Piloter la performance de la cybersécurité : un guide pour les RSSI et les entreprises

Piloter la performance de la cybersécurité : un guide pour les RSSI et les entreprises

Les cyberattaques et les brèches ne sont pas près de disparaître. La fréquence et le coût des cyberattaques s'accélèrent. À l'échelle mondiale, on estime que le coût de la cybercriminalité est passé de 445 milliards de dollars en 2015 à plus de 2 200 milliards de dollars aujourd'hui. La fréquence et l'ampleur des violations de données connaissent une croissance exponentielle dans tous les secteurs. En 2021, des organisations de premier plan dans presque tous les secteurs ont signalé des attaques majeures, notamment des entreprises technologiques, des entreprises automobiles et des entités gouvernementales.

Pendant ce temps, les progrès de l'IA et de l'internet des objets (IoT), combinés à l'adoption par les organisations, à une vitesse pandémique, de modalités de travail flexibles et à une numérisation généralisée, ont augmenté de manière exponentielle à la fois notre dépendance à la cybersécurité et le potentiel d'attaques. Le passage à la 5G introduit une autre série de vulnérabilités dangereuses liées aux logiciels. Selon le Brookings Institute, "jamais les réseaux et services essentiels qui définissent nos vies, notre économie et notre sécurité nationale n'ont eu autant de participants, chacun dépendant des autres - et aucun d'entre eux n'a la responsabilité finale de la cybersécurité." À l'avenir, l'informatique quantique - qui pourrait se généraliser d'ici 5 à 10 ans seulement - rendra les normes de chiffrement actuelles obsolètes, ce qui aura d'autres conséquences majeures pour la cybersécurité.

La cybersécurité est devenue une priorité essentielle de la gestion des risques pour les organisations des secteurs public et privé. Les dépenses consacrées à la sécurité de l'information et aux technologies de gestion des risques ont augmenté de façon spectaculaire et devraient atteindre 168 milliards de dollars d'ici à la fin de 2022 . La concurrence pour les rares talents est féroce ; on estime que 3,5 millions d'emplois en cybersécurité dans le monde ne seront pas pourvus cette année. Dans ce contexte, les PDG, les conseils d'administration et les actionnaires sont soucieux de comprendre l'efficacité et la valeur de leur investissement en cybersécurité et sa contribution globale à l'entreprise. Un article récent de Gartner énumère les "cinq questions de sécurité que votre conseil d'administration ne manquera pas de poser", ainsi que leur raison d'être et la manière dont un responsable de la sécurité peut y répondre :

  • Incident : Comment cela est-il arrivé ? Je pensais que vous aviez tout sous contrôle ? Qu'est-ce qui a mal tourné ?
  • Compromis : On dirait que nous sommes sûrs à 100% ? En êtes-vous sûrs ?
  • Paysage : A quel point c'est mauvais dehors ? Que s'est-il passé dans l'entreprise X ? Comment nous situons-nous par rapport aux autres ?
  • Risque : Connaissons-nous nos risques ? Qu'est-ce qui vous empêche de dormir la nuit ?
  • Performance : Affectons-nous les ressources de manière appropriée ? Dépensons-nous suffisamment ? Pourquoi dépensons-nous autant ?

Face à ces questions, les RSSI doivent être en mesure d'évaluer et de rendre compte de la maturité de leur programme de cybersécurité en fonction des risques et des résultats de haut niveau et de démontrer aux membres du conseil d'administration les performances de leur organisation par rapport à son secteur et à ses pairs. Discuter des risques avec les cadres supérieurs s'est également avéré être un défi, en l'absence d'un langage commun pouvant être compris par les parties prenantes techniques et non techniques. Le problème pour les RSSI est que ces parties prenantes ne possèdent généralement pas les connaissances techniques nécessaires pour comprendre les détails des initiatives de cybersécurité, même au niveau du conseil d'administration. Les mesures de sécurité hautement techniques doivent être résumées en informations précises, faciles à comprendre et pertinentes pour les réunions de la direction, du conseil d'administration et des actionnaires. C'est là que la gestion des performances en matière de cybersécurité peut être utile.

