Post on 18-Feb-2018
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 128
LES DOSSIERS TECHNIQUES
LES METRIQUES DANS LE CADRE
DE LA SERIE 27000
mai 2009
Groupe de Travail Seacuterie 27000
CLUB DE LA SECURITE DE LrsquoINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard 75009 PARIS
Teacutel +33 1 53 25 08 80 ndash Fax +33 1 53 25 08 88 ndash e-mail clusifclusifassofr Web httpwwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 228
La loi du 11 mars 1957 nautorisant aux termes des alineacuteas 2 et 3 de larticle 41 dune part que les copies ou reproductions strictementreacuteserveacutees agrave lusage priveacute du copiste et non destineacutees agrave une utilisation collective et dautre part que les analyses et les courtes citations dansun but dexemple et dillustration toute repreacutesentation ou reproduction inteacutegrale ou partielle faite sans le consentement de lauteur ou de
ayants droit ou ayants cause est illicite (alineacutea 1er de larticle 40)
Cette repreacutesentation ou reproduction par quelque proceacutedeacute que ce soit constituerait donc une contrefaccedilon sanctionneacutee par les articles 425 etsuivants du Code Peacutenal
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 328
Les meacutetriques dans le cadre de la seacuterie 27000 - I - copy CLUSIF 2009
REMERCIEMENTS
Le CLUSIF tient agrave mettre ici agrave lhonneur les personnes qui ont rendu possible la reacutealisation dece document tout particuliegraverement
Nicolas ANDREU Devoteam
Reacutegis BOURDONNEC BNP Paribas Assurance
Anne COAT SEKOIA SAS
Henri CODRON SCHINDLER
Jean-Marc DELTEIL France Telecom
Freacutedeacuteric HUYNH Ernst amp Young
Franccedilois JOLIVET Socieacuteteacute Geacuteneacuterale
Laurent MARECHAL Hapsis
Fred MESSIKA SEKOIA SAS
Geacuterard REMY Devoteam
Paul RICHY France Telecom
Herveacute SCHAUER HSC
ainsi que les personnes ayant participeacute agrave la relecture
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 428
Les meacutetriques dans le cadre de la seacuterie 27000 - II - copy CLUSIF 2009
TABLE DES MATIERES
NOTE AUX LECTEURS III
1 INTRODUCTION 4
11 OBJECTIF DE CE DOCUMENT 4 12 LECTORAT 5
2 LES METRIQUES 6
21
PANORAMA DES REFERENTIELS ET DES BONNES PRATIQUES 6 22 TERMINOLOGIE 9
23 POSITIONNEMENT DES METRIQUES DANS LE MODELE DE FONCTIONNEMENT 10 24 EacuteLEMENTS POUR LA MISE EN ŒUVRE DES INDICATEURS 11 25 EXEMPLES DrsquoINDICATEURS 12
3 LES DIFFERENTS USAGES DES INDICATEURS 14
31 EacuteVALUER 14 32 PILOTER 14 33 COMMUNIQUER 15 34 SAUTOEVALUER 15 35 CONTRIBUER A LrsquoOBTENTION DrsquoUNE CERTIFICATION 15 36 REPONDRE A UN AUDIT 15
4 LES TRAVAUX NORMATIFS EN COURS (ISOIEC 27004) 16 41 CONCEPTS DE METRIQUES 16 42 CONCEVOIR DES METRIQUES 17 43 METTRE EN PLACE DES METRIQUES 17 44 UTILISER COMMUNIQUER ET AMELIORER LES METRIQUES 18 45 AMELIORER LE PROCESSUS DE MESURE 18
5 CONCLUSION 19
ANNEXE A FICHE DESCRIPTIVE 20
MODELE DE FICHE DESCRIPTIVE DrsquoUNE MESURE 20 EXEMPLE DrsquoUTILISATION DE LA FICHE 22
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE METRIQUES ETOU DrsquoINDICATEURS 24
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 528
Les meacutetriques dans le cadre de la seacuterie 27000 - III - copy CLUSIF 2009
NOTE AUX LECTEURS
La langue anglaise comprend plusieurs mots laquo control raquo laquo measure raquo laquo measurement raquo
laquo security measure raquo qui se traduisent geacuteneacuteralement en franccedilais par le mot laquo mesure raquo ilconvient donc de preacuteciser le peacuterimegravetre et la deacutefinition retenue pour chacun de ces mots dans lasuite du document afin drsquoeacuteviter les ambiguiumlteacutes de traduction Ainsi pour la suite nousutilisons les correspondances suivantes
laquo Control raquo = mesure de seacutecuriteacute doit se comprendre comme un ensemble dedispositions agrave mettre en œuvre Ce sont les laquo mesures agrave prendre raquo pour mettre en œuvreune politique de seacutecuriteacute laquo Control raquo ne se rattache donc pas directement agrave la notion demeacutetrique
laquo Measure raquo = valeur mesureacutee est deacutefini comme laquo la valeur raquo de la mesure ilsrsquoagit donc drsquoune valeur quantitative reacutesultat de la laquo mesure de la mesure de seacutecuriteacute raquo
laquo Measurement raquo = mesurage est expliciteacute dans le glossaire (cf sect22) comme eacutetant lelaquo processus de mesurage raquo il srsquoagit agrave un niveau soit eacuteleacutementaire soit plus global de lalaquo mise en œuvre de meacutetriques raquo laquo measurement raquo couvre donc la deacutefinition le choixle deacuteploiement et lrsquoeacutevaluation drsquoindicateurs
laquo Security measure raquo = mesure de seacutecuriteacute (voir la deacutefinition de laquo Control raquo)
Dans ce document le terme laquo mesure raquo employeacute seul deacutesigne le reacutesultat de lrsquoaction demesurer et ne correspond donc pas agrave laquo mesure de seacutecuriteacute raquo
___
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 628
Les meacutetriques dans le cadre de la seacuterie 27000 - 4 - copy CLUSIF 2009
1 INTRODUCTION
Lrsquoun des objectifs suivis lors de la mise en œuvre au sein drsquoun organisme drsquoune politique de
seacutecuriteacute du systegraveme drsquoinformation est drsquoapporter ou de renforcer la confiance en celui-ciCette confiance traduit lrsquoune des exigences des diffeacuterents acteurs (internautes clientsfournisseurs actionnaires hellip) ou de lrsquoorganisme lui-mecircme (entreprise administration ONGtiers de confiance ) lors drsquoune transaction commerciale du deacuteveloppement de son activiteacutepour la conservation de donneacutees numeacuteriques hellip
La notion de laquo niveau de seacutecuriteacute raquo est souvent utiliseacutee par abus de langage pourlaquo eacutetalonner raquo cette confiance Cela pour signifier que lrsquoon veut ecirctre laquo sucircr raquo de son SI ou pourlaquo garantir raquo que des mesures de seacutecuriteacute ont eacuteteacute mises en œuvre et qursquoelles permettent dereacuteduire lrsquoexposition aux risques agrave un niveau laquo acceptable raquo
Lrsquoappreacuteciation de lrsquoatteinte des objectifs de seacutecuriteacute ainsi que la pondeacuteration agrave affecter aux
diffeacuterentes theacutematiques de seacutecuriteacute (plan de continuiteacute seacutecuriteacute physique des infrastructuresgestion des identiteacutes hellip) demeurent des questions drsquoactualiteacute Il est difficile drsquoindiquer parmidiffeacuterentes mesures de seacutecuriteacute deacuteployeacutees celles qui auront le plus de valeur ajouteacutee sur leniveau de protection du systegraveme drsquoinformation
La confiance accordeacutee agrave la seacutecuriteacute du systegraveme drsquoinformation se mesure notamment parrapport agrave une politique constitueacutee par des processus et des objectifs suivant une deacutemarcheformaliseacutee pour les atteindre Le respect de ces conditions permet de se positionner dans uneperspective de maicirctrise du systegraveme de management de la seacutecuriteacute de lrsquoinformation (SMSI) oudrsquoeacutevaluation des mesures de seacutecuriteacute mises en place
La norme ISOIEC 27004 fournit une reacuteponse structureacutee et normaliseacutee pour laquo mesurer raquo la
performance drsquoun SMSI dans le cadre de lrsquoISOIEC 270012002
11 Objectif de ce document
Lors de ses preacuteceacutedents travaux sur les normes de la seacuterie 27000 le CLUSIF a deacuteveloppeacute dequelle maniegravere
la norme ISOIEC 270012005 permet le Management de la seacutecuriteacute de linformationpar une approche normative
la norme ISOIEC 270022005 fournit les mesures de seacutecuriteacute permettant de reacutepondre agrave
ses exigencesLrsquoobjectif de ce document est de preacutesenter au lecteur des concepts geacuteneacuteraux pouvant ecirctreutiliseacutes pour deacutefinir des indicateurs et une meacutetrique permettant les laquo mesurages raquo (voirdeacutefinition au sect22) du systegraveme de management de la seacutecuriteacute de lrsquoinformation
Ce document ne porte pas de jugement sur la qualiteacute de la norme Ce nrsquoest pas non plus undocument sur la meacutetrologie ou lrsquoeacutelaboration de tableaux de bord Il traite des fondamentauxsur les meacutetriques et leurs utilisations afin de mieux appreacutehender le contenu de la normeISOIEC 27004
Enfin les annexes proposeront diffeacuterents exemples de meacutetriques selon lrsquoISOIEC 27004 quipermettraient le mesurage drsquoun SMSI normeacute par lrsquoISOIEC 270012005
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 728
Les meacutetriques dans le cadre de la seacuterie 27000 - 5 - copy CLUSIF 2009
12 Lectorat
Les documents du CLUSIF sont geacuteneacuteralement agrave destination des RSSI et des DSI
Lrsquoeacutelargissement du peacuterimegravetre au mesurage de lrsquoensemble du SMSI nous incite agrave proposer une
cible sensiblement plus large incluant tous les professionnels de la seacutecuriteacute de lrsquoinformationmais aussi toutes les entiteacutes de controcircle permanent ou de gestion des risques
Comme tout texte lrsquoutiliteacute de la norme doit ecirctre eacutevalueacutee en fonction du contexte de mise enœuvre Ce document ayant eacuteteacute reacutedigeacute plus particuliegraverement pour un public de laquo non-initieacutes raquoafin de leur permettre de mieux appreacutehender le contenu de la norme les personnes au fait decette derniegravere nrsquoy trouveront peut ecirctre pas de deacuteveloppement nouveau
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 828
Les meacutetriques dans le cadre de la seacuterie 27000 - 6 - copy CLUSIF 2009
2 LES METRIQUES
21 Panorama des reacutefeacuterentiels et des bonnes pratiques
La norme ISOIEC 270022005 connue preacuteceacutedemment sous la reacutefeacuterenceISOIEC 177992005 a pour titre laquo Code of practice for information security management raquoElle met laccent sur le fait que deacutesormais linformation est une ressource essentielle delentreprise cest-agrave-dire que lrsquoinformation au mecircme titre que dautres actifs doit ecirctre prise enconsideacuteration eacutevalueacutee et proteacutegeacutee
La seacutecuriteacute de linformation vise entre autres agrave garantir la continuiteacute de lrsquoactiviteacute agrave reacuteduire lesrisques agrave optimiser le retour sur investissements ainsi que les opportuniteacutes daction pourlorganisme
Cette norme traduit une eacutevolution tendancielle des normes traitant de la seacutecuriteacute delinformation Au deacutepart il y a une quinzaine danneacutees ces normes eacutetaient plutocirct techniques etcontenaient surtout des prescriptions relatives aux systegravemes ou aux reacuteseaux informatiques
Vers le milieu des anneacutees 90 des travaux dorigine britannique ont conduit agrave eacutelaborer desdocuments dont le champ seacutetendait aux systegravemes dinformation et orienteacutes vers lesresponsabiliteacutes manageacuteriales et lorganisation des entreprises
Le plus connu de ces documents est le standard britannique BS 7799 dont la partie 1 (Code of
practice for information security management ) a servi de base agrave lISOIEC 27002
(anciennement ISOIEC 17799) et la partie 2 a servi de base agrave lISOIEC 27001 dans laquelleon trouve la notion de SMSI (Systegraveme de Management de la Seacutecuriteacute de lrsquoInformation)
Lors dune reacuteunion de lISO il a eacuteteacute deacutecideacute de regrouper les principales normes traitant duSMSI dans une laquo seacuterie ISOIEC 27000 raquo un peu comme la qualiteacute fait lobjet de la laquo seacuterieISO 9000 raquo ou lenvironnement de la laquo seacuterie ISO 14000 raquo Il est drsquoailleurs agrave noter que ces troisfamilles de normes sont coheacuterentes entre elles quant agrave lrsquoapproche manageacuteriale etorganisationnelle des thegravemes traiteacutes Il est preacutevu de disposer agrave terme des normes suivantes(liste non limitative)
ISOIEC 27000 Principles and Vocabulary
ISOIEC 27001 Information Security Management Systems ndash Requirements baseacutee surla BS 7799-2 et orienteacutee vers la certification
ISOIEC 27002 Code of practice for Information Security Management anciennementISOIEC 17799
ISOIEC 27003 ISMS Implementation
ISOIEC 27004 ISMS Measurements and metrics
ISOIEC 27005 ISMS Information security risk management
ISOIEC 27006 Information technology mdash Security techniques mdash Requirements for
bodies providing audit and certification of information security management systems
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 928
Les meacutetriques dans le cadre de la seacuterie 27000 - 7 - copy CLUSIF 2009
IISSOO 2277000011 SSMMSSII
IISSOO 2277000011 IISSOO 2277000022 MMeessuurreess ddee sseacuteeacuteccuurriitteacuteeacute
IISSOO 2277000000 VVooccaabbuullaaiirree
IISSOO 2277000066 CCeerrttiiffiiccaattiioonn ddee SSMMSSII
IISSOO 2277000055 GGeessttiioonn ddee rriissqquuee
IISSOO 2277000044 IInnddiiccaatteeuurrss SSMMSSII
IISSOO 2277000033 IImmpplleacuteeacutemmeennttaattiioonn
2005-2010 200
2005-2010 2008
Guidesusage facultatif
Exigencesusage obligatoire
dans la certification
2009
IISSOO 2277000077 AAuuddiitt ddee SSMMSSII
2009
2009
2010
Scheacutema 1 La seacuterie ISOIEC 27000
Bien sucircr dautres normes techniques continueront de traiter de la seacutecuriteacute des systegravemesdinformations En particulier nous pouvons mentionner
ISOIEC 27031 Specification for ICT Readiness for Business Continuity
ISOIEC 27032 Guidelines for Cybersecurity
ISOIEC 27033 de 1 agrave 8 IT network security (ex ISOIEC 18028)
ISOIEC 27034 Guidelines for Application Security
ISOIEC 27035 Information Security Incident Management
ISOIEC 18043 Selection deployment and operation of intrusion detection systems
(IDS)
Dautres reacutefeacuterentiels eux aussi en cours deacutevolution sont susceptibles decirctre utiliseacutes pourameacuteliorer la seacutecuriteacute de linformation Ils peuvent ainsi se trouver en concurrence avec tout oupartie des normes preacuteciteacutees Ils peuvent aussi introduire de nouvelles contraintes qui seront agraveprendre en compte dans leur mise en œuvre
Le plus connu est le CoBIT (Control Objectives of Information and related Technology)eacutelaboreacute par lISACA ( Information Systems Audit and Control Association) Il convienteacutegalement de mentionner les documents eacutemanant du COSO (Committee of Sponsoring
Organisations of the Treadway Commission) ou de diffeacuterents organismes gouvernementaux(NIST aux USA DTI au Royaume Uni hellip)
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1028
Les meacutetriques dans le cadre de la seacuterie 27000 - 8 - copy CLUSIF 2009
Scheacutema 2 La seacuterie ISOIEC 27000 et les autres reacutefeacuterentiels
De la mecircme faccedilon les lois et les regraveglements concernant la seacutecuriteacute de linformation(informations nominatives gestion de lidentiteacute reacutetention de donneacutees chiffrement hellip) sontactuellement en eacutevolution dans la plupart des pays
De nouvelles conditions de traitement de conservation ou de destruction des informations
sont ainsi agrave mettre en œuvre de faccedilon impeacuterative et de faccedilon dautant plus complexe que lesmesures de seacutecuriteacute peuvent varier dun pays agrave lautre
Des impeacuteratifs leacutegislatifs ou sectoriels peuvent aussi voir le jour et entraicircner des conseacutequencesimportantes Par exemple la loi Sarbanes-Oxley Act pour les entreprises coteacutees sur lesmarcheacutes ameacutericains la Loi sur la Seacutecuriteacute Financiegravere pour les entreprises franccedilaises Bacircle IIpour les eacutetablissements financiers ou Solvency II pour les assurances
ISO 27001Moteur de base
ISO 27004Indicateurs
CoBITGouvernance
CMMID eacute veloppements
ITIL Production
ISO 27005Appr eacuteciation des
risques
ISO 27002Bonnes pratiques ISO 27001
SAS 70
PCI - DSS
Tout autre r eacute f eacute rentielseacute curit eacute
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1128
Les meacutetriques dans le cadre de la seacuterie 27000 - 9 - copy CLUSIF 2009
22 Terminologie
Le terme laquo meacutetrique raquo nrsquoexiste pas dans la langue franccedilaise au sens ougrave il est utiliseacute dans ce
documentLe terme anglais laquo metrics raquo (a system of related measures that facilitates the quantification ofsome particular characteristic) est utiliseacute pour meacutetrologie parfois laquo traduit raquo par meacutetrique
Pour meacutemoire la meacutetrologie est la science qui sinteacuteresse aux cocircteacutes theacuteoriques et pratiques dela mesure dans tous les domaines de la science et de la technologie Plus speacutecifiquement lameacutetrologie touche lutilisation des uniteacutes la reacutealisation des eacutetalons les meacutethodes lestechniques et les appareils de mesure ainsi que la preacutecision obtenue
Les diffeacuterentes normes en rapport avec le sujet fournissent les deacutefinitions suivantes
Attribut proprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacute quantitativementou qualitativement par des moyens humains ou automatiques [ISOIEC 159392007]
Mesurage processus drsquoobtention drsquoinformation relative agrave lrsquoefficaciteacute drsquoun SMSI et demesures de seacutecuriteacute agrave lrsquoaide drsquoune meacutethode drsquoeacutevaluation drsquoune fonction drsquoeacutevaluationdrsquoun modegravele analytique et de critegraveres de deacutecision [ISOIEC 27004]
Indicateur reacutesultat de lrsquoapplication drsquoun modegravele analytique agrave une ou plusieurs variablesen relation avec les critegraveres de deacutecision ou un besoin drsquoinformation [ISOIEC 27004]
Un indicateur est la base de lrsquoanalyse et de la prise de deacutecisionCompleacutements aux deacutefinitions proposeacutees dans ce document
Meacutetrique ensemble drsquoeacuteleacutements permettant de fournir une eacutevaluation qualitative ouquantitative repreacutesentative drsquoune situation
Indicateur donneacutee objective qui preacutesente une situation du strict point de vuequantitatif Un indicateur est pertinent srsquoil est directement relieacute agrave une zone drsquoaction (ilindique ougrave il faut agir) Les indicateurs peuvent ecirctre regroupeacutes dans un tableau de bordoutil de synthegravese et de visualisation des situations deacutecrites
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1228
Les meacutetriques dans le cadre de la seacuterie 27000 - 10 - copy CLUSIF 2009
23 Positionnement des meacutetriques dans le modegravele defonctionnement
La figure ci-dessous positionne les termes laquo attribut raquo laquo meacutetrique raquo et laquo indicateur raquo
Interpreacutetation
Collecte des paramegravetres etvariables mesurables
les attributs
Repreacutesentation de lareacutealiteacute du ldquo terrainrdquo(donneacutees brutes)
Repreacutesentation de la situation
Aide agrave la deacutecision
Information quantitative ou
qualitative positionneacutee surune eacutechelle de reacutefeacuterence
Indicateurs
Meacutetriques
Tableau de Bord
Systegravemes et processus meacutetiers de lrsquoentiteacute
attributs
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situationControcircle
ISMS
Objectifs
Miseen
place
Interpreacutetation Interpreacutetation Inte rpreacutetation
Collecte des paramegravetres etvariables mesurables
les attributs
Repreacutesentation de lareacutealiteacute du ldquo terrainrdquo(donneacutees brutes)
Repreacutesentation de la situation
Aide agrave la deacutecision
Information quantitative ou
qualitative positionneacutee surune eacutechelle de reacutefeacuterence
Indicateurs
MeacutetriquesMeacutetriques
Tableau de Bord
Systegravemes et processus meacutetiers de lrsquoentiteacute
attributs
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situation
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situationControcircle
ISMS
Objectifs
Miseen
place
Miseen
place
Scheacutema 3 Repreacutesentation drsquoapregraves le document ISOIEC 27004
Exemple dans le domaine des antivirus
Nombre de postes eacutequipeacutes dun antivirus attribut
Pourcentage du nombre de postes eacutequipeacutes sur le total meacutetrique
Nombre de postes eacutequipeacutes dun antivirus dont lantivirus a eacuteteacute mis agrave jour attribut
Pourcentage de postes dont lantivirus a eacuteteacute mis agrave jour meacutetrique
A partir de lrsquoexemple ci-dessus en regroupant les deux meacutetriques nous pouvons constituer un
indicateur repreacutesentant agrave la fois le niveau de protection viral des postes de travail et lamaicirctrise du processus antiviral sur ces postes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1328
Les meacutetriques dans le cadre de la seacuterie 27000 - 11 - copy CLUSIF 2009
Les indicateurs intimement lieacutes agrave la situation que nous voulons repreacutesenter peuvent ecirctre denature diffeacuterente et avoir des finaliteacutes eacutegalement diffeacuterentes
constater une situation dans le domaine que lrsquoon veut observer
mesurer leacutecart entre le niveau existant et le niveau de lrsquoobjectif deacutefini
suivre leacutevolution des domaines geacutereacutes et analyseacutes
anticiper etou deacuteclencher la mise en œuvre de plans drsquoactions de seacutecuriteacute (agrave partir dufranchissement drsquoun seuil)
communiquer agrave partir de donneacutees analyseacutees
piloter les projets
appreacutecier le respect des lois et reacuteglementations
auditer
Dans le contexte de la mise en œuvre drsquoun SMSI et du respect du principe de la Roue deDeming (cycle PDCA) les critegraveres de choix des indicateurs doivent inteacutegrer le soucidrsquoameacutelioration permanente de la seacutecuriteacute par la veacuterification de lefficaciteacute des mesures deseacutecuriteacute valideacutees et deacuteployeacutees Ainsi il est toujours souhaitable davoir en meacutemoire quelobjectif dun indicateur de seacutecuriteacute dans le SMSI est deacutevaluer lefficaciteacute des mesures deseacutecuriteacute
Dans la suite du document le choix a eacuteteacute fait drsquoillustrer uniquement les meacutethodes de mise en
œuvre drsquoindicateurs pour les SMSI En effet le suivi de lrsquoefficaciteacute de tout systegraveme demanagement est reacutealiseacute agrave partir de ces indicateurs (cf scheacutema 3)
24 Eacuteleacutements pour la mise en œuvre des indicateurs
Afin de satisfaire les objectifs assigneacutes les indicateurs doivent respecter des conditionsparticuliegraveres et ecirctre doteacutes de qualiteacutes speacutecifiques notamment
ecirctre issus des objectifs retenus dans la politique de seacutecuriteacute
ecirctre aiseacutement quantifiables (construits agrave partir drsquoinformations ou de processus geacuteneacuterantdes informations quantifiables) afin de permettre des comparaisons (entre systegravemes ouentre peacuteriodes) Il srsquoagit le plus souvent de pourcentage de taux de ratio de moyenneetou de nombres laquo bruts raquo
les informations neacutecessaires agrave lrsquoeacutelaboration de la mesure doivent ecirctre faciles agrave obteniretou collecter En effet il faut srsquoassurer que les ressources mises en œuvre pour obtenirles donneacutees ne sont pas disproportionneacutees par rapport agrave celles concourant agrave la reacutealisationdu processus mesureacute
srsquoappuyer sur des processus laquo stables raquo et aiseacutement laquo reproductibles raquo
permettre la mesure des eacutevolutions suite agrave des actions correctives
ecirctre fiables sur la dureacutee et autoriser une analyse des eacutecarts
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1428
Les meacutetriques dans le cadre de la seacuterie 27000 - 12 - copy CLUSIF 2009
Ces caracteacuteristiques sont regroupeacutees dans certaines deacutemarches sous lacronyme laquo SMART raquoqui signifie
Specific il correspond agrave ce qui est analyseacute et met en avant la speacutecificiteacute de lattribut
Measurable il peut ecirctre mesureacute et cette mesure est objective
Attainable il est obtenu dans des conditions satisfaisantes de coucirct et de deacutelai Repeatable sa mesure est reproductible
Time dependent la mesure deacutepend de la fenecirctre de temps utiliseacutee
Les caracteacuteristiques de la mesure deacutefinies dans lAnnexe A de lrsquoactuel projet de normeISOIEC 27004 doivent ecirctre deacutefinies pour chaque indicateur
25 Exemples drsquoindicateurs
Quelques exemples drsquoindicateurs sont donneacutes ci-apregraves La liste fournie nrsquoest pas exhaustive Ilest inteacuteressant de constater que certains indicateurs sont de nature opeacuterationnelle oustrateacutegique voire opeacuterationnelle et strateacutegique
Controcircle drsquoaccegraves
pourcentage drsquoutilisateurs dont le mot de passe respecte les principes de construction
pourcentage de systegravemes accessibles depuis lrsquoexteacuterieur et comprenant un IDS agrave jour
Controcircle des codes malveillants
nombre annuel dattaques reacuteussies par deacutefaut de mise agrave jour de la base virale
deacutelai de retour agrave la normale sur attaque virale
freacutequence de mise agrave jour de la base antivirus freacutequence drsquoeacutevaluation de la conformiteacute des politiques antivirales laquo locales raquo avec la
politique laquo globale raquo
Mise en œuvre du SMSI
pourcentage de deacuteclinaisons des principes de la politique de seacutecuriteacute de lrsquoorganisme enproceacutedures opeacuterationnelles
nombre mensuel drsquoincidents de seacutecuriteacute non reacutesolus
pourcentage de comiteacutes de pilotage de seacutecuriteacute tenus en accord avec le planning
pourcentage dactions correctives non meneacutees agrave terme
Maicirctrise des deacutepenses deacutepenses lieacutees agrave la seacutecuriteacute selon diffeacuterents critegraveres nombre dalertes dincidents etc
Formation
pourcentage du budget global de formation consacreacute agrave la seacutecuriteacute des systegravemesdrsquoinformation
pourcentage de participants en fonction de la population cible agrave des sessions relatives agravela seacutecuriteacute des systegravemes drsquoinformation
taux de freacutequentation des formations aux proceacutedures dalerte par les personnes cleacutes descellules de crise
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1528
Les meacutetriques dans le cadre de la seacuterie 27000 - 13 - copy CLUSIF 2009
Seacutecuriteacute des logiciels applications
nombre de correctifs de seacutecuriteacute valideacutes apregraves analyse
taux de correctifs de seacutecuriteacute valideacutes mis en œuvre dans les deacutelais preacutevus
Seacutecuriteacute reacuteseau
nombre drsquoaudits et de tests de vulneacuterabiliteacute reacutealiseacutes sur la peacuteriode
Disponibiliteacute des services
taux de disponibiliteacute DNS accegraves internet messagerie
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1628
Les meacutetriques dans le cadre de la seacuterie 27000 - 14 - copy CLUSIF 2009
3 LES DIFFERENTS USAGES DES INDICATEURS
31 EacutevaluerCes indicateurs peuvent ecirctre reacutepartis dans les grandes familles suivantes
Les indicateurs laquo de conformiteacute raquo deacutecrivent le niveau dexigence souhaiteacute (ou constateacute)sur une mesure de seacutecuriteacute Par exemple en ce qui concerne la mesure de seacutecuriteacutelaquo Reacutealisation de sauvegardes raquo un indicateur de conformiteacute de seacutecuriteacute peut ecirctre lafreacutequence des sauvegardes ou le ratio du nombre de bandes externaliseacutees par rapport aunombre total de bandes
Les indicateurs laquo defficaciteacute raquo deacutecrivent leacutetat du fonctionnement de la mesure deseacutecuriteacute Sur le mecircme exemple de la laquo Reacutealisation de sauvegardes raquo un nombre eacuteleveacute de
tests de restaurations deacutefectueux peut deacutemontrer un mauvais fonctionnement dessauvegardes
Les indicateurs laquo defficience raquo visent agrave rapprocher lefficaciteacute de la mesure de seacutecuriteacuteau regard de limportance des moyens mis en œuvre
32 Piloter
Toute activiteacute (production projet processus etc) implique la deacutetermination drsquoindicateurs depilotage Ces derniers permettent
drsquoappreacutecier lavancement correct du projet drsquoeacutevaluer une situation
de deacutetecter un risque
de deacuteclencher une alerte
Le choix des indicateurs peut deacutependre des objectifs de lrsquoactiviteacute (coucircts deacutelais performanceetc) mais aussi ecirctre lieacute agrave des processus transverses (management support etc)
Nous pourrons ainsi avoir les indicateurs suivants sur diffeacuterentes eacutechelles de temps anneacuteemois semaine jour
nombre de machines infecteacutees par des virus nombre de machines
nombre de messages infecteacutes par des virus nombre de messages
nombre de machines agrave jour nombre de machines
temps moyen et maximum de mise agrave jour du parc
nombre drsquoattaques virales identifieacutees bloqueacutees exeacutecuteacutees
impact de ses attaques en heures de travail perdues financier
raison des infections mise agrave jour non effectueacutee seacutecuriteacute non appliqueacutee malveillancehellip
variation du taux drsquoinfection et tentatives drsquoinfection sur les 12 derniers mois
etc
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1728
Les meacutetriques dans le cadre de la seacuterie 27000 - 15 - copy CLUSIF 2009
Ces indicateurs peuvent aussi ecirctre eacuteleacutementaires ou plus syntheacutetiques Par exemplelrsquoagreacutegation de certains indicateurs informatiques avec les indicateurs eacuteconomiques Lelaquo Ratio du nombre annuel drsquoaccords de confidentialiteacutes (NDA ndash Non disclosure agreement)signeacutes par rapport au nombre de prestataires preacutesents dans lrsquoorganisme raquo en est un exemple
33 Communiquer
Des indicateurs sont aussi utiliseacutes pour communiquer en interne ou en externe Leur naturesera diffeacuterente en fonction des acteurs viseacutes et de leur objectif de communication(sensibiliser faire passer des ideacutees justifierhellip)
Par exemple pour communiquer autour de la lutte antivirale
nombre drsquoheures de travail perdues suite agrave une attaque virale
variation du taux drsquoinfection sur les douze derniers mois (justification du budget)
nombre drsquoattaques virales provenant drsquoun support externe
34 Sautoeacutevaluer
Cette eacutevaluation peut ecirctre reacutealiseacutee en interne par lrsquoeacutequipe en charge de la fonction comme parlrsquoeacutequipe drsquoaudit ou de controcircle interne
Elle se situe par rapport agrave un reacutefeacuterentiel interne ou externe ou par rapport agrave un objectifarbitraire ou reacutesultant drsquoune expeacuterience passeacutee et deacutejagrave mesureacutee
Les indicateurs citeacutes comme exemple dans les paragraphes preacuteceacutedents peuvent notammentservir dans le cadre drsquoune autoeacutevaluation
35 Contribuer agrave lrsquoobtention drsquoune certification
Ces indicateurs servent agrave
appreacutecier lrsquoavancement dans le processus de certification
obtenir la certification
et surtout la conserver
Sans ecirctre obligatoire pour lrsquoobtention de la certification ISOIEC 270012005 la mise enplace drsquoindicateurs simplifie grandement le cheminement vers celle-ci
36 Reacutepondre agrave un audit
Les indicateurs servent agrave informer lrsquoauditeur agrave justifier des mesures de seacutecuriteacute mises enplace et des correctifs en cours
Les indicateurs preacutesenteacutes lors drsquoaudits contribuent agrave lrsquoanalyse de risque et srsquoappreacutecient parrapport agrave un reacutefeacuterentiel externe
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1828
Les meacutetriques dans le cadre de la seacuterie 27000 - 16 - copy CLUSIF 2009
4 LES TRAVAUX NORMATIFS EN COURS
(ISOIEC 27004)
Ce document a eacuteteacute reacutedigeacute alors que la norme ISOIEC 27004 nrsquoeacutetait pas stabiliseacutee (versionCD) il est toutefois permis de penser que lrsquointeacuterecirct du document justifie les travaux entreprisci-apregraves sous reacuteserve de possibles eacutevolutions
Ce projet de norme au sein de la seacuterie 27000 constitue un guide [agrave usage facultatif] delaquo Mesurage et meacutetriques raquo dans le cadre drsquoun SMSI (Systegraveme de Management de la Seacutecuriteacutede lrsquoInformation) tel que deacutefini dans lrsquoISOIEC 270012005
Les domaines suivants sont abordeacutes
preacutesentation du processus de mesurage
rocircles et responsabiliteacutes
conception des indicateurs production et mise en forme des indicateurs
analyse et reporting
ameacutelioration du processus de mesurage
Une premiegravere annexe preacutesente un modegravele commenteacute drsquoune fiche drsquoindicateur (cf Annexe A)La seconde annexe preacutesente plusieurs exemples drsquoattributs de meacutetriques ou drsquoindicateurs (cfAnnexe B)
41 Concepts de meacutetriquesUn processus de mesure a pour but de veacuterifier que les objectifs de seacutecuriteacute fondeacutes notammentsur lrsquoanalyse de risque et la conformiteacute aux dispositions leacutegales et reacuteglementaires sontatteints
Il se compose de phases de collecte drsquoinformations et drsquoanalyse Par comparaison agrave descritegraveres de deacutecision ces phases permettent lrsquoobtention drsquoinformations de seacutecuriteacute etlrsquoameacutelioration continue du management de la seacutecuriteacute
Les mesures peuvent ecirctre eacuteleacutementaires ou deacuteriveacutees
une mesure eacuteleacutementaire1
est la valeur drsquoun laquo attribut raquo obtenue par une meacutethode decalcul
une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesureseacuteleacutementaires
Pour chaque type de mesure (eacuteleacutementaire ou deacuteriveacutee) il convient de faire en sorte que desobjectifs de conformiteacute ou de performance soient mis en eacutevidence
Le modegravele du processus de mesure proposeacute comprend un processus de remonteacutee demesures eacuteleacutementaires et de mesures deacuteriveacutees qui contribuent agrave la fabrication drsquoindicateurslesquels seront compareacutes individuellement agrave leur critegravere de deacutecision Lrsquoefficaciteacute du systegraveme
1 Une mesure eacuteleacutementaire peut dans certains cas correspondre directement agrave un indicateur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1928
Les meacutetriques dans le cadre de la seacuterie 27000 - 17 - copy CLUSIF 2009
de management srsquoappreacutecie en comparant les reacutesultats issus des mesures effectueacutees avec leursobjectifs initiaux
Dans le projet de norme les preacutecisions suivantes sont apporteacutees
les objectifs du processus de mesure sont clairement eacutetablis (eacutevaluer fournir des
donneacutees faciliter lrsquoeacutevolution communiquer) En revanche le peacuterimegravetre sur lequelsrsquoapplique ce processus ainsi que la meacutethodologie drsquoimpleacutementation restent agrave lrsquoinitiativede chacun
lrsquoimplication du management dans le processus de mesure est souligneacutee notamment surson engagement ses responsabiliteacutes et les ressources agrave mettre en œuvre
les diffeacuterents rocircles qui devraient ecirctre assigneacutes par le Management concernant leprocessus de mesure sont preacuteciseacutes le fournisseur le client le collecteur lecommunicateur le reacute-examinateur (cf deacutefinitions dans lrsquoannexe A du preacutesentdocument) Ces diffeacuterents rocircles devront faire lrsquoobjet de proceacutedures drsquohabilitationprenant en compte les contraintes de seacuteparation des tacircches et les compeacutetencestechniques neacutecessaires
42 Concevoir des meacutetriques
Des meacutetriques doivent ecirctre creacuteeacutes pour eacutevaluer lrsquoefficaciteacute du SMSI controcircler lrsquoatteinte desobjectifs identifier valider et ameacuteliorer les mesures de seacutecuriteacute speacutecifiques
Pour cela il faut pour chaque meacutetrique agrave partir drsquoune analyse de risque et de lrsquoeacutetat initial
identifier et choisir des objectifs
documenter et planifier lrsquoactiviteacute de mesurage (lrsquoannexe A du preacutesent document
preacutesente un modegravele de fiche sur ce thegraveme) en particulier concernant la meacutethode decollecte de stockage drsquoarchivage de veacuterification et drsquoanalyse des donneacutees ainsi que lamise en place du processus de mesurage
deacutefinir les principaux acteurs et les ressources neacutecessaires
srsquoassurer de la pertinence des mesurages qui devraient veacuterifier les critegraveres SMART(Specific Measurable Attainable Repeatable Time dependant)
43 Mettre en place des meacutetriques
La mise en place permanente de la collecte de la conservation et de lrsquoanalyse des donneacutees apour but drsquoassurer la compreacutehension et lrsquoameacutelioration du SMSI Ce processus doitaccompagner les eacutevolutions du SMSI
Cette rubrique dans le projet de norme constitue un guide pratique opeacuterationnel qui preacuteciseles conditions de
collecte des donneacutees (en speacutecifiant la date lrsquoheure le proprieacutetairehellip)
validation
traitement
diffusion
conservation
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2028
Les meacutetriques dans le cadre de la seacuterie 27000 - 18 - copy CLUSIF 2009
Il importe que les reacutesultats des indicateurs servent agrave eacutevaluer lrsquoefficaciteacute des dispositifs deseacutecuriteacute (de preacutevention deacutetection correction ou reacutecupeacuteration) en place Dans un secondtemps cette base drsquoindicateurs constitueacutee permettra de soutenir un processus de deacutecision dansle choix de nouveaux dispositifs
44 Utiliser communiquer et ameacuteliorer les meacutetriques
Lrsquoanalyse des donneacutees et leur interpreacutetation consistent agrave les rapprocher des critegraveres dedeacutecision preacutealablement deacutefinis (Annexe A)
Le but de lrsquoanalyse est de pouvoir identifier les eacutecarts entre la performance attendue et cellereacutealiseacutee Les causes de non-conformiteacute et de mauvaise performance pourront ecirctre ainsiidentifieacutees en fonction des dispositifs de seacutecuriteacute qui
ne sont pas opeacuterationnels
sont impleacutementeacutes mais ne fonctionnement pas correctement sont impleacutementeacutes fonctionnent correctement mais ne couvrent pas les menaces
estimeacutees
sont impleacutementeacutes fonctionnent correctement mais toutes les menaces ne sont pascouvertes
Les conclusions des analyses devraient ecirctre revues par toutes les parties prenantes ndash dans lesens laquo stakeholders raquo ndash pour assurer la bonne interpreacutetation de la donneacutee A cette fin lesreacutesultats des analyses devraient ecirctre suffisamment documenteacutes
La consolidation de ces reacutesultats devra intervenir dans des tableaux de bord pour unecommunication agrave qui de droit
Les mesures peuvent ecirctre utiliseacutees agrave diverses fins
eacutevaluer lrsquoefficaciteacute des dispositifs de seacutecuriteacute
critiquer les appreacuteciations et les traitements des risques
deacutemontrer les progregraves
se comparer au sein ou entre organisations
45 Ameacuteliorer le processus de mesure
Lrsquoefficaciteacute du processus de mesure doit ecirctre examineacutee peacuteriodiquement afin de lrsquoameacuteliorerNeacuteanmoins les donneacutees de base doivent faire lrsquoobjet de sauvegardes reacuteguliegraveres et peacuterennesafin de pouvoir recalculer les meacutetriques en fonction de leurs diffeacuterentes eacutevolutions
Des eacutevolutions peuvent ecirctre envisageacutees quand lrsquoorganisation introduit de nouveaux objectifsde mesure points de mesure de nouvelles meacutethodes ou fonctions de mesure
Le processus de mesure devrait ecirctre eacutevalueacute en termes drsquoutiliteacute et reacuteexamineacute agrave chaque fois quelrsquoorganisation change Il importe de srsquoassurer que les mesures reflegravetent un eacutetat agrave jour de laseacutecuriteacute et de veacuterifier que les donneacutees sous-jacentes sont encore valides Il est eacutegalementimportant de valider la pertinence des hypothegraveses
Il srsquoagit aussi drsquoeacutevaluer lrsquoutiliteacute de la mesure et le coucirct du processus de mesure afin dedeacuteterminer la pertinence de sa modification ou de sa suppression
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2128
Les meacutetriques dans le cadre de la seacuterie 27000 - 19 - copy CLUSIF 2009
5 CONCLUSION
LrsquoISOIEC 270012005 insiste sur lrsquoimportance de mesurer lrsquoefficaciteacute des processus du
SMSI des mesures de seacutecuriteacute mises en œuvre et du processus de mesurage lui-mecircme2
Cependant cette norme ne preacutecise pas comment mesurer cette efficaciteacute Elle se contentedrsquoindiquer qursquoune meacutethode est agrave deacutefinir
A cette fin le preacutesent document apporte un eacuteclairage aux RSSI auditeurs internes acteurs ducontrocircle permanent et managers dans la deacutefinition et la mise en œuvre des indicateurs adapteacutesagrave leurs exigences selon des processus qui devraient figurer dans la norme ISOIEC 27004
LrsquoISOIEC 27004 est un guide qui compleacutetera lrsquoISOIEC 270012005 en fournissant deslignes directrices et des conseils sur
la conception
la mise en œuvre
lrsquoanalyse et la communication des reacutesultats
lrsquoameacutelioration du processus de mesurage drsquoun SMSI
Cette future norme devrait ecirctre publieacutee prochainement La seacuterie ISOIEC 27000 a eacuteteacutecompleacuteteacutee de lrsquoISOIEC 270052008 et de lrsquoISOIEC 27003 (preacutevue en 2009) qui traitentrespectivement de la gestion du risque et de la mise en œuvre drsquoun SMSI
2 cf clauses 02c 02d 422d 423c 431g 72f et 73e
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2228
Les meacutetriques dans le cadre de la seacuterie 27000 - 20 - copy CLUSIF 2009
ANNEXE A FICHE DESCRIPTIVE
Modegravele de fiche descriptive drsquoune mesure
Cette fiche est inspireacutee de lrsquoISOIEC FCD 27004
Identification de la mesure
Nom de la mesure Nom de la mesure
Identifiant de la mesure Identifiant numeacuterique unique speacutecifique agrave lrsquoorganisme
Objectif de la mesureDeacutecrit lrsquoobjectif de la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure de
seacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (1)Facultatif Deacutecrit la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure deseacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (2)Facultatif Deacutecrit dautres mesures de seacutecuriteacute (agrave mettre ou deacutejagrave mise en œuvre) faisant lrsquoobjet le caseacutecheacuteant de la mecircme mesure (reacutefeacuterence aux mesures de seacutecuriteacute de lrsquoannexe A de la normeISO 27001)
Objectif de la mesure Deacutefinit le but de la mesure
Reacute examinateurPersonne ou uniteacute organisationnelle qui examine et valide que les critegraveres deacutevaluation de la mesuresont approprieacutes pour veacuterifier lefficaciteacute des mesures de seacutecuriteacute et des processus du SMSI
Objets du mesurage et attributs
Objet du mesurage
Objet qui doit ecirctre mesureacute et qui est caracteacuteriseacute par la mesurabiliteacute de ses attributs Les objets peuvent
comprendre des processus des systegravemes ou des composants de systegravemes
AttributsProprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacutee quantitativement ou qualitativementpar des moyens humains ou automatiques
Speacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesUne mesure eacuteleacutementaire est deacutefinie en fonction dun attribut et de la meacutethode de mesurage speacutecifieacuteepour le quantifier (par exemple le nombre de personnel formeacute le nombre de sites le coucirct cumuleacute agravece jour) Au moment ougrave la donneacutee est collecteacutee une valeur est affecteacutee agrave une mesure eacuteleacutementaire
Meacutethodes de mesurage Suite logique drsquoopeacuterations qui permettent de quantifier un attribut selon une eacutechelle
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure eacuteleacutementaire
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesures eacuteleacutementaires
Fonction de mesurageSuite logique drsquoopeacuterations qui permettent de calculer la mesure deacuteriveacutee Pour les mesures deacuteriveacutees lafonction par laquelle les mesures deacuteriveacutees fondeacutees sur des mesures eacuteleacutementaires correspondantes etla preacutecision cumulative reacutesultante sont agreacutegeacutees
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure deacuteriveacutee
Speacutecification de lrsquoindicateur
Description dindicateur etexemple
Preacutesentation dune ou plusieurs mesures (eacuteleacutementaires ou deacuteriveacutees) qui fournit une estimation ou uneeacutevaluation dattributs speacutecifieacutes reacutesultant dun modegravele analytique en ce qui concerne des besoins delinformation deacutefinis Un indicateur est souvent preacutesenteacute agrave lrsquoaide drsquoun graphique ou drsquoun diagrammeInclure un croquis de lindicateur
Modegravele analytique Algorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires etou deacuteriveacutees avec lescritegraveres de deacutecision associeacutes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2328
Les meacutetriques dans le cadre de la seacuterie 27000 - 21 - copy CLUSIF 2009
Critegravere de deacutecisionSeuil cible ou modegravele utiliseacute pour deacuteterminer la neacutecessiteacute dune action ou un compleacutement denquecircteou pour deacutecrire le niveau de confiance dans un reacutesultat donneacute
Interpreacutetation dindicateurDescription de la faccedilon dont lindicateur exemple (voir la figure exemple dans la description delindicateur) devrait ecirctre interpreacuteteacute
Effets impact Deacutefinition des effets et de lrsquoimpact issu des reacutesultats obtenus par la mesure
Causes drsquoeacutecart Deacutefinition des causes possibles agrave lrsquoorigine drsquoeacutecarts des reacutesultats
Valeurs positivesDeacuteclaration expliquant si les valeurs en laquo croissance raquo indiquent des tendances positives (bonreacutesultat) ou si les valeurs en laquo deacutecroissance raquo doivent ecirctre consideacutereacutees comme des tendancespositives
Format de restitution
Le format de la restitution devrait ecirctre preacuteciseacute et documenteacute Il deacutecrit les observations quelrsquoorganisation ou le proprieacutetaire de lrsquoinformation peut vouloir sur lrsquoenregistrement Les formats derapport deacutecriront visuellement les mesures et fourniront une explication verbale des indicateurs Ilsdevraient ecirctre personnaliseacutes en fonction du laquo client de linformation raquo (ce terme est deacutefini ci-apregraves)
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des
donneacutees
Freacutequence agrave laquelle les donneacutees sont collecteacutees
Fournisseur de lrsquoinformationPersonne ou uniteacute organisationnelle qui deacutetient lrsquoinformation pour creacuteer les mesures eacuteleacutementairesCelui qui va contribuer agrave la meacutetrique produire lrsquoinformation pour le calcul de la meacutetrique
Collecteur de lrsquoinformationPersonne ou uniteacute organisationnelle en charge de collecter enregistrer et stocker les informationsCelui qui va obtenir la meacutetrique
Outils utiliseacutes dans la collectedes donneacutees
Liste les outils utiliseacutes dans la collecte des donneacutees (par exemple un scanner de vulneacuterabiliteacute)
Conservation des donneacuteescollecteacutees
Liste les outils ougrave les donneacutees sont conserveacutees apregraves avoir eacuteteacute collecteacutees (par exemple une base dedonneacutees)
Date de collecte Date agrave laquelle la donneacutee devrait ecirctre obtenue
Proceacutedure drsquoenregistrement
des donneacuteesDeacutefinit la proceacutedure drsquoenregistrement des donneacutees (lien vers la proceacutedure correspondante)
Validiteacute de la mesure Date de reacutevision (date drsquoexpiration ou de validiteacute de renouvellement) de la mesure
Peacuteriode drsquoanalyse Deacutefinit la peacuteriode mesureacutee
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitutiondes donneacutees
Freacutequence agrave laquelle les donneacutees sont restitueacutees (cette freacutequence peut ecirctre infeacuterieure agrave celle decollecte)
Communicateur delrsquoinformation
Personne ou uniteacute organisationnelle responsable de lrsquoanalyse de lrsquoinformation et de la communicationdes reacutesultats des mesuresCelui qui va analyser la meacutetrique
Source drsquoinformation pour
lrsquoanalyse
Liste les sources drsquoinformation utiles pour lrsquoanalyse de reacutesultats (documents journaux entretien
etc)Outils utiliseacutes dans lrsquoanalyse Liste les outils utiliseacutes pour lrsquoanalyse (par exemple des outils statistiques)
Client de lrsquoinformationLa personne ou lrsquouniteacute organisationnelle qui demande ou requiert les mesures pour les besoins de sonactiviteacuteCelui qui va utiliser la meacutetrique
Information compleacutementaire
Conseils danalyseCompleacutementaires
Fournit des conseils compleacutementaires sur les variations de cette mesure
Consideacuterations de mise enœuvre
Liste les processus ou les exigences de mise en œuvre qui sont neacutecessaires pour la reacuteussite de la miseen œuvre
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2428
Les meacutetriques dans le cadre de la seacuterie 27000 - 22 - copy CLUSIF 2009
Exemple drsquoutilisation de la fiche
Identification de la mesure
Nom de la mesure Revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Identifiant de la mesure R1-A1124
Objectif de la mesure de seacutecuriteacuteA1124 [270012005]
Mesure de seacutecuriteacute (1)Les managers doivent dans leur peacuterimegravetre reacuteexaminer les droits drsquoaccegraves des utilisateurs agraveintervalles reacuteguliers par le biais drsquoun processus formel
Mesure de seacutecuriteacute (2) Revue des accegraves au reacuteseau informatique
Objectif de la mesure
Mesurer le pourcentage de manager deacuteclarant avoir effectueacute des controcircles sur les droits drsquoaccegravesutilisateurs de leur peacuterimegravetre ce qui permet drsquoeacutevaluer
bull la prise de conscience des managers vis-agrave-vis des risques drsquoaccegraves non fondeacutesfrauduleux ou obsolegravetes aux SI
bull lrsquoimplication du management dans le processus de maicirctrise et de gestion du risqueinformatique
Reacute examinateur Direction des Risques
Objets du mesurage et attributs
