TDBSSI
Contents
1. 5 f vrier 2004 La remont e des indicateurs d un tableau de bord SSI peut se repr senter comme suit Synth se Exemple tat d avancement de la mise en uvre de la politique de s curit Strat gique nsolidation Avancement de la mise en uvre par domaine Pilotage gr de Avancement de la mise en uvre par mesure de s curit Op rationnel Information d taill e Figure 3 Remont e des indicateurs d un tableau de bord SSI Diff rents indicateurs pourront tre labor s en parfaite coh rence avec les objectifs de s curit au niveau strat gique o l tat d avancement de la mise en uvre de la politique de s curit o l volution des incidents li s la SSI au niveau pilotage o l avancement de la s curisation par domaine organisationnel logiciels applications r seaux s curit physique aspects humains o le suivi des actions de s curit tudes audits mise en uvre au niveau op rationnel o la disponibilit des r seaux o l avancement de la mise en uvre des mesures de s curit o l identification des incidents o suivi des contr les de s curit Les donn es constitutives seront elles aussi collect es de mani re coh rente avec les objectifs de s curit principalement au niveau op rationnel Il peut s agir par exemple analyses des j2. SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 T che 2 Constitution des groupes de travail Constitution des groupes de travail tape 2 T che 2 Objectifs de la t che Constituer les groupes de travail n cessaires une d finition des tableaux de bord SSI support e par les principaux acteurs li s la s curit du syst me tudi et r aliser la planification du projet 2 Mise en place projet Acteurs de la t che e Personnes en charge de la pr paration du projet de tableaux de bord SSI l ments en entr e l ments en sortie e Annuaire des acteurs du projet e Composition des groupes de travail et attributions e Planning initial du projet e D signation d un chef de projet Tableaux de bords SSI M thodologie e D signation d un chef de projet Tableaux de bords SSI qui assurera la coordination entre les groupes et ventuellement l animation de chacun des groupes e Constitution de groupes de travail et de leur r le e laboration d un planning initial pour le projet Le proforma Planning initial pourra tre utilis dans ce but Explications et d tails Afin de simplifier la gestion de projet et cr er une v ritable synergie autour du projet de tableaux de bord SSI les acteurs sont r partis en groupes de travail qui interviendront dans les diff rentes tapes du projet La d marche propose la cr ation de quatre g
3. et technique afin de s assurer qu elle est comprise par tous de mani re ad quate Page 38 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 T che 4 Constitution des tableaux de bord SSI Constitution des tableaux de bord SSI tape 3 T che 4 Objectifs de la t che laboration des tableaux de bord r sultat 3 Elaboration Acteurs de la t che e Groupe de travail technique e Groupe de travail utilisation e Groupe de travail exploitation l ments en entr e l ments en sortie e Liste des indicateurs avec leur description e Constitution des tableaux de bord SSI e Tableaux de bord r sultats priori e Fiches descriptives des indicateurs e Maquette des tableaux de bord SSI M thodologie e Regroupement des indicateurs pour ventuellement d finir plusieurs tableaux de bord SSI coh rents par leur port e tableau de bord disponibilit tableau de bord int grit et par la p riodicit des indicateurs les composant e Formalisation de la description des indicateurs sous la forme de fiche descriptives e libell e niveau e objectifs mesurables e valeurs significatives seuils cibles e description g n rale de l indicateur e repr sentation graphique description d taill e de la repr sentation graphique e forme exemple visuel d un indicateur termin e responsable celui q
4. la p riode concern e Un rappel de I historique sur 3 ans 3 mois ou 3 semaines semble judicieux dans la plupart des cas mais la p riode de rappel doit tre adapt e la p riodicit des tableaux de bord SSI Sensibilit de certains indicateurs La valeur de certains indicateurs peut n cessiter une confidentialit particuli re que ce soit cause de l utilisation de donn es nominatives devant tre rendues anonymes ou l utilisation des donn es num riques confidentielles Des mesures adapt es doivent alors tre pr vues pour la collecte des donn es sources et leur calcul avec ventuellement perte du caract re confidentiel selon les op rations effectu es et leur diffusion restreinte si des informations caract re confidentiel sont encore pr sentes dans l indicateur r sultat Par exemple des mesures d anonymisation et des mesures organisationnelles relatives au personnel manipulant les donn es peuvent tre employ es cueil viter Il faut viter toute ambigu t sur la signification des donn es utilis es pour l laboration des indicateurs Une telle ambigu t pourrait mener des erreurs d interpr tation et favoriser une mauvaise orientation de la s curisation du syst me d information par rapport aux objectifs de s curit de l organisme Il est pour cela n cessaire de donner chaque indicateur une d finition claire et non ambigu et de la soumettre aux groupes de travail utilisation
5. DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 Constitution des tableaux de bord SSI tape 3 T che 4 Regroupement par repr sentation graphique Au sein d une m me section les repr sentations graphiques identiques gagnent en lisibilit quand elles sont regroup es et les indicateurs peuvent alors tre plus facilement compar s Le regroupement ne doit cependant pas tre une raison de non respect des crit res de pr sentation des tableaux de bord et engendrer une pr sentation trop compacte Tableau de bord s curit aaa cce ges 888 hhh re CE Ep D 1 Figure 25 Tableau de bord avec regroupement Page 46 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 T che 5 laboration des proc dures d alimentation laboration des proc dures d alimentation tape 3 T che 5 Objectifs de la t che tablir des proc dures permettant l alimentation des tableaux de bord SSI de fa on r currente selon une p riodicit d finie 3 Elaboration Acteurs de la t che e Groupe de travail exploitation e Groupe de travail technique l ments en entr e l ments en sortie e Constitution des tableaux de bord SSI Proc dures d alimentation des indicateurs e Fiches descriptives des indicateurs e Proc dures d alimentation des tableaux de e Maquette
6. Synth se des indicateurs Constitution des tableaux de bord SSI Synth se des tableaux de bord SSI laboration des proc dures d alimentation Synth se des proc dures d alimentation y KE Oo oa aa aa aaa Validation des tableaux de bord SSI Note de validation tape 4 Exploitation des tableaux de bord SSI Mise en oeuvre des tableaux de bord SSI tape 5 volution des tableaux de bord SSI Suivi des tableaux de bord SSI La B lt Suivi des modifications du contexte ou des objectifs Figure 5 D roulement d taill de la d marche Page 10 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 2 2 Structure des fiches m thodologiques Les diff rentes t ches de la m thodologie sont pr sent es sous forme de fiches selon le formalisme suivant Libell et r f rence de la t che Nom donn la t che num ro de l tape et de la t che Objectifs de la t che Comporte une br ve description de l utilit de la t che dans la d marche globale Acteurs de la t che Liste les acteurs qui interviennent au cours de la t che l ments en entr e Si n cessaire liste les l ments n cessaires la r alisation de la t che l ments en sortie Liste les l ments produits par la t che M thodologie Liste les t ches n cessai
7. l ments en entr e Description synth tique du p rim tre fonctionnel et technique du syst me tudi Identification des interlocuteurs fonctionnels et techniques du syst me tudi l ments en sortie e Liste des personnes en mesure d identifier les sources de donn es utilisables pour constituer des indicateurs M thodologie Prendre contact avec les interlocuteurs fonctionnels et techniques identifi s au cours de la t che pr c dente tablir avec eux la liste des personnes utilisables dans le syst me tudi pour constituer des indicateurs S assurer que ces personnes seront en mesure disponibilit d intervenir dans le cadre du projet de tableaux de bord SSI en mesure d identifier les sources de donn es Page 23 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 Connaissance des possibilit s d obtention des donn es sources tape 1 T che 7 Explications et d tails Les tableaux de bord SSI sont des agencements ordonn s d indicateurs repr sent s de la mani re la plus pertinente possible par rapport l interpr tation qui en sera faite Afin que les indicateurs regroup s dans les tableaux de bord SSI correspondent la r alit du syst me d information cible ils doivent tre calcul s partir de donn es provenant de ce syst me Avant d initier un projet de tableau de bord SSI il est important de s assurer que les c
8. tape 2 T che 1 Objectifs de la t che Identifier tous les acteurs du projet et initier des actions d information sur les tableaux de bord SSI afin d expliquer les enjeux du projet et 2 Mee ansees d impliquer les acteurs Acteurs de la t che Les acteurs de la t che sont d termin s au cours de l avancement de l tape Les acteurs initiaux sont les responsables du projet auxquels il appartient d identifier les autres acteurs les utilisateurs ont normalement d j t identifi s et d terminent le niveau de certains autres acteurs du projet et de les impliquer l ments en entr e l ments en sortie e Listes des destinataires des tableaux de e Annuaire des acteurs du projet bord SSI e Supports de communication M thodologie e Identifier tous les acteurs et leurs responsables hi rarchiques utilisateurs responsables budg taires interlocuteurs techniques de l quipe d exploitation du SI cible experts s curit e Informer les acteurs et leurs responsables hi rarchiques sur le projet de tableaux de bord SSI objectifs utilisation int r t enjeux pour lorganisme Explications et d tails L tape de mise en place du projet de tableaux de bord SSI est une tape importante pour la r alisation du projet sans retard et pour la p rennit des tableaux de bord SSI Acteurs du projet Tableau de bord Le projet de tableaux de bord SSI est un projet de grande en
9. tudi Ils permettent de les r duire partiellement ou totalement Ils sont d finis a priori selon les menaces retenues et les besoins de s curit exprim s par l organisme et tiennent compte d une situation id ale correspondant exactement aux besoins de s curit exprim s Les objectifs de s curit seront utilis s dans la d termination des objectifs mesurables la d finition des valeurs cibles ou des valeurs seuils t che de formalisation des objectifs mesurables Ces valeurs seront prises comme niveau de r f rence des indicateurs et permettent d tablir des chelles pertinentes pour les repr sentations graphiques Par exemple lors de la d finition d une repr sentation graphique pour un indicateur si la valeur cible ou seuil associ e l objectif de s curit n est pas utilis e comme r f rence pour le choix de l chelle le graphique r sultat risque de ne pas tre facilement exploitable En r gle g n rale les objectifs de s curit d coulent des tudes de s curit amont au cours desquelles les risques sont analys s et trait s selon les priorit s de l organisme ainsi que sa politique de s curit interne La situation id ale est celle o l on dispose d une liste d objectifs de s curit issus d une analyse des risques SSI Il est n anmoins possible d utiliser d autres l ments la place ou en compl ment des objectifs de s curit risques exigences r gles mesures actions de s curit R
10. Diff rents l ments doivent tre pr cis s au sujet du tableau de bord SSI la p riodicit de production le responsable de production Page 48 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 l ventuelle proc dure d historisation les destinataires le mode de diffusion Automatisation des proc dures L laboration des tableaux de bord SSI peut constituer une t che lourde de consolidation et de calculs L utilisation d outils de bureautique standard ou logiciels sp cifiques est pr cis e D termination des charges et co ts r currents La production de chaque indicateur implique une charge de travail et des co ts r currents qu il convient d identifier Il s agit de pr ciser les co ts directs et indirects relatifs la production des donn es leur exploitation la production des indicateurs et leur dition Le d tail des co ts doit donc tre formalis et le total est calcul par tableau de bord SSI Page 49 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 T che 6 Validation des tableaux de bord SSI Validation des tableaux de bord SSI tape 3 T che 6 Objectifs de la t che EET Validation du projet autant du point de vue fonctionnel et technique que du point de vue des charges associ es et des co ts induits 2 Mise en plac