La gestion des performances en matière de cybersécurité est un processus permettant d'évaluer la maturité de votre programme de cybersécurité, en reliant systématiquement plusieurs niveaux de risque, de mesures, d'investissement et de rendement. Lorsqu'elles font partie d'un processus cohérent et continu, ces mesures dynamiques fondées sur des données sont des indicateurs précieux de la posture de cybersécurité d'une organisation. La mise en place d'un programme de gestion des performances en matière de cybersécurité permet d'établir une base de référence et de hiérarchiser ce qui est important pour l'entreprise, en garantissant l'alignement avec les objectifs organisationnels et l'appétit pour le risque, en améliorant la visibilité et en obtenant de meilleurs résultats de votre investissement dans la sécurité. La mesure des performances en matière de cybersécurité à l'aide d'une série d'indicateurs pertinents permet aux organisations de cibler les améliorations et de réduire la vulnérabilité par des mesures correctives.

La gestion des performances en matière de cybersécurité permet aux DSI et aux RSSI de répondre aux questions précédentes, ainsi qu'à d'autres :

  • Quelles sont nos performances par rapport au(x) cadre(s) de contrôle de la cybersécurité que nous avons adopté(s) ?
  • Quel est notre niveau de maturité actuel ?
  • Réalisons-nous des investissements adéquats ? Si ce n'est pas le cas, où les investissements doivent-ils être augmentés et pourquoi ?
  • Quel est notre taux d'investissement idéal en matière de cybersécurité ?
  • Quel sera notre niveau de risque une fois notre taux d'exécution atteint ?

Les organisations doivent introduire un cadre robuste de gestion des performances en matière de cybersécurité dans le cadre d'un programme plus vaste de transformation de la cybersécurité. Son objectif est de suivre les progrès et l'impact de l'exécution du programme tout en fournissant une image complète de la maturité de la cybersécurité. Le cadre doit être mis en œuvre, revu et amélioré au fil du temps pour réaliser avec succès sa stratégie de cybersécurité.

I. Un cadre efficace de management de la performance de la cybersécurité

A. Définir la stratégie et la direction à suivre pour établir la pratique de la cybersécurité dans l'organisation

Un cadre de gestion des performances efficace découle de la stratégie de cybersécurité, qui est elle-même déterminée par la vision et la mission du programme de cybersécurité. La vision et la mission de la cybersécurité jouent un rôle essentiel dans la communication de l'objectif de la cybersécurité aux parties prenantes, dans l'élaboration d'une stratégie de cybersécurité et dans la mesure de ses performances et de son succès.

Il est extrêmement important d'aligner l'orientation de la cybersécurité sur la stratégie de l'entreprise afin de refléter le contexte interne et externe, d'atténuer les risques et de permettre l'activité. Un cadre solide de gestion des performances est défini de haut en bas. Les indicateurs clés de performance (KPI) et les mesures sont dérivés des initiatives visant à atteindre les objectifs stratégiques liés aux domaines d'intervention et aux capacités de la SC (par exemple, risque, gouvernance, conformité, défense) qui façonnent la pratique de la cybersécurité et garantissent l'alignement sur l'activité.

B. Quantifier la posture et la maturité en matière de cybersécurité

Si la plupart des organisations sont conscientes des cyber-risques, la maturité des programmes de cybersécurité est inégale. Il est d'une importance vitale pour les organisations d'avoir une compréhension précise de leur situation et de la meilleure façon de l'améliorer. Une performance robuste en matière de cybersécurité commence par un cadre bien défini qui permet aux organisations d'élever et de comparer les performances dans un large éventail de capacités de cybersécurité, notamment la stratégie, l'alignement commercial, les modèles opérationnels, la gouvernance, les risques, la conformité, la défense, etc. Les organisations doivent établir un cadre détaillé de cybersécurité. Ce cadre identifie des initiatives pour façonner les pratiques de cybersécurité et définir la direction, faire appliquer la stratégie, renforcer les capacités cybersécurité et sécuriser l'entreprise. Il reflète les normes internationales et les meilleures pratiques du NIST, de l'ISO 27001 et de Gartner. Parallèlement au cadre, un modèle de maturité adapté a été établi et défini, indiquant les niveaux de maturité pour chaque capacité de cybersécurité. Le modèle est utilisé dans les évaluations du bilan de santé pour déterminer la base de référence, ainsi que des objectifs annuels progressifs pour la maturité de la cybersécurité.

