Tableau de bord équilibré de la cybersécurité : guide pratique avec des exemples d’indicateurs clés de performance

Un exemple de tableau de bord de stratégie avec des indicateurs de performance qui aborde les tendances émergentes de la cybersécurité.

Carte de stratégie de sécurité des données avec KPI, facteurs de succès et initiatives

Les principes directeurs pour la carte de stratégie de cybersécurité. Source : Voir Tableau de bord de la sécurité des données en ligne dans BSC Designer Tableau de bord de la sécurité des données.

Sujets clés de l’article :

Point de départ : Études sur la sécurité des données

Des études régulières sur la sécurité et la protection des données nous donnent une bonne idée de la cause principale des violations de données et des moyens de les prévenir. Dans cet article, nous discuterons d’un exemple de la façon dont ces résultats peuvent être combinés dans une stratégie globale de cybersécurité mesurable par des indicateurs clés de performance (KPI).

Voici les rapports que nous allons utiliser comme référence :

  • Rapport sur le coût d’une violation de données par IBM1 avec des études menées par le Ponemon Institute est l’un des points de référence dans le monde de la sécurité informatique.
  • Rapport d’enquête sur les violations de données de Verizon2 apporte une perspective différente sur les risques de cybersécurité et les moyens de les aborder.
  • Enquête mondiale sur la sécurité de l’information d’EY3 partage les meilleures pratiques que les organisations mettent en œuvre pour faire face aux risques de sécurité des données.
  • Rapport FireEye M-TRENDS4 rend compte des menaces à la sécurité des données et de leur évolution au fil du temps.

Terminologie : Cybersécurité, Sécurité des données, Protection des données, Confidentialité des données

Commençons par la discussion de la différence entre les termes sûreté/sécurité de l’information et protection des données (confidentialité des données).

  • Sûreté/sécurité de l’information concerne le maintien d’une architecture sécurisée pour gérer les données. Pensez à des sauvegardes régulières, à des logiciels de sécurité à jour, à des droits d’accès, à la mise en œuvre de logiciels DLP, etc.
  • Protection des données concerne l’utilisation éthique et légale des données – obtenir le consentement et respecter les obligations réglementaires.

Cette différence est importante. Par exemple, dans le cas Facebook–Cambridge Analytica, les données étaient gérées de manière sûre (étaient cryptées et stockées sur un serveur sécurisé), mais elles n’étaient pas gérées de manière responsable selon les réglementations sur la protection des données.

Le terme de protection des données est principalement utilisé en Europe et en Asie, tandis qu’aux États-Unis, le même concept est appelé confidentialité des données. Françoise Gilbert a partagé une bonne explication des différences sur son blog.

Enfin, un terme de cybersécurité est censé couvrir un éventail plus large d’idées, incluant non seulement la sécurité des données mais aussi d’autres systèmes de sécurité. En pratique, il est souvent utilisé de manière interchangeable avec le terme de sécurité des données.

Pourquoi avons-nous besoin de KPIs et de stratégie en cybersécurité ?

Au-delà des idées évidentes, comme savoir comment votre organisation se porte et comprendre la direction à suivre, je mentionnerais ces raisons :

  • Être capable de soutenir les arguments avec des données lors de la présentation de nouvelles solutions de sécurité aux parties prenantes.
  • Avoir un contexte commercial formulé aide à aligner les initiatives de cybersécurité sur d’autres parties de la stratégie, par exemple, sur le tableau de bord des talents, le tableau de bord IT ou le tableau de bord de la gouvernance d’entreprise.
  • Convertir certaines idées vagues comme “environnement commercial hautement sécurisé qui exploite les dernières technologies IT” en quelque chose de plus tangible avec des indicateurs de performance spécifiques.
Data Security Scorecard - How to create a comprehensive cybersecurity strategy measurable by KPIs

Comment mesurer quelque chose qui n’a pas encore eu lieu

Il pourrait sembler que la sécurité des données soit quelque chose d’intangible et difficile àquantifier et mesurer, car nous ne savons jamais à l’avance quel type de violation de données une organisation devra affronter. Les études empiriques mentionnées au début (voir, par exemple, le rapport IBM Security) partagent un point de vue différent.

La plupart des violations de données sont causées par des facteurs connus tels que :

  • Identifiants compromis (19 %)
  • Phishing (14 %)
  • Mauvaise configuration du cloud (19 %)

Cela nous donne une idée de l’endroit où les efforts de cybersécurité devraient être concentrés.

Bien que nous ne puissions pas prévenir toutes les violations de données, les données montrent que nous pouvons minimiser leur impact sur l’organisation en :

  • Mettant en œuvre l’automatisation de la sécurité,
  • Ayant une équipe de réponse et un plan de réponse prêts,
  • Éduquant les employés, et
  • Testant l’environnement commercial en utilisant des approches comme les tests red team.

Quels cadres d’affaires sont applicables pour la sécurité des données ?