11. acteurs impliqu s dans la phase de exploitation production du projet de tableaux de bord SSI le groupe de travail exploitation s assure que les tableaux de bord SSI et les proc dures associ es pourront tre exploit s ais ment autant dans leur aspect constitution que dans leur aspect utilisation Il regroupe des repr sentants des acteurs syst me d information ainsi que des repr sentants des destinataires Pour des raisons de coordination et d efficacit il est pr f rable que les groupes de travail soient compos s d un nombre r duit mais repr sentatif de participants Par exemple les acteurs syst me d information pourraient le cas ch ant tre repr sent s par le responsable du d partement exploitation du syst me d information Page 29 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 tape 3 laboration des tableaux de bord SSI T che 1 Formalisation des objectifs mesurables Transcription des objectifs de s curit tape 3 T che 1 Objectifs de la t che Adaptation des objectifs de s curit de lorganisme un format utilisable pour les tableaux de bord SSI 3 Elaboration 4 Mise en uvre SEvolution Acteurs de la t che e Groupe de travail utilisation e Groupe de travail technique l ments en entr e l ments en sortie e Objectifs de s curit identifi s e Liste des obj
12. curit dans la mesure o il ne pourrait tre calcul nouveau pour le tableau de bord suivant Lors du passage lan 2000 par exemple le ratio nombre de postes touch s par le bug au 1 janvier 2000 nombre total de postes pouvait donner une bonne indication sur l efficacit du projet An 2000 de l organisme mais ne pouvait constituer un indicateur de tableaux de bord SSI dans la mesure il n existe pas en dehors du 1 Janvier 2000 Par contre le ratio nombre de postes inutilisables cause du bug nombre total de postes pouvait ventuellement mesurer un objectif de progression dans un tableau de bord courte dur e de vie sur le passage l an 2000 Leur simplicit de calcul Comme les points cl s et les param tres choisis pour leur simplicit de collecte les indicateurs simples calculer sont privil gier par souci de r alisme par rapport aux t ches de calcul et aux co ts associ s Outre une r duction des chances de d rapage des co ts de production cette caract ristique permet de r duire les risques d erreur li s des calculs d indicateurs complexes Le niveau de co ts et d lai n cessaire leur laboration Les co ts et d lais d laboration d un indicateur font office de crit re de choix entre deux indicateurs quivalents en fonctionnalit Par exemple le taux d indisponibilit constat d un r seau bas sur le temps coul entre l ouverture d un ticket d incident pour coupure
13. curit peut tre remise en question si les donn es ne r pondent pas au besoin ou si leur recueil s av re trop complexe risque d erreurs co ts lev s par rapport la criticit de l objectif Page 33 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 T che 3 laboration des indicateurs laboration des indicateurs tape 3 T che 3 Objectifs de la t che S lection des indicateurs qui seront utilis s dans les tableaux de bord SSI pour suivre l atteinte des objectifs 3 Elaboration Acteurs de la t che e Groupe de travail technique e Groupe de travail exploitation e Groupe de travail utilisation l ments en entr e l ments en sortie e Liste des objectifs mesurables avec des e Liste des indicateurs avec leur description valeurs seuils et cibles des points cl s et param tres des donn es et sources de donn es e Tableaux de bord r sultats souhait s priori M thodologie e D termination des indicateurs les mieux adapt s en regard des objectifs formalis s des attentes des destinataires des tableaux de bord SSI et des points cl s en prenant en compte les contraintes impos es par la disponibilit des donn es et la difficult des r alisations pratiques de ces indicateurs e laboration du calcul des indicateurs s lectionn s et compl ment des valeurs seuils et cibles par un
14. d finie en fonction des objectifs de s curit sur lesquels sont bas s les tableaux de bord SSI et des besoins de suivi de ces objectifs dans le temps La p riodicit souhait e de publication des tableaux de bord SSI sera ventuellement revue ult rieurement en fonctions des caract ristiques des indicateurs retenus p riodicit de disponibilit dur e de validit Page 15 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 T che 4 Disponibilit des objectifs de s curit Disponibilit des objectifs de s curit tape 1 T che 4 Objectifs de la t che 1 Pr requis S assurer que l on dispose des objectifs de s curit ou quivalent 2 Mise en place projet 3 Elaboration 4 Mise en uvre __SEvotion Acteurs de la t che e Personnes en charge de la pr paration du projet de tableaux de bord SSI e Personnes en charge de la prise en compte des objectifs de s curit au sein du syst me tudi l ments en entr e l ments en sortie e Expression des objectifs de s curit ou e Liste des objectifs de s curit quivalent M thodologie e l s agit ici de collationner les l ments disponibles parmi les suivants pour le syst me tudi les risques identifi s les objectifs de s curit qui peuvent tre issus d une analyse des risques SSI les principes ou r gles de s curit qui peuv
15. de mise jour des tableaux de bord SSI v rifier que des compl ments d information ne sont pas n cessaires pour certains indicateurs Cette t che doit tre assur e r guli rement afin de garantir la pertinence et l utilit des tableaux de bord SSI Page 54 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 T che 2 Suivi des modifications du contexte ou des objectifs Suivi des modifications du contexte ou des objectifs tape 5 T che 2 Objectifs de la t che Dans le cas d une modification du cadre de la s curit du syst me tudi v rifier que les tableaux de bord SSI remplissent toujours leur r le correctement et effectuer n cessaires Assurer l adaptation des tableaux de bord SSI aux volutions des technologies et du syst me d information cible les r orientations ventuellement 5 Evolution Acteurs de la t che Groupe de travail exploitation Groupe de travail pilotage Groupe de travail technique Groupe de travail utilisation l ments en entr e Tableaux de bord SSI utilis s avec les proc dures associ es l ment nouveau sur l efficacit des tableaux de bord ou sur l volution du syst me d information cible r sultats d audit des tableaux de bord r sultat d audit du syst me d information int gration de nouveaux points de s curit dans les objec
16. des tableaux de bord SSI bord SSI e Bilan des charges et des co ts induits M thodologie e laboration des proc dures d alimentation de chaque indicateur donn es et sources de donn es laboration de l indicateur gestion de l indicateur automatisation des proc dures e laboration des proc dures d alimentation de chaque tableau de bord SSI indicateurs composant le tableau de bord SSI gestion du tableau de bord SSI automatisation des proc dures e Calcul des charges de travail et des co ts r currents induits pour l dition des tableaux de bord SSI e Les proformae Proc dure d alimentation d indicateur et Proc dure d alimentation de tableau de bord SSI peuvent tre utilis s pour cette t che Explications et d tails La production d un tableau de bord SSI n cessite son alimentation par des valeurs d indicateurs calcul es cet effet Afin d industrialiser cette production des proc dures d alimentation seront labor es et mises en place Une proc dure d alimentation d un tableau de bord SSI regroupe l ensemble de proc dure d alimentation des indicateurs qui le compose ainsi que sa propre proc dure d alimentation Proc dures d alimentation des indicateurs Chaque proc dure d alimentation d indicateur pr sente des rubriques d crivant les donn es et sources de donn es l laboration de l indicateur la gestion de l indicateur et l automatisation des proc dures Donn es et so
17. l volution et le fonctionnement du syst me tudi l ments en entr e l ments en sortie e Documents ant rieurs au lancement du e Confirmation du soutien budg taire du projet tude d opportunit march appel projet de tableaux de bord SSI d offre consultation M thodologie e V rifier qu un budget est pr vu pour les phases de d finition de mise en uvre ventuellement d automatisation et d exploitation alimentation e Selon les phases ce budget se traduit en charge de travail et en disponibilit de personnes cl du projet ou en mat riel et logiciel pour l alimentation le calcul et l dition des tableaux de bord SSI Explications et d tails Pour s assurer de la r ussite du projet Tableaux de bord SSI il est essentiel de lui allouer un budget permettant de mobiliser les ressources n cessaires l laboration des tableaux de bord et de financer les infrastructures requises pour leur mise en uvre Il est galement important de s assurer que les tableaux de bord SSI font partie du budget r current d exploitation de mani re ce qu ils puissent tre aliment s et dit s selon la p riodicit choisie Page 25 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 tape 2 Mise en place du projet de tableaux de bord SSI T che 1 Identification et mobilisation des acteurs Identification et mobilisation des acteurs
18. la lecture des tableaux de bord il est en g n ral conseill de regrouper les indicateurs par domaine puis ventuellement par repr sentation graphique Cependant ce genre de regroupement ne doit pas aller contre les crit res de pr sentation des tableaux de bord Regroupement par domaine Les indicateurs situ s dans un tableau de bord SSI ou dans une m me section d un tableau de bord doivent concerner le m me domaine de la s curit et la m me cat gorie d utilisation op rationnelle pilotage strat gique Les utilisateurs trouveront rapidement les informations recherch es et pourront d un survol identifier les sections n cessitant le plus d attention sections pour lesquelles les indicateurs ne correspondent pas aux objectifs par exemple Section 1 Disponibilit du syst me Section 2 Confidentialit des informations d information Figure 22 Tableau de bord section pour identifier rapidement les probl mes Page 44 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 Certains indicateurs dun m me domaine concernent plusieurs cat gories d utilisateurs IIs peuvent tre regroup s dans une section sp cifique Tableau de bord s curit BBB Section 3 Indicateurs de pilotage fff ggg hhh iii jjj kkk ll mmm nnn Figure 23 Tableau de bord sections orient es par cat gorie d utilisateurs Page 45 sur 58 SGDN
19. la p riodicit souhait e des tableaux de bord SSI tape 1 T che 3 Objectifs de la t che 1 Pr requis D finir la p riodicit de parution souhait e des tableaux de bord SSI 2 Mise en place projet 3 Elaboration 4 Mise en uvre __SEvotion Acteurs de la t che e Personnes en charge de la pr paration du projet de tableaux de bord SSI e Destinataires des tableaux de bord SSI l ments en entr e l ments en sortie e Liste des destinataires des tableaux de Liste des destinataires des tableaux de bord SSI niveaux d utilisation et utilisation bord SSI niveaux d utilisation utilisation pr vue des tableaux de bord SSI pr vue et p riodicit de parution des tableaux de bord SSI M thodologie e interroger les destinataires des tableaux de bord SSI sur leurs besoins en terme de p riodicit e Souligner cette occasion que l dition d un tableau de bord SSI a un co t et que par cons quent leur r ponse doit autant que possible refl ter l usage qu ils feront des informations re ues et le niveau de fra cheur qu elles doivent respecter e Le proforma Destinataires des tableaux de bord SSI pourra tre utilis pour collationner les p riodicit s souhait es par chaque destinataire Explications et d tails La p riodicit souhait e d un tableau de bord SSI doit tre d finie avant sa conception de mani re ce que le choix des indicateurs y soit adapt Elle est
