Tableau de bord équilibré de la cybersécurité : guide pratique avec des exemples d’indicateurs clés de performance

Un exemple de tableau de bord de stratégie avec des indicateurs de performance qui aborde les tendances émergentes de la cybersécurité.

Les principes directeurs pour la carte de stratégie de cybersécurité. Source : Tableau de bord de la sécurité des données.

Sujets clés de l’article :

Point de départ : Études sur la sécurité des données

Des études régulières sur la sécurité et la protection des données nous donnent une bonne idée de la cause principale des violations de données et des moyens de les prévenir. Dans cet article, nous discuterons d’un exemple de la façon dont ces résultats peuvent être combinés dans une stratégie globale de cybersécurité mesurable par des indicateurs clés de performance (KPI).

Voici les rapports que nous allons utiliser comme référence :

• Rapport sur le coût d’une violation de données par IBM¹ avec des études menées par le Ponemon Institute est l’un des points de référence dans le monde de la sécurité informatique.
• Rapport d’enquête sur les violations de données de Verizon² apporte une perspective différente sur les risques de cybersécurité et les moyens de les aborder.
• Enquête mondiale sur la sécurité de l’information d’EY³ partage les meilleures pratiques que les organisations mettent en œuvre pour faire face aux risques de sécurité des données.
• Rapport FireEye M-TRENDS⁴ rend compte des menaces à la sécurité des données et de leur évolution au fil du temps.

Terminologie : Cybersécurité, Sécurité des données, Protection des données, Confidentialité des données

Commençons par la discussion de la différence entre les termes sûreté/sécurité de l’information et protection des données (confidentialité des données).

• Sûreté/sécurité de l’information concerne le maintien d’une architecture sécurisée pour gérer les données. Pensez à des sauvegardes régulières, à des logiciels de sécurité à jour, à des droits d’accès, à la mise en œuvre de logiciels DLP, etc.
• Protection des données concerne l’utilisation éthique et légale des données – obtenir le consentement et respecter les obligations réglementaires.

Cette différence est importante. Par exemple, dans le cas Facebook–Cambridge Analytica, les données étaient gérées de manière sûre (étaient cryptées et stockées sur un serveur sécurisé), mais elles n’étaient pas gérées de manière responsable selon les réglementations sur la protection des données.

Le terme de protection des données est principalement utilisé en Europe et en Asie, tandis qu’aux États-Unis, le même concept est appelé confidentialité des données. Françoise Gilbert a partagé une bonne explication des différences sur son blog.

Enfin, un terme de cybersécurité est censé couvrir un éventail plus large d’idées, incluant non seulement la sécurité des données mais aussi d’autres systèmes de sécurité. En pratique, il est souvent utilisé de manière interchangeable avec le terme de sécurité des données.

Pourquoi avons-nous besoin de KPIs et de stratégie en cybersécurité ?

Au-delà des idées évidentes, comme savoir comment votre organisation se porte et comprendre la direction à suivre, je mentionnerais ces raisons :

• Être capable de soutenir les arguments avec des données lors de la présentation de nouvelles solutions de sécurité aux parties prenantes.
• Avoir un contexte commercial formulé aide à aligner les initiatives de cybersécurité sur d’autres parties de la stratégie, par exemple, sur le tableau de bord des talents, le tableau de bord IT ou le tableau de bord de la gouvernance d’entreprise.
• Convertir certaines idées vagues comme “environnement commercial hautement sécurisé qui exploite les dernières technologies IT” en quelque chose de plus tangible avec des indicateurs de performance spécifiques.

Comment mesurer quelque chose qui n’est pas encore arrivé

Il peut sembler que la sécurité des données est quelque chose d’intangible et difficile à quantifier et mesurer, car nous ne savons jamais à l’avance quel type de violation de données une organisation devra affronter. Les études empiriques mentionnées au début (voir, par exemple, le rapport IBM Security) partagent un point de vue différent.

La plupart des violations de données sont causées par des facteurs connus tels que :

• Identifiants compromis (19 %)
• Hameçonnage (14 %)
• Mauvaise configuration du cloud (19 %)

Cela nous donne une idée de l’endroit où les efforts de cybersécurité devraient être concentrés.

Bien que nous ne puissions pas prévenir toutes les violations de données, les données montrent que nous pouvons minimiser leur impact sur l’organisation en :

• Mettre en place l’automatisation de la sécurité,
• Avoir une équipe de réponse et un plan de réponse prêts,
• Éduquer les employés, et
• Tester l’environnement de l’entreprise en utilisant des approches comme les tests red team.

