Les 2 derniers événements organisés par le CRIP (1), la Thématique Sécurité du 28 mars et l’IT Innovation Forum du 11 avril dernier, ont été l’occasion de faire le point sur les tableaux de bord SSI et les attentes spécifiques des acteurs de l’IT en matière de pilotage de la sécurité. Les retours sont très intéressants et nous confortent dans nos idées !
Le groupe de travail du CRIP Thématique Sécurité
Qui a dit que la sécurité n’était pas la priorité des opérationnels de l’IT, ou qu’il était difficile de collaborer avec eux en matière de sécurité ? La matinée du 28 mars consacrée à la Thématique Sécurité a démontré le contraire : les membres du CRIP expriment très clairement un vrai intérêt sur les questions de sécurité et notamment une vraie attente en matière de pilotage opérationnel de la sécurité. Et oui, eux aussi sont en attente d’indicateurs pour pouvoir mieux agir !
Parmi les présentations les plus intéressantes, les résultats du groupe de travail consacré au tableau de bord Sécurité, groupe de travail composé des décideurs IT de 8 grands groupes français (principalement des industriels d’ailleurs).
Ce qu’il faut en retenir :
- Le besoin est unanime de disposer d’un tableau de bord, pertinent pour une DG et utile pour une DSI.
- Des tableaux de bord épurés, sans éléments techniques, visant à la fois le co-pilotage et l’appui des actions par la DG et aussi le marketing des actions de la DSI,
- Des tableaux de bord construits à partir d’indicateurs élémentaires et de leurs objectifs respectifs, cohérents avec les exigences de la PSSI et partagés avec la Sûreté Groupe et/ou la Direction de la Prévention des Risques
- 5 thématiques majeures identifiées : Protection des postes de travail, Protection des serveurs, Protection de la messagerie, Protection des applications, Protection des sites Internet & Intranet
- Un processus de mise en œuvre et de production complexe et coûteux, nécessitant de mobiliser de nombreuses ressources (15jh/mois et bien davantage si collecte manuelle, sans compter la mise en œuvre !)
- Pas d’outillage standard disponible
Le besoin est donc clairement exprimé, mais parvenir à mettre en place un processus industrialisé, qui assure la production des tableaux de bord à fréquence définie et selon des engagements de service définis, nécessite de mobiliser un certain nombre de ressources (humaines et technologiques), demande un certain savoir-faire, et sa mise en place peut durer un certain temps. Et cela, peu d’organisations en sont capables.
Heureusement, il existe aujourd’hui des solutions simples et pragmatiques pour permettre au RSSI et aux équipes de la DSI de mesurer et piloter efficacement le niveau de sécurité délivré, et prendre des décisions éclairées.
Des tableaux de bord sécurité « on demand »
Acteur référent du modèle « Security-as-a-Service », Advens a présenté à l’occasion de ces deux évènements un service innovant pour délivrer des tableaux de bord de sécurité à fréquence définie et selon un modèle « on demand ».
Une solution déjà déployée dans des dizaines d’entreprises et organisations qui bénéficient d’un service prêt à l’usage et disponible à la demande, accessible à des coûts réduits et maîtrisés, et enfin d’une démarche pragmatique et progressive pour des résultats rapides.
Contactez-nous pour recevoir notre note de synthèse sur les tableaux de bord sécurité qui présente les bénéfices d’une démarche efficiente de pilotage, les facteurs clés de succès et le fonctionnement du service.
Pourquoi piloter la sécurité du SI ?
« Le pilotage est au cœur de la démarche de sécurité du système d’information : il permet de mesurer l’efficacité des actions mises en place et de piloter l’amélioration continue. Le RSSI et les équipes de la DSI se dotent ainsi d’un outil pour prendre des décisions éclairées et, au passage, d’un support pour sensibiliser, communiquer et rendre compte. »
Bien plus qu’un simple outil de contrôle technique, le tableau de bord est un véritable outil fédérateur, pour ne pas dire de marketing, qui valorise les actions de la DSI et motive les équipes opérationnelles : l’indicateur s’améliore, oui, grâce aux actions menées à bien par les équipes … La démarche récompense les efforts fournis et facilite ainsi la mise en place des prochains plans d’actions. De plus, le tableau de bord facilite la planification des travaux futurs et la canalisation des efforts, en se concentrant sur des actions dont les gains pour la sécurité sont identifiés et mesurés.
Le processus de pilotage de la sécurité peut rayonner jusqu’aux niveaux hiérarchiques les plus hauts. Un tableau de bord adéquat peut être partagé avec la Direction Générale, lui proposant ainsi une vision simple, globale et consolidée. La direction peut alors piloter la maîtrise des risques. En lien avec les apports pour la DSI, le tableau de bord devient même un outil d’aide à la décision : le choix d’un investissement se faisant à la lumière des bons indicateurs, qui seront exploités pour en mesurer les bénéfices dans le temps.
Il est aussi possible de se tourner vers les directions métier et de leur mettre à disposition des vues spécifiques. Certaines peuvent faciliter le suivi dans le temps des niveaux de service ou la conformité aux exigences réglementaires. Le tableau de bord offre également une source d’information et un espace d’analyse pour comprendre et mesurer le poids du système d’information et son évolution dans les activités métier. Il est alors possible de cadrer et autoriser les nouveaux usages, et la sécurité devient un partenaire des métiers dans la croissance et le développement, bien éloigné de la terne image de l’empêcheur d’innover en rond !
(1) Le Club des Responsables d’Infrastructure et de Production est une association indépendante d’utilisateurs qui rassemble plus de 2 500 responsables d’Infrastructure et de Production IT représentant 230 grands comptes et administrations.