Objet du mesurage Processus de revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Attributs Attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateursSpeacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesExistence drsquoune attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateurs parchacun des managers
Meacutethodes de mesurageTous les trimestres les managers enverront un email standardiseacute au Deacutepartement Seacutecuriteacute desSI attestant que les accegraves des utilisateurs ont eacuteteacute revus pour leur peacuterimegravetre
Echelle Numeacuterique
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Taux drsquoattestations retourneacutees par les managers sur le trimestre eacutetudieacute
Fonction de mesurage
Taux dattestations retourneacutees par les managers sur le trimestre eacutetudieacute = (nombre dattestations
retourneacutees par les managers Total dattestations attendues dans le trimestre) 100
Echelle Ratio pourcentage
Speacutecification de lrsquoindicateur
Description dindicateur et exemple Courbe montrant lrsquoindicateur sur plusieurs peacuteriodes de restitution
Modegravele analytique
Satisfaisant si gt= 90Globalement satisfaisant si 80 lt lt 90Moyennement satisfaisant si 70 lt= lt= 80Insatisfaisant si lt 70
Critegravere de deacutecision Seuil min 80
Interpreacutetation dindicateurUn reacutesultat insatisfaisant indique un manque drsquoengagement des managers dans la gestion des
risques lieacutes agrave la seacutecuriteacute des SIEffets impact Si reacutesultats insatisfaisants lrsquoindicateur est remonteacute agrave la Direction Geacuteneacuterale pour action
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2528
Les meacutetriques dans le cadre de la seacuterie 27000 - 23 - copy CLUSIF 2009
Causes drsquoeacutecart Les reacuteorganisations fonctionnelles de lrsquoentreprise
Valeurs positives Des valeurs croissantes indiquent des tendances positives
Format de restitution Tableau Excel standardiseacute
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des donneacutees Trimestrielle
Fournisseur de lrsquoinformation Chaque manager
Collecteur de lrsquoinformation Le RSSI
Outils utiliseacutes dans la collecte desdonneacutees
Mail courrier
Conservation des donneacutees collecteacutees Reacutepertoire speacutecifique du disque reacuteseau
Date de collecte Pour le 15 de chaque deacutebut de trimestre
Proceacutedure drsquoenregistrement desdonneacutees
EhellipNOV08R1-A11-2-4XLS
Validiteacute de la mesure Annuelle
Peacuteriode drsquoanalyse Du 1er janvier au 31 deacutecembre de lrsquoanneacutee en cours
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitution desdonneacutees
Trimestrielle
Communicateur de lrsquoinformation Le RSSI
Source drsquoinformation pour lrsquoanalyse Rapports drsquoentretiens
Outils utiliseacutes dans lrsquoanalyse Excel
Client de lrsquoinformation Direction des Risques
Information compleacutementaire
Conseils danalyse Compleacutementaires NA
Consideacuterations de mise en œuvre NA
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2628
Les meacutetriques dans le cadre de la seacuterie 27000 - 24 - copy CLUSIF 2009
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE
METRIQUES ET OU DrsquoINDICATEURS
Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI
Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A8 Seacutecuriteacute lieacutee aux ressources humaines
A81 Avant le recrutement
A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute
A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat
A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur
A82 Pendant la dureacutee du contrat
A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute
A822 Sensibilisation qualification et formations
en matiegravere de seacutecuriteacute de lrsquoinformation
Nombre de personnes formeacutees an
A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque
A83 Fin ou modification du contrat
A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat
A832 Restitution des actifs Coucirct des biens non rendus en fin de mission
A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai
A9 Seacutecuriteacute physique et environnementale
A91 Zones seacutecuriseacutees
A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees
A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)
A913 Seacutecurisation des bureaux des salles et deseacutequipements
Nombre annuel de disparition de biens informatiques dans les locaux
A914 Protection contre les menaces exteacuterieures etenvironnementales
Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle
A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 228
La loi du 11 mars 1957 nautorisant aux termes des alineacuteas 2 et 3 de larticle 41 dune part que les copies ou reproductions strictementreacuteserveacutees agrave lusage priveacute du copiste et non destineacutees agrave une utilisation collective et dautre part que les analyses et les courtes citations dansun but dexemple et dillustration toute repreacutesentation ou reproduction inteacutegrale ou partielle faite sans le consentement de lauteur ou de
ayants droit ou ayants cause est illicite (alineacutea 1er de larticle 40)
Cette repreacutesentation ou reproduction par quelque proceacutedeacute que ce soit constituerait donc une contrefaccedilon sanctionneacutee par les articles 425 etsuivants du Code Peacutenal
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 328
Les meacutetriques dans le cadre de la seacuterie 27000 - I - copy CLUSIF 2009
REMERCIEMENTS
Le CLUSIF tient agrave mettre ici agrave lhonneur les personnes qui ont rendu possible la reacutealisation dece document tout particuliegraverement
Nicolas ANDREU Devoteam
Reacutegis BOURDONNEC BNP Paribas Assurance
Anne COAT SEKOIA SAS
Henri CODRON SCHINDLER
Jean-Marc DELTEIL France Telecom
Freacutedeacuteric HUYNH Ernst amp Young
Franccedilois JOLIVET Socieacuteteacute Geacuteneacuterale
Laurent MARECHAL Hapsis
Fred MESSIKA SEKOIA SAS
Geacuterard REMY Devoteam
Paul RICHY France Telecom
Herveacute SCHAUER HSC
ainsi que les personnes ayant participeacute agrave la relecture
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 428
Les meacutetriques dans le cadre de la seacuterie 27000 - II - copy CLUSIF 2009
TABLE DES MATIERES
NOTE AUX LECTEURS III
1 INTRODUCTION 4
11 OBJECTIF DE CE DOCUMENT 4 12 LECTORAT 5
2 LES METRIQUES 6
21
PANORAMA DES REFERENTIELS ET DES BONNES PRATIQUES 6 22 TERMINOLOGIE 9
23 POSITIONNEMENT DES METRIQUES DANS LE MODELE DE FONCTIONNEMENT 10 24 EacuteLEMENTS POUR LA MISE EN ŒUVRE DES INDICATEURS 11 25 EXEMPLES DrsquoINDICATEURS 12
3 LES DIFFERENTS USAGES DES INDICATEURS 14
31 EacuteVALUER 14 32 PILOTER 14 33 COMMUNIQUER 15 34 SAUTOEVALUER 15 35 CONTRIBUER A LrsquoOBTENTION DrsquoUNE CERTIFICATION 15 36 REPONDRE A UN AUDIT 15
4 LES TRAVAUX NORMATIFS EN COURS (ISOIEC 27004) 16 41 CONCEPTS DE METRIQUES 16 42 CONCEVOIR DES METRIQUES 17 43 METTRE EN PLACE DES METRIQUES 17 44 UTILISER COMMUNIQUER ET AMELIORER LES METRIQUES 18 45 AMELIORER LE PROCESSUS DE MESURE 18
5 CONCLUSION 19
ANNEXE A FICHE DESCRIPTIVE 20
MODELE DE FICHE DESCRIPTIVE DrsquoUNE MESURE 20 EXEMPLE DrsquoUTILISATION DE LA FICHE 22
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE METRIQUES ETOU DrsquoINDICATEURS 24
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 528
Les meacutetriques dans le cadre de la seacuterie 27000 - III - copy CLUSIF 2009
NOTE AUX LECTEURS
La langue anglaise comprend plusieurs mots laquo control raquo laquo measure raquo laquo measurement raquo
laquo security measure raquo qui se traduisent geacuteneacuteralement en franccedilais par le mot laquo mesure raquo ilconvient donc de preacuteciser le peacuterimegravetre et la deacutefinition retenue pour chacun de ces mots dans lasuite du document afin drsquoeacuteviter les ambiguiumlteacutes de traduction Ainsi pour la suite nousutilisons les correspondances suivantes
laquo Control raquo = mesure de seacutecuriteacute doit se comprendre comme un ensemble dedispositions agrave mettre en œuvre Ce sont les laquo mesures agrave prendre raquo pour mettre en œuvreune politique de seacutecuriteacute laquo Control raquo ne se rattache donc pas directement agrave la notion demeacutetrique
laquo Measure raquo = valeur mesureacutee est deacutefini comme laquo la valeur raquo de la mesure ilsrsquoagit donc drsquoune valeur quantitative reacutesultat de la laquo mesure de la mesure de seacutecuriteacute raquo
laquo Measurement raquo = mesurage est expliciteacute dans le glossaire (cf sect22) comme eacutetant lelaquo processus de mesurage raquo il srsquoagit agrave un niveau soit eacuteleacutementaire soit plus global de lalaquo mise en œuvre de meacutetriques raquo laquo measurement raquo couvre donc la deacutefinition le choixle deacuteploiement et lrsquoeacutevaluation drsquoindicateurs
laquo Security measure raquo = mesure de seacutecuriteacute (voir la deacutefinition de laquo Control raquo)
Dans ce document le terme laquo mesure raquo employeacute seul deacutesigne le reacutesultat de lrsquoaction demesurer et ne correspond donc pas agrave laquo mesure de seacutecuriteacute raquo
___
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 628
Les meacutetriques dans le cadre de la seacuterie 27000 - 4 - copy CLUSIF 2009
1 INTRODUCTION
Lrsquoun des objectifs suivis lors de la mise en œuvre au sein drsquoun organisme drsquoune politique de
seacutecuriteacute du systegraveme drsquoinformation est drsquoapporter ou de renforcer la confiance en celui-ciCette confiance traduit lrsquoune des exigences des diffeacuterents acteurs (internautes clientsfournisseurs actionnaires hellip) ou de lrsquoorganisme lui-mecircme (entreprise administration ONGtiers de confiance ) lors drsquoune transaction commerciale du deacuteveloppement de son activiteacutepour la conservation de donneacutees numeacuteriques hellip
La notion de laquo niveau de seacutecuriteacute raquo est souvent utiliseacutee par abus de langage pourlaquo eacutetalonner raquo cette confiance Cela pour signifier que lrsquoon veut ecirctre laquo sucircr raquo de son SI ou pourlaquo garantir raquo que des mesures de seacutecuriteacute ont eacuteteacute mises en œuvre et qursquoelles permettent dereacuteduire lrsquoexposition aux risques agrave un niveau laquo acceptable raquo
Lrsquoappreacuteciation de lrsquoatteinte des objectifs de seacutecuriteacute ainsi que la pondeacuteration agrave affecter aux
diffeacuterentes theacutematiques de seacutecuriteacute (plan de continuiteacute seacutecuriteacute physique des infrastructuresgestion des identiteacutes hellip) demeurent des questions drsquoactualiteacute Il est difficile drsquoindiquer parmidiffeacuterentes mesures de seacutecuriteacute deacuteployeacutees celles qui auront le plus de valeur ajouteacutee sur leniveau de protection du systegraveme drsquoinformation
La confiance accordeacutee agrave la seacutecuriteacute du systegraveme drsquoinformation se mesure notamment parrapport agrave une politique constitueacutee par des processus et des objectifs suivant une deacutemarcheformaliseacutee pour les atteindre Le respect de ces conditions permet de se positionner dans uneperspective de maicirctrise du systegraveme de management de la seacutecuriteacute de lrsquoinformation (SMSI) oudrsquoeacutevaluation des mesures de seacutecuriteacute mises en place
La norme ISOIEC 27004 fournit une reacuteponse structureacutee et normaliseacutee pour laquo mesurer raquo la
performance drsquoun SMSI dans le cadre de lrsquoISOIEC 270012002
11 Objectif de ce document
Lors de ses preacuteceacutedents travaux sur les normes de la seacuterie 27000 le CLUSIF a deacuteveloppeacute dequelle maniegravere
la norme ISOIEC 270012005 permet le Management de la seacutecuriteacute de linformationpar une approche normative
la norme ISOIEC 270022005 fournit les mesures de seacutecuriteacute permettant de reacutepondre agrave
ses exigencesLrsquoobjectif de ce document est de preacutesenter au lecteur des concepts geacuteneacuteraux pouvant ecirctreutiliseacutes pour deacutefinir des indicateurs et une meacutetrique permettant les laquo mesurages raquo (voirdeacutefinition au sect22) du systegraveme de management de la seacutecuriteacute de lrsquoinformation
Ce document ne porte pas de jugement sur la qualiteacute de la norme Ce nrsquoest pas non plus undocument sur la meacutetrologie ou lrsquoeacutelaboration de tableaux de bord Il traite des fondamentauxsur les meacutetriques et leurs utilisations afin de mieux appreacutehender le contenu de la normeISOIEC 27004
Enfin les annexes proposeront diffeacuterents exemples de meacutetriques selon lrsquoISOIEC 27004 quipermettraient le mesurage drsquoun SMSI normeacute par lrsquoISOIEC 270012005
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 728
Les meacutetriques dans le cadre de la seacuterie 27000 - 5 - copy CLUSIF 2009
12 Lectorat
Les documents du CLUSIF sont geacuteneacuteralement agrave destination des RSSI et des DSI
Lrsquoeacutelargissement du peacuterimegravetre au mesurage de lrsquoensemble du SMSI nous incite agrave proposer une
cible sensiblement plus large incluant tous les professionnels de la seacutecuriteacute de lrsquoinformationmais aussi toutes les entiteacutes de controcircle permanent ou de gestion des risques
Comme tout texte lrsquoutiliteacute de la norme doit ecirctre eacutevalueacutee en fonction du contexte de mise enœuvre Ce document ayant eacuteteacute reacutedigeacute plus particuliegraverement pour un public de laquo non-initieacutes raquoafin de leur permettre de mieux appreacutehender le contenu de la norme les personnes au fait decette derniegravere nrsquoy trouveront peut ecirctre pas de deacuteveloppement nouveau
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 828
Les meacutetriques dans le cadre de la seacuterie 27000 - 6 - copy CLUSIF 2009
2 LES METRIQUES
21 Panorama des reacutefeacuterentiels et des bonnes pratiques
La norme ISOIEC 270022005 connue preacuteceacutedemment sous la reacutefeacuterenceISOIEC 177992005 a pour titre laquo Code of practice for information security management raquoElle met laccent sur le fait que deacutesormais linformation est une ressource essentielle delentreprise cest-agrave-dire que lrsquoinformation au mecircme titre que dautres actifs doit ecirctre prise enconsideacuteration eacutevalueacutee et proteacutegeacutee
La seacutecuriteacute de linformation vise entre autres agrave garantir la continuiteacute de lrsquoactiviteacute agrave reacuteduire lesrisques agrave optimiser le retour sur investissements ainsi que les opportuniteacutes daction pourlorganisme
Cette norme traduit une eacutevolution tendancielle des normes traitant de la seacutecuriteacute delinformation Au deacutepart il y a une quinzaine danneacutees ces normes eacutetaient plutocirct techniques etcontenaient surtout des prescriptions relatives aux systegravemes ou aux reacuteseaux informatiques
Vers le milieu des anneacutees 90 des travaux dorigine britannique ont conduit agrave eacutelaborer desdocuments dont le champ seacutetendait aux systegravemes dinformation et orienteacutes vers lesresponsabiliteacutes manageacuteriales et lorganisation des entreprises
Le plus connu de ces documents est le standard britannique BS 7799 dont la partie 1 (Code of
practice for information security management ) a servi de base agrave lISOIEC 27002
(anciennement ISOIEC 17799) et la partie 2 a servi de base agrave lISOIEC 27001 dans laquelleon trouve la notion de SMSI (Systegraveme de Management de la Seacutecuriteacute de lrsquoInformation)
Lors dune reacuteunion de lISO il a eacuteteacute deacutecideacute de regrouper les principales normes traitant duSMSI dans une laquo seacuterie ISOIEC 27000 raquo un peu comme la qualiteacute fait lobjet de la laquo seacuterieISO 9000 raquo ou lenvironnement de la laquo seacuterie ISO 14000 raquo Il est drsquoailleurs agrave noter que ces troisfamilles de normes sont coheacuterentes entre elles quant agrave lrsquoapproche manageacuteriale etorganisationnelle des thegravemes traiteacutes Il est preacutevu de disposer agrave terme des normes suivantes(liste non limitative)
ISOIEC 27000 Principles and Vocabulary
ISOIEC 27001 Information Security Management Systems ndash Requirements baseacutee surla BS 7799-2 et orienteacutee vers la certification
ISOIEC 27002 Code of practice for Information Security Management anciennementISOIEC 17799
ISOIEC 27003 ISMS Implementation
ISOIEC 27004 ISMS Measurements and metrics
ISOIEC 27005 ISMS Information security risk management
ISOIEC 27006 Information technology mdash Security techniques mdash Requirements for
bodies providing audit and certification of information security management systems
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 928
Les meacutetriques dans le cadre de la seacuterie 27000 - 7 - copy CLUSIF 2009
IISSOO 2277000011 SSMMSSII
IISSOO 2277000011 IISSOO 2277000022 MMeessuurreess ddee sseacuteeacuteccuurriitteacuteeacute
IISSOO 2277000000 VVooccaabbuullaaiirree
IISSOO 2277000066 CCeerrttiiffiiccaattiioonn ddee SSMMSSII
IISSOO 2277000055 GGeessttiioonn ddee rriissqquuee
IISSOO 2277000044 IInnddiiccaatteeuurrss SSMMSSII
IISSOO 2277000033 IImmpplleacuteeacutemmeennttaattiioonn
2005-2010 200
2005-2010 2008
Guidesusage facultatif
Exigencesusage obligatoire
dans la certification
2009
IISSOO 2277000077 AAuuddiitt ddee SSMMSSII
2009
2009
2010
Scheacutema 1 La seacuterie ISOIEC 27000
Bien sucircr dautres normes techniques continueront de traiter de la seacutecuriteacute des systegravemesdinformations En particulier nous pouvons mentionner
ISOIEC 27031 Specification for ICT Readiness for Business Continuity
ISOIEC 27032 Guidelines for Cybersecurity
ISOIEC 27033 de 1 agrave 8 IT network security (ex ISOIEC 18028)
ISOIEC 27034 Guidelines for Application Security
ISOIEC 27035 Information Security Incident Management
ISOIEC 18043 Selection deployment and operation of intrusion detection systems
(IDS)
Dautres reacutefeacuterentiels eux aussi en cours deacutevolution sont susceptibles decirctre utiliseacutes pourameacuteliorer la seacutecuriteacute de linformation Ils peuvent ainsi se trouver en concurrence avec tout oupartie des normes preacuteciteacutees Ils peuvent aussi introduire de nouvelles contraintes qui seront agraveprendre en compte dans leur mise en œuvre
Le plus connu est le CoBIT (Control Objectives of Information and related Technology)eacutelaboreacute par lISACA ( Information Systems Audit and Control Association) Il convienteacutegalement de mentionner les documents eacutemanant du COSO (Committee of Sponsoring
Organisations of the Treadway Commission) ou de diffeacuterents organismes gouvernementaux(NIST aux USA DTI au Royaume Uni hellip)
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1028
Les meacutetriques dans le cadre de la seacuterie 27000 - 8 - copy CLUSIF 2009
Scheacutema 2 La seacuterie ISOIEC 27000 et les autres reacutefeacuterentiels
De la mecircme faccedilon les lois et les regraveglements concernant la seacutecuriteacute de linformation(informations nominatives gestion de lidentiteacute reacutetention de donneacutees chiffrement hellip) sontactuellement en eacutevolution dans la plupart des pays
De nouvelles conditions de traitement de conservation ou de destruction des informations
sont ainsi agrave mettre en œuvre de faccedilon impeacuterative et de faccedilon dautant plus complexe que lesmesures de seacutecuriteacute peuvent varier dun pays agrave lautre
Des impeacuteratifs leacutegislatifs ou sectoriels peuvent aussi voir le jour et entraicircner des conseacutequencesimportantes Par exemple la loi Sarbanes-Oxley Act pour les entreprises coteacutees sur lesmarcheacutes ameacutericains la Loi sur la Seacutecuriteacute Financiegravere pour les entreprises franccedilaises Bacircle IIpour les eacutetablissements financiers ou Solvency II pour les assurances
ISO 27001Moteur de base
ISO 27004Indicateurs
CoBITGouvernance
CMMID eacute veloppements
ITIL Production
ISO 27005Appr eacuteciation des
risques
ISO 27002Bonnes pratiques ISO 27001
SAS 70
PCI - DSS
Tout autre r eacute f eacute rentielseacute curit eacute
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1128
Les meacutetriques dans le cadre de la seacuterie 27000 - 9 - copy CLUSIF 2009
22 Terminologie
Le terme laquo meacutetrique raquo nrsquoexiste pas dans la langue franccedilaise au sens ougrave il est utiliseacute dans ce
documentLe terme anglais laquo metrics raquo (a system of related measures that facilitates the quantification ofsome particular characteristic) est utiliseacute pour meacutetrologie parfois laquo traduit raquo par meacutetrique
Pour meacutemoire la meacutetrologie est la science qui sinteacuteresse aux cocircteacutes theacuteoriques et pratiques dela mesure dans tous les domaines de la science et de la technologie Plus speacutecifiquement lameacutetrologie touche lutilisation des uniteacutes la reacutealisation des eacutetalons les meacutethodes lestechniques et les appareils de mesure ainsi que la preacutecision obtenue
Les diffeacuterentes normes en rapport avec le sujet fournissent les deacutefinitions suivantes
Attribut proprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacute quantitativementou qualitativement par des moyens humains ou automatiques [ISOIEC 159392007]
Mesurage processus drsquoobtention drsquoinformation relative agrave lrsquoefficaciteacute drsquoun SMSI et demesures de seacutecuriteacute agrave lrsquoaide drsquoune meacutethode drsquoeacutevaluation drsquoune fonction drsquoeacutevaluationdrsquoun modegravele analytique et de critegraveres de deacutecision [ISOIEC 27004]
Indicateur reacutesultat de lrsquoapplication drsquoun modegravele analytique agrave une ou plusieurs variablesen relation avec les critegraveres de deacutecision ou un besoin drsquoinformation [ISOIEC 27004]
Un indicateur est la base de lrsquoanalyse et de la prise de deacutecisionCompleacutements aux deacutefinitions proposeacutees dans ce document
Meacutetrique ensemble drsquoeacuteleacutements permettant de fournir une eacutevaluation qualitative ouquantitative repreacutesentative drsquoune situation
Indicateur donneacutee objective qui preacutesente une situation du strict point de vuequantitatif Un indicateur est pertinent srsquoil est directement relieacute agrave une zone drsquoaction (ilindique ougrave il faut agir) Les indicateurs peuvent ecirctre regroupeacutes dans un tableau de bordoutil de synthegravese et de visualisation des situations deacutecrites
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1228
Les meacutetriques dans le cadre de la seacuterie 27000 - 10 - copy CLUSIF 2009
23 Positionnement des meacutetriques dans le modegravele defonctionnement
La figure ci-dessous positionne les termes laquo attribut raquo laquo meacutetrique raquo et laquo indicateur raquo
Interpreacutetation
Collecte des paramegravetres etvariables mesurables
les attributs
Repreacutesentation de lareacutealiteacute du ldquo terrainrdquo(donneacutees brutes)
Repreacutesentation de la situation
Aide agrave la deacutecision
Information quantitative ou
qualitative positionneacutee surune eacutechelle de reacutefeacuterence
Indicateurs
Meacutetriques
Tableau de Bord
Systegravemes et processus meacutetiers de lrsquoentiteacute
attributs
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situationControcircle
ISMS
Objectifs
Miseen
place
Interpreacutetation Interpreacutetation Inte rpreacutetation
Collecte des paramegravetres etvariables mesurables
les attributs
Repreacutesentation de lareacutealiteacute du ldquo terrainrdquo(donneacutees brutes)
Repreacutesentation de la situation
Aide agrave la deacutecision
Information quantitative ou
qualitative positionneacutee surune eacutechelle de reacutefeacuterence
Indicateurs
MeacutetriquesMeacutetriques
Tableau de Bord
Systegravemes et processus meacutetiers de lrsquoentiteacute
attributs
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situation
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situationControcircle
ISMS
Objectifs
Miseen
place
Miseen
place
Scheacutema 3 Repreacutesentation drsquoapregraves le document ISOIEC 27004
Exemple dans le domaine des antivirus
Nombre de postes eacutequipeacutes dun antivirus attribut
Pourcentage du nombre de postes eacutequipeacutes sur le total meacutetrique
Nombre de postes eacutequipeacutes dun antivirus dont lantivirus a eacuteteacute mis agrave jour attribut
Pourcentage de postes dont lantivirus a eacuteteacute mis agrave jour meacutetrique
A partir de lrsquoexemple ci-dessus en regroupant les deux meacutetriques nous pouvons constituer un
indicateur repreacutesentant agrave la fois le niveau de protection viral des postes de travail et lamaicirctrise du processus antiviral sur ces postes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1328
Les meacutetriques dans le cadre de la seacuterie 27000 - 11 - copy CLUSIF 2009
Les indicateurs intimement lieacutes agrave la situation que nous voulons repreacutesenter peuvent ecirctre denature diffeacuterente et avoir des finaliteacutes eacutegalement diffeacuterentes
constater une situation dans le domaine que lrsquoon veut observer
mesurer leacutecart entre le niveau existant et le niveau de lrsquoobjectif deacutefini
suivre leacutevolution des domaines geacutereacutes et analyseacutes
anticiper etou deacuteclencher la mise en œuvre de plans drsquoactions de seacutecuriteacute (agrave partir dufranchissement drsquoun seuil)
communiquer agrave partir de donneacutees analyseacutees
piloter les projets
appreacutecier le respect des lois et reacuteglementations
auditer
Dans le contexte de la mise en œuvre drsquoun SMSI et du respect du principe de la Roue deDeming (cycle PDCA) les critegraveres de choix des indicateurs doivent inteacutegrer le soucidrsquoameacutelioration permanente de la seacutecuriteacute par la veacuterification de lefficaciteacute des mesures deseacutecuriteacute valideacutees et deacuteployeacutees Ainsi il est toujours souhaitable davoir en meacutemoire quelobjectif dun indicateur de seacutecuriteacute dans le SMSI est deacutevaluer lefficaciteacute des mesures deseacutecuriteacute
Dans la suite du document le choix a eacuteteacute fait drsquoillustrer uniquement les meacutethodes de mise en
œuvre drsquoindicateurs pour les SMSI En effet le suivi de lrsquoefficaciteacute de tout systegraveme demanagement est reacutealiseacute agrave partir de ces indicateurs (cf scheacutema 3)
24 Eacuteleacutements pour la mise en œuvre des indicateurs
Afin de satisfaire les objectifs assigneacutes les indicateurs doivent respecter des conditionsparticuliegraveres et ecirctre doteacutes de qualiteacutes speacutecifiques notamment
ecirctre issus des objectifs retenus dans la politique de seacutecuriteacute
ecirctre aiseacutement quantifiables (construits agrave partir drsquoinformations ou de processus geacuteneacuterantdes informations quantifiables) afin de permettre des comparaisons (entre systegravemes ouentre peacuteriodes) Il srsquoagit le plus souvent de pourcentage de taux de ratio de moyenneetou de nombres laquo bruts raquo
les informations neacutecessaires agrave lrsquoeacutelaboration de la mesure doivent ecirctre faciles agrave obteniretou collecter En effet il faut srsquoassurer que les ressources mises en œuvre pour obtenirles donneacutees ne sont pas disproportionneacutees par rapport agrave celles concourant agrave la reacutealisationdu processus mesureacute
srsquoappuyer sur des processus laquo stables raquo et aiseacutement laquo reproductibles raquo
permettre la mesure des eacutevolutions suite agrave des actions correctives
ecirctre fiables sur la dureacutee et autoriser une analyse des eacutecarts
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1428
Les meacutetriques dans le cadre de la seacuterie 27000 - 12 - copy CLUSIF 2009
Ces caracteacuteristiques sont regroupeacutees dans certaines deacutemarches sous lacronyme laquo SMART raquoqui signifie
Specific il correspond agrave ce qui est analyseacute et met en avant la speacutecificiteacute de lattribut
Measurable il peut ecirctre mesureacute et cette mesure est objective
Attainable il est obtenu dans des conditions satisfaisantes de coucirct et de deacutelai Repeatable sa mesure est reproductible
Time dependent la mesure deacutepend de la fenecirctre de temps utiliseacutee
Les caracteacuteristiques de la mesure deacutefinies dans lAnnexe A de lrsquoactuel projet de normeISOIEC 27004 doivent ecirctre deacutefinies pour chaque indicateur
25 Exemples drsquoindicateurs
Quelques exemples drsquoindicateurs sont donneacutes ci-apregraves La liste fournie nrsquoest pas exhaustive Ilest inteacuteressant de constater que certains indicateurs sont de nature opeacuterationnelle oustrateacutegique voire opeacuterationnelle et strateacutegique
Controcircle drsquoaccegraves
pourcentage drsquoutilisateurs dont le mot de passe respecte les principes de construction
pourcentage de systegravemes accessibles depuis lrsquoexteacuterieur et comprenant un IDS agrave jour
Controcircle des codes malveillants
nombre annuel dattaques reacuteussies par deacutefaut de mise agrave jour de la base virale
deacutelai de retour agrave la normale sur attaque virale
freacutequence de mise agrave jour de la base antivirus freacutequence drsquoeacutevaluation de la conformiteacute des politiques antivirales laquo locales raquo avec la
politique laquo globale raquo
Mise en œuvre du SMSI
pourcentage de deacuteclinaisons des principes de la politique de seacutecuriteacute de lrsquoorganisme enproceacutedures opeacuterationnelles
nombre mensuel drsquoincidents de seacutecuriteacute non reacutesolus
pourcentage de comiteacutes de pilotage de seacutecuriteacute tenus en accord avec le planning
pourcentage dactions correctives non meneacutees agrave terme
Maicirctrise des deacutepenses deacutepenses lieacutees agrave la seacutecuriteacute selon diffeacuterents critegraveres nombre dalertes dincidents etc
Formation
pourcentage du budget global de formation consacreacute agrave la seacutecuriteacute des systegravemesdrsquoinformation
pourcentage de participants en fonction de la population cible agrave des sessions relatives agravela seacutecuriteacute des systegravemes drsquoinformation
taux de freacutequentation des formations aux proceacutedures dalerte par les personnes cleacutes descellules de crise
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1528
Les meacutetriques dans le cadre de la seacuterie 27000 - 13 - copy CLUSIF 2009
Seacutecuriteacute des logiciels applications
nombre de correctifs de seacutecuriteacute valideacutes apregraves analyse
taux de correctifs de seacutecuriteacute valideacutes mis en œuvre dans les deacutelais preacutevus
Seacutecuriteacute reacuteseau
nombre drsquoaudits et de tests de vulneacuterabiliteacute reacutealiseacutes sur la peacuteriode
Disponibiliteacute des services
taux de disponibiliteacute DNS accegraves internet messagerie
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1628
Les meacutetriques dans le cadre de la seacuterie 27000 - 14 - copy CLUSIF 2009
3 LES DIFFERENTS USAGES DES INDICATEURS
31 EacutevaluerCes indicateurs peuvent ecirctre reacutepartis dans les grandes familles suivantes
Les indicateurs laquo de conformiteacute raquo deacutecrivent le niveau dexigence souhaiteacute (ou constateacute)sur une mesure de seacutecuriteacute Par exemple en ce qui concerne la mesure de seacutecuriteacutelaquo Reacutealisation de sauvegardes raquo un indicateur de conformiteacute de seacutecuriteacute peut ecirctre lafreacutequence des sauvegardes ou le ratio du nombre de bandes externaliseacutees par rapport aunombre total de bandes
Les indicateurs laquo defficaciteacute raquo deacutecrivent leacutetat du fonctionnement de la mesure deseacutecuriteacute Sur le mecircme exemple de la laquo Reacutealisation de sauvegardes raquo un nombre eacuteleveacute de
tests de restaurations deacutefectueux peut deacutemontrer un mauvais fonctionnement dessauvegardes
Les indicateurs laquo defficience raquo visent agrave rapprocher lefficaciteacute de la mesure de seacutecuriteacuteau regard de limportance des moyens mis en œuvre
32 Piloter
Toute activiteacute (production projet processus etc) implique la deacutetermination drsquoindicateurs depilotage Ces derniers permettent
drsquoappreacutecier lavancement correct du projet drsquoeacutevaluer une situation
de deacutetecter un risque
de deacuteclencher une alerte
Le choix des indicateurs peut deacutependre des objectifs de lrsquoactiviteacute (coucircts deacutelais performanceetc) mais aussi ecirctre lieacute agrave des processus transverses (management support etc)
Nous pourrons ainsi avoir les indicateurs suivants sur diffeacuterentes eacutechelles de temps anneacuteemois semaine jour
nombre de machines infecteacutees par des virus nombre de machines
nombre de messages infecteacutes par des virus nombre de messages
nombre de machines agrave jour nombre de machines
temps moyen et maximum de mise agrave jour du parc
nombre drsquoattaques virales identifieacutees bloqueacutees exeacutecuteacutees
impact de ses attaques en heures de travail perdues financier
raison des infections mise agrave jour non effectueacutee seacutecuriteacute non appliqueacutee malveillancehellip
variation du taux drsquoinfection et tentatives drsquoinfection sur les 12 derniers mois
etc
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1728
Les meacutetriques dans le cadre de la seacuterie 27000 - 15 - copy CLUSIF 2009
Ces indicateurs peuvent aussi ecirctre eacuteleacutementaires ou plus syntheacutetiques Par exemplelrsquoagreacutegation de certains indicateurs informatiques avec les indicateurs eacuteconomiques Lelaquo Ratio du nombre annuel drsquoaccords de confidentialiteacutes (NDA ndash Non disclosure agreement)signeacutes par rapport au nombre de prestataires preacutesents dans lrsquoorganisme raquo en est un exemple
33 Communiquer
Des indicateurs sont aussi utiliseacutes pour communiquer en interne ou en externe Leur naturesera diffeacuterente en fonction des acteurs viseacutes et de leur objectif de communication(sensibiliser faire passer des ideacutees justifierhellip)
Par exemple pour communiquer autour de la lutte antivirale
nombre drsquoheures de travail perdues suite agrave une attaque virale
variation du taux drsquoinfection sur les douze derniers mois (justification du budget)
nombre drsquoattaques virales provenant drsquoun support externe
34 Sautoeacutevaluer
Cette eacutevaluation peut ecirctre reacutealiseacutee en interne par lrsquoeacutequipe en charge de la fonction comme parlrsquoeacutequipe drsquoaudit ou de controcircle interne
Elle se situe par rapport agrave un reacutefeacuterentiel interne ou externe ou par rapport agrave un objectifarbitraire ou reacutesultant drsquoune expeacuterience passeacutee et deacutejagrave mesureacutee
Les indicateurs citeacutes comme exemple dans les paragraphes preacuteceacutedents peuvent notammentservir dans le cadre drsquoune autoeacutevaluation
35 Contribuer agrave lrsquoobtention drsquoune certification
Ces indicateurs servent agrave
appreacutecier lrsquoavancement dans le processus de certification
obtenir la certification
et surtout la conserver
Sans ecirctre obligatoire pour lrsquoobtention de la certification ISOIEC 270012005 la mise enplace drsquoindicateurs simplifie grandement le cheminement vers celle-ci
36 Reacutepondre agrave un audit
Les indicateurs servent agrave informer lrsquoauditeur agrave justifier des mesures de seacutecuriteacute mises enplace et des correctifs en cours
Les indicateurs preacutesenteacutes lors drsquoaudits contribuent agrave lrsquoanalyse de risque et srsquoappreacutecient parrapport agrave un reacutefeacuterentiel externe
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1828
Les meacutetriques dans le cadre de la seacuterie 27000 - 16 - copy CLUSIF 2009
4 LES TRAVAUX NORMATIFS EN COURS
(ISOIEC 27004)
Ce document a eacuteteacute reacutedigeacute alors que la norme ISOIEC 27004 nrsquoeacutetait pas stabiliseacutee (versionCD) il est toutefois permis de penser que lrsquointeacuterecirct du document justifie les travaux entreprisci-apregraves sous reacuteserve de possibles eacutevolutions
Ce projet de norme au sein de la seacuterie 27000 constitue un guide [agrave usage facultatif] delaquo Mesurage et meacutetriques raquo dans le cadre drsquoun SMSI (Systegraveme de Management de la Seacutecuriteacutede lrsquoInformation) tel que deacutefini dans lrsquoISOIEC 270012005
Les domaines suivants sont abordeacutes
preacutesentation du processus de mesurage
rocircles et responsabiliteacutes
conception des indicateurs production et mise en forme des indicateurs
analyse et reporting
ameacutelioration du processus de mesurage
Une premiegravere annexe preacutesente un modegravele commenteacute drsquoune fiche drsquoindicateur (cf Annexe A)La seconde annexe preacutesente plusieurs exemples drsquoattributs de meacutetriques ou drsquoindicateurs (cfAnnexe B)
41 Concepts de meacutetriquesUn processus de mesure a pour but de veacuterifier que les objectifs de seacutecuriteacute fondeacutes notammentsur lrsquoanalyse de risque et la conformiteacute aux dispositions leacutegales et reacuteglementaires sontatteints
Il se compose de phases de collecte drsquoinformations et drsquoanalyse Par comparaison agrave descritegraveres de deacutecision ces phases permettent lrsquoobtention drsquoinformations de seacutecuriteacute etlrsquoameacutelioration continue du management de la seacutecuriteacute
Les mesures peuvent ecirctre eacuteleacutementaires ou deacuteriveacutees
une mesure eacuteleacutementaire1
est la valeur drsquoun laquo attribut raquo obtenue par une meacutethode decalcul
une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesureseacuteleacutementaires
Pour chaque type de mesure (eacuteleacutementaire ou deacuteriveacutee) il convient de faire en sorte que desobjectifs de conformiteacute ou de performance soient mis en eacutevidence
Le modegravele du processus de mesure proposeacute comprend un processus de remonteacutee demesures eacuteleacutementaires et de mesures deacuteriveacutees qui contribuent agrave la fabrication drsquoindicateurslesquels seront compareacutes individuellement agrave leur critegravere de deacutecision Lrsquoefficaciteacute du systegraveme
1 Une mesure eacuteleacutementaire peut dans certains cas correspondre directement agrave un indicateur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1928
Les meacutetriques dans le cadre de la seacuterie 27000 - 17 - copy CLUSIF 2009
de management srsquoappreacutecie en comparant les reacutesultats issus des mesures effectueacutees avec leursobjectifs initiaux
Dans le projet de norme les preacutecisions suivantes sont apporteacutees
les objectifs du processus de mesure sont clairement eacutetablis (eacutevaluer fournir des
donneacutees faciliter lrsquoeacutevolution communiquer) En revanche le peacuterimegravetre sur lequelsrsquoapplique ce processus ainsi que la meacutethodologie drsquoimpleacutementation restent agrave lrsquoinitiativede chacun
lrsquoimplication du management dans le processus de mesure est souligneacutee notamment surson engagement ses responsabiliteacutes et les ressources agrave mettre en œuvre
les diffeacuterents rocircles qui devraient ecirctre assigneacutes par le Management concernant leprocessus de mesure sont preacuteciseacutes le fournisseur le client le collecteur lecommunicateur le reacute-examinateur (cf deacutefinitions dans lrsquoannexe A du preacutesentdocument) Ces diffeacuterents rocircles devront faire lrsquoobjet de proceacutedures drsquohabilitationprenant en compte les contraintes de seacuteparation des tacircches et les compeacutetencestechniques neacutecessaires
42 Concevoir des meacutetriques
Des meacutetriques doivent ecirctre creacuteeacutes pour eacutevaluer lrsquoefficaciteacute du SMSI controcircler lrsquoatteinte desobjectifs identifier valider et ameacuteliorer les mesures de seacutecuriteacute speacutecifiques
Pour cela il faut pour chaque meacutetrique agrave partir drsquoune analyse de risque et de lrsquoeacutetat initial
identifier et choisir des objectifs
documenter et planifier lrsquoactiviteacute de mesurage (lrsquoannexe A du preacutesent document
preacutesente un modegravele de fiche sur ce thegraveme) en particulier concernant la meacutethode decollecte de stockage drsquoarchivage de veacuterification et drsquoanalyse des donneacutees ainsi que lamise en place du processus de mesurage
deacutefinir les principaux acteurs et les ressources neacutecessaires
srsquoassurer de la pertinence des mesurages qui devraient veacuterifier les critegraveres SMART(Specific Measurable Attainable Repeatable Time dependant)
43 Mettre en place des meacutetriques
La mise en place permanente de la collecte de la conservation et de lrsquoanalyse des donneacutees apour but drsquoassurer la compreacutehension et lrsquoameacutelioration du SMSI Ce processus doitaccompagner les eacutevolutions du SMSI
Cette rubrique dans le projet de norme constitue un guide pratique opeacuterationnel qui preacuteciseles conditions de
collecte des donneacutees (en speacutecifiant la date lrsquoheure le proprieacutetairehellip)
validation
traitement
diffusion
conservation
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2028
Les meacutetriques dans le cadre de la seacuterie 27000 - 18 - copy CLUSIF 2009
Il importe que les reacutesultats des indicateurs servent agrave eacutevaluer lrsquoefficaciteacute des dispositifs deseacutecuriteacute (de preacutevention deacutetection correction ou reacutecupeacuteration) en place Dans un secondtemps cette base drsquoindicateurs constitueacutee permettra de soutenir un processus de deacutecision dansle choix de nouveaux dispositifs
44 Utiliser communiquer et ameacuteliorer les meacutetriques
Lrsquoanalyse des donneacutees et leur interpreacutetation consistent agrave les rapprocher des critegraveres dedeacutecision preacutealablement deacutefinis (Annexe A)
Le but de lrsquoanalyse est de pouvoir identifier les eacutecarts entre la performance attendue et cellereacutealiseacutee Les causes de non-conformiteacute et de mauvaise performance pourront ecirctre ainsiidentifieacutees en fonction des dispositifs de seacutecuriteacute qui
ne sont pas opeacuterationnels
sont impleacutementeacutes mais ne fonctionnement pas correctement sont impleacutementeacutes fonctionnent correctement mais ne couvrent pas les menaces
estimeacutees
sont impleacutementeacutes fonctionnent correctement mais toutes les menaces ne sont pascouvertes
Les conclusions des analyses devraient ecirctre revues par toutes les parties prenantes ndash dans lesens laquo stakeholders raquo ndash pour assurer la bonne interpreacutetation de la donneacutee A cette fin lesreacutesultats des analyses devraient ecirctre suffisamment documenteacutes
La consolidation de ces reacutesultats devra intervenir dans des tableaux de bord pour unecommunication agrave qui de droit
Les mesures peuvent ecirctre utiliseacutees agrave diverses fins
eacutevaluer lrsquoefficaciteacute des dispositifs de seacutecuriteacute
critiquer les appreacuteciations et les traitements des risques
deacutemontrer les progregraves
se comparer au sein ou entre organisations
45 Ameacuteliorer le processus de mesure
Lrsquoefficaciteacute du processus de mesure doit ecirctre examineacutee peacuteriodiquement afin de lrsquoameacuteliorerNeacuteanmoins les donneacutees de base doivent faire lrsquoobjet de sauvegardes reacuteguliegraveres et peacuterennesafin de pouvoir recalculer les meacutetriques en fonction de leurs diffeacuterentes eacutevolutions
Des eacutevolutions peuvent ecirctre envisageacutees quand lrsquoorganisation introduit de nouveaux objectifsde mesure points de mesure de nouvelles meacutethodes ou fonctions de mesure
Le processus de mesure devrait ecirctre eacutevalueacute en termes drsquoutiliteacute et reacuteexamineacute agrave chaque fois quelrsquoorganisation change Il importe de srsquoassurer que les mesures reflegravetent un eacutetat agrave jour de laseacutecuriteacute et de veacuterifier que les donneacutees sous-jacentes sont encore valides Il est eacutegalementimportant de valider la pertinence des hypothegraveses
Il srsquoagit aussi drsquoeacutevaluer lrsquoutiliteacute de la mesure et le coucirct du processus de mesure afin dedeacuteterminer la pertinence de sa modification ou de sa suppression
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2128
Les meacutetriques dans le cadre de la seacuterie 27000 - 19 - copy CLUSIF 2009
5 CONCLUSION
LrsquoISOIEC 270012005 insiste sur lrsquoimportance de mesurer lrsquoefficaciteacute des processus du
SMSI des mesures de seacutecuriteacute mises en œuvre et du processus de mesurage lui-mecircme2
Cependant cette norme ne preacutecise pas comment mesurer cette efficaciteacute Elle se contentedrsquoindiquer qursquoune meacutethode est agrave deacutefinir
A cette fin le preacutesent document apporte un eacuteclairage aux RSSI auditeurs internes acteurs ducontrocircle permanent et managers dans la deacutefinition et la mise en œuvre des indicateurs adapteacutesagrave leurs exigences selon des processus qui devraient figurer dans la norme ISOIEC 27004
LrsquoISOIEC 27004 est un guide qui compleacutetera lrsquoISOIEC 270012005 en fournissant deslignes directrices et des conseils sur
la conception
la mise en œuvre
lrsquoanalyse et la communication des reacutesultats
lrsquoameacutelioration du processus de mesurage drsquoun SMSI
Cette future norme devrait ecirctre publieacutee prochainement La seacuterie ISOIEC 27000 a eacuteteacutecompleacuteteacutee de lrsquoISOIEC 270052008 et de lrsquoISOIEC 27003 (preacutevue en 2009) qui traitentrespectivement de la gestion du risque et de la mise en œuvre drsquoun SMSI
2 cf clauses 02c 02d 422d 423c 431g 72f et 73e
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2228
Les meacutetriques dans le cadre de la seacuterie 27000 - 20 - copy CLUSIF 2009
ANNEXE A FICHE DESCRIPTIVE
Modegravele de fiche descriptive drsquoune mesure
Cette fiche est inspireacutee de lrsquoISOIEC FCD 27004
Identification de la mesure
Nom de la mesure Nom de la mesure
Identifiant de la mesure Identifiant numeacuterique unique speacutecifique agrave lrsquoorganisme
Objectif de la mesureDeacutecrit lrsquoobjectif de la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure de
seacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (1)Facultatif Deacutecrit la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure deseacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (2)Facultatif Deacutecrit dautres mesures de seacutecuriteacute (agrave mettre ou deacutejagrave mise en œuvre) faisant lrsquoobjet le caseacutecheacuteant de la mecircme mesure (reacutefeacuterence aux mesures de seacutecuriteacute de lrsquoannexe A de la normeISO 27001)
Objectif de la mesure Deacutefinit le but de la mesure
Reacute examinateurPersonne ou uniteacute organisationnelle qui examine et valide que les critegraveres deacutevaluation de la mesuresont approprieacutes pour veacuterifier lefficaciteacute des mesures de seacutecuriteacute et des processus du SMSI
Objets du mesurage et attributs
Objet du mesurage
Objet qui doit ecirctre mesureacute et qui est caracteacuteriseacute par la mesurabiliteacute de ses attributs Les objets peuvent
comprendre des processus des systegravemes ou des composants de systegravemes
AttributsProprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacutee quantitativement ou qualitativementpar des moyens humains ou automatiques
Speacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesUne mesure eacuteleacutementaire est deacutefinie en fonction dun attribut et de la meacutethode de mesurage speacutecifieacuteepour le quantifier (par exemple le nombre de personnel formeacute le nombre de sites le coucirct cumuleacute agravece jour) Au moment ougrave la donneacutee est collecteacutee une valeur est affecteacutee agrave une mesure eacuteleacutementaire
Meacutethodes de mesurage Suite logique drsquoopeacuterations qui permettent de quantifier un attribut selon une eacutechelle
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure eacuteleacutementaire
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesures eacuteleacutementaires
Fonction de mesurageSuite logique drsquoopeacuterations qui permettent de calculer la mesure deacuteriveacutee Pour les mesures deacuteriveacutees lafonction par laquelle les mesures deacuteriveacutees fondeacutees sur des mesures eacuteleacutementaires correspondantes etla preacutecision cumulative reacutesultante sont agreacutegeacutees
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure deacuteriveacutee
Speacutecification de lrsquoindicateur
Description dindicateur etexemple
Preacutesentation dune ou plusieurs mesures (eacuteleacutementaires ou deacuteriveacutees) qui fournit une estimation ou uneeacutevaluation dattributs speacutecifieacutes reacutesultant dun modegravele analytique en ce qui concerne des besoins delinformation deacutefinis Un indicateur est souvent preacutesenteacute agrave lrsquoaide drsquoun graphique ou drsquoun diagrammeInclure un croquis de lindicateur
Modegravele analytique Algorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires etou deacuteriveacutees avec lescritegraveres de deacutecision associeacutes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2328
Les meacutetriques dans le cadre de la seacuterie 27000 - 21 - copy CLUSIF 2009
Critegravere de deacutecisionSeuil cible ou modegravele utiliseacute pour deacuteterminer la neacutecessiteacute dune action ou un compleacutement denquecircteou pour deacutecrire le niveau de confiance dans un reacutesultat donneacute
Interpreacutetation dindicateurDescription de la faccedilon dont lindicateur exemple (voir la figure exemple dans la description delindicateur) devrait ecirctre interpreacuteteacute
Effets impact Deacutefinition des effets et de lrsquoimpact issu des reacutesultats obtenus par la mesure
Causes drsquoeacutecart Deacutefinition des causes possibles agrave lrsquoorigine drsquoeacutecarts des reacutesultats
Valeurs positivesDeacuteclaration expliquant si les valeurs en laquo croissance raquo indiquent des tendances positives (bonreacutesultat) ou si les valeurs en laquo deacutecroissance raquo doivent ecirctre consideacutereacutees comme des tendancespositives
Format de restitution
Le format de la restitution devrait ecirctre preacuteciseacute et documenteacute Il deacutecrit les observations quelrsquoorganisation ou le proprieacutetaire de lrsquoinformation peut vouloir sur lrsquoenregistrement Les formats derapport deacutecriront visuellement les mesures et fourniront une explication verbale des indicateurs Ilsdevraient ecirctre personnaliseacutes en fonction du laquo client de linformation raquo (ce terme est deacutefini ci-apregraves)