Pour les fonctions et actifs commerciaux les plus critiques, nous définirons les objectifs de point de reprise et de temps de reprise, qui peuvent être formalisés dans le tableau de bord pour la reprise après sinistre et alignés avec le tableau de bord de cybersécurité.

Quels cadres d’affaires sont applicables à la sécurité des données ?

Auparavant, nous avons discuté de divers cadres d’affaires qui aident les organisations à articuler et exécuter leurs stratégies. Quels cadres sont applicables à un domaine de cybersécurité ?

Pour obtenir les meilleurs résultats, nous devons combiner divers cadres :

• Nous utiliserons l’analyse PESTEL pour détecter et analyser les nouveaux facteurs de l’environnement externe (voir les objectifs de la perspective apprentissage et croissance). Cela peut inclure des changements dans la législation, comme les lois sur la protection des données, ou des changements perturbateurs que nous avons vus après Covid-19, par exemple, la tendance du travail à distance.
• Nous parlerons beaucoup de la concentration sur les efforts de réponse. Dans ce contexte, divers cadres de hiérarchisation seront utiles.
• Lors de l’élaboration d’une stratégie de sécurité des données, nous devons prendre en compte les actions requises aujourd’hui, dans un avenir proche, et certaines initiatives pour un avenir éloigné. Dans ce contexte, le modèle des trois horizons aidera à mener des discussions disciplinées.
• Pour convertir toutes ces idées déconnectées en une stratégie cohérente, nous utiliserons le cadre du tableau de bord équilibré.

Utilisons les cadres d’affaires mentionnés et les rapports de recherche référencés au début pour créer un exemple de stratégie de sécurité des données.

Perspective financière. Estimation de l’impact financier de la sécurité des données

Les KPI financiers pour la sécurité des données sont indispensables lors de la présentation des initiatives de sécurité aux parties prenantes. La présentation est encore plus impressionnante lorsque des référentiels de l’industrie pertinents peuvent être fournis.

Le rapport de Verizon, ainsi que celui d’IBM (réalisé par le Ponemon Institute), partagent quelques aperçus dans ce contexte. Parfois, les données sont contradictoires. Par exemple, vous trouverez que les coûts d’une violation de données par enregistrement varient considérablement. Le rapport d’IBM donne une fourchette de 150 $ à 175 $, tandis que selon le rapport de Verizon (voir le Data Breach Investigations Report, 2015), il est d’environ 0,58 $. Ken Spinner a partagé quelques explications sur le sujet dans TeachBeacon.

Source : Data Security Scorecard.

Comment pouvez-vous estimer les coûts d’une violation de données dans le cas de votre organisation ?

Cela peut être basé sur les coûts directs et indirects :

• Coûts directs incluent le coût de l’analyse médico-légale, les amendes, les compensations aux clients.
• Coûts indirects se réfèrent à la perte de clients existants et potentiels, d’employés, de partenaires due à une violation de données.

Sur le tableau de bord de la sécurité des données, nous pouvons prendre certains référentiels des études de Ponemon ou Verizon pour la métrique du coût de violation de données par enregistrement et le multiplier par le nombre d’enregistrements à risque.

Pour faire les calculs, nous aurons besoin de quelques données commerciales de base :

• LTV (valeur à vie du client)
• Estimation de la perte de clients due à la violation de données
• Nombre de clients
• Nombre d’enregistrements à risque
• Clients potentiels perdus

La valeur de l'indicateur 'Coût de la violation de données' est calculée en utilisant les valeurs de deux autres indicateurs. Source : Data Security Scorecard.

Respectivement, l’impact direct d’une violation de données peut être calculé comme suit :

• Coûts de la violation de données (coûts directs) = Coût de violation de données par enregistrement * Nombre d’enregistrements à risque

Quant aux coûts indirects, une façon de les quantifier est d’utiliser le taux de perte de clients dû à la violation de données et le LTV :

• Coût de la perte de clients = [Nombre de clients]*[LTV]*[Perte de clients due à la violation de données]/100

De plus, vous pouvez estimer le nombre de clients potentiels qui n’ont pas signé le contrat.

• Coût des opportunités perdues = [Clients potentiels perdus] * [LTV]

Perspective du client. Quantifier les risques de sécurité.

Pour la perspective du client, l’objectif principal est formulé comme suit :

• Atténuer les risques liés à la sécurité et à la protection des données

L'objectif global du client est formulé comme 'Atténuer les risques de sécurité des données'. Ses résultats sont quantifiés par l'indice de 'risque pondéré'. Source : Data Security Scorecard.