Avant, nous avons discuté de divers cadres d’affaires qui aident les organisations à articuler et exécuter leurs stratégies. Quels cadres sont applicables pour un domaine de cybersécurité ?

Pour obtenir les meilleurs résultats, nous devons combiner divers cadres :

  • Nous utiliserons l’analyse PESTEL pour détecter et analyser les nouveaux facteurs de l’environnement externe (voir les objectifs de la perspective Apprentissage et Croissance). Cela peut inclure des changements dans la législation, comme les lois sur la protection des données, ou des changements perturbateurs que nous avons observés après Covid-19, par exemple, la tendance du travail à distance.
  • Nous parlerons beaucoup de l’importance de concentrer les efforts de réponse. Dans ce contexte, divers cadres de hiérarchisation seront utiles.
  • Lors de l’élaboration d’une stratégie de sécurité des données, nous devons prendre en compte les actions requises aujourd’hui, dans un avenir proche, et certaines initiatives pour le futur lointain. Dans ce contexte, le modèle des Trois Horizons aidera à mener des discussions disciplinées.
  • Pour convertir toutes ces idées déconnectées en une stratégie cohérente, nous utiliserons le cadre de la Balanced Scorecard.

Utilisons les cadres d’affaires mentionnés et les rapports de recherche référencés au début pour créer un exemple de stratégie de sécurité des données.

Perspective financière. Estimer l’impact financier de la sécurité des données

Les KPI financiers pour la sécurité des données sont indispensables lors de la présentation des initiatives de sécurité aux parties prenantes. La présentation est encore plus impressionnante lorsque des référentiels sectoriels pertinents peuvent être fournis.

Le rapport de Verizon, ainsi que le rapport d’IBM (réalisé par le Ponemon Institute), partagent quelques réflexions dans ce contexte. Parfois, les données sont contradictoires. Par exemple, vous constaterez que les coûts d’une violation de données par enregistrement varient considérablement. Le rapport d’IBM donne une fourchette de 150 à 175 dollars, tandis que selon le rapport de Verizon (voir le Data Breach Investigations Report, 2015), il est d’environ 0,58 dollar. Ken Spinner a partagé quelques explications sur le sujet dans TeachBeacon.

Perspective financière du tableau de bord de la sécurité des données

Source : Voir Data Security Scorecard en ligne dans BSC Designer Data Security Scorecard.

Comment pouvez-vous estimer les coûts d’une violation de données dans le cas de votre organisation ?

Cela peut être basé sur les coûts directs et indirects :

  • Coûts directs incluent le coût de l’analyse médico-légale, les amendes, les compensations aux clients.
  • Coûts indirects se réfèrent à la perte de clients existants et potentiels, d’employés, de partenaires qui s’est produite en raison d’une violation de données.

Sur le tableau de bord de la sécurité des données, nous pouvons prendre quelques références des études Ponemon ou Verizon pour la métrique du coût de la violation de données par enregistrement et le multiplier par le nombre d’enregistrements à risque.

Pour effectuer les calculs, nous aurons besoin de quelques données commerciales de base :

  • LTV (valeur à vie du client)
  • Estimation de la perte de clientèle due à une violation de données
  • Nombre de clients
  • Nombre d’enregistrements à risque
  • Clients potentiels perdus

Formule pour le coût de la violation de données

La valeur de l'indicateur 'Coût de la violation de données' est calculée en utilisant les valeurs de deux autres indicateurs. Source : Voir Data Security Scorecard en ligne dans BSC Designer Data Security Scorecard.

Respectivement, l’impact direct d’une violation de données peut être calculé comme suit :

  • Coûts de la violation de données (coûts directs) = Coût de la violation de données par enregistrement * Le nombre d’enregistrements à risque

Quant aux coûts indirects, une façon de les quantifier est d’utiliser le taux de perte de clientèle dû à la violation de données et la LTV :

  • Coût de la perte de clientèle = [Nombre de clients]*[LTV]*[Perte de clientèle due à la violation de données]/100

De plus, vous pouvez estimer le nombre de clients potentiels qui n’ont pas signé le contrat.

  • Coût d’opportunité perdue = [Clients potentiels perdus] * [LTV]

Perspective du client. Quantifier les risques de sécurité.

Pour la perspective du client, l’objectif principal est formulé comme suit :

  • Atténuer les risques liés à la sécurité et à la protection des données

Les objectifs et les KPI de la perspective client du tableau de bord de la sécurité des données

L'objectif global du client est formulé comme 'Atténuer les risques de sécurité des données'. Ses résultats sont quantifiés par l'indice de 'risque pondéré'. Source : Voir Data Security Scorecard en ligne dans BSC Designer Data Security Scorecard.

Cela est qualifié par ces indicateurs :

  • Indicateur avancé Détection précoce et réponse rapide aux risques de données qui est le résultat des objectifs de la Perspective interne
  • Indicateur avancé Préparation à la protection des données
  • Indicateur retardé Indice de risque pondéré

La logique ici est que l’organisation travaille sur les systèmes de sécurité internes (quantifiés par détection précoce et réponse rapide aux risques de données) et introduit les mesures nécessaires de protection des données (quantifiées par Préparation à la protection des données) pour mieux atténuer les risques de sécurité des données, tels que quantifiés par l’Indice de risque pondéré.

