Dans un contexte d’augmentation et de sophistication des menaces cyber, les investissements en cybersécurité tendent à devenir un impératif stratégique. Et c’est là qu’entre en jeu l’évaluation des performances en matière de cybersécurité. L’élaboration de KPI et de tableaux de bord permet justement d’évaluer l’efficacité de sa posture de sécurité, de faire ressortir des écarts, de faciliter la prise de décision (aussi bien au niveau stratégique qu’opérationnel) ou encore de défendre les investissements en cybersécurité.
Comment définir des KPI pertinents en cybersécurité ? Comment évaluer ses performances en continu et interpréter les résultats ? Comment aller au-delà d’une logique purement technique de la performance en cybersécurité ?
Pourquoi et comment définir des KPI en cybersécurité ?
Qu’est-ce qu’un KPI en cybersécurité ?
Dans son Guide d’élaboration de tableaux de bord de sécurité des systèmes d’information, l’ANSSI définit un indicateur comme une « donnée statistique combinant la mesure d’un ou plusieurs points-clés et utilisée en comparaison avec un historique, une (des) valeur(s) cible(s) et/ou une (des) valeur(s) seuil(s) ».
L’utilisation de KPI est donc tournée vers l’évaluation des performances.
Ces KPI permettent de visualiser la trajectoire et l’efficacité d’une politique de sécurité, la pertinence de la stratégie et des actions menées. Ces métriques doivent être adaptées aux objectifs de sécurité et au contexte de chaque organisation. Les indicateurs de performance peuvent être répartis en deux grandes typologies :
• Les indicateurs opérationnels (nombre de vulnérabilités, fréquence des mises à jour, nombre d’alertes de sécurité, etc.).
• Les indicateurs stratégiques (état d’avancement de la mise en œuvre de la politique de sécurité du système d’information, suivi des contrôles de sécurité, etc.).
Comment choisir des métriques et KPI pertinents ?
Le choix d’indicateurs de performance est lié aux objectifs (objectifs business et objectifs de sécurité) de chaque organisation. Charge à elle de définir les métriques les plus pertinentes dans le cadre de son activité, des réglementations sectorielles et des attentes de la direction/du COMEX. Les KPI doivent donc être clairs, orientés sur le rapport coût/bénéfice et traduits pour des profils non techniques.
Choisir des KPI pertinents et personnalisés implique de bien maîtriser son SI – et donc de le cartographier pour connaître précisément son périmètre et ses caractéristiques techniques, d’identifier les risques qui pèsent sur lui tout en prenant en compte la maturité cyber de l’organisation. La mise en place de KPI de cybersécurité est un processus continu, qui doit pouvoir s’adapter en permanence à l’évolution des menaces.
Comment évaluer en continu ses performances en matière de cybersécurité ?
L’analyse des performances en cybersécurité est tournée vers l’amélioration de la prise de décision et de l’efficacité (prioriser les actions de sécurité, les vulnérabilités à corriger, les décisions à prendre lors d’une phase de réponse à incident, etc.). Différentes démarches et outils existent pour atteindre cet objectif.
Cartographier son système d’information
Considérée par l’ANSSI comme un outil indispensable à la maîtrise de son système d’information, la cartographie du SI agrège un nombre conséquent de KPI, notamment :
• Inventaire des actifs
• Nombre d’actifs exposés sur Internet
• Nombre d’actifs sans EDR
• Nombre d’actifs stockant des données sensibles/critiques
• Comptage d’actifs non identifiés (Shadow IT)
• Détection et correction de vulnérabilités (patch management)
• Défauts d’identification et d’authentification
Cette liste est loin d’être exhaustive et chaque organisation peut y agréger les données dont elle a besoin par rapport à ses objectifs de sécurité. Bien interpréter ces différents indicateurs de performance nécessite de les corréler et surtout de suivre leur évolution dans le temps. L’élaboration d’une cartographie du système d’information s’inscrit pleinement dans une démarche d’évaluation des performances, particulièrement utile pour toute organisation souhaitant évaluer précisément sa surface d’attaque ou identifier le Shadow IT pour mieux le réduire.