La mesure et la gestion des performances en matière de cybersécurité devraient permettre aux RSSI de générer automatiquement des tableaux de bord dynamiques et visuels à l'usage du conseil d'administration, de l'équipe de direction et des opérations de sécurité. En plus de fournir une image des risques et des performances actuels, des tableaux de bord bien conçus sont liés à des objectifs stratégiques et de maturité à plus long terme, mettant en évidence les lacunes, les besoins d'investissement et les responsabilités.

C. Définir le cadre de gestion et les mesures de la performance en matière de cybersécurité

Le cadre de gestion des performances permet de mesurer le succès grâce à trois séries de mesures, chacune étant axée sur un aspect différent des performances. Du plus granulaire au plus stratégique :

  1. L'indice d'exécution permet de suivre la mise en œuvre des initiatives stratégiques. Il répond à la question : sommes-nous sur la bonne voie ?
  2. L'indice de maturité mesure les progrès des capacités de sécurité. Il répond à la question : nous améliorons-nous ?
  3. Les indicateurs clés de performance transformationnels surveillent l'impact de la réalisation de nos objectifs stratégiques vers une organisation de sécurité plus robuste. Ils répondent à la question suivante : réalisons-nous un impact sur l'entreprise ?

Chaque mesure de performance est composée d'ensembles connectés d'indicateurs clés de performance. Les KPI sont les indicateurs critiques de la progression vers un résultat escompté. Ils permettent d'orienter les améliorations stratégiques et opérationnelles, de créer une base analytique pour la prise de décision et de maintenir l'attention sur ce qui compte le plus. Comme l'a dit Peter Drucker, "ce qui est mesuré est fait".

Dans le cadre de la gestion des performances, chaque initiative de la stratégie de cybersécurité est traduite en KPI de maturité, qui sont ensuite agrégés en un indice de maturité pour le programme de cybersécurité dans l'ensemble des initiatives. Le niveau de maturité par initiative est calculé en agrégeant les niveaux de maturité individuels de ses KPI. Par exemple, l'"architecture de sécurité" est une initiative qui peut inclure des indicateurs de maturité autour de l'architecture du réseau, de l'architecture des applications et de l'architecture des points d'accès. Un autre exemple est la "protection des points d'extrémité", qui peut se traduire par des indicateurs de performance clés liés à une suite de protection des points d'extrémité, à une solution DLP et à l'intégration d'un centre opérationnel de la sécurité (SOC).

Tous les KPI sont basés sur des mesures. Elles peuvent être qualitatives ou quantitatives, les mesures qualitatives étant rapportées sous forme de mots, de niveaux, d'énoncés et de lettres, et les mesures quantitatives étant rapportées sous forme de chiffres, y compris les proportions et les ratios. Par exemple, "Développement et maintenance des cadres" est un KPI qualitatif, donc mesuré en termes de niveaux de maturité : L1 Cadres non développés, L2 Cadres développés, L3 Cadres incluant des processus de haut niveau, L4 Cadres incluant des parties prenantes pertinentes et L5 Cadres ayant été revus au cours des 12 derniers mois. Les responsables des mesures qualitatives doivent fournir une preuve d'achèvement pour garantir une mesure objective, comme un cadre révisé au cours des 12 derniers mois, un alignement validé ou des changements mis en œuvre et documentés. Le délai entre l'apparition d'un incident et sa détection est un indicateur clé de performance quantitatif, mesuré par le délai moyen entre l'apparition et la détection des incidents de sécurité.

II. Les éléments pour mettre en œuvre la nouvelle approche

Comme pour de nombreux programmes de transformation, la mise en œuvre est la clé du succès de la stratégie de cybersécurité. Dans cette section, nous partageons ce qui fonctionne - certaines décisions qui peuvent porter leurs fruits et les leçons apprises par l'expérience.

A. Le soutien de la direction est essentiel

Le soutien de la direction est le facteur clé de succès le plus important. La gestion efficace des performances en matière de cybersécurité dépend de la volonté des dirigeants de donner la priorité aux efforts d'amélioration de la cybersécurité, de les renforcer et de s'y engager de manière continue.