  • Lors de l’élaboration d’une stratégie de sécurité des données, assurez-vous que votre équipe comprend la différence entre les métriques pour les facteurs de succès (métriques avancées) et les métriques pour les résultats attendus (métriques retardées).

Discutons en détail des indicateurs du point de vue du client.

Indice pondéré en fonction du risque

Le but de cet indicateur est de quantifier le niveau de risque actuel auquel l’organisation est confrontée. Pour ce faire, nous allons quantifier le nombre de violations de données catégorisées par leur niveau d’impact :

  • Événements à risque critique, poids 70%
  • Événements à risque important, poids 20%
  • Événements à risque moyen, poids 7%
  • Événements à risque faible, poids 3%

Comme vous pouvez le voir, une échelle de poids non linéaire a été appliquée. Avec ce modèle, les violations de données critiques ont le plus grand impact sur la métrique de l’indice, tandis que les événements de faible niveau ont un faible impact.

Weighted risk index metric for data security

L'indice pondéré en fonction du risque prend en compte les événements à risque de différents niveaux - des événements à risque critique (le poids le plus élevé) aux événements à faible risque (le poids le plus faible). Source : Voir Data Security Scorecard en ligne dans BSC Designer Data Security Scorecard.

Cette approche aborde le problème de la manipulation du système de mesure lorsque l’indicateur de contrôle est déplacé dans la zone verte en résolvant des problèmes moins significatifs. Cependant, nous devons nous assurer que les événements à risque sont correctement catégorisés.

Si vous êtes intéressé par l’apprentissage de plus sur le calcul des indicateurs d’indice et en tenant compte du poids des indicateurs, jetez un œil à l’article respectif sur notre site Web.

Mesurer la protection des données ou la confidentialité des données

Comme expliqué précédemment, la protection des données concerne l’utilisation éthique et légale des informations personnellement identifiables (PII) et des données similaires.

Les mesures de protection, dans ce cas, sont bien articulées par la législation applicable. En Europe, c’est le RGPD ; aux États-Unis, il existe différentes lois selon le domaine d’activité, comme le CCPA, HIPPA, PCI DSS, GLBA.

Indice de disponibilité de la protection des données pour la carte de pointage de la sécurité des données

Un exemple d'indicateur binaire (les états possibles sont 'Oui' ou 'Non' - lorsque la valeur est 'Oui', la performance de cet indicateur est de 100 %, sinon 0 %. Source : Voir Data Security Scorecard en ligne dans BSC Designer Data Security Scorecard.

Si nous prenons le RGPD comme exemple, du point de vue de la mesure, la protection des données peut être suivie par un indicateur d’index, Préparation à la protection des données, qui est calculé en utilisant des métriques telles que (principalement binaires) :

  • Officier de protection des données nommé
  • Suivi du consentement explicite
  • Procédure de déclaration de violation de données
  • Droit d’accès, de rectification, d’effacement mis en œuvre
  • Droit à la portabilité des données

Ces indicateurs peuvent être détaillés plus avant dans les cas les plus spécifiques applicables à l’organisation, ses produits et services.

Pour assurer la conformité réglementaire, ces indicateurs, ainsi que les exigences légales, devraient être examinés régulièrement. Cela peut être automatisé par la fonction intervalle de mise à jour pour l’indicateur respectif. Voir la section Automatisation ci-dessous pour des exemples plus spécifiques.

Perspective interne. Comment atténuer les risques de sécurité des données

Pour trouver les objectifs et les indicateurs de performance de la perspective interne, nous devons effectuer une analyse des causes profondes et examiner les points de risque/coût identifiés.

Les conclusions dépendront du domaine d’activité et des systèmes d’affaires d’une organisation spécifique. Cependant, certaines tendances communes ont été mises en évidence dans les rapports d’IBM Security et de Verizon. Nous utiliserons ces conclusions pour formuler les objectifs et les indicateurs de performance pour la perspective interne du tableau de bord.

Perspective interne du tableau de bord de la sécurité des données

Les moteurs de la stratégie de cybersécurité. L'objectif 'Détection précoce' est soutenu par deux sous-objectifs - 'Développer un plan d'atténuation des risques' et 'Réduire la complexité de l'IT' - tous avec leurs indicateurs de performance et initiatives respectifs. Source : Voir Tableau de bord de la sécurité des données en ligne dans BSC Designer Tableau de bord de la sécurité des données.

Détection précoce et réponse rapide aux risques liés aux données

Si une violation de données se produisait, une réponse rapide en termes de détection et de réaction réduirait considérablement les coûts.

