Balanced and operational security scorecards

Par Maxime de Jabrun.

Beijaflore a été sollicité par un acteur majeur de la gestion aéroportuaire afin de l’assister dans la mise en place de tableaux de bord opérationnels sécurité.
En effet, une politique de sécurité était déployée sur la production informatique, cependant  le niveau de couverture et d’efficacité n’était pas mesurable par manque d’indicateurs adéquats.

L’enjeu de notre intervention était de parvenir à construire un tableau de bord reflétant la réalité du déploiement des recommandations de politique tout en minimisant l’impact sur les équipes opérationnelles.

Pour ce faire, nous avons mis en œuvre quatre accélérateurs pour le design du tableau de bord :
– La mise en contexte d’une collection d’indicateurs fournie par le centre de compétences Beijaflore, basés sur nos divers retours missions et les standards du marché
– La priorisation par les risques des exigences de politique sécurité afin de couvrir en premier les zones sensibles
– Des ateliers avec les équipes opérationnelles pour faciliter leur adhésion et garantir l’adéquation par rapport aux contraintes de production
– L’identification des sources  de données existantes pour constituer des quick wins et pouvoir alimenter rapidement les 1ers indicateurs du tableau de bord

Au cours de la mission, le risque d’avoir des indicateurs non représentatifs de la réalité a été identifié ; par exemple, un taux de couverture anti-virale à 100% ne veut rien dire en soi si l’inventaire du parc de poste de travail (ou serveurs) n’est fiable qu’à 25% !

Aussi, au cours des ateliers avec les opérationnels, il a été possible d’affiner les indicateurs pour leur donner une réalité concrète et appréhendable, c’est-à-dire un niveau de fiabilité par rapport aux objectifs de couverture de risques précédemment identifiés. Ainsi, nous avons plutôt retenus les indicateurs suivants : taux de postes de travail déclarés dans l’anti-virus, taux de postes de travail ayant un moteur anti-virus à jour, et taux des postes de travail ayant une base de signature inférieure à x jours.

Ainsi, Beijaflore a pu constituer en 18 jours un catalogue V0 d’indicateurs couvrant plus de 50% des exigences sécurité et la totalité des thèmes, réutilisant les sources de données existantes. Le tableau fourni comportait également une liste d’indicateurs V1, plus difficile à mettre en œuvre mais permettant une identification et un suivi des défaillances dans la production informatique.

Pour en savoir plus, n’hésitez pas à nous demander notre plaquette.