Ce n'est pas seulement la technologie qui doit changer, mais le comportement des personnes dans toute l'organisation - et cela nécessite l'engagement des dirigeants. Les dirigeants peuvent démontrer leur soutien de plusieurs manières, par exemple :

  • En participant à l'élaboration d'indicateurs clés de performance qui relient la vision et la stratégie de l'entreprise aux performances en matière de cybersécurité.
  • En se formant et en formant le conseil d'administration afin qu'ils puissent poser de meilleures questions et prendre des décisions commerciales qui s'alignent sur les objectifs de cybersécurité.
  • Investir les ressources nécessaires pour atteindre les objectifs de maturité en matière de cybersécurité.
  • Encourager les chefs d'entreprise à s'engager et à s'aligner sur leurs indicateurs clés de performance et leurs objectifs en matière de cybersécurité.

B. Commencer par la stratégie de cybersécurité

La stratégie est le point de départ de l'obtention d'une réelle valeur commerciale à partir d'un programme de cybersécurité. La stratégie de cybersécurité comprend la vision, la mission, les objectifs stratégiques, les initiatives stratégiques, les indicateurs clés de performance et les mesures. Son alignement sur la stratégie et le plan d'investissement de l'entreprise est crucial ; la cybersécurité est un outil commercial essentiel, les organisations devenant de plus en plus grandes consommatrices de technologies et de données. Recherchez des indicateurs clés de performance qui relient la stratégie de cybersécurité aux objectifs stratégiques de l'entreprise.

Assurez-vous que votre stratégie de cybersécurité n'est pas un simple document statique, mais qu'elle comprend un processus défini d'exécution et de suivi des résultats. D'autant plus qu'elle est liée à la gestion des performances, il s'agit d'un effort permanent. Les organisations constatent que l'une des clés du succès consistait à maintenir les progrès sur la bonne voie et à éliminer les obstacles en temps voulu - l'intégration de ce processus dans l'élaboration de la stratégie évitera les retards ultérieurs.

Les KPI doivent être bien définis et pondérés en fonction des objectifs critiques ou fondamentaux de l'entreprise. Une entreprise devrait créer une carte pour chaque KPI, résumant son nom, son ID, l'affiliation à l'initiative, le propriétaire, la fréquence de mesure, la source de données, la description et la justification, la formule de mesure, le niveau de performance, la cible et la pondération de l'indice. En plus d'inciter les experts en cybersécurité et les parties prenantes à réfléchir aux détails de chaque KPI, les cartes augmentent la fiabilité du suivi et assurent une cohérence importante entre les différents KPI.

  • Nom du KPI : reflète ce que le KPI est censé mesurer dans un langage facile à comprendre.
  • KPI ID : code d'identité unique à utiliser dans le catalogue des KPI.
  • Initiative : nom de l'initiative qui est liée à ce KPI.
  • Propriétaire : personne chargée de fournir les mesures du KPI à l'équipe de gestion des performances, ainsi que les preuves.
  • Fréquence de mesure : cycle de rapport pour le KPI - peut être mensuel, trimestriel ou annuel
  • Source des données : outil ou méthode convenu(e) pour fournir les preuves de la mesure du KPI rapporté - validé ensuite par l'équipe de gestion des performances.
  • Raison d'être et description : expliquer du KPI lui-même et pourquoi il est important.
  • Formule : comment calculer la valeur du KPI
  • Niveau de performance : échelle pour définir les différents niveaux de maturité, à évaluer par rapport à l'objectif fixé.
  • Objectifs : niveau de maturité à atteindre - généralement croissant dans le temps.
  • Pondération : si vous avez un KPI qui a des sous-KPI, la pondération est attribuée aux sous-KPI proportionnellement selon l'importance et la contribution.

C. Disposer d'un processus clair de collecte et de validation des KPI

Clé d'un programme continu efficace, il est important d'établir une équipe formelle de gestion de la performance responsable de l'identification des KPI, de la collecte des rapports et de la validation des données. Les rapports sur les KPI sont recueillis en fonction de leur cycle défini (mensuel, trimestriel, annuel) ou sur demande spécifique de la direction. Les propriétaires des KPI fournissent les valeurs actuelles à l'équipe de gestion des performances, y compris les preuves pertinentes pour assurer la transparence sur la façon dont les valeurs ont été dérivées et corroborer les valeurs fournies. Cette responsabilité claire - propriétaires des KPI, équipe de gestion des performances - est la clé d'un programme continu efficace.