Sur le tableau de bord, cela est quantifié par deux indicateurs retardés :

  • Délai moyen de détection
  • Délai moyen de réponse

Les indicateurs retardés quantifient ce qui s’est déjà passé. Comment une organisation peut-elle influencer ces indicateurs ? Les mêmes rapports suggèrent certaines actions qui conduisent généralement à une meilleure réponse en matière de sécurité des données.

Facteur de succès mappé à l'objectif : Équipes de réponse aux incidents formées

Un exemple du facteur de succès - 'Équipe de réponse aux incidents formée' est un facteur de succès pour minimiser l'impact d'une violation de données. Source : Voir Tableau de bord de la sécurité des données en ligne dans BSC Designer Tableau de bord de la sécurité des données.

Sur le modèle de tableau de bord, vous trouverez deux enregistrements alignés avec l’objectif Détection précoce et réponse rapide :

  • Équipes de réponse aux incidents formées. Cet enregistrement est marqué comme un facteur de succès. Selon le rapport IBM Security, c’est l’une des causes principales de la minimisation des impacts des violations de données.
  • Détection des accès aux données à haut risque. Avec cette initiative, votre équipe peut prioriser ses efforts en fonction de l’impact de certains types d’accès aux données. Si vous recherchez une approche plus systématique de la priorisation, consultez l’article sur les cadres de priorisation.

Il y a deux autres indicateurs principaux dans le contexte de l’objectif Détection précoce et réponse rapide. Les deux sont basés sur les conclusions des rapports de sécurité des données mentionnés ci-dessus :

  • Élaborer un plan d’atténuation des risques
  • Réduire la complexité de l’informatique

Discutons-en en détail.

Développer un plan d’atténuation des risques

Avoir un plan d’atténuation des risques est un facteur de succès pour une réponse plus rapide à la violation de données.

Comment pouvons-nous nous assurer que le plan existant pour la sécurité des données est bon ?

Il devrait être basé sur un modèle de risque à jour qui reflète la manière dont les données sont gérées dans l’organisation. Sur la carte de stratégie, cela est quantifié par l’indicateur précurseur Audits réguliers de sécurité des données qui est expliqué dans les perspectives Apprentissage et Croissance.

Comment savons-nous que le plan de réponse aux risques proposé est réellement efficace ?

En plus des mises à jour régulières du plan de risque, nous pourrions tester l’application du plan développé en pratique. Cela est quantifié par l’indicateur de retard, Test de réponse aux incidents.

Réduire la complexité de l’informatique et des données

Les études empiriques mentionnent plusieurs autres facteurs qui aident à minimiser les coûts liés aux violations de données, tels que :

  • Complexité de l’infrastructure informatique
  • Complexité du schéma de données
  • Automatisation

Sur la carte stratégique, nous avons formulé ces facteurs dans l’objectif Réduire la complexité de l’informatique et des données.

Sous-objectifs pour la perspective interne sur le tableau de bord de sécurité

Les sous-objectifs expliquent comment l'objectif global sera atteint. Source : Voir Data Security Scorecard en ligne dans BSC Designer Data Security Scorecard.

Dans ce cas :

  • Diminuer les complexités des données et de l’informatique est une raison d’être de l’objectif
  • Limiter l’accès aux données les plus précieuses est l’un des facteurs de réussite pour diminuer la complexité des solutions informatiques requises
  • Automatiser les tests de vulnérabilité et la conformité est une vaste initiative pour l’automatisation de la sécurité informatique

Enfin, si la minimisation de la complexité est nommée comme l’un des facteurs d’une meilleure réponse aux violations de données, comment pouvons-nous quantifier cela ?

La réponse est individuelle et dépend du paysage informatique de votre organisation. Pour ce tableau de bord, il y a un exemple d’indice de complexité de la sécurité des données qui est composé d’indicateurs tels que :

  • Nombre d’utilisateurs avec le niveau d’accès le plus élevé. La fonction d’optimisation pour cet indicateur est définie sur « Minimiser linéairement », car réduire le nombre d’utilisateurs ayant accès aux données sensibles améliorera la performance globale de l’indice.
  • Temps pour désactiver les identifiants de connexion. 7 % des violations de données sont causées par un initié malveillant. Désactiver rapidement les identifiants de connexion est l’une des mesures de sécurité informatique qui peut réduire ce pourcentage. L’intervalle de temps acceptable, dans ce cas, est très court. Pour refléter cette idée sur le tableau de bord, la fonction d’optimisation pour cet indicateur est décroissance exponentielle.

Décroissance exponentielle pour certains indicateurs de performance

La fonction de performance pour cet indicateur est définie sur 'Décroissance exponentielle'. Comme on le voit sur le graphique de jauge, la zone verte pour cette métrique est relativement petite, ce qui signifie que le temps acceptable pour désactiver les identifiants logiques est de quelques heures, pas de jours. Source : Voir Data Security Scorecard en ligne dans BSC Designer Data Security Scorecard.