20. ments en entr e et en sortie de l tape et en pr cise les op rations constitutives de mani re simple et structur e Les fiches sont le plus souvent accompagn es d un volet explicatif et descriptif qui d crit les enjeux de l tape et explicite ses sp cificit s Une fois ces informations acquises par le lecteur l usage des seules fiches pourra tre suffisant pour l application du guide La m thode est illustr e par un exemple r el de mise en place de tableaux de bord SSI Cet exemple est propos dans la section 2 document s par Afin de faciliter le d roulement des projets de mise en uvre de tableaux de bord SSI un ensemble de proformae de documents produits au cours du projet est propos Ils peuvent tre utilis s comme tels ou adapt s aux besoins et usages sp cifiques chaque contexte Ces outils sont fournis en section 3 document s par 1 4 Pourquoi laborer des tableaux de bord SSI Un tableau de bord parfaitement adapt chaque type de fonction de la voie fonctionnelle SSI est un atout pour am liorer la qualit des services de s curit et ma triser le niveau de s curit global de s curit des syst mes d information Il constitue en effet un outil de synth se et de visualisation indispensable pour suivre toutes les actions li es la SSI Il contribue contr ler que la strat gie d finie dans la politique de s curit est mise en uvre par les niveaux de pilotage et op rationn
21. niveau de s curit Comme pour les objectifs de s curit ils seront utilis s pour d finir les valeurs cibles et les valeurs seuils Les valeurs ainsi fix es servent alors de base pour la d finition des chelles en fonction des plans d action d finis Les figures suivantes par exemple r v lent une situation o trois ann es sont n cessaires l atteinte de la valeur cible fix e II semble que peu d efforts ont t fournis lors de la troisi me ann e alors que l objectif n tait pas encore atteint Or lorsqu on int gre les valeurs cibles interm diaires pour la progression de l indicateur C sur un graphique l chelle adapt e on constate que la situation est conforme au plan d action d fini Page 18 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 Disponibilit des objectifs de progression de SSI tape 1 T che 5 Valeur cible associ e l objectif de s curit terme pour l indicateur C Valeur cible associ e Pobjectif de s curit terme pour l indicateur C Valeur cible associ e Pobjectif de progression de Pindicateur C pour l ann e 1 Valeur cible associ e l objectif de progression de l indicateur C pour l ann e 2 Ann e 1 nee Ann e 3 Ann e 1 Ann e 2 Ann e 3 Figure 6 Repr sentation graphique sans Figure 7 Repr sentation graphique avec valeur de progression
22. r seau et sa fermeture fournit une indication quivalente au taux d indisponibilit mesur par un outil effectuant des demandes de connexion ping toutes les 5 10 minutes et r pertoriant les p riodes d indisponibilit La conception du taux d indisponibilit pouvant tre facilement automatis e partir de l outil de demandes de connexions le taux d indisponibilit mesur sera privil gier Page 35 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 laboration des indicateurs tape 3 T che 3 Pertinence d un indicateur Les crit res de pertinence d un indicateur dans un tableau de bord s curit sont La non redondance avec les autres indicateurs Si deux indicateurs sont exactement redondants un des deux est inutile S ils se chevauchent ils peuvent tre refondus de mani re soit ne faire plus qu un indicateur couvrant le p rim tre des autres soit s par s afin de donner deux indicateurs ind pendants et pertinents Le nombre de tentatives d intrusion sur un r seau et le nombre de tentative d acc s non autoris aux ressources du SI se chevauchent au niveau des tentatives bloqu es par le firewall Afin de r soudre ce chevauchement il est par exemple possible d utiliser comme indicateur le nombre de tentatives d intrusion et le nombre de tentative d acc s non autoris provenant de l int rieur du r seau La validation de l u
23. tre recens avec les donn es mesurables par chacun ainsi qu une indication de la facilit et de co t d obtention de chaque donn e selon la source Par exemple l analyse d taill e de journaux d un pare feu peut permettre la d tection et le d nombrement des intrusions sur un r seau mais cette information peut aussi tre recueillie partir d un dispositif de d tection d intrusion Les sources possibles regroupent notamment e le r f rentiel de risques le suivi de la couverture des risques par exemple est bas sur le r f rentiel de l analyse des risques e les tableaux de bord techniques ou outils quivalents plates formes d administration des syst mes et r seaux administration centralis e d antivirus administration de sondes de d tection d intrusion de pare feu de Web d analyse de journaux outils tr s utiles car ils apportent un premier niveau de collationnement et de consolidation des donn es il est ainsi possible de retrouver directement le nombre d essai d infraction d une r gle sp cifique du pare feu sans avoir faire l analyse compl te du log e les donn es techniques directes une requ te sur la base de gestion des comptes utilisateurs pour conna tre le nombre de comptes bloqu s par exemple e le suivi de la s curit organisation co ts investissements fonctionnement plan d action help desk incidents nombre d incident d un crash du disque dur de serveur et cat gori
24. vis de l usage qu ils comptent en faire 2 Mise en place projet 3 Elaboration 4 Mise en uvre __SEvotion Acteurs de la t che e Personnes en charge de la pr paration du projet de tableaux de bord SSI e Destinataires des tableaux de bord SSI l ments en entr e l ments en sortie e Liste des destinataires des tableaux de e Liste des destinataires des tableaux de bord SSI et niveaux d utilisation bord SSI niveaux d utilisation et utilisation pr vue des tableaux de bord SSI M thodologie e interroger les destinataires sur l usage qu ils envisagent des tableaux de bord SSI qui leur seront fourni au travers de leurs pr rogatives vis vis de la s curit du syst me tudi quels types de d cisions peuvent ils tre amen s prendre quelles actions peuvent ils mener et sur quels points un tableau de bord SSI peut il les informer au mieux pour les aider dans leurs t ches e Le proforma Destinataires des tableaux de bord SSI pourra tre utilis pour collationner les usages pr vus par chaque destinataire Explications et d tails De m me qu il est important de conna tre les objectifs de s curit pour permettre une pr sentation pertinente des indicateurs il est essentiel de d finir au plus t t ce qui est attendu des tableaux de bord SSI dans leur utilisation Les tableaux de bord peuvent servir e de base pour la prise de d cisions techniques concernant la s curit
25. EMONT E DES INDICATEURS D UN TABLEAU DE BORD SSI 8 D ROULEMENT GLOBAL DE LA D MARCHE iii 9 D ROULEMENT D TAILL DE LA D MARCHE ui iedieiii i iiieiieeieeeeeenenneneneees 10 REPR SENTATION GRAPHIQUE SANS VALEUR DE PROGRESSION aannnnrrvvvnnvnnnrnnnnnnnnnnrnrnnrrnnnnnnnnnn 19 REPR SENTATION GRAPHIQUE AVEC VALEURS DE PROGRESSION arnrvrrvnvvrnrrnrnnrnnnnnnnnnrrnnrnnnnnnnn 19 CONJONCTION ENTRE LES OBJECTIFS DE S CURIT ET LE SI 21 IMPACT DE LA CONNAISSANCE DU SI ET DES OBJECTIFS DE S CURIT 22 IMPACT DU P RIM TRE DU SI ET DES OBJECTIFS DE S CURIT 1 mannnnrnnnnnnnrnnrnnnnrnnnnnnnrnrrrrnnnnnnnn 22 ALIMENTATION D UN TABLEAU DE BORD SSI 24 PLAGE DE TOL RANCE AUTOUR D UNE VALEUR CIBLE 31 CONTENU DES DIFF RENTS TYPES DE TABLEAUX DE BORD SSI 37 LIENS ENTRE INDICATEURS DES DIFF RENTS NIVEAUX DE TABLEAUX DE BORD 38 TABLEAU DE BORD SSI PLUSIEURS SECTIONS annnnrrnnvnrrrnnrnnnnnnnnrnnerrnrnnnnnnnnrenrrrrrrnnnnnnnneenenn 40 REPR SENTATION GRAPHIQUE AVEC RAPPEL DE LA VALEUR SEUIL 41 REPR SENTATION GRAPHIQUE AVEC RAPPEL DE LA VALEUR CIBLE 41 INDICATEUR AYANT D PASS UNE VALEUR SEUIL INF RIEURE onnnnnnnrovnvnnnrnnrn nn nrnnnnnnnnnnnrnrnnnnnnnn 41 INDICATEUR SORTANT DE LA PLAGE DE TOL RANCE aannnnrnnvvnnnnnnrn nn nnnnnnnnernnrn nn nnnnnennnenerrrrnnnnnnn 41 PR SENTATION NE FACILITANT PAS LA LECTURE iii 42 PR
26. FE g EM Libert galit Fraternit R PUBLIQUE FRAN AISE PREMIER MINISTRE Secr tariat g n ral de la d fense nationale Direction centrale de la s curit des syst mes d information Sous direction des op rations Bureau conseil laboration de tableaux de bord SSI TDBSSI SECTION I M THODOLOGIE Version du 5 f vrier 2004 51 boulevard de La Tour Maubourg 75700 PARIS 07 SP T l 01 71 75 84 15 Fax 01 71 75 84 00 Ce document a t r alis par le bureau conseil de la DCSSI SGDN DCSSI SDO BCS Les commentaires et suggestions sont encourag s et peuvent tre adress s l adresse suivante voir formulaire de recueil de commentaires en fin de guide Secr tariat g n ral de la d fense nationale Direction centrale de la s curit des syst mes d information Sous direction des op rations Bureau Conseil 51 boulevard de La Tour Maubourg 75700 PARIS 07 SP conseil dessi sgdn pm gouv fr Table des mati res SECTION 1 M THODOLOGIE INTRODUGTION nen r a fn tee te sente ver PS Den et can Ar net nt rentes 5 1 1 OBJECTIF DU DOGUMENT sadelen emnene ner 5 1 2 GHAMP D APPLICATION Late eit 5 1 3 MODE D EMPLOI DU GUIDE M THODOLOGIQUE 5 1 4 POURQUOI LABORER DES TABLEAUX DE BORD SSI mmnrvrnnnnnnnrrrrennnrnrnnnnnrrnvennnnnnnnarnrrrnvennnnnnnnnnnn 5 1 5 PR SENTATION DES CONCEPTS rrrnrsnnnnnnnarvorennonnnnnnnnrvnnrnnonnsannrnnrvnvenssnnnnannrvnnennsnnsanannrvnnsnnsnnn
27. Formalisation des objectifs mesurables 30 T che 2 S lection des l ments de mesure rrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrorrror rororeron renensner 32 T che 3 laboration des ihdicaleurs arrondi arabete ta autos lta 34 T che 4 Constitution des tableaux de bord SSI 39 T che 5 laboration des proc dures d alimentation 47 T che 6 Validation des tableaux de bord SSI 50 TAPE 4 EXPLOITATION DES TABLEAUX DE BORD SSI 51 T che 1 Mise en uvre des tableaux de bord SSI 51 TAPE 5 VOLUTION DES TABLEAUX DE BORD SSI 53 T che 1 Suivi des tableaux de bord SSI 53 T che 2 Suivi des modifications du contexte ou des objectifs 55 FORMULAIRE DE RECUEIL DE COMMENTAIRES ernronnvnverrvnnvnvnrarsnnnnrsvsnnnnrnvsnnnnrsvsnnnnnrsvsnnnnnsrnnnnnr 57 SECTION 2 EXEMPLE D APPLICATION document s par SECTION 3 PROFORMAE document s par FIGURE 1 FIGURE 2 FIGURE 3 FIGURE 4 FIGURE 5 FIGURE 6 FIGURE 7 FIGURE 8 FIGURE 9 FIGURE 10 FIGURE 11 FIGURE 12 FIGURE 13 FIGURE 14 FIGURE 15 FIGURE 16 FIGURE 17 FIGURE 18 FIGURE 19 FIGURE 20 FIGURE 21 FIGURE 22 FIGURE 23 FIGURE 24 FIGURE 25 Table des illustrations ENCHAINEMENT DES L MENTS POUR L LABORATION DES TABLEAUX DE BORD 6 LA PLACE DES TABLEAUX DE BORD SSI DANS UNE D MARCHE S CURIT 7 R
28. M thodologie 5 f vrier 2004 T che 2 S lection des l ments de mesure S lection des l ments de mesure tape 3 T che 2 Objectifs de la t che EEE S lectionner les l ments de mesure du syst me d information cible les plus m me de remonter des informations pertinentes par rapport aux 2 Mise en place projet objectifs 3 Elaboration 4 Mise en uvre SEvolution Acteurs de la t che e Groupe de travail technique l ments en entr e l ments en sortie e Liste des objectifs mesurables avec des Liste des objectifs mesurables avec des valeurs seuils et cibles valeurs seuils et cibles des points cl s et e Liste des personnes en mesure param tres des donn es et sources de d identifier les sources de donn es donn es utilisables pour constituer des indicateurs M thodologie e Lister les l ments de mesure du syst me d information cible associ s aux donn es pouvant tre mesur es par ces l ments e Choisir les donn es les plus m me de fournir facilement des informations pertinentes par rapport aux objectifs formalis s e Le proforma S lection des l ments de mesure peut tre utilis pour cette t che Explications et d tails Avant de s lectionner les sources de donn es susceptibles d alimenter les indicateurs l ensemble des l ments du syst me d information pouvant fournir des donn es de s curit peut
