Balanced and operational security scorecards
Par Maxime de Jabrun.
HeadMind Partners a été sollicité par un acteur majeur de la gestion aéroportuaire afin de l’assister dans la mise en place de tableaux de bord opérationnels sécurité.
En effet, une politique de sécurité était déployée sur la production informatique, cependant le niveau de couverture et d’efficacité n’était pas mesurable par manque d’indicateurs adéquats.
L’enjeu de notre intervention était de parvenir à construire un tableau de bord reflétant la réalité du déploiement des recommandations de politique tout en minimisant l’impact sur les équipes opérationnelles.
Pour ce faire, nous avons mis en œuvre quatre accélérateurs pour le design du tableau de bord :
– La mise en contexte d’une collection d’indicateurs fournie par le centre de compétences HeadMind Partners, basés sur nos divers retours missions et les standards du marché
– La priorisation par les risques des exigences de politique sécurité afin de couvrir en premier les zones sensibles
– Des ateliers avec les équipes opérationnelles pour faciliter leur adhésion et garantir l’adéquation par rapport aux contraintes de production
– L’identification des sources de données existantes pour constituer des quick wins et pouvoir alimenter rapidement les 1ers indicateurs du tableau de bord
Au cours de la mission, le risque d’avoir des indicateurs non représentatifs de la réalité a été identifié ; par exemple, un taux de couverture anti-virale à 100% ne veut rien dire en soi si l’inventaire du parc de poste de travail (ou serveurs) n’est fiable qu’à 25% !
Aussi, au cours des ateliers avec les opérationnels, il a été possible d’affiner les indicateurs pour leur donner une réalité concrète et appréhendable, c’est-à-dire un niveau de fiabilité par rapport aux objectifs de couverture de risques précédemment identifiés. Ainsi, nous avons plutôt retenus les indicateurs suivants : taux de postes de travail déclarés dans l’anti-virus, taux de postes de travail ayant un moteur anti-virus à jour, et taux des postes de travail ayant une base de signature inférieure à x jours.
Ainsi, HeadMind Partners a pu constituer en 18 jours un catalogue V0 d’indicateurs couvrant plus de 50% des exigences sécurité et la totalité des thèmes, réutilisant les sources de données existantes. Le tableau fourni comportait également une liste d’indicateurs V1, plus difficile à mettre en œuvre mais permettant une identification et un suivi des défaillances dans la production informatique.
Pour en savoir plus, n’hésitez pas à nous demander notre plaquette.
Derniers articles
- Réseaux sociaux et connaissance client
- Analyse des solutions de sécurité réseau et leur complémentarité
- Bonnes pratiques de sécurité des voyages
- ISO 27001 et ISO 27002, une nouvelle version majeure pour des changements majeurs
- DEEPFAKE : Le nouveau casse-tête des méthodes d’authentification