Cela est qualifié par ces indicateurs :

• Indicateur avancé Détection précoce et réponse rapide aux risques de données qui est le résultat des objectifs de la Perspective interne
• Indicateur avancé Préparation à la protection des données
• Indicateur retardé Indice de risque pondéré

La logique ici est que l’organisation travaille sur les systèmes de sécurité internes (quantifiés par détection précoce et réponse rapide aux risques de données) et introduit les mesures nécessaires de protection des données (quantifiées par Préparation à la protection des données) pour mieux atténuer les risques de sécurité des données, tels que quantifiés par l’Indice de risque pondéré.

• Lors de l’élaboration d’une stratégie de sécurité des données, assurez-vous que votre équipe comprend la différence entre les métriques pour les facteurs de succès (métriques avancées) et les métriques pour les résultats attendus (métriques retardées).

Discutons en détail des indicateurs du point de vue du client.

Indice pondéré en fonction du risque

L’objectif de cet indicateur est de quantifier le niveau de risque actuel auquel l’organisation est confrontée. Pour ce faire, nous allons quantifier le nombre de violations de données catégorisées par leur niveau d’impact :

• Événements de risque critique, poids 70%
• Événements de risque important, poids 20%
• Événements de risque de niveau moyen, poids 7%
• Événements de risque de faible niveau, poids 3%

Comme vous pouvez le voir, une échelle de poids non linéaire a été appliquée. Avec ce modèle, les violations de données critiques ont le plus grand impact sur la métrique de l’indice, tandis que les événements de faible niveau ont un faible impact.

L'indice pondéré en fonction du risque prend en compte les événements de risque de différents niveaux - des événements de risque critique (le plus grand poids) aux événements de risque de faible niveau (le plus faible poids). Source : Tableau de bord de la sécurité des données.

Cette approche aborde le problème de la manipulation du système de mesure lorsque l’indicateur de contrôle est déplacé vers la zone verte en résolvant des problèmes moins significatifs. Néanmoins, nous devons nous assurer que les événements de risque sont correctement catégorisés.

Si vous êtes intéressé par l’apprentissage sur le calcul des indicateurs d’indice et la prise en compte du poids des indicateurs, alors consultez l’article respectif sur notre site web.

Mesurer la protection des données ou la confidentialité des données

Comme expliqué précédemment, la protection des données concerne l’utilisation éthique et légale des informations personnellement identifiables (PII) et des données similaires.

Les mesures de protection, dans ce cas, sont bien articulées par la législation applicable. En Europe, c’est le RGPD; aux États-Unis, il existe différentes lois selon le domaine d’activité, comme le CCPA, HIPPA, PCI DSS, GLBA.

Un exemple d'indicateur binaire (les états possibles sont 'Oui' ou 'Non' - lorsque la valeur est 'Oui', la performance de cet indicateur est de 100 %, sinon 0 %. Source : Tableau de bord de la sécurité des données.

Si nous prenons le RGPD comme exemple, du point de vue de la mesure, la protection des données peut être suivie par un indicateur d’indice, Préparation à la protection des données, qui est calculé en utilisant des métriques (principalement binaires) telles que :

• Nomination d’un délégué à la protection des données
• Suivi du consentement explicite
• Procédure de notification des violations de données
• Droit d’accès, de rectification, de suppression mis en œuvre
• Droit à la portabilité des données

Ces indicateurs peuvent être détaillés davantage dans les cas les plus spécifiques applicables à l’organisation, à ses produits et services.

Pour assurer la conformité réglementaire, ces indicateurs ainsi que les exigences légales doivent être révisés régulièrement. Cela peut être automatisé par la fonction d’intervalle de mise à jour pour l’indicateur concerné. Voir la section Automatisation ci-dessous pour des exemples plus spécifiques.

Perspective interne. Comment atténuer les risques de sécurité des données

Pour trouver les objectifs et les indicateurs de performance de la perspective interne, nous devons effectuer une analyse des causes profondes et examiner les points de risque/coût identifiés.

Les conclusions dépendront du domaine d’activité et des systèmes d’affaires d’une organisation spécifique. Cependant, certaines tendances communes ont été mises en évidence dans les rapports d’IBM Security et de Verizon. Nous utiliserons ces conclusions pour formuler les objectifs et les indicateurs de performance pour la perspective interne du tableau de bord.

Les moteurs de la stratégie de cybersécurité. L'objectif 'Détection précoce' est soutenu par deux sous-objectifs - 'Développer un plan d'atténuation des risques' et 'Réduire la complexité de l'IT' - tous avec leurs indicateurs de performance et initiatives respectifs. Source : Tableau de bord de la sécurité des données.