29. SENTATION FACILITANT LA LECTURE iii 42 TABLEAU DE BORD SECTION POUR IDENTIFIER RAPIDEMENT LES PROBL MES 44 TABLEAU DE BORD SECTIONS ORIENT ES PAR CAT GORIE D UTILISATEURS 45 TABLEAU DE BORD SANS REGROUPEMENT eines 46 TABLEAU DE BORD AVEC REGROUPEMENT eee 46 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 1 Introduction 1 1 Objectif du document Ce document propose une m thode de d finition et de mise en uvre d un tableau de bord de la S curit des Syst mes d Information SSI Il d finit pour cela une approche pragmatique et concr te illustr e d un exemple de mise en place d un tel tableau de bord 1 2 Champ d application La m thodologie propos e par ce document peut tre appliqu e tout syst me d information quelle que soit sa finalit Elle pourra tre utilis e pour mettre en uvre un tableau de bord qui couvre un syst me d information unique ou un ensemble de syst mes d information distincts partageant la m me politique de s curit g n rale 1 3 Mode d emploi du guide m thodologique Le c ur du guide m thodologique est constitu par un ensemble de fiches qui d crivent chacune l un des tapes successives qui forment ensemble le processus global du projet de tableaux de bord SSI Chaque fiche d crit l objet de l tape qu elle traite liste les acteurs qui y participent recense les l
30. SI d s le d but du projet et suivre le projet afin d en comprendre les besoins tout en assurant un contr le sur les co ts de production r currents des tableaux de bord SSI La hi rarchie La hi rarchie des acteurs du projet et en particulier des acteurs participant la production des tableaux de bord SSI doit tre sensibilis e aux charges induites par la production des tableaux de bord SSI afin de s assurer que les ressources sont lib r es pour assurer la p rennit des tableaux de bord SSI Les responsables Le projet de tableaux de bord SSI doit tre port par une ma trise projet d uvre et une ma trise d ouvrage comp tentes dans le domaine de la SSI Elles seront responsables de la coordination des acteurs et notamment du respect des d lais du projet Des repr sentants de chaque type d acteurs doivent tre impliqu s dans le projet autant pour que tous les tableaux de bord SSI correspondent aux besoins de retour d information sur la SSI que pour s assurer que les enjeux du projet de tableaux de bord SSI sont bien compris Adh sion des acteurs Pour la p rennit des tableaux de bord SSI notamment la p rennit de leur utilisation il est imp ratif que les diff rents acteurs du projet soient convaincus de l utilit des tableaux de bord SSI Ainsi les tableaux de bord SSI doivent ils tre consid r s comme constituant un projet part enti re et pr sent s comme tel Afin d obtenir l adh sion des diff re
31. anne 6 1 6 D MARCHE DE S CURISATION ET TABLEAUX DE BORD SSI 7 1 7 PRE REQUIS Hine ge aa i i 8 PR SENTATION G N RALE DE LA M THODE mmvevenvnnenennenvnnenvnnennnnennenennenvnnenennennnnenvenensenenvene 9 2 1 SYNTHESE DE LA M THODE enerne eden daa ara A ia 9 2 2 STRUCTURE DES FICHES M THODOLOGIQUES rrrrrrnnnnnnrrrvennararnnarnrrnvennannnsnarnrrrnvenssnnrnnarnrrnnennennn 11 FICHES M THODOLOGIQUES msvenesvnnenvnnennnnenvenennnnnnnenvnnensnnenvenennnnenvenensnnesnenennenssneneenenssnenvenenee 12 TAPE Ts PR REQUIS ee 12 T che 1 Identification des destinataires des tableaux de bord SSI 12 T che 2 Utilisation pr vue des tableaux de bord SSI 14 T che 3 Expression de la p riodicit souhait e des tableaux de bord SSI 15 T che 4 Disponibilit des objectifs de s curit rrrrrrrrrnnnrrrrrnnrrrrrrrn renne renner rrnronrnennrnn ann 16 T che 5 Disponibilit des objectifs de progression de SSI 18 T che 6 Connaissance du syst me d information cibl 20 T che 7 Connaissance des possibilit s d obtention de donn es sources 23 T che 8 Prise en compte de la dimension budget et moyens rrrrrrrnnrrrrnrannrrrnren nr rrnrrn nr rrrnren ann 25 TAPE 2 MISE EN PLACE DU PROJET DE TABLEAUX DE BORD SSI 26 T che 1 Identification et mobilisation des acteurs 26 T che 2 Constitution des groupes de travail 28 TAPE 3 LABORATION DES TABLEAUX DE BORD SSI 30 T che 1
32. au long de la dur e de vie des tableaux de bord e V rifier la qualit visuelle des tableaux de bord produits mise en forme pr sence et coh rence des indicateurs dates de disponibilit e V rifier la pertinence des indicateurs et de la v racit des valeurs prises e D rouler r guli rement un audit d ad quation des tableaux de bord avec les besoins de s curit d marche similaire celle de constitution des tableaux de bord aussi bien sur les aspects conception qu alimentation e D cider quand n cessaire de lancer une d marche d volution des tableaux de bord voir t che suivante e Proposer en cas de r sultat paradoxal sur certains indicateurs un clairage des informations produites l attention de leurs destinataires apr s v rification des donn es sources et clarification des causes de la situation Page 53 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 Suivi des tableaux de bord SSI tape 5 T che 1 Explications et d tails La t che de suivi consiste v rifier la qualit des indicateurs et tableaux de bord SSI ergonomie coh rence v rifier la pertinence des indicateurs et des valeurs analyser les fausses d tections les non d tections v rifier l ad quation des indicateurs et tableaux de bord SSI par rapport aux volutions des objectifs de s curit v rifier le besoin
33. bilit voire par une volution rapide du contexte de s curit global e volution naturelle des objectifs de s curit ou de l environnement technique sur lequel peut se baser le calcul des indicateurs e audit dad quation des tableaux de bord aux objectifs de s curit r v lant une couverture partielle des besoins par les tableaux de bord ou la production par les tableaux de bord d une image fauss e de l tat de s curit effectif du syst me tudi Une mise jour est effectivement r alis e dans les cas suivants e indicateurs inadapt s normalement seulement au d but de la mise en place du tableau de bord e changement d objectifs qui peut tre d une modification du contexte ou volution du syst me tudi e changement d utilisateurs destinataires Page 56 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 Formulaire de recueil de commentaires Ce formulaire peut tre envoy l adresse suivante Secr tariat g n ral de la d fense nationale Direction centrale de la s curit des syst mes d information Sous direction des op rations Bureau conseil 51 boulevard de La Tour Maubourg 75700 PARIS 07 SP conseil dcssi sgdn pm gouv fr Identification de la contribution Nom et organisme facultatif 25e ssssteeeritaneritaldhapineteilnaneerilaleesenlateneiulee cn ittaledidplee
34. d information Finalisation des tableaux de bord Les ajustements r v l s lors de la validation doivent tre accept s par tous les groupes de travail qui s attacheront pr server l objectivit et la pertinence des tableaux de bord SSI Les modifications ventuellement apport es doivent tre int gr es au niveau du projet mise jour de la documentation modification des proc dures Page 50 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 tape 4 Exploitation des tableaux de bord SSI T che 1 Mise en uvre des tableaux de bord SSI Mise en uvre des tableaux de bord SSI tape 4 T che 1 Objectifs de la t che dition et exploitation r currente des tableaux de bord SSI Cette tape est une tape r currente qui est r alis e chaque fois qu un des tableaux de bord est diter selon la p riodicit pr vue 4 Mise en uvre Acteurs de la t che e Groupe de travail exploitation l ments en entr e l ments en sortie e Proc dures d alimentation des tableaux e Proposition d actions correctives de bord SSI valid es Bilan des charges et des co ts induits valid Maquette des tableaux de bord SSI valid e ventuelles suite l interpr tation des tableaux de bord SSI e _ ventuellement alarme la direction M thodologie Recueil des donn es constitutives di
35. de ndateniiulee Adresse lectronique ananasen ease ae Baade BE EN TE EN EE Remarques g n rales sur le document Le document r pond il vos besoins Oui Non Si oui Pensez vous qu il puisse tre am lior dans son fond Oui Non Si oui Qu auriez vous souhait y trouver d autre Quelles parties du document vous paraissent elles inutiles ou mal adapt es Pensez vous qu il puisse tre am lior dans sa forme Oui Non Si oui Dans quel domaine peut on l am liorer lisibilit compr hension pr sentation autre Pr cisez vos souhaits quant la forme Si non Pr cisez le domaine pour lequel il ne vous convient pas et d finissez ce qui vous aurait convenu SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 Remarques particuli res sur le document Des commentaires d taill s peuvent tre formul s l aide du tableau suivant N indique un num ro d ordre Type est compos de deux lettres La premi re lettre pr cise la cat gorie de remarque O Faute d orthographe ou de grammaire E Manque d explications ou de clarification d un point existant I Texte incomplet ou manquant R Erreur La seconde lettre pr cise son caract re m mineur M Majeur R f rence indique la localisation pr cise dans le texte num ro de paragraphe ligne Enonc de la remarque permet de formal
36. e e Coordonn es des services en rapport fonctionnel et technique du syst me tudi avec le SI architecture exploitation Identification des interlocuteurs fonctionnels tude et techniques du syst me tudi e tude de s curit analyse des risques SSI rapport d audit si disponible M thodologie e La validation du p rim tre prendre en compte est r alis e aupr s du responsable promoteur du projet de mise en place du tableau de bord s curit pour le syst me tudi e L identification des interlocuteurs techniques et fonctionnels est r alis e aupr s de la m me personne Ces personnes seront sollicit es dans la suite du projet e Le proforma Syst me d information pourra tre utilis pour collationner les informations recueillies au cours de cette t che Page 20 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 Connaissance du p rim tre de syst me d information cibl tape 1 T che 6 Explications et d tails Les tableaux de bord SSI ont pour vocation de mesurer la s curit d un syst me d information sp cifique lls doivent donc tre con us en tenant compte des sp cificit s de ce syst me Il est important de choisir des indicateurs qui correspondent une mesure des objectifs de s curit dans le p rim tre du SI Une connaissance exacte du p rim tre fonctionnel et technique du syst me d informati
37. e ventuelle plage de tol rance e Choix de l chelle des indicateurs en tenant compte des objectifs et des valeurs seuils et cibles et proposition de repr sentations graphiques e tablissement des p riodicit s de calcul pertinentes possibles pour chaque indicateur e Le proforma laboration des indicateurs peut tre utilis pour cette t che Page 34 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 laboration des indicateurs tape 3 T che 3 Explications et d tails Les caract ristiques d un indicateur Les indicateurs qui seront utilis s dans les tableaux de bord correspondent des combinaisons de points cl s et de param tres Ils se caract risent par Leur mesure d un ou plusieurs objectifs de s curit de organisme Certains indicateurs combin s permettent d associer les points cl s et les param tres de plusieurs objectifs tout en conservant un caract re significatif En revanche un indicateur ne correspondant pas un objectif de s curit de l organisme serait superflu int grer dans les tableaux de bord SSI La possibilit de calcul de leur valeur tout moment La les donn e s constitutive s de l indicateur doivent tre disponible s en continu ou de fa on redondante pour une p riode donn e Un indicateur bas sur un audit ponctuel du syst me d information ne serait d aucune utilit dans un tableau de bord s
38. e d l ment d cisionnel par rapport au co t de la s curit e de support pour la sensibilisation la s curit e etc Chaque type d utilisation influencera le choix des indicateurs et de leur repr sentation lors de l laboration d un tableau de bord SSI sp cifique De plus il est important de conna tre le r sultat souhait en terme de nombre de tableaux de bord SSI de port e de chacun des tableaux et d utilisation qui va en tre faite Avant la conception du tableau de bord d une voiture il est indispensable de conna tre l utilisation qui va en tre faite il pourra servir e renseigner l utilisateur sur la configuration de la voiture en temps r el phares allum s clignotant enclench e prendre des d cisions sur les op rations de maintenance pr ventive pour les r visions en fonction du kilom trage ou curative quand les voyants rouges s allument e sensibiliser l utilisateur sur la vitesse par rapport aux limitations en vigueur Une connaissance de ces aspects permet d adapter la configuration du tableau de bord aux r sultats attendus et aux priorit s compteur de vitesse bien visible voyants d alarme en rouge indicateur d allumage de phare plus discret Page 14 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 T che 3 Expression de la p riodicit souhait e des tableaux de bord SSI Expression de