L'équipe de gestion des performances valide ensuite les valeurs. Si les preuves fournies ne correspondent pas aux valeurs soumises, elle demande au propriétaire du KPI de les soumettre à nouveau. Il existe deux niveaux généraux de validation pour chaque KPI :

Niveau 1 : Exactitude de la source des données. S'assurer que les preuves soumises proviennent de la source de données identifiée dans la définition du KPI.

Niveau 2 : Cohérence des données. S'assurer que les preuves soutiennent et sont cohérentes avec la valeur attribuée. Par exemple, si l'indicateur qualitatif indique que "les cadres ont été revus au cours des 12 derniers mois", le journal de la documentation doit montrer les changements intervenus au cours des 12 derniers mois.

Après avoir validé les données, l'équipe de gestion des performances regroupe toutes les valeurs collectées dans un tableau de bord pour en rendre compte à la direction.

D. Utiliser l'analyse des tendances pour suivre la performance en matière de cybersécurité dans le temps par rapport aux objectifs de maturité

Une fois que l'étape de validation est terminée et que les valeurs soumises pour le cycle sont acceptées, l'analyse commence, en comparant les valeurs réelles des KPI avec leurs objectifs. C'est essentiellement l'étape qui nous fait passer de la mesure de la performance à la gestion de la performance. Les rapports d'analyse des tendances doivent mettre en évidence tout écart important par rapport à l'objectif de maturité de la cybersécurité du KPI, ou par rapport aux initiatives d'exécution de la stratégie de cybersécurité. Les résultats sont ensuite fournis à la direction générale qui peut évaluer ces tendances par rapport aux cibles de cybersécurité et aux objectifs stratégiques. 

III. Un plan d'amélioration continue des mesures de cybersécurité

A. Rapports périodiques et réunions de comités

Les mesures des indicateurs clés de performance (KPI) de la cybersécurité, et les niveaux de maturité auxquels elles correspondent, sont des éléments importants pour la prise de décision du RSSI. Mais elles doivent également être partagées au-delà du département de cybersécurité et intégrées aux examens du tableau de bord équilibré de la direction. Cela devrait se faire au moins une fois par trimestre ou, plus couramment, une fois par mois, selon les besoins de l'organisation. Les rapports doivent être générés et partagés tous les mois, en particulier lorsqu'une organisation tente de suivre les effets d'un changement important, ou dans d'autres situations où un retour d'information rapide est nécessaire. Ils permettent aux chefs d'entreprise de surveiller les problèmes de performance et de fournir un soutien en temps opportun.

Il est possible de disposer de deux principaux rapports sur les performances en matière de cybersécurité :

  • Rapport de haut niveau sur les indicateurs de performance en matière de cybersécurité. Des indicateurs sélectionnés, y compris le score du niveau de maturité global ainsi que les scores de maturité pour chaque initiative stratégique. Ce rapport donne à la direction générale une vue d'ensemble des performances en matière de cybersécurité.
  • Rapport détaillé des indicateurs de performance en matière de cybersécurité. Utilisé conjointement avec le rapport de haut niveau, ce rapport plus détaillé comprend les scores de niveau de maturité et l'analyse de chaque indicateur de performance clé, ventilés par initiative et par département. Ce rapport est généralement utilisé par la direction générale de la cybersécurité, en discussion avec les responsables des indicateurs clés de performance.

Un comité de gestion des performances de la cybersécurité est chargé de surveiller les performances et de guider l'exécution des opérations et de la stratégie en matière de cybersécurité. En utilisant le rapport détaillé sur les mesures de performance de la cybersécurité comme principale source de référence, ce comité se réunit tous les mois afin de

  • Examiner les KPI de chaque département (KPI de la stratégie et de l'unité fonctionnelle).
  • Valider les KPI et confirmer qu'ils restent adaptés à l'objectif visé.
  • Contrôler l'état d'exécution des initiatives stratégiques et les étapes cibles.
  • Mettre en évidence et traiter les dépendances et les défis interfonctionnels.
  • Fournir un soutien si nécessaire
  • Réaligner, rafraîchir et améliorer l'orientation stratégique du secteur et l'excellence opérationnelle
  • Surveiller les risques liés à l'exécution de la stratégie et s'assurer que les mesures d'atténuation appropriées sont prises en compte.
  • Améliorer l'exécution stratégique et opérationnelle, en mettant à jour les projets, les tâches, les processus et les procédures, le cas échéant.
  • Approuver toute demande de modification des indicateurs clés de performance.