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des
donneacutees
Freacutequence agrave laquelle les donneacutees sont collecteacutees
Fournisseur de lrsquoinformationPersonne ou uniteacute organisationnelle qui deacutetient lrsquoinformation pour creacuteer les mesures eacuteleacutementairesCelui qui va contribuer agrave la meacutetrique produire lrsquoinformation pour le calcul de la meacutetrique
Collecteur de lrsquoinformationPersonne ou uniteacute organisationnelle en charge de collecter enregistrer et stocker les informationsCelui qui va obtenir la meacutetrique
Outils utiliseacutes dans la collectedes donneacutees
Liste les outils utiliseacutes dans la collecte des donneacutees (par exemple un scanner de vulneacuterabiliteacute)
Conservation des donneacuteescollecteacutees
Liste les outils ougrave les donneacutees sont conserveacutees apregraves avoir eacuteteacute collecteacutees (par exemple une base dedonneacutees)
Date de collecte Date agrave laquelle la donneacutee devrait ecirctre obtenue
Proceacutedure drsquoenregistrement
des donneacuteesDeacutefinit la proceacutedure drsquoenregistrement des donneacutees (lien vers la proceacutedure correspondante)
Validiteacute de la mesure Date de reacutevision (date drsquoexpiration ou de validiteacute de renouvellement) de la mesure
Peacuteriode drsquoanalyse Deacutefinit la peacuteriode mesureacutee
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitutiondes donneacutees
Freacutequence agrave laquelle les donneacutees sont restitueacutees (cette freacutequence peut ecirctre infeacuterieure agrave celle decollecte)
Communicateur delrsquoinformation
Personne ou uniteacute organisationnelle responsable de lrsquoanalyse de lrsquoinformation et de la communicationdes reacutesultats des mesuresCelui qui va analyser la meacutetrique
Source drsquoinformation pour
lrsquoanalyse
Liste les sources drsquoinformation utiles pour lrsquoanalyse de reacutesultats (documents journaux entretien
etc)Outils utiliseacutes dans lrsquoanalyse Liste les outils utiliseacutes pour lrsquoanalyse (par exemple des outils statistiques)
Client de lrsquoinformationLa personne ou lrsquouniteacute organisationnelle qui demande ou requiert les mesures pour les besoins de sonactiviteacuteCelui qui va utiliser la meacutetrique
Information compleacutementaire
Conseils danalyseCompleacutementaires
Fournit des conseils compleacutementaires sur les variations de cette mesure
Consideacuterations de mise enœuvre
Liste les processus ou les exigences de mise en œuvre qui sont neacutecessaires pour la reacuteussite de la miseen œuvre
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2428
Les meacutetriques dans le cadre de la seacuterie 27000 - 22 - copy CLUSIF 2009
Exemple drsquoutilisation de la fiche
Identification de la mesure
Nom de la mesure Revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Identifiant de la mesure R1-A1124
Objectif de la mesure de seacutecuriteacuteA1124 [270012005]
Mesure de seacutecuriteacute (1)Les managers doivent dans leur peacuterimegravetre reacuteexaminer les droits drsquoaccegraves des utilisateurs agraveintervalles reacuteguliers par le biais drsquoun processus formel
Mesure de seacutecuriteacute (2) Revue des accegraves au reacuteseau informatique
Objectif de la mesure
Mesurer le pourcentage de manager deacuteclarant avoir effectueacute des controcircles sur les droits drsquoaccegravesutilisateurs de leur peacuterimegravetre ce qui permet drsquoeacutevaluer
bull la prise de conscience des managers vis-agrave-vis des risques drsquoaccegraves non fondeacutesfrauduleux ou obsolegravetes aux SI
bull lrsquoimplication du management dans le processus de maicirctrise et de gestion du risqueinformatique
Reacute examinateur Direction des Risques
Objets du mesurage et attributs
Objet du mesurage Processus de revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Attributs Attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateursSpeacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesExistence drsquoune attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateurs parchacun des managers
Meacutethodes de mesurageTous les trimestres les managers enverront un email standardiseacute au Deacutepartement Seacutecuriteacute desSI attestant que les accegraves des utilisateurs ont eacuteteacute revus pour leur peacuterimegravetre
Echelle Numeacuterique
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Taux drsquoattestations retourneacutees par les managers sur le trimestre eacutetudieacute
Fonction de mesurage
Taux dattestations retourneacutees par les managers sur le trimestre eacutetudieacute = (nombre dattestations
retourneacutees par les managers Total dattestations attendues dans le trimestre) 100
Echelle Ratio pourcentage
Speacutecification de lrsquoindicateur
Description dindicateur et exemple Courbe montrant lrsquoindicateur sur plusieurs peacuteriodes de restitution
Modegravele analytique
Satisfaisant si gt= 90Globalement satisfaisant si 80 lt lt 90Moyennement satisfaisant si 70 lt= lt= 80Insatisfaisant si lt 70
Critegravere de deacutecision Seuil min 80
Interpreacutetation dindicateurUn reacutesultat insatisfaisant indique un manque drsquoengagement des managers dans la gestion des
risques lieacutes agrave la seacutecuriteacute des SIEffets impact Si reacutesultats insatisfaisants lrsquoindicateur est remonteacute agrave la Direction Geacuteneacuterale pour action
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2528
Les meacutetriques dans le cadre de la seacuterie 27000 - 23 - copy CLUSIF 2009
Causes drsquoeacutecart Les reacuteorganisations fonctionnelles de lrsquoentreprise
Valeurs positives Des valeurs croissantes indiquent des tendances positives
Format de restitution Tableau Excel standardiseacute
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des donneacutees Trimestrielle
Fournisseur de lrsquoinformation Chaque manager
Collecteur de lrsquoinformation Le RSSI
Outils utiliseacutes dans la collecte desdonneacutees
Mail courrier
Conservation des donneacutees collecteacutees Reacutepertoire speacutecifique du disque reacuteseau
Date de collecte Pour le 15 de chaque deacutebut de trimestre
Proceacutedure drsquoenregistrement desdonneacutees
EhellipNOV08R1-A11-2-4XLS
Validiteacute de la mesure Annuelle
Peacuteriode drsquoanalyse Du 1er janvier au 31 deacutecembre de lrsquoanneacutee en cours
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitution desdonneacutees
Trimestrielle
Communicateur de lrsquoinformation Le RSSI
Source drsquoinformation pour lrsquoanalyse Rapports drsquoentretiens
Outils utiliseacutes dans lrsquoanalyse Excel
Client de lrsquoinformation Direction des Risques
Information compleacutementaire
Conseils danalyse Compleacutementaires NA
Consideacuterations de mise en œuvre NA
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2628
Les meacutetriques dans le cadre de la seacuterie 27000 - 24 - copy CLUSIF 2009
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE
METRIQUES ET OU DrsquoINDICATEURS
Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI
Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A8 Seacutecuriteacute lieacutee aux ressources humaines
A81 Avant le recrutement
A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute
A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat
A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur
A82 Pendant la dureacutee du contrat
A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute
A822 Sensibilisation qualification et formations
en matiegravere de seacutecuriteacute de lrsquoinformation
Nombre de personnes formeacutees an
A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque
A83 Fin ou modification du contrat
A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat
A832 Restitution des actifs Coucirct des biens non rendus en fin de mission
A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai
A9 Seacutecuriteacute physique et environnementale
A91 Zones seacutecuriseacutees
A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees
A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)
A913 Seacutecurisation des bureaux des salles et deseacutequipements
Nombre annuel de disparition de biens informatiques dans les locaux
A914 Protection contre les menaces exteacuterieures etenvironnementales
Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle
A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 328
Les meacutetriques dans le cadre de la seacuterie 27000 - I - copy CLUSIF 2009
REMERCIEMENTS
Le CLUSIF tient agrave mettre ici agrave lhonneur les personnes qui ont rendu possible la reacutealisation dece document tout particuliegraverement
Nicolas ANDREU Devoteam
Reacutegis BOURDONNEC BNP Paribas Assurance
Anne COAT SEKOIA SAS
Henri CODRON SCHINDLER
Jean-Marc DELTEIL France Telecom
Freacutedeacuteric HUYNH Ernst amp Young
Franccedilois JOLIVET Socieacuteteacute Geacuteneacuterale
Laurent MARECHAL Hapsis
Fred MESSIKA SEKOIA SAS
Geacuterard REMY Devoteam
Paul RICHY France Telecom
Herveacute SCHAUER HSC
ainsi que les personnes ayant participeacute agrave la relecture
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 428
Les meacutetriques dans le cadre de la seacuterie 27000 - II - copy CLUSIF 2009
TABLE DES MATIERES
NOTE AUX LECTEURS III
1 INTRODUCTION 4
11 OBJECTIF DE CE DOCUMENT 4 12 LECTORAT 5
2 LES METRIQUES 6
21
PANORAMA DES REFERENTIELS ET DES BONNES PRATIQUES 6 22 TERMINOLOGIE 9
23 POSITIONNEMENT DES METRIQUES DANS LE MODELE DE FONCTIONNEMENT 10 24 EacuteLEMENTS POUR LA MISE EN ŒUVRE DES INDICATEURS 11 25 EXEMPLES DrsquoINDICATEURS 12
3 LES DIFFERENTS USAGES DES INDICATEURS 14
31 EacuteVALUER 14 32 PILOTER 14 33 COMMUNIQUER 15 34 SAUTOEVALUER 15 35 CONTRIBUER A LrsquoOBTENTION DrsquoUNE CERTIFICATION 15 36 REPONDRE A UN AUDIT 15
4 LES TRAVAUX NORMATIFS EN COURS (ISOIEC 27004) 16 41 CONCEPTS DE METRIQUES 16 42 CONCEVOIR DES METRIQUES 17 43 METTRE EN PLACE DES METRIQUES 17 44 UTILISER COMMUNIQUER ET AMELIORER LES METRIQUES 18 45 AMELIORER LE PROCESSUS DE MESURE 18
5 CONCLUSION 19
ANNEXE A FICHE DESCRIPTIVE 20
MODELE DE FICHE DESCRIPTIVE DrsquoUNE MESURE 20 EXEMPLE DrsquoUTILISATION DE LA FICHE 22
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE METRIQUES ETOU DrsquoINDICATEURS 24
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 528
Les meacutetriques dans le cadre de la seacuterie 27000 - III - copy CLUSIF 2009
NOTE AUX LECTEURS
La langue anglaise comprend plusieurs mots laquo control raquo laquo measure raquo laquo measurement raquo
laquo security measure raquo qui se traduisent geacuteneacuteralement en franccedilais par le mot laquo mesure raquo ilconvient donc de preacuteciser le peacuterimegravetre et la deacutefinition retenue pour chacun de ces mots dans lasuite du document afin drsquoeacuteviter les ambiguiumlteacutes de traduction Ainsi pour la suite nousutilisons les correspondances suivantes
laquo Control raquo = mesure de seacutecuriteacute doit se comprendre comme un ensemble dedispositions agrave mettre en œuvre Ce sont les laquo mesures agrave prendre raquo pour mettre en œuvreune politique de seacutecuriteacute laquo Control raquo ne se rattache donc pas directement agrave la notion demeacutetrique
laquo Measure raquo = valeur mesureacutee est deacutefini comme laquo la valeur raquo de la mesure ilsrsquoagit donc drsquoune valeur quantitative reacutesultat de la laquo mesure de la mesure de seacutecuriteacute raquo
laquo Measurement raquo = mesurage est expliciteacute dans le glossaire (cf sect22) comme eacutetant lelaquo processus de mesurage raquo il srsquoagit agrave un niveau soit eacuteleacutementaire soit plus global de lalaquo mise en œuvre de meacutetriques raquo laquo measurement raquo couvre donc la deacutefinition le choixle deacuteploiement et lrsquoeacutevaluation drsquoindicateurs
laquo Security measure raquo = mesure de seacutecuriteacute (voir la deacutefinition de laquo Control raquo)
Dans ce document le terme laquo mesure raquo employeacute seul deacutesigne le reacutesultat de lrsquoaction demesurer et ne correspond donc pas agrave laquo mesure de seacutecuriteacute raquo
___
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 628
Les meacutetriques dans le cadre de la seacuterie 27000 - 4 - copy CLUSIF 2009
1 INTRODUCTION
Lrsquoun des objectifs suivis lors de la mise en œuvre au sein drsquoun organisme drsquoune politique de
seacutecuriteacute du systegraveme drsquoinformation est drsquoapporter ou de renforcer la confiance en celui-ciCette confiance traduit lrsquoune des exigences des diffeacuterents acteurs (internautes clientsfournisseurs actionnaires hellip) ou de lrsquoorganisme lui-mecircme (entreprise administration ONGtiers de confiance ) lors drsquoune transaction commerciale du deacuteveloppement de son activiteacutepour la conservation de donneacutees numeacuteriques hellip
La notion de laquo niveau de seacutecuriteacute raquo est souvent utiliseacutee par abus de langage pourlaquo eacutetalonner raquo cette confiance Cela pour signifier que lrsquoon veut ecirctre laquo sucircr raquo de son SI ou pourlaquo garantir raquo que des mesures de seacutecuriteacute ont eacuteteacute mises en œuvre et qursquoelles permettent dereacuteduire lrsquoexposition aux risques agrave un niveau laquo acceptable raquo
Lrsquoappreacuteciation de lrsquoatteinte des objectifs de seacutecuriteacute ainsi que la pondeacuteration agrave affecter aux
diffeacuterentes theacutematiques de seacutecuriteacute (plan de continuiteacute seacutecuriteacute physique des infrastructuresgestion des identiteacutes hellip) demeurent des questions drsquoactualiteacute Il est difficile drsquoindiquer parmidiffeacuterentes mesures de seacutecuriteacute deacuteployeacutees celles qui auront le plus de valeur ajouteacutee sur leniveau de protection du systegraveme drsquoinformation
La confiance accordeacutee agrave la seacutecuriteacute du systegraveme drsquoinformation se mesure notamment parrapport agrave une politique constitueacutee par des processus et des objectifs suivant une deacutemarcheformaliseacutee pour les atteindre Le respect de ces conditions permet de se positionner dans uneperspective de maicirctrise du systegraveme de management de la seacutecuriteacute de lrsquoinformation (SMSI) oudrsquoeacutevaluation des mesures de seacutecuriteacute mises en place
La norme ISOIEC 27004 fournit une reacuteponse structureacutee et normaliseacutee pour laquo mesurer raquo la
performance drsquoun SMSI dans le cadre de lrsquoISOIEC 270012002
11 Objectif de ce document
Lors de ses preacuteceacutedents travaux sur les normes de la seacuterie 27000 le CLUSIF a deacuteveloppeacute dequelle maniegravere
la norme ISOIEC 270012005 permet le Management de la seacutecuriteacute de linformationpar une approche normative
la norme ISOIEC 270022005 fournit les mesures de seacutecuriteacute permettant de reacutepondre agrave
ses exigencesLrsquoobjectif de ce document est de preacutesenter au lecteur des concepts geacuteneacuteraux pouvant ecirctreutiliseacutes pour deacutefinir des indicateurs et une meacutetrique permettant les laquo mesurages raquo (voirdeacutefinition au sect22) du systegraveme de management de la seacutecuriteacute de lrsquoinformation
Ce document ne porte pas de jugement sur la qualiteacute de la norme Ce nrsquoest pas non plus undocument sur la meacutetrologie ou lrsquoeacutelaboration de tableaux de bord Il traite des fondamentauxsur les meacutetriques et leurs utilisations afin de mieux appreacutehender le contenu de la normeISOIEC 27004
Enfin les annexes proposeront diffeacuterents exemples de meacutetriques selon lrsquoISOIEC 27004 quipermettraient le mesurage drsquoun SMSI normeacute par lrsquoISOIEC 270012005
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 728
Les meacutetriques dans le cadre de la seacuterie 27000 - 5 - copy CLUSIF 2009
12 Lectorat
Les documents du CLUSIF sont geacuteneacuteralement agrave destination des RSSI et des DSI
Lrsquoeacutelargissement du peacuterimegravetre au mesurage de lrsquoensemble du SMSI nous incite agrave proposer une
cible sensiblement plus large incluant tous les professionnels de la seacutecuriteacute de lrsquoinformationmais aussi toutes les entiteacutes de controcircle permanent ou de gestion des risques
Comme tout texte lrsquoutiliteacute de la norme doit ecirctre eacutevalueacutee en fonction du contexte de mise enœuvre Ce document ayant eacuteteacute reacutedigeacute plus particuliegraverement pour un public de laquo non-initieacutes raquoafin de leur permettre de mieux appreacutehender le contenu de la norme les personnes au fait decette derniegravere nrsquoy trouveront peut ecirctre pas de deacuteveloppement nouveau
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 828
Les meacutetriques dans le cadre de la seacuterie 27000 - 6 - copy CLUSIF 2009
2 LES METRIQUES
21 Panorama des reacutefeacuterentiels et des bonnes pratiques
La norme ISOIEC 270022005 connue preacuteceacutedemment sous la reacutefeacuterenceISOIEC 177992005 a pour titre laquo Code of practice for information security management raquoElle met laccent sur le fait que deacutesormais linformation est une ressource essentielle delentreprise cest-agrave-dire que lrsquoinformation au mecircme titre que dautres actifs doit ecirctre prise enconsideacuteration eacutevalueacutee et proteacutegeacutee
La seacutecuriteacute de linformation vise entre autres agrave garantir la continuiteacute de lrsquoactiviteacute agrave reacuteduire lesrisques agrave optimiser le retour sur investissements ainsi que les opportuniteacutes daction pourlorganisme
Cette norme traduit une eacutevolution tendancielle des normes traitant de la seacutecuriteacute delinformation Au deacutepart il y a une quinzaine danneacutees ces normes eacutetaient plutocirct techniques etcontenaient surtout des prescriptions relatives aux systegravemes ou aux reacuteseaux informatiques
Vers le milieu des anneacutees 90 des travaux dorigine britannique ont conduit agrave eacutelaborer desdocuments dont le champ seacutetendait aux systegravemes dinformation et orienteacutes vers lesresponsabiliteacutes manageacuteriales et lorganisation des entreprises
Le plus connu de ces documents est le standard britannique BS 7799 dont la partie 1 (Code of
practice for information security management ) a servi de base agrave lISOIEC 27002
(anciennement ISOIEC 17799) et la partie 2 a servi de base agrave lISOIEC 27001 dans laquelleon trouve la notion de SMSI (Systegraveme de Management de la Seacutecuriteacute de lrsquoInformation)
Lors dune reacuteunion de lISO il a eacuteteacute deacutecideacute de regrouper les principales normes traitant duSMSI dans une laquo seacuterie ISOIEC 27000 raquo un peu comme la qualiteacute fait lobjet de la laquo seacuterieISO 9000 raquo ou lenvironnement de la laquo seacuterie ISO 14000 raquo Il est drsquoailleurs agrave noter que ces troisfamilles de normes sont coheacuterentes entre elles quant agrave lrsquoapproche manageacuteriale etorganisationnelle des thegravemes traiteacutes Il est preacutevu de disposer agrave terme des normes suivantes(liste non limitative)
ISOIEC 27000 Principles and Vocabulary
ISOIEC 27001 Information Security Management Systems ndash Requirements baseacutee surla BS 7799-2 et orienteacutee vers la certification
ISOIEC 27002 Code of practice for Information Security Management anciennementISOIEC 17799
ISOIEC 27003 ISMS Implementation
ISOIEC 27004 ISMS Measurements and metrics
ISOIEC 27005 ISMS Information security risk management
ISOIEC 27006 Information technology mdash Security techniques mdash Requirements for
bodies providing audit and certification of information security management systems
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 928
Les meacutetriques dans le cadre de la seacuterie 27000 - 7 - copy CLUSIF 2009
IISSOO 2277000011 SSMMSSII
IISSOO 2277000011 IISSOO 2277000022 MMeessuurreess ddee sseacuteeacuteccuurriitteacuteeacute
IISSOO 2277000000 VVooccaabbuullaaiirree
IISSOO 2277000066 CCeerrttiiffiiccaattiioonn ddee SSMMSSII
IISSOO 2277000055 GGeessttiioonn ddee rriissqquuee
IISSOO 2277000044 IInnddiiccaatteeuurrss SSMMSSII
IISSOO 2277000033 IImmpplleacuteeacutemmeennttaattiioonn
2005-2010 200
2005-2010 2008
Guidesusage facultatif
Exigencesusage obligatoire
dans la certification
2009
IISSOO 2277000077 AAuuddiitt ddee SSMMSSII
2009
2009
2010
Scheacutema 1 La seacuterie ISOIEC 27000
Bien sucircr dautres normes techniques continueront de traiter de la seacutecuriteacute des systegravemesdinformations En particulier nous pouvons mentionner
ISOIEC 27031 Specification for ICT Readiness for Business Continuity
ISOIEC 27032 Guidelines for Cybersecurity
ISOIEC 27033 de 1 agrave 8 IT network security (ex ISOIEC 18028)
ISOIEC 27034 Guidelines for Application Security
ISOIEC 27035 Information Security Incident Management
ISOIEC 18043 Selection deployment and operation of intrusion detection systems
(IDS)
Dautres reacutefeacuterentiels eux aussi en cours deacutevolution sont susceptibles decirctre utiliseacutes pourameacuteliorer la seacutecuriteacute de linformation Ils peuvent ainsi se trouver en concurrence avec tout oupartie des normes preacuteciteacutees Ils peuvent aussi introduire de nouvelles contraintes qui seront agraveprendre en compte dans leur mise en œuvre
Le plus connu est le CoBIT (Control Objectives of Information and related Technology)eacutelaboreacute par lISACA ( Information Systems Audit and Control Association) Il convienteacutegalement de mentionner les documents eacutemanant du COSO (Committee of Sponsoring
Organisations of the Treadway Commission) ou de diffeacuterents organismes gouvernementaux(NIST aux USA DTI au Royaume Uni hellip)
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1028
Les meacutetriques dans le cadre de la seacuterie 27000 - 8 - copy CLUSIF 2009
Scheacutema 2 La seacuterie ISOIEC 27000 et les autres reacutefeacuterentiels
De la mecircme faccedilon les lois et les regraveglements concernant la seacutecuriteacute de linformation(informations nominatives gestion de lidentiteacute reacutetention de donneacutees chiffrement hellip) sontactuellement en eacutevolution dans la plupart des pays
De nouvelles conditions de traitement de conservation ou de destruction des informations
sont ainsi agrave mettre en œuvre de faccedilon impeacuterative et de faccedilon dautant plus complexe que lesmesures de seacutecuriteacute peuvent varier dun pays agrave lautre
Des impeacuteratifs leacutegislatifs ou sectoriels peuvent aussi voir le jour et entraicircner des conseacutequencesimportantes Par exemple la loi Sarbanes-Oxley Act pour les entreprises coteacutees sur lesmarcheacutes ameacutericains la Loi sur la Seacutecuriteacute Financiegravere pour les entreprises franccedilaises Bacircle IIpour les eacutetablissements financiers ou Solvency II pour les assurances
ISO 27001Moteur de base
ISO 27004Indicateurs
CoBITGouvernance
CMMID eacute veloppements
ITIL Production
ISO 27005Appr eacuteciation des
risques
ISO 27002Bonnes pratiques ISO 27001
SAS 70
PCI - DSS
Tout autre r eacute f eacute rentielseacute curit eacute
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1128
Les meacutetriques dans le cadre de la seacuterie 27000 - 9 - copy CLUSIF 2009
22 Terminologie
Le terme laquo meacutetrique raquo nrsquoexiste pas dans la langue franccedilaise au sens ougrave il est utiliseacute dans ce
documentLe terme anglais laquo metrics raquo (a system of related measures that facilitates the quantification ofsome particular characteristic) est utiliseacute pour meacutetrologie parfois laquo traduit raquo par meacutetrique
Pour meacutemoire la meacutetrologie est la science qui sinteacuteresse aux cocircteacutes theacuteoriques et pratiques dela mesure dans tous les domaines de la science et de la technologie Plus speacutecifiquement lameacutetrologie touche lutilisation des uniteacutes la reacutealisation des eacutetalons les meacutethodes lestechniques et les appareils de mesure ainsi que la preacutecision obtenue
Les diffeacuterentes normes en rapport avec le sujet fournissent les deacutefinitions suivantes
Attribut proprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacute quantitativementou qualitativement par des moyens humains ou automatiques [ISOIEC 159392007]
Mesurage processus drsquoobtention drsquoinformation relative agrave lrsquoefficaciteacute drsquoun SMSI et demesures de seacutecuriteacute agrave lrsquoaide drsquoune meacutethode drsquoeacutevaluation drsquoune fonction drsquoeacutevaluationdrsquoun modegravele analytique et de critegraveres de deacutecision [ISOIEC 27004]
Indicateur reacutesultat de lrsquoapplication drsquoun modegravele analytique agrave une ou plusieurs variablesen relation avec les critegraveres de deacutecision ou un besoin drsquoinformation [ISOIEC 27004]
Un indicateur est la base de lrsquoanalyse et de la prise de deacutecisionCompleacutements aux deacutefinitions proposeacutees dans ce document
Meacutetrique ensemble drsquoeacuteleacutements permettant de fournir une eacutevaluation qualitative ouquantitative repreacutesentative drsquoune situation
Indicateur donneacutee objective qui preacutesente une situation du strict point de vuequantitatif Un indicateur est pertinent srsquoil est directement relieacute agrave une zone drsquoaction (ilindique ougrave il faut agir) Les indicateurs peuvent ecirctre regroupeacutes dans un tableau de bordoutil de synthegravese et de visualisation des situations deacutecrites
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1228
Les meacutetriques dans le cadre de la seacuterie 27000 - 10 - copy CLUSIF 2009
23 Positionnement des meacutetriques dans le modegravele defonctionnement
La figure ci-dessous positionne les termes laquo attribut raquo laquo meacutetrique raquo et laquo indicateur raquo
Interpreacutetation
Collecte des paramegravetres etvariables mesurables
les attributs
Repreacutesentation de lareacutealiteacute du ldquo terrainrdquo(donneacutees brutes)
Repreacutesentation de la situation
Aide agrave la deacutecision
Information quantitative ou
qualitative positionneacutee surune eacutechelle de reacutefeacuterence
Indicateurs
Meacutetriques
Tableau de Bord
Systegravemes et processus meacutetiers de lrsquoentiteacute
attributs
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situationControcircle
ISMS
Objectifs
Miseen
place
Interpreacutetation Interpreacutetation Inte rpreacutetation
Collecte des paramegravetres etvariables mesurables
les attributs
Repreacutesentation de lareacutealiteacute du ldquo terrainrdquo(donneacutees brutes)
Repreacutesentation de la situation
Aide agrave la deacutecision
Information quantitative ou
qualitative positionneacutee surune eacutechelle de reacutefeacuterence
Indicateurs
MeacutetriquesMeacutetriques
Tableau de Bord
Systegravemes et processus meacutetiers de lrsquoentiteacute
attributs
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situation
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situationControcircle
ISMS
Objectifs
Miseen
place
Miseen
place
Scheacutema 3 Repreacutesentation drsquoapregraves le document ISOIEC 27004
Exemple dans le domaine des antivirus
Nombre de postes eacutequipeacutes dun antivirus attribut
Pourcentage du nombre de postes eacutequipeacutes sur le total meacutetrique
Nombre de postes eacutequipeacutes dun antivirus dont lantivirus a eacuteteacute mis agrave jour attribut
Pourcentage de postes dont lantivirus a eacuteteacute mis agrave jour meacutetrique
A partir de lrsquoexemple ci-dessus en regroupant les deux meacutetriques nous pouvons constituer un
indicateur repreacutesentant agrave la fois le niveau de protection viral des postes de travail et lamaicirctrise du processus antiviral sur ces postes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1328
Les meacutetriques dans le cadre de la seacuterie 27000 - 11 - copy CLUSIF 2009
Les indicateurs intimement lieacutes agrave la situation que nous voulons repreacutesenter peuvent ecirctre denature diffeacuterente et avoir des finaliteacutes eacutegalement diffeacuterentes
constater une situation dans le domaine que lrsquoon veut observer
mesurer leacutecart entre le niveau existant et le niveau de lrsquoobjectif deacutefini
suivre leacutevolution des domaines geacutereacutes et analyseacutes
anticiper etou deacuteclencher la mise en œuvre de plans drsquoactions de seacutecuriteacute (agrave partir dufranchissement drsquoun seuil)
communiquer agrave partir de donneacutees analyseacutees
piloter les projets
appreacutecier le respect des lois et reacuteglementations
auditer
Dans le contexte de la mise en œuvre drsquoun SMSI et du respect du principe de la Roue deDeming (cycle PDCA) les critegraveres de choix des indicateurs doivent inteacutegrer le soucidrsquoameacutelioration permanente de la seacutecuriteacute par la veacuterification de lefficaciteacute des mesures deseacutecuriteacute valideacutees et deacuteployeacutees Ainsi il est toujours souhaitable davoir en meacutemoire quelobjectif dun indicateur de seacutecuriteacute dans le SMSI est deacutevaluer lefficaciteacute des mesures deseacutecuriteacute
Dans la suite du document le choix a eacuteteacute fait drsquoillustrer uniquement les meacutethodes de mise en
œuvre drsquoindicateurs pour les SMSI En effet le suivi de lrsquoefficaciteacute de tout systegraveme demanagement est reacutealiseacute agrave partir de ces indicateurs (cf scheacutema 3)
24 Eacuteleacutements pour la mise en œuvre des indicateurs
Afin de satisfaire les objectifs assigneacutes les indicateurs doivent respecter des conditionsparticuliegraveres et ecirctre doteacutes de qualiteacutes speacutecifiques notamment
ecirctre issus des objectifs retenus dans la politique de seacutecuriteacute
ecirctre aiseacutement quantifiables (construits agrave partir drsquoinformations ou de processus geacuteneacuterantdes informations quantifiables) afin de permettre des comparaisons (entre systegravemes ouentre peacuteriodes) Il srsquoagit le plus souvent de pourcentage de taux de ratio de moyenneetou de nombres laquo bruts raquo
les informations neacutecessaires agrave lrsquoeacutelaboration de la mesure doivent ecirctre faciles agrave obteniretou collecter En effet il faut srsquoassurer que les ressources mises en œuvre pour obtenirles donneacutees ne sont pas disproportionneacutees par rapport agrave celles concourant agrave la reacutealisationdu processus mesureacute
srsquoappuyer sur des processus laquo stables raquo et aiseacutement laquo reproductibles raquo
permettre la mesure des eacutevolutions suite agrave des actions correctives
ecirctre fiables sur la dureacutee et autoriser une analyse des eacutecarts
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1428
Les meacutetriques dans le cadre de la seacuterie 27000 - 12 - copy CLUSIF 2009
Ces caracteacuteristiques sont regroupeacutees dans certaines deacutemarches sous lacronyme laquo SMART raquoqui signifie
Specific il correspond agrave ce qui est analyseacute et met en avant la speacutecificiteacute de lattribut
Measurable il peut ecirctre mesureacute et cette mesure est objective
Attainable il est obtenu dans des conditions satisfaisantes de coucirct et de deacutelai Repeatable sa mesure est reproductible
Time dependent la mesure deacutepend de la fenecirctre de temps utiliseacutee
Les caracteacuteristiques de la mesure deacutefinies dans lAnnexe A de lrsquoactuel projet de normeISOIEC 27004 doivent ecirctre deacutefinies pour chaque indicateur
25 Exemples drsquoindicateurs
Quelques exemples drsquoindicateurs sont donneacutes ci-apregraves La liste fournie nrsquoest pas exhaustive Ilest inteacuteressant de constater que certains indicateurs sont de nature opeacuterationnelle oustrateacutegique voire opeacuterationnelle et strateacutegique
Controcircle drsquoaccegraves
pourcentage drsquoutilisateurs dont le mot de passe respecte les principes de construction
pourcentage de systegravemes accessibles depuis lrsquoexteacuterieur et comprenant un IDS agrave jour
Controcircle des codes malveillants
nombre annuel dattaques reacuteussies par deacutefaut de mise agrave jour de la base virale
deacutelai de retour agrave la normale sur attaque virale
freacutequence de mise agrave jour de la base antivirus freacutequence drsquoeacutevaluation de la conformiteacute des politiques antivirales laquo locales raquo avec la
politique laquo globale raquo
Mise en œuvre du SMSI
pourcentage de deacuteclinaisons des principes de la politique de seacutecuriteacute de lrsquoorganisme enproceacutedures opeacuterationnelles
nombre mensuel drsquoincidents de seacutecuriteacute non reacutesolus
pourcentage de comiteacutes de pilotage de seacutecuriteacute tenus en accord avec le planning
pourcentage dactions correctives non meneacutees agrave terme
Maicirctrise des deacutepenses deacutepenses lieacutees agrave la seacutecuriteacute selon diffeacuterents critegraveres nombre dalertes dincidents etc
Formation
pourcentage du budget global de formation consacreacute agrave la seacutecuriteacute des systegravemesdrsquoinformation
pourcentage de participants en fonction de la population cible agrave des sessions relatives agravela seacutecuriteacute des systegravemes drsquoinformation
taux de freacutequentation des formations aux proceacutedures dalerte par les personnes cleacutes descellules de crise
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1528
Les meacutetriques dans le cadre de la seacuterie 27000 - 13 - copy CLUSIF 2009
Seacutecuriteacute des logiciels applications
nombre de correctifs de seacutecuriteacute valideacutes apregraves analyse
taux de correctifs de seacutecuriteacute valideacutes mis en œuvre dans les deacutelais preacutevus
Seacutecuriteacute reacuteseau
nombre drsquoaudits et de tests de vulneacuterabiliteacute reacutealiseacutes sur la peacuteriode
Disponibiliteacute des services
taux de disponibiliteacute DNS accegraves internet messagerie
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1628
Les meacutetriques dans le cadre de la seacuterie 27000 - 14 - copy CLUSIF 2009
3 LES DIFFERENTS USAGES DES INDICATEURS
31 EacutevaluerCes indicateurs peuvent ecirctre reacutepartis dans les grandes familles suivantes
Les indicateurs laquo de conformiteacute raquo deacutecrivent le niveau dexigence souhaiteacute (ou constateacute)sur une mesure de seacutecuriteacute Par exemple en ce qui concerne la mesure de seacutecuriteacutelaquo Reacutealisation de sauvegardes raquo un indicateur de conformiteacute de seacutecuriteacute peut ecirctre lafreacutequence des sauvegardes ou le ratio du nombre de bandes externaliseacutees par rapport aunombre total de bandes
Les indicateurs laquo defficaciteacute raquo deacutecrivent leacutetat du fonctionnement de la mesure deseacutecuriteacute Sur le mecircme exemple de la laquo Reacutealisation de sauvegardes raquo un nombre eacuteleveacute de
tests de restaurations deacutefectueux peut deacutemontrer un mauvais fonctionnement dessauvegardes
Les indicateurs laquo defficience raquo visent agrave rapprocher lefficaciteacute de la mesure de seacutecuriteacuteau regard de limportance des moyens mis en œuvre
32 Piloter
Toute activiteacute (production projet processus etc) implique la deacutetermination drsquoindicateurs depilotage Ces derniers permettent
drsquoappreacutecier lavancement correct du projet drsquoeacutevaluer une situation
de deacutetecter un risque
de deacuteclencher une alerte
Le choix des indicateurs peut deacutependre des objectifs de lrsquoactiviteacute (coucircts deacutelais performanceetc) mais aussi ecirctre lieacute agrave des processus transverses (management support etc)
Nous pourrons ainsi avoir les indicateurs suivants sur diffeacuterentes eacutechelles de temps anneacuteemois semaine jour
nombre de machines infecteacutees par des virus nombre de machines
nombre de messages infecteacutes par des virus nombre de messages
nombre de machines agrave jour nombre de machines
temps moyen et maximum de mise agrave jour du parc
nombre drsquoattaques virales identifieacutees bloqueacutees exeacutecuteacutees
impact de ses attaques en heures de travail perdues financier
raison des infections mise agrave jour non effectueacutee seacutecuriteacute non appliqueacutee malveillancehellip
variation du taux drsquoinfection et tentatives drsquoinfection sur les 12 derniers mois
etc
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1728
Les meacutetriques dans le cadre de la seacuterie 27000 - 15 - copy CLUSIF 2009
Ces indicateurs peuvent aussi ecirctre eacuteleacutementaires ou plus syntheacutetiques Par exemplelrsquoagreacutegation de certains indicateurs informatiques avec les indicateurs eacuteconomiques Lelaquo Ratio du nombre annuel drsquoaccords de confidentialiteacutes (NDA ndash Non disclosure agreement)signeacutes par rapport au nombre de prestataires preacutesents dans lrsquoorganisme raquo en est un exemple
33 Communiquer
Des indicateurs sont aussi utiliseacutes pour communiquer en interne ou en externe Leur naturesera diffeacuterente en fonction des acteurs viseacutes et de leur objectif de communication(sensibiliser faire passer des ideacutees justifierhellip)
Par exemple pour communiquer autour de la lutte antivirale
nombre drsquoheures de travail perdues suite agrave une attaque virale
variation du taux drsquoinfection sur les douze derniers mois (justification du budget)
nombre drsquoattaques virales provenant drsquoun support externe
34 Sautoeacutevaluer
Cette eacutevaluation peut ecirctre reacutealiseacutee en interne par lrsquoeacutequipe en charge de la fonction comme parlrsquoeacutequipe drsquoaudit ou de controcircle interne
Elle se situe par rapport agrave un reacutefeacuterentiel interne ou externe ou par rapport agrave un objectifarbitraire ou reacutesultant drsquoune expeacuterience passeacutee et deacutejagrave mesureacutee
Les indicateurs citeacutes comme exemple dans les paragraphes preacuteceacutedents peuvent notammentservir dans le cadre drsquoune autoeacutevaluation
35 Contribuer agrave lrsquoobtention drsquoune certification
Ces indicateurs servent agrave
appreacutecier lrsquoavancement dans le processus de certification
obtenir la certification
et surtout la conserver
Sans ecirctre obligatoire pour lrsquoobtention de la certification ISOIEC 270012005 la mise enplace drsquoindicateurs simplifie grandement le cheminement vers celle-ci
36 Reacutepondre agrave un audit
Les indicateurs servent agrave informer lrsquoauditeur agrave justifier des mesures de seacutecuriteacute mises enplace et des correctifs en cours
Les indicateurs preacutesenteacutes lors drsquoaudits contribuent agrave lrsquoanalyse de risque et srsquoappreacutecient parrapport agrave un reacutefeacuterentiel externe
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1828
Les meacutetriques dans le cadre de la seacuterie 27000 - 16 - copy CLUSIF 2009
4 LES TRAVAUX NORMATIFS EN COURS
(ISOIEC 27004)
Ce document a eacuteteacute reacutedigeacute alors que la norme ISOIEC 27004 nrsquoeacutetait pas stabiliseacutee (versionCD) il est toutefois permis de penser que lrsquointeacuterecirct du document justifie les travaux entreprisci-apregraves sous reacuteserve de possibles eacutevolutions
Ce projet de norme au sein de la seacuterie 27000 constitue un guide [agrave usage facultatif] delaquo Mesurage et meacutetriques raquo dans le cadre drsquoun SMSI (Systegraveme de Management de la Seacutecuriteacutede lrsquoInformation) tel que deacutefini dans lrsquoISOIEC 270012005
Les domaines suivants sont abordeacutes
preacutesentation du processus de mesurage
rocircles et responsabiliteacutes
conception des indicateurs production et mise en forme des indicateurs
analyse et reporting
ameacutelioration du processus de mesurage
Une premiegravere annexe preacutesente un modegravele commenteacute drsquoune fiche drsquoindicateur (cf Annexe A)La seconde annexe preacutesente plusieurs exemples drsquoattributs de meacutetriques ou drsquoindicateurs (cfAnnexe B)
41 Concepts de meacutetriquesUn processus de mesure a pour but de veacuterifier que les objectifs de seacutecuriteacute fondeacutes notammentsur lrsquoanalyse de risque et la conformiteacute aux dispositions leacutegales et reacuteglementaires sontatteints
Il se compose de phases de collecte drsquoinformations et drsquoanalyse Par comparaison agrave descritegraveres de deacutecision ces phases permettent lrsquoobtention drsquoinformations de seacutecuriteacute etlrsquoameacutelioration continue du management de la seacutecuriteacute
Les mesures peuvent ecirctre eacuteleacutementaires ou deacuteriveacutees
une mesure eacuteleacutementaire1
est la valeur drsquoun laquo attribut raquo obtenue par une meacutethode decalcul
une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesureseacuteleacutementaires
Pour chaque type de mesure (eacuteleacutementaire ou deacuteriveacutee) il convient de faire en sorte que desobjectifs de conformiteacute ou de performance soient mis en eacutevidence
Le modegravele du processus de mesure proposeacute comprend un processus de remonteacutee demesures eacuteleacutementaires et de mesures deacuteriveacutees qui contribuent agrave la fabrication drsquoindicateurslesquels seront compareacutes individuellement agrave leur critegravere de deacutecision Lrsquoefficaciteacute du systegraveme
1 Une mesure eacuteleacutementaire peut dans certains cas correspondre directement agrave un indicateur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1928
Les meacutetriques dans le cadre de la seacuterie 27000 - 17 - copy CLUSIF 2009
de management srsquoappreacutecie en comparant les reacutesultats issus des mesures effectueacutees avec leursobjectifs initiaux
Dans le projet de norme les preacutecisions suivantes sont apporteacutees
les objectifs du processus de mesure sont clairement eacutetablis (eacutevaluer fournir des
donneacutees faciliter lrsquoeacutevolution communiquer) En revanche le peacuterimegravetre sur lequelsrsquoapplique ce processus ainsi que la meacutethodologie drsquoimpleacutementation restent agrave lrsquoinitiativede chacun
lrsquoimplication du management dans le processus de mesure est souligneacutee notamment surson engagement ses responsabiliteacutes et les ressources agrave mettre en œuvre
les diffeacuterents rocircles qui devraient ecirctre assigneacutes par le Management concernant leprocessus de mesure sont preacuteciseacutes le fournisseur le client le collecteur lecommunicateur le reacute-examinateur (cf deacutefinitions dans lrsquoannexe A du preacutesentdocument) Ces diffeacuterents rocircles devront faire lrsquoobjet de proceacutedures drsquohabilitationprenant en compte les contraintes de seacuteparation des tacircches et les compeacutetencestechniques neacutecessaires
42 Concevoir des meacutetriques
Des meacutetriques doivent ecirctre creacuteeacutes pour eacutevaluer lrsquoefficaciteacute du SMSI controcircler lrsquoatteinte desobjectifs identifier valider et ameacuteliorer les mesures de seacutecuriteacute speacutecifiques
Pour cela il faut pour chaque meacutetrique agrave partir drsquoune analyse de risque et de lrsquoeacutetat initial
identifier et choisir des objectifs
documenter et planifier lrsquoactiviteacute de mesurage (lrsquoannexe A du preacutesent document
preacutesente un modegravele de fiche sur ce thegraveme) en particulier concernant la meacutethode decollecte de stockage drsquoarchivage de veacuterification et drsquoanalyse des donneacutees ainsi que lamise en place du processus de mesurage
deacutefinir les principaux acteurs et les ressources neacutecessaires
srsquoassurer de la pertinence des mesurages qui devraient veacuterifier les critegraveres SMART(Specific Measurable Attainable Repeatable Time dependant)
43 Mettre en place des meacutetriques
La mise en place permanente de la collecte de la conservation et de lrsquoanalyse des donneacutees apour but drsquoassurer la compreacutehension et lrsquoameacutelioration du SMSI Ce processus doitaccompagner les eacutevolutions du SMSI
Cette rubrique dans le projet de norme constitue un guide pratique opeacuterationnel qui preacuteciseles conditions de
collecte des donneacutees (en speacutecifiant la date lrsquoheure le proprieacutetairehellip)
validation
traitement
diffusion
conservation
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2028
Les meacutetriques dans le cadre de la seacuterie 27000 - 18 - copy CLUSIF 2009
Il importe que les reacutesultats des indicateurs servent agrave eacutevaluer lrsquoefficaciteacute des dispositifs deseacutecuriteacute (de preacutevention deacutetection correction ou reacutecupeacuteration) en place Dans un secondtemps cette base drsquoindicateurs constitueacutee permettra de soutenir un processus de deacutecision dansle choix de nouveaux dispositifs
44 Utiliser communiquer et ameacuteliorer les meacutetriques
Lrsquoanalyse des donneacutees et leur interpreacutetation consistent agrave les rapprocher des critegraveres dedeacutecision preacutealablement deacutefinis (Annexe A)
Le but de lrsquoanalyse est de pouvoir identifier les eacutecarts entre la performance attendue et cellereacutealiseacutee Les causes de non-conformiteacute et de mauvaise performance pourront ecirctre ainsiidentifieacutees en fonction des dispositifs de seacutecuriteacute qui
ne sont pas opeacuterationnels
sont impleacutementeacutes mais ne fonctionnement pas correctement sont impleacutementeacutes fonctionnent correctement mais ne couvrent pas les menaces
estimeacutees
sont impleacutementeacutes fonctionnent correctement mais toutes les menaces ne sont pascouvertes
Les conclusions des analyses devraient ecirctre revues par toutes les parties prenantes ndash dans lesens laquo stakeholders raquo ndash pour assurer la bonne interpreacutetation de la donneacutee A cette fin lesreacutesultats des analyses devraient ecirctre suffisamment documenteacutes
La consolidation de ces reacutesultats devra intervenir dans des tableaux de bord pour unecommunication agrave qui de droit
Les mesures peuvent ecirctre utiliseacutees agrave diverses fins
eacutevaluer lrsquoefficaciteacute des dispositifs de seacutecuriteacute
critiquer les appreacuteciations et les traitements des risques
deacutemontrer les progregraves
se comparer au sein ou entre organisations
45 Ameacuteliorer le processus de mesure
Lrsquoefficaciteacute du processus de mesure doit ecirctre examineacutee peacuteriodiquement afin de lrsquoameacuteliorerNeacuteanmoins les donneacutees de base doivent faire lrsquoobjet de sauvegardes reacuteguliegraveres et peacuterennesafin de pouvoir recalculer les meacutetriques en fonction de leurs diffeacuterentes eacutevolutions
Des eacutevolutions peuvent ecirctre envisageacutees quand lrsquoorganisation introduit de nouveaux objectifsde mesure points de mesure de nouvelles meacutethodes ou fonctions de mesure
Le processus de mesure devrait ecirctre eacutevalueacute en termes drsquoutiliteacute et reacuteexamineacute agrave chaque fois quelrsquoorganisation change Il importe de srsquoassurer que les mesures reflegravetent un eacutetat agrave jour de laseacutecuriteacute et de veacuterifier que les donneacutees sous-jacentes sont encore valides Il est eacutegalementimportant de valider la pertinence des hypothegraveses
Il srsquoagit aussi drsquoeacutevaluer lrsquoutiliteacute de la mesure et le coucirct du processus de mesure afin dedeacuteterminer la pertinence de sa modification ou de sa suppression
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2128
Les meacutetriques dans le cadre de la seacuterie 27000 - 19 - copy CLUSIF 2009
5 CONCLUSION
LrsquoISOIEC 270012005 insiste sur lrsquoimportance de mesurer lrsquoefficaciteacute des processus du
SMSI des mesures de seacutecuriteacute mises en œuvre et du processus de mesurage lui-mecircme2
Cependant cette norme ne preacutecise pas comment mesurer cette efficaciteacute Elle se contentedrsquoindiquer qursquoune meacutethode est agrave deacutefinir
A cette fin le preacutesent document apporte un eacuteclairage aux RSSI auditeurs internes acteurs ducontrocircle permanent et managers dans la deacutefinition et la mise en œuvre des indicateurs adapteacutesagrave leurs exigences selon des processus qui devraient figurer dans la norme ISOIEC 27004
LrsquoISOIEC 27004 est un guide qui compleacutetera lrsquoISOIEC 270012005 en fournissant deslignes directrices et des conseils sur
la conception
la mise en œuvre
lrsquoanalyse et la communication des reacutesultats
lrsquoameacutelioration du processus de mesurage drsquoun SMSI
Cette future norme devrait ecirctre publieacutee prochainement La seacuterie ISOIEC 27000 a eacuteteacutecompleacuteteacutee de lrsquoISOIEC 270052008 et de lrsquoISOIEC 27003 (preacutevue en 2009) qui traitentrespectivement de la gestion du risque et de la mise en œuvre drsquoun SMSI
2 cf clauses 02c 02d 422d 423c 431g 72f et 73e
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2228
Les meacutetriques dans le cadre de la seacuterie 27000 - 20 - copy CLUSIF 2009
ANNEXE A FICHE DESCRIPTIVE
Modegravele de fiche descriptive drsquoune mesure
Cette fiche est inspireacutee de lrsquoISOIEC FCD 27004
Identification de la mesure
Nom de la mesure Nom de la mesure
Identifiant de la mesure Identifiant numeacuterique unique speacutecifique agrave lrsquoorganisme
Objectif de la mesureDeacutecrit lrsquoobjectif de la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure de
seacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (1)Facultatif Deacutecrit la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure deseacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (2)Facultatif Deacutecrit dautres mesures de seacutecuriteacute (agrave mettre ou deacutejagrave mise en œuvre) faisant lrsquoobjet le caseacutecheacuteant de la mecircme mesure (reacutefeacuterence aux mesures de seacutecuriteacute de lrsquoannexe A de la normeISO 27001)
Objectif de la mesure Deacutefinit le but de la mesure
Reacute examinateurPersonne ou uniteacute organisationnelle qui examine et valide que les critegraveres deacutevaluation de la mesuresont approprieacutes pour veacuterifier lefficaciteacute des mesures de seacutecuriteacute et des processus du SMSI
Objets du mesurage et attributs
Objet du mesurage
Objet qui doit ecirctre mesureacute et qui est caracteacuteriseacute par la mesurabiliteacute de ses attributs Les objets peuvent
