolution de ce nombre? L'augmentation du nombre de virus ou de l'efficacité de la solution? S'il faut investir du temps pour élaborer un tableau de bord, autant s'assurer que les indicateurs remontent des informations utiles. Malgré les difficultés précédemment évoquées, il serait faux de croire que l'usage de tableaux de bord sécurité est à réserver aux seules organisations d'un niveau de maturité sécurité très élevé. Bien au contraire, cet outil peut contribuer à renforcer celle-ci, notamment en facilitant la mise en place d'une démarche qualité. L'élaboration du tableau va en premier lieu nécessiter d'exprimer clairement des objectifs fondamentaux à atteindre.
Tableau De Bord Ssi France
D'autre part, certaines informations indispensables à la construction d'indicateurs pertinents ne sont pas toujours disponibles, en raison d'un manque de structuration du SI et des processus IT. Il en va ainsi par exemple des inventaires de biens (matériels, logiciels…), ou bien des critères de classification des risques ou des vulnérabilités. Informations sans lesquelles il devient difficile d'évaluer la bonne application des mesures sur son parc, ou bien de quantifier un risque ou l'exposition à une menace. Egalement, pour que le tableau de bord soit utile, il faut qu'il soit alimenté en données à une fréquence permettant de montrer les évolutions et tendances sur une période donnée. Si les différentes métriques sont trop compliquées à obtenir, les collectes de données ont de grandes chances de ne pas être réalisées en temps et en heure, ou bien de manière simplifiée, ce qui ne permettra pas d'assurer la cohérence et donc l'utilité du tableau de bord dans le temps. La mise en place de collectes de données fiables, selon une procédure et à une fréquence bien cadrée, pour un coût adapté, relève là aussi d'un certain niveau de maturité.
Tableau De Bord Ssi Francais
Ce groupe de travail a été piloté par Alain Bouillé, RSSI, Groupe Caisse des Dépôts. Dans le cadre de ses travaux sur le pilotage des SI, le CIGREF a décidé d'élaborer une série d'indicateurs. Le CIGREF a déjà ainsi mis en place des indicateurs RH. La démarche a été étendue aux indicateurs sécurité. Le CIGREF a mis en place un tableau de bord composé de plusieurs indicateurs sécurité des SI, à la fois d'ordre stratégique et opérationnel. Ces indicateurs sont destinés aux directeurs sécurité des systèmes d'information, risk manager de grandes entreprises. Ces indicateurs ont vocation à alimenter des tableaux de bords destinés à plusieurs cibles: directions générales pour les indicateurs stratégiques (cf graphique), directions métiers fonctionnelles et supports pour les indicateurs opérationnels. Ce nouvel outil répond à plusieurs objectifs: sensibiliser les métiers; communiquer vers les directions générales; mesurer le niveau de maturité de leur politique et pratiques de sécurité; faire progresser et améliorer leur politique de sécurité; s'appuyer sur les bonnes pratiques de la communauté CIGREF; se comparer au sein de leur entreprise dans le temps; se comparer au sein de leur entreprise, entre filiales; se comparer entre entreprises, de taille, secteur et organisation similaires.
Les procédures de sécurité IT sont-elles correctement appliquées par la DSI et les métiers, notamment en matière de protection et de traçabilité des données? Sur cette question, le Cigref recommande d'appliquer trois indicateurs annuels: L e taux de contrôle (nombre d'audits de sécurité effectué sur le nombre d'audits cible); Le taux de conformité (nombre d'audits effectués avec succès sur le nombre d'audits effectués); Le taux de correction (nombre d'audits corrigés sur le nombre d'audits défectueux). Plusieurs éléments permettent de prendre la mesure du niveau de structuration de l'organisation et de la gouvernance de la sécurité du système d'information. Les comités de sécurité stratégique - en général au moins une fois par an - ont-ils bien lieu? Qu'en est-il des comités de sécurité opérationnels - dont la tenue doit être en principe trimestrielle? Enfin, le nombre de correspondants SSI responsables de la bonne application des règles de sécurité informatiques est-il suffisant? Quel est leur nombre au regard du nombre de filiales du groupe?
Ce type de présentations offre l'avantage de mettre en lumière certains constats, et de soutenir ainsi le discours du RSSI. Les codes couleurs: vert pour signifier la conformité, orange pour alerter sur une non-conformité sans mise en danger du SI, et rouge pour les non-conformités qui révèlent un risque. AugmentedCISO pour changer d'avis sur les tableaux de bord Savez-vous qu'il existe désormais un outil conçu par des RSSI pour les RSSI, et qui permet de faire des tableaux de bord plus facilement, plus rapidement, et de façon plus complète? C'est l'une des fonctionnalités et atout d' AugmentedCISO!