Détection précoce et réponse rapide aux risques de données

Si une violation de données se produit, une réponse rapide en termes de détection et de réaction réduirait considérablement les coûts.

Sur le tableau de bord, cela est quantifié par deux indicateurs retardés :

• Temps moyen de détection
• Temps moyen de réponse

Les indicateurs retardés quantifient ce qui s’est déjà passé. Comment une organisation peut-elle influencer ces indicateurs ? Les mêmes rapports suggèrent certaines actions qui mènent généralement à une meilleure réponse de sécurité des données.

Un exemple du facteur de réussite - 'Équipes de réponse aux incidents formées' est un facteur de réussite pour minimiser l'impact des violations de données. Source : Tableau de bord de la sécurité des données.

Sur le modèle de tableau de bord, vous trouverez deux enregistrements alignés avec l’objectif Détection précoce et réponse rapide :

• Équipes de réponse aux incidents formées. Cet enregistrement est marqué comme un facteur de réussite. Selon le rapport IBM Security, c’est l’une des causes principales de la minimisation des impacts des violations de données.
• Détection des accès aux données à haut risque. Avec cette initiative, votre équipe peut prioriser ses efforts en fonction de l’impact de certains types d’accès aux données. Si vous recherchez une approche plus systématique de la priorisation, consultez l’article sur les cadres de priorisation.

Il y a deux autres indicateurs avancés dans le contexte de l’objectif Détection précoce et réponse rapide. Tous deux sont basés sur les conclusions des rapports de sécurité des données mentionnés ci-dessus :

• Élaborer un plan d’atténuation des risques
• Réduire la complexité de l’informatique

Discutons-en en détail.

Développer un plan d’atténuation des risques

Avoir un plan d’atténuation des risques est un facteur de succès pour une réponse plus rapide à la violation de données.

Comment pouvons-nous nous assurer que le plan existant pour la sécurité des données est bon ?

Il devrait être basé sur un modèle de risque à jour qui reflète la manière dont les données sont gérées dans l’organisation. Sur la carte de stratégie, cela est quantifié par l’indicateur précurseur Audits réguliers de sécurité des données qui est expliqué dans les perspectives Apprentissage et Croissance.

Comment savons-nous que le plan de réponse aux risques proposé est réellement efficace ?

En plus des mises à jour régulières du plan de risque, nous pourrions tester l’application du plan développé en pratique. Cela est quantifié par l’indicateur de retard, Test de réponse aux incidents.

Réduire la complexité des TI et des données

Les études empiriques nomment plusieurs autres facteurs qui aident à minimiser les coûts des violations de données, tels que :

• Complexité de l’infrastructure TI
• Complexité du schéma de données
• Automatisation

Sur la carte stratégique, nous avons formulé ces facteurs dans l’objectif Réduire la complexité des TI et des données.

Les sous-objectifs expliquent comment l'objectif global sera atteint. Source : Tableau de bord de la sécurité des données.

Dans ce cas :

• Réduire les complexités des données et des TI est un raisonnement pour l’objectif
• Limiter l’accès aux données les plus précieuses est l’un des facteurs de réussite pour réduire la complexité des solutions TI requises
• Automatiser les tests de vulnérabilité et la conformité est une initiative large pour l’automatisation TI de la sécurité

Enfin, si minimiser la complexité est nommé comme un des facteurs pour une meilleure réponse aux violations de données, comment pouvons-nous quantifier cela ?

La réponse est individuelle et dépend du paysage TI de votre organisation. Pour ce tableau de bord, il y a un exemple d’Indice de complexité de la sécurité des données qui est compilé à partir d’indicateurs tels que :

• Nombre d’utilisateurs avec le niveau d’accès le plus élevé. La fonction d’optimisation pour cet indicateur est définie sur « Minimiser de façon linéaire », car réduire le nombre d’utilisateurs ayant accès aux données sensibles améliorera la performance globale de l’indice.
• Temps pour désactiver les identifiants de connexion. 7 % des violations de données ont pour cause racine un initié malveillant. Désactiver rapidement les identifiants de connexion est l’une des mesures de sécurité TI qui peut réduire ce pourcentage. L’intervalle de temps acceptable, dans ce cas, est très court. Pour refléter cette idée sur le tableau de bord, la fonction d’optimisation pour cet indicateur est décroissance exponentielle.