comprendre des processus des systegravemes ou des composants de systegravemes
AttributsProprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacutee quantitativement ou qualitativementpar des moyens humains ou automatiques
Speacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesUne mesure eacuteleacutementaire est deacutefinie en fonction dun attribut et de la meacutethode de mesurage speacutecifieacuteepour le quantifier (par exemple le nombre de personnel formeacute le nombre de sites le coucirct cumuleacute agravece jour) Au moment ougrave la donneacutee est collecteacutee une valeur est affecteacutee agrave une mesure eacuteleacutementaire
Meacutethodes de mesurage Suite logique drsquoopeacuterations qui permettent de quantifier un attribut selon une eacutechelle
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure eacuteleacutementaire
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesures eacuteleacutementaires
Fonction de mesurageSuite logique drsquoopeacuterations qui permettent de calculer la mesure deacuteriveacutee Pour les mesures deacuteriveacutees lafonction par laquelle les mesures deacuteriveacutees fondeacutees sur des mesures eacuteleacutementaires correspondantes etla preacutecision cumulative reacutesultante sont agreacutegeacutees
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure deacuteriveacutee
Speacutecification de lrsquoindicateur
Description dindicateur etexemple
Preacutesentation dune ou plusieurs mesures (eacuteleacutementaires ou deacuteriveacutees) qui fournit une estimation ou uneeacutevaluation dattributs speacutecifieacutes reacutesultant dun modegravele analytique en ce qui concerne des besoins delinformation deacutefinis Un indicateur est souvent preacutesenteacute agrave lrsquoaide drsquoun graphique ou drsquoun diagrammeInclure un croquis de lindicateur
Modegravele analytique Algorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires etou deacuteriveacutees avec lescritegraveres de deacutecision associeacutes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2328
Les meacutetriques dans le cadre de la seacuterie 27000 - 21 - copy CLUSIF 2009
Critegravere de deacutecisionSeuil cible ou modegravele utiliseacute pour deacuteterminer la neacutecessiteacute dune action ou un compleacutement denquecircteou pour deacutecrire le niveau de confiance dans un reacutesultat donneacute
Interpreacutetation dindicateurDescription de la faccedilon dont lindicateur exemple (voir la figure exemple dans la description delindicateur) devrait ecirctre interpreacuteteacute
Effets impact Deacutefinition des effets et de lrsquoimpact issu des reacutesultats obtenus par la mesure
Causes drsquoeacutecart Deacutefinition des causes possibles agrave lrsquoorigine drsquoeacutecarts des reacutesultats
Valeurs positivesDeacuteclaration expliquant si les valeurs en laquo croissance raquo indiquent des tendances positives (bonreacutesultat) ou si les valeurs en laquo deacutecroissance raquo doivent ecirctre consideacutereacutees comme des tendancespositives
Format de restitution
Le format de la restitution devrait ecirctre preacuteciseacute et documenteacute Il deacutecrit les observations quelrsquoorganisation ou le proprieacutetaire de lrsquoinformation peut vouloir sur lrsquoenregistrement Les formats derapport deacutecriront visuellement les mesures et fourniront une explication verbale des indicateurs Ilsdevraient ecirctre personnaliseacutes en fonction du laquo client de linformation raquo (ce terme est deacutefini ci-apregraves)
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des
donneacutees
Freacutequence agrave laquelle les donneacutees sont collecteacutees
Fournisseur de lrsquoinformationPersonne ou uniteacute organisationnelle qui deacutetient lrsquoinformation pour creacuteer les mesures eacuteleacutementairesCelui qui va contribuer agrave la meacutetrique produire lrsquoinformation pour le calcul de la meacutetrique
Collecteur de lrsquoinformationPersonne ou uniteacute organisationnelle en charge de collecter enregistrer et stocker les informationsCelui qui va obtenir la meacutetrique
Outils utiliseacutes dans la collectedes donneacutees
Liste les outils utiliseacutes dans la collecte des donneacutees (par exemple un scanner de vulneacuterabiliteacute)
Conservation des donneacuteescollecteacutees
Liste les outils ougrave les donneacutees sont conserveacutees apregraves avoir eacuteteacute collecteacutees (par exemple une base dedonneacutees)
Date de collecte Date agrave laquelle la donneacutee devrait ecirctre obtenue
Proceacutedure drsquoenregistrement
des donneacuteesDeacutefinit la proceacutedure drsquoenregistrement des donneacutees (lien vers la proceacutedure correspondante)
Validiteacute de la mesure Date de reacutevision (date drsquoexpiration ou de validiteacute de renouvellement) de la mesure
Peacuteriode drsquoanalyse Deacutefinit la peacuteriode mesureacutee
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitutiondes donneacutees
Freacutequence agrave laquelle les donneacutees sont restitueacutees (cette freacutequence peut ecirctre infeacuterieure agrave celle decollecte)
Communicateur delrsquoinformation
Personne ou uniteacute organisationnelle responsable de lrsquoanalyse de lrsquoinformation et de la communicationdes reacutesultats des mesuresCelui qui va analyser la meacutetrique
Source drsquoinformation pour
lrsquoanalyse
Liste les sources drsquoinformation utiles pour lrsquoanalyse de reacutesultats (documents journaux entretien
etc)Outils utiliseacutes dans lrsquoanalyse Liste les outils utiliseacutes pour lrsquoanalyse (par exemple des outils statistiques)
Client de lrsquoinformationLa personne ou lrsquouniteacute organisationnelle qui demande ou requiert les mesures pour les besoins de sonactiviteacuteCelui qui va utiliser la meacutetrique
Information compleacutementaire
Conseils danalyseCompleacutementaires
Fournit des conseils compleacutementaires sur les variations de cette mesure
Consideacuterations de mise enœuvre
Liste les processus ou les exigences de mise en œuvre qui sont neacutecessaires pour la reacuteussite de la miseen œuvre
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2428
Les meacutetriques dans le cadre de la seacuterie 27000 - 22 - copy CLUSIF 2009
Exemple drsquoutilisation de la fiche
Identification de la mesure
Nom de la mesure Revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Identifiant de la mesure R1-A1124
Objectif de la mesure de seacutecuriteacuteA1124 [270012005]
Mesure de seacutecuriteacute (1)Les managers doivent dans leur peacuterimegravetre reacuteexaminer les droits drsquoaccegraves des utilisateurs agraveintervalles reacuteguliers par le biais drsquoun processus formel
Mesure de seacutecuriteacute (2) Revue des accegraves au reacuteseau informatique
Objectif de la mesure
Mesurer le pourcentage de manager deacuteclarant avoir effectueacute des controcircles sur les droits drsquoaccegravesutilisateurs de leur peacuterimegravetre ce qui permet drsquoeacutevaluer
bull la prise de conscience des managers vis-agrave-vis des risques drsquoaccegraves non fondeacutesfrauduleux ou obsolegravetes aux SI
bull lrsquoimplication du management dans le processus de maicirctrise et de gestion du risqueinformatique
Reacute examinateur Direction des Risques
Objets du mesurage et attributs
Objet du mesurage Processus de revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Attributs Attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateursSpeacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesExistence drsquoune attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateurs parchacun des managers
Meacutethodes de mesurageTous les trimestres les managers enverront un email standardiseacute au Deacutepartement Seacutecuriteacute desSI attestant que les accegraves des utilisateurs ont eacuteteacute revus pour leur peacuterimegravetre
Echelle Numeacuterique
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Taux drsquoattestations retourneacutees par les managers sur le trimestre eacutetudieacute
Fonction de mesurage
Taux dattestations retourneacutees par les managers sur le trimestre eacutetudieacute = (nombre dattestations
retourneacutees par les managers Total dattestations attendues dans le trimestre) 100
Echelle Ratio pourcentage
Speacutecification de lrsquoindicateur
Description dindicateur et exemple Courbe montrant lrsquoindicateur sur plusieurs peacuteriodes de restitution
Modegravele analytique
Satisfaisant si gt= 90Globalement satisfaisant si 80 lt lt 90Moyennement satisfaisant si 70 lt= lt= 80Insatisfaisant si lt 70
Critegravere de deacutecision Seuil min 80
Interpreacutetation dindicateurUn reacutesultat insatisfaisant indique un manque drsquoengagement des managers dans la gestion des
risques lieacutes agrave la seacutecuriteacute des SIEffets impact Si reacutesultats insatisfaisants lrsquoindicateur est remonteacute agrave la Direction Geacuteneacuterale pour action
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2528
Les meacutetriques dans le cadre de la seacuterie 27000 - 23 - copy CLUSIF 2009
Causes drsquoeacutecart Les reacuteorganisations fonctionnelles de lrsquoentreprise
Valeurs positives Des valeurs croissantes indiquent des tendances positives
Format de restitution Tableau Excel standardiseacute
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des donneacutees Trimestrielle
Fournisseur de lrsquoinformation Chaque manager
Collecteur de lrsquoinformation Le RSSI
Outils utiliseacutes dans la collecte desdonneacutees
Mail courrier
Conservation des donneacutees collecteacutees Reacutepertoire speacutecifique du disque reacuteseau
Date de collecte Pour le 15 de chaque deacutebut de trimestre
Proceacutedure drsquoenregistrement desdonneacutees
EhellipNOV08R1-A11-2-4XLS
Validiteacute de la mesure Annuelle
Peacuteriode drsquoanalyse Du 1er janvier au 31 deacutecembre de lrsquoanneacutee en cours
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitution desdonneacutees
Trimestrielle
Communicateur de lrsquoinformation Le RSSI
Source drsquoinformation pour lrsquoanalyse Rapports drsquoentretiens
Outils utiliseacutes dans lrsquoanalyse Excel
Client de lrsquoinformation Direction des Risques
Information compleacutementaire
Conseils danalyse Compleacutementaires NA
Consideacuterations de mise en œuvre NA
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2628
Les meacutetriques dans le cadre de la seacuterie 27000 - 24 - copy CLUSIF 2009
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE
METRIQUES ET OU DrsquoINDICATEURS
Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI
Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A8 Seacutecuriteacute lieacutee aux ressources humaines
A81 Avant le recrutement
A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute
A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat
A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur
A82 Pendant la dureacutee du contrat
A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute
A822 Sensibilisation qualification et formations
en matiegravere de seacutecuriteacute de lrsquoinformation
Nombre de personnes formeacutees an
A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque
A83 Fin ou modification du contrat
A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat
A832 Restitution des actifs Coucirct des biens non rendus en fin de mission
A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai
A9 Seacutecuriteacute physique et environnementale
A91 Zones seacutecuriseacutees
A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees
A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)
A913 Seacutecurisation des bureaux des salles et deseacutequipements
Nombre annuel de disparition de biens informatiques dans les locaux
A914 Protection contre les menaces exteacuterieures etenvironnementales
Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle
A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 428
Les meacutetriques dans le cadre de la seacuterie 27000 - II - copy CLUSIF 2009
TABLE DES MATIERES
NOTE AUX LECTEURS III
1 INTRODUCTION 4
11 OBJECTIF DE CE DOCUMENT 4 12 LECTORAT 5
2 LES METRIQUES 6
21
PANORAMA DES REFERENTIELS ET DES BONNES PRATIQUES 6 22 TERMINOLOGIE 9
23 POSITIONNEMENT DES METRIQUES DANS LE MODELE DE FONCTIONNEMENT 10 24 EacuteLEMENTS POUR LA MISE EN ŒUVRE DES INDICATEURS 11 25 EXEMPLES DrsquoINDICATEURS 12
3 LES DIFFERENTS USAGES DES INDICATEURS 14
31 EacuteVALUER 14 32 PILOTER 14 33 COMMUNIQUER 15 34 SAUTOEVALUER 15 35 CONTRIBUER A LrsquoOBTENTION DrsquoUNE CERTIFICATION 15 36 REPONDRE A UN AUDIT 15
4 LES TRAVAUX NORMATIFS EN COURS (ISOIEC 27004) 16 41 CONCEPTS DE METRIQUES 16 42 CONCEVOIR DES METRIQUES 17 43 METTRE EN PLACE DES METRIQUES 17 44 UTILISER COMMUNIQUER ET AMELIORER LES METRIQUES 18 45 AMELIORER LE PROCESSUS DE MESURE 18
5 CONCLUSION 19
ANNEXE A FICHE DESCRIPTIVE 20
MODELE DE FICHE DESCRIPTIVE DrsquoUNE MESURE 20 EXEMPLE DrsquoUTILISATION DE LA FICHE 22
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE METRIQUES ETOU DrsquoINDICATEURS 24
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 528
Les meacutetriques dans le cadre de la seacuterie 27000 - III - copy CLUSIF 2009
NOTE AUX LECTEURS
La langue anglaise comprend plusieurs mots laquo control raquo laquo measure raquo laquo measurement raquo
laquo security measure raquo qui se traduisent geacuteneacuteralement en franccedilais par le mot laquo mesure raquo ilconvient donc de preacuteciser le peacuterimegravetre et la deacutefinition retenue pour chacun de ces mots dans lasuite du document afin drsquoeacuteviter les ambiguiumlteacutes de traduction Ainsi pour la suite nousutilisons les correspondances suivantes
laquo Control raquo = mesure de seacutecuriteacute doit se comprendre comme un ensemble dedispositions agrave mettre en œuvre Ce sont les laquo mesures agrave prendre raquo pour mettre en œuvreune politique de seacutecuriteacute laquo Control raquo ne se rattache donc pas directement agrave la notion demeacutetrique
laquo Measure raquo = valeur mesureacutee est deacutefini comme laquo la valeur raquo de la mesure ilsrsquoagit donc drsquoune valeur quantitative reacutesultat de la laquo mesure de la mesure de seacutecuriteacute raquo
laquo Measurement raquo = mesurage est expliciteacute dans le glossaire (cf sect22) comme eacutetant lelaquo processus de mesurage raquo il srsquoagit agrave un niveau soit eacuteleacutementaire soit plus global de lalaquo mise en œuvre de meacutetriques raquo laquo measurement raquo couvre donc la deacutefinition le choixle deacuteploiement et lrsquoeacutevaluation drsquoindicateurs
laquo Security measure raquo = mesure de seacutecuriteacute (voir la deacutefinition de laquo Control raquo)
Dans ce document le terme laquo mesure raquo employeacute seul deacutesigne le reacutesultat de lrsquoaction demesurer et ne correspond donc pas agrave laquo mesure de seacutecuriteacute raquo
___
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 628
Les meacutetriques dans le cadre de la seacuterie 27000 - 4 - copy CLUSIF 2009
1 INTRODUCTION
Lrsquoun des objectifs suivis lors de la mise en œuvre au sein drsquoun organisme drsquoune politique de
seacutecuriteacute du systegraveme drsquoinformation est drsquoapporter ou de renforcer la confiance en celui-ciCette confiance traduit lrsquoune des exigences des diffeacuterents acteurs (internautes clientsfournisseurs actionnaires hellip) ou de lrsquoorganisme lui-mecircme (entreprise administration ONGtiers de confiance ) lors drsquoune transaction commerciale du deacuteveloppement de son activiteacutepour la conservation de donneacutees numeacuteriques hellip
La notion de laquo niveau de seacutecuriteacute raquo est souvent utiliseacutee par abus de langage pourlaquo eacutetalonner raquo cette confiance Cela pour signifier que lrsquoon veut ecirctre laquo sucircr raquo de son SI ou pourlaquo garantir raquo que des mesures de seacutecuriteacute ont eacuteteacute mises en œuvre et qursquoelles permettent dereacuteduire lrsquoexposition aux risques agrave un niveau laquo acceptable raquo
Lrsquoappreacuteciation de lrsquoatteinte des objectifs de seacutecuriteacute ainsi que la pondeacuteration agrave affecter aux
diffeacuterentes theacutematiques de seacutecuriteacute (plan de continuiteacute seacutecuriteacute physique des infrastructuresgestion des identiteacutes hellip) demeurent des questions drsquoactualiteacute Il est difficile drsquoindiquer parmidiffeacuterentes mesures de seacutecuriteacute deacuteployeacutees celles qui auront le plus de valeur ajouteacutee sur leniveau de protection du systegraveme drsquoinformation
La confiance accordeacutee agrave la seacutecuriteacute du systegraveme drsquoinformation se mesure notamment parrapport agrave une politique constitueacutee par des processus et des objectifs suivant une deacutemarcheformaliseacutee pour les atteindre Le respect de ces conditions permet de se positionner dans uneperspective de maicirctrise du systegraveme de management de la seacutecuriteacute de lrsquoinformation (SMSI) oudrsquoeacutevaluation des mesures de seacutecuriteacute mises en place
La norme ISOIEC 27004 fournit une reacuteponse structureacutee et normaliseacutee pour laquo mesurer raquo la
performance drsquoun SMSI dans le cadre de lrsquoISOIEC 270012002
11 Objectif de ce document
Lors de ses preacuteceacutedents travaux sur les normes de la seacuterie 27000 le CLUSIF a deacuteveloppeacute dequelle maniegravere
la norme ISOIEC 270012005 permet le Management de la seacutecuriteacute de linformationpar une approche normative
la norme ISOIEC 270022005 fournit les mesures de seacutecuriteacute permettant de reacutepondre agrave
ses exigencesLrsquoobjectif de ce document est de preacutesenter au lecteur des concepts geacuteneacuteraux pouvant ecirctreutiliseacutes pour deacutefinir des indicateurs et une meacutetrique permettant les laquo mesurages raquo (voirdeacutefinition au sect22) du systegraveme de management de la seacutecuriteacute de lrsquoinformation
Ce document ne porte pas de jugement sur la qualiteacute de la norme Ce nrsquoest pas non plus undocument sur la meacutetrologie ou lrsquoeacutelaboration de tableaux de bord Il traite des fondamentauxsur les meacutetriques et leurs utilisations afin de mieux appreacutehender le contenu de la normeISOIEC 27004
Enfin les annexes proposeront diffeacuterents exemples de meacutetriques selon lrsquoISOIEC 27004 quipermettraient le mesurage drsquoun SMSI normeacute par lrsquoISOIEC 270012005
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 728
Les meacutetriques dans le cadre de la seacuterie 27000 - 5 - copy CLUSIF 2009
12 Lectorat
Les documents du CLUSIF sont geacuteneacuteralement agrave destination des RSSI et des DSI
Lrsquoeacutelargissement du peacuterimegravetre au mesurage de lrsquoensemble du SMSI nous incite agrave proposer une
cible sensiblement plus large incluant tous les professionnels de la seacutecuriteacute de lrsquoinformationmais aussi toutes les entiteacutes de controcircle permanent ou de gestion des risques
Comme tout texte lrsquoutiliteacute de la norme doit ecirctre eacutevalueacutee en fonction du contexte de mise enœuvre Ce document ayant eacuteteacute reacutedigeacute plus particuliegraverement pour un public de laquo non-initieacutes raquoafin de leur permettre de mieux appreacutehender le contenu de la norme les personnes au fait decette derniegravere nrsquoy trouveront peut ecirctre pas de deacuteveloppement nouveau
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 828
Les meacutetriques dans le cadre de la seacuterie 27000 - 6 - copy CLUSIF 2009
2 LES METRIQUES
21 Panorama des reacutefeacuterentiels et des bonnes pratiques
La norme ISOIEC 270022005 connue preacuteceacutedemment sous la reacutefeacuterenceISOIEC 177992005 a pour titre laquo Code of practice for information security management raquoElle met laccent sur le fait que deacutesormais linformation est une ressource essentielle delentreprise cest-agrave-dire que lrsquoinformation au mecircme titre que dautres actifs doit ecirctre prise enconsideacuteration eacutevalueacutee et proteacutegeacutee
La seacutecuriteacute de linformation vise entre autres agrave garantir la continuiteacute de lrsquoactiviteacute agrave reacuteduire lesrisques agrave optimiser le retour sur investissements ainsi que les opportuniteacutes daction pourlorganisme
Cette norme traduit une eacutevolution tendancielle des normes traitant de la seacutecuriteacute delinformation Au deacutepart il y a une quinzaine danneacutees ces normes eacutetaient plutocirct techniques etcontenaient surtout des prescriptions relatives aux systegravemes ou aux reacuteseaux informatiques
Vers le milieu des anneacutees 90 des travaux dorigine britannique ont conduit agrave eacutelaborer desdocuments dont le champ seacutetendait aux systegravemes dinformation et orienteacutes vers lesresponsabiliteacutes manageacuteriales et lorganisation des entreprises
Le plus connu de ces documents est le standard britannique BS 7799 dont la partie 1 (Code of
practice for information security management ) a servi de base agrave lISOIEC 27002
(anciennement ISOIEC 17799) et la partie 2 a servi de base agrave lISOIEC 27001 dans laquelleon trouve la notion de SMSI (Systegraveme de Management de la Seacutecuriteacute de lrsquoInformation)
Lors dune reacuteunion de lISO il a eacuteteacute deacutecideacute de regrouper les principales normes traitant duSMSI dans une laquo seacuterie ISOIEC 27000 raquo un peu comme la qualiteacute fait lobjet de la laquo seacuterieISO 9000 raquo ou lenvironnement de la laquo seacuterie ISO 14000 raquo Il est drsquoailleurs agrave noter que ces troisfamilles de normes sont coheacuterentes entre elles quant agrave lrsquoapproche manageacuteriale etorganisationnelle des thegravemes traiteacutes Il est preacutevu de disposer agrave terme des normes suivantes(liste non limitative)
ISOIEC 27000 Principles and Vocabulary
ISOIEC 27001 Information Security Management Systems ndash Requirements baseacutee surla BS 7799-2 et orienteacutee vers la certification
ISOIEC 27002 Code of practice for Information Security Management anciennementISOIEC 17799
ISOIEC 27003 ISMS Implementation
ISOIEC 27004 ISMS Measurements and metrics
ISOIEC 27005 ISMS Information security risk management
ISOIEC 27006 Information technology mdash Security techniques mdash Requirements for
bodies providing audit and certification of information security management systems
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 928
Les meacutetriques dans le cadre de la seacuterie 27000 - 7 - copy CLUSIF 2009
IISSOO 2277000011 SSMMSSII
IISSOO 2277000011 IISSOO 2277000022 MMeessuurreess ddee sseacuteeacuteccuurriitteacuteeacute
IISSOO 2277000000 VVooccaabbuullaaiirree
IISSOO 2277000066 CCeerrttiiffiiccaattiioonn ddee SSMMSSII
IISSOO 2277000055 GGeessttiioonn ddee rriissqquuee
IISSOO 2277000044 IInnddiiccaatteeuurrss SSMMSSII
IISSOO 2277000033 IImmpplleacuteeacutemmeennttaattiioonn
2005-2010 200
2005-2010 2008
Guidesusage facultatif
Exigencesusage obligatoire
dans la certification
2009
IISSOO 2277000077 AAuuddiitt ddee SSMMSSII
2009
2009
2010
Scheacutema 1 La seacuterie ISOIEC 27000
Bien sucircr dautres normes techniques continueront de traiter de la seacutecuriteacute des systegravemesdinformations En particulier nous pouvons mentionner
ISOIEC 27031 Specification for ICT Readiness for Business Continuity
ISOIEC 27032 Guidelines for Cybersecurity
ISOIEC 27033 de 1 agrave 8 IT network security (ex ISOIEC 18028)
ISOIEC 27034 Guidelines for Application Security
ISOIEC 27035 Information Security Incident Management
ISOIEC 18043 Selection deployment and operation of intrusion detection systems
(IDS)
Dautres reacutefeacuterentiels eux aussi en cours deacutevolution sont susceptibles decirctre utiliseacutes pourameacuteliorer la seacutecuriteacute de linformation Ils peuvent ainsi se trouver en concurrence avec tout oupartie des normes preacuteciteacutees Ils peuvent aussi introduire de nouvelles contraintes qui seront agraveprendre en compte dans leur mise en œuvre
Le plus connu est le CoBIT (Control Objectives of Information and related Technology)eacutelaboreacute par lISACA ( Information Systems Audit and Control Association) Il convienteacutegalement de mentionner les documents eacutemanant du COSO (Committee of Sponsoring
Organisations of the Treadway Commission) ou de diffeacuterents organismes gouvernementaux(NIST aux USA DTI au Royaume Uni hellip)
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1028
Les meacutetriques dans le cadre de la seacuterie 27000 - 8 - copy CLUSIF 2009
Scheacutema 2 La seacuterie ISOIEC 27000 et les autres reacutefeacuterentiels
De la mecircme faccedilon les lois et les regraveglements concernant la seacutecuriteacute de linformation(informations nominatives gestion de lidentiteacute reacutetention de donneacutees chiffrement hellip) sontactuellement en eacutevolution dans la plupart des pays
De nouvelles conditions de traitement de conservation ou de destruction des informations
sont ainsi agrave mettre en œuvre de faccedilon impeacuterative et de faccedilon dautant plus complexe que lesmesures de seacutecuriteacute peuvent varier dun pays agrave lautre
Des impeacuteratifs leacutegislatifs ou sectoriels peuvent aussi voir le jour et entraicircner des conseacutequencesimportantes Par exemple la loi Sarbanes-Oxley Act pour les entreprises coteacutees sur lesmarcheacutes ameacutericains la Loi sur la Seacutecuriteacute Financiegravere pour les entreprises franccedilaises Bacircle IIpour les eacutetablissements financiers ou Solvency II pour les assurances
ISO 27001Moteur de base
ISO 27004Indicateurs
CoBITGouvernance
CMMID eacute veloppements
ITIL Production
ISO 27005Appr eacuteciation des
risques
ISO 27002Bonnes pratiques ISO 27001
SAS 70
PCI - DSS
Tout autre r eacute f eacute rentielseacute curit eacute
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1128
Les meacutetriques dans le cadre de la seacuterie 27000 - 9 - copy CLUSIF 2009
22 Terminologie
Le terme laquo meacutetrique raquo nrsquoexiste pas dans la langue franccedilaise au sens ougrave il est utiliseacute dans ce
documentLe terme anglais laquo metrics raquo (a system of related measures that facilitates the quantification ofsome particular characteristic) est utiliseacute pour meacutetrologie parfois laquo traduit raquo par meacutetrique
Pour meacutemoire la meacutetrologie est la science qui sinteacuteresse aux cocircteacutes theacuteoriques et pratiques dela mesure dans tous les domaines de la science et de la technologie Plus speacutecifiquement lameacutetrologie touche lutilisation des uniteacutes la reacutealisation des eacutetalons les meacutethodes lestechniques et les appareils de mesure ainsi que la preacutecision obtenue
Les diffeacuterentes normes en rapport avec le sujet fournissent les deacutefinitions suivantes
Attribut proprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacute quantitativementou qualitativement par des moyens humains ou automatiques [ISOIEC 159392007]
Mesurage processus drsquoobtention drsquoinformation relative agrave lrsquoefficaciteacute drsquoun SMSI et demesures de seacutecuriteacute agrave lrsquoaide drsquoune meacutethode drsquoeacutevaluation drsquoune fonction drsquoeacutevaluationdrsquoun modegravele analytique et de critegraveres de deacutecision [ISOIEC 27004]
Indicateur reacutesultat de lrsquoapplication drsquoun modegravele analytique agrave une ou plusieurs variablesen relation avec les critegraveres de deacutecision ou un besoin drsquoinformation [ISOIEC 27004]
Un indicateur est la base de lrsquoanalyse et de la prise de deacutecisionCompleacutements aux deacutefinitions proposeacutees dans ce document
Meacutetrique ensemble drsquoeacuteleacutements permettant de fournir une eacutevaluation qualitative ouquantitative repreacutesentative drsquoune situation
Indicateur donneacutee objective qui preacutesente une situation du strict point de vuequantitatif Un indicateur est pertinent srsquoil est directement relieacute agrave une zone drsquoaction (ilindique ougrave il faut agir) Les indicateurs peuvent ecirctre regroupeacutes dans un tableau de bordoutil de synthegravese et de visualisation des situations deacutecrites
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1228
Les meacutetriques dans le cadre de la seacuterie 27000 - 10 - copy CLUSIF 2009
23 Positionnement des meacutetriques dans le modegravele defonctionnement
La figure ci-dessous positionne les termes laquo attribut raquo laquo meacutetrique raquo et laquo indicateur raquo
Interpreacutetation
Collecte des paramegravetres etvariables mesurables
les attributs
Repreacutesentation de lareacutealiteacute du ldquo terrainrdquo(donneacutees brutes)
Repreacutesentation de la situation
Aide agrave la deacutecision
Information quantitative ou
qualitative positionneacutee surune eacutechelle de reacutefeacuterence
Indicateurs
Meacutetriques
Tableau de Bord
Systegravemes et processus meacutetiers de lrsquoentiteacute
attributs
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situationControcircle
ISMS
Objectifs
Miseen
place
Interpreacutetation Interpreacutetation Inte rpreacutetation
Collecte des paramegravetres etvariables mesurables
les attributs
Repreacutesentation de lareacutealiteacute du ldquo terrainrdquo(donneacutees brutes)
Repreacutesentation de la situation
Aide agrave la deacutecision
Information quantitative ou
qualitative positionneacutee surune eacutechelle de reacutefeacuterence
Indicateurs
MeacutetriquesMeacutetriques
Tableau de Bord
Systegravemes et processus meacutetiers de lrsquoentiteacute
attributs
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situation
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situationControcircle
ISMS
Objectifs
Miseen
place
Miseen
place
Scheacutema 3 Repreacutesentation drsquoapregraves le document ISOIEC 27004
Exemple dans le domaine des antivirus
Nombre de postes eacutequipeacutes dun antivirus attribut
Pourcentage du nombre de postes eacutequipeacutes sur le total meacutetrique
Nombre de postes eacutequipeacutes dun antivirus dont lantivirus a eacuteteacute mis agrave jour attribut
Pourcentage de postes dont lantivirus a eacuteteacute mis agrave jour meacutetrique
A partir de lrsquoexemple ci-dessus en regroupant les deux meacutetriques nous pouvons constituer un
indicateur repreacutesentant agrave la fois le niveau de protection viral des postes de travail et lamaicirctrise du processus antiviral sur ces postes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1328
Les meacutetriques dans le cadre de la seacuterie 27000 - 11 - copy CLUSIF 2009
Les indicateurs intimement lieacutes agrave la situation que nous voulons repreacutesenter peuvent ecirctre denature diffeacuterente et avoir des finaliteacutes eacutegalement diffeacuterentes
constater une situation dans le domaine que lrsquoon veut observer
mesurer leacutecart entre le niveau existant et le niveau de lrsquoobjectif deacutefini
suivre leacutevolution des domaines geacutereacutes et analyseacutes
anticiper etou deacuteclencher la mise en œuvre de plans drsquoactions de seacutecuriteacute (agrave partir dufranchissement drsquoun seuil)
communiquer agrave partir de donneacutees analyseacutees
piloter les projets
appreacutecier le respect des lois et reacuteglementations
auditer
Dans le contexte de la mise en œuvre drsquoun SMSI et du respect du principe de la Roue deDeming (cycle PDCA) les critegraveres de choix des indicateurs doivent inteacutegrer le soucidrsquoameacutelioration permanente de la seacutecuriteacute par la veacuterification de lefficaciteacute des mesures deseacutecuriteacute valideacutees et deacuteployeacutees Ainsi il est toujours souhaitable davoir en meacutemoire quelobjectif dun indicateur de seacutecuriteacute dans le SMSI est deacutevaluer lefficaciteacute des mesures deseacutecuriteacute
Dans la suite du document le choix a eacuteteacute fait drsquoillustrer uniquement les meacutethodes de mise en
œuvre drsquoindicateurs pour les SMSI En effet le suivi de lrsquoefficaciteacute de tout systegraveme demanagement est reacutealiseacute agrave partir de ces indicateurs (cf scheacutema 3)
24 Eacuteleacutements pour la mise en œuvre des indicateurs
Afin de satisfaire les objectifs assigneacutes les indicateurs doivent respecter des conditionsparticuliegraveres et ecirctre doteacutes de qualiteacutes speacutecifiques notamment
ecirctre issus des objectifs retenus dans la politique de seacutecuriteacute
ecirctre aiseacutement quantifiables (construits agrave partir drsquoinformations ou de processus geacuteneacuterantdes informations quantifiables) afin de permettre des comparaisons (entre systegravemes ouentre peacuteriodes) Il srsquoagit le plus souvent de pourcentage de taux de ratio de moyenneetou de nombres laquo bruts raquo
les informations neacutecessaires agrave lrsquoeacutelaboration de la mesure doivent ecirctre faciles agrave obteniretou collecter En effet il faut srsquoassurer que les ressources mises en œuvre pour obtenirles donneacutees ne sont pas disproportionneacutees par rapport agrave celles concourant agrave la reacutealisationdu processus mesureacute
srsquoappuyer sur des processus laquo stables raquo et aiseacutement laquo reproductibles raquo
permettre la mesure des eacutevolutions suite agrave des actions correctives
ecirctre fiables sur la dureacutee et autoriser une analyse des eacutecarts
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1428
Les meacutetriques dans le cadre de la seacuterie 27000 - 12 - copy CLUSIF 2009
Ces caracteacuteristiques sont regroupeacutees dans certaines deacutemarches sous lacronyme laquo SMART raquoqui signifie
Specific il correspond agrave ce qui est analyseacute et met en avant la speacutecificiteacute de lattribut
Measurable il peut ecirctre mesureacute et cette mesure est objective
Attainable il est obtenu dans des conditions satisfaisantes de coucirct et de deacutelai Repeatable sa mesure est reproductible
Time dependent la mesure deacutepend de la fenecirctre de temps utiliseacutee
Les caracteacuteristiques de la mesure deacutefinies dans lAnnexe A de lrsquoactuel projet de normeISOIEC 27004 doivent ecirctre deacutefinies pour chaque indicateur
25 Exemples drsquoindicateurs
Quelques exemples drsquoindicateurs sont donneacutes ci-apregraves La liste fournie nrsquoest pas exhaustive Ilest inteacuteressant de constater que certains indicateurs sont de nature opeacuterationnelle oustrateacutegique voire opeacuterationnelle et strateacutegique
Controcircle drsquoaccegraves
pourcentage drsquoutilisateurs dont le mot de passe respecte les principes de construction
pourcentage de systegravemes accessibles depuis lrsquoexteacuterieur et comprenant un IDS agrave jour
Controcircle des codes malveillants
nombre annuel dattaques reacuteussies par deacutefaut de mise agrave jour de la base virale
deacutelai de retour agrave la normale sur attaque virale
freacutequence de mise agrave jour de la base antivirus freacutequence drsquoeacutevaluation de la conformiteacute des politiques antivirales laquo locales raquo avec la
politique laquo globale raquo
Mise en œuvre du SMSI
pourcentage de deacuteclinaisons des principes de la politique de seacutecuriteacute de lrsquoorganisme enproceacutedures opeacuterationnelles
nombre mensuel drsquoincidents de seacutecuriteacute non reacutesolus
pourcentage de comiteacutes de pilotage de seacutecuriteacute tenus en accord avec le planning
pourcentage dactions correctives non meneacutees agrave terme
Maicirctrise des deacutepenses deacutepenses lieacutees agrave la seacutecuriteacute selon diffeacuterents critegraveres nombre dalertes dincidents etc
Formation
pourcentage du budget global de formation consacreacute agrave la seacutecuriteacute des systegravemesdrsquoinformation
pourcentage de participants en fonction de la population cible agrave des sessions relatives agravela seacutecuriteacute des systegravemes drsquoinformation
taux de freacutequentation des formations aux proceacutedures dalerte par les personnes cleacutes descellules de crise
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1528
Les meacutetriques dans le cadre de la seacuterie 27000 - 13 - copy CLUSIF 2009
Seacutecuriteacute des logiciels applications
nombre de correctifs de seacutecuriteacute valideacutes apregraves analyse
taux de correctifs de seacutecuriteacute valideacutes mis en œuvre dans les deacutelais preacutevus
Seacutecuriteacute reacuteseau
nombre drsquoaudits et de tests de vulneacuterabiliteacute reacutealiseacutes sur la peacuteriode
Disponibiliteacute des services
taux de disponibiliteacute DNS accegraves internet messagerie
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1628
Les meacutetriques dans le cadre de la seacuterie 27000 - 14 - copy CLUSIF 2009
3 LES DIFFERENTS USAGES DES INDICATEURS
31 EacutevaluerCes indicateurs peuvent ecirctre reacutepartis dans les grandes familles suivantes
Les indicateurs laquo de conformiteacute raquo deacutecrivent le niveau dexigence souhaiteacute (ou constateacute)sur une mesure de seacutecuriteacute Par exemple en ce qui concerne la mesure de seacutecuriteacutelaquo Reacutealisation de sauvegardes raquo un indicateur de conformiteacute de seacutecuriteacute peut ecirctre lafreacutequence des sauvegardes ou le ratio du nombre de bandes externaliseacutees par rapport aunombre total de bandes
Les indicateurs laquo defficaciteacute raquo deacutecrivent leacutetat du fonctionnement de la mesure deseacutecuriteacute Sur le mecircme exemple de la laquo Reacutealisation de sauvegardes raquo un nombre eacuteleveacute de
tests de restaurations deacutefectueux peut deacutemontrer un mauvais fonctionnement dessauvegardes
Les indicateurs laquo defficience raquo visent agrave rapprocher lefficaciteacute de la mesure de seacutecuriteacuteau regard de limportance des moyens mis en œuvre
32 Piloter
Toute activiteacute (production projet processus etc) implique la deacutetermination drsquoindicateurs depilotage Ces derniers permettent
drsquoappreacutecier lavancement correct du projet drsquoeacutevaluer une situation
de deacutetecter un risque
de deacuteclencher une alerte
Le choix des indicateurs peut deacutependre des objectifs de lrsquoactiviteacute (coucircts deacutelais performanceetc) mais aussi ecirctre lieacute agrave des processus transverses (management support etc)
Nous pourrons ainsi avoir les indicateurs suivants sur diffeacuterentes eacutechelles de temps anneacuteemois semaine jour
nombre de machines infecteacutees par des virus nombre de machines
nombre de messages infecteacutes par des virus nombre de messages
nombre de machines agrave jour nombre de machines
temps moyen et maximum de mise agrave jour du parc
nombre drsquoattaques virales identifieacutees bloqueacutees exeacutecuteacutees
impact de ses attaques en heures de travail perdues financier
raison des infections mise agrave jour non effectueacutee seacutecuriteacute non appliqueacutee malveillancehellip
variation du taux drsquoinfection et tentatives drsquoinfection sur les 12 derniers mois
etc
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1728
Les meacutetriques dans le cadre de la seacuterie 27000 - 15 - copy CLUSIF 2009
Ces indicateurs peuvent aussi ecirctre eacuteleacutementaires ou plus syntheacutetiques Par exemplelrsquoagreacutegation de certains indicateurs informatiques avec les indicateurs eacuteconomiques Lelaquo Ratio du nombre annuel drsquoaccords de confidentialiteacutes (NDA ndash Non disclosure agreement)signeacutes par rapport au nombre de prestataires preacutesents dans lrsquoorganisme raquo en est un exemple
33 Communiquer
Des indicateurs sont aussi utiliseacutes pour communiquer en interne ou en externe Leur naturesera diffeacuterente en fonction des acteurs viseacutes et de leur objectif de communication(sensibiliser faire passer des ideacutees justifierhellip)
Par exemple pour communiquer autour de la lutte antivirale
nombre drsquoheures de travail perdues suite agrave une attaque virale
variation du taux drsquoinfection sur les douze derniers mois (justification du budget)
nombre drsquoattaques virales provenant drsquoun support externe
34 Sautoeacutevaluer
Cette eacutevaluation peut ecirctre reacutealiseacutee en interne par lrsquoeacutequipe en charge de la fonction comme parlrsquoeacutequipe drsquoaudit ou de controcircle interne
Elle se situe par rapport agrave un reacutefeacuterentiel interne ou externe ou par rapport agrave un objectifarbitraire ou reacutesultant drsquoune expeacuterience passeacutee et deacutejagrave mesureacutee
Les indicateurs citeacutes comme exemple dans les paragraphes preacuteceacutedents peuvent notammentservir dans le cadre drsquoune autoeacutevaluation
35 Contribuer agrave lrsquoobtention drsquoune certification
Ces indicateurs servent agrave
appreacutecier lrsquoavancement dans le processus de certification
obtenir la certification
et surtout la conserver
Sans ecirctre obligatoire pour lrsquoobtention de la certification ISOIEC 270012005 la mise enplace drsquoindicateurs simplifie grandement le cheminement vers celle-ci
36 Reacutepondre agrave un audit
Les indicateurs servent agrave informer lrsquoauditeur agrave justifier des mesures de seacutecuriteacute mises enplace et des correctifs en cours
Les indicateurs preacutesenteacutes lors drsquoaudits contribuent agrave lrsquoanalyse de risque et srsquoappreacutecient parrapport agrave un reacutefeacuterentiel externe
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1828
Les meacutetriques dans le cadre de la seacuterie 27000 - 16 - copy CLUSIF 2009
4 LES TRAVAUX NORMATIFS EN COURS
(ISOIEC 27004)
Ce document a eacuteteacute reacutedigeacute alors que la norme ISOIEC 27004 nrsquoeacutetait pas stabiliseacutee (versionCD) il est toutefois permis de penser que lrsquointeacuterecirct du document justifie les travaux entreprisci-apregraves sous reacuteserve de possibles eacutevolutions
Ce projet de norme au sein de la seacuterie 27000 constitue un guide [agrave usage facultatif] delaquo Mesurage et meacutetriques raquo dans le cadre drsquoun SMSI (Systegraveme de Management de la Seacutecuriteacutede lrsquoInformation) tel que deacutefini dans lrsquoISOIEC 270012005
Les domaines suivants sont abordeacutes
preacutesentation du processus de mesurage
rocircles et responsabiliteacutes
conception des indicateurs production et mise en forme des indicateurs
analyse et reporting
ameacutelioration du processus de mesurage
Une premiegravere annexe preacutesente un modegravele commenteacute drsquoune fiche drsquoindicateur (cf Annexe A)La seconde annexe preacutesente plusieurs exemples drsquoattributs de meacutetriques ou drsquoindicateurs (cfAnnexe B)
41 Concepts de meacutetriquesUn processus de mesure a pour but de veacuterifier que les objectifs de seacutecuriteacute fondeacutes notammentsur lrsquoanalyse de risque et la conformiteacute aux dispositions leacutegales et reacuteglementaires sontatteints
Il se compose de phases de collecte drsquoinformations et drsquoanalyse Par comparaison agrave descritegraveres de deacutecision ces phases permettent lrsquoobtention drsquoinformations de seacutecuriteacute etlrsquoameacutelioration continue du management de la seacutecuriteacute
Les mesures peuvent ecirctre eacuteleacutementaires ou deacuteriveacutees
une mesure eacuteleacutementaire1
est la valeur drsquoun laquo attribut raquo obtenue par une meacutethode decalcul
une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesureseacuteleacutementaires
Pour chaque type de mesure (eacuteleacutementaire ou deacuteriveacutee) il convient de faire en sorte que desobjectifs de conformiteacute ou de performance soient mis en eacutevidence
Le modegravele du processus de mesure proposeacute comprend un processus de remonteacutee demesures eacuteleacutementaires et de mesures deacuteriveacutees qui contribuent agrave la fabrication drsquoindicateurslesquels seront compareacutes individuellement agrave leur critegravere de deacutecision Lrsquoefficaciteacute du systegraveme
1 Une mesure eacuteleacutementaire peut dans certains cas correspondre directement agrave un indicateur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1928
Les meacutetriques dans le cadre de la seacuterie 27000 - 17 - copy CLUSIF 2009
de management srsquoappreacutecie en comparant les reacutesultats issus des mesures effectueacutees avec leursobjectifs initiaux
Dans le projet de norme les preacutecisions suivantes sont apporteacutees
les objectifs du processus de mesure sont clairement eacutetablis (eacutevaluer fournir des
donneacutees faciliter lrsquoeacutevolution communiquer) En revanche le peacuterimegravetre sur lequelsrsquoapplique ce processus ainsi que la meacutethodologie drsquoimpleacutementation restent agrave lrsquoinitiativede chacun
lrsquoimplication du management dans le processus de mesure est souligneacutee notamment surson engagement ses responsabiliteacutes et les ressources agrave mettre en œuvre
les diffeacuterents rocircles qui devraient ecirctre assigneacutes par le Management concernant leprocessus de mesure sont preacuteciseacutes le fournisseur le client le collecteur lecommunicateur le reacute-examinateur (cf deacutefinitions dans lrsquoannexe A du preacutesentdocument) Ces diffeacuterents rocircles devront faire lrsquoobjet de proceacutedures drsquohabilitationprenant en compte les contraintes de seacuteparation des tacircches et les compeacutetencestechniques neacutecessaires
42 Concevoir des meacutetriques
Des meacutetriques doivent ecirctre creacuteeacutes pour eacutevaluer lrsquoefficaciteacute du SMSI controcircler lrsquoatteinte desobjectifs identifier valider et ameacuteliorer les mesures de seacutecuriteacute speacutecifiques
Pour cela il faut pour chaque meacutetrique agrave partir drsquoune analyse de risque et de lrsquoeacutetat initial
identifier et choisir des objectifs
documenter et planifier lrsquoactiviteacute de mesurage (lrsquoannexe A du preacutesent document
preacutesente un modegravele de fiche sur ce thegraveme) en particulier concernant la meacutethode decollecte de stockage drsquoarchivage de veacuterification et drsquoanalyse des donneacutees ainsi que lamise en place du processus de mesurage
deacutefinir les principaux acteurs et les ressources neacutecessaires
srsquoassurer de la pertinence des mesurages qui devraient veacuterifier les critegraveres SMART(Specific Measurable Attainable Repeatable Time dependant)
43 Mettre en place des meacutetriques
La mise en place permanente de la collecte de la conservation et de lrsquoanalyse des donneacutees apour but drsquoassurer la compreacutehension et lrsquoameacutelioration du SMSI Ce processus doitaccompagner les eacutevolutions du SMSI
Cette rubrique dans le projet de norme constitue un guide pratique opeacuterationnel qui preacuteciseles conditions de
collecte des donneacutees (en speacutecifiant la date lrsquoheure le proprieacutetairehellip)
validation
traitement
diffusion
conservation
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2028
Les meacutetriques dans le cadre de la seacuterie 27000 - 18 - copy CLUSIF 2009
Il importe que les reacutesultats des indicateurs servent agrave eacutevaluer lrsquoefficaciteacute des dispositifs deseacutecuriteacute (de preacutevention deacutetection correction ou reacutecupeacuteration) en place Dans un secondtemps cette base drsquoindicateurs constitueacutee permettra de soutenir un processus de deacutecision dansle choix de nouveaux dispositifs
44 Utiliser communiquer et ameacuteliorer les meacutetriques
Lrsquoanalyse des donneacutees et leur interpreacutetation consistent agrave les rapprocher des critegraveres dedeacutecision preacutealablement deacutefinis (Annexe A)
Le but de lrsquoanalyse est de pouvoir identifier les eacutecarts entre la performance attendue et cellereacutealiseacutee Les causes de non-conformiteacute et de mauvaise performance pourront ecirctre ainsiidentifieacutees en fonction des dispositifs de seacutecuriteacute qui
ne sont pas opeacuterationnels
sont impleacutementeacutes mais ne fonctionnement pas correctement sont impleacutementeacutes fonctionnent correctement mais ne couvrent pas les menaces
estimeacutees
sont impleacutementeacutes fonctionnent correctement mais toutes les menaces ne sont pascouvertes
Les conclusions des analyses devraient ecirctre revues par toutes les parties prenantes ndash dans lesens laquo stakeholders raquo ndash pour assurer la bonne interpreacutetation de la donneacutee A cette fin lesreacutesultats des analyses devraient ecirctre suffisamment documenteacutes
La consolidation de ces reacutesultats devra intervenir dans des tableaux de bord pour unecommunication agrave qui de droit
Les mesures peuvent ecirctre utiliseacutees agrave diverses fins
eacutevaluer lrsquoefficaciteacute des dispositifs de seacutecuriteacute
critiquer les appreacuteciations et les traitements des risques
deacutemontrer les progregraves
se comparer au sein ou entre organisations
45 Ameacuteliorer le processus de mesure
Lrsquoefficaciteacute du processus de mesure doit ecirctre examineacutee peacuteriodiquement afin de lrsquoameacuteliorerNeacuteanmoins les donneacutees de base doivent faire lrsquoobjet de sauvegardes reacuteguliegraveres et peacuterennesafin de pouvoir recalculer les meacutetriques en fonction de leurs diffeacuterentes eacutevolutions
Des eacutevolutions peuvent ecirctre envisageacutees quand lrsquoorganisation introduit de nouveaux objectifsde mesure points de mesure de nouvelles meacutethodes ou fonctions de mesure
Le processus de mesure devrait ecirctre eacutevalueacute en termes drsquoutiliteacute et reacuteexamineacute agrave chaque fois quelrsquoorganisation change Il importe de srsquoassurer que les mesures reflegravetent un eacutetat agrave jour de laseacutecuriteacute et de veacuterifier que les donneacutees sous-jacentes sont encore valides Il est eacutegalementimportant de valider la pertinence des hypothegraveses
Il srsquoagit aussi drsquoeacutevaluer lrsquoutiliteacute de la mesure et le coucirct du processus de mesure afin dedeacuteterminer la pertinence de sa modification ou de sa suppression
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2128
Les meacutetriques dans le cadre de la seacuterie 27000 - 19 - copy CLUSIF 2009
5 CONCLUSION
LrsquoISOIEC 270012005 insiste sur lrsquoimportance de mesurer lrsquoefficaciteacute des processus du
SMSI des mesures de seacutecuriteacute mises en œuvre et du processus de mesurage lui-mecircme2