39. e projet 3 Elaboration amp Misen uvre 5 Evolution Acteurs de la t che e Groupe de travail exploitation e Groupe de travail pilotage e Groupe de travail utilisation l ments en entr e l ments en sortie e Proc dures d alimentation des tableaux e Proc dures d alimentation des tableaux de de bord SSI bord SSI valid es e Bilan des charges et des co ts induits e Bilan des charges et des co ts induits e Maquette finalis e des tableaux de bord valid SSI e Maquette des tableaux de bord SSI valid e M thodologie e Production des tableaux de bord SSI en se basant sur les donn es r elles du syst me tudi e Modifications ventuelles et validation des l ments en entr e de l tape Explications et d tails Essai et validation tests et qualification Les tableaux de bord SSI sont dit s en utilisant les proc dures d alimentation en se basant sur les donn es r elles des SI Les acteurs des groupes de travail technique utilisation et exploitation valident e la pertinence et l applicabilit des proc dures d alimentation e la pertinence des indicateurs par rapport aux objectifs formalis s e la pertinence de la pr sentation des indicateurs pour leur interpr tation forme unit s chelle positionnement dans le tableau de bord e la validit des valeurs des indicateurs au regard de la s curit du syst me
40. ectifs mesurables avec des e Objectifs de progression de SSI valeurs seuils et cibles M thodologie e Traduction des objectifs de s curit et objectifs de progression de SSI en objectifs quantifiables par des l ments de mesure du syst me tudi e Formalisation des valeurs seuils et cibles selon leur port e e Le proforma Formalisation des objectifs mesurables peut tre utilis pour cette t che Page 30 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 Transcription des objectifs de s curit tape 3 T che 1 Explications et d tails Les objectifs issus de la d marche s curit de organisme sont s lectionn s et adapt s afin de d finir de mani re quantifiable pour chaque sous syst me du syst me tudi et pour chaque composant de la s curit e le niveau de couverture des risques acceptation de perte des donn es de travail d une demi journ e par exemple e les plans d action s curit passage progressif de tous les serveurs en mode redondant sur 3 ans par exemple e les moyens de s curit disponibilit de 100 de l antivirus par exemple e les incidents au sens large incluant les v nements de s curit r activit sur incidents de s curit de 50 sup rieure la r activit sur incidents g n riques par exemple e les co ts associ s budget allou l am lioration de l identification pour passe
41. el et la remont e d informations pertinentes jusqu aux d cideurs Pour le niveau strat gique la mise en place d un tableau de bord permet de suivre l application de la politique de s curit d tablir des comparaisons avec d autres organismes de pr parer les choix de mise en place des ressources d finition de priorit s r valuation de la menace et du risque Pour le niveau de pilotage la mise en place d un tableau de bord permet de contr ler la r alisation des objectifs par le niveau op rationnel d am liorer la qualit de service Pour le niveau op rationnel la mise en place d un tableau de bord permet de pr ciser les besoins op rationnels mettre en uvre de mesurer la production et les efforts entrepris pour atteindre les objectifs vis s en mati re de production de motiver et dynamiser les quipes Page 5 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 1 5 Pr sentation des concepts Sont pr sent s ici les concepts utilis s dans la m thode d laboration et de mise en place de tableaux de bord de la SSI ou les termes employ s dans ce document avec un sens sp cifique au domaine des tableaux de bord Objectifs ou quivalents et plan d action d coulant de la d marche s curit analyse des risques SSI Objectifs retenus pour les tableaux de bord SSI avec leurs valeurs seuils et cibles si elles existent As
42. ent tre issus de la politique de s curit du syst me d information les exigences de s curit les mesures ou actions de s curit pr vues e Le proforma Documents relatifs aux objectifs de s curit pourra tre utilis pour collationner les diff rentes sources d information Page 16 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 Disponibilit des objectifs de s curit tape 1 T che 4 Explications et d tails Les tableaux de bord SSI sont des outils d aide au diagnostic et la d cision en mati re de s curit En tant que tels ils mesurent l cart entre la situation r elle du syst me d information et les besoins de s curisation d finis par rapport l activit de l organisme En permettant une comparaison entre la situation du syst me d information et les objectifs de s curit identifi s les indicateurs permettront de mesurer les carts combler et de d finir les priorit s d action pour atteindre les objectifs de s curit Concevoir des tableaux de bord SSI sans tenir compte des objectifs de s curit donnerait des tableaux de bord inadapt s aux besoins de l organisme Par exemple les indicateurs ne pourraient pas tre interpr t s car la mesure ne pourrait pas tre situ e sur une chelle de valeur signifiante pour l organisme Les objectifs de s curit couvrent les risques identifi s pour le syst me
43. es orientations du syst me d information en perturbant la vision d ensemble n cessaire aux d cisions strat giques Par contre il est imp ratif qu il soit inform du niveau de s curit du syst me d information par exemple via le nombre total d incidents de s curit Bien souvent les destinataires des tableaux de bord SSI feront aussi partie des groupes de travail Et d une mani re g n rale il est pr f rable que chaque personne contribuant aux tableaux de bord SSI soit destinataire de l un d eux Le tableau de bord d une automobile a t con u pour un conducteur II remonte des informations importantes pour la conduite du v hicule mais ne va pas en d tail dans les aspects techniques Par exemple les voyants d alarme pr viennent le conducteur d un probl me charge lui de prendre la d cision la plus adapt e au probl me en g n ral montrer le v hicule un m canicien La r solution sp cifique du probl me n cessite des informations incluses dans des indicateurs la disposition de personnes comp tentes en m canique Page 13 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 T che 2 Utilisation pr vue des tableaux de bord SSI Utilisation pr vue des diff rents tableaux de bord SSI tape 1 T che 2 Objectifs de la t che 1 Pr requis Affiner la qualification des attentes des destinataires des tableaux de bord SSI vis
44. es personnes identifi es doivent ou non tre destinataires de tableaux de bord SSI e Pour chaque destinataire identifi identifier en fonction de ses pr rogatives le type de tableau de bord qui le concerne op rationnel pilotage strat gique e Le proforma Destinataires des tableaux de bord SSI pourra tre utilis pour collationner la liste des destinataires Page 12 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 Identification des destinataires des tableaux de bord SSI tape 1 T che 1 Explications et d tails La composition d un tableau de bord SSI est intimement li e aux personnes qui auront s en servir Avant d initier la conception de tableaux de bord SSI il est imp ratif d en conna tre le niveau d utilisation pour choisir des indicateurs adapt s En r gle g n rale trois niveaux de tableaux de bord SSI sont mis en place en fonction des utilisateurs e les tableaux de bord op rationnels e les tableaux de bord de pilotage e les tableaux de bord strat giques Par exemple un utilisateur de tableaux de bord SSI au niveau strat gique n a pas besoin de conna tre les causes des incidents de s curit qui sont utilis es dans les tableaux de bord op rationnels Il ne prendra pas les d cisions techniques qui en d coulent Au contraire ce genre d information pourrait interf rer avec les d cisions qu il doit prendre sur l
45. etrouvons notre v hicule la valeur indiqu e par le compteur de vitesse n est en soit qu une information sans grand int r t si ce n est pour essayer de battre des records En revanche elle prend toute sa valeur quand elle est compar e la r glementation et au temps de freinage selon la vitesse du v hicule De m me sans limitation de vitesse un compteur de vitesse pourrait aussi bien tre gradu tous les 100 km h Ce sont les diff rents seuils de limitation et une certaine habitude de la graduation d cimale qui permettent de d finir la graduation chiffr e tous les 20 km h pour des raisons de lisibilit Page 17 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 T che 5 Disponibilit des objectifs de progression de SSI Disponibilit des objectifs de progression de SSI tape 1 T che 5 Objectifs de la t che sn i s z A 1 Pr requis S assurer que l on dispose s il y a lieu dun ch ancier de la r alisation des objectifs de s curit 2 Mise en place projet 3 Elaboration 4 Mise en uvre S Evolwion Acteurs de la t che e Personnes en charge de la pr paration du projet de tableaux de bord SSI e Personnes en charge de la prise en compte des objectifs de s curit au sein du syst me tudi l ments en entr e l ments en sortie e Liste des objectifs de s curit e Calendrier de progressi
46. icateurs calcul explication interpr tation et surtout repr sentation graphique pour chaque objectif mesurable et le groupe de travail exploitation s lectionne un indicateur par objectif ventuellement un indicateur pour plusieurs objectifs qu il trouve repr sentatif et ais manipuler Les choix des indicateurs sont valid s par le groupe de travail utilisation qui s attachera v rifier l ad quation entre les objectifs de s curit et les indicateurs s lectionn s Le nombre d indicateurs int grer dans chaque tableau de bord s curit d pend du niveau des destinataires e Les destinataires de tableaux de bord SSI strat giques ont besoin d informations concises et g n riques permettant de d finir les grandes orientations s curit d un organisme Les tableaux de bord leur tant destin s ne devraient pas comporter plus de six indicateurs par tableau de fr indicateurs strat giques utiliseront le plus de consolidations possibles tout en restant inents e Les destinataires de tableaux de bord SSI du niveau pilotage sont plus sp cialis s dans certains aspects de la s curisation et ont besoin d indicateurs plus d taill s sur leur domaine Une moyenne d une douzaine d indicateurs par domaine et par tableau de bord avec quelques consolidations semble adapt e e Les destinataires de tableaux de bord SSI op rationnels sont plus susceptibles d utiliser les indicateurs des tableaux de bord SSI comme niveau d a
47. if de s curit ou d un objectif de progression de SSI Plage de tol rance Fourchette autour d une valeur cible au sein de laquelle un indicateur peut varier sans refl ter une d gradation repr sentative de la s curit par rapport un objectif de s curit Page 6 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 Point cl l ment unitaire mesurable permettant d appr hender soit seul soit combin d autres points cl s si un objectif de s curit ou un objectif de progression de SSI est atteint ou non La mesure des points cl s permet de collecter les donn es constitutives des indicateurs Tableau de bord SSI Ensemble coh rent d indicateurs mis en forme et agenc s de mani re pr senter une image synth tique de la situation de la s curit du syst me d information consid r Valeur cible Valeur d un indicateur refl tant l atteinte d un objectif de s curit ou d un objectif de progression de SSI Une valeur cible peut tre associ e une plage de tol rance si elle concerne un objectif de s curit Valeur seuil Niveau au del ou en de duquel la valeur d un indicateur indique qu un objectif de s curit n est plus couvert ou qu un objectif de progression de SSI ne peut plus tre atteint Une valeur seuil peut tre d sign e comme inf rieure si l indicateur associ ne doit pas tomber en dessous d un certain niveau ou comme sup rie
48. iser le commentaire Solution propos e permet de soumettre le moyen de r soudre le probl me nonc N Type R f rence nonc de la remarque Solution propos e Merci de votre contribution