La fonction de performance pour cet indicateur est réglée sur 'Décroissance exponentielle'. Comme on le voit sur le graphique de jauge, la zone verte pour cette métrique est relativement petite, ce qui signifie que le temps acceptable pour désactiver les identifiants de connexion est de quelques heures, pas de jours. Source : Tableau de bord de la sécurité des données.

• % des données sensibles contrôlées par le logiciel DLP. Les solutions de prévention des pertes de données sont l’un des moyens d’automatiser la sécurité TI. Tant que les organisations traitent de nouvelles données, il est important de réviser régulièrement les modèles de données pour s’assurer que les données sensibles sont accessibles par les outils DLP (Data Loss Prevention).
• Chiffrement et sauvegarde des données automatisés. Similaire à l’indicateur précédent, nous sommes intéressés à avoir un modèle de données à jour et à nous assurer que les données sensibles sont correctement gérées.
• % de logiciels de sécurité à jour. Cette métrique semble simple, mais les études racontent une autre histoire. La cause racine de 16 % des violations de données est une vulnérabilité dans un logiciel tiers. Les fournisseurs de logiciels publient régulièrement des mises à jour qui corrigent les vulnérabilités. Avoir les dernières mises à jour installées est l’un des facteurs de réussite pour minimiser les risques de sécurité.
• Couverture d’automatisation, % l’indicateur compare le niveau d’automatisation possible avec le niveau d’automatisation actuel. Une automatisation plus élevée réduit l’impact des facteurs humains et réduit la complexité pour les parties prenantes.

Un exemple de comment quantifier la complexité avec un indicateur de style indice, où les sous-indicateurs contribuent à l'indice avec un poids différent. Source : Tableau de bord de la sécurité des données.

Ce ne sont que des exemples de quelques métriques qui peuvent quantifier la complexité dans le cas de la sécurité des données. Une approche plus robuste de la complexité devrait inclure une analyse plus approfondie des parties prenantes, trouver les points de mauvaises complexités et élaborer une stratégie de réduction de la complexité. Dans l’article précédent, nous avons discuté des métriques de complexité et des moyens de les appliquer en pratique.

Perspective apprentissage et croissance

Dans cette perspective, nous avons deux grands objectifs :

• Audits réguliers de sécurité des données objectif qui aide à se concentrer sur une infrastructure appropriée pour la sécurité des données.
• Former les employés à la sécurité des données objectif qui se concentre sur la fourniture à votre équipe des connaissances et compétences à jour nécessaires pour prévenir les violations de données ou minimiser leur impact.

Les moteurs d'apprentissage et d'infrastructure de la stratégie de cybersécurité - 'Audits réguliers de sécurité des données' et 'Formation des employés à la sécurité des données'. Deux objectifs importants accompagnés d'initiatives, d'indicateurs avancés et retardés. Source : Tableau de bord de la sécurité des données.

Examinons comment ces objectifs sont formulés sur la carte stratégique.

Audits réguliers de la sécurité des données

Nous avons un raisonnement Analyser les risques de cybersécurité aligné avec l’objectif. Quels sont ces risques typiques de cybersécurité ? Dans la description du raisonnement, nous avons quelques exemples :

• Cyberattaques
• Rançongiciels
• Logiciels malveillants
• Menaces internes
• Identifiants perdus/volés
• Accès non autorisé
• Perte de données
• Corruption de données

Le besoin d'une analyse régulière des risques de cybersécurité est formulé comme une initiative. L'indicateur aligné 'analyse régulière des risques' montre le progrès réel pour cette initiative. Source : Tableau de bord de la sécurité des données.

Il y a une hypothèse, Le travail à distance impacte la sécurité des données alignée avec l’objectif. Pour de nombreuses organisations, le travail à distance faisait partie de leur stratégie anticrise en réponse à la Covid-19.

Il existe deux indicateurs avancés :

• Analyse régulière des risques – une analyse générale des nouveaux risques
• Évaluer régulièrement le risque des données sensibles – une analyse plus spécifique dans le contexte des données sensibles

Les deux indicateurs sont configurés pour être mis à jour sur une base trimestrielle.

L'intervalle de mise à jour pour 'Évaluer régulièrement le risque des données sensibles' est configuré pour les trimestres. Le logiciel contrôlera que l'indicateur est mis à jour régulièrement et que les nouvelles données sont enregistrées aux dates autorisées par l'intervalle de mise à jour (premier jour du trimestre dans cette configuration). Source : Tableau de bord de la sécurité des données.