Réaliser des tests d’intrusion et des simulations d’attaques
Quoi de plus efficace pour évaluer ses performances en cybersécurité que de tester la capacité de son SI à résister à des tests d’intrusion et à des simulations d’attaques ? Ces exercices fournissent une évaluation réaliste des performances et peuvent faire émerger des KPI particulièrement édifiants, par exemple le temps moyen de détection d’une tentative d’intrusion ou d’un incident de sécurité (Mean Time To Detect / MTTD), le temps moyen de réponse à un incident de sécurité (Mean Time To Resolve / MTTR), etc.
Les tests d’intrusion et simulations d’attaques permettent d’évaluer la performance des dispositifs de sécurité et des procédures en place. Ils contribuent également à clarifier les rôles et les responsabilités de chacun. À la clé : une meilleure protection et une meilleure réponse aux incidents de sécurité grâce à une capitalisation sur les pentests et les incidents passés. La prise de décision et la priorisation des actions à mener en cas d’incident s’en trouvent améliorées.
Exercer une surveillance proactive des logiciels malveillants
La mesure des performances en cybersécurité a pour objectif ultime l’amélioration de la posture de sécurité. Il est donc logique que la surveillance des logiciels malveillants – via des outils dédiés – soit intégrée à la démarche. Un outil comme Malwarebytes offre par exemple une protection en temps réel contre les ransomwares, malwares, spywares et adwares. De son côté, un outil comme TotalAV (antivirus) permet de détecter et supprimer les virus, tout en offrant des fonctionnalités supplémentaires telles que l'optimisation du système, la protection de la vie privée, la navigation sécurisée, la protection contre le phishing et le contrôle d’accès aux fichiers.
Utiliser des outils d’analyse de données
Mesurer ses performances en cybersécurité peut générer une grande quantité de données, qui peuvent être utilisées à diverses fins (détecter des comportements des comportements inhabituels grâce à des outils utilisant des algorithmes d’apprentissage automatique, par exemple).
En plus d’aider à interpréter des résultats et à identifier des tendances en matière de cybersécurité, ces outils offrent un aperçu de la santé et de la sécurité de l’environnement informatique d’une organisation.
Indicateurs de performance cyber : aller au-delà d’une approche purement technique
Créer une culture de sécurité
Évaluer et améliorer ses performances en matière de cybersécurité implique d’associer toute une série de parties prenantes : équipes IT bien sûr, mais aussi responsables métiers, utilisateurs et équipe de direction. Tous sont impliqués dans la posture de sécurité de leur organisation, produisent des indicateurs et peuvent participer à réduire la « surface d’attaque humaine ».
Partager les KPI et tableaux de bord participe à la création d’une culture de la sécurité. La démarche est utile pour valoriser les progrès et le chemin parcouru collectivement en matière de cybersécurité.
Former et sensibiliser en continu
Mettre en place des actions de formation et de sensibilisation à la cybersécurité peut également soutenir les objectifs de sécurité d’une organisation. Inciter les utilisateurs à signaler les emails malveillants, sensibiliser les collaborateurs aux bonnes pratiques d’hygiène cyber lors de leur onboarding, organiser des simulations de phishing… sont autant d’initiatives utiles pour faire changer les comportements et améliorer la posture de sécurité.
Les programmes de sensibilisation à la cybersécurité peuvent d’ailleurs, eux aussi, être évalués sur la base d’indicateurs de performance :
• Nombre d’emails de phishing signalés par les utilisateurs
• Nombre d’incidents de sécurité causés par une erreur humaine
• Taux de clic lors des simulations de phishing
Performance et KPI en cybersécurité : ce qu’il faut retenir
• Chaque organisation définit ses propres KPI de cybersécurité en s’appuyant sur ses besoins et ses objectifs, en prenant en compte ses moyens et les contraintes liées à son activité.
• Ces KPI permettent de mesurer en continu l’efficacité de sa politique de sécurité, à condition de bien les choisir et de les interpréter correctement.
• L’élaboration d’une cartographie du système d’information permet de corréler différents indicateurs de performance et de suivre leur évolution dans le temps.
• L’évaluation des performances en cybersécurité est une démarche d’amélioration continue. Il est nécessaire de suivre l’évolution des KPI dans le temps, notamment via l’utilisation d’outils d’analyse de données.
• Pour évaluer leurs performances en matière de cybersécurité, les organisations peuvent également sortir d’une approche purement technique et travailler sur la sensibilisation des collaborateurs.
OverSOC peut vous aider à intégrer ces pratiques pour améliorer vos performances en cybersécurité : Contactez-nous pour en savoir plus.