  • % de données sensibles contrôlées par le logiciel DLP. Les solutions de prévention des pertes de données sont l’un des moyens d’automatiser la sécurité informatique. Tant que les organisations traitent de nouvelles données, il est important de réviser régulièrement les modèles de données pour s’assurer que les données sensibles sont accessibles par les outils DLP (Data Loss Prevention).
  • Chiffrement et sauvegarde des données automatisés. Similaire à l’indicateur précédent, nous sommes intéressés à avoir un modèle de données à jour et à nous assurer que les données sensibles sont correctement gérées.
  • % de logiciels de sécurité à jour. Cette métrique semble simple, mais les études racontent une histoire différente. La cause racine de 16 % des violations de données est une vulnérabilité dans un logiciel tiers. Les fournisseurs de logiciels publient régulièrement des mises à jour qui corrigent les vulnérabilités. Avoir les dernières mises à jour installées est l’un des facteurs de réussite pour minimiser les risques de sécurité.
  • Couverture de l’automatisation, % l’indicateur compare le niveau d’automatisation qui est possible avec le niveau actuel d’automatisation. Une automatisation plus élevée réduit l’impact des facteurs humains et réduit la complexité pour les parties prenantes.

Indice de complexité de la sécurité des données

Un exemple de comment quantifier la complexité avec un indicateur de type indice, où les sous-indicateurs contribuent à l'indice avec des poids différents. Source : Voir Data Security Scorecard en ligne dans BSC Designer Data Security Scorecard.

Ce ne sont que des exemples de certaines métriques qui peuvent quantifier la complexité dans le cas de la sécurité des données. Une approche plus robuste de la complexité devrait inclure une analyse plus approfondie des parties prenantes, trouver les points de mauvaises complexités et élaborer une stratégie de réduction de la complexité. Dans l’article précédent, nous avons discuté des métriques de complexité et des façons de les appliquer en pratique.

Perspective d’apprentissage et de croissance

Dans cette perspective, nous avons deux grands objectifs :

  • Audits réguliers de la sécurité des données objectif qui aide à se concentrer sur une infrastructure adéquate pour la sécurité des données.
  • Former les employés à la sécurité des données objectif qui se concentre sur la fourniture à votre équipe des connaissances et compétences à jour nécessaires pour prévenir les violations de données ou en minimiser l’impact.

Perspective d'apprentissage du tableau de bord de la sécurité des données

Les leviers d'apprentissage et d'infrastructure de la stratégie de cybersécurité - 'Audits réguliers de la sécurité des données' et 'Formation des employés à la sécurité des données'. Deux objectifs importants accompagnés d'initiatives, d'indicateurs avancés et retardés. Source : Voir Tableau de bord de la sécurité des données en ligne dans BSC Designer Tableau de bord de la sécurité des données.

Voyons comment ces objectifs sont formulés sur la carte stratégique.

Audits réguliers de la sécurité des données

Nous avons une logique Analyser les risques de cybersécurité alignée avec l’objectif. Quels sont ces risques typiques de cybersécurité ? Dans la description de la logique, nous avons quelques exemples :

  • Cyberattaques
  • Rançongiciels
  • Logiciels malveillants
  • Menaces internes
  • Identifiants perdus/volés
  • Accès non autorisé
  • Perte de données
  • Corruption des données

Un exemple de la logique : analyser les risques de cybersécurité

La nécessité d'une analyse régulière des risques de cybersécurité est formulée comme une initiative. L'indicateur aligné 'analyse régulière des risques' montre le progrès réel pour cette initiative. Source : Voir Data Security Scorecard en ligne dans BSC Designer Data Security Scorecard.

Il existe une hypothèse, Le travail à distance impacte la sécurité des données alignée avec l’objectif. Pour de nombreuses organisations, le travail à distance faisait partie de leur stratégie anticrise en réponse à la Covid-19.

Il y a deux indicateurs principaux :

  • Analyse régulière des risques – une analyse générale des nouveaux risques
  • Évaluation régulière du risque des données sensibles – une analyse plus spécifique dans le contexte des données sensibles

Les deux indicateurs sont configurés pour être mis à jour sur une base trimestrielle.

L'intervalle de mise à jour est configuré pour une mise à jour trimestrielle

L'intervalle de mise à jour pour l'évaluation régulière du risque des données sensibles est configuré pour des trimestres. Le logiciel contrôlera que l'indicateur est mis à jour régulièrement et que les nouvelles données sont enregistrées aux dates autorisées par l'intervalle de mise à jour (premier jour du trimestre dans cette configuration). Source : Voir Data Security Scorecard en ligne dans BSC Designer Data Security Scorecard.