Il existe plusieurs mesures qui aident à quantifier les efforts de l’équipe de sécurité dans l’analyse de la situation de risque actuelle et l’apprentissage qui en découle :

• Scan de vulnérabilités – généralement, un scan automatisé effectué par l’équipe informatique
• Test d’intrusion (test de pénétration) – une simulation d’une cyberattaque
• Test de l’équipe rouge – test de sécurité à plus grande échelle impliquant plus de participants

Les KPI respectifs sont configurés pour différents intervalles de mise à jour :

• Le scan automatisé des vulnérabilités peut être effectué hebdomadairement ou mensuellement.
• Selon le modèle de risque, un test de pénétration peut être effectué trimestriellement.
• Enfin, l’indicateur pour le test de l’équipe rouge, le plus gourmand en ressources, est configuré pour un intervalle de mise à jour semi-annuel ou annuel.

Les procédures d’analyse et de test des risques sont conçues pour trouver les points faibles du système de sécurité. Comment savons-nous que les enseignements tirés de ces simulations et tests sont effectivement mis en œuvre ? Pour trouver la réponse à cette question, nous pouvons suivre :

• L’indicateur du nombre de violations de données récurrentes.

Si la violation de données du même type se répète, c’est un signe que le plan de mitigation des risques suggéré par l’équipe de sécurité n’est pas aussi efficace que prévu.

Former les employés sur la sécurité des données

Le facteur humain reste l’un des plus grands risques de tout système de sécurité des données. Selon le rapport IBM Security, environ 36 % des violations de données malveillantes sont associées au comportement humain (hameçonnage, ingénierie sociale, identifiants compromis).

Comment la stratégie de sécurité des données peut-elle être conçue pour atténuer efficacement ces risques ?

L’une des solutions est d’automatiser certaines opérations et de réduire le rôle de l’opérateur humain. Cela résonne beaucoup avec l’objectif de réduction de la complexité que nous avons discuté dans la perspective interne.

La liste des initiatives et leurs statuts. Source : Tableau de bord de la sécurité des données.

Pour le reste des cas, où l’automatisation n’est pas possible ou n’est pas rentable, l’éducation est une réponse. Comment concentrer les efforts éducatifs dans le contexte de la sécurité des données ? Nous pouvons utiliser une paire d’indicateurs avancés et retardés !

• Indicateur avancé : le taux de pénétration de la formation en sécurité des données peut être utilisé pour suivre la couverture de la sensibilisation à la sécurité des données, où les participants peuvent apprendre, par exemple, les pratiques de hameçonnage et les moyens de les éviter.
• Le meilleur indicateur retardé, dans ce cas, devrait se concentrer sur l’impact tangible de la formation à la sensibilisation. Si la compréhension des pratiques de hameçonnage était l’un des sujets de la formation, effectuez un test de hameçonnage et voyez si les employés utilisent réellement les enseignements de la formation. Cela peut être quantifié sur le tableau de bord avec l’indicateur de taux de réussite du test de hameçonnage.

Si éduquer les employés sur la sécurité des données est votre priorité actuelle, alors votre équipe de sécurité peut concevoir un tableau de bord d’évaluation de la formation en utilisant le modèle des niveaux de Kirkpatrick, comme discuté dans cet article.

Automatisation pour le tableau de bord de sécurité des données

Nous avons discuté d’un exemple de tableau de bord stratégique qui aide à décrire, mettre en œuvre et exécuter la stratégie de sécurité des données dans votre organisation.

Ce tableau de bord est disponible comme l’un des modèles gratuits dans BSC Designer Online afin que vous puissiez vous inscrire avec un compte gratuit et commencer à le personnaliser selon vos besoins.

Connaître le coût total de la stratégie

Nous avons mentionné qu’une des raisons d’avoir une carte de score pour la sécurité des données est qu’elle facilitera la présentation de nouvelles initiatives aux parties prenantes.

Le coût de la stratégie suggérée est l’une des premières questions qui seront posées. Le coût d’exécution de la stratégie peut être estimé comme la somme des coûts de tous les objectifs commerciaux et de leurs initiatives respectives.

Le rapport 'Coût de la stratégie' pour la carte de score de la cybersécurité résume les budgets (alloués et réellement utilisés) de toutes les initiatives. Source : Carte de score de la sécurité des données.

Si vous utilisez BSC Designer comme outil d’automatisation, vous pourrez attribuer des budgets aux initiatives et contrôler leur utilisation. Le logiciel sera capable de générer un rapport de coût de la stratégie pour présenter un coût total attendu pour exécuter la stratégie.

