Indicateurs stratégiques de sécurité : Le tableau de bord du RSSI

Que ce soit un avion ou un organisme, il est tout à fait possible de conduire celui-ci avec le minimum d’informations, mais peut-être cela sera-t-il moins efficient.

Dans le cas de la gestion de la sécurité de l’information, le pilotage d’une telle activité consiste à prendre des décisions et ce à plusieurs niveaux. Ce pourrait être la décision de modifier une fréquence de scan antivirus ou encore, à un niveau plus stratégique, l’arbitrage en faveur d’une redistribution des budgets. Les exemples sont nombreux.

Si elles ne relèvent pas du même niveau d’arbitrage, ces décisions ont ceci en commun qu’elles se font de façon plus éclairées si elles sont prises en fonction d’informations fiables et pertinentes. Dans tous les cas, comme dans celui des deux exemples cités, la prise de décision sera d’autant meilleure qu’elle pourra s’appuyer sur des indicateurs concrets.

Les indicateurs stratégiques, regroupés en tableaux de bord, permettent de répondre à ce besoin d’information. Pour ce faire ils doivent être adaptés au profil du lecteur et aux décisions qui sont attendues de lui. En ce sens, les tableaux de bord sont à rapprocher des principes de communication dont la finalité est d’obtenir une action de la cible de cette communication.

Un tableau de bord pertinent se doit également d’être réaliste, ce qui implique que son coût soit maitrisé et en rapport avec les enjeux qu’il permet d’arbitrer. L’objectif étant, non pas de construire des indicateurs trop complexes et coûteux à produire, ce qui contribuerait à consommer de la valeur plutôt qu’à sécuriser celle-ci.

L’objectif, pour un RSSI, est donc de définir et de produire des indicateurs qui soient pertinents et donc directement utiles au pilotage de son activité, et qui soient également réalistes, c’est-à-dire réalisables à un coût, technologique et humain, compatible avec les capacités de l’équipe.

Présentations à consulter

Vidéos