Cependant cette norme ne preacutecise pas comment mesurer cette efficaciteacute Elle se contentedrsquoindiquer qursquoune meacutethode est agrave deacutefinir
A cette fin le preacutesent document apporte un eacuteclairage aux RSSI auditeurs internes acteurs ducontrocircle permanent et managers dans la deacutefinition et la mise en œuvre des indicateurs adapteacutesagrave leurs exigences selon des processus qui devraient figurer dans la norme ISOIEC 27004
LrsquoISOIEC 27004 est un guide qui compleacutetera lrsquoISOIEC 270012005 en fournissant deslignes directrices et des conseils sur
la conception
la mise en œuvre
lrsquoanalyse et la communication des reacutesultats
lrsquoameacutelioration du processus de mesurage drsquoun SMSI
Cette future norme devrait ecirctre publieacutee prochainement La seacuterie ISOIEC 27000 a eacuteteacutecompleacuteteacutee de lrsquoISOIEC 270052008 et de lrsquoISOIEC 27003 (preacutevue en 2009) qui traitentrespectivement de la gestion du risque et de la mise en œuvre drsquoun SMSI
2 cf clauses 02c 02d 422d 423c 431g 72f et 73e
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2228
Les meacutetriques dans le cadre de la seacuterie 27000 - 20 - copy CLUSIF 2009
ANNEXE A FICHE DESCRIPTIVE
Modegravele de fiche descriptive drsquoune mesure
Cette fiche est inspireacutee de lrsquoISOIEC FCD 27004
Identification de la mesure
Nom de la mesure Nom de la mesure
Identifiant de la mesure Identifiant numeacuterique unique speacutecifique agrave lrsquoorganisme
Objectif de la mesureDeacutecrit lrsquoobjectif de la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure de
seacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (1)Facultatif Deacutecrit la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure deseacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (2)Facultatif Deacutecrit dautres mesures de seacutecuriteacute (agrave mettre ou deacutejagrave mise en œuvre) faisant lrsquoobjet le caseacutecheacuteant de la mecircme mesure (reacutefeacuterence aux mesures de seacutecuriteacute de lrsquoannexe A de la normeISO 27001)
Objectif de la mesure Deacutefinit le but de la mesure
Reacute examinateurPersonne ou uniteacute organisationnelle qui examine et valide que les critegraveres deacutevaluation de la mesuresont approprieacutes pour veacuterifier lefficaciteacute des mesures de seacutecuriteacute et des processus du SMSI
Objets du mesurage et attributs
Objet du mesurage
Objet qui doit ecirctre mesureacute et qui est caracteacuteriseacute par la mesurabiliteacute de ses attributs Les objets peuvent
comprendre des processus des systegravemes ou des composants de systegravemes
AttributsProprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacutee quantitativement ou qualitativementpar des moyens humains ou automatiques
Speacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesUne mesure eacuteleacutementaire est deacutefinie en fonction dun attribut et de la meacutethode de mesurage speacutecifieacuteepour le quantifier (par exemple le nombre de personnel formeacute le nombre de sites le coucirct cumuleacute agravece jour) Au moment ougrave la donneacutee est collecteacutee une valeur est affecteacutee agrave une mesure eacuteleacutementaire
Meacutethodes de mesurage Suite logique drsquoopeacuterations qui permettent de quantifier un attribut selon une eacutechelle
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure eacuteleacutementaire
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesures eacuteleacutementaires
Fonction de mesurageSuite logique drsquoopeacuterations qui permettent de calculer la mesure deacuteriveacutee Pour les mesures deacuteriveacutees lafonction par laquelle les mesures deacuteriveacutees fondeacutees sur des mesures eacuteleacutementaires correspondantes etla preacutecision cumulative reacutesultante sont agreacutegeacutees
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure deacuteriveacutee
Speacutecification de lrsquoindicateur
Description dindicateur etexemple
Preacutesentation dune ou plusieurs mesures (eacuteleacutementaires ou deacuteriveacutees) qui fournit une estimation ou uneeacutevaluation dattributs speacutecifieacutes reacutesultant dun modegravele analytique en ce qui concerne des besoins delinformation deacutefinis Un indicateur est souvent preacutesenteacute agrave lrsquoaide drsquoun graphique ou drsquoun diagrammeInclure un croquis de lindicateur
Modegravele analytique Algorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires etou deacuteriveacutees avec lescritegraveres de deacutecision associeacutes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2328
Les meacutetriques dans le cadre de la seacuterie 27000 - 21 - copy CLUSIF 2009
Critegravere de deacutecisionSeuil cible ou modegravele utiliseacute pour deacuteterminer la neacutecessiteacute dune action ou un compleacutement denquecircteou pour deacutecrire le niveau de confiance dans un reacutesultat donneacute
Interpreacutetation dindicateurDescription de la faccedilon dont lindicateur exemple (voir la figure exemple dans la description delindicateur) devrait ecirctre interpreacuteteacute
Effets impact Deacutefinition des effets et de lrsquoimpact issu des reacutesultats obtenus par la mesure
Causes drsquoeacutecart Deacutefinition des causes possibles agrave lrsquoorigine drsquoeacutecarts des reacutesultats
Valeurs positivesDeacuteclaration expliquant si les valeurs en laquo croissance raquo indiquent des tendances positives (bonreacutesultat) ou si les valeurs en laquo deacutecroissance raquo doivent ecirctre consideacutereacutees comme des tendancespositives
Format de restitution
Le format de la restitution devrait ecirctre preacuteciseacute et documenteacute Il deacutecrit les observations quelrsquoorganisation ou le proprieacutetaire de lrsquoinformation peut vouloir sur lrsquoenregistrement Les formats derapport deacutecriront visuellement les mesures et fourniront une explication verbale des indicateurs Ilsdevraient ecirctre personnaliseacutes en fonction du laquo client de linformation raquo (ce terme est deacutefini ci-apregraves)
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des
donneacutees
Freacutequence agrave laquelle les donneacutees sont collecteacutees
Fournisseur de lrsquoinformationPersonne ou uniteacute organisationnelle qui deacutetient lrsquoinformation pour creacuteer les mesures eacuteleacutementairesCelui qui va contribuer agrave la meacutetrique produire lrsquoinformation pour le calcul de la meacutetrique
Collecteur de lrsquoinformationPersonne ou uniteacute organisationnelle en charge de collecter enregistrer et stocker les informationsCelui qui va obtenir la meacutetrique
Outils utiliseacutes dans la collectedes donneacutees
Liste les outils utiliseacutes dans la collecte des donneacutees (par exemple un scanner de vulneacuterabiliteacute)
Conservation des donneacuteescollecteacutees
Liste les outils ougrave les donneacutees sont conserveacutees apregraves avoir eacuteteacute collecteacutees (par exemple une base dedonneacutees)
Date de collecte Date agrave laquelle la donneacutee devrait ecirctre obtenue
Proceacutedure drsquoenregistrement
des donneacuteesDeacutefinit la proceacutedure drsquoenregistrement des donneacutees (lien vers la proceacutedure correspondante)
Validiteacute de la mesure Date de reacutevision (date drsquoexpiration ou de validiteacute de renouvellement) de la mesure
Peacuteriode drsquoanalyse Deacutefinit la peacuteriode mesureacutee
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitutiondes donneacutees
Freacutequence agrave laquelle les donneacutees sont restitueacutees (cette freacutequence peut ecirctre infeacuterieure agrave celle decollecte)
Communicateur delrsquoinformation
Personne ou uniteacute organisationnelle responsable de lrsquoanalyse de lrsquoinformation et de la communicationdes reacutesultats des mesuresCelui qui va analyser la meacutetrique
Source drsquoinformation pour
lrsquoanalyse
Liste les sources drsquoinformation utiles pour lrsquoanalyse de reacutesultats (documents journaux entretien
etc)Outils utiliseacutes dans lrsquoanalyse Liste les outils utiliseacutes pour lrsquoanalyse (par exemple des outils statistiques)
Client de lrsquoinformationLa personne ou lrsquouniteacute organisationnelle qui demande ou requiert les mesures pour les besoins de sonactiviteacuteCelui qui va utiliser la meacutetrique
Information compleacutementaire
Conseils danalyseCompleacutementaires
Fournit des conseils compleacutementaires sur les variations de cette mesure
Consideacuterations de mise enœuvre
Liste les processus ou les exigences de mise en œuvre qui sont neacutecessaires pour la reacuteussite de la miseen œuvre
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2428
Les meacutetriques dans le cadre de la seacuterie 27000 - 22 - copy CLUSIF 2009
Exemple drsquoutilisation de la fiche
Identification de la mesure
Nom de la mesure Revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Identifiant de la mesure R1-A1124
Objectif de la mesure de seacutecuriteacuteA1124 [270012005]
Mesure de seacutecuriteacute (1)Les managers doivent dans leur peacuterimegravetre reacuteexaminer les droits drsquoaccegraves des utilisateurs agraveintervalles reacuteguliers par le biais drsquoun processus formel
Mesure de seacutecuriteacute (2) Revue des accegraves au reacuteseau informatique
Objectif de la mesure
Mesurer le pourcentage de manager deacuteclarant avoir effectueacute des controcircles sur les droits drsquoaccegravesutilisateurs de leur peacuterimegravetre ce qui permet drsquoeacutevaluer
bull la prise de conscience des managers vis-agrave-vis des risques drsquoaccegraves non fondeacutesfrauduleux ou obsolegravetes aux SI
bull lrsquoimplication du management dans le processus de maicirctrise et de gestion du risqueinformatique
Reacute examinateur Direction des Risques
Objets du mesurage et attributs
Objet du mesurage Processus de revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Attributs Attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateursSpeacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesExistence drsquoune attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateurs parchacun des managers
Meacutethodes de mesurageTous les trimestres les managers enverront un email standardiseacute au Deacutepartement Seacutecuriteacute desSI attestant que les accegraves des utilisateurs ont eacuteteacute revus pour leur peacuterimegravetre
Echelle Numeacuterique
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Taux drsquoattestations retourneacutees par les managers sur le trimestre eacutetudieacute
Fonction de mesurage
Taux dattestations retourneacutees par les managers sur le trimestre eacutetudieacute = (nombre dattestations
retourneacutees par les managers Total dattestations attendues dans le trimestre) 100
Echelle Ratio pourcentage
Speacutecification de lrsquoindicateur
Description dindicateur et exemple Courbe montrant lrsquoindicateur sur plusieurs peacuteriodes de restitution
Modegravele analytique
Satisfaisant si gt= 90Globalement satisfaisant si 80 lt lt 90Moyennement satisfaisant si 70 lt= lt= 80Insatisfaisant si lt 70
Critegravere de deacutecision Seuil min 80
Interpreacutetation dindicateurUn reacutesultat insatisfaisant indique un manque drsquoengagement des managers dans la gestion des
risques lieacutes agrave la seacutecuriteacute des SIEffets impact Si reacutesultats insatisfaisants lrsquoindicateur est remonteacute agrave la Direction Geacuteneacuterale pour action
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2528
Les meacutetriques dans le cadre de la seacuterie 27000 - 23 - copy CLUSIF 2009
Causes drsquoeacutecart Les reacuteorganisations fonctionnelles de lrsquoentreprise
Valeurs positives Des valeurs croissantes indiquent des tendances positives
Format de restitution Tableau Excel standardiseacute
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des donneacutees Trimestrielle
Fournisseur de lrsquoinformation Chaque manager
Collecteur de lrsquoinformation Le RSSI
Outils utiliseacutes dans la collecte desdonneacutees
Mail courrier
Conservation des donneacutees collecteacutees Reacutepertoire speacutecifique du disque reacuteseau
Date de collecte Pour le 15 de chaque deacutebut de trimestre
Proceacutedure drsquoenregistrement desdonneacutees
EhellipNOV08R1-A11-2-4XLS
Validiteacute de la mesure Annuelle
Peacuteriode drsquoanalyse Du 1er janvier au 31 deacutecembre de lrsquoanneacutee en cours
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitution desdonneacutees
Trimestrielle
Communicateur de lrsquoinformation Le RSSI
Source drsquoinformation pour lrsquoanalyse Rapports drsquoentretiens
Outils utiliseacutes dans lrsquoanalyse Excel
Client de lrsquoinformation Direction des Risques
Information compleacutementaire
Conseils danalyse Compleacutementaires NA
Consideacuterations de mise en œuvre NA
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2628
Les meacutetriques dans le cadre de la seacuterie 27000 - 24 - copy CLUSIF 2009
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE
METRIQUES ET OU DrsquoINDICATEURS
Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI
Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A8 Seacutecuriteacute lieacutee aux ressources humaines
A81 Avant le recrutement
A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute
A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat
A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur
A82 Pendant la dureacutee du contrat
A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute
A822 Sensibilisation qualification et formations
en matiegravere de seacutecuriteacute de lrsquoinformation
Nombre de personnes formeacutees an
A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque
A83 Fin ou modification du contrat
A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat
A832 Restitution des actifs Coucirct des biens non rendus en fin de mission
A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai
A9 Seacutecuriteacute physique et environnementale
A91 Zones seacutecuriseacutees
A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees
A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)
A913 Seacutecurisation des bureaux des salles et deseacutequipements
Nombre annuel de disparition de biens informatiques dans les locaux
A914 Protection contre les menaces exteacuterieures etenvironnementales
Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle
A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 528
Les meacutetriques dans le cadre de la seacuterie 27000 - III - copy CLUSIF 2009
NOTE AUX LECTEURS
La langue anglaise comprend plusieurs mots laquo control raquo laquo measure raquo laquo measurement raquo
laquo security measure raquo qui se traduisent geacuteneacuteralement en franccedilais par le mot laquo mesure raquo ilconvient donc de preacuteciser le peacuterimegravetre et la deacutefinition retenue pour chacun de ces mots dans lasuite du document afin drsquoeacuteviter les ambiguiumlteacutes de traduction Ainsi pour la suite nousutilisons les correspondances suivantes
laquo Control raquo = mesure de seacutecuriteacute doit se comprendre comme un ensemble dedispositions agrave mettre en œuvre Ce sont les laquo mesures agrave prendre raquo pour mettre en œuvreune politique de seacutecuriteacute laquo Control raquo ne se rattache donc pas directement agrave la notion demeacutetrique
laquo Measure raquo = valeur mesureacutee est deacutefini comme laquo la valeur raquo de la mesure ilsrsquoagit donc drsquoune valeur quantitative reacutesultat de la laquo mesure de la mesure de seacutecuriteacute raquo
laquo Measurement raquo = mesurage est expliciteacute dans le glossaire (cf sect22) comme eacutetant lelaquo processus de mesurage raquo il srsquoagit agrave un niveau soit eacuteleacutementaire soit plus global de lalaquo mise en œuvre de meacutetriques raquo laquo measurement raquo couvre donc la deacutefinition le choixle deacuteploiement et lrsquoeacutevaluation drsquoindicateurs
laquo Security measure raquo = mesure de seacutecuriteacute (voir la deacutefinition de laquo Control raquo)
Dans ce document le terme laquo mesure raquo employeacute seul deacutesigne le reacutesultat de lrsquoaction demesurer et ne correspond donc pas agrave laquo mesure de seacutecuriteacute raquo
___
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 628
Les meacutetriques dans le cadre de la seacuterie 27000 - 4 - copy CLUSIF 2009
1 INTRODUCTION
Lrsquoun des objectifs suivis lors de la mise en œuvre au sein drsquoun organisme drsquoune politique de
seacutecuriteacute du systegraveme drsquoinformation est drsquoapporter ou de renforcer la confiance en celui-ciCette confiance traduit lrsquoune des exigences des diffeacuterents acteurs (internautes clientsfournisseurs actionnaires hellip) ou de lrsquoorganisme lui-mecircme (entreprise administration ONGtiers de confiance ) lors drsquoune transaction commerciale du deacuteveloppement de son activiteacutepour la conservation de donneacutees numeacuteriques hellip
La notion de laquo niveau de seacutecuriteacute raquo est souvent utiliseacutee par abus de langage pourlaquo eacutetalonner raquo cette confiance Cela pour signifier que lrsquoon veut ecirctre laquo sucircr raquo de son SI ou pourlaquo garantir raquo que des mesures de seacutecuriteacute ont eacuteteacute mises en œuvre et qursquoelles permettent dereacuteduire lrsquoexposition aux risques agrave un niveau laquo acceptable raquo
Lrsquoappreacuteciation de lrsquoatteinte des objectifs de seacutecuriteacute ainsi que la pondeacuteration agrave affecter aux
diffeacuterentes theacutematiques de seacutecuriteacute (plan de continuiteacute seacutecuriteacute physique des infrastructuresgestion des identiteacutes hellip) demeurent des questions drsquoactualiteacute Il est difficile drsquoindiquer parmidiffeacuterentes mesures de seacutecuriteacute deacuteployeacutees celles qui auront le plus de valeur ajouteacutee sur leniveau de protection du systegraveme drsquoinformation
La confiance accordeacutee agrave la seacutecuriteacute du systegraveme drsquoinformation se mesure notamment parrapport agrave une politique constitueacutee par des processus et des objectifs suivant une deacutemarcheformaliseacutee pour les atteindre Le respect de ces conditions permet de se positionner dans uneperspective de maicirctrise du systegraveme de management de la seacutecuriteacute de lrsquoinformation (SMSI) oudrsquoeacutevaluation des mesures de seacutecuriteacute mises en place
La norme ISOIEC 27004 fournit une reacuteponse structureacutee et normaliseacutee pour laquo mesurer raquo la
performance drsquoun SMSI dans le cadre de lrsquoISOIEC 270012002
11 Objectif de ce document
Lors de ses preacuteceacutedents travaux sur les normes de la seacuterie 27000 le CLUSIF a deacuteveloppeacute dequelle maniegravere
la norme ISOIEC 270012005 permet le Management de la seacutecuriteacute de linformationpar une approche normative
la norme ISOIEC 270022005 fournit les mesures de seacutecuriteacute permettant de reacutepondre agrave
ses exigencesLrsquoobjectif de ce document est de preacutesenter au lecteur des concepts geacuteneacuteraux pouvant ecirctreutiliseacutes pour deacutefinir des indicateurs et une meacutetrique permettant les laquo mesurages raquo (voirdeacutefinition au sect22) du systegraveme de management de la seacutecuriteacute de lrsquoinformation
Ce document ne porte pas de jugement sur la qualiteacute de la norme Ce nrsquoest pas non plus undocument sur la meacutetrologie ou lrsquoeacutelaboration de tableaux de bord Il traite des fondamentauxsur les meacutetriques et leurs utilisations afin de mieux appreacutehender le contenu de la normeISOIEC 27004
Enfin les annexes proposeront diffeacuterents exemples de meacutetriques selon lrsquoISOIEC 27004 quipermettraient le mesurage drsquoun SMSI normeacute par lrsquoISOIEC 270012005
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 728
Les meacutetriques dans le cadre de la seacuterie 27000 - 5 - copy CLUSIF 2009
12 Lectorat
Les documents du CLUSIF sont geacuteneacuteralement agrave destination des RSSI et des DSI
Lrsquoeacutelargissement du peacuterimegravetre au mesurage de lrsquoensemble du SMSI nous incite agrave proposer une
cible sensiblement plus large incluant tous les professionnels de la seacutecuriteacute de lrsquoinformationmais aussi toutes les entiteacutes de controcircle permanent ou de gestion des risques
Comme tout texte lrsquoutiliteacute de la norme doit ecirctre eacutevalueacutee en fonction du contexte de mise enœuvre Ce document ayant eacuteteacute reacutedigeacute plus particuliegraverement pour un public de laquo non-initieacutes raquoafin de leur permettre de mieux appreacutehender le contenu de la norme les personnes au fait decette derniegravere nrsquoy trouveront peut ecirctre pas de deacuteveloppement nouveau
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 828
Les meacutetriques dans le cadre de la seacuterie 27000 - 6 - copy CLUSIF 2009
2 LES METRIQUES
21 Panorama des reacutefeacuterentiels et des bonnes pratiques
La norme ISOIEC 270022005 connue preacuteceacutedemment sous la reacutefeacuterenceISOIEC 177992005 a pour titre laquo Code of practice for information security management raquoElle met laccent sur le fait que deacutesormais linformation est une ressource essentielle delentreprise cest-agrave-dire que lrsquoinformation au mecircme titre que dautres actifs doit ecirctre prise enconsideacuteration eacutevalueacutee et proteacutegeacutee
La seacutecuriteacute de linformation vise entre autres agrave garantir la continuiteacute de lrsquoactiviteacute agrave reacuteduire lesrisques agrave optimiser le retour sur investissements ainsi que les opportuniteacutes daction pourlorganisme
Cette norme traduit une eacutevolution tendancielle des normes traitant de la seacutecuriteacute delinformation Au deacutepart il y a une quinzaine danneacutees ces normes eacutetaient plutocirct techniques etcontenaient surtout des prescriptions relatives aux systegravemes ou aux reacuteseaux informatiques
Vers le milieu des anneacutees 90 des travaux dorigine britannique ont conduit agrave eacutelaborer desdocuments dont le champ seacutetendait aux systegravemes dinformation et orienteacutes vers lesresponsabiliteacutes manageacuteriales et lorganisation des entreprises
Le plus connu de ces documents est le standard britannique BS 7799 dont la partie 1 (Code of
practice for information security management ) a servi de base agrave lISOIEC 27002
(anciennement ISOIEC 17799) et la partie 2 a servi de base agrave lISOIEC 27001 dans laquelleon trouve la notion de SMSI (Systegraveme de Management de la Seacutecuriteacute de lrsquoInformation)
Lors dune reacuteunion de lISO il a eacuteteacute deacutecideacute de regrouper les principales normes traitant duSMSI dans une laquo seacuterie ISOIEC 27000 raquo un peu comme la qualiteacute fait lobjet de la laquo seacuterieISO 9000 raquo ou lenvironnement de la laquo seacuterie ISO 14000 raquo Il est drsquoailleurs agrave noter que ces troisfamilles de normes sont coheacuterentes entre elles quant agrave lrsquoapproche manageacuteriale etorganisationnelle des thegravemes traiteacutes Il est preacutevu de disposer agrave terme des normes suivantes(liste non limitative)
ISOIEC 27000 Principles and Vocabulary
ISOIEC 27001 Information Security Management Systems ndash Requirements baseacutee surla BS 7799-2 et orienteacutee vers la certification
ISOIEC 27002 Code of practice for Information Security Management anciennementISOIEC 17799
ISOIEC 27003 ISMS Implementation
ISOIEC 27004 ISMS Measurements and metrics
ISOIEC 27005 ISMS Information security risk management
ISOIEC 27006 Information technology mdash Security techniques mdash Requirements for
bodies providing audit and certification of information security management systems
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 928
Les meacutetriques dans le cadre de la seacuterie 27000 - 7 - copy CLUSIF 2009
IISSOO 2277000011 SSMMSSII
IISSOO 2277000011 IISSOO 2277000022 MMeessuurreess ddee sseacuteeacuteccuurriitteacuteeacute
IISSOO 2277000000 VVooccaabbuullaaiirree
IISSOO 2277000066 CCeerrttiiffiiccaattiioonn ddee SSMMSSII
IISSOO 2277000055 GGeessttiioonn ddee rriissqquuee
IISSOO 2277000044 IInnddiiccaatteeuurrss SSMMSSII
IISSOO 2277000033 IImmpplleacuteeacutemmeennttaattiioonn
2005-2010 200
2005-2010 2008
Guidesusage facultatif
Exigencesusage obligatoire
dans la certification
2009
IISSOO 2277000077 AAuuddiitt ddee SSMMSSII
2009
2009
2010
Scheacutema 1 La seacuterie ISOIEC 27000
Bien sucircr dautres normes techniques continueront de traiter de la seacutecuriteacute des systegravemesdinformations En particulier nous pouvons mentionner
ISOIEC 27031 Specification for ICT Readiness for Business Continuity
ISOIEC 27032 Guidelines for Cybersecurity
ISOIEC 27033 de 1 agrave 8 IT network security (ex ISOIEC 18028)
ISOIEC 27034 Guidelines for Application Security
ISOIEC 27035 Information Security Incident Management
ISOIEC 18043 Selection deployment and operation of intrusion detection systems
(IDS)
Dautres reacutefeacuterentiels eux aussi en cours deacutevolution sont susceptibles decirctre utiliseacutes pourameacuteliorer la seacutecuriteacute de linformation Ils peuvent ainsi se trouver en concurrence avec tout oupartie des normes preacuteciteacutees Ils peuvent aussi introduire de nouvelles contraintes qui seront agraveprendre en compte dans leur mise en œuvre
Le plus connu est le CoBIT (Control Objectives of Information and related Technology)eacutelaboreacute par lISACA ( Information Systems Audit and Control Association) Il convienteacutegalement de mentionner les documents eacutemanant du COSO (Committee of Sponsoring
Organisations of the Treadway Commission) ou de diffeacuterents organismes gouvernementaux(NIST aux USA DTI au Royaume Uni hellip)
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1028
Les meacutetriques dans le cadre de la seacuterie 27000 - 8 - copy CLUSIF 2009
Scheacutema 2 La seacuterie ISOIEC 27000 et les autres reacutefeacuterentiels
De la mecircme faccedilon les lois et les regraveglements concernant la seacutecuriteacute de linformation(informations nominatives gestion de lidentiteacute reacutetention de donneacutees chiffrement hellip) sontactuellement en eacutevolution dans la plupart des pays
De nouvelles conditions de traitement de conservation ou de destruction des informations
sont ainsi agrave mettre en œuvre de faccedilon impeacuterative et de faccedilon dautant plus complexe que lesmesures de seacutecuriteacute peuvent varier dun pays agrave lautre
Des impeacuteratifs leacutegislatifs ou sectoriels peuvent aussi voir le jour et entraicircner des conseacutequencesimportantes Par exemple la loi Sarbanes-Oxley Act pour les entreprises coteacutees sur lesmarcheacutes ameacutericains la Loi sur la Seacutecuriteacute Financiegravere pour les entreprises franccedilaises Bacircle IIpour les eacutetablissements financiers ou Solvency II pour les assurances
ISO 27001Moteur de base
ISO 27004Indicateurs
CoBITGouvernance
CMMID eacute veloppements
ITIL Production
ISO 27005Appr eacuteciation des
risques
ISO 27002Bonnes pratiques ISO 27001
SAS 70
PCI - DSS
Tout autre r eacute f eacute rentielseacute curit eacute
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1128
Les meacutetriques dans le cadre de la seacuterie 27000 - 9 - copy CLUSIF 2009
22 Terminologie
Le terme laquo meacutetrique raquo nrsquoexiste pas dans la langue franccedilaise au sens ougrave il est utiliseacute dans ce
documentLe terme anglais laquo metrics raquo (a system of related measures that facilitates the quantification ofsome particular characteristic) est utiliseacute pour meacutetrologie parfois laquo traduit raquo par meacutetrique
Pour meacutemoire la meacutetrologie est la science qui sinteacuteresse aux cocircteacutes theacuteoriques et pratiques dela mesure dans tous les domaines de la science et de la technologie Plus speacutecifiquement lameacutetrologie touche lutilisation des uniteacutes la reacutealisation des eacutetalons les meacutethodes lestechniques et les appareils de mesure ainsi que la preacutecision obtenue
Les diffeacuterentes normes en rapport avec le sujet fournissent les deacutefinitions suivantes
Attribut proprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacute quantitativementou qualitativement par des moyens humains ou automatiques [ISOIEC 159392007]
Mesurage processus drsquoobtention drsquoinformation relative agrave lrsquoefficaciteacute drsquoun SMSI et demesures de seacutecuriteacute agrave lrsquoaide drsquoune meacutethode drsquoeacutevaluation drsquoune fonction drsquoeacutevaluationdrsquoun modegravele analytique et de critegraveres de deacutecision [ISOIEC 27004]
Indicateur reacutesultat de lrsquoapplication drsquoun modegravele analytique agrave une ou plusieurs variablesen relation avec les critegraveres de deacutecision ou un besoin drsquoinformation [ISOIEC 27004]
Un indicateur est la base de lrsquoanalyse et de la prise de deacutecisionCompleacutements aux deacutefinitions proposeacutees dans ce document
Meacutetrique ensemble drsquoeacuteleacutements permettant de fournir une eacutevaluation qualitative ouquantitative repreacutesentative drsquoune situation
Indicateur donneacutee objective qui preacutesente une situation du strict point de vuequantitatif Un indicateur est pertinent srsquoil est directement relieacute agrave une zone drsquoaction (ilindique ougrave il faut agir) Les indicateurs peuvent ecirctre regroupeacutes dans un tableau de bordoutil de synthegravese et de visualisation des situations deacutecrites
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1228
Les meacutetriques dans le cadre de la seacuterie 27000 - 10 - copy CLUSIF 2009
23 Positionnement des meacutetriques dans le modegravele defonctionnement
La figure ci-dessous positionne les termes laquo attribut raquo laquo meacutetrique raquo et laquo indicateur raquo
Interpreacutetation
Collecte des paramegravetres etvariables mesurables
les attributs
Repreacutesentation de lareacutealiteacute du ldquo terrainrdquo(donneacutees brutes)
Repreacutesentation de la situation
Aide agrave la deacutecision
Information quantitative ou
qualitative positionneacutee surune eacutechelle de reacutefeacuterence
Indicateurs
Meacutetriques
Tableau de Bord
Systegravemes et processus meacutetiers de lrsquoentiteacute
attributs
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situationControcircle
ISMS
Objectifs
Miseen
place
Interpreacutetation Interpreacutetation Inte rpreacutetation
Collecte des paramegravetres etvariables mesurables
les attributs
Repreacutesentation de lareacutealiteacute du ldquo terrainrdquo(donneacutees brutes)
Repreacutesentation de la situation
Aide agrave la deacutecision
Information quantitative ou
qualitative positionneacutee surune eacutechelle de reacutefeacuterence
Indicateurs
MeacutetriquesMeacutetriques
Tableau de Bord
Systegravemes et processus meacutetiers de lrsquoentiteacute
attributs
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situation
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situationControcircle
ISMS
Objectifs
Miseen
place
Miseen
place
Scheacutema 3 Repreacutesentation drsquoapregraves le document ISOIEC 27004
Exemple dans le domaine des antivirus
Nombre de postes eacutequipeacutes dun antivirus attribut
Pourcentage du nombre de postes eacutequipeacutes sur le total meacutetrique
Nombre de postes eacutequipeacutes dun antivirus dont lantivirus a eacuteteacute mis agrave jour attribut
Pourcentage de postes dont lantivirus a eacuteteacute mis agrave jour meacutetrique
A partir de lrsquoexemple ci-dessus en regroupant les deux meacutetriques nous pouvons constituer un
indicateur repreacutesentant agrave la fois le niveau de protection viral des postes de travail et lamaicirctrise du processus antiviral sur ces postes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1328
Les meacutetriques dans le cadre de la seacuterie 27000 - 11 - copy CLUSIF 2009
Les indicateurs intimement lieacutes agrave la situation que nous voulons repreacutesenter peuvent ecirctre denature diffeacuterente et avoir des finaliteacutes eacutegalement diffeacuterentes
constater une situation dans le domaine que lrsquoon veut observer
mesurer leacutecart entre le niveau existant et le niveau de lrsquoobjectif deacutefini
suivre leacutevolution des domaines geacutereacutes et analyseacutes
anticiper etou deacuteclencher la mise en œuvre de plans drsquoactions de seacutecuriteacute (agrave partir dufranchissement drsquoun seuil)
communiquer agrave partir de donneacutees analyseacutees
piloter les projets
appreacutecier le respect des lois et reacuteglementations
auditer
Dans le contexte de la mise en œuvre drsquoun SMSI et du respect du principe de la Roue deDeming (cycle PDCA) les critegraveres de choix des indicateurs doivent inteacutegrer le soucidrsquoameacutelioration permanente de la seacutecuriteacute par la veacuterification de lefficaciteacute des mesures deseacutecuriteacute valideacutees et deacuteployeacutees Ainsi il est toujours souhaitable davoir en meacutemoire quelobjectif dun indicateur de seacutecuriteacute dans le SMSI est deacutevaluer lefficaciteacute des mesures deseacutecuriteacute
Dans la suite du document le choix a eacuteteacute fait drsquoillustrer uniquement les meacutethodes de mise en
œuvre drsquoindicateurs pour les SMSI En effet le suivi de lrsquoefficaciteacute de tout systegraveme demanagement est reacutealiseacute agrave partir de ces indicateurs (cf scheacutema 3)
24 Eacuteleacutements pour la mise en œuvre des indicateurs
Afin de satisfaire les objectifs assigneacutes les indicateurs doivent respecter des conditionsparticuliegraveres et ecirctre doteacutes de qualiteacutes speacutecifiques notamment
ecirctre issus des objectifs retenus dans la politique de seacutecuriteacute
ecirctre aiseacutement quantifiables (construits agrave partir drsquoinformations ou de processus geacuteneacuterantdes informations quantifiables) afin de permettre des comparaisons (entre systegravemes ouentre peacuteriodes) Il srsquoagit le plus souvent de pourcentage de taux de ratio de moyenneetou de nombres laquo bruts raquo
les informations neacutecessaires agrave lrsquoeacutelaboration de la mesure doivent ecirctre faciles agrave obteniretou collecter En effet il faut srsquoassurer que les ressources mises en œuvre pour obtenirles donneacutees ne sont pas disproportionneacutees par rapport agrave celles concourant agrave la reacutealisationdu processus mesureacute
srsquoappuyer sur des processus laquo stables raquo et aiseacutement laquo reproductibles raquo
permettre la mesure des eacutevolutions suite agrave des actions correctives
ecirctre fiables sur la dureacutee et autoriser une analyse des eacutecarts
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1428
Les meacutetriques dans le cadre de la seacuterie 27000 - 12 - copy CLUSIF 2009
Ces caracteacuteristiques sont regroupeacutees dans certaines deacutemarches sous lacronyme laquo SMART raquoqui signifie
Specific il correspond agrave ce qui est analyseacute et met en avant la speacutecificiteacute de lattribut
Measurable il peut ecirctre mesureacute et cette mesure est objective
Attainable il est obtenu dans des conditions satisfaisantes de coucirct et de deacutelai Repeatable sa mesure est reproductible
Time dependent la mesure deacutepend de la fenecirctre de temps utiliseacutee
Les caracteacuteristiques de la mesure deacutefinies dans lAnnexe A de lrsquoactuel projet de normeISOIEC 27004 doivent ecirctre deacutefinies pour chaque indicateur
25 Exemples drsquoindicateurs
Quelques exemples drsquoindicateurs sont donneacutes ci-apregraves La liste fournie nrsquoest pas exhaustive Ilest inteacuteressant de constater que certains indicateurs sont de nature opeacuterationnelle oustrateacutegique voire opeacuterationnelle et strateacutegique
Controcircle drsquoaccegraves
pourcentage drsquoutilisateurs dont le mot de passe respecte les principes de construction
pourcentage de systegravemes accessibles depuis lrsquoexteacuterieur et comprenant un IDS agrave jour
Controcircle des codes malveillants
nombre annuel dattaques reacuteussies par deacutefaut de mise agrave jour de la base virale
deacutelai de retour agrave la normale sur attaque virale
freacutequence de mise agrave jour de la base antivirus freacutequence drsquoeacutevaluation de la conformiteacute des politiques antivirales laquo locales raquo avec la
politique laquo globale raquo
Mise en œuvre du SMSI
pourcentage de deacuteclinaisons des principes de la politique de seacutecuriteacute de lrsquoorganisme enproceacutedures opeacuterationnelles
nombre mensuel drsquoincidents de seacutecuriteacute non reacutesolus
pourcentage de comiteacutes de pilotage de seacutecuriteacute tenus en accord avec le planning
pourcentage dactions correctives non meneacutees agrave terme
Maicirctrise des deacutepenses deacutepenses lieacutees agrave la seacutecuriteacute selon diffeacuterents critegraveres nombre dalertes dincidents etc
Formation
pourcentage du budget global de formation consacreacute agrave la seacutecuriteacute des systegravemesdrsquoinformation
pourcentage de participants en fonction de la population cible agrave des sessions relatives agravela seacutecuriteacute des systegravemes drsquoinformation
taux de freacutequentation des formations aux proceacutedures dalerte par les personnes cleacutes descellules de crise
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1528
Les meacutetriques dans le cadre de la seacuterie 27000 - 13 - copy CLUSIF 2009
Seacutecuriteacute des logiciels applications
nombre de correctifs de seacutecuriteacute valideacutes apregraves analyse
taux de correctifs de seacutecuriteacute valideacutes mis en œuvre dans les deacutelais preacutevus
Seacutecuriteacute reacuteseau
nombre drsquoaudits et de tests de vulneacuterabiliteacute reacutealiseacutes sur la peacuteriode
Disponibiliteacute des services
taux de disponibiliteacute DNS accegraves internet messagerie
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1628
Les meacutetriques dans le cadre de la seacuterie 27000 - 14 - copy CLUSIF 2009
3 LES DIFFERENTS USAGES DES INDICATEURS
31 EacutevaluerCes indicateurs peuvent ecirctre reacutepartis dans les grandes familles suivantes
Les indicateurs laquo de conformiteacute raquo deacutecrivent le niveau dexigence souhaiteacute (ou constateacute)sur une mesure de seacutecuriteacute Par exemple en ce qui concerne la mesure de seacutecuriteacutelaquo Reacutealisation de sauvegardes raquo un indicateur de conformiteacute de seacutecuriteacute peut ecirctre lafreacutequence des sauvegardes ou le ratio du nombre de bandes externaliseacutees par rapport aunombre total de bandes
Les indicateurs laquo defficaciteacute raquo deacutecrivent leacutetat du fonctionnement de la mesure deseacutecuriteacute Sur le mecircme exemple de la laquo Reacutealisation de sauvegardes raquo un nombre eacuteleveacute de
tests de restaurations deacutefectueux peut deacutemontrer un mauvais fonctionnement dessauvegardes
Les indicateurs laquo defficience raquo visent agrave rapprocher lefficaciteacute de la mesure de seacutecuriteacuteau regard de limportance des moyens mis en œuvre
32 Piloter
Toute activiteacute (production projet processus etc) implique la deacutetermination drsquoindicateurs depilotage Ces derniers permettent
drsquoappreacutecier lavancement correct du projet drsquoeacutevaluer une situation
de deacutetecter un risque
de deacuteclencher une alerte
Le choix des indicateurs peut deacutependre des objectifs de lrsquoactiviteacute (coucircts deacutelais performanceetc) mais aussi ecirctre lieacute agrave des processus transverses (management support etc)
Nous pourrons ainsi avoir les indicateurs suivants sur diffeacuterentes eacutechelles de temps anneacuteemois semaine jour
nombre de machines infecteacutees par des virus nombre de machines
nombre de messages infecteacutes par des virus nombre de messages
nombre de machines agrave jour nombre de machines
temps moyen et maximum de mise agrave jour du parc
nombre drsquoattaques virales identifieacutees bloqueacutees exeacutecuteacutees
impact de ses attaques en heures de travail perdues financier
raison des infections mise agrave jour non effectueacutee seacutecuriteacute non appliqueacutee malveillancehellip
variation du taux drsquoinfection et tentatives drsquoinfection sur les 12 derniers mois
etc
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1728
Les meacutetriques dans le cadre de la seacuterie 27000 - 15 - copy CLUSIF 2009
Ces indicateurs peuvent aussi ecirctre eacuteleacutementaires ou plus syntheacutetiques Par exemplelrsquoagreacutegation de certains indicateurs informatiques avec les indicateurs eacuteconomiques Lelaquo Ratio du nombre annuel drsquoaccords de confidentialiteacutes (NDA ndash Non disclosure agreement)signeacutes par rapport au nombre de prestataires preacutesents dans lrsquoorganisme raquo en est un exemple
33 Communiquer
Des indicateurs sont aussi utiliseacutes pour communiquer en interne ou en externe Leur naturesera diffeacuterente en fonction des acteurs viseacutes et de leur objectif de communication(sensibiliser faire passer des ideacutees justifierhellip)
Par exemple pour communiquer autour de la lutte antivirale
nombre drsquoheures de travail perdues suite agrave une attaque virale
variation du taux drsquoinfection sur les douze derniers mois (justification du budget)
nombre drsquoattaques virales provenant drsquoun support externe
34 Sautoeacutevaluer
Cette eacutevaluation peut ecirctre reacutealiseacutee en interne par lrsquoeacutequipe en charge de la fonction comme parlrsquoeacutequipe drsquoaudit ou de controcircle interne
Elle se situe par rapport agrave un reacutefeacuterentiel interne ou externe ou par rapport agrave un objectifarbitraire ou reacutesultant drsquoune expeacuterience passeacutee et deacutejagrave mesureacutee
Les indicateurs citeacutes comme exemple dans les paragraphes preacuteceacutedents peuvent notammentservir dans le cadre drsquoune autoeacutevaluation
35 Contribuer agrave lrsquoobtention drsquoune certification
Ces indicateurs servent agrave
appreacutecier lrsquoavancement dans le processus de certification
obtenir la certification
et surtout la conserver
Sans ecirctre obligatoire pour lrsquoobtention de la certification ISOIEC 270012005 la mise enplace drsquoindicateurs simplifie grandement le cheminement vers celle-ci
36 Reacutepondre agrave un audit
Les indicateurs servent agrave informer lrsquoauditeur agrave justifier des mesures de seacutecuriteacute mises enplace et des correctifs en cours
Les indicateurs preacutesenteacutes lors drsquoaudits contribuent agrave lrsquoanalyse de risque et srsquoappreacutecient parrapport agrave un reacutefeacuterentiel externe
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1828
Les meacutetriques dans le cadre de la seacuterie 27000 - 16 - copy CLUSIF 2009
4 LES TRAVAUX NORMATIFS EN COURS
(ISOIEC 27004)
Ce document a eacuteteacute reacutedigeacute alors que la norme ISOIEC 27004 nrsquoeacutetait pas stabiliseacutee (versionCD) il est toutefois permis de penser que lrsquointeacuterecirct du document justifie les travaux entreprisci-apregraves sous reacuteserve de possibles eacutevolutions
Ce projet de norme au sein de la seacuterie 27000 constitue un guide [agrave usage facultatif] delaquo Mesurage et meacutetriques raquo dans le cadre drsquoun SMSI (Systegraveme de Management de la Seacutecuriteacutede lrsquoInformation) tel que deacutefini dans lrsquoISOIEC 270012005
Les domaines suivants sont abordeacutes
preacutesentation du processus de mesurage
rocircles et responsabiliteacutes
conception des indicateurs production et mise en forme des indicateurs
analyse et reporting
ameacutelioration du processus de mesurage
Une premiegravere annexe preacutesente un modegravele commenteacute drsquoune fiche drsquoindicateur (cf Annexe A)La seconde annexe preacutesente plusieurs exemples drsquoattributs de meacutetriques ou drsquoindicateurs (cfAnnexe B)
41 Concepts de meacutetriquesUn processus de mesure a pour but de veacuterifier que les objectifs de seacutecuriteacute fondeacutes notammentsur lrsquoanalyse de risque et la conformiteacute aux dispositions leacutegales et reacuteglementaires sontatteints
Il se compose de phases de collecte drsquoinformations et drsquoanalyse Par comparaison agrave descritegraveres de deacutecision ces phases permettent lrsquoobtention drsquoinformations de seacutecuriteacute etlrsquoameacutelioration continue du management de la seacutecuriteacute
Les mesures peuvent ecirctre eacuteleacutementaires ou deacuteriveacutees
une mesure eacuteleacutementaire1
est la valeur drsquoun laquo attribut raquo obtenue par une meacutethode decalcul
une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesureseacuteleacutementaires
Pour chaque type de mesure (eacuteleacutementaire ou deacuteriveacutee) il convient de faire en sorte que desobjectifs de conformiteacute ou de performance soient mis en eacutevidence
Le modegravele du processus de mesure proposeacute comprend un processus de remonteacutee demesures eacuteleacutementaires et de mesures deacuteriveacutees qui contribuent agrave la fabrication drsquoindicateurslesquels seront compareacutes individuellement agrave leur critegravere de deacutecision Lrsquoefficaciteacute du systegraveme
1 Une mesure eacuteleacutementaire peut dans certains cas correspondre directement agrave un indicateur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1928
Les meacutetriques dans le cadre de la seacuterie 27000 - 17 - copy CLUSIF 2009
de management srsquoappreacutecie en comparant les reacutesultats issus des mesures effectueacutees avec leursobjectifs initiaux
Dans le projet de norme les preacutecisions suivantes sont apporteacutees
les objectifs du processus de mesure sont clairement eacutetablis (eacutevaluer fournir des
donneacutees faciliter lrsquoeacutevolution communiquer) En revanche le peacuterimegravetre sur lequelsrsquoapplique ce processus ainsi que la meacutethodologie drsquoimpleacutementation restent agrave lrsquoinitiativede chacun
lrsquoimplication du management dans le processus de mesure est souligneacutee notamment surson engagement ses responsabiliteacutes et les ressources agrave mettre en œuvre
les diffeacuterents rocircles qui devraient ecirctre assigneacutes par le Management concernant leprocessus de mesure sont preacuteciseacutes le fournisseur le client le collecteur lecommunicateur le reacute-examinateur (cf deacutefinitions dans lrsquoannexe A du preacutesentdocument) Ces diffeacuterents rocircles devront faire lrsquoobjet de proceacutedures drsquohabilitationprenant en compte les contraintes de seacuteparation des tacircches et les compeacutetencestechniques neacutecessaires
42 Concevoir des meacutetriques
Des meacutetriques doivent ecirctre creacuteeacutes pour eacutevaluer lrsquoefficaciteacute du SMSI controcircler lrsquoatteinte desobjectifs identifier valider et ameacuteliorer les mesures de seacutecuriteacute speacutecifiques
Pour cela il faut pour chaque meacutetrique agrave partir drsquoune analyse de risque et de lrsquoeacutetat initial
identifier et choisir des objectifs
documenter et planifier lrsquoactiviteacute de mesurage (lrsquoannexe A du preacutesent document
preacutesente un modegravele de fiche sur ce thegraveme) en particulier concernant la meacutethode decollecte de stockage drsquoarchivage de veacuterification et drsquoanalyse des donneacutees ainsi que lamise en place du processus de mesurage
deacutefinir les principaux acteurs et les ressources neacutecessaires
srsquoassurer de la pertinence des mesurages qui devraient veacuterifier les critegraveres SMART(Specific Measurable Attainable Repeatable Time dependant)
43 Mettre en place des meacutetriques
La mise en place permanente de la collecte de la conservation et de lrsquoanalyse des donneacutees apour but drsquoassurer la compreacutehension et lrsquoameacutelioration du SMSI Ce processus doitaccompagner les eacutevolutions du SMSI
Cette rubrique dans le projet de norme constitue un guide pratique opeacuterationnel qui preacuteciseles conditions de
collecte des donneacutees (en speacutecifiant la date lrsquoheure le proprieacutetairehellip)
validation
traitement
diffusion
conservation
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2028
Les meacutetriques dans le cadre de la seacuterie 27000 - 18 - copy CLUSIF 2009
Il importe que les reacutesultats des indicateurs servent agrave eacutevaluer lrsquoefficaciteacute des dispositifs deseacutecuriteacute (de preacutevention deacutetection correction ou reacutecupeacuteration) en place Dans un secondtemps cette base drsquoindicateurs constitueacutee permettra de soutenir un processus de deacutecision dansle choix de nouveaux dispositifs
44 Utiliser communiquer et ameacuteliorer les meacutetriques
Lrsquoanalyse des donneacutees et leur interpreacutetation consistent agrave les rapprocher des critegraveres dedeacutecision preacutealablement deacutefinis (Annexe A)
Le but de lrsquoanalyse est de pouvoir identifier les eacutecarts entre la performance attendue et cellereacutealiseacutee Les causes de non-conformiteacute et de mauvaise performance pourront ecirctre ainsiidentifieacutees en fonction des dispositifs de seacutecuriteacute qui
ne sont pas opeacuterationnels
sont impleacutementeacutes mais ne fonctionnement pas correctement sont impleacutementeacutes fonctionnent correctement mais ne couvrent pas les menaces
estimeacutees
sont impleacutementeacutes fonctionnent correctement mais toutes les menaces ne sont pascouvertes
Les conclusions des analyses devraient ecirctre revues par toutes les parties prenantes ndash dans lesens laquo stakeholders raquo ndash pour assurer la bonne interpreacutetation de la donneacutee A cette fin lesreacutesultats des analyses devraient ecirctre suffisamment documenteacutes
La consolidation de ces reacutesultats devra intervenir dans des tableaux de bord pour unecommunication agrave qui de droit
Les mesures peuvent ecirctre utiliseacutees agrave diverses fins
eacutevaluer lrsquoefficaciteacute des dispositifs de seacutecuriteacute
critiquer les appreacuteciations et les traitements des risques
deacutemontrer les progregraves
se comparer au sein ou entre organisations
45 Ameacuteliorer le processus de mesure