Il existe plusieurs métriques qui aident à quantifier les efforts de l’équipe de sécurité pour analyser la situation de risque actuelle et en tirer des leçons :

  • Analyse des vulnérabilités – généralement, une analyse automatisée effectuée par l’équipe informatique
  • Test de pénétration (test de pénétration) – une simulation d’une cyberattaque
  • Test de l’équipe rouge – un test de sécurité à plus grande échelle impliquant plus de participants

Les KPI respectifs sont configurés pour différents intervalles de mise à jour :

  • L’analyse automatisée des vulnérabilités peut être effectuée hebdomadairement ou mensuellement.
  • Selon le modèle de risque, un test de pénétration peut être réalisé trimestriellement.
  • Enfin, l’indicateur pour le test de l’équipe rouge, le plus exigeant en ressources, est configuré pour un intervalle de mise à jour semi-annuel ou annuel.

Les procédures d’analyse des risques et de test sont conçues pour identifier les points faibles du système de sécurité. Comment savons-nous que les enseignements de ces simulations et tests sont effectivement mis en œuvre ? Pour répondre à cette question, nous pouvons suivre :

  • L’indicateur du nombre de violations de données récurrentes.

Si une violation de données du même type se répète, c’est un signe que le plan de réduction des risques suggéré par l’équipe de sécurité n’est pas aussi efficace que prévu.

Former les employés sur la sécurité des données

Le facteur humain reste l’un des risques les plus élevés de tout système de sécurité des données. Selon le rapport IBM Security, environ 36 % des violations de données malveillantes sont associées au comportement humain (hameçonnage, ingénierie sociale, informations d’identification compromises).

Comment la stratégie de sécurité des données peut-elle être conçue pour atténuer efficacement ces risques ?

L’une des solutions consiste à automatiser certaines opérations et à réduire le rôle de l’opérateur humain. Cela résonne beaucoup avec l’objectif de réduction de la complexité que nous avons discuté dans la perspective interne.

Former les employés sur la sécurité des données - un exemple des initiatives

La liste des initiatives et leurs statuts. Source : Voir Data Security Scorecard en ligne dans BSC Designer Data Security Scorecard.

Pour les autres cas, où l’automatisation n’est pas possible ou n’est pas rentable, l’éducation est une réponse. Comment concentrer les efforts éducatifs dans le contexte de la sécurité des données ? Nous pouvons utiliser une paire d’indicateurs avancés et retardés !

  • Indicateur avancé : le taux de pénétration de la formation à la sécurité des données peut être utilisé pour suivre la couverture de la formation à la sensibilisation à la sécurité des données, où les participants peuvent apprendre, par exemple, les pratiques de hameçonnage et la manière de les éviter.
  • Le meilleur indicateur retardé, dans ce cas, devrait se concentrer sur l’impact tangible de la formation à la sensibilisation. Si la compréhension des pratiques de hameçonnage était l’un des sujets de la formation, effectuez un test de hameçonnage et voyez si les employés utilisent effectivement les enseignements de la formation. Cela peut être quantifié sur le tableau de bord avec l’indicateur taux de réussite du test de hameçonnage.

Si former les employés à la sécurité des données est votre priorité maintenant, alors votre équipe de sécurité peut concevoir un tableau de bord d’évaluation de la formation en utilisant le modèle des niveaux de Kirkpatrick, comme discuté dans cet article.

Automatisation pour le tableau de bord de sécurité des données

Nous avons discuté d’un exemple de tableau de bord stratégique qui aide à décrire, mettre en œuvre et exécuter la stratégie de sécurité des données dans votre organisation.

Ce tableau de bord est disponible comme l’un des modèles gratuits dans BSC Designer Online afin que vous puissiez vous inscrire avec un compte gratuit et commencer à le personnaliser selon vos besoins.

Connaître le coût total de la stratégie

Nous avons mentionné qu’une des raisons d’avoir une carte de score pour la sécurité des données est qu’elle facilitera la présentation de nouvelles initiatives aux parties prenantes.

Le coût de la stratégie suggérée est l’une des premières questions qui seront posées. Le coût d’exécution de la stratégie peut être estimé comme la somme des coûts de tous les objectifs commerciaux et de leurs initiatives respectives.

Un exemple de rapport sur le coût de la stratégie

Le rapport 'Coût de la stratégie' pour la carte de score de la cybersécurité résume les budgets (alloués et réellement utilisés) de toutes les initiatives. Source : Voir Carte de score de la sécurité des données en ligne dans BSC Designer Carte de score de la sécurité des données.

Si vous utilisez BSC Designer comme outil d’automatisation, vous pourrez attribuer des budgets aux initiatives et contrôler leur utilisation. Le logiciel sera capable de générer un rapport de coût de la stratégie pour présenter un coût total attendu pour exécuter la stratégie.

Visualisez les données importantes sur les tableaux de bord

Une autre demande typique des parties prenantes est d’avoir les données nécessaires pour prendre les bonnes décisions (nous avons parlé auparavant des décisions fondées sur des données). En soi, la carte stratégique contient beaucoup de données. Une autre approche consiste à construire un tableau de bord BI qui peut être configuré pour afficher les indicateurs les plus importants et leurs données.

Dans le modèle de stratégie pour cet article, nous avons deux tableaux de bord (vous pouvez basculer entre eux).

