ISO 27001 — Clause 6.2 — Objectif — Comment mesurer les objectifs d’un programme de sécurité

Se fixer un objectif est la meilleure manière de l’atteindre, sinon comment savoir que nous avons réussi ?

Définir ses objectifs en matière de sécurité de l’information permet de déterminer clairement ce que l’on cherche à accomplir pour protéger les systèmes et les données de l’entreprise contre les menaces internes et externes.

Que souhaitons nous accomplir, quel est le but ?

Rien n’existe sans avoir été clairement exprimé !

Critère d’un objectif

Il existe plusieurs critères pour mesurer un objectif, mais l’un des plus couramment utilisés est le modèle SMART :

• Spécifique : l’objectif doit être clairement défini et décrire précisément ce que l’on cherche à accomplir.
• Mesurable : l’objectif doit être quantifiable de manière à pouvoir suivre les progrès réalisés.
• Réalisable : l’objectif doit être réalisable avec les ressources disponibles.
• Pertinent : l’objectif doit être lié aux objectifs globaux de l’entreprise.
• Temporel : l’objectif doit avoir une échéance pour que les progrès réalisés puissent être évalués.

Il existe aussi d’autres critères qui peuvent être utilisés pour mesurer les objectifs, comme le critère de qualité ou le critère de performance.

Le critère de qualité permet de vérifier si l’objectif est atteint selon les normes requises, le critère de performance quantifie les résultats obtenus par rapport aux objectifs fixés.

Les indicateurs de performance (KPI)

Il faut noter que pour mesurer efficacement les objectifs, il est nécessaire de définir des indicateurs clés de performance (KPI) qui permettent de suivre les progrès réalisés dans l’atteinte de l’objectif.

Les résultats obtenus peuvent être utilisés pour identifier les domaines où des améliorations sont nécessaires et pour prendre les mesures appropriées pour atteindre les objectifs de l’organisation.

Les organisations disposent déjà d’indicateurs, certains sont connues, d’autre pas encore c’est pourquoi je suggère de faire le tour des systèmes d’informations, des systèmes de billets etc., pour découvrir ce qu’il est possible de mesurer rapidement.

Voici quelques exemples d’indicateurs clés de performance (KPI) qui peuvent être utilisés pour mesurer les objectifs en matière de sécurité de l’information :

1. Nombre d’incidents de sécurité : le nombre d’incidents de sécurité qui se produisent au cours d’une période donnée.
2. Temps de récupération après une incident : le temps nécessaire pour récupérer les systèmes et les données après un incident de sécurité.
3. Pourcentage de vulnérabilités corrigées : le pourcentage de vulnérabilités de sécurité qui ont été corrigées dans les systèmes.
4. Pourcentage d’employés sensibilisés aux meilleures pratiques de sécurité : les employés qui ont suivi une formation sur la sécurité.
5. Taux de conformité réglementaire : le pourcentage de conformité aux réglementations en matière de sécurité de l’information sinon le nombre de non-conformité découverte lors d’audit.
6. Nombre de tentatives d’intrusion détectées : le nombre de tentatives d’intrusion détectées par les systèmes de surveillance de sécurité.
7. Temps moyen pour corriger une vulnérabilité : le temps nécessaire pour corriger une vulnérabilité de sécurité une fois qu’elle a été détectée.
8. Taux de chiffrement des données sensibles : le pourcentage de données sensibles qui sont chiffrées pour les protéger.
9. Taux de détection d’anomalies : le pourcentage d’anomalies de sécurité détectées par les systèmes de surveillance.
10. Taux de rotation des mots de passe : la fréquence à laquelle les mots de passe des utilisateurs sont modifiés pour renforcer la sécurité.

Une fois que nous pouvons mesurer certaines choses alors définissons ce que nous souhaitons améliorer en transformant nos mesures en objectifs.

Exemple d’objectif

Voici dix exemples d’objectifs en matière de sécurité de l’information :

1. Réduire de 50% le nombre d’incidents de sécurité liés aux utilisateurs d’ici la fin de l’année en mettant en place un programme de formation continue à la sécurité pour les employés.
2. Améliorer le temps de récupération après une incident de sécurité de 75% d’ici la fin de l’année en mettant en place un plan de reprise d’activités efficace.
3. Mettre en place une politique de sécurité des données qui répond aux exigences réglementaires d’ici le prochain trimestre.
4. Corriger 95% des vulnérabilités de sécurité identifiées dans les systèmes d’ici la fin de l’année en utilisant des outils de gestion des vulnérabilités.
5. Sensibiliser 95% des employés aux meilleures pratiques de sécurité d’ici la fin de l’année en organisant des séances de formation sur la sécurité.
6. Utiliser des solutions de chiffrement de données pour protéger les données sensibles de l’entreprise d’ici le prochain trimestre.
7. Mettre en place un système de surveillance de sécurité pour détecter les incidents de sécurité d’ici le prochain trimestre.
8. Élaborer un plan de gestion des incidents de sécurité efficace d’ici la fin de l’année pour gérer rapidement les incidents de sécurité.
9. Utiliser des outils de gestion des accès pour contrôler les autorisations d’accès aux données sensibles d’ici le prochain trimestre.
10. Mettre en place une surveillance régulière des systèmes pour détecter les anomalies de sécurité d’ici la fin de l’année.

Une fois que vous avez défini vos objectifs, il est important de mettre en place des moyens pour les atteindre. Cela peut inclure la mise en place de politiques et de procédures de sécurité, la formation des employés aux meilleures pratiques de sécurité, l’utilisation de logiciels de sécurité, etc. Il est également important de surveiller régulièrement vos systèmes pour détecter les incidents de sécurité éventuels et de les traiter rapidement.

Vous ne pourrez améliorer que ce que vous mesurez!

Critères de succès

Afin de déterminer si nous avons bien répondu à la clause 6.2 de la norme ISO27001, voici quelques questions qu’un auditeur peut vous poser:

• Montrez vos objectifs fixés pour cette année.
• Comment mesurez-vous si un objectif est atteint ?
• À quel moment et de quel manière ces objectifs ont été communiqué aux parties intéressées ?
• Présentez votre documentation qui m’indique ce qui sera fait, par qui et quand.
• Avez-vous déterminé vos critères de succès, la technique pour évaluer vos résultats ?