En tant que RSSI, votre priorité est de maintenir la sécurité des systèmes d’information de votre entreprise, tout en améliorant constamment ses performances en matière de cybersécurité.
Mais pour améliorer ces performances, il faut les surveiller : c’est l’objectif des indicateurs clés de performance (ou KPI). L’interprétation de ces données peut être un défi au quotidien, notamment pour votre direction générale. Alors comment savoir si vous êtes au bon niveau de sécurité, ou si vous êtes plus vulnérable aux attaques que les entreprises de votre secteur ?
évaluER sa propre performance en cybersécurité
L’évaluation de la cyber-performance de son organisation est une des clés permettant de garantir la protection de ses actifs informatiques et de ses données (sensibles ou non), ainsi que la confiance de ses clients et partenaires. Mais concrètement, de quoi parle-t-on ? Comment l’évaluer ?
La notion de performance en cybersécurité
Ce concept renvoie à la capacité d’une entreprise à sécuriser son environnement informatique et ses systèmes d’information face à une multitude de cyber menaces en constante évolution. Cette notion englobe :
- la mise en place de politiques de cybersécurité solides ;
- l’application de normes et référentiels de sécurité reconnus ;
- la mesure régulière des performances de l’entreprise via des KPI.
Dans ce cadre, la collecte de données permet de se projeter sur une norme ou un référentiel quelconque, et par la suite de mesurer sa performance. À chaque politique de sécurité correspond un score et/ou des actions régulières à effectuer.
Baptiste David, Product Evangelist chez Tenacy, rappelle tout de même que « dire que vous faites ne suffit pas ! Pour évaluer sa performance, il faut y apporter la notion de contrôle des opérations, avec la vérification des tâches récurrentes, et le suivi de la mesure de la performance autour de tableaux de bord avec les KPI issus des plateformes de cybersécurité de l’entreprise. »
Qu’est-ce qu’un bon indicateur ?
Démarrons par la distinction entre :
- un indicateur d’activité (qui, selon Baptiste David, « est complètement inutile : c’est une valeur qui ne permet aucune prise de décision ») ;
- un indicateur de performance, qui est un ratio mettant en évidence l’atteinte d’un objectif.
Par exemple, le nombre de personnes qui cliquent sur une campagne de phishing ne permet pas de mesurer la performance de la sensibilisation des collaborateurs. En revanche, fixer un objectif tel qu’avoir moins de X % de personnes qui cliquent permet de quantifier la performance et de déterminer si elle est satisfaisante ou non.
Autre exemple concernant la mesure de la performance d’un programme de sensibilisation des VIP d’une organisation (soulignons que nous parlons ici des personnes à risques qui peuvent être la cible d’attaquants et pas seulement la direction générale) : l’indicateur « participation des VIP aux ateliers de sensibilisation » peut être utilisé pour calculer un score de conformité en fonction des politiques et normes de l’entreprise.
Définir les bons indicateurs de performance est donc la première étape du processus d’élaboration de la performance en cybersécurité.
La nécessité de suivre l’évolution des indicateurs dans le temps
Avoir les bons KPI ne suffit pas. La seconde étape du processus consiste à suivre leur évolution dans le temps.
Les indicateurs de performance varient en fonction de nombreux facteurs : changements technologiques, nouvelles menaces, ajustements dans les politiques de sécurité… En suivant l’évolution des indicateurs sur la durée, vous pouvez mesurer les retombées des actions correctives mises en place et détecter les fluctuations et les tendances. Vous avez ainsi entre les mains les pistes de compréhension des forces et des faiblesses de votre politique de cybersécurité.
L’importance des parties prenantes
L’évaluation de la performance ne se fait pas seule : en tant que RSSI, vous avez besoin des acteurs internes de votre entreprise. Responsables métiers, équipes informatiques et utilisateurs finaux détiennent les connaissances et les expertises spécifiques ; leur implication est donc cruciale pour accéder aux ressources nécessaires à l’évaluation de la cybersécurité de votre entreprise. Seul, vous ne pouvez pas trouver l’information dont vous avez besoin !
comparER sES performanceS en cybersécurité
L’interprétation de ces KPI représente un défi, en particulier pour les membres de votre direction générale. Il est donc essentiel d’établir un cadre de référence leur permettant de comprendre facilement les performances et la posture cyber de votre entreprise – et de les comparer à celles de vos concurrents.
Avec cette approche structurée, la prise de décision en matière de cybersécurité sera éclairée et facilitée. Mais comment y parvenir ?