B. Gestion du changement des KPI de cybersécurité

Les indices de maturité sont utilisés pour mesurer la posture de sécurité globale de l'organisation. Suivant le principe "on obtient ce que l'on mesure", il est important de choisir les bons indicateurs et de les ajuster si nécessaire. En particulier au cours de la première année de fonctionnement, ou lorsque les conditions évoluent rapidement, l'approche doit être suffisamment souple pour permettre de tirer des enseignements de l'expérience. Il n'est pas nécessaire d'attendre la fin d'un cycle d'amélioration. Les indicateurs clés de performance peuvent être ajustés en cours d'année si nécessaire, par exemple si :

  • Les mandats ou la structure en matière de cybersécurité ont changé.
  • De nouvelles réglementations ont été publiées
  • De nouvelles capacités sont nécessaires
  • Le KPI existant ou sa définition ne fournit pas les informations nécessaires.

Pour ajuster un KPI, le RSSI peut exiger qu'une demande de changement (CR) soit remplie par son propriétaire, y compris la justification du changement. Une fois que le responsable du propriétaire du KPI a approuvé la demande, celle-ci est transmise à l'équipe de gestion des performances en matière de cybersécurité pour examen et commentaires. Enfin, une fois que le propriétaire du KPI et l'équipe de gestion des performances sont en phase, le CR doit être approuvé par le comité de management de la performance.

Outre les modifications ponctuelles du type de celles mentionnées ci-dessus, une organisation devrait intégrer un examen et une amélioration périodiques des paramètres dans son processus de gestion des performances en matière de cybersécurité. Cet examen peut porter sur la raison d'être, la formule, les objectifs et le cycle de rapport de chaque indicateur clé de performance. 

IV. Une opportunité pour récolter les bénéfices de la démarche

Les entreprises du monde entier redoublent d'attention à l'égard de la cybersécurité, qu'elles considèrent comme une capacité essentielle à leur activité. De plus en plus, elles reconnaissent la nécessité d'adopter des approches holistiques, intégrées à leur stratégie et à leurs objectifs commerciaux. Après l'introduction de sa stratégie de cybersécurité et son programme de gestion des performances, les organisations peuvent constater une foule d'avantages, notamment :

  • Une stratégie de cybersécurité de bout en bout qui développe les capacités, renforce les contrôles fondamentaux, met en œuvre des contrôles avancés et affine la surveillance.
  • Une gestion robuste des performances en matière de cybersécurité qui joue un rôle important dans l'élévation de la maturité de la cybersécurité, l'amélioration de la responsabilité et l'appropriation des tâches.
  • Une maturité accrue en matière de cybersécurité et un alignement des stratégies dans l'ensemble des filiales du groupe. (soutien et conseil aux filiales pour mettre en œuvre la stratégie de cybersécurité, mesure de leurs capacités en matière de cybersécurité grâce à des ensembles de performances personnalisés pour chaque filiale).

Face à l'augmentation spectaculaire du rythme, de la fréquence et du coût des cyberattaques, les entreprises cherchent à apprendre les unes des autres, en identifiant et en adaptant les meilleures pratiques afin d'aller plus vite et de rester en tête des menaces en constante évolution.

#strategy #cybersecurity #maturity #assessment #KPI #performance #cyberattacks #iso27001 #nistcsf #IT #OT #criticalinfrastructure #RSSI #CISO #ISMS

Alexandre MARTIN

Autodidacte & Polymathe ¬ Chargé d'intelligence économique ¬ AI hobbyist ethicist - ISO42001 ¬ Éditorialiste & Veille stratégique - Muse™ & Times of AI ¬ Techno humaniste & Techno optimiste ¬

2 ans

Merci, hyper intéressant !

Identifiez-vous pour afficher ou ajouter un commentaire

Autres pages consultées

Explorer les sujets