49. larme sur des petits composants constituants la base de la s curit et ne requi rent pas de consolidation Les tableaux de bord op rationnels peuvent int grer jusqu une vingtaine d indicateurs par tableau de bord Niveau de tableau de Nombre moyen Usage d indicateurs bord SSI d indicateurs consolid s Strat gique Faible Fort Pilotage Moyen Moyen Op rationnel Important Faible Figure 13 Contenu des diff rents types de tableaux de bord SSI Les indicateurs sont majoritairement issus des points cl s et param tres Il s agit des indicateurs de base Mais certains doivent tre cr s afin de r pondre aux besoins des diff rents destinataires par exemple des synth ses d indicateurs sur un m me th me doivent tre r alis es On les appellera les indicateurs compl mentaires Page 37 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 laboration des indicateurs tape 3 T che 3 Information EG EG Op ration nel d taill e Synth se Strat gique Pilotage Degr de consolidation Figure 14 Liens entre indicateurs des diff rents niveaux de tableaux de bord Pour des raisons de comparaison et notamment dans les cas de suivi d objectifs de progression de SSI il peut tre judicieux de rappeler I historique des indicateurs c t de la valeur de l indicateur correspondant
50. nts acteurs du projet des actions pr paratoires de communication doivent tre men es aupr s de l ensemble des populations concern es par le projet avant le lancement de celui ci Ces actions de communication seront adapt es la s curit gr ce des exemples de d rapage de s curit qui pourraient tre pr venus par l tude des indicateurs de s curit Id alement ces exemples viendront d incidents de s curit effectivement survenus dans l organisme On pourra par exemple exposer aux responsables budg taires et la hi rarchie les co ts et les charges induits par des d rives de s curit qui auraient pu tre vit es gr ce une alerte pr coce Les acteurs du syst me d information pourront tre sensibilis s aux pertes de temps qui seront vit es par la r duction des d rives et la production d alertes en amont en se basant si possible sur des exp riences ant rieures Enfin les destinataires ainsi que les acteurs s curit seront sensibles une pr sentation des avantages d une information claire et adapt e au suivi des objectifs de s curit de organisme par rapport aux informations disponibles pr c demment Dans tous les cas la hi rarchie au plus haut niveau doit servir de relais autant pour convaincre leurs utilisateurs de l utilit des tableaux de bord SSI que pour leur permettre d int grer la participation au projet de tableaux de bord SSI dans leurs t ches Page 27 sur 58
51. oc dures d alimentation Validation des tableaux de bord SSI tape 4 Exploitation des tableaux de bord SSI Mise en uvre des tableaux de bord SSI tape 5 volution des tableaux de bord SSI Suivi des tableaux de bord SSI Suivi des modifications du contexte ou des objectifs Page 9 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 tape 1 Pr requis Identification des destinataires des tableaux de bord SSI Utilisation pr vue des tableaux de bord SSI Expression de la p riodicit souhait e des tableaux de bord SSI Disponibilit des objectifs de s curit Disponibilit des objectifs de progression de SSI Connaissance du syst me d information cibl Connaissance des possibilit s d obtention de donn es sources Prise en compte de la dimension budget et moyens Synth se des pr requis tape 2 Mise en place du projet de tableaux de bord SSI Identification et mobilisation des acteurs Constitution des groupes de travail Note de cadrage tape 3 laboration des tableaux de bord SSI Formalisation des objectifs mesurables Synth se des objectifs mesurables S lection des l ments de mesure Synth se des l ments de mesure laboration des indicateurs
52. omposants du SI cible sont capables de fournir des donn es sur leur fonctionnement que ce soit des journaux des statistiques et ou des remont s automatique d alarmes La v rification des possibilit s de calcul des donn es de base des indicateurs peut aussi s accompagner d une identification d interlocuteurs pour les diff rents l ments du SI La connaissance d interlocuteurs cibl s permettra dans les tapes ult rieures de conna tre les sources de donn es disponibles pour les l ments pris en compte dans le tableau de bord SSI Tableau de bord s curit A amp Br De Figure 11 Alimentation d un tableau de bord SSI On a beau avoir un voyant d huile sur le tableau de bord si le moteur ne comporte pas de jauge d huile le voyant ne sera d aucune utilit Page 24 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 T che 8 Prise en compte de la dimension budget et moyens Prise en compte de la dimension budget et moyens tape 1 T che 8 Objectifs de la t che TESE S assurer que le projet de mise en place de tableaux de bord SSI pour le syst me cibl est bien identifi au niveau budg taire 2 Mise en place projet 3 Elaboration 4Miseenauve Evolution Acteurs de la t che e Personnes en charge de la pr paration du projet de tableaux de bord SSI e Responsables du budget pour
53. on cible permet donc une d finition du p rim tre pris en compte par les tableaux de bord SSI Ainsi avant d initier un projet de tableaux de bord SSI il est tr s important de conna tre le p rim tre cible en particulier si celui ci n est constitu que d une partie du syst me d information global La connaissance du SI et des objectifs de s curit permet donc de d finir le p rim tre maximal envisageable pour les tableaux de bord SSI Objectifs de s curit de l organisme Syst me d information de l organisme Figure 8 Conjonction entre les objectifs de s curit et le SI Page 21 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 objectifs de s curit Une identification minimaliste des objectifs de s curit et ou du SI cibl risque de fournir des tableaux de bord SSI incomplets A contrario une estimation trop maximaliste de ces param tres peut g n rer des co ts inutiles Les figures suivantes pr sentent les cons quences engendr es par une connaissance approximative du syst me d information cible ou des Objectifs de s curit non identifi s risques non couverts Objectifs de s curit identifi s risques couverts Objectifs de s curit ne couvrant pas de risque Objectifs de s curit couvrant des risques pr sence Partie du SI non d finie Partie d
54. on de SSI e Plan d action SSI ou quivalent M thodologie e Pour chaque objectif de s curit collationn dans la t che pr c dente identifier et noter les ventuels niveaux interm diaires de progression du niveau de conformit du SI phasage de mise en uvre des mesures de s curit e Le proforma Documents relatifs aux objectifs de progression de SSI pourra tre utilis pour collationner les objectifs de progression du niveau de s curit Explications et d tails Les tableaux de bord SSI constituent des l ments de contr le du niveau de s curit qu il faut maintenir et permettent aussi de suivre les volutions de la s curisation des syst mes d information Ils deviennent alors des outils de suivi d objectifs interm diaires et de plan d action de mise en uvre de la s curisation En tant que tel ils sont n cessaires au processus de pilotage des plans d action et la prise de d cision pour les r orientations ventuelles Ce type d utilisation des tableaux de bord SSI se base sur des objectifs de progression de SSI et des aspects associ s comme les objectifs de budget de progression de mise en uvre d un sch ma directeur de s curit et de niveau interm diaire de s curit effective Les objectifs de progression de SSI d coulent notamment des contraintes conomiques techniques organisationnelles de d ploiement des mesures de s curit qui imposent typiquement des paliers de progression du
55. ournaux pare feu antivirus traces rapports de mise en uvre fiches d incidents rapports de contr les ou d audit 1 7 Pr requis Certains points doivent ils tre pr cis s avant que la d marche de d finition effective des tableaux de bord SSI puisse tre entam e les destinataires du tableau de bord SSI doivent tre identifi s afin de leur proposer un tableau de bord qui leur soit adapt la nature des r sultats attendus a priori doit tre identifi e l encore afin de r aliser un tableau de bord qui r ponde effectivement aux attentes la p riodicit souhait e du tableau de bord SSI doit tre d finie les objectifs de SSI doivent tre disponibles puisqu ils constituent la r f rence dans l valuation du niveau de s curit du syst me le syst me d information cibl doit tre connu en termes de p rim tre et de caract ristiques techniques des moyens doivent tre allou au projet Tableaux de bord SSI afin de permettre la r alisation des travaux correspondants Ces diff rents pr requis et l explication de l importance de la prise en compte de chacun d eux sont expos s dans les premi res fiches m thodologiques pr sent es dans le chapitre 3 du document Page 8 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 2 Pr sentation g n rale de la m thode 2 1 Synth se de la m thode Les tapes et t ches
56. pects examin s afin de construire l indicateur Informations collect es permettant de calculer la valeur des indicateurs Indicateurs permettant d estimer la r alisation des objectifs de s curit Figure 1 Encha nement des l ments pour l laboration des tableaux de bord Donn e constitutive Mesure d un point cl utilis e pour le calcul de la valeur d un indicateur Historique Ensemble des valeurs d une donn e constitutive ou d un indicateur associ es sa date de publication Les valeurs de l historique peuvent tre utilis es comme l ment de comparaison pour un indicateur ou comme donn es constitutives pour le calcul d un indicateur de variation Indicateur Donn e statistique combinant la mesure d un ou plusieurs points cl s et utilis e en comparaison avec un historique une des valeur s cible s et ou une des valeur s seuil s Objectif de progression de SSI Objectif de s curit d un organisme correspondant une progression souhait e de la s curisation sur une p riode donn e afin de se rapprocher de l objectif de s curit selon un plan d action d fini Il et souvent issu d un plan d action avec un calendrier de r alisation Objectif de s curit Objectif couvrant un ou plusieurs risques identifi s pour un syst me d information donn Param tre Donn e n cessaire la compr hension d un indicateur mais qui n est pas directement li e la mesure d un object
57. qui constituent la m thode sont pr sent es ci dessous Une fiche m thodologique est pr vue pour chacune de ces t ches dans le chapitre 3 du document Le projet de tableaux de bord SSI repose sur une d marche constitu e d une succession d tapes it ratives tape 1 pr requis 1 v tape 2 mise en place du projet tableaux de bord SSI Y tape 3 laboration des tableaux de bord SSI v tape 4 exploitation des tableaux de bord SSI v tape 5 volution des tableaux de bord SSI Figure 4 D roulement global de la d marche tape 1 Pr requis Identification des destinataires des tableaux de bord SSI Utilisation pr vue des tableaux de bord SSI Expression de la p riodicit souhait e des tableaux de bord SSI Disponibilit des objectifs de s curit Disponibilit des objectifs de progression de SSI Connaissance du syst me d information cibl Connaissance des possibilit s d obtention de donn es sources Prise en compte de la dimension budget et moyens tape 2 Mise en place du projet Tableaux de bord Identification et mobilisation des acteurs _ Constitution des groupes de travail tape 3 laboration des tableaux de bord Formalisation des objectifs mesurables S lection des l ments de mesure laboration des indicateurs Constitution des tableaux de bord SSI laboration des pr