Lrsquoefficaciteacute du processus de mesure doit ecirctre examineacutee peacuteriodiquement afin de lrsquoameacuteliorerNeacuteanmoins les donneacutees de base doivent faire lrsquoobjet de sauvegardes reacuteguliegraveres et peacuterennesafin de pouvoir recalculer les meacutetriques en fonction de leurs diffeacuterentes eacutevolutions
Des eacutevolutions peuvent ecirctre envisageacutees quand lrsquoorganisation introduit de nouveaux objectifsde mesure points de mesure de nouvelles meacutethodes ou fonctions de mesure
Le processus de mesure devrait ecirctre eacutevalueacute en termes drsquoutiliteacute et reacuteexamineacute agrave chaque fois quelrsquoorganisation change Il importe de srsquoassurer que les mesures reflegravetent un eacutetat agrave jour de laseacutecuriteacute et de veacuterifier que les donneacutees sous-jacentes sont encore valides Il est eacutegalementimportant de valider la pertinence des hypothegraveses
Il srsquoagit aussi drsquoeacutevaluer lrsquoutiliteacute de la mesure et le coucirct du processus de mesure afin dedeacuteterminer la pertinence de sa modification ou de sa suppression
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2128
Les meacutetriques dans le cadre de la seacuterie 27000 - 19 - copy CLUSIF 2009
5 CONCLUSION
LrsquoISOIEC 270012005 insiste sur lrsquoimportance de mesurer lrsquoefficaciteacute des processus du
SMSI des mesures de seacutecuriteacute mises en œuvre et du processus de mesurage lui-mecircme2
Cependant cette norme ne preacutecise pas comment mesurer cette efficaciteacute Elle se contentedrsquoindiquer qursquoune meacutethode est agrave deacutefinir
A cette fin le preacutesent document apporte un eacuteclairage aux RSSI auditeurs internes acteurs ducontrocircle permanent et managers dans la deacutefinition et la mise en œuvre des indicateurs adapteacutesagrave leurs exigences selon des processus qui devraient figurer dans la norme ISOIEC 27004
LrsquoISOIEC 27004 est un guide qui compleacutetera lrsquoISOIEC 270012005 en fournissant deslignes directrices et des conseils sur
la conception
la mise en œuvre
lrsquoanalyse et la communication des reacutesultats
lrsquoameacutelioration du processus de mesurage drsquoun SMSI
Cette future norme devrait ecirctre publieacutee prochainement La seacuterie ISOIEC 27000 a eacuteteacutecompleacuteteacutee de lrsquoISOIEC 270052008 et de lrsquoISOIEC 27003 (preacutevue en 2009) qui traitentrespectivement de la gestion du risque et de la mise en œuvre drsquoun SMSI
2 cf clauses 02c 02d 422d 423c 431g 72f et 73e
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2228
Les meacutetriques dans le cadre de la seacuterie 27000 - 20 - copy CLUSIF 2009
ANNEXE A FICHE DESCRIPTIVE
Modegravele de fiche descriptive drsquoune mesure
Cette fiche est inspireacutee de lrsquoISOIEC FCD 27004
Identification de la mesure
Nom de la mesure Nom de la mesure
Identifiant de la mesure Identifiant numeacuterique unique speacutecifique agrave lrsquoorganisme
Objectif de la mesureDeacutecrit lrsquoobjectif de la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure de
seacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (1)Facultatif Deacutecrit la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure deseacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (2)Facultatif Deacutecrit dautres mesures de seacutecuriteacute (agrave mettre ou deacutejagrave mise en œuvre) faisant lrsquoobjet le caseacutecheacuteant de la mecircme mesure (reacutefeacuterence aux mesures de seacutecuriteacute de lrsquoannexe A de la normeISO 27001)
Objectif de la mesure Deacutefinit le but de la mesure
Reacute examinateurPersonne ou uniteacute organisationnelle qui examine et valide que les critegraveres deacutevaluation de la mesuresont approprieacutes pour veacuterifier lefficaciteacute des mesures de seacutecuriteacute et des processus du SMSI
Objets du mesurage et attributs
Objet du mesurage
Objet qui doit ecirctre mesureacute et qui est caracteacuteriseacute par la mesurabiliteacute de ses attributs Les objets peuvent
comprendre des processus des systegravemes ou des composants de systegravemes
AttributsProprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacutee quantitativement ou qualitativementpar des moyens humains ou automatiques
Speacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesUne mesure eacuteleacutementaire est deacutefinie en fonction dun attribut et de la meacutethode de mesurage speacutecifieacuteepour le quantifier (par exemple le nombre de personnel formeacute le nombre de sites le coucirct cumuleacute agravece jour) Au moment ougrave la donneacutee est collecteacutee une valeur est affecteacutee agrave une mesure eacuteleacutementaire
Meacutethodes de mesurage Suite logique drsquoopeacuterations qui permettent de quantifier un attribut selon une eacutechelle
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure eacuteleacutementaire
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesures eacuteleacutementaires
Fonction de mesurageSuite logique drsquoopeacuterations qui permettent de calculer la mesure deacuteriveacutee Pour les mesures deacuteriveacutees lafonction par laquelle les mesures deacuteriveacutees fondeacutees sur des mesures eacuteleacutementaires correspondantes etla preacutecision cumulative reacutesultante sont agreacutegeacutees
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure deacuteriveacutee
Speacutecification de lrsquoindicateur
Description dindicateur etexemple
Preacutesentation dune ou plusieurs mesures (eacuteleacutementaires ou deacuteriveacutees) qui fournit une estimation ou uneeacutevaluation dattributs speacutecifieacutes reacutesultant dun modegravele analytique en ce qui concerne des besoins delinformation deacutefinis Un indicateur est souvent preacutesenteacute agrave lrsquoaide drsquoun graphique ou drsquoun diagrammeInclure un croquis de lindicateur
Modegravele analytique Algorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires etou deacuteriveacutees avec lescritegraveres de deacutecision associeacutes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2328
Les meacutetriques dans le cadre de la seacuterie 27000 - 21 - copy CLUSIF 2009
Critegravere de deacutecisionSeuil cible ou modegravele utiliseacute pour deacuteterminer la neacutecessiteacute dune action ou un compleacutement denquecircteou pour deacutecrire le niveau de confiance dans un reacutesultat donneacute
Interpreacutetation dindicateurDescription de la faccedilon dont lindicateur exemple (voir la figure exemple dans la description delindicateur) devrait ecirctre interpreacuteteacute
Effets impact Deacutefinition des effets et de lrsquoimpact issu des reacutesultats obtenus par la mesure
Causes drsquoeacutecart Deacutefinition des causes possibles agrave lrsquoorigine drsquoeacutecarts des reacutesultats
Valeurs positivesDeacuteclaration expliquant si les valeurs en laquo croissance raquo indiquent des tendances positives (bonreacutesultat) ou si les valeurs en laquo deacutecroissance raquo doivent ecirctre consideacutereacutees comme des tendancespositives
Format de restitution
Le format de la restitution devrait ecirctre preacuteciseacute et documenteacute Il deacutecrit les observations quelrsquoorganisation ou le proprieacutetaire de lrsquoinformation peut vouloir sur lrsquoenregistrement Les formats derapport deacutecriront visuellement les mesures et fourniront une explication verbale des indicateurs Ilsdevraient ecirctre personnaliseacutes en fonction du laquo client de linformation raquo (ce terme est deacutefini ci-apregraves)
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des
donneacutees
Freacutequence agrave laquelle les donneacutees sont collecteacutees
Fournisseur de lrsquoinformationPersonne ou uniteacute organisationnelle qui deacutetient lrsquoinformation pour creacuteer les mesures eacuteleacutementairesCelui qui va contribuer agrave la meacutetrique produire lrsquoinformation pour le calcul de la meacutetrique
Collecteur de lrsquoinformationPersonne ou uniteacute organisationnelle en charge de collecter enregistrer et stocker les informationsCelui qui va obtenir la meacutetrique
Outils utiliseacutes dans la collectedes donneacutees
Liste les outils utiliseacutes dans la collecte des donneacutees (par exemple un scanner de vulneacuterabiliteacute)
Conservation des donneacuteescollecteacutees
Liste les outils ougrave les donneacutees sont conserveacutees apregraves avoir eacuteteacute collecteacutees (par exemple une base dedonneacutees)
Date de collecte Date agrave laquelle la donneacutee devrait ecirctre obtenue
Proceacutedure drsquoenregistrement
des donneacuteesDeacutefinit la proceacutedure drsquoenregistrement des donneacutees (lien vers la proceacutedure correspondante)
Validiteacute de la mesure Date de reacutevision (date drsquoexpiration ou de validiteacute de renouvellement) de la mesure
Peacuteriode drsquoanalyse Deacutefinit la peacuteriode mesureacutee
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitutiondes donneacutees
Freacutequence agrave laquelle les donneacutees sont restitueacutees (cette freacutequence peut ecirctre infeacuterieure agrave celle decollecte)
Communicateur delrsquoinformation
Personne ou uniteacute organisationnelle responsable de lrsquoanalyse de lrsquoinformation et de la communicationdes reacutesultats des mesuresCelui qui va analyser la meacutetrique
Source drsquoinformation pour
lrsquoanalyse
Liste les sources drsquoinformation utiles pour lrsquoanalyse de reacutesultats (documents journaux entretien
etc)Outils utiliseacutes dans lrsquoanalyse Liste les outils utiliseacutes pour lrsquoanalyse (par exemple des outils statistiques)
Client de lrsquoinformationLa personne ou lrsquouniteacute organisationnelle qui demande ou requiert les mesures pour les besoins de sonactiviteacuteCelui qui va utiliser la meacutetrique
Information compleacutementaire
Conseils danalyseCompleacutementaires
Fournit des conseils compleacutementaires sur les variations de cette mesure
Consideacuterations de mise enœuvre
Liste les processus ou les exigences de mise en œuvre qui sont neacutecessaires pour la reacuteussite de la miseen œuvre
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2428
Les meacutetriques dans le cadre de la seacuterie 27000 - 22 - copy CLUSIF 2009
Exemple drsquoutilisation de la fiche
Identification de la mesure
Nom de la mesure Revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Identifiant de la mesure R1-A1124
Objectif de la mesure de seacutecuriteacuteA1124 [270012005]
Mesure de seacutecuriteacute (1)Les managers doivent dans leur peacuterimegravetre reacuteexaminer les droits drsquoaccegraves des utilisateurs agraveintervalles reacuteguliers par le biais drsquoun processus formel
Mesure de seacutecuriteacute (2) Revue des accegraves au reacuteseau informatique
Objectif de la mesure
Mesurer le pourcentage de manager deacuteclarant avoir effectueacute des controcircles sur les droits drsquoaccegravesutilisateurs de leur peacuterimegravetre ce qui permet drsquoeacutevaluer
bull la prise de conscience des managers vis-agrave-vis des risques drsquoaccegraves non fondeacutesfrauduleux ou obsolegravetes aux SI
bull lrsquoimplication du management dans le processus de maicirctrise et de gestion du risqueinformatique
Reacute examinateur Direction des Risques
Objets du mesurage et attributs
Objet du mesurage Processus de revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Attributs Attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateursSpeacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesExistence drsquoune attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateurs parchacun des managers
Meacutethodes de mesurageTous les trimestres les managers enverront un email standardiseacute au Deacutepartement Seacutecuriteacute desSI attestant que les accegraves des utilisateurs ont eacuteteacute revus pour leur peacuterimegravetre
Echelle Numeacuterique
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Taux drsquoattestations retourneacutees par les managers sur le trimestre eacutetudieacute
Fonction de mesurage
Taux dattestations retourneacutees par les managers sur le trimestre eacutetudieacute = (nombre dattestations
retourneacutees par les managers Total dattestations attendues dans le trimestre) 100
Echelle Ratio pourcentage
Speacutecification de lrsquoindicateur
Description dindicateur et exemple Courbe montrant lrsquoindicateur sur plusieurs peacuteriodes de restitution
Modegravele analytique
Satisfaisant si gt= 90Globalement satisfaisant si 80 lt lt 90Moyennement satisfaisant si 70 lt= lt= 80Insatisfaisant si lt 70
Critegravere de deacutecision Seuil min 80
Interpreacutetation dindicateurUn reacutesultat insatisfaisant indique un manque drsquoengagement des managers dans la gestion des
risques lieacutes agrave la seacutecuriteacute des SIEffets impact Si reacutesultats insatisfaisants lrsquoindicateur est remonteacute agrave la Direction Geacuteneacuterale pour action
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2528
Les meacutetriques dans le cadre de la seacuterie 27000 - 23 - copy CLUSIF 2009
Causes drsquoeacutecart Les reacuteorganisations fonctionnelles de lrsquoentreprise
Valeurs positives Des valeurs croissantes indiquent des tendances positives
Format de restitution Tableau Excel standardiseacute
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des donneacutees Trimestrielle
Fournisseur de lrsquoinformation Chaque manager
Collecteur de lrsquoinformation Le RSSI
Outils utiliseacutes dans la collecte desdonneacutees
Mail courrier
Conservation des donneacutees collecteacutees Reacutepertoire speacutecifique du disque reacuteseau
Date de collecte Pour le 15 de chaque deacutebut de trimestre
Proceacutedure drsquoenregistrement desdonneacutees
EhellipNOV08R1-A11-2-4XLS
Validiteacute de la mesure Annuelle
Peacuteriode drsquoanalyse Du 1er janvier au 31 deacutecembre de lrsquoanneacutee en cours
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitution desdonneacutees
Trimestrielle
Communicateur de lrsquoinformation Le RSSI
Source drsquoinformation pour lrsquoanalyse Rapports drsquoentretiens
Outils utiliseacutes dans lrsquoanalyse Excel
Client de lrsquoinformation Direction des Risques
Information compleacutementaire
Conseils danalyse Compleacutementaires NA
Consideacuterations de mise en œuvre NA
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2628
Les meacutetriques dans le cadre de la seacuterie 27000 - 24 - copy CLUSIF 2009
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE
METRIQUES ET OU DrsquoINDICATEURS
Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI
Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A8 Seacutecuriteacute lieacutee aux ressources humaines
A81 Avant le recrutement
A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute
A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat
A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur
A82 Pendant la dureacutee du contrat
A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute
A822 Sensibilisation qualification et formations
en matiegravere de seacutecuriteacute de lrsquoinformation
Nombre de personnes formeacutees an
A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque
A83 Fin ou modification du contrat
A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat
A832 Restitution des actifs Coucirct des biens non rendus en fin de mission
A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai
A9 Seacutecuriteacute physique et environnementale
A91 Zones seacutecuriseacutees
A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees
A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)
A913 Seacutecurisation des bureaux des salles et deseacutequipements
Nombre annuel de disparition de biens informatiques dans les locaux
A914 Protection contre les menaces exteacuterieures etenvironnementales
Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle
A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 628
Les meacutetriques dans le cadre de la seacuterie 27000 - 4 - copy CLUSIF 2009
1 INTRODUCTION
Lrsquoun des objectifs suivis lors de la mise en œuvre au sein drsquoun organisme drsquoune politique de
seacutecuriteacute du systegraveme drsquoinformation est drsquoapporter ou de renforcer la confiance en celui-ciCette confiance traduit lrsquoune des exigences des diffeacuterents acteurs (internautes clientsfournisseurs actionnaires hellip) ou de lrsquoorganisme lui-mecircme (entreprise administration ONGtiers de confiance ) lors drsquoune transaction commerciale du deacuteveloppement de son activiteacutepour la conservation de donneacutees numeacuteriques hellip
La notion de laquo niveau de seacutecuriteacute raquo est souvent utiliseacutee par abus de langage pourlaquo eacutetalonner raquo cette confiance Cela pour signifier que lrsquoon veut ecirctre laquo sucircr raquo de son SI ou pourlaquo garantir raquo que des mesures de seacutecuriteacute ont eacuteteacute mises en œuvre et qursquoelles permettent dereacuteduire lrsquoexposition aux risques agrave un niveau laquo acceptable raquo
Lrsquoappreacuteciation de lrsquoatteinte des objectifs de seacutecuriteacute ainsi que la pondeacuteration agrave affecter aux
diffeacuterentes theacutematiques de seacutecuriteacute (plan de continuiteacute seacutecuriteacute physique des infrastructuresgestion des identiteacutes hellip) demeurent des questions drsquoactualiteacute Il est difficile drsquoindiquer parmidiffeacuterentes mesures de seacutecuriteacute deacuteployeacutees celles qui auront le plus de valeur ajouteacutee sur leniveau de protection du systegraveme drsquoinformation
La confiance accordeacutee agrave la seacutecuriteacute du systegraveme drsquoinformation se mesure notamment parrapport agrave une politique constitueacutee par des processus et des objectifs suivant une deacutemarcheformaliseacutee pour les atteindre Le respect de ces conditions permet de se positionner dans uneperspective de maicirctrise du systegraveme de management de la seacutecuriteacute de lrsquoinformation (SMSI) oudrsquoeacutevaluation des mesures de seacutecuriteacute mises en place
La norme ISOIEC 27004 fournit une reacuteponse structureacutee et normaliseacutee pour laquo mesurer raquo la
performance drsquoun SMSI dans le cadre de lrsquoISOIEC 270012002
11 Objectif de ce document
Lors de ses preacuteceacutedents travaux sur les normes de la seacuterie 27000 le CLUSIF a deacuteveloppeacute dequelle maniegravere
la norme ISOIEC 270012005 permet le Management de la seacutecuriteacute de linformationpar une approche normative
la norme ISOIEC 270022005 fournit les mesures de seacutecuriteacute permettant de reacutepondre agrave
ses exigencesLrsquoobjectif de ce document est de preacutesenter au lecteur des concepts geacuteneacuteraux pouvant ecirctreutiliseacutes pour deacutefinir des indicateurs et une meacutetrique permettant les laquo mesurages raquo (voirdeacutefinition au sect22) du systegraveme de management de la seacutecuriteacute de lrsquoinformation
Ce document ne porte pas de jugement sur la qualiteacute de la norme Ce nrsquoest pas non plus undocument sur la meacutetrologie ou lrsquoeacutelaboration de tableaux de bord Il traite des fondamentauxsur les meacutetriques et leurs utilisations afin de mieux appreacutehender le contenu de la normeISOIEC 27004
Enfin les annexes proposeront diffeacuterents exemples de meacutetriques selon lrsquoISOIEC 27004 quipermettraient le mesurage drsquoun SMSI normeacute par lrsquoISOIEC 270012005
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 728
Les meacutetriques dans le cadre de la seacuterie 27000 - 5 - copy CLUSIF 2009
12 Lectorat
Les documents du CLUSIF sont geacuteneacuteralement agrave destination des RSSI et des DSI
Lrsquoeacutelargissement du peacuterimegravetre au mesurage de lrsquoensemble du SMSI nous incite agrave proposer une
cible sensiblement plus large incluant tous les professionnels de la seacutecuriteacute de lrsquoinformationmais aussi toutes les entiteacutes de controcircle permanent ou de gestion des risques
Comme tout texte lrsquoutiliteacute de la norme doit ecirctre eacutevalueacutee en fonction du contexte de mise enœuvre Ce document ayant eacuteteacute reacutedigeacute plus particuliegraverement pour un public de laquo non-initieacutes raquoafin de leur permettre de mieux appreacutehender le contenu de la norme les personnes au fait decette derniegravere nrsquoy trouveront peut ecirctre pas de deacuteveloppement nouveau
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 828
Les meacutetriques dans le cadre de la seacuterie 27000 - 6 - copy CLUSIF 2009
2 LES METRIQUES
21 Panorama des reacutefeacuterentiels et des bonnes pratiques
La norme ISOIEC 270022005 connue preacuteceacutedemment sous la reacutefeacuterenceISOIEC 177992005 a pour titre laquo Code of practice for information security management raquoElle met laccent sur le fait que deacutesormais linformation est une ressource essentielle delentreprise cest-agrave-dire que lrsquoinformation au mecircme titre que dautres actifs doit ecirctre prise enconsideacuteration eacutevalueacutee et proteacutegeacutee
La seacutecuriteacute de linformation vise entre autres agrave garantir la continuiteacute de lrsquoactiviteacute agrave reacuteduire lesrisques agrave optimiser le retour sur investissements ainsi que les opportuniteacutes daction pourlorganisme
Cette norme traduit une eacutevolution tendancielle des normes traitant de la seacutecuriteacute delinformation Au deacutepart il y a une quinzaine danneacutees ces normes eacutetaient plutocirct techniques etcontenaient surtout des prescriptions relatives aux systegravemes ou aux reacuteseaux informatiques
Vers le milieu des anneacutees 90 des travaux dorigine britannique ont conduit agrave eacutelaborer desdocuments dont le champ seacutetendait aux systegravemes dinformation et orienteacutes vers lesresponsabiliteacutes manageacuteriales et lorganisation des entreprises
Le plus connu de ces documents est le standard britannique BS 7799 dont la partie 1 (Code of
practice for information security management ) a servi de base agrave lISOIEC 27002
(anciennement ISOIEC 17799) et la partie 2 a servi de base agrave lISOIEC 27001 dans laquelleon trouve la notion de SMSI (Systegraveme de Management de la Seacutecuriteacute de lrsquoInformation)
Lors dune reacuteunion de lISO il a eacuteteacute deacutecideacute de regrouper les principales normes traitant duSMSI dans une laquo seacuterie ISOIEC 27000 raquo un peu comme la qualiteacute fait lobjet de la laquo seacuterieISO 9000 raquo ou lenvironnement de la laquo seacuterie ISO 14000 raquo Il est drsquoailleurs agrave noter que ces troisfamilles de normes sont coheacuterentes entre elles quant agrave lrsquoapproche manageacuteriale etorganisationnelle des thegravemes traiteacutes Il est preacutevu de disposer agrave terme des normes suivantes(liste non limitative)
ISOIEC 27000 Principles and Vocabulary
ISOIEC 27001 Information Security Management Systems ndash Requirements baseacutee surla BS 7799-2 et orienteacutee vers la certification
ISOIEC 27002 Code of practice for Information Security Management anciennementISOIEC 17799
ISOIEC 27003 ISMS Implementation
ISOIEC 27004 ISMS Measurements and metrics
ISOIEC 27005 ISMS Information security risk management
ISOIEC 27006 Information technology mdash Security techniques mdash Requirements for
bodies providing audit and certification of information security management systems
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 928
Les meacutetriques dans le cadre de la seacuterie 27000 - 7 - copy CLUSIF 2009
IISSOO 2277000011 SSMMSSII
IISSOO 2277000011 IISSOO 2277000022 MMeessuurreess ddee sseacuteeacuteccuurriitteacuteeacute
IISSOO 2277000000 VVooccaabbuullaaiirree
IISSOO 2277000066 CCeerrttiiffiiccaattiioonn ddee SSMMSSII
IISSOO 2277000055 GGeessttiioonn ddee rriissqquuee
IISSOO 2277000044 IInnddiiccaatteeuurrss SSMMSSII
IISSOO 2277000033 IImmpplleacuteeacutemmeennttaattiioonn
2005-2010 200
2005-2010 2008
Guidesusage facultatif
Exigencesusage obligatoire
dans la certification
2009
IISSOO 2277000077 AAuuddiitt ddee SSMMSSII
2009
2009
2010
Scheacutema 1 La seacuterie ISOIEC 27000
Bien sucircr dautres normes techniques continueront de traiter de la seacutecuriteacute des systegravemesdinformations En particulier nous pouvons mentionner
ISOIEC 27031 Specification for ICT Readiness for Business Continuity
ISOIEC 27032 Guidelines for Cybersecurity
ISOIEC 27033 de 1 agrave 8 IT network security (ex ISOIEC 18028)
ISOIEC 27034 Guidelines for Application Security
ISOIEC 27035 Information Security Incident Management
ISOIEC 18043 Selection deployment and operation of intrusion detection systems
(IDS)
Dautres reacutefeacuterentiels eux aussi en cours deacutevolution sont susceptibles decirctre utiliseacutes pourameacuteliorer la seacutecuriteacute de linformation Ils peuvent ainsi se trouver en concurrence avec tout oupartie des normes preacuteciteacutees Ils peuvent aussi introduire de nouvelles contraintes qui seront agraveprendre en compte dans leur mise en œuvre
Le plus connu est le CoBIT (Control Objectives of Information and related Technology)eacutelaboreacute par lISACA ( Information Systems Audit and Control Association) Il convienteacutegalement de mentionner les documents eacutemanant du COSO (Committee of Sponsoring
Organisations of the Treadway Commission) ou de diffeacuterents organismes gouvernementaux(NIST aux USA DTI au Royaume Uni hellip)
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1028
Les meacutetriques dans le cadre de la seacuterie 27000 - 8 - copy CLUSIF 2009
Scheacutema 2 La seacuterie ISOIEC 27000 et les autres reacutefeacuterentiels
De la mecircme faccedilon les lois et les regraveglements concernant la seacutecuriteacute de linformation(informations nominatives gestion de lidentiteacute reacutetention de donneacutees chiffrement hellip) sontactuellement en eacutevolution dans la plupart des pays
De nouvelles conditions de traitement de conservation ou de destruction des informations
sont ainsi agrave mettre en œuvre de faccedilon impeacuterative et de faccedilon dautant plus complexe que lesmesures de seacutecuriteacute peuvent varier dun pays agrave lautre
Des impeacuteratifs leacutegislatifs ou sectoriels peuvent aussi voir le jour et entraicircner des conseacutequencesimportantes Par exemple la loi Sarbanes-Oxley Act pour les entreprises coteacutees sur lesmarcheacutes ameacutericains la Loi sur la Seacutecuriteacute Financiegravere pour les entreprises franccedilaises Bacircle IIpour les eacutetablissements financiers ou Solvency II pour les assurances
ISO 27001Moteur de base
ISO 27004Indicateurs
CoBITGouvernance
CMMID eacute veloppements
ITIL Production
ISO 27005Appr eacuteciation des
risques
ISO 27002Bonnes pratiques ISO 27001
SAS 70
PCI - DSS
Tout autre r eacute f eacute rentielseacute curit eacute
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1128
Les meacutetriques dans le cadre de la seacuterie 27000 - 9 - copy CLUSIF 2009
22 Terminologie
Le terme laquo meacutetrique raquo nrsquoexiste pas dans la langue franccedilaise au sens ougrave il est utiliseacute dans ce
documentLe terme anglais laquo metrics raquo (a system of related measures that facilitates the quantification ofsome particular characteristic) est utiliseacute pour meacutetrologie parfois laquo traduit raquo par meacutetrique
Pour meacutemoire la meacutetrologie est la science qui sinteacuteresse aux cocircteacutes theacuteoriques et pratiques dela mesure dans tous les domaines de la science et de la technologie Plus speacutecifiquement lameacutetrologie touche lutilisation des uniteacutes la reacutealisation des eacutetalons les meacutethodes lestechniques et les appareils de mesure ainsi que la preacutecision obtenue
Les diffeacuterentes normes en rapport avec le sujet fournissent les deacutefinitions suivantes
Attribut proprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacute quantitativementou qualitativement par des moyens humains ou automatiques [ISOIEC 159392007]
Mesurage processus drsquoobtention drsquoinformation relative agrave lrsquoefficaciteacute drsquoun SMSI et demesures de seacutecuriteacute agrave lrsquoaide drsquoune meacutethode drsquoeacutevaluation drsquoune fonction drsquoeacutevaluationdrsquoun modegravele analytique et de critegraveres de deacutecision [ISOIEC 27004]
Indicateur reacutesultat de lrsquoapplication drsquoun modegravele analytique agrave une ou plusieurs variablesen relation avec les critegraveres de deacutecision ou un besoin drsquoinformation [ISOIEC 27004]
Un indicateur est la base de lrsquoanalyse et de la prise de deacutecisionCompleacutements aux deacutefinitions proposeacutees dans ce document
Meacutetrique ensemble drsquoeacuteleacutements permettant de fournir une eacutevaluation qualitative ouquantitative repreacutesentative drsquoune situation
Indicateur donneacutee objective qui preacutesente une situation du strict point de vuequantitatif Un indicateur est pertinent srsquoil est directement relieacute agrave une zone drsquoaction (ilindique ougrave il faut agir) Les indicateurs peuvent ecirctre regroupeacutes dans un tableau de bordoutil de synthegravese et de visualisation des situations deacutecrites
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1228
Les meacutetriques dans le cadre de la seacuterie 27000 - 10 - copy CLUSIF 2009
23 Positionnement des meacutetriques dans le modegravele defonctionnement
La figure ci-dessous positionne les termes laquo attribut raquo laquo meacutetrique raquo et laquo indicateur raquo
Interpreacutetation
Collecte des paramegravetres etvariables mesurables
les attributs
Repreacutesentation de lareacutealiteacute du ldquo terrainrdquo(donneacutees brutes)
Repreacutesentation de la situation
Aide agrave la deacutecision
Information quantitative ou
qualitative positionneacutee surune eacutechelle de reacutefeacuterence
Indicateurs
Meacutetriques
Tableau de Bord
Systegravemes et processus meacutetiers de lrsquoentiteacute
attributs
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situationControcircle
ISMS
Objectifs
Miseen
place
Interpreacutetation Interpreacutetation Inte rpreacutetation
Collecte des paramegravetres etvariables mesurables
les attributs
Repreacutesentation de lareacutealiteacute du ldquo terrainrdquo(donneacutees brutes)
Repreacutesentation de la situation
Aide agrave la deacutecision
Information quantitative ou
qualitative positionneacutee surune eacutechelle de reacutefeacuterence
Indicateurs
MeacutetriquesMeacutetriques
Tableau de Bord
Systegravemes et processus meacutetiers de lrsquoentiteacute
attributs
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situation
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situationControcircle
ISMS
Objectifs
Miseen
place
Miseen
place
Scheacutema 3 Repreacutesentation drsquoapregraves le document ISOIEC 27004
Exemple dans le domaine des antivirus
Nombre de postes eacutequipeacutes dun antivirus attribut
Pourcentage du nombre de postes eacutequipeacutes sur le total meacutetrique
Nombre de postes eacutequipeacutes dun antivirus dont lantivirus a eacuteteacute mis agrave jour attribut
Pourcentage de postes dont lantivirus a eacuteteacute mis agrave jour meacutetrique
A partir de lrsquoexemple ci-dessus en regroupant les deux meacutetriques nous pouvons constituer un
indicateur repreacutesentant agrave la fois le niveau de protection viral des postes de travail et lamaicirctrise du processus antiviral sur ces postes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1328
Les meacutetriques dans le cadre de la seacuterie 27000 - 11 - copy CLUSIF 2009
Les indicateurs intimement lieacutes agrave la situation que nous voulons repreacutesenter peuvent ecirctre denature diffeacuterente et avoir des finaliteacutes eacutegalement diffeacuterentes
constater une situation dans le domaine que lrsquoon veut observer
mesurer leacutecart entre le niveau existant et le niveau de lrsquoobjectif deacutefini
suivre leacutevolution des domaines geacutereacutes et analyseacutes
anticiper etou deacuteclencher la mise en œuvre de plans drsquoactions de seacutecuriteacute (agrave partir dufranchissement drsquoun seuil)
communiquer agrave partir de donneacutees analyseacutees
piloter les projets
appreacutecier le respect des lois et reacuteglementations
auditer
Dans le contexte de la mise en œuvre drsquoun SMSI et du respect du principe de la Roue deDeming (cycle PDCA) les critegraveres de choix des indicateurs doivent inteacutegrer le soucidrsquoameacutelioration permanente de la seacutecuriteacute par la veacuterification de lefficaciteacute des mesures deseacutecuriteacute valideacutees et deacuteployeacutees Ainsi il est toujours souhaitable davoir en meacutemoire quelobjectif dun indicateur de seacutecuriteacute dans le SMSI est deacutevaluer lefficaciteacute des mesures deseacutecuriteacute
Dans la suite du document le choix a eacuteteacute fait drsquoillustrer uniquement les meacutethodes de mise en
œuvre drsquoindicateurs pour les SMSI En effet le suivi de lrsquoefficaciteacute de tout systegraveme demanagement est reacutealiseacute agrave partir de ces indicateurs (cf scheacutema 3)
24 Eacuteleacutements pour la mise en œuvre des indicateurs
Afin de satisfaire les objectifs assigneacutes les indicateurs doivent respecter des conditionsparticuliegraveres et ecirctre doteacutes de qualiteacutes speacutecifiques notamment
ecirctre issus des objectifs retenus dans la politique de seacutecuriteacute
ecirctre aiseacutement quantifiables (construits agrave partir drsquoinformations ou de processus geacuteneacuterantdes informations quantifiables) afin de permettre des comparaisons (entre systegravemes ouentre peacuteriodes) Il srsquoagit le plus souvent de pourcentage de taux de ratio de moyenneetou de nombres laquo bruts raquo
les informations neacutecessaires agrave lrsquoeacutelaboration de la mesure doivent ecirctre faciles agrave obteniretou collecter En effet il faut srsquoassurer que les ressources mises en œuvre pour obtenirles donneacutees ne sont pas disproportionneacutees par rapport agrave celles concourant agrave la reacutealisationdu processus mesureacute
srsquoappuyer sur des processus laquo stables raquo et aiseacutement laquo reproductibles raquo
permettre la mesure des eacutevolutions suite agrave des actions correctives
ecirctre fiables sur la dureacutee et autoriser une analyse des eacutecarts
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1428
Les meacutetriques dans le cadre de la seacuterie 27000 - 12 - copy CLUSIF 2009
Ces caracteacuteristiques sont regroupeacutees dans certaines deacutemarches sous lacronyme laquo SMART raquoqui signifie
Specific il correspond agrave ce qui est analyseacute et met en avant la speacutecificiteacute de lattribut
Measurable il peut ecirctre mesureacute et cette mesure est objective
Attainable il est obtenu dans des conditions satisfaisantes de coucirct et de deacutelai Repeatable sa mesure est reproductible
Time dependent la mesure deacutepend de la fenecirctre de temps utiliseacutee
Les caracteacuteristiques de la mesure deacutefinies dans lAnnexe A de lrsquoactuel projet de normeISOIEC 27004 doivent ecirctre deacutefinies pour chaque indicateur
25 Exemples drsquoindicateurs
Quelques exemples drsquoindicateurs sont donneacutes ci-apregraves La liste fournie nrsquoest pas exhaustive Ilest inteacuteressant de constater que certains indicateurs sont de nature opeacuterationnelle oustrateacutegique voire opeacuterationnelle et strateacutegique
Controcircle drsquoaccegraves
pourcentage drsquoutilisateurs dont le mot de passe respecte les principes de construction
pourcentage de systegravemes accessibles depuis lrsquoexteacuterieur et comprenant un IDS agrave jour
Controcircle des codes malveillants
nombre annuel dattaques reacuteussies par deacutefaut de mise agrave jour de la base virale
deacutelai de retour agrave la normale sur attaque virale
freacutequence de mise agrave jour de la base antivirus freacutequence drsquoeacutevaluation de la conformiteacute des politiques antivirales laquo locales raquo avec la
politique laquo globale raquo
Mise en œuvre du SMSI
pourcentage de deacuteclinaisons des principes de la politique de seacutecuriteacute de lrsquoorganisme enproceacutedures opeacuterationnelles
nombre mensuel drsquoincidents de seacutecuriteacute non reacutesolus
pourcentage de comiteacutes de pilotage de seacutecuriteacute tenus en accord avec le planning
pourcentage dactions correctives non meneacutees agrave terme
Maicirctrise des deacutepenses deacutepenses lieacutees agrave la seacutecuriteacute selon diffeacuterents critegraveres nombre dalertes dincidents etc
Formation
pourcentage du budget global de formation consacreacute agrave la seacutecuriteacute des systegravemesdrsquoinformation
pourcentage de participants en fonction de la population cible agrave des sessions relatives agravela seacutecuriteacute des systegravemes drsquoinformation
taux de freacutequentation des formations aux proceacutedures dalerte par les personnes cleacutes descellules de crise
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1528
Les meacutetriques dans le cadre de la seacuterie 27000 - 13 - copy CLUSIF 2009
Seacutecuriteacute des logiciels applications
nombre de correctifs de seacutecuriteacute valideacutes apregraves analyse
taux de correctifs de seacutecuriteacute valideacutes mis en œuvre dans les deacutelais preacutevus
Seacutecuriteacute reacuteseau
nombre drsquoaudits et de tests de vulneacuterabiliteacute reacutealiseacutes sur la peacuteriode
Disponibiliteacute des services
taux de disponibiliteacute DNS accegraves internet messagerie
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1628
Les meacutetriques dans le cadre de la seacuterie 27000 - 14 - copy CLUSIF 2009
3 LES DIFFERENTS USAGES DES INDICATEURS
31 EacutevaluerCes indicateurs peuvent ecirctre reacutepartis dans les grandes familles suivantes
Les indicateurs laquo de conformiteacute raquo deacutecrivent le niveau dexigence souhaiteacute (ou constateacute)sur une mesure de seacutecuriteacute Par exemple en ce qui concerne la mesure de seacutecuriteacutelaquo Reacutealisation de sauvegardes raquo un indicateur de conformiteacute de seacutecuriteacute peut ecirctre lafreacutequence des sauvegardes ou le ratio du nombre de bandes externaliseacutees par rapport aunombre total de bandes
Les indicateurs laquo defficaciteacute raquo deacutecrivent leacutetat du fonctionnement de la mesure deseacutecuriteacute Sur le mecircme exemple de la laquo Reacutealisation de sauvegardes raquo un nombre eacuteleveacute de
tests de restaurations deacutefectueux peut deacutemontrer un mauvais fonctionnement dessauvegardes
Les indicateurs laquo defficience raquo visent agrave rapprocher lefficaciteacute de la mesure de seacutecuriteacuteau regard de limportance des moyens mis en œuvre
32 Piloter
Toute activiteacute (production projet processus etc) implique la deacutetermination drsquoindicateurs depilotage Ces derniers permettent
drsquoappreacutecier lavancement correct du projet drsquoeacutevaluer une situation
de deacutetecter un risque
de deacuteclencher une alerte
Le choix des indicateurs peut deacutependre des objectifs de lrsquoactiviteacute (coucircts deacutelais performanceetc) mais aussi ecirctre lieacute agrave des processus transverses (management support etc)
Nous pourrons ainsi avoir les indicateurs suivants sur diffeacuterentes eacutechelles de temps anneacuteemois semaine jour
nombre de machines infecteacutees par des virus nombre de machines
nombre de messages infecteacutes par des virus nombre de messages
nombre de machines agrave jour nombre de machines
temps moyen et maximum de mise agrave jour du parc
nombre drsquoattaques virales identifieacutees bloqueacutees exeacutecuteacutees
impact de ses attaques en heures de travail perdues financier
raison des infections mise agrave jour non effectueacutee seacutecuriteacute non appliqueacutee malveillancehellip
variation du taux drsquoinfection et tentatives drsquoinfection sur les 12 derniers mois
etc
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1728
Les meacutetriques dans le cadre de la seacuterie 27000 - 15 - copy CLUSIF 2009
Ces indicateurs peuvent aussi ecirctre eacuteleacutementaires ou plus syntheacutetiques Par exemplelrsquoagreacutegation de certains indicateurs informatiques avec les indicateurs eacuteconomiques Lelaquo Ratio du nombre annuel drsquoaccords de confidentialiteacutes (NDA ndash Non disclosure agreement)signeacutes par rapport au nombre de prestataires preacutesents dans lrsquoorganisme raquo en est un exemple
33 Communiquer
Des indicateurs sont aussi utiliseacutes pour communiquer en interne ou en externe Leur naturesera diffeacuterente en fonction des acteurs viseacutes et de leur objectif de communication(sensibiliser faire passer des ideacutees justifierhellip)
Par exemple pour communiquer autour de la lutte antivirale
nombre drsquoheures de travail perdues suite agrave une attaque virale
variation du taux drsquoinfection sur les douze derniers mois (justification du budget)
nombre drsquoattaques virales provenant drsquoun support externe
34 Sautoeacutevaluer
Cette eacutevaluation peut ecirctre reacutealiseacutee en interne par lrsquoeacutequipe en charge de la fonction comme parlrsquoeacutequipe drsquoaudit ou de controcircle interne
Elle se situe par rapport agrave un reacutefeacuterentiel interne ou externe ou par rapport agrave un objectifarbitraire ou reacutesultant drsquoune expeacuterience passeacutee et deacutejagrave mesureacutee
Les indicateurs citeacutes comme exemple dans les paragraphes preacuteceacutedents peuvent notammentservir dans le cadre drsquoune autoeacutevaluation
35 Contribuer agrave lrsquoobtention drsquoune certification
Ces indicateurs servent agrave
appreacutecier lrsquoavancement dans le processus de certification
obtenir la certification
et surtout la conserver
Sans ecirctre obligatoire pour lrsquoobtention de la certification ISOIEC 270012005 la mise enplace drsquoindicateurs simplifie grandement le cheminement vers celle-ci
36 Reacutepondre agrave un audit
Les indicateurs servent agrave informer lrsquoauditeur agrave justifier des mesures de seacutecuriteacute mises enplace et des correctifs en cours
Les indicateurs preacutesenteacutes lors drsquoaudits contribuent agrave lrsquoanalyse de risque et srsquoappreacutecient parrapport agrave un reacutefeacuterentiel externe
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1828
Les meacutetriques dans le cadre de la seacuterie 27000 - 16 - copy CLUSIF 2009
4 LES TRAVAUX NORMATIFS EN COURS
(ISOIEC 27004)
Ce document a eacuteteacute reacutedigeacute alors que la norme ISOIEC 27004 nrsquoeacutetait pas stabiliseacutee (versionCD) il est toutefois permis de penser que lrsquointeacuterecirct du document justifie les travaux entreprisci-apregraves sous reacuteserve de possibles eacutevolutions
Ce projet de norme au sein de la seacuterie 27000 constitue un guide [agrave usage facultatif] delaquo Mesurage et meacutetriques raquo dans le cadre drsquoun SMSI (Systegraveme de Management de la Seacutecuriteacutede lrsquoInformation) tel que deacutefini dans lrsquoISOIEC 270012005
Les domaines suivants sont abordeacutes
preacutesentation du processus de mesurage
rocircles et responsabiliteacutes
conception des indicateurs production et mise en forme des indicateurs
analyse et reporting
ameacutelioration du processus de mesurage
Une premiegravere annexe preacutesente un modegravele commenteacute drsquoune fiche drsquoindicateur (cf Annexe A)La seconde annexe preacutesente plusieurs exemples drsquoattributs de meacutetriques ou drsquoindicateurs (cfAnnexe B)
41 Concepts de meacutetriquesUn processus de mesure a pour but de veacuterifier que les objectifs de seacutecuriteacute fondeacutes notammentsur lrsquoanalyse de risque et la conformiteacute aux dispositions leacutegales et reacuteglementaires sontatteints
Il se compose de phases de collecte drsquoinformations et drsquoanalyse Par comparaison agrave descritegraveres de deacutecision ces phases permettent lrsquoobtention drsquoinformations de seacutecuriteacute etlrsquoameacutelioration continue du management de la seacutecuriteacute
Les mesures peuvent ecirctre eacuteleacutementaires ou deacuteriveacutees
une mesure eacuteleacutementaire1
est la valeur drsquoun laquo attribut raquo obtenue par une meacutethode decalcul
une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesureseacuteleacutementaires
Pour chaque type de mesure (eacuteleacutementaire ou deacuteriveacutee) il convient de faire en sorte que desobjectifs de conformiteacute ou de performance soient mis en eacutevidence
Le modegravele du processus de mesure proposeacute comprend un processus de remonteacutee demesures eacuteleacutementaires et de mesures deacuteriveacutees qui contribuent agrave la fabrication drsquoindicateurslesquels seront compareacutes individuellement agrave leur critegravere de deacutecision Lrsquoefficaciteacute du systegraveme
1 Une mesure eacuteleacutementaire peut dans certains cas correspondre directement agrave un indicateur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1928
Les meacutetriques dans le cadre de la seacuterie 27000 - 17 - copy CLUSIF 2009
de management srsquoappreacutecie en comparant les reacutesultats issus des mesures effectueacutees avec leursobjectifs initiaux
Dans le projet de norme les preacutecisions suivantes sont apporteacutees
les objectifs du processus de mesure sont clairement eacutetablis (eacutevaluer fournir des
donneacutees faciliter lrsquoeacutevolution communiquer) En revanche le peacuterimegravetre sur lequelsrsquoapplique ce processus ainsi que la meacutethodologie drsquoimpleacutementation restent agrave lrsquoinitiativede chacun
lrsquoimplication du management dans le processus de mesure est souligneacutee notamment surson engagement ses responsabiliteacutes et les ressources agrave mettre en œuvre
les diffeacuterents rocircles qui devraient ecirctre assigneacutes par le Management concernant leprocessus de mesure sont preacuteciseacutes le fournisseur le client le collecteur lecommunicateur le reacute-examinateur (cf deacutefinitions dans lrsquoannexe A du preacutesentdocument) Ces diffeacuterents rocircles devront faire lrsquoobjet de proceacutedures drsquohabilitationprenant en compte les contraintes de seacuteparation des tacircches et les compeacutetencestechniques neacutecessaires
42 Concevoir des meacutetriques
Des meacutetriques doivent ecirctre creacuteeacutes pour eacutevaluer lrsquoefficaciteacute du SMSI controcircler lrsquoatteinte desobjectifs identifier valider et ameacuteliorer les mesures de seacutecuriteacute speacutecifiques
Pour cela il faut pour chaque meacutetrique agrave partir drsquoune analyse de risque et de lrsquoeacutetat initial
identifier et choisir des objectifs
documenter et planifier lrsquoactiviteacute de mesurage (lrsquoannexe A du preacutesent document
preacutesente un modegravele de fiche sur ce thegraveme) en particulier concernant la meacutethode decollecte de stockage drsquoarchivage de veacuterification et drsquoanalyse des donneacutees ainsi que lamise en place du processus de mesurage
deacutefinir les principaux acteurs et les ressources neacutecessaires
srsquoassurer de la pertinence des mesurages qui devraient veacuterifier les critegraveres SMART(Specific Measurable Attainable Repeatable Time dependant)
43 Mettre en place des meacutetriques
La mise en place permanente de la collecte de la conservation et de lrsquoanalyse des donneacutees apour but drsquoassurer la compreacutehension et lrsquoameacutelioration du SMSI Ce processus doitaccompagner les eacutevolutions du SMSI
Cette rubrique dans le projet de norme constitue un guide pratique opeacuterationnel qui preacuteciseles conditions de
collecte des donneacutees (en speacutecifiant la date lrsquoheure le proprieacutetairehellip)
validation
traitement
diffusion
conservation
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2028
Les meacutetriques dans le cadre de la seacuterie 27000 - 18 - copy CLUSIF 2009
Il importe que les reacutesultats des indicateurs servent agrave eacutevaluer lrsquoefficaciteacute des dispositifs deseacutecuriteacute (de preacutevention deacutetection correction ou reacutecupeacuteration) en place Dans un secondtemps cette base drsquoindicateurs constitueacutee permettra de soutenir un processus de deacutecision dansle choix de nouveaux dispositifs
44 Utiliser communiquer et ameacuteliorer les meacutetriques
Lrsquoanalyse des donneacutees et leur interpreacutetation consistent agrave les rapprocher des critegraveres dedeacutecision preacutealablement deacutefinis (Annexe A)
Le but de lrsquoanalyse est de pouvoir identifier les eacutecarts entre la performance attendue et cellereacutealiseacutee Les causes de non-conformiteacute et de mauvaise performance pourront ecirctre ainsiidentifieacutees en fonction des dispositifs de seacutecuriteacute qui
ne sont pas opeacuterationnels
sont impleacutementeacutes mais ne fonctionnement pas correctement sont impleacutementeacutes fonctionnent correctement mais ne couvrent pas les menaces
estimeacutees
sont impleacutementeacutes fonctionnent correctement mais toutes les menaces ne sont pascouvertes
Les conclusions des analyses devraient ecirctre revues par toutes les parties prenantes ndash dans lesens laquo stakeholders raquo ndash pour assurer la bonne interpreacutetation de la donneacutee A cette fin lesreacutesultats des analyses devraient ecirctre suffisamment documenteacutes
La consolidation de ces reacutesultats devra intervenir dans des tableaux de bord pour unecommunication agrave qui de droit
Les mesures peuvent ecirctre utiliseacutees agrave diverses fins
eacutevaluer lrsquoefficaciteacute des dispositifs de seacutecuriteacute
critiquer les appreacuteciations et les traitements des risques
deacutemontrer les progregraves
se comparer au sein ou entre organisations
45 Ameacuteliorer le processus de mesure
Lrsquoefficaciteacute du processus de mesure doit ecirctre examineacutee peacuteriodiquement afin de lrsquoameacuteliorerNeacuteanmoins les donneacutees de base doivent faire lrsquoobjet de sauvegardes reacuteguliegraveres et peacuterennesafin de pouvoir recalculer les meacutetriques en fonction de leurs diffeacuterentes eacutevolutions
Des eacutevolutions peuvent ecirctre envisageacutees quand lrsquoorganisation introduit de nouveaux objectifsde mesure points de mesure de nouvelles meacutethodes ou fonctions de mesure