 

An example of risk index dashboard

An example of the BI dashboard for cybersecurity: the time chart for critical risk events, the evolution of weighted risk index, charts for some specific indicators, the Gantt chart for the response initiatives, the list of risks and their statuses. Source : Voir Data Security Scorecard en ligne dans BSC Designer Data Security Scorecard.

Le tableau de bord de l’indice de risque est exclusivement axé sur les indicateurs de l’indice de risque que nous avons utilisés pour quantifier la situation de risque actuelle. Avec les diagrammes du tableau de bord, nous pouvons voir :

  • Risques actuels visualisés sur les graphiques à jauge
  • Comment l’indice de risque a changé au fil du temps
  • La contribution de chaque indicateur à l’indice de risque sur le graphique de pondération

An example of the data security complexity index dashboard

Second dashboard in the cybersecurity scorecard focuses exclusively on the complexity index, its evolution over time, and the state of its indicator. Source : Voir Data Security Scorecard en ligne dans BSC Designer Data Security Scorecard.

Un autre tableau de bord est l’indice de complexité de la sécurité des données. Comme nous l’avons discuté, les mauvaises complexités des systèmes de sécurité sont un facteur de risque accru de violation de données. Ce tableau de bord visualise l’état actuel de la complexité tel que quantifié par les indicateurs sélectionnés.

Analyser les données de performance

Collecter des données de performance sous forme d’indicateurs clés de performance (KPI) est quelque chose que la plupart des organisations font régulièrement. Peu importe l’outil d’automatisation utilisé, il y a beaucoup de données disponibles.

La question est toujours de savoir comment utiliser ces données et les convertir en informations exploitables. Certaines perspectives se dégagent lorsque l’équipe discute d’une carte stratégique ou d’un tableau de bord ; d’autres perspectives peuvent être automatisées.

Dans ce sens, la fonction Analyse dans BSC Designer aide beaucoup. Voici quelques exemples :

  • La plupart des indicateurs dont nous avons discuté doivent être mis à jour régulièrement. Avec l’analyse du Temps de mise à jour, vous pouvez trouver les indicateurs qui doivent être mis à jour bientôt ou ceux qui n’ont pas été mis à jour à temps. Cela peut également être automatisé avec la fonction Alertes.
  • Chaque indicateur sur le tableau de bord a un poids qui reflète l’importance de l’indicateur. Avec l’analyse du Poids absolu, vous pouvez trouver les indicateurs ayant le poids le plus élevé. Par exemple, dans notre exemple, l’indicateur Temps moyen de détection a l’un des poids les plus élevés. Si votre équipe envisage de travailler sur plusieurs initiatives, et que l’une d’elles promet de détecter les violations de données plus rapidement, alors donnez la priorité à celle-ci.
  • Parfois, des découvertes intéressantes peuvent être faites simplement en observant comment les données de performance ont changé. Un gain ou une perte rapide est le signe de nouveaux facteurs qui devraient être analysés. Pourquoi l’indicateur des Événements à risque moyen a-t-il subi une perte de 30 % – était-ce le résultat d’une mise à jour interne du système, ou est-ce un problème de rapport ?

Le temps moyen de détection a l'un des poids les plus élevés

L'analyse du 'Poids absolu' aide à trouver les indicateurs qui ont le plus d'impact (poids absolu le plus élevé) sur le tableau de bord. Dans ce cas, 'Événements à risque critique' et 'Temps moyen de détection' ont le plus d'impact. Source : Voir Tableau de bord de la sécurité des données en ligne dans BSC Designer Tableau de bord de la sécurité des données.

Cartographier les justifications, les facteurs de succès et les résultats attendus

Dans le cours gratuit de planification stratégique, nous avons discuté de l’importance de comprendre le contexte commercial d’un objectif. Il ne suffit pas d’avoir un objectif bien décrit, il est important de comprendre la raison d’être, les facteurs de succès et les résultats attendus qui sont précieux pour l’organisation.

Un exemple de la justification et du facteur de succès pour l'objectif de réduction de la complexité

La liste des initiatives, leurs statuts, et l'avancement des indicateurs qui leur sont alignés. Source : Voir Data Security Scorecard en ligne dans BSC Designer Data Security Scorecard.

Jetez un œil à l’objectif Réduire la complexité de l’informatique et des données à partir du modèle de tableau de bord :

  • Il existe un enregistrement de justification Réduire la complexité des données et de l’informatique qui explique pourquoi cet objectif est important : « La complexité élevée des systèmes logiciels et de l’infrastructure des données est un facteur de risque pour la violation des données. »
  • Il y a aussi un facteur de succès de la réduction des complexités – Limiter l’accès aux données les plus précieuses. Cela a parfaitement du sens dans le contexte de l’objectif – moins d’accès aux données sensibles réduit la complexité du schéma des données et réduit les risques de violations de données en conséquence.