58. r de l identification par mot de passe et login l usage de certificats Les objectifs mesurables ainsi d finis peuvent aussi tre d crits en terme de valeurs seuils s ils d finissent une des borne s inf rieures et ou sup rieures ne pas franchir ou valeurs cibles s il convient de s en approcher le plus possible voire de les atteindre Lorsque les valeurs cibles ont t atteintes elles sont assorties d une plage de tol rance de mani re g n rer des alertes en cas d cart trop important de l indicateur associ Atteinte de Sortie de la la valeur plage de cible tol rance Figure 12 Plage de tol rance autour d une valeur cible Un taux de disponibilit d un r seau de 99 95 par an est par exemple un objectif seuil en dessous duquel il n est pas souhaitable de passer Une fr quence de mise jour de l antivirus de un mois est par contre un objectif cible qui refl te une p r quation entre la protection recherch e et les charges induites par les mises jour de l antivirus Dans le cas o l on ne disposerait pas d objectifs de progression de SSI les valeurs correspondraient la fin des actions sans indication de dur e ni plage de tol rance En effet les groupes de travail du projet de tableaux de bord SSI ne peuvent pas prendre de d cisions relatives aux actions SSI qui d pendent d une autre structure projet Page 31 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1
59. res la bonne conduite de la t che Explications et d tails Commentaires pratiques et compl ments d information au sujet de la t che Dans la partie explication et d tails qui accompagne chaque fiche les interactions entre les tableaux de bord SSI et les destinataires sont r guli rement compar es aux interactions mieux connues entre le tableau de bord d une voiture ou ventuellement un autre moyen de transport et le conducteur Ces comparaisons seront identifi es par le logo pr sent ici gauche Page 11 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 3 Fiches m thodologiques tape 1 Pr requis T che 1 Identification des destinataires des tableaux de bord SSI Identification des destinataires des tableaux de bord SSI tape 1 T che 1 Objectifs de la t che 1 Pr requis Identifier la nature des destinataires des tableaux de bord envisag s Acteurs de la t che e Personnes en charge de la pr paration du projet de tableaux de bord SSI l ments en entr e l ments en sortie e Liste des destinataires des tableaux de bord SSI et niveaux d utilisation M thodologie e Identifier les diff rentes personnes chaque niveau de la cha ne de responsabilit SSI notamment l ensemble de la voie fonctionnelle SSI depuis le Haut fonctionnaire de d fense jusqu aux responsables de la ma trise d uvre du SI e D terminer si l
60. roupes de travail mais cette proposition doit tre adapt e au contexte Groupe de travail Associ toutes les tapes fonctionnelles du projet le groupe de travail utilisation utilisation s assure que les tableaux de bord SSI labor s correspondent aux besoins fonctionnels identifi s et qu ils sont d une utilisation ais e Il regroupe des destinataires des acteurs s curit au niveau fonctionnel et la ma trise d ouvrage du SI cibl Groupe de travail Associ toutes les tapes en relation avec l aspect technique du technique syst me d information le groupe de travail technique s assure de la faisabilit des tableaux de bord SSI ainsi que de leur pertinence par rapport aux r alit s techniques du syst me d information Il regroupe des acteurs syst me d information des acteurs s curit ainsi que la ma trise d uvre du SI cibl Page 28 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 Groupe de travail Associ au suivi du projet de tableaux de bord SSI le groupe de travail pilotage pilotage s assure aussi de la ma trise des co ts et des charges r currents associ s aux tableaux de bord SSI en phase de production Il regroupe des repr sentants de la hi rarchie des acteurs financiers ainsi que la ma trise d uvre et la ma trise d ouvrage du SI cibl Groupe de travail Regroupant des repr sentants des
61. rrespondre aux diff rents niveaux de conformit avec l objectif correspondant afin de renseigner visuellement et de mani re simple le lecteur du tableau de bord SSI On veillera toutefois ne pas multiplier excessivement les couleurs et on se rangera naturellement aux conventions habituelles vert pour les valeurs conformes aux objectifs orange pour celles qui d vient de l objectif sans toutefois traduire une mise en danger du SI rouge pour les non conformit s qui r v lent un risque certain pour le SI Page 42 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 Constitution des tableaux de bord SSI tape 3 T che 4 Fr quence de production et de diffusion des tableaux de bord SSI La fr quence de production et de diffusion d un tableau de bord SSI d pend essentiellement de deux facteurs Fr quence de production des indicateurs composant le tableau de bord SSI Le rafra chissement des donn es constitutives ainsi que les proc dures de calcul peuvent introduire des contraintes sur la fr quence de production de certains indicateurs d un tableau de bord SSI Il n est pas souhaitable qu un tableau de bord SSI soit produit avec les valeurs de certains indicateurs mises jour alors que d autres indicateurs pr sentent les valeurs de la pr c dente dition du tableau de bord En effet la vision d ensemble du tableau de bord et l interpr tation des indicateur
62. s tableaux de bord SSI Par ailleurs une alarme peut devoir tre signal e la direction cette action et ces conditions d usage devraient tre formalis es dans la d finition des indicateurs Des d cisions qui aboutissent une r orientation des plans d action ou un changement des objectifs peuvent induire une modification du tableau de bord SSI Page 52 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 tape 5 volution des tableaux de bord SSI T che 1 Suivi des tableaux de bord SSI Suivi des tableaux de bord SSI tape 5 T che 1 Objectifs de la t che Assurer le suivi des tableaux de bord produits afin d en v rifier r guli rement la qualit et prendre les actions correctives ventuellement n cessaires 5 Evolution Acteurs de la t che e Groupe de travail exploitation e Groupe de travail pilotage e Groupe de travail technique e Groupe de travail utilisation l ments en entr e l ments en sortie e Tableaux de bord SSI utilis s avec les Relev de d cision sur la v rification audit proc dures associ es et l volution des tableaux de bord SSI e Tableaux de bord SSI produits e Notification d v nements externes situations exceptionnelles volution du cadre de s curit volution du cadre technique M thodologie Cette t che est r currente tout
63. s risquent d en tre fauss es La fr quence de production d un tableau de bord SSI doit tre adapt e la fr quence de calcul de ses indicateurs Certains indicateurs peuvent ne pas se conformer cette r gle Il convient alors de les identifier comme n ayant pas t mis jour depuis la derni re dition du tableau de bord Utilisateurs cibles Les tableaux de bord SSI peuvent tre utilis s comme support de pilotage de la s curit d un syst me d information comme appuis de d cision strat gique sur la s curit du syst me d information ou comme base de constitution des budgets s curit d un organisme Ces divers usages n ont pas des besoins de fr quence de renouvellement d information identiques Les budgets sont g n ralement repartis une fois lan et leur attribution se base sur des informations historiques sur les ann es coul es alors que le pilotage de la s curit d un syst me d information est une activit n cessitant des informations de toute derni re minute M me si les indicateurs le permettent il n est pas judicieux de produire tous les mois un tableau de bord servant de base de constitution des budgets s curit alors qu il n est utilis qu une fois par an Page 43 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 Constitution des tableaux de bord SSI tape 3 T che 4 Regroupement des indicateurs Pour faciliter
64. sation des impacts par exemple e les r sultats d audits seuls les audits r currents peuvent effectivement servir de source de Page 32 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 donn es pour des indicateurs Les objectifs mesurables sont d clin s en points cl s et en param tres qui correspondent des donn es provenant du SI Par exemple l objectif de passage progressif de tous les serveurs en mode haute disponibilit sur 3 ans a pour points cl s le nombre d ann es coul depuis la s lection de cet objectif et le nombre de serveurs et comme param tre l tat de ces serveurs en mode haute disponibilit ou non Les sources de donn es techniques ou organisationnelles doivent tre identifi es au niveau du SI Quel logiciel de quel syst me ou quelle information issue de l organisation fournit les informations permettant le suivi de l objectif consid r Dans notre exemple des serveurs en mode redondant l inventaire du parc informatique et des configurations des serveurs ann e par ann e suffit la collecte de donn es permettant de mesurer l atteinte de l objectif La simplicit du recueil de donn es et les co ts associ s constitue un crit re de s lection des sources de donn es et des points cl s ce stade il peut exister des l ments redondants associ s un objectif La prise en compte de certains objectifs de s
65. t de faciliter la lecture la comparaison et l analyse d indicateurs de s curit via une pr sentation adapt e Sections diff renci es Afin de faciliter la lecture un tableau de bord SSI peut comporter plusieurs sections bien identifi es Elles peuvent concerner des domaines de la s curit diff rents une section pour la disponibilit et une section pour la confidentialit par exemple et ou s adresser des utilisateurs de niveau diff rent une section pour un responsable op rationnel et une section pour un d cideur strat gique par exemple La taille la composition et la pr sentation de chaque section doivent bien s r tre adapt es aux utilisateurs cibles Section 1 Disponibilit du syst me d information mh Section 2 Int grit des informations Q eZ ES Figure 15 Tableau de bord SSI plusieurs sections Page 40 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 Figure 16 Repr sentation graphique avec rappel de la valeur seuil Mise en valeur des l ments majeurs autres indicateurs Figure 18 Indicateur ayant d pass une valeur seuil inf rieure Rappel graphique des valeurs correspondant aux objectifs mesurables Les valeurs correspondant aux objectifs mesurables doivent tre indiqu es sur les repr sentations graphiques de mani re faciliter l interpr ta
66. tifs de s curit apparition de nouvelles technologies dans le syst me d information Dans le cas de prise en compte d audit liste des nouveaux objectifs int grer tels que d finis implicitement par les r sultats de l audit l ments en sortie Relev de d cision sur l volution des tableaux de bord SSI Modifications ventuelles apport es aux tableaux de bord SSI et ou aux proc dures associ es Note de lancement ventuelle d un projet de refonte des tableaux de bord SSI M thodologie tude de l l ment nouveau et de son impact sur l efficacit des tableaux de bord D cision sur les volutions des tableaux de bord SSI modification s des tableaux de bord SSI existants initialisation d un nouveau projet de tableaux de bord SSI pour la refonte des tableaux de bord SSI existants Modifications ventuelles apporter aux tableaux de bord SSI et ou aux proc dures associ es Page 55 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 Suivi des modifications du contexte ou des objectifs tape 5 T che 2 Explications et d tails Des volutions des tableaux de bord peuvent tre n cessaires dans les situations suivantes e probl matiques de s curit non prises en compte par les objectifs initiaux mais dont l importance a t r v l e par un audit du SI cadre des audits g n raux tests d intrusion et de vuln ra
67. tilit r elle de l indicateur au vu des objectifs et du contexte Les indicateurs accessoires qui ne reposent pas sur au moins un des objectifs de s curit de l organisme doivent tre limin s afin de ne pas surcharger les tableaux de bord avec des indicateurs sans r elle valeur ajout e Une connaissance des causes potentielles de variation de l indicateur Un indicateur dont les variations sont obscures et non explicables peut difficilement servir suivre un objectif de s curit dans la mesure o l analyse de cet indicateur ne permettra pas de prise de mesure corrective en cas de d rive de sa valeur par rapport l objectif de s curit fix Si toutefois aucun autre indicateur ne permet de traduire un objectif de s curit de l organisme il serait pr f rable d initier une tude approfondie des points cl s et des param tres constituant l indicateur afin d terminer les facteurs influen ant ses variations Page 36 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 laboration des indicateurs tape 3 T che 3 Processus de choix d indicateurs Le choix des indicateurs doit particuli rement impliquer les destinataires des tableaux de bord SSI afin qu ils s approprient les indicateurs et int grent les tableaux de bord SSI comme un outil efficace et important mis leur disposition Pour ce faire le groupe de travail technique propose diff rents ind