Le processus de mesure devrait ecirctre eacutevalueacute en termes drsquoutiliteacute et reacuteexamineacute agrave chaque fois quelrsquoorganisation change Il importe de srsquoassurer que les mesures reflegravetent un eacutetat agrave jour de laseacutecuriteacute et de veacuterifier que les donneacutees sous-jacentes sont encore valides Il est eacutegalementimportant de valider la pertinence des hypothegraveses
Il srsquoagit aussi drsquoeacutevaluer lrsquoutiliteacute de la mesure et le coucirct du processus de mesure afin dedeacuteterminer la pertinence de sa modification ou de sa suppression
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2128
Les meacutetriques dans le cadre de la seacuterie 27000 - 19 - copy CLUSIF 2009
5 CONCLUSION
LrsquoISOIEC 270012005 insiste sur lrsquoimportance de mesurer lrsquoefficaciteacute des processus du
SMSI des mesures de seacutecuriteacute mises en œuvre et du processus de mesurage lui-mecircme2
Cependant cette norme ne preacutecise pas comment mesurer cette efficaciteacute Elle se contentedrsquoindiquer qursquoune meacutethode est agrave deacutefinir
A cette fin le preacutesent document apporte un eacuteclairage aux RSSI auditeurs internes acteurs ducontrocircle permanent et managers dans la deacutefinition et la mise en œuvre des indicateurs adapteacutesagrave leurs exigences selon des processus qui devraient figurer dans la norme ISOIEC 27004
LrsquoISOIEC 27004 est un guide qui compleacutetera lrsquoISOIEC 270012005 en fournissant deslignes directrices et des conseils sur
la conception
la mise en œuvre
lrsquoanalyse et la communication des reacutesultats
lrsquoameacutelioration du processus de mesurage drsquoun SMSI
Cette future norme devrait ecirctre publieacutee prochainement La seacuterie ISOIEC 27000 a eacuteteacutecompleacuteteacutee de lrsquoISOIEC 270052008 et de lrsquoISOIEC 27003 (preacutevue en 2009) qui traitentrespectivement de la gestion du risque et de la mise en œuvre drsquoun SMSI
2 cf clauses 02c 02d 422d 423c 431g 72f et 73e
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2228
Les meacutetriques dans le cadre de la seacuterie 27000 - 20 - copy CLUSIF 2009
ANNEXE A FICHE DESCRIPTIVE
Modegravele de fiche descriptive drsquoune mesure
Cette fiche est inspireacutee de lrsquoISOIEC FCD 27004
Identification de la mesure
Nom de la mesure Nom de la mesure
Identifiant de la mesure Identifiant numeacuterique unique speacutecifique agrave lrsquoorganisme
Objectif de la mesureDeacutecrit lrsquoobjectif de la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure de
seacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (1)Facultatif Deacutecrit la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure deseacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (2)Facultatif Deacutecrit dautres mesures de seacutecuriteacute (agrave mettre ou deacutejagrave mise en œuvre) faisant lrsquoobjet le caseacutecheacuteant de la mecircme mesure (reacutefeacuterence aux mesures de seacutecuriteacute de lrsquoannexe A de la normeISO 27001)
Objectif de la mesure Deacutefinit le but de la mesure
Reacute examinateurPersonne ou uniteacute organisationnelle qui examine et valide que les critegraveres deacutevaluation de la mesuresont approprieacutes pour veacuterifier lefficaciteacute des mesures de seacutecuriteacute et des processus du SMSI
Objets du mesurage et attributs
Objet du mesurage
Objet qui doit ecirctre mesureacute et qui est caracteacuteriseacute par la mesurabiliteacute de ses attributs Les objets peuvent
comprendre des processus des systegravemes ou des composants de systegravemes
AttributsProprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacutee quantitativement ou qualitativementpar des moyens humains ou automatiques
Speacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesUne mesure eacuteleacutementaire est deacutefinie en fonction dun attribut et de la meacutethode de mesurage speacutecifieacuteepour le quantifier (par exemple le nombre de personnel formeacute le nombre de sites le coucirct cumuleacute agravece jour) Au moment ougrave la donneacutee est collecteacutee une valeur est affecteacutee agrave une mesure eacuteleacutementaire
Meacutethodes de mesurage Suite logique drsquoopeacuterations qui permettent de quantifier un attribut selon une eacutechelle
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure eacuteleacutementaire
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesures eacuteleacutementaires
Fonction de mesurageSuite logique drsquoopeacuterations qui permettent de calculer la mesure deacuteriveacutee Pour les mesures deacuteriveacutees lafonction par laquelle les mesures deacuteriveacutees fondeacutees sur des mesures eacuteleacutementaires correspondantes etla preacutecision cumulative reacutesultante sont agreacutegeacutees
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure deacuteriveacutee
Speacutecification de lrsquoindicateur
Description dindicateur etexemple
Preacutesentation dune ou plusieurs mesures (eacuteleacutementaires ou deacuteriveacutees) qui fournit une estimation ou uneeacutevaluation dattributs speacutecifieacutes reacutesultant dun modegravele analytique en ce qui concerne des besoins delinformation deacutefinis Un indicateur est souvent preacutesenteacute agrave lrsquoaide drsquoun graphique ou drsquoun diagrammeInclure un croquis de lindicateur
Modegravele analytique Algorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires etou deacuteriveacutees avec lescritegraveres de deacutecision associeacutes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2328
Les meacutetriques dans le cadre de la seacuterie 27000 - 21 - copy CLUSIF 2009
Critegravere de deacutecisionSeuil cible ou modegravele utiliseacute pour deacuteterminer la neacutecessiteacute dune action ou un compleacutement denquecircteou pour deacutecrire le niveau de confiance dans un reacutesultat donneacute
Interpreacutetation dindicateurDescription de la faccedilon dont lindicateur exemple (voir la figure exemple dans la description delindicateur) devrait ecirctre interpreacuteteacute
Effets impact Deacutefinition des effets et de lrsquoimpact issu des reacutesultats obtenus par la mesure
Causes drsquoeacutecart Deacutefinition des causes possibles agrave lrsquoorigine drsquoeacutecarts des reacutesultats
Valeurs positivesDeacuteclaration expliquant si les valeurs en laquo croissance raquo indiquent des tendances positives (bonreacutesultat) ou si les valeurs en laquo deacutecroissance raquo doivent ecirctre consideacutereacutees comme des tendancespositives
Format de restitution
Le format de la restitution devrait ecirctre preacuteciseacute et documenteacute Il deacutecrit les observations quelrsquoorganisation ou le proprieacutetaire de lrsquoinformation peut vouloir sur lrsquoenregistrement Les formats derapport deacutecriront visuellement les mesures et fourniront une explication verbale des indicateurs Ilsdevraient ecirctre personnaliseacutes en fonction du laquo client de linformation raquo (ce terme est deacutefini ci-apregraves)
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des
donneacutees
Freacutequence agrave laquelle les donneacutees sont collecteacutees
Fournisseur de lrsquoinformationPersonne ou uniteacute organisationnelle qui deacutetient lrsquoinformation pour creacuteer les mesures eacuteleacutementairesCelui qui va contribuer agrave la meacutetrique produire lrsquoinformation pour le calcul de la meacutetrique
Collecteur de lrsquoinformationPersonne ou uniteacute organisationnelle en charge de collecter enregistrer et stocker les informationsCelui qui va obtenir la meacutetrique
Outils utiliseacutes dans la collectedes donneacutees
Liste les outils utiliseacutes dans la collecte des donneacutees (par exemple un scanner de vulneacuterabiliteacute)
Conservation des donneacuteescollecteacutees
Liste les outils ougrave les donneacutees sont conserveacutees apregraves avoir eacuteteacute collecteacutees (par exemple une base dedonneacutees)
Date de collecte Date agrave laquelle la donneacutee devrait ecirctre obtenue
Proceacutedure drsquoenregistrement
des donneacuteesDeacutefinit la proceacutedure drsquoenregistrement des donneacutees (lien vers la proceacutedure correspondante)
Validiteacute de la mesure Date de reacutevision (date drsquoexpiration ou de validiteacute de renouvellement) de la mesure
Peacuteriode drsquoanalyse Deacutefinit la peacuteriode mesureacutee
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitutiondes donneacutees
Freacutequence agrave laquelle les donneacutees sont restitueacutees (cette freacutequence peut ecirctre infeacuterieure agrave celle decollecte)
Communicateur delrsquoinformation
Personne ou uniteacute organisationnelle responsable de lrsquoanalyse de lrsquoinformation et de la communicationdes reacutesultats des mesuresCelui qui va analyser la meacutetrique
Source drsquoinformation pour
lrsquoanalyse
Liste les sources drsquoinformation utiles pour lrsquoanalyse de reacutesultats (documents journaux entretien
etc)Outils utiliseacutes dans lrsquoanalyse Liste les outils utiliseacutes pour lrsquoanalyse (par exemple des outils statistiques)
Client de lrsquoinformationLa personne ou lrsquouniteacute organisationnelle qui demande ou requiert les mesures pour les besoins de sonactiviteacuteCelui qui va utiliser la meacutetrique
Information compleacutementaire
Conseils danalyseCompleacutementaires
Fournit des conseils compleacutementaires sur les variations de cette mesure
Consideacuterations de mise enœuvre
Liste les processus ou les exigences de mise en œuvre qui sont neacutecessaires pour la reacuteussite de la miseen œuvre
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2428
Les meacutetriques dans le cadre de la seacuterie 27000 - 22 - copy CLUSIF 2009
Exemple drsquoutilisation de la fiche
Identification de la mesure
Nom de la mesure Revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Identifiant de la mesure R1-A1124
Objectif de la mesure de seacutecuriteacuteA1124 [270012005]
Mesure de seacutecuriteacute (1)Les managers doivent dans leur peacuterimegravetre reacuteexaminer les droits drsquoaccegraves des utilisateurs agraveintervalles reacuteguliers par le biais drsquoun processus formel
Mesure de seacutecuriteacute (2) Revue des accegraves au reacuteseau informatique
Objectif de la mesure
Mesurer le pourcentage de manager deacuteclarant avoir effectueacute des controcircles sur les droits drsquoaccegravesutilisateurs de leur peacuterimegravetre ce qui permet drsquoeacutevaluer
bull la prise de conscience des managers vis-agrave-vis des risques drsquoaccegraves non fondeacutesfrauduleux ou obsolegravetes aux SI
bull lrsquoimplication du management dans le processus de maicirctrise et de gestion du risqueinformatique
Reacute examinateur Direction des Risques
Objets du mesurage et attributs
Objet du mesurage Processus de revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Attributs Attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateursSpeacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesExistence drsquoune attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateurs parchacun des managers
Meacutethodes de mesurageTous les trimestres les managers enverront un email standardiseacute au Deacutepartement Seacutecuriteacute desSI attestant que les accegraves des utilisateurs ont eacuteteacute revus pour leur peacuterimegravetre
Echelle Numeacuterique
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Taux drsquoattestations retourneacutees par les managers sur le trimestre eacutetudieacute
Fonction de mesurage
Taux dattestations retourneacutees par les managers sur le trimestre eacutetudieacute = (nombre dattestations
retourneacutees par les managers Total dattestations attendues dans le trimestre) 100
Echelle Ratio pourcentage
Speacutecification de lrsquoindicateur
Description dindicateur et exemple Courbe montrant lrsquoindicateur sur plusieurs peacuteriodes de restitution
Modegravele analytique
Satisfaisant si gt= 90Globalement satisfaisant si 80 lt lt 90Moyennement satisfaisant si 70 lt= lt= 80Insatisfaisant si lt 70
Critegravere de deacutecision Seuil min 80
Interpreacutetation dindicateurUn reacutesultat insatisfaisant indique un manque drsquoengagement des managers dans la gestion des
risques lieacutes agrave la seacutecuriteacute des SIEffets impact Si reacutesultats insatisfaisants lrsquoindicateur est remonteacute agrave la Direction Geacuteneacuterale pour action
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2528
Les meacutetriques dans le cadre de la seacuterie 27000 - 23 - copy CLUSIF 2009
Causes drsquoeacutecart Les reacuteorganisations fonctionnelles de lrsquoentreprise
Valeurs positives Des valeurs croissantes indiquent des tendances positives
Format de restitution Tableau Excel standardiseacute
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des donneacutees Trimestrielle
Fournisseur de lrsquoinformation Chaque manager
Collecteur de lrsquoinformation Le RSSI
Outils utiliseacutes dans la collecte desdonneacutees
Mail courrier
Conservation des donneacutees collecteacutees Reacutepertoire speacutecifique du disque reacuteseau
Date de collecte Pour le 15 de chaque deacutebut de trimestre
Proceacutedure drsquoenregistrement desdonneacutees
EhellipNOV08R1-A11-2-4XLS
Validiteacute de la mesure Annuelle
Peacuteriode drsquoanalyse Du 1er janvier au 31 deacutecembre de lrsquoanneacutee en cours
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitution desdonneacutees
Trimestrielle
Communicateur de lrsquoinformation Le RSSI
Source drsquoinformation pour lrsquoanalyse Rapports drsquoentretiens
Outils utiliseacutes dans lrsquoanalyse Excel
Client de lrsquoinformation Direction des Risques
Information compleacutementaire
Conseils danalyse Compleacutementaires NA
Consideacuterations de mise en œuvre NA
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2628
Les meacutetriques dans le cadre de la seacuterie 27000 - 24 - copy CLUSIF 2009
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE
METRIQUES ET OU DrsquoINDICATEURS
Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI
Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A8 Seacutecuriteacute lieacutee aux ressources humaines
A81 Avant le recrutement
A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute
A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat
A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur
A82 Pendant la dureacutee du contrat
A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute
A822 Sensibilisation qualification et formations
en matiegravere de seacutecuriteacute de lrsquoinformation
Nombre de personnes formeacutees an
A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque
A83 Fin ou modification du contrat
A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat
A832 Restitution des actifs Coucirct des biens non rendus en fin de mission
A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai
A9 Seacutecuriteacute physique et environnementale
A91 Zones seacutecuriseacutees
A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees
A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)
A913 Seacutecurisation des bureaux des salles et deseacutequipements
Nombre annuel de disparition de biens informatiques dans les locaux
A914 Protection contre les menaces exteacuterieures etenvironnementales
Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle
A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 728
Les meacutetriques dans le cadre de la seacuterie 27000 - 5 - copy CLUSIF 2009
12 Lectorat
Les documents du CLUSIF sont geacuteneacuteralement agrave destination des RSSI et des DSI
Lrsquoeacutelargissement du peacuterimegravetre au mesurage de lrsquoensemble du SMSI nous incite agrave proposer une
cible sensiblement plus large incluant tous les professionnels de la seacutecuriteacute de lrsquoinformationmais aussi toutes les entiteacutes de controcircle permanent ou de gestion des risques
Comme tout texte lrsquoutiliteacute de la norme doit ecirctre eacutevalueacutee en fonction du contexte de mise enœuvre Ce document ayant eacuteteacute reacutedigeacute plus particuliegraverement pour un public de laquo non-initieacutes raquoafin de leur permettre de mieux appreacutehender le contenu de la norme les personnes au fait decette derniegravere nrsquoy trouveront peut ecirctre pas de deacuteveloppement nouveau
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 828
Les meacutetriques dans le cadre de la seacuterie 27000 - 6 - copy CLUSIF 2009
2 LES METRIQUES
21 Panorama des reacutefeacuterentiels et des bonnes pratiques
La norme ISOIEC 270022005 connue preacuteceacutedemment sous la reacutefeacuterenceISOIEC 177992005 a pour titre laquo Code of practice for information security management raquoElle met laccent sur le fait que deacutesormais linformation est une ressource essentielle delentreprise cest-agrave-dire que lrsquoinformation au mecircme titre que dautres actifs doit ecirctre prise enconsideacuteration eacutevalueacutee et proteacutegeacutee
La seacutecuriteacute de linformation vise entre autres agrave garantir la continuiteacute de lrsquoactiviteacute agrave reacuteduire lesrisques agrave optimiser le retour sur investissements ainsi que les opportuniteacutes daction pourlorganisme
Cette norme traduit une eacutevolution tendancielle des normes traitant de la seacutecuriteacute delinformation Au deacutepart il y a une quinzaine danneacutees ces normes eacutetaient plutocirct techniques etcontenaient surtout des prescriptions relatives aux systegravemes ou aux reacuteseaux informatiques
Vers le milieu des anneacutees 90 des travaux dorigine britannique ont conduit agrave eacutelaborer desdocuments dont le champ seacutetendait aux systegravemes dinformation et orienteacutes vers lesresponsabiliteacutes manageacuteriales et lorganisation des entreprises
Le plus connu de ces documents est le standard britannique BS 7799 dont la partie 1 (Code of
practice for information security management ) a servi de base agrave lISOIEC 27002
(anciennement ISOIEC 17799) et la partie 2 a servi de base agrave lISOIEC 27001 dans laquelleon trouve la notion de SMSI (Systegraveme de Management de la Seacutecuriteacute de lrsquoInformation)
Lors dune reacuteunion de lISO il a eacuteteacute deacutecideacute de regrouper les principales normes traitant duSMSI dans une laquo seacuterie ISOIEC 27000 raquo un peu comme la qualiteacute fait lobjet de la laquo seacuterieISO 9000 raquo ou lenvironnement de la laquo seacuterie ISO 14000 raquo Il est drsquoailleurs agrave noter que ces troisfamilles de normes sont coheacuterentes entre elles quant agrave lrsquoapproche manageacuteriale etorganisationnelle des thegravemes traiteacutes Il est preacutevu de disposer agrave terme des normes suivantes(liste non limitative)
ISOIEC 27000 Principles and Vocabulary
ISOIEC 27001 Information Security Management Systems ndash Requirements baseacutee surla BS 7799-2 et orienteacutee vers la certification
ISOIEC 27002 Code of practice for Information Security Management anciennementISOIEC 17799
ISOIEC 27003 ISMS Implementation
ISOIEC 27004 ISMS Measurements and metrics
ISOIEC 27005 ISMS Information security risk management
ISOIEC 27006 Information technology mdash Security techniques mdash Requirements for
bodies providing audit and certification of information security management systems
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 928
Les meacutetriques dans le cadre de la seacuterie 27000 - 7 - copy CLUSIF 2009
IISSOO 2277000011 SSMMSSII
IISSOO 2277000011 IISSOO 2277000022 MMeessuurreess ddee sseacuteeacuteccuurriitteacuteeacute
IISSOO 2277000000 VVooccaabbuullaaiirree
IISSOO 2277000066 CCeerrttiiffiiccaattiioonn ddee SSMMSSII
IISSOO 2277000055 GGeessttiioonn ddee rriissqquuee
IISSOO 2277000044 IInnddiiccaatteeuurrss SSMMSSII
IISSOO 2277000033 IImmpplleacuteeacutemmeennttaattiioonn
2005-2010 200
2005-2010 2008
Guidesusage facultatif
Exigencesusage obligatoire
dans la certification
2009
IISSOO 2277000077 AAuuddiitt ddee SSMMSSII
2009
2009
2010
Scheacutema 1 La seacuterie ISOIEC 27000
Bien sucircr dautres normes techniques continueront de traiter de la seacutecuriteacute des systegravemesdinformations En particulier nous pouvons mentionner
ISOIEC 27031 Specification for ICT Readiness for Business Continuity
ISOIEC 27032 Guidelines for Cybersecurity
ISOIEC 27033 de 1 agrave 8 IT network security (ex ISOIEC 18028)
ISOIEC 27034 Guidelines for Application Security
ISOIEC 27035 Information Security Incident Management
ISOIEC 18043 Selection deployment and operation of intrusion detection systems
(IDS)
Dautres reacutefeacuterentiels eux aussi en cours deacutevolution sont susceptibles decirctre utiliseacutes pourameacuteliorer la seacutecuriteacute de linformation Ils peuvent ainsi se trouver en concurrence avec tout oupartie des normes preacuteciteacutees Ils peuvent aussi introduire de nouvelles contraintes qui seront agraveprendre en compte dans leur mise en œuvre
Le plus connu est le CoBIT (Control Objectives of Information and related Technology)eacutelaboreacute par lISACA ( Information Systems Audit and Control Association) Il convienteacutegalement de mentionner les documents eacutemanant du COSO (Committee of Sponsoring
Organisations of the Treadway Commission) ou de diffeacuterents organismes gouvernementaux(NIST aux USA DTI au Royaume Uni hellip)
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1028
Les meacutetriques dans le cadre de la seacuterie 27000 - 8 - copy CLUSIF 2009
Scheacutema 2 La seacuterie ISOIEC 27000 et les autres reacutefeacuterentiels
De la mecircme faccedilon les lois et les regraveglements concernant la seacutecuriteacute de linformation(informations nominatives gestion de lidentiteacute reacutetention de donneacutees chiffrement hellip) sontactuellement en eacutevolution dans la plupart des pays
De nouvelles conditions de traitement de conservation ou de destruction des informations
sont ainsi agrave mettre en œuvre de faccedilon impeacuterative et de faccedilon dautant plus complexe que lesmesures de seacutecuriteacute peuvent varier dun pays agrave lautre
Des impeacuteratifs leacutegislatifs ou sectoriels peuvent aussi voir le jour et entraicircner des conseacutequencesimportantes Par exemple la loi Sarbanes-Oxley Act pour les entreprises coteacutees sur lesmarcheacutes ameacutericains la Loi sur la Seacutecuriteacute Financiegravere pour les entreprises franccedilaises Bacircle IIpour les eacutetablissements financiers ou Solvency II pour les assurances
ISO 27001Moteur de base
ISO 27004Indicateurs
CoBITGouvernance
CMMID eacute veloppements
ITIL Production
ISO 27005Appr eacuteciation des
risques
ISO 27002Bonnes pratiques ISO 27001
SAS 70
PCI - DSS
Tout autre r eacute f eacute rentielseacute curit eacute
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1128
Les meacutetriques dans le cadre de la seacuterie 27000 - 9 - copy CLUSIF 2009
22 Terminologie
Le terme laquo meacutetrique raquo nrsquoexiste pas dans la langue franccedilaise au sens ougrave il est utiliseacute dans ce
documentLe terme anglais laquo metrics raquo (a system of related measures that facilitates the quantification ofsome particular characteristic) est utiliseacute pour meacutetrologie parfois laquo traduit raquo par meacutetrique
Pour meacutemoire la meacutetrologie est la science qui sinteacuteresse aux cocircteacutes theacuteoriques et pratiques dela mesure dans tous les domaines de la science et de la technologie Plus speacutecifiquement lameacutetrologie touche lutilisation des uniteacutes la reacutealisation des eacutetalons les meacutethodes lestechniques et les appareils de mesure ainsi que la preacutecision obtenue
Les diffeacuterentes normes en rapport avec le sujet fournissent les deacutefinitions suivantes
Attribut proprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacute quantitativementou qualitativement par des moyens humains ou automatiques [ISOIEC 159392007]
Mesurage processus drsquoobtention drsquoinformation relative agrave lrsquoefficaciteacute drsquoun SMSI et demesures de seacutecuriteacute agrave lrsquoaide drsquoune meacutethode drsquoeacutevaluation drsquoune fonction drsquoeacutevaluationdrsquoun modegravele analytique et de critegraveres de deacutecision [ISOIEC 27004]
Indicateur reacutesultat de lrsquoapplication drsquoun modegravele analytique agrave une ou plusieurs variablesen relation avec les critegraveres de deacutecision ou un besoin drsquoinformation [ISOIEC 27004]
Un indicateur est la base de lrsquoanalyse et de la prise de deacutecisionCompleacutements aux deacutefinitions proposeacutees dans ce document
Meacutetrique ensemble drsquoeacuteleacutements permettant de fournir une eacutevaluation qualitative ouquantitative repreacutesentative drsquoune situation
Indicateur donneacutee objective qui preacutesente une situation du strict point de vuequantitatif Un indicateur est pertinent srsquoil est directement relieacute agrave une zone drsquoaction (ilindique ougrave il faut agir) Les indicateurs peuvent ecirctre regroupeacutes dans un tableau de bordoutil de synthegravese et de visualisation des situations deacutecrites
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1228
Les meacutetriques dans le cadre de la seacuterie 27000 - 10 - copy CLUSIF 2009
23 Positionnement des meacutetriques dans le modegravele defonctionnement
La figure ci-dessous positionne les termes laquo attribut raquo laquo meacutetrique raquo et laquo indicateur raquo
Interpreacutetation
Collecte des paramegravetres etvariables mesurables
les attributs
Repreacutesentation de lareacutealiteacute du ldquo terrainrdquo(donneacutees brutes)
Repreacutesentation de la situation
Aide agrave la deacutecision
Information quantitative ou
qualitative positionneacutee surune eacutechelle de reacutefeacuterence
Indicateurs
Meacutetriques
Tableau de Bord
Systegravemes et processus meacutetiers de lrsquoentiteacute
attributs
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situationControcircle
ISMS
Objectifs
Miseen
place
Interpreacutetation Interpreacutetation Inte rpreacutetation
Collecte des paramegravetres etvariables mesurables
les attributs
Repreacutesentation de lareacutealiteacute du ldquo terrainrdquo(donneacutees brutes)
Repreacutesentation de la situation
Aide agrave la deacutecision
Information quantitative ou
qualitative positionneacutee surune eacutechelle de reacutefeacuterence
Indicateurs
MeacutetriquesMeacutetriques
Tableau de Bord
Systegravemes et processus meacutetiers de lrsquoentiteacute
attributs
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situation
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situationControcircle
ISMS
Objectifs
Miseen
place
Miseen
place
Scheacutema 3 Repreacutesentation drsquoapregraves le document ISOIEC 27004
Exemple dans le domaine des antivirus
Nombre de postes eacutequipeacutes dun antivirus attribut
Pourcentage du nombre de postes eacutequipeacutes sur le total meacutetrique
Nombre de postes eacutequipeacutes dun antivirus dont lantivirus a eacuteteacute mis agrave jour attribut
Pourcentage de postes dont lantivirus a eacuteteacute mis agrave jour meacutetrique
A partir de lrsquoexemple ci-dessus en regroupant les deux meacutetriques nous pouvons constituer un
indicateur repreacutesentant agrave la fois le niveau de protection viral des postes de travail et lamaicirctrise du processus antiviral sur ces postes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1328
Les meacutetriques dans le cadre de la seacuterie 27000 - 11 - copy CLUSIF 2009
Les indicateurs intimement lieacutes agrave la situation que nous voulons repreacutesenter peuvent ecirctre denature diffeacuterente et avoir des finaliteacutes eacutegalement diffeacuterentes
constater une situation dans le domaine que lrsquoon veut observer
mesurer leacutecart entre le niveau existant et le niveau de lrsquoobjectif deacutefini
suivre leacutevolution des domaines geacutereacutes et analyseacutes
anticiper etou deacuteclencher la mise en œuvre de plans drsquoactions de seacutecuriteacute (agrave partir dufranchissement drsquoun seuil)
communiquer agrave partir de donneacutees analyseacutees
piloter les projets
appreacutecier le respect des lois et reacuteglementations
auditer
Dans le contexte de la mise en œuvre drsquoun SMSI et du respect du principe de la Roue deDeming (cycle PDCA) les critegraveres de choix des indicateurs doivent inteacutegrer le soucidrsquoameacutelioration permanente de la seacutecuriteacute par la veacuterification de lefficaciteacute des mesures deseacutecuriteacute valideacutees et deacuteployeacutees Ainsi il est toujours souhaitable davoir en meacutemoire quelobjectif dun indicateur de seacutecuriteacute dans le SMSI est deacutevaluer lefficaciteacute des mesures deseacutecuriteacute
Dans la suite du document le choix a eacuteteacute fait drsquoillustrer uniquement les meacutethodes de mise en
œuvre drsquoindicateurs pour les SMSI En effet le suivi de lrsquoefficaciteacute de tout systegraveme demanagement est reacutealiseacute agrave partir de ces indicateurs (cf scheacutema 3)
24 Eacuteleacutements pour la mise en œuvre des indicateurs
Afin de satisfaire les objectifs assigneacutes les indicateurs doivent respecter des conditionsparticuliegraveres et ecirctre doteacutes de qualiteacutes speacutecifiques notamment
ecirctre issus des objectifs retenus dans la politique de seacutecuriteacute
ecirctre aiseacutement quantifiables (construits agrave partir drsquoinformations ou de processus geacuteneacuterantdes informations quantifiables) afin de permettre des comparaisons (entre systegravemes ouentre peacuteriodes) Il srsquoagit le plus souvent de pourcentage de taux de ratio de moyenneetou de nombres laquo bruts raquo
les informations neacutecessaires agrave lrsquoeacutelaboration de la mesure doivent ecirctre faciles agrave obteniretou collecter En effet il faut srsquoassurer que les ressources mises en œuvre pour obtenirles donneacutees ne sont pas disproportionneacutees par rapport agrave celles concourant agrave la reacutealisationdu processus mesureacute
srsquoappuyer sur des processus laquo stables raquo et aiseacutement laquo reproductibles raquo
permettre la mesure des eacutevolutions suite agrave des actions correctives
ecirctre fiables sur la dureacutee et autoriser une analyse des eacutecarts
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1428
Les meacutetriques dans le cadre de la seacuterie 27000 - 12 - copy CLUSIF 2009
Ces caracteacuteristiques sont regroupeacutees dans certaines deacutemarches sous lacronyme laquo SMART raquoqui signifie
Specific il correspond agrave ce qui est analyseacute et met en avant la speacutecificiteacute de lattribut
Measurable il peut ecirctre mesureacute et cette mesure est objective
Attainable il est obtenu dans des conditions satisfaisantes de coucirct et de deacutelai Repeatable sa mesure est reproductible
Time dependent la mesure deacutepend de la fenecirctre de temps utiliseacutee
Les caracteacuteristiques de la mesure deacutefinies dans lAnnexe A de lrsquoactuel projet de normeISOIEC 27004 doivent ecirctre deacutefinies pour chaque indicateur
25 Exemples drsquoindicateurs
Quelques exemples drsquoindicateurs sont donneacutes ci-apregraves La liste fournie nrsquoest pas exhaustive Ilest inteacuteressant de constater que certains indicateurs sont de nature opeacuterationnelle oustrateacutegique voire opeacuterationnelle et strateacutegique
Controcircle drsquoaccegraves
pourcentage drsquoutilisateurs dont le mot de passe respecte les principes de construction
pourcentage de systegravemes accessibles depuis lrsquoexteacuterieur et comprenant un IDS agrave jour
Controcircle des codes malveillants
nombre annuel dattaques reacuteussies par deacutefaut de mise agrave jour de la base virale
deacutelai de retour agrave la normale sur attaque virale
freacutequence de mise agrave jour de la base antivirus freacutequence drsquoeacutevaluation de la conformiteacute des politiques antivirales laquo locales raquo avec la
politique laquo globale raquo
Mise en œuvre du SMSI
pourcentage de deacuteclinaisons des principes de la politique de seacutecuriteacute de lrsquoorganisme enproceacutedures opeacuterationnelles
nombre mensuel drsquoincidents de seacutecuriteacute non reacutesolus
pourcentage de comiteacutes de pilotage de seacutecuriteacute tenus en accord avec le planning
pourcentage dactions correctives non meneacutees agrave terme
Maicirctrise des deacutepenses deacutepenses lieacutees agrave la seacutecuriteacute selon diffeacuterents critegraveres nombre dalertes dincidents etc
Formation
pourcentage du budget global de formation consacreacute agrave la seacutecuriteacute des systegravemesdrsquoinformation
pourcentage de participants en fonction de la population cible agrave des sessions relatives agravela seacutecuriteacute des systegravemes drsquoinformation
taux de freacutequentation des formations aux proceacutedures dalerte par les personnes cleacutes descellules de crise
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1528
Les meacutetriques dans le cadre de la seacuterie 27000 - 13 - copy CLUSIF 2009
Seacutecuriteacute des logiciels applications
nombre de correctifs de seacutecuriteacute valideacutes apregraves analyse
taux de correctifs de seacutecuriteacute valideacutes mis en œuvre dans les deacutelais preacutevus
Seacutecuriteacute reacuteseau
nombre drsquoaudits et de tests de vulneacuterabiliteacute reacutealiseacutes sur la peacuteriode
Disponibiliteacute des services
taux de disponibiliteacute DNS accegraves internet messagerie
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1628
Les meacutetriques dans le cadre de la seacuterie 27000 - 14 - copy CLUSIF 2009
3 LES DIFFERENTS USAGES DES INDICATEURS
31 EacutevaluerCes indicateurs peuvent ecirctre reacutepartis dans les grandes familles suivantes
Les indicateurs laquo de conformiteacute raquo deacutecrivent le niveau dexigence souhaiteacute (ou constateacute)sur une mesure de seacutecuriteacute Par exemple en ce qui concerne la mesure de seacutecuriteacutelaquo Reacutealisation de sauvegardes raquo un indicateur de conformiteacute de seacutecuriteacute peut ecirctre lafreacutequence des sauvegardes ou le ratio du nombre de bandes externaliseacutees par rapport aunombre total de bandes
Les indicateurs laquo defficaciteacute raquo deacutecrivent leacutetat du fonctionnement de la mesure deseacutecuriteacute Sur le mecircme exemple de la laquo Reacutealisation de sauvegardes raquo un nombre eacuteleveacute de
tests de restaurations deacutefectueux peut deacutemontrer un mauvais fonctionnement dessauvegardes
Les indicateurs laquo defficience raquo visent agrave rapprocher lefficaciteacute de la mesure de seacutecuriteacuteau regard de limportance des moyens mis en œuvre
32 Piloter
Toute activiteacute (production projet processus etc) implique la deacutetermination drsquoindicateurs depilotage Ces derniers permettent
drsquoappreacutecier lavancement correct du projet drsquoeacutevaluer une situation
de deacutetecter un risque
de deacuteclencher une alerte
Le choix des indicateurs peut deacutependre des objectifs de lrsquoactiviteacute (coucircts deacutelais performanceetc) mais aussi ecirctre lieacute agrave des processus transverses (management support etc)
Nous pourrons ainsi avoir les indicateurs suivants sur diffeacuterentes eacutechelles de temps anneacuteemois semaine jour
nombre de machines infecteacutees par des virus nombre de machines
nombre de messages infecteacutes par des virus nombre de messages
nombre de machines agrave jour nombre de machines
temps moyen et maximum de mise agrave jour du parc
nombre drsquoattaques virales identifieacutees bloqueacutees exeacutecuteacutees
impact de ses attaques en heures de travail perdues financier
raison des infections mise agrave jour non effectueacutee seacutecuriteacute non appliqueacutee malveillancehellip
variation du taux drsquoinfection et tentatives drsquoinfection sur les 12 derniers mois
etc
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1728
Les meacutetriques dans le cadre de la seacuterie 27000 - 15 - copy CLUSIF 2009
Ces indicateurs peuvent aussi ecirctre eacuteleacutementaires ou plus syntheacutetiques Par exemplelrsquoagreacutegation de certains indicateurs informatiques avec les indicateurs eacuteconomiques Lelaquo Ratio du nombre annuel drsquoaccords de confidentialiteacutes (NDA ndash Non disclosure agreement)signeacutes par rapport au nombre de prestataires preacutesents dans lrsquoorganisme raquo en est un exemple
33 Communiquer
Des indicateurs sont aussi utiliseacutes pour communiquer en interne ou en externe Leur naturesera diffeacuterente en fonction des acteurs viseacutes et de leur objectif de communication(sensibiliser faire passer des ideacutees justifierhellip)
Par exemple pour communiquer autour de la lutte antivirale
nombre drsquoheures de travail perdues suite agrave une attaque virale
variation du taux drsquoinfection sur les douze derniers mois (justification du budget)
nombre drsquoattaques virales provenant drsquoun support externe
34 Sautoeacutevaluer
Cette eacutevaluation peut ecirctre reacutealiseacutee en interne par lrsquoeacutequipe en charge de la fonction comme parlrsquoeacutequipe drsquoaudit ou de controcircle interne
Elle se situe par rapport agrave un reacutefeacuterentiel interne ou externe ou par rapport agrave un objectifarbitraire ou reacutesultant drsquoune expeacuterience passeacutee et deacutejagrave mesureacutee
Les indicateurs citeacutes comme exemple dans les paragraphes preacuteceacutedents peuvent notammentservir dans le cadre drsquoune autoeacutevaluation
35 Contribuer agrave lrsquoobtention drsquoune certification
Ces indicateurs servent agrave
appreacutecier lrsquoavancement dans le processus de certification
obtenir la certification
et surtout la conserver
Sans ecirctre obligatoire pour lrsquoobtention de la certification ISOIEC 270012005 la mise enplace drsquoindicateurs simplifie grandement le cheminement vers celle-ci
36 Reacutepondre agrave un audit
Les indicateurs servent agrave informer lrsquoauditeur agrave justifier des mesures de seacutecuriteacute mises enplace et des correctifs en cours
Les indicateurs preacutesenteacutes lors drsquoaudits contribuent agrave lrsquoanalyse de risque et srsquoappreacutecient parrapport agrave un reacutefeacuterentiel externe
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1828
Les meacutetriques dans le cadre de la seacuterie 27000 - 16 - copy CLUSIF 2009
4 LES TRAVAUX NORMATIFS EN COURS
(ISOIEC 27004)
Ce document a eacuteteacute reacutedigeacute alors que la norme ISOIEC 27004 nrsquoeacutetait pas stabiliseacutee (versionCD) il est toutefois permis de penser que lrsquointeacuterecirct du document justifie les travaux entreprisci-apregraves sous reacuteserve de possibles eacutevolutions
Ce projet de norme au sein de la seacuterie 27000 constitue un guide [agrave usage facultatif] delaquo Mesurage et meacutetriques raquo dans le cadre drsquoun SMSI (Systegraveme de Management de la Seacutecuriteacutede lrsquoInformation) tel que deacutefini dans lrsquoISOIEC 270012005
Les domaines suivants sont abordeacutes
preacutesentation du processus de mesurage
rocircles et responsabiliteacutes
conception des indicateurs production et mise en forme des indicateurs
analyse et reporting
ameacutelioration du processus de mesurage
Une premiegravere annexe preacutesente un modegravele commenteacute drsquoune fiche drsquoindicateur (cf Annexe A)La seconde annexe preacutesente plusieurs exemples drsquoattributs de meacutetriques ou drsquoindicateurs (cfAnnexe B)
41 Concepts de meacutetriquesUn processus de mesure a pour but de veacuterifier que les objectifs de seacutecuriteacute fondeacutes notammentsur lrsquoanalyse de risque et la conformiteacute aux dispositions leacutegales et reacuteglementaires sontatteints
Il se compose de phases de collecte drsquoinformations et drsquoanalyse Par comparaison agrave descritegraveres de deacutecision ces phases permettent lrsquoobtention drsquoinformations de seacutecuriteacute etlrsquoameacutelioration continue du management de la seacutecuriteacute
Les mesures peuvent ecirctre eacuteleacutementaires ou deacuteriveacutees
une mesure eacuteleacutementaire1
est la valeur drsquoun laquo attribut raquo obtenue par une meacutethode decalcul
une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesureseacuteleacutementaires
Pour chaque type de mesure (eacuteleacutementaire ou deacuteriveacutee) il convient de faire en sorte que desobjectifs de conformiteacute ou de performance soient mis en eacutevidence
Le modegravele du processus de mesure proposeacute comprend un processus de remonteacutee demesures eacuteleacutementaires et de mesures deacuteriveacutees qui contribuent agrave la fabrication drsquoindicateurslesquels seront compareacutes individuellement agrave leur critegravere de deacutecision Lrsquoefficaciteacute du systegraveme
1 Une mesure eacuteleacutementaire peut dans certains cas correspondre directement agrave un indicateur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1928
Les meacutetriques dans le cadre de la seacuterie 27000 - 17 - copy CLUSIF 2009
de management srsquoappreacutecie en comparant les reacutesultats issus des mesures effectueacutees avec leursobjectifs initiaux
Dans le projet de norme les preacutecisions suivantes sont apporteacutees
les objectifs du processus de mesure sont clairement eacutetablis (eacutevaluer fournir des
donneacutees faciliter lrsquoeacutevolution communiquer) En revanche le peacuterimegravetre sur lequelsrsquoapplique ce processus ainsi que la meacutethodologie drsquoimpleacutementation restent agrave lrsquoinitiativede chacun
lrsquoimplication du management dans le processus de mesure est souligneacutee notamment surson engagement ses responsabiliteacutes et les ressources agrave mettre en œuvre
les diffeacuterents rocircles qui devraient ecirctre assigneacutes par le Management concernant leprocessus de mesure sont preacuteciseacutes le fournisseur le client le collecteur lecommunicateur le reacute-examinateur (cf deacutefinitions dans lrsquoannexe A du preacutesentdocument) Ces diffeacuterents rocircles devront faire lrsquoobjet de proceacutedures drsquohabilitationprenant en compte les contraintes de seacuteparation des tacircches et les compeacutetencestechniques neacutecessaires
42 Concevoir des meacutetriques
Des meacutetriques doivent ecirctre creacuteeacutes pour eacutevaluer lrsquoefficaciteacute du SMSI controcircler lrsquoatteinte desobjectifs identifier valider et ameacuteliorer les mesures de seacutecuriteacute speacutecifiques
Pour cela il faut pour chaque meacutetrique agrave partir drsquoune analyse de risque et de lrsquoeacutetat initial
identifier et choisir des objectifs
documenter et planifier lrsquoactiviteacute de mesurage (lrsquoannexe A du preacutesent document
preacutesente un modegravele de fiche sur ce thegraveme) en particulier concernant la meacutethode decollecte de stockage drsquoarchivage de veacuterification et drsquoanalyse des donneacutees ainsi que lamise en place du processus de mesurage
deacutefinir les principaux acteurs et les ressources neacutecessaires
srsquoassurer de la pertinence des mesurages qui devraient veacuterifier les critegraveres SMART(Specific Measurable Attainable Repeatable Time dependant)
43 Mettre en place des meacutetriques
La mise en place permanente de la collecte de la conservation et de lrsquoanalyse des donneacutees apour but drsquoassurer la compreacutehension et lrsquoameacutelioration du SMSI Ce processus doitaccompagner les eacutevolutions du SMSI
Cette rubrique dans le projet de norme constitue un guide pratique opeacuterationnel qui preacuteciseles conditions de
collecte des donneacutees (en speacutecifiant la date lrsquoheure le proprieacutetairehellip)
validation
traitement
diffusion
conservation
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2028
Les meacutetriques dans le cadre de la seacuterie 27000 - 18 - copy CLUSIF 2009
Il importe que les reacutesultats des indicateurs servent agrave eacutevaluer lrsquoefficaciteacute des dispositifs deseacutecuriteacute (de preacutevention deacutetection correction ou reacutecupeacuteration) en place Dans un secondtemps cette base drsquoindicateurs constitueacutee permettra de soutenir un processus de deacutecision dansle choix de nouveaux dispositifs
44 Utiliser communiquer et ameacuteliorer les meacutetriques
Lrsquoanalyse des donneacutees et leur interpreacutetation consistent agrave les rapprocher des critegraveres dedeacutecision preacutealablement deacutefinis (Annexe A)
Le but de lrsquoanalyse est de pouvoir identifier les eacutecarts entre la performance attendue et cellereacutealiseacutee Les causes de non-conformiteacute et de mauvaise performance pourront ecirctre ainsiidentifieacutees en fonction des dispositifs de seacutecuriteacute qui
ne sont pas opeacuterationnels
sont impleacutementeacutes mais ne fonctionnement pas correctement sont impleacutementeacutes fonctionnent correctement mais ne couvrent pas les menaces
estimeacutees
sont impleacutementeacutes fonctionnent correctement mais toutes les menaces ne sont pascouvertes
Les conclusions des analyses devraient ecirctre revues par toutes les parties prenantes ndash dans lesens laquo stakeholders raquo ndash pour assurer la bonne interpreacutetation de la donneacutee A cette fin lesreacutesultats des analyses devraient ecirctre suffisamment documenteacutes
La consolidation de ces reacutesultats devra intervenir dans des tableaux de bord pour unecommunication agrave qui de droit
Les mesures peuvent ecirctre utiliseacutees agrave diverses fins
eacutevaluer lrsquoefficaciteacute des dispositifs de seacutecuriteacute
critiquer les appreacuteciations et les traitements des risques
deacutemontrer les progregraves
se comparer au sein ou entre organisations
45 Ameacuteliorer le processus de mesure
Lrsquoefficaciteacute du processus de mesure doit ecirctre examineacutee peacuteriodiquement afin de lrsquoameacuteliorerNeacuteanmoins les donneacutees de base doivent faire lrsquoobjet de sauvegardes reacuteguliegraveres et peacuterennesafin de pouvoir recalculer les meacutetriques en fonction de leurs diffeacuterentes eacutevolutions
Des eacutevolutions peuvent ecirctre envisageacutees quand lrsquoorganisation introduit de nouveaux objectifsde mesure points de mesure de nouvelles meacutethodes ou fonctions de mesure
Le processus de mesure devrait ecirctre eacutevalueacute en termes drsquoutiliteacute et reacuteexamineacute agrave chaque fois quelrsquoorganisation change Il importe de srsquoassurer que les mesures reflegravetent un eacutetat agrave jour de laseacutecuriteacute et de veacuterifier que les donneacutees sous-jacentes sont encore valides Il est eacutegalementimportant de valider la pertinence des hypothegraveses
Il srsquoagit aussi drsquoeacutevaluer lrsquoutiliteacute de la mesure et le coucirct du processus de mesure afin dedeacuteterminer la pertinence de sa modification ou de sa suppression
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2128
Les meacutetriques dans le cadre de la seacuterie 27000 - 19 - copy CLUSIF 2009
5 CONCLUSION
LrsquoISOIEC 270012005 insiste sur lrsquoimportance de mesurer lrsquoefficaciteacute des processus du
SMSI des mesures de seacutecuriteacute mises en œuvre et du processus de mesurage lui-mecircme2
Cependant cette norme ne preacutecise pas comment mesurer cette efficaciteacute Elle se contentedrsquoindiquer qursquoune meacutethode est agrave deacutefinir
A cette fin le preacutesent document apporte un eacuteclairage aux RSSI auditeurs internes acteurs ducontrocircle permanent et managers dans la deacutefinition et la mise en œuvre des indicateurs adapteacutesagrave leurs exigences selon des processus qui devraient figurer dans la norme ISOIEC 27004
LrsquoISOIEC 27004 est un guide qui compleacutetera lrsquoISOIEC 270012005 en fournissant deslignes directrices et des conseils sur
la conception
la mise en œuvre
lrsquoanalyse et la communication des reacutesultats
lrsquoameacutelioration du processus de mesurage drsquoun SMSI
Cette future norme devrait ecirctre publieacutee prochainement La seacuterie ISOIEC 27000 a eacuteteacutecompleacuteteacutee de lrsquoISOIEC 270052008 et de lrsquoISOIEC 27003 (preacutevue en 2009) qui traitentrespectivement de la gestion du risque et de la mise en œuvre drsquoun SMSI
2 cf clauses 02c 02d 422d 423c 431g 72f et 73e
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2228
Les meacutetriques dans le cadre de la seacuterie 27000 - 20 - copy CLUSIF 2009
ANNEXE A FICHE DESCRIPTIVE
Modegravele de fiche descriptive drsquoune mesure
Cette fiche est inspireacutee de lrsquoISOIEC FCD 27004
Identification de la mesure
Nom de la mesure Nom de la mesure
Identifiant de la mesure Identifiant numeacuterique unique speacutecifique agrave lrsquoorganisme
Objectif de la mesureDeacutecrit lrsquoobjectif de la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure de
seacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (1)Facultatif Deacutecrit la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure deseacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (2)Facultatif Deacutecrit dautres mesures de seacutecuriteacute (agrave mettre ou deacutejagrave mise en œuvre) faisant lrsquoobjet le caseacutecheacuteant de la mecircme mesure (reacutefeacuterence aux mesures de seacutecuriteacute de lrsquoannexe A de la normeISO 27001)
Objectif de la mesure Deacutefinit le but de la mesure
Reacute examinateurPersonne ou uniteacute organisationnelle qui examine et valide que les critegraveres deacutevaluation de la mesuresont approprieacutes pour veacuterifier lefficaciteacute des mesures de seacutecuriteacute et des processus du SMSI
Objets du mesurage et attributs
Objet du mesurage
Objet qui doit ecirctre mesureacute et qui est caracteacuteriseacute par la mesurabiliteacute de ses attributs Les objets peuvent
comprendre des processus des systegravemes ou des composants de systegravemes
AttributsProprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacutee quantitativement ou qualitativementpar des moyens humains ou automatiques
Speacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesUne mesure eacuteleacutementaire est deacutefinie en fonction dun attribut et de la meacutethode de mesurage speacutecifieacuteepour le quantifier (par exemple le nombre de personnel formeacute le nombre de sites le coucirct cumuleacute agravece jour) Au moment ougrave la donneacutee est collecteacutee une valeur est affecteacutee agrave une mesure eacuteleacutementaire