Se comparer aux autres : impossible sans un outil adapté
Pour comparer votre performance, vous avez besoin d’une perspective objective du marché. Vous avez aussi besoin d’éviter les biais ou croyances internes qui fausseraient l’interprétation des indicateurs. Avoir une vision externe est alors indispensable.
Le recours à un benchmark vous permet de vous comparer à des organisations similaires et de mesurer votre performance relative. Il va sans dire que le choix du référentiel doit être adapté à votre taille d’entreprise et votre secteur d’activité : une PME ne se compare pas à une entreprise du CAC40, et les mêmes contraintes de sécurité d’une entreprise du secteur bancaire diffèrent de celles d’une usine de production. Sans un outil adapté, réaliser un tel comparatif est mission impossible.
Bonne nouvelle : Tenacy propose justement la fonctionnalité « benchmark » dans sa plateforme de gouvernance ! Vous pouvez désormais comparer vos scores de conformité avec les politiques publiques de sécurité et ceux de vos pairs (nous tenons à vous rassurer tout de suite, il s’agit bien évidemment de données totalement anonymisées !).
La comparaison pour donner du contexte et comprendre son niveau de performance
Devez-vous vous satisfaire d’un KPI à 80 % ? Impossible de répondre à cette question sans contexte ni élément de comparaison… Un benchmark permet d’interpréter les résultats et de commenter les scores – notamment pour ceux qui ne connaissent pas le domaine ou n’ont pas la culture risque.
Être capable d’associer du contexte et des points de référence à un indicateur de performance permet de le commenter à un instant T et de suivre son évolution dans le temps.
En vous comparant aux entreprises similaires à la vôtre, vous obtenez une meilleure compréhension de votre taux de performance en cybersécurité. Et même si vous (en tant que RSSI) avez cette connaissance du contexte, cela vous permet de donner des clés de lecture à des personnes non expertes comme votre comité de direction.
À ce sujet, Baptiste David rappelle que « pour comprendre les KPI de cybersécurité, il faut une maturité et une connaissance spécifiques. Le benchmark va servir au RSSI, qui doit parler sécurité à des personnes qui n’ont pas de connaissances ou de maturité cyber, généralement les membres du COMEX. Il donnera des éléments factuels pour pouvoir commenter les résultats et appréhender la notion de risque, qui consiste à dire : “regardez, nous ne sommes pas bons alors que les autres y arrivent. Le problème, c’est bien nous” et d’amener à des prises de décision éclairées pour remédier aux problèmes. »
La comparaison pour faire prendre conscience de ses points faibles
La comparaison permet de mettre en évidence les écarts et les lacunes potentielles afin de renforcer sa posture de sécurité. Une entreprise qui est plus mauvaise que les autres sur un item sera plus vulnérable aux attaques que les autres.
Mais attention cependant aux fausses croyances : « ce n’est pas parce que vous avez un bon score que vous ne risquez rien, alerte Baptiste David. Celui qui a le plus mauvais score, même avec un indicateur jugé “bon”, à plus de risques de se faire attaquer que les autres. Et à l’inverse, ce n’est pas parce que vous êtes le meilleur que vous ne risquez rien. Des entreprises certifiées et conformes peuvent aussi se faire attaquer. Il faut éviter le faux sentiment de sécurité. Le risque zéro n’existe pas. ».
La comparaison pour renforcer sa crédibilité et mieux communiquer
La comparaison avec des références pertinentes, telles que des entreprises similaires à la vôtre, renforce la crédibilité de votre entreprise en matière de cybersécurité.
En mettant en place des plans d’action pour améliorer votre niveau de sécurité, vous êtes en capacité de suivre vos indicateurs et d’évaluer si vous comblez correctement vos lacunes. Cette comparaison facilite également la communication des enjeux cyber auprès de personnes non expertes, démontrant ainsi votre engagement dans l’amélioration continue de la performance de votre entreprise dans ce domaine.
LE MOT DE LA FIN
Vous l’avez compris, la comparaison de la performance n’éliminera pas les risques et il faut vous prémunir du faux sentiment de sécurité, lié à la bonne conformité de votre entreprise. Mais savoir se situer par rapport aux autres vous permet de donner du contexte à vos résultats et indicateurs de performance.
Terminons par une bonne pratique, glissée par Baptiste David : « Pour que la démarche de comparaison soit intéressante, faites-le avec franchise et transparence. Ne vous surestimez pas ou ne sous-estimez pas en vous disant “vu que je vais être comparé, je dis que je suis meilleur” ou “au contraire, pour obtenir des budgets supplémentaires, je vais montrer que je ne suis pas bon” ».