Visualisez les données importantes sur les tableaux de bord

Une autre demande typique des parties prenantes est d’avoir les données nécessaires pour prendre les bonnes décisions (nous avons parlé auparavant des décisions fondées sur des données). En soi, la carte stratégique contient beaucoup de données. Une autre approche consiste à construire un tableau de bord BI qui peut être configuré pour afficher les indicateurs les plus importants et leurs données.

Dans le modèle de stratégie pour cet article, nous avons deux tableaux de bord (vous pouvez basculer entre eux).

 

An example of the BI dashboard for cybersecurity: the time chart for critical risk events, the evolution of weighted risk index, charts for some specific indicators, the Gantt chart for the response initiatives, the list of risks and their statuses. Source : Data Security Scorecard.

Le tableau de bord de l’indice de risque est exclusivement axé sur les indicateurs de l’indice de risque que nous avons utilisés pour quantifier la situation de risque actuelle. Avec les diagrammes du tableau de bord, nous pouvons voir :

• Risques actuels visualisés sur les graphiques à jauge
• Comment l’indice de risque a changé au fil du temps
• La contribution de chaque indicateur à l’indice de risque sur le graphique de pondération

Second dashboard in the cybersecurity scorecard focuses exclusively on the complexity index, its evolution over time, and the state of its indicator. Source : Data Security Scorecard.

Un autre tableau de bord est l’indice de complexité de la sécurité des données. Comme nous l’avons discuté, les mauvaises complexités des systèmes de sécurité sont un facteur de risque accru de violation de données. Ce tableau de bord visualise l’état actuel de la complexité tel que quantifié par les indicateurs sélectionnés.

Analyser les données de performance

La collecte de données de performance sous forme de KPI est quelque chose que la plupart des organisations font régulièrement. Peu importe l’outil d’automatisation utilisé, il y a beaucoup de données disponibles.

La question est toujours de savoir comment utiliser ces données et les convertir en informations exploitables. Certaines idées émergent lorsque l’équipe discute d’une carte stratégique ou d’un tableau de bord ; d’autres idées peuvent être automatisées.

Dans ce sens, la fonction Analyse dans BSC Designer aide beaucoup. Voici quelques exemples :

• La plupart des indicateurs dont nous avons discuté doivent être mis à jour régulièrement. Avec l’analyse Temps de mise à jour, vous pouvez trouver les indicateurs qui doivent être mis à jour bientôt ou ceux qui n’ont pas été mis à jour à temps. Cela peut également être automatisé avec la fonction Alertes.
• Chaque indicateur du tableau de bord a son poids qui reflète l’importance de l’indicateur. Avec l’analyse Poids absolu, vous pouvez trouver les indicateurs avec le poids le plus élevé. Par exemple, dans notre exemple, l’indicateur Temps moyen pour détecter a l’un des poids les plus élevés. Si votre équipe envisage de travailler sur plusieurs initiatives, et que l’une d’elles promet de détecter les violations de données plus rapidement, alors donnez priorité à celle-ci.
• Parfois, des découvertes intéressantes peuvent être faites simplement en regardant comment les données de performance ont changé. Un gain ou une perte rapide est le signe de nouveaux facteurs qui devraient être analysés. Pourquoi l’indicateur Événements à risque moyen a-t-il subi une perte de 30 % – était-ce le résultat d’une mise à jour interne du système, ou est-ce un problème de rapport ?

L'analyse 'Poids absolu' aide à trouver les indicateurs qui ont le plus grand impact (poids absolu le plus élevé) sur le tableau de bord. Dans ce cas, les 'Événements à risque critique' et le 'Temps moyen pour détecter' ont le plus grand impact. Source : Tableau de bord de la sécurité des données.

Cartographier les justifications, facteurs de réussite et résultats attendus

Dans le cours gratuit de planification stratégique, nous avons discuté de l’importance de comprendre le contexte commercial d’un objectif. Il ne suffit pas d’avoir un objectif bien décrit, il est important de comprendre le raisonnement derrière, ses facteurs de réussite et les résultats attendus qui sont précieux pour l’organisation.

La liste des initiatives, leurs statuts, et l'avancement des indicateurs alignés avec elles. Source : Tableau de bord de la sécurité des données.

Jetez un œil à l’objectif Réduire la complexité de l’informatique et des données du modèle de tableau de bord :

• Il y a un enregistrement de justification Réduire les complexités des données et de l’informatique qui explique pourquoi cet objectif est important : « La complexité élevée des systèmes logiciels et de l’infrastructure de données est un facteur de risque pour la violation des données. »
• Il y a aussi un facteur de réussite de la réduction des complexités – Limiter l’accès aux données les plus précieuses. Cela a tout son sens dans le contexte de l’objectif – moins d’accès aux données sensibles réduit la complexité du schéma de données et réduit les risques de violations de données en conséquence.

