Pourquoi les tableaux de bord SSI restent indispensables
Malgré l’ampleur des obstacles rencontrés dans leur élaboration puis dans leur suivi, les tableaux de bord demeurent incontournables. Ils permettent aux RSSI de voir, mais aussi de rendre visible, la cybersécurité en général – et en particulier leurs actions !
Les tableaux de bord pour piloter la sécurité
Aujourd’hui encore, les tableaux de bord SSI restent peu déployés dans les entreprises de plus de 100 salariés. Selon une étude du CLUSIF sur les menaces informatiques et pratiques de sécurité en France (édition 2020), seulement 30% des organisations interrogées (350 au total) en seraient dotées.
Mais à quoi peut bien servir la mise en place d’une politique de sécurité, s’il s’avère impossible ensuite de déterminer le niveau de risque de l’organisation et sa conformité à son (ou ses) référentiel(s) de prédilection ?
La réponse est sans appel : à rien ! Pour protéger l’entreprise, le RSSI n’a d’autre choix que de passer par la case « tableaux de bord », la création d’outils sur–mesure (généralement à base d’Excel) étant le seul moyen pour lui de suivre toutes les actions liées à la SSI et de mettre en place un système d’amélioration continue.
Le tableau de bord joue ainsi deux rôles.
- D’une part, il renseigne et permet le diagnostic. Le RSSI est ainsi en mesure de contrôler la mise en œuvre effective de la politique de sécurité, et ce, à tous les niveaux de l’organisation.
- D’autre part, il permet de réagir, de décider, c’est-à-dire de maîtriser le niveau de sécurité global de l’entreprise en menant les actions appropriées.
Chaque type de tableau de bord répond par ailleurs à un besoin spécifique, raison pour laquelle les RSSI se doivent d’adopter trois vues (hors le monitoring de ce qui se passe en temps réel) :
- la vue opérationnelle, pour détecter les anomalies et incidents, préciser les besoins opérationnels à mettre en œuvre ;
- la vue pilotage, pour permettre la prise de décision, connaître le niveau de conformité et suivre les tendances ;
- la vue stratégique, pour rendre des comptes au COMEX sur la couverture des risques et le niveau de conformité et l’orienter dans ses décisions.
Les tableaux de bord comme outils de communication
Tous les RSSI le savent : les enjeux de la cybersécurité sont encore mal connus et mal compris, ce qui a pour conséquence la difficulté à obtenir des différentes parties prenantes (équipes opérationnelles et direction) les bonnes réactions.
Bien conçu, un tableau de bord peut changer les choses, en permettant au RSSI de se positionner non plus comme un technicien, mais bien comme un expert dont la mission principale est de supporter le business.
Dans ce cas, le tableau de bord SSI devient ainsi un outil gagnant/gagnant, servant à l’organisation ET au RSSI :
- le top management apprécie de comprendre rapidement la situation de la sécurité dans l’organisation et se sent aidé dans la prise de décision ;
- le RSSI augmente ses chances d’obtenir la validation des actions qu’il propose, et le budget qui en découle.
La même remarque vaut aussi pour l’opérationnel. Très souvent perçu comme une contrainte supplémentaire, le tableau de bord peut devenir un outil pour visualiser leur contribution au maintien de la sécurité. À la clé : une collecte des données « mieux vécue » par les collaborateurs, et plus d’informations remontées pour le RSSI.
Le tout sous réserve, bien évidemment, d’en finir avec les tableaux de bord SSI complexes et rébarbatifs !
Comment repenser les tableaux de bord SSI ?
Les tableaux de bord prennent du temps et de l’énergie, parfois pour bien peu de satisfaction à l’arrivée : ils ne sont pas remplis par les équipes, et consultés avec (trop) peu d’assiduité par la direction. Les RSSI ont donc tout intérêt à concevoir leurs tableaux de bord SSI en allant à l’essentiel.
L’intérêt de limiter les indicateurs
Face à la masse de travail que représentent l’élaboration et le suivi des tableaux de bord, nul doute que tout RSSI ferait bien de se poser deux questions préalables :
- Dois-je faire figurer dans mon tableau de bord tout ce dont j’aimerais faire part à ma direction/tout ce que je suis capable de montrer ?
- L’objectif consiste-t-il à démontrer que je pourrais être ceinture noire d’Excel ?
Dans les deux cas, une réponse négative s’impose !
Encore une fois, le tableau de bord est un outil de pilotage et de communication. À ce titre, il doit présenter uniquement des indicateurs revêtant certaines caractéristiques.
- Représentativité : il est inutile de faire apparaître des indicateurs qui ne seraient pas reliés à un risque. Mieux vaut cibler, en commençant par identifier un grand risque par métier, et le décomposer. Cette approche permet la comparaison entre la situation actuelle du système de l’information et celle que le RSSI souhaite atteindre et maintenir à terme.
- Pertinence : les indicateurs pour lesquels il n’existe pas de données disponibles de façon régulière et systématique doivent être écartés, de façon à ne faire figurer dans le tableau de bord que des éléments connus et fiables.
- Adaptation aux destinataires : les indicateurs à retenir pour un tableau de bord opérationnel ne peuvent pas, par essence, être similaires à ceux utilisés dans un tableau de bord stratégique. Nul besoin donc de faire figurer les causes des incidents de sécurité dans un tableau adressé à un COMEX ! L’information intéressera les opérationnels en capacité de changer leurs pratiques, mais pas le top management, qui n’aura pas la solution et se préoccupe davantage de la stratégie.
De l’importance de customiser ses tableaux de bord
Avouons-le : Excel, ce n’est pas sexy. Pour ne pas décourager les destinataires de ses tableaux de bord, le RSSI se doit donc de ruser, en adaptant sa présentation aux attentes.
Concrètement, un tableau de bord agréable à consulter pour un non-sachant est avant tout synthétique. Un tableau de bord SSI stratégique doit ainsi permettre aux décideurs de comprendre très rapidement où se trouvent les problèmes potentiels, et à quel niveau d’investissement il faut consentir pour couvrir le risque.
Bien évidemment, la forme compte également : un bon tableau de bord doit aussi être clair, lisible et même « parlant ». Les RSSI, pour améliorer leur présentation peuvent ainsi avoir recours à deux bonnes pratiques.
- Les représentations visuelles : il est possible de représenter le risque de bien des façons, que ce soit avec un simple schéma en deux dimensions (impact du risque/fréquence par exemple) ou sous forme de radar. Ce type de présentations offre l’avantage de mettre en lumière certains constats, et de soutenir ainsi le discours du RSSI.
- Les codes couleurs : vert pour signifier la conformité, orange pour alerter sur une non-conformité sans mise en danger du SI, et rouge pour les non-conformités qui révèlent un risque.