Dans certains cas, nous n’avons pas de plan fixe pour atteindre quelque chose, nous traitons plutôt une hypothèse éclairée. Les utilisateurs de BSC Designer peuvent ajouter une hypothèse à leurs objectifs. Dans notre exemple, il y avait une hypothèse, Le travail à distance impacte la sécurité des données alignée avec Des audits réguliers de la sécurité des données.

Connaître les résultats attendus est également crucial. Par exemple, pour la Formation des employés à la sécurité des données, nous avons un résultat attendu appelé Gestion responsable des données. Que signifie cela en pratique ? Comment pouvons-nous quantifier cela ? Ces questions ouvrent la porte à des discussions intéressantes.

Créer des initiatives avec budgets, propriétaires, et statuts

Pour combler l’écart entre la planification stratégique et l’exécution, utilisez les initiatives pour les objectifs. Prenons l’initiative Automatiser les tests de vulnérabilité et la conformité alignée avec Réduire la complexité de l’IT et des données. 

Un exemple d'initiative - automatiser les tests

Un exemple de l'initiative stratégique avec budget et chronologie assignés. L'impact de l'initiative est quantifié par l'indicateur 'Couverture de l'automatisation' (voir le champ 'KPI aligné'). Source : Voir Data Security Scorecard en ligne dans BSC Designer Data Security Scorecard.

  • Comment votre équipe va-t-elle travailler exactement sur cette initiative ? Utilisez le champ description pour ajouter un plan d’action détaillé.
  • Comment est-il aligné avec d’autres plans d’atténuation des risques ? Utilisez la section documents pour lier les ressources pertinentes. Dans notre exemple, nous avons lié à l’exemple de tableau de bord IT.
  • Qui est responsable de cette initiative ? Assignez des propriétaires afin qu’ils reçoivent une notification lorsqu’un événement pertinent se produit.
  • Quel est le statut actuel de l’initiative ? Mettez à jour le statut avec l’avancement de votre équipe travaillant sur l’initiative.
  • Comment pouvez-vous suivre les progrès dans le contexte de cette initiative ? Dans notre exemple, nous l’avons lié à l’indicateur couverture de l’automatisation, % qui forme un indice de complexité de la sécurité des données.

Training programSession de formation : 'Introduction au Balanced Scorecard par BSC Designer' est proposée dans le cadre de notre programme de formation continue et incluse avec un abonnement BSC Designer.

Les sessions de formation sont dispensées chaque semaine via Zoom, offrant des perspectives pratiques et des conseils personnalisés. À la fin de la session, les participants reçoivent une attestation de présence. Explorez toutes les sessions de formation disponibles ici.

Conclusions

Dans cet article, nous discutons d’un exemple de stratégie de sécurité des données. Voici les idées les plus importantes que nous avons abordées :

  • Il existe des facteurs de risque connus de violation de données, ainsi que des moyens éprouvés pour minimiser l’impact des incidents de sécurité.
  • Aidez vos parties prenantes à comprendre les coûts directs et indirects des violations de données.
  • Concentrez votre stratégie sur la détection précoce des problèmes et la réponse rapide.
  • Ayez un plan de mitigation des risques et une équipe de réponse pour réduire l’impact des violations de données.
  • Réduisez les mauvaises complexités des systèmes informatiques et des schémas de données.
  • Mettez à jour les modèles de risque régulièrement, testez votre environnement de sécurité.
  • Le facteur humain est l’un des points de risque – éduquez votre équipe, observez les changements de comportement, pas seulement les scores des examens formels.

Et ensuite ? Une bonne stratégie cybernétique est faite sur mesure en fonction des besoins de votre organisation. Utilisez le modèle de stratégie de sécurité discuté dans cet article comme point de départ pour commencer à construire votre propre stratégie de sécurité des données. N’hésitez pas à partager vos défis et vos découvertes dans les commentaires.

Utiliser le modèle Data Security and Protection Scorecard

BSC Designer aide les organisations à mettre en œuvre leurs stratégies complexes :

  1. Inscrivez-vous pour un plan gratuit sur la plateforme.
  2. Utilisez le modèle Scorecard Template Data Security and Protection Scorecard comme point de départ. Vous le trouverez dans Nouveau > Nouveau tableau de bord > Plus de modèles.
  3. Suivez notre Système de mise en œuvre stratégique pour aligner les parties prenantes et les ambitions stratégiques dans une stratégie globale.

Commencez dès aujourd'hui et voyez comment BSC Designer peut simplifier la mise en œuvre de votre stratégie !

  1. Rapport sur le coût d’une violation de données. 2020, IBM Security
  2. Rapport d’enquête sur les violations de données 2020, 2020, Verizon
  3. Enquête mondiale sur la sécurité de l’information, 2020, EY
  4. Rapport M-TRENDS, 2020, FireEye
Pour citer : Alexis Savkín, "Tableau de bord équilibré de la cybersécurité : guide pratique avec des exemples d’indicateurs clés de performance", in BSC Designer, mars 31, 2021, https://bscdesigner.com/fr/strategie-it-securite-des-donnees.htm.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.