Dans certains cas, nous n’avons pas de plan fixe pour réaliser quelque chose, mais nous traitons une hypothèse éclairée. Les utilisateurs de BSC Designer peuvent ajouter une hypothèse à leurs objectifs. Dans notre exemple, il y avait une hypothèse, Le travail à distance impacte la sécurité des données alignée avec Des audits réguliers de la sécurité des données.

Connaître les résultats attendus est également crucial. Par exemple, pour l’objectif de Former les employés à la sécurité des données, nous avons un résultat attendu appelé Gestion responsable des données. Qu’est-ce que cela signifie en pratique ? Comment pouvons-nous quantifier cela ? Ces questions ouvrent la porte à une discussion intéressante.

Créer des initiatives avec des budgets, des responsables et des statuts

Pour combler l’écart entre la planification stratégique et l’exécution, utilisez les initiatives pour les objectifs. Prenons l’initiative Automatiser les tests de vulnérabilité et la conformité alignée avec Réduire la complexité de l’informatique et des données.

Un exemple d'initiative stratégique avec budget et calendrier assignés. L'impact de l'initiative est quantifié par l'indicateur 'Couverture de l'automatisation' (voir le champ 'KPI aligné'). Source : Tableau de bord de la sécurité des données.

• Comment votre équipe va-t-elle exactement travailler sur cette initiative ? Utilisez le champ description pour ajouter un plan d’action détaillé.
• Comment est-elle alignée avec d’autres plans de mitigation des risques ? Utilisez la section documents pour lier les ressources pertinentes. Dans notre exemple, nous avons lié à l’exemple de tableau de bord informatique.
• Qui est responsable de cette initiative ? Assignez des responsables afin qu’ils reçoivent une notification lorsque quelque chose de pertinent se produit.
• Quel est le statut actuel de l’initiative ? Mettez à jour le statut en fonction de l’avancement de votre équipe sur l’initiative.
• Comment pouvez-vous suivre les progrès dans le contexte de cette initiative ? Dans notre exemple, nous l’avons liée à l’indicateur couverture de l’automatisation, % qui forme un indice de complexité de la sécurité des données.

Session : 'Introduction au tableau de bord équilibré par BSC Designer' est disponible dans le cadre du programme d'apprentissage continu de BSC Designer, proposé à la fois en atelier en ligne et sur site. En savoir plus....

Conclusions

Dans cet article, nous discutons d’un exemple de stratégie de sécurité des données. Voici les idées les plus importantes que nous avons discutées :

• Il existe des facteurs de risque connus de violation de données, ainsi que des moyens éprouvés pour minimiser l’impact des incidents de sécurité.
• Aidez vos parties prenantes à comprendre les coûts directs et indirects des violations de données.
• Concentrez votre stratégie sur la détection précoce des problèmes et une réponse rapide.
• Ayez un plan de mitigation des risques et une équipe de réponse pour diminuer l’impact des violations de données.
• Réduisez les mauvaises complexités des systèmes informatiques et des schémas de données.
• Mettez à jour régulièrement les modèles de risque, testez votre environnement de sécurité.
• Le facteur humain est l’un des points de risque – éduquez votre équipe, observez les changements de comportement, pas seulement les scores aux examens formels.

Et ensuite ? Une bonne stratégie cybernétique est faite sur mesure selon les besoins de votre organisation. Utilisez le modèle de stratégie de sécurité discuté dans cet article comme point de départ pour commencer à construire votre propre stratégie de sécurité des données. N’hésitez pas à partager vos défis et vos découvertes dans les commentaires.

Exemples d’application dans le secteur de la cybersécurité

Découvrez comment les professionnels utilisent la plateforme BSC Designer pour aborder et automatiser les défis liés à la stratégie de cybersécurité.

Utiliser le modèle Tableau de bord de la sécurité et de la protection des données

BSC Designer aide les organisations à mettre en œuvre leurs stratégies complexes :

1. Inscrivez-vous pour un plan gratuit sur la plateforme.
2. Utilisez le modèle Tableau de bord de la sécurité et de la protection des données comme point de départ. Vous le trouverez dans Nouveau > Nouveau tableau de bord > Plus de modèles.
3. Suivez notre Système de mise en œuvre stratégique pour aligner les parties prenantes et les ambitions stratégiques dans une stratégie globale.

Commencez dès aujourd'hui et voyez comment BSC Designer peut simplifier la mise en œuvre de votre stratégie !