68. tion des indicateurs Les l ments majeurs de chaque section doivent tre mis en valeur par l agencement des indicateurs ainsi que les mises en formes et les couleurs utilis es Les indicateurs largement hors objectif ayant d pass s une valeur seuil hors de la plage de tol rance autour d une valeur cible doivent particuli rement tre diff rentiables des Figure 17 Repr sentation graphique avec rappel de la valeur cible n Figure 19 Indicateur sortant de la plage de tol rance Page 41 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 Repr sentations graphiques lisibles et claires Le rendu visuel des tableaux de bord SSI doit constituer une valeur ajout e en soi Il convient donc de garder une certaine sobri t dans une mise en forme a r e de sorte que les l ments majeurs sont clairement soulign s tout en conservant une excellente lisibilit de l int gralit du tableau de bord SSI Gs ES o Q A Figure 20 Pr sentation ne facilitant pas la lecture A E gt A AAA BBB cce EM cv gt HH ve gt N Figure 21 Pr sentation facilitant la lecture Accentuation des valeurs d indicateurs par l utilisation de codes couleur La couleur de pr sentation couleur de fond par exemple de certains indicateurs pourra co
69. tion et diffusion des tableaux de bord SSI Exploitation des tableaux de bord SSI et actions associ es Page 51 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 Mise en uvre des tableaux de bord SSI tape 4 T che 1 Explications et d tails Recueil des donn es constitutives Processus et responsabilit de collationnement Dates de disponibilit des donn es Processus et responsabilit de traitement Dur e d laboration des indicateurs et tableaux de bord Permettre le contr le du calcul des indicateurs Les donn es utilis es pour le calcul des indicateurs doivent tre conserv es pour permettre de v rifier quand n cessaire que les sources de donn es fournissent des informations valides les traitements appliqu s ces donn es sont ex cut s correctement Utilisation des tableaux de bord SSI Place des tableaux de bord SSI dans le processus de prise de d cision Le processus de d cision formalisation souhait ou alerte instruction recherche d informations compl mentaires choix d action ex cution test d efficacit de la d cision Les tableaux de bord SSI se positionnent au niveau de la premi re phase formalisation souhait ou alerte et ou la derni re phase test d efficacit de la d cision du processus de d cision Il peut tre n cessaire de proposer des actions en regard des r sultats obtenus par le
70. u SI d finie et prise en compte Figure 9 Impact de la connaissance du SI et des objectifs de s curit Partie du SI non cibl e Partie du SI cibl e Figure 10 Impact du p rim tre du SI et des objectifs de s curit Le voyant de pr chauffage n est utile que sur les voitures diesel m me rien n emp che qu il puisse tre install sur les voitures essence Une m connaissance du type de v hicule sur lequel est install un tableau de bord pourrait cependant amener monter un voyant de pr chauffage sur une voiture essence M me s il est minime par rapport au co t total de la voiture le co t de ce voyant serait tout fait superflu sans compter les erreurs qu il pourrait provoquer par sa seule Page 22 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 T che 7 Connaissance des possibilit s d obtention de donn es sources Connaissance des possibilit s d obtention des donn es sources tape 1 T che 7 Objectifs de la t che S assurer de la disponibilit des l ments techniques du SI cibl pouvant tre utilis s comme sources de donn es pour les indicateurs techniques ainsi que des personnes pouvant les mettre disposition 1 Pr requis Acteurs de la t che Personnes en charge de la pr paration du interlocuteurs fonctionnels et techniques du syst me tudi projet de tableaux de bord SSI
71. ui produit l indicateur pr sente et justifie ses r sultats e donn es et sources de donn es e calcul des donn es e p riodicit de calcul et interpr tation e Choix de la disposition des indicateurs au sein des tableaux de bord SSI en fonction de leur port e et de leur repr sentation graphique afin de faciliter la lecture e Les proformae Constitution des tableaux de bord SSI et Fiche descriptive d indicateur peuvent tre utilis s pour cette t che Page 39 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 Constitution des tableaux de bord SSI tape 3 T che 4 Explications et d tails Crit res essentiels des tableaux de bord Crit res essentiels sur le contenu des tableaux de bord Les tableaux de bord SSI sont des outils d cisionnels sur lesquels il faut pouvoir s appuyer en pleine confiance et qui d gagent une v ritable valeur ajout e Lors de l laboration d un tableau de bord SSI il faut donc s assurer de la pertinence des indicateurs choisis par rapport aux usages des tableaux de bord la valeur ajout e par le niveau de synth se de l information adapt chaque type de destinataire Ces deux points sont normalement assur s par la s lection et la validation des indicateurs au cours de l tape de choix des indicateurs Crit res essentiels sur la pr sentation des tableaux de bord Les tableaux de bord SSI ont pour bu
72. ur de consolidation est indiqu ainsi que le mode de diffusion envoi au responsable de la production de l indicateur de consolidation r cup ration automatique Automatisation des proc dures L laboration des indicateurs peut constituer une t che lourde de consolidation et de calculs et ce d autant plus qu on s appuie sur des sources de donn es techniques nombreuses Aussi l automatisation des processus de collecte des donn es source de leur consolidation du calcul des indicateurs et de leur pr sentation graphique constitue t elle un ressort important la p rennisation des tableaux de bord en en rendant moins fastidieuse l laboration Il est ainsi conseill d s lors que le tableau de bord est dans un tat relativement stabilis d utiliser des outils de bureautique standard ou logiciels sp cifiques pour automatiser autant que possible ces proc dures Proc dures d alimentation des tableaux de bord SSI Chaque proc dure d alimentation de tableau de bord SSI pr sente des rubriques d crivant les indicateurs qui le composent la gestion du tableau de bord et l automatisation des proc dures Indicateurs composant le tableau de bord SSI Pour chaque indicateur composant le tableau de bord SSI on indique le libell de l indicateur le responsable de la production de l indicateur le mode de collecte de l indicateur r cup ration automatique envoi par le producteur Gestion du tableau de bord SSI
73. urces de donn es Toutes les donn es correspondant aux points cl s de l indicateur sont pr sent es l une apr s l autre avec pour chacune le libell de la donn e la description de la donn e r alit repr sent e et l unit afin d viter toute Page 47 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 ambigu t la source de la donn e l ment du syst me d information produisant la donn e autre indicateur dans le cas d une consolidation le mode de production de la donn e le responsable de la production de la donn e la p riodicit de production de la donn e le mode de collecte de la donn e r cup ration automatique envoi par le producteur laboration de l indicateur La formule de calcul de l indicateur ou tout autre mode de traitement des points cl s pour produire l indicateur est donn e et comment e afin que ce que repr sente l indicateur soit absolument univoque et sans ambigu t L unit de l indicateur est aussi pr cis e Gestion de l indicateur La p riodicit de production de l indicateur est pr cis e ainsi que le responsable de la production de l indicateur Les proc dures d historisation de l indicateur sont pr sent es Elles peuvent aller du simple archivage au maintien des valeurs historiques pour utilisation par d autres indicateurs Dans le cas d une consolidation l indicate
74. ure si l indicateur associ ne doit pas augmenter au del d un certain niveau 1 6 D marche de s curisation et tableaux de bord SSI Un tableau de bord SSI permet de disposer aux diff rents niveaux d cisionnels de pilotage et op rationnels d une vision synth tique de la situation de la s curit que ce soit dans ses dimensions techniques ou fonctionnelles couverture des risques qualit de la politique de s curit suivi des audits des actions et des alertes Cette vision renseigne sur l tat et les tendances de la SSI Les tableaux de bord peuvent tre constitu s partir d objectifs de s curit issus d une analyse de risques EBIOS de r gles de s curit issues d une politique de s curit d actions de s curit issues d un plan d action Dans une d marche structur e de la s curit des syst mes d information les tableaux de bord SSI repr sentent la suite logique de l laboration d une politique de s curit et de l identification des objectifs de s curit Figure 2 La place des tableaux de bord SSI dans une d marche s curit En outre d autres l ments externes r sultats d audits volution du contexte s curit volution technique du SI peuvent impliquer une adaptation des tableaux de bord SSI Cet outil reste ainsi en volution tout au long de l existence du SI qu il couvre Page 7 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie
75. valeurs de progression Changeons de moyen de transport et partons dans les airs un avion qui atterrit a pour objectif une altitude gale celle de la piste sur laquelle il doit se poser Cependant pour arriver cette situation id ale d avion pos sur la piste il doit passer par divers paliers altitude vitesse bien d finis et selon une progression influenc e par le trafic a rien environnant et les caract ristiques propres l avion L altim tre et le compteur de vitesse permettent notamment de v rifier que cette progression est conforme au plan d action d fini en accord avec les pratiques de pilotage de l avion et la tour de contr le Page 19 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 T che 6 Connaissance du syst me d information cibl Connaissance du p rim tre de syst me d information cibl tape 1 T che 6 Objectifs de la t che JE Er un 1 Pr requis S assurer que le p rim tre de SI qui doit tre pris en compte par le tableau de bord SSI est parfaitement d fini et identifier les sources 2 Mise en place projet d informations correspondantes 3 Elaboration 4 Mise en uvre S Evolution Acteurs de la t che e Personnes en charge de la pr paration du projet de tableaux de bord SSI l ments en entr e l ments en sortie e Documents d architecture e Description synth tique du p rim tr
76. vergure qui concerne l organisme par del ses services techniques Il touche la s curit de l organisme en tant que telle et doit tre consid r comme un projet participant la productivit de l organisme Ainsi le choix des acteurs participants ce projet doit refl ter une implication de l organisme au plus haut niveau Les destinataires Identifi s en amont du projet cf pr requis ils doivent participer d s le d but au projet afin de pouvoir appr hender la r alit des indicateurs et l utilit des tableaux de bord SSI Ils participeront notamment la mise en forme des tableaux de bord SSI de mani re ce que leur lecture et leur interpr tation soient faciles et rapides Les acteurs SSI Les responsables s curit internes et si n cessaire des experts s curit externes doivent faire partie du projet pour permettre une correspondance entre les tableaux de bord SSI d finis et l tat de l art de la s curit lors du projet de conception des tableaux de bord SSI et lors de leur volution Page 26 sur 58 SGDN DCSSI SDO BCS TDBSSI Section 1 M thodologie 5 f vrier 2004 Les acteurs SI Les acteurs syst me d information correspondent aux exploitants du syst me d information qui seront responsables de la collecte des donn es constitutives des indicateurs Les acteurs Les acteurs financiers doivent tre sensibilis s la probl matique des financiers tableaux de bord S
Download Pdf Manuals
Related Search
TDBSSI td business tdb significado tdb signification tdssim gtn750xi tdb sigla tbs size td business banking login tdb site tdb sirev tdb sintomas tdb singapore td sign in td basic business plan