Comment évaluer la performance de vos outils de sécurité

Tout comme leurs homologues de la finance, des ressources humaines ou du marketing, les spécialistes de la sécurité ont de plus en plus recours à des indicateurs de mesure pour suivre leurs activités et mesurer les performances de leurs politiques. Autre avantage, ces évaluations démontrent aux métiers et à la direction tout l’intérêt et le retour sur investissement des projets de sécurité. Pourtant, seul un tiers des managers en sécurité les utilisent.

Néanmoins, l’adoption d’outils pour mesurer l’efficacité de la sécurité ne suffit pas. En effet, l’étude annuelle de l’institut Ponemon sur la sécurité démontre que près de la moitié des mesures utilisées pour évaluer la sécurité ne sont pas alignées aux objectifs stratégiques de l’entreprise. D’où l‘importance de bien choisir les indicateurs. Il convient d’opter pour ceux en lien direct avec des opérations réussies ou de la réduction des risques dans l’entreprise. Ainsi, il devient possible de démontrer aux employés que la sécurité revêt une importance cruciale. Au passage, ils comprendront également qu’ils ont un rôle essentiel à jouer pour améliorer cette sécurité.

Les indicateurs clés de la sécurité informatique

Les mesures des contrôles d’accès illustrent la pertinence de la gestion des autorisations et des rejets d’utilisateurs souhaitant accéder aux données et aux applications :

– Pourcentage des faux positifs d’accès rejetés
– Pourcentage d’utilisateurs nécessitant une réinitialisation de mot de passe au cours des 30 derniers jours

Évaluer la gestion des programmes de sécurité détermine l’efficacité des fonctions administratives de sécurité :

– Nombre de jours depuis lesquels une modification non autorisée a été réalisée
– Taux de modifications effectuées pour améliorer la sécurité
– Durée moyenne pour appliquer des patchs de sécurité

La mesure de la réponse aux incidents est relative aux actions effectuées pour détecter et corriger ces incidents de sécurité. C’est-à-dire les situations dans lesquelles les contrôles de sécurité sont compromis, détournés ou contournés (qu’il y ait ou non perte de données, de confidentialité, d’intégrité ou de disponibilité).

– Nombre moyen d’heures nécessaires pour récupérer d’une défaillance du système
– Pourcentage d’incidents signalés dans un délai spécifié
– Nombre de jours écoulés depuis le dernier incident de sécurité

Les mesures du chiffrement et de l’effacement des données indiquent si l’organisation protège bien ses informations stockées en local ou via un réseau et si les données devenues inutiles sont bien définitivement effacées.

– Pourcentage d’équipements mobiles chiffrés
– Pourcentage de disques durs déclassés ou supprimés

Estimer la formation et la sensibilisation à la sécurité des informaticiens et des employés révèle le niveau d’investissement qui leur est consacré.

– Pourcentage d’employés obtenant plus de 80% de réussite aux tests de sensibilisation
– Moyenne d’heures consacrées à la sensibilisation des employés par an

L’évaluation de la continuité d’activité mesure le niveau de planification et l’efficacité des contrôles et procédures déployés en vue d’assurer le maintien en conditions opérationnelles du système d’information.

– Nombre de jours depuis la dernière panne du système
– Pourcentage de disponibilité des systèmes d’information critiques
– Moyenne du temps de restauration (temps nécessaire pour remettre le système en production)

Enfin, l’estimation de la gestion du risque prouve combien l’entreprise identifie et limite les risques.

– Pourcentage de risques identifiés nécessitant une mesure de limitation qui ont été atténués avec succès et dans les délais prédéfinis
– Nombre de risques dépassant le seuil de tolérance au risque prédéfini
– Nombre moyen de jours entre la détection d’une vulnérabilité et son élimination