Meacutethodes de mesurage Suite logique drsquoopeacuterations qui permettent de quantifier un attribut selon une eacutechelle
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure eacuteleacutementaire
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesures eacuteleacutementaires
Fonction de mesurageSuite logique drsquoopeacuterations qui permettent de calculer la mesure deacuteriveacutee Pour les mesures deacuteriveacutees lafonction par laquelle les mesures deacuteriveacutees fondeacutees sur des mesures eacuteleacutementaires correspondantes etla preacutecision cumulative reacutesultante sont agreacutegeacutees
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure deacuteriveacutee
Speacutecification de lrsquoindicateur
Description dindicateur etexemple
Preacutesentation dune ou plusieurs mesures (eacuteleacutementaires ou deacuteriveacutees) qui fournit une estimation ou uneeacutevaluation dattributs speacutecifieacutes reacutesultant dun modegravele analytique en ce qui concerne des besoins delinformation deacutefinis Un indicateur est souvent preacutesenteacute agrave lrsquoaide drsquoun graphique ou drsquoun diagrammeInclure un croquis de lindicateur
Modegravele analytique Algorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires etou deacuteriveacutees avec lescritegraveres de deacutecision associeacutes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2328
Les meacutetriques dans le cadre de la seacuterie 27000 - 21 - copy CLUSIF 2009
Critegravere de deacutecisionSeuil cible ou modegravele utiliseacute pour deacuteterminer la neacutecessiteacute dune action ou un compleacutement denquecircteou pour deacutecrire le niveau de confiance dans un reacutesultat donneacute
Interpreacutetation dindicateurDescription de la faccedilon dont lindicateur exemple (voir la figure exemple dans la description delindicateur) devrait ecirctre interpreacuteteacute
Effets impact Deacutefinition des effets et de lrsquoimpact issu des reacutesultats obtenus par la mesure
Causes drsquoeacutecart Deacutefinition des causes possibles agrave lrsquoorigine drsquoeacutecarts des reacutesultats
Valeurs positivesDeacuteclaration expliquant si les valeurs en laquo croissance raquo indiquent des tendances positives (bonreacutesultat) ou si les valeurs en laquo deacutecroissance raquo doivent ecirctre consideacutereacutees comme des tendancespositives
Format de restitution
Le format de la restitution devrait ecirctre preacuteciseacute et documenteacute Il deacutecrit les observations quelrsquoorganisation ou le proprieacutetaire de lrsquoinformation peut vouloir sur lrsquoenregistrement Les formats derapport deacutecriront visuellement les mesures et fourniront une explication verbale des indicateurs Ilsdevraient ecirctre personnaliseacutes en fonction du laquo client de linformation raquo (ce terme est deacutefini ci-apregraves)
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des
donneacutees
Freacutequence agrave laquelle les donneacutees sont collecteacutees
Fournisseur de lrsquoinformationPersonne ou uniteacute organisationnelle qui deacutetient lrsquoinformation pour creacuteer les mesures eacuteleacutementairesCelui qui va contribuer agrave la meacutetrique produire lrsquoinformation pour le calcul de la meacutetrique
Collecteur de lrsquoinformationPersonne ou uniteacute organisationnelle en charge de collecter enregistrer et stocker les informationsCelui qui va obtenir la meacutetrique
Outils utiliseacutes dans la collectedes donneacutees
Liste les outils utiliseacutes dans la collecte des donneacutees (par exemple un scanner de vulneacuterabiliteacute)
Conservation des donneacuteescollecteacutees
Liste les outils ougrave les donneacutees sont conserveacutees apregraves avoir eacuteteacute collecteacutees (par exemple une base dedonneacutees)
Date de collecte Date agrave laquelle la donneacutee devrait ecirctre obtenue
Proceacutedure drsquoenregistrement
des donneacuteesDeacutefinit la proceacutedure drsquoenregistrement des donneacutees (lien vers la proceacutedure correspondante)
Validiteacute de la mesure Date de reacutevision (date drsquoexpiration ou de validiteacute de renouvellement) de la mesure
Peacuteriode drsquoanalyse Deacutefinit la peacuteriode mesureacutee
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitutiondes donneacutees
Freacutequence agrave laquelle les donneacutees sont restitueacutees (cette freacutequence peut ecirctre infeacuterieure agrave celle decollecte)
Communicateur delrsquoinformation
Personne ou uniteacute organisationnelle responsable de lrsquoanalyse de lrsquoinformation et de la communicationdes reacutesultats des mesuresCelui qui va analyser la meacutetrique
Source drsquoinformation pour
lrsquoanalyse
Liste les sources drsquoinformation utiles pour lrsquoanalyse de reacutesultats (documents journaux entretien
etc)Outils utiliseacutes dans lrsquoanalyse Liste les outils utiliseacutes pour lrsquoanalyse (par exemple des outils statistiques)
Client de lrsquoinformationLa personne ou lrsquouniteacute organisationnelle qui demande ou requiert les mesures pour les besoins de sonactiviteacuteCelui qui va utiliser la meacutetrique
Information compleacutementaire
Conseils danalyseCompleacutementaires
Fournit des conseils compleacutementaires sur les variations de cette mesure
Consideacuterations de mise enœuvre
Liste les processus ou les exigences de mise en œuvre qui sont neacutecessaires pour la reacuteussite de la miseen œuvre
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2428
Les meacutetriques dans le cadre de la seacuterie 27000 - 22 - copy CLUSIF 2009
Exemple drsquoutilisation de la fiche
Identification de la mesure
Nom de la mesure Revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Identifiant de la mesure R1-A1124
Objectif de la mesure de seacutecuriteacuteA1124 [270012005]
Mesure de seacutecuriteacute (1)Les managers doivent dans leur peacuterimegravetre reacuteexaminer les droits drsquoaccegraves des utilisateurs agraveintervalles reacuteguliers par le biais drsquoun processus formel
Mesure de seacutecuriteacute (2) Revue des accegraves au reacuteseau informatique
Objectif de la mesure
Mesurer le pourcentage de manager deacuteclarant avoir effectueacute des controcircles sur les droits drsquoaccegravesutilisateurs de leur peacuterimegravetre ce qui permet drsquoeacutevaluer
bull la prise de conscience des managers vis-agrave-vis des risques drsquoaccegraves non fondeacutesfrauduleux ou obsolegravetes aux SI
bull lrsquoimplication du management dans le processus de maicirctrise et de gestion du risqueinformatique
Reacute examinateur Direction des Risques
Objets du mesurage et attributs
Objet du mesurage Processus de revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Attributs Attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateursSpeacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesExistence drsquoune attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateurs parchacun des managers
Meacutethodes de mesurageTous les trimestres les managers enverront un email standardiseacute au Deacutepartement Seacutecuriteacute desSI attestant que les accegraves des utilisateurs ont eacuteteacute revus pour leur peacuterimegravetre
Echelle Numeacuterique
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Taux drsquoattestations retourneacutees par les managers sur le trimestre eacutetudieacute
Fonction de mesurage
Taux dattestations retourneacutees par les managers sur le trimestre eacutetudieacute = (nombre dattestations
retourneacutees par les managers Total dattestations attendues dans le trimestre) 100
Echelle Ratio pourcentage
Speacutecification de lrsquoindicateur
Description dindicateur et exemple Courbe montrant lrsquoindicateur sur plusieurs peacuteriodes de restitution
Modegravele analytique
Satisfaisant si gt= 90Globalement satisfaisant si 80 lt lt 90Moyennement satisfaisant si 70 lt= lt= 80Insatisfaisant si lt 70
Critegravere de deacutecision Seuil min 80
Interpreacutetation dindicateurUn reacutesultat insatisfaisant indique un manque drsquoengagement des managers dans la gestion des
risques lieacutes agrave la seacutecuriteacute des SIEffets impact Si reacutesultats insatisfaisants lrsquoindicateur est remonteacute agrave la Direction Geacuteneacuterale pour action
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2528
Les meacutetriques dans le cadre de la seacuterie 27000 - 23 - copy CLUSIF 2009
Causes drsquoeacutecart Les reacuteorganisations fonctionnelles de lrsquoentreprise
Valeurs positives Des valeurs croissantes indiquent des tendances positives
Format de restitution Tableau Excel standardiseacute
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des donneacutees Trimestrielle
Fournisseur de lrsquoinformation Chaque manager
Collecteur de lrsquoinformation Le RSSI
Outils utiliseacutes dans la collecte desdonneacutees
Mail courrier
Conservation des donneacutees collecteacutees Reacutepertoire speacutecifique du disque reacuteseau
Date de collecte Pour le 15 de chaque deacutebut de trimestre
Proceacutedure drsquoenregistrement desdonneacutees
EhellipNOV08R1-A11-2-4XLS
Validiteacute de la mesure Annuelle
Peacuteriode drsquoanalyse Du 1er janvier au 31 deacutecembre de lrsquoanneacutee en cours
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitution desdonneacutees
Trimestrielle
Communicateur de lrsquoinformation Le RSSI
Source drsquoinformation pour lrsquoanalyse Rapports drsquoentretiens
Outils utiliseacutes dans lrsquoanalyse Excel
Client de lrsquoinformation Direction des Risques
Information compleacutementaire
Conseils danalyse Compleacutementaires NA
Consideacuterations de mise en œuvre NA
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2628
Les meacutetriques dans le cadre de la seacuterie 27000 - 24 - copy CLUSIF 2009
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE
METRIQUES ET OU DrsquoINDICATEURS
Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI
Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A8 Seacutecuriteacute lieacutee aux ressources humaines
A81 Avant le recrutement
A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute
A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat
A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur
A82 Pendant la dureacutee du contrat
A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute
A822 Sensibilisation qualification et formations
en matiegravere de seacutecuriteacute de lrsquoinformation
Nombre de personnes formeacutees an
A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque
A83 Fin ou modification du contrat
A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat
A832 Restitution des actifs Coucirct des biens non rendus en fin de mission
A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai
A9 Seacutecuriteacute physique et environnementale
A91 Zones seacutecuriseacutees
A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees
A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)
A913 Seacutecurisation des bureaux des salles et deseacutequipements
Nombre annuel de disparition de biens informatiques dans les locaux
A914 Protection contre les menaces exteacuterieures etenvironnementales
Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle
A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 828
Les meacutetriques dans le cadre de la seacuterie 27000 - 6 - copy CLUSIF 2009
2 LES METRIQUES
21 Panorama des reacutefeacuterentiels et des bonnes pratiques
La norme ISOIEC 270022005 connue preacuteceacutedemment sous la reacutefeacuterenceISOIEC 177992005 a pour titre laquo Code of practice for information security management raquoElle met laccent sur le fait que deacutesormais linformation est une ressource essentielle delentreprise cest-agrave-dire que lrsquoinformation au mecircme titre que dautres actifs doit ecirctre prise enconsideacuteration eacutevalueacutee et proteacutegeacutee
La seacutecuriteacute de linformation vise entre autres agrave garantir la continuiteacute de lrsquoactiviteacute agrave reacuteduire lesrisques agrave optimiser le retour sur investissements ainsi que les opportuniteacutes daction pourlorganisme
Cette norme traduit une eacutevolution tendancielle des normes traitant de la seacutecuriteacute delinformation Au deacutepart il y a une quinzaine danneacutees ces normes eacutetaient plutocirct techniques etcontenaient surtout des prescriptions relatives aux systegravemes ou aux reacuteseaux informatiques
Vers le milieu des anneacutees 90 des travaux dorigine britannique ont conduit agrave eacutelaborer desdocuments dont le champ seacutetendait aux systegravemes dinformation et orienteacutes vers lesresponsabiliteacutes manageacuteriales et lorganisation des entreprises
Le plus connu de ces documents est le standard britannique BS 7799 dont la partie 1 (Code of
practice for information security management ) a servi de base agrave lISOIEC 27002
(anciennement ISOIEC 17799) et la partie 2 a servi de base agrave lISOIEC 27001 dans laquelleon trouve la notion de SMSI (Systegraveme de Management de la Seacutecuriteacute de lrsquoInformation)
Lors dune reacuteunion de lISO il a eacuteteacute deacutecideacute de regrouper les principales normes traitant duSMSI dans une laquo seacuterie ISOIEC 27000 raquo un peu comme la qualiteacute fait lobjet de la laquo seacuterieISO 9000 raquo ou lenvironnement de la laquo seacuterie ISO 14000 raquo Il est drsquoailleurs agrave noter que ces troisfamilles de normes sont coheacuterentes entre elles quant agrave lrsquoapproche manageacuteriale etorganisationnelle des thegravemes traiteacutes Il est preacutevu de disposer agrave terme des normes suivantes(liste non limitative)
ISOIEC 27000 Principles and Vocabulary
ISOIEC 27001 Information Security Management Systems ndash Requirements baseacutee surla BS 7799-2 et orienteacutee vers la certification
ISOIEC 27002 Code of practice for Information Security Management anciennementISOIEC 17799
ISOIEC 27003 ISMS Implementation
ISOIEC 27004 ISMS Measurements and metrics
ISOIEC 27005 ISMS Information security risk management
ISOIEC 27006 Information technology mdash Security techniques mdash Requirements for
bodies providing audit and certification of information security management systems
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 928
Les meacutetriques dans le cadre de la seacuterie 27000 - 7 - copy CLUSIF 2009
IISSOO 2277000011 SSMMSSII
IISSOO 2277000011 IISSOO 2277000022 MMeessuurreess ddee sseacuteeacuteccuurriitteacuteeacute
IISSOO 2277000000 VVooccaabbuullaaiirree
IISSOO 2277000066 CCeerrttiiffiiccaattiioonn ddee SSMMSSII
IISSOO 2277000055 GGeessttiioonn ddee rriissqquuee
IISSOO 2277000044 IInnddiiccaatteeuurrss SSMMSSII
IISSOO 2277000033 IImmpplleacuteeacutemmeennttaattiioonn
2005-2010 200
2005-2010 2008
Guidesusage facultatif
Exigencesusage obligatoire
dans la certification
2009
IISSOO 2277000077 AAuuddiitt ddee SSMMSSII
2009
2009
2010
Scheacutema 1 La seacuterie ISOIEC 27000
Bien sucircr dautres normes techniques continueront de traiter de la seacutecuriteacute des systegravemesdinformations En particulier nous pouvons mentionner
ISOIEC 27031 Specification for ICT Readiness for Business Continuity
ISOIEC 27032 Guidelines for Cybersecurity
ISOIEC 27033 de 1 agrave 8 IT network security (ex ISOIEC 18028)
ISOIEC 27034 Guidelines for Application Security
ISOIEC 27035 Information Security Incident Management
ISOIEC 18043 Selection deployment and operation of intrusion detection systems
(IDS)
Dautres reacutefeacuterentiels eux aussi en cours deacutevolution sont susceptibles decirctre utiliseacutes pourameacuteliorer la seacutecuriteacute de linformation Ils peuvent ainsi se trouver en concurrence avec tout oupartie des normes preacuteciteacutees Ils peuvent aussi introduire de nouvelles contraintes qui seront agraveprendre en compte dans leur mise en œuvre
Le plus connu est le CoBIT (Control Objectives of Information and related Technology)eacutelaboreacute par lISACA ( Information Systems Audit and Control Association) Il convienteacutegalement de mentionner les documents eacutemanant du COSO (Committee of Sponsoring
Organisations of the Treadway Commission) ou de diffeacuterents organismes gouvernementaux(NIST aux USA DTI au Royaume Uni hellip)
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1028
Les meacutetriques dans le cadre de la seacuterie 27000 - 8 - copy CLUSIF 2009
Scheacutema 2 La seacuterie ISOIEC 27000 et les autres reacutefeacuterentiels
De la mecircme faccedilon les lois et les regraveglements concernant la seacutecuriteacute de linformation(informations nominatives gestion de lidentiteacute reacutetention de donneacutees chiffrement hellip) sontactuellement en eacutevolution dans la plupart des pays
De nouvelles conditions de traitement de conservation ou de destruction des informations
sont ainsi agrave mettre en œuvre de faccedilon impeacuterative et de faccedilon dautant plus complexe que lesmesures de seacutecuriteacute peuvent varier dun pays agrave lautre
Des impeacuteratifs leacutegislatifs ou sectoriels peuvent aussi voir le jour et entraicircner des conseacutequencesimportantes Par exemple la loi Sarbanes-Oxley Act pour les entreprises coteacutees sur lesmarcheacutes ameacutericains la Loi sur la Seacutecuriteacute Financiegravere pour les entreprises franccedilaises Bacircle IIpour les eacutetablissements financiers ou Solvency II pour les assurances
ISO 27001Moteur de base
ISO 27004Indicateurs
CoBITGouvernance
CMMID eacute veloppements
ITIL Production
ISO 27005Appr eacuteciation des
risques
ISO 27002Bonnes pratiques ISO 27001
SAS 70
PCI - DSS
Tout autre r eacute f eacute rentielseacute curit eacute
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1128
Les meacutetriques dans le cadre de la seacuterie 27000 - 9 - copy CLUSIF 2009
22 Terminologie
Le terme laquo meacutetrique raquo nrsquoexiste pas dans la langue franccedilaise au sens ougrave il est utiliseacute dans ce
documentLe terme anglais laquo metrics raquo (a system of related measures that facilitates the quantification ofsome particular characteristic) est utiliseacute pour meacutetrologie parfois laquo traduit raquo par meacutetrique
Pour meacutemoire la meacutetrologie est la science qui sinteacuteresse aux cocircteacutes theacuteoriques et pratiques dela mesure dans tous les domaines de la science et de la technologie Plus speacutecifiquement lameacutetrologie touche lutilisation des uniteacutes la reacutealisation des eacutetalons les meacutethodes lestechniques et les appareils de mesure ainsi que la preacutecision obtenue
Les diffeacuterentes normes en rapport avec le sujet fournissent les deacutefinitions suivantes
Attribut proprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacute quantitativementou qualitativement par des moyens humains ou automatiques [ISOIEC 159392007]
Mesurage processus drsquoobtention drsquoinformation relative agrave lrsquoefficaciteacute drsquoun SMSI et demesures de seacutecuriteacute agrave lrsquoaide drsquoune meacutethode drsquoeacutevaluation drsquoune fonction drsquoeacutevaluationdrsquoun modegravele analytique et de critegraveres de deacutecision [ISOIEC 27004]
Indicateur reacutesultat de lrsquoapplication drsquoun modegravele analytique agrave une ou plusieurs variablesen relation avec les critegraveres de deacutecision ou un besoin drsquoinformation [ISOIEC 27004]
Un indicateur est la base de lrsquoanalyse et de la prise de deacutecisionCompleacutements aux deacutefinitions proposeacutees dans ce document
Meacutetrique ensemble drsquoeacuteleacutements permettant de fournir une eacutevaluation qualitative ouquantitative repreacutesentative drsquoune situation
Indicateur donneacutee objective qui preacutesente une situation du strict point de vuequantitatif Un indicateur est pertinent srsquoil est directement relieacute agrave une zone drsquoaction (ilindique ougrave il faut agir) Les indicateurs peuvent ecirctre regroupeacutes dans un tableau de bordoutil de synthegravese et de visualisation des situations deacutecrites
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1228
Les meacutetriques dans le cadre de la seacuterie 27000 - 10 - copy CLUSIF 2009
23 Positionnement des meacutetriques dans le modegravele defonctionnement
La figure ci-dessous positionne les termes laquo attribut raquo laquo meacutetrique raquo et laquo indicateur raquo
Interpreacutetation
Collecte des paramegravetres etvariables mesurables
les attributs
Repreacutesentation de lareacutealiteacute du ldquo terrainrdquo(donneacutees brutes)
Repreacutesentation de la situation
Aide agrave la deacutecision
Information quantitative ou
qualitative positionneacutee surune eacutechelle de reacutefeacuterence
Indicateurs
Meacutetriques
Tableau de Bord
Systegravemes et processus meacutetiers de lrsquoentiteacute
attributs
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situationControcircle
ISMS
Objectifs
Miseen
place
Interpreacutetation Interpreacutetation Inte rpreacutetation
Collecte des paramegravetres etvariables mesurables
les attributs
Repreacutesentation de lareacutealiteacute du ldquo terrainrdquo(donneacutees brutes)
Repreacutesentation de la situation
Aide agrave la deacutecision
Information quantitative ou
qualitative positionneacutee surune eacutechelle de reacutefeacuterence
Indicateurs
MeacutetriquesMeacutetriques
Tableau de Bord
Systegravemes et processus meacutetiers de lrsquoentiteacute
attributs
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situation
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situationControcircle
ISMS
Objectifs
Miseen
place
Miseen
place
Scheacutema 3 Repreacutesentation drsquoapregraves le document ISOIEC 27004
Exemple dans le domaine des antivirus
Nombre de postes eacutequipeacutes dun antivirus attribut
Pourcentage du nombre de postes eacutequipeacutes sur le total meacutetrique
Nombre de postes eacutequipeacutes dun antivirus dont lantivirus a eacuteteacute mis agrave jour attribut
Pourcentage de postes dont lantivirus a eacuteteacute mis agrave jour meacutetrique
A partir de lrsquoexemple ci-dessus en regroupant les deux meacutetriques nous pouvons constituer un
indicateur repreacutesentant agrave la fois le niveau de protection viral des postes de travail et lamaicirctrise du processus antiviral sur ces postes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1328
Les meacutetriques dans le cadre de la seacuterie 27000 - 11 - copy CLUSIF 2009
Les indicateurs intimement lieacutes agrave la situation que nous voulons repreacutesenter peuvent ecirctre denature diffeacuterente et avoir des finaliteacutes eacutegalement diffeacuterentes
constater une situation dans le domaine que lrsquoon veut observer
mesurer leacutecart entre le niveau existant et le niveau de lrsquoobjectif deacutefini
suivre leacutevolution des domaines geacutereacutes et analyseacutes
anticiper etou deacuteclencher la mise en œuvre de plans drsquoactions de seacutecuriteacute (agrave partir dufranchissement drsquoun seuil)
communiquer agrave partir de donneacutees analyseacutees
piloter les projets
appreacutecier le respect des lois et reacuteglementations
auditer
Dans le contexte de la mise en œuvre drsquoun SMSI et du respect du principe de la Roue deDeming (cycle PDCA) les critegraveres de choix des indicateurs doivent inteacutegrer le soucidrsquoameacutelioration permanente de la seacutecuriteacute par la veacuterification de lefficaciteacute des mesures deseacutecuriteacute valideacutees et deacuteployeacutees Ainsi il est toujours souhaitable davoir en meacutemoire quelobjectif dun indicateur de seacutecuriteacute dans le SMSI est deacutevaluer lefficaciteacute des mesures deseacutecuriteacute
Dans la suite du document le choix a eacuteteacute fait drsquoillustrer uniquement les meacutethodes de mise en
œuvre drsquoindicateurs pour les SMSI En effet le suivi de lrsquoefficaciteacute de tout systegraveme demanagement est reacutealiseacute agrave partir de ces indicateurs (cf scheacutema 3)
24 Eacuteleacutements pour la mise en œuvre des indicateurs
Afin de satisfaire les objectifs assigneacutes les indicateurs doivent respecter des conditionsparticuliegraveres et ecirctre doteacutes de qualiteacutes speacutecifiques notamment
ecirctre issus des objectifs retenus dans la politique de seacutecuriteacute
ecirctre aiseacutement quantifiables (construits agrave partir drsquoinformations ou de processus geacuteneacuterantdes informations quantifiables) afin de permettre des comparaisons (entre systegravemes ouentre peacuteriodes) Il srsquoagit le plus souvent de pourcentage de taux de ratio de moyenneetou de nombres laquo bruts raquo
les informations neacutecessaires agrave lrsquoeacutelaboration de la mesure doivent ecirctre faciles agrave obteniretou collecter En effet il faut srsquoassurer que les ressources mises en œuvre pour obtenirles donneacutees ne sont pas disproportionneacutees par rapport agrave celles concourant agrave la reacutealisationdu processus mesureacute
srsquoappuyer sur des processus laquo stables raquo et aiseacutement laquo reproductibles raquo
permettre la mesure des eacutevolutions suite agrave des actions correctives
ecirctre fiables sur la dureacutee et autoriser une analyse des eacutecarts
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1428
Les meacutetriques dans le cadre de la seacuterie 27000 - 12 - copy CLUSIF 2009
Ces caracteacuteristiques sont regroupeacutees dans certaines deacutemarches sous lacronyme laquo SMART raquoqui signifie
Specific il correspond agrave ce qui est analyseacute et met en avant la speacutecificiteacute de lattribut
Measurable il peut ecirctre mesureacute et cette mesure est objective
Attainable il est obtenu dans des conditions satisfaisantes de coucirct et de deacutelai Repeatable sa mesure est reproductible
Time dependent la mesure deacutepend de la fenecirctre de temps utiliseacutee
Les caracteacuteristiques de la mesure deacutefinies dans lAnnexe A de lrsquoactuel projet de normeISOIEC 27004 doivent ecirctre deacutefinies pour chaque indicateur
25 Exemples drsquoindicateurs
Quelques exemples drsquoindicateurs sont donneacutes ci-apregraves La liste fournie nrsquoest pas exhaustive Ilest inteacuteressant de constater que certains indicateurs sont de nature opeacuterationnelle oustrateacutegique voire opeacuterationnelle et strateacutegique
Controcircle drsquoaccegraves
pourcentage drsquoutilisateurs dont le mot de passe respecte les principes de construction
pourcentage de systegravemes accessibles depuis lrsquoexteacuterieur et comprenant un IDS agrave jour
Controcircle des codes malveillants
nombre annuel dattaques reacuteussies par deacutefaut de mise agrave jour de la base virale
deacutelai de retour agrave la normale sur attaque virale
freacutequence de mise agrave jour de la base antivirus freacutequence drsquoeacutevaluation de la conformiteacute des politiques antivirales laquo locales raquo avec la
politique laquo globale raquo
Mise en œuvre du SMSI
pourcentage de deacuteclinaisons des principes de la politique de seacutecuriteacute de lrsquoorganisme enproceacutedures opeacuterationnelles
nombre mensuel drsquoincidents de seacutecuriteacute non reacutesolus
pourcentage de comiteacutes de pilotage de seacutecuriteacute tenus en accord avec le planning
pourcentage dactions correctives non meneacutees agrave terme
Maicirctrise des deacutepenses deacutepenses lieacutees agrave la seacutecuriteacute selon diffeacuterents critegraveres nombre dalertes dincidents etc
Formation
pourcentage du budget global de formation consacreacute agrave la seacutecuriteacute des systegravemesdrsquoinformation
pourcentage de participants en fonction de la population cible agrave des sessions relatives agravela seacutecuriteacute des systegravemes drsquoinformation
taux de freacutequentation des formations aux proceacutedures dalerte par les personnes cleacutes descellules de crise
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1528
Les meacutetriques dans le cadre de la seacuterie 27000 - 13 - copy CLUSIF 2009
Seacutecuriteacute des logiciels applications
nombre de correctifs de seacutecuriteacute valideacutes apregraves analyse
taux de correctifs de seacutecuriteacute valideacutes mis en œuvre dans les deacutelais preacutevus
Seacutecuriteacute reacuteseau
nombre drsquoaudits et de tests de vulneacuterabiliteacute reacutealiseacutes sur la peacuteriode
Disponibiliteacute des services
taux de disponibiliteacute DNS accegraves internet messagerie
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1628
Les meacutetriques dans le cadre de la seacuterie 27000 - 14 - copy CLUSIF 2009
3 LES DIFFERENTS USAGES DES INDICATEURS
31 EacutevaluerCes indicateurs peuvent ecirctre reacutepartis dans les grandes familles suivantes
Les indicateurs laquo de conformiteacute raquo deacutecrivent le niveau dexigence souhaiteacute (ou constateacute)sur une mesure de seacutecuriteacute Par exemple en ce qui concerne la mesure de seacutecuriteacutelaquo Reacutealisation de sauvegardes raquo un indicateur de conformiteacute de seacutecuriteacute peut ecirctre lafreacutequence des sauvegardes ou le ratio du nombre de bandes externaliseacutees par rapport aunombre total de bandes
Les indicateurs laquo defficaciteacute raquo deacutecrivent leacutetat du fonctionnement de la mesure deseacutecuriteacute Sur le mecircme exemple de la laquo Reacutealisation de sauvegardes raquo un nombre eacuteleveacute de
tests de restaurations deacutefectueux peut deacutemontrer un mauvais fonctionnement dessauvegardes
Les indicateurs laquo defficience raquo visent agrave rapprocher lefficaciteacute de la mesure de seacutecuriteacuteau regard de limportance des moyens mis en œuvre
32 Piloter
Toute activiteacute (production projet processus etc) implique la deacutetermination drsquoindicateurs depilotage Ces derniers permettent
drsquoappreacutecier lavancement correct du projet drsquoeacutevaluer une situation
de deacutetecter un risque
de deacuteclencher une alerte
Le choix des indicateurs peut deacutependre des objectifs de lrsquoactiviteacute (coucircts deacutelais performanceetc) mais aussi ecirctre lieacute agrave des processus transverses (management support etc)
Nous pourrons ainsi avoir les indicateurs suivants sur diffeacuterentes eacutechelles de temps anneacuteemois semaine jour
nombre de machines infecteacutees par des virus nombre de machines
nombre de messages infecteacutes par des virus nombre de messages
nombre de machines agrave jour nombre de machines
temps moyen et maximum de mise agrave jour du parc
nombre drsquoattaques virales identifieacutees bloqueacutees exeacutecuteacutees
impact de ses attaques en heures de travail perdues financier
raison des infections mise agrave jour non effectueacutee seacutecuriteacute non appliqueacutee malveillancehellip
variation du taux drsquoinfection et tentatives drsquoinfection sur les 12 derniers mois
etc
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1728
Les meacutetriques dans le cadre de la seacuterie 27000 - 15 - copy CLUSIF 2009
Ces indicateurs peuvent aussi ecirctre eacuteleacutementaires ou plus syntheacutetiques Par exemplelrsquoagreacutegation de certains indicateurs informatiques avec les indicateurs eacuteconomiques Lelaquo Ratio du nombre annuel drsquoaccords de confidentialiteacutes (NDA ndash Non disclosure agreement)signeacutes par rapport au nombre de prestataires preacutesents dans lrsquoorganisme raquo en est un exemple
33 Communiquer
Des indicateurs sont aussi utiliseacutes pour communiquer en interne ou en externe Leur naturesera diffeacuterente en fonction des acteurs viseacutes et de leur objectif de communication(sensibiliser faire passer des ideacutees justifierhellip)
Par exemple pour communiquer autour de la lutte antivirale
nombre drsquoheures de travail perdues suite agrave une attaque virale
variation du taux drsquoinfection sur les douze derniers mois (justification du budget)
nombre drsquoattaques virales provenant drsquoun support externe
34 Sautoeacutevaluer
Cette eacutevaluation peut ecirctre reacutealiseacutee en interne par lrsquoeacutequipe en charge de la fonction comme parlrsquoeacutequipe drsquoaudit ou de controcircle interne
Elle se situe par rapport agrave un reacutefeacuterentiel interne ou externe ou par rapport agrave un objectifarbitraire ou reacutesultant drsquoune expeacuterience passeacutee et deacutejagrave mesureacutee
Les indicateurs citeacutes comme exemple dans les paragraphes preacuteceacutedents peuvent notammentservir dans le cadre drsquoune autoeacutevaluation
35 Contribuer agrave lrsquoobtention drsquoune certification
Ces indicateurs servent agrave
appreacutecier lrsquoavancement dans le processus de certification
obtenir la certification
et surtout la conserver
Sans ecirctre obligatoire pour lrsquoobtention de la certification ISOIEC 270012005 la mise enplace drsquoindicateurs simplifie grandement le cheminement vers celle-ci
36 Reacutepondre agrave un audit
Les indicateurs servent agrave informer lrsquoauditeur agrave justifier des mesures de seacutecuriteacute mises enplace et des correctifs en cours
Les indicateurs preacutesenteacutes lors drsquoaudits contribuent agrave lrsquoanalyse de risque et srsquoappreacutecient parrapport agrave un reacutefeacuterentiel externe
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1828
Les meacutetriques dans le cadre de la seacuterie 27000 - 16 - copy CLUSIF 2009
4 LES TRAVAUX NORMATIFS EN COURS
(ISOIEC 27004)
Ce document a eacuteteacute reacutedigeacute alors que la norme ISOIEC 27004 nrsquoeacutetait pas stabiliseacutee (versionCD) il est toutefois permis de penser que lrsquointeacuterecirct du document justifie les travaux entreprisci-apregraves sous reacuteserve de possibles eacutevolutions
Ce projet de norme au sein de la seacuterie 27000 constitue un guide [agrave usage facultatif] delaquo Mesurage et meacutetriques raquo dans le cadre drsquoun SMSI (Systegraveme de Management de la Seacutecuriteacutede lrsquoInformation) tel que deacutefini dans lrsquoISOIEC 270012005
Les domaines suivants sont abordeacutes
preacutesentation du processus de mesurage
rocircles et responsabiliteacutes
conception des indicateurs production et mise en forme des indicateurs
analyse et reporting
ameacutelioration du processus de mesurage
Une premiegravere annexe preacutesente un modegravele commenteacute drsquoune fiche drsquoindicateur (cf Annexe A)La seconde annexe preacutesente plusieurs exemples drsquoattributs de meacutetriques ou drsquoindicateurs (cfAnnexe B)
41 Concepts de meacutetriquesUn processus de mesure a pour but de veacuterifier que les objectifs de seacutecuriteacute fondeacutes notammentsur lrsquoanalyse de risque et la conformiteacute aux dispositions leacutegales et reacuteglementaires sontatteints
Il se compose de phases de collecte drsquoinformations et drsquoanalyse Par comparaison agrave descritegraveres de deacutecision ces phases permettent lrsquoobtention drsquoinformations de seacutecuriteacute etlrsquoameacutelioration continue du management de la seacutecuriteacute
Les mesures peuvent ecirctre eacuteleacutementaires ou deacuteriveacutees
une mesure eacuteleacutementaire1
est la valeur drsquoun laquo attribut raquo obtenue par une meacutethode decalcul
une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesureseacuteleacutementaires
Pour chaque type de mesure (eacuteleacutementaire ou deacuteriveacutee) il convient de faire en sorte que desobjectifs de conformiteacute ou de performance soient mis en eacutevidence
Le modegravele du processus de mesure proposeacute comprend un processus de remonteacutee demesures eacuteleacutementaires et de mesures deacuteriveacutees qui contribuent agrave la fabrication drsquoindicateurslesquels seront compareacutes individuellement agrave leur critegravere de deacutecision Lrsquoefficaciteacute du systegraveme
1 Une mesure eacuteleacutementaire peut dans certains cas correspondre directement agrave un indicateur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1928
Les meacutetriques dans le cadre de la seacuterie 27000 - 17 - copy CLUSIF 2009
de management srsquoappreacutecie en comparant les reacutesultats issus des mesures effectueacutees avec leursobjectifs initiaux
Dans le projet de norme les preacutecisions suivantes sont apporteacutees
les objectifs du processus de mesure sont clairement eacutetablis (eacutevaluer fournir des
donneacutees faciliter lrsquoeacutevolution communiquer) En revanche le peacuterimegravetre sur lequelsrsquoapplique ce processus ainsi que la meacutethodologie drsquoimpleacutementation restent agrave lrsquoinitiativede chacun
lrsquoimplication du management dans le processus de mesure est souligneacutee notamment surson engagement ses responsabiliteacutes et les ressources agrave mettre en œuvre
les diffeacuterents rocircles qui devraient ecirctre assigneacutes par le Management concernant leprocessus de mesure sont preacuteciseacutes le fournisseur le client le collecteur lecommunicateur le reacute-examinateur (cf deacutefinitions dans lrsquoannexe A du preacutesentdocument) Ces diffeacuterents rocircles devront faire lrsquoobjet de proceacutedures drsquohabilitationprenant en compte les contraintes de seacuteparation des tacircches et les compeacutetencestechniques neacutecessaires
42 Concevoir des meacutetriques
Des meacutetriques doivent ecirctre creacuteeacutes pour eacutevaluer lrsquoefficaciteacute du SMSI controcircler lrsquoatteinte desobjectifs identifier valider et ameacuteliorer les mesures de seacutecuriteacute speacutecifiques
Pour cela il faut pour chaque meacutetrique agrave partir drsquoune analyse de risque et de lrsquoeacutetat initial
identifier et choisir des objectifs
documenter et planifier lrsquoactiviteacute de mesurage (lrsquoannexe A du preacutesent document
preacutesente un modegravele de fiche sur ce thegraveme) en particulier concernant la meacutethode decollecte de stockage drsquoarchivage de veacuterification et drsquoanalyse des donneacutees ainsi que lamise en place du processus de mesurage
deacutefinir les principaux acteurs et les ressources neacutecessaires
srsquoassurer de la pertinence des mesurages qui devraient veacuterifier les critegraveres SMART(Specific Measurable Attainable Repeatable Time dependant)
43 Mettre en place des meacutetriques
La mise en place permanente de la collecte de la conservation et de lrsquoanalyse des donneacutees apour but drsquoassurer la compreacutehension et lrsquoameacutelioration du SMSI Ce processus doitaccompagner les eacutevolutions du SMSI
Cette rubrique dans le projet de norme constitue un guide pratique opeacuterationnel qui preacuteciseles conditions de
collecte des donneacutees (en speacutecifiant la date lrsquoheure le proprieacutetairehellip)
validation
traitement
diffusion
conservation
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2028
Les meacutetriques dans le cadre de la seacuterie 27000 - 18 - copy CLUSIF 2009
Il importe que les reacutesultats des indicateurs servent agrave eacutevaluer lrsquoefficaciteacute des dispositifs deseacutecuriteacute (de preacutevention deacutetection correction ou reacutecupeacuteration) en place Dans un secondtemps cette base drsquoindicateurs constitueacutee permettra de soutenir un processus de deacutecision dansle choix de nouveaux dispositifs
44 Utiliser communiquer et ameacuteliorer les meacutetriques
Lrsquoanalyse des donneacutees et leur interpreacutetation consistent agrave les rapprocher des critegraveres dedeacutecision preacutealablement deacutefinis (Annexe A)
Le but de lrsquoanalyse est de pouvoir identifier les eacutecarts entre la performance attendue et cellereacutealiseacutee Les causes de non-conformiteacute et de mauvaise performance pourront ecirctre ainsiidentifieacutees en fonction des dispositifs de seacutecuriteacute qui
ne sont pas opeacuterationnels
sont impleacutementeacutes mais ne fonctionnement pas correctement sont impleacutementeacutes fonctionnent correctement mais ne couvrent pas les menaces
estimeacutees
sont impleacutementeacutes fonctionnent correctement mais toutes les menaces ne sont pascouvertes
Les conclusions des analyses devraient ecirctre revues par toutes les parties prenantes ndash dans lesens laquo stakeholders raquo ndash pour assurer la bonne interpreacutetation de la donneacutee A cette fin lesreacutesultats des analyses devraient ecirctre suffisamment documenteacutes
La consolidation de ces reacutesultats devra intervenir dans des tableaux de bord pour unecommunication agrave qui de droit
Les mesures peuvent ecirctre utiliseacutees agrave diverses fins
eacutevaluer lrsquoefficaciteacute des dispositifs de seacutecuriteacute
critiquer les appreacuteciations et les traitements des risques
deacutemontrer les progregraves
se comparer au sein ou entre organisations
45 Ameacuteliorer le processus de mesure
Lrsquoefficaciteacute du processus de mesure doit ecirctre examineacutee peacuteriodiquement afin de lrsquoameacuteliorerNeacuteanmoins les donneacutees de base doivent faire lrsquoobjet de sauvegardes reacuteguliegraveres et peacuterennesafin de pouvoir recalculer les meacutetriques en fonction de leurs diffeacuterentes eacutevolutions
Des eacutevolutions peuvent ecirctre envisageacutees quand lrsquoorganisation introduit de nouveaux objectifsde mesure points de mesure de nouvelles meacutethodes ou fonctions de mesure
Le processus de mesure devrait ecirctre eacutevalueacute en termes drsquoutiliteacute et reacuteexamineacute agrave chaque fois quelrsquoorganisation change Il importe de srsquoassurer que les mesures reflegravetent un eacutetat agrave jour de laseacutecuriteacute et de veacuterifier que les donneacutees sous-jacentes sont encore valides Il est eacutegalementimportant de valider la pertinence des hypothegraveses
Il srsquoagit aussi drsquoeacutevaluer lrsquoutiliteacute de la mesure et le coucirct du processus de mesure afin dedeacuteterminer la pertinence de sa modification ou de sa suppression
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2128
Les meacutetriques dans le cadre de la seacuterie 27000 - 19 - copy CLUSIF 2009
5 CONCLUSION
LrsquoISOIEC 270012005 insiste sur lrsquoimportance de mesurer lrsquoefficaciteacute des processus du
SMSI des mesures de seacutecuriteacute mises en œuvre et du processus de mesurage lui-mecircme2
Cependant cette norme ne preacutecise pas comment mesurer cette efficaciteacute Elle se contentedrsquoindiquer qursquoune meacutethode est agrave deacutefinir
A cette fin le preacutesent document apporte un eacuteclairage aux RSSI auditeurs internes acteurs ducontrocircle permanent et managers dans la deacutefinition et la mise en œuvre des indicateurs adapteacutesagrave leurs exigences selon des processus qui devraient figurer dans la norme ISOIEC 27004
LrsquoISOIEC 27004 est un guide qui compleacutetera lrsquoISOIEC 270012005 en fournissant deslignes directrices et des conseils sur
la conception
la mise en œuvre
lrsquoanalyse et la communication des reacutesultats
lrsquoameacutelioration du processus de mesurage drsquoun SMSI
Cette future norme devrait ecirctre publieacutee prochainement La seacuterie ISOIEC 27000 a eacuteteacutecompleacuteteacutee de lrsquoISOIEC 270052008 et de lrsquoISOIEC 27003 (preacutevue en 2009) qui traitentrespectivement de la gestion du risque et de la mise en œuvre drsquoun SMSI
2 cf clauses 02c 02d 422d 423c 431g 72f et 73e
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2228
Les meacutetriques dans le cadre de la seacuterie 27000 - 20 - copy CLUSIF 2009
ANNEXE A FICHE DESCRIPTIVE
Modegravele de fiche descriptive drsquoune mesure
Cette fiche est inspireacutee de lrsquoISOIEC FCD 27004
Identification de la mesure
Nom de la mesure Nom de la mesure
Identifiant de la mesure Identifiant numeacuterique unique speacutecifique agrave lrsquoorganisme
Objectif de la mesureDeacutecrit lrsquoobjectif de la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure de
seacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (1)Facultatif Deacutecrit la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure deseacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (2)Facultatif Deacutecrit dautres mesures de seacutecuriteacute (agrave mettre ou deacutejagrave mise en œuvre) faisant lrsquoobjet le caseacutecheacuteant de la mecircme mesure (reacutefeacuterence aux mesures de seacutecuriteacute de lrsquoannexe A de la normeISO 27001)
Objectif de la mesure Deacutefinit le but de la mesure
Reacute examinateurPersonne ou uniteacute organisationnelle qui examine et valide que les critegraveres deacutevaluation de la mesuresont approprieacutes pour veacuterifier lefficaciteacute des mesures de seacutecuriteacute et des processus du SMSI
Objets du mesurage et attributs
Objet du mesurage
Objet qui doit ecirctre mesureacute et qui est caracteacuteriseacute par la mesurabiliteacute de ses attributs Les objets peuvent
comprendre des processus des systegravemes ou des composants de systegravemes
AttributsProprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacutee quantitativement ou qualitativementpar des moyens humains ou automatiques
Speacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesUne mesure eacuteleacutementaire est deacutefinie en fonction dun attribut et de la meacutethode de mesurage speacutecifieacuteepour le quantifier (par exemple le nombre de personnel formeacute le nombre de sites le coucirct cumuleacute agravece jour) Au moment ougrave la donneacutee est collecteacutee une valeur est affecteacutee agrave une mesure eacuteleacutementaire
Meacutethodes de mesurage Suite logique drsquoopeacuterations qui permettent de quantifier un attribut selon une eacutechelle
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure eacuteleacutementaire
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesures eacuteleacutementaires
Fonction de mesurageSuite logique drsquoopeacuterations qui permettent de calculer la mesure deacuteriveacutee Pour les mesures deacuteriveacutees lafonction par laquelle les mesures deacuteriveacutees fondeacutees sur des mesures eacuteleacutementaires correspondantes etla preacutecision cumulative reacutesultante sont agreacutegeacutees
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure deacuteriveacutee
Speacutecification de lrsquoindicateur
Description dindicateur etexemple
Preacutesentation dune ou plusieurs mesures (eacuteleacutementaires ou deacuteriveacutees) qui fournit une estimation ou uneeacutevaluation dattributs speacutecifieacutes reacutesultant dun modegravele analytique en ce qui concerne des besoins delinformation deacutefinis Un indicateur est souvent preacutesenteacute agrave lrsquoaide drsquoun graphique ou drsquoun diagrammeInclure un croquis de lindicateur
Modegravele analytique Algorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires etou deacuteriveacutees avec lescritegraveres de deacutecision associeacutes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2328
Les meacutetriques dans le cadre de la seacuterie 27000 - 21 - copy CLUSIF 2009
Critegravere de deacutecisionSeuil cible ou modegravele utiliseacute pour deacuteterminer la neacutecessiteacute dune action ou un compleacutement denquecircteou pour deacutecrire le niveau de confiance dans un reacutesultat donneacute
Interpreacutetation dindicateurDescription de la faccedilon dont lindicateur exemple (voir la figure exemple dans la description delindicateur) devrait ecirctre interpreacuteteacute
Effets impact Deacutefinition des effets et de lrsquoimpact issu des reacutesultats obtenus par la mesure
Causes drsquoeacutecart Deacutefinition des causes possibles agrave lrsquoorigine drsquoeacutecarts des reacutesultats
Valeurs positivesDeacuteclaration expliquant si les valeurs en laquo croissance raquo indiquent des tendances positives (bonreacutesultat) ou si les valeurs en laquo deacutecroissance raquo doivent ecirctre consideacutereacutees comme des tendancespositives
Format de restitution
Le format de la restitution devrait ecirctre preacuteciseacute et documenteacute Il deacutecrit les observations quelrsquoorganisation ou le proprieacutetaire de lrsquoinformation peut vouloir sur lrsquoenregistrement Les formats derapport deacutecriront visuellement les mesures et fourniront une explication verbale des indicateurs Ilsdevraient ecirctre personnaliseacutes en fonction du laquo client de linformation raquo (ce terme est deacutefini ci-apregraves)
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des
donneacutees
Freacutequence agrave laquelle les donneacutees sont collecteacutees
Fournisseur de lrsquoinformationPersonne ou uniteacute organisationnelle qui deacutetient lrsquoinformation pour creacuteer les mesures eacuteleacutementairesCelui qui va contribuer agrave la meacutetrique produire lrsquoinformation pour le calcul de la meacutetrique
Collecteur de lrsquoinformationPersonne ou uniteacute organisationnelle en charge de collecter enregistrer et stocker les informationsCelui qui va obtenir la meacutetrique
Outils utiliseacutes dans la collectedes donneacutees
Liste les outils utiliseacutes dans la collecte des donneacutees (par exemple un scanner de vulneacuterabiliteacute)
Conservation des donneacuteescollecteacutees
Liste les outils ougrave les donneacutees sont conserveacutees apregraves avoir eacuteteacute collecteacutees (par exemple une base dedonneacutees)
Date de collecte Date agrave laquelle la donneacutee devrait ecirctre obtenue
Proceacutedure drsquoenregistrement
des donneacuteesDeacutefinit la proceacutedure drsquoenregistrement des donneacutees (lien vers la proceacutedure correspondante)
Validiteacute de la mesure Date de reacutevision (date drsquoexpiration ou de validiteacute de renouvellement) de la mesure
Peacuteriode drsquoanalyse Deacutefinit la peacuteriode mesureacutee
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitutiondes donneacutees
Freacutequence agrave laquelle les donneacutees sont restitueacutees (cette freacutequence peut ecirctre infeacuterieure agrave celle decollecte)
Communicateur delrsquoinformation
Personne ou uniteacute organisationnelle responsable de lrsquoanalyse de lrsquoinformation et de la communicationdes reacutesultats des mesuresCelui qui va analyser la meacutetrique
Source drsquoinformation pour
lrsquoanalyse
Liste les sources drsquoinformation utiles pour lrsquoanalyse de reacutesultats (documents journaux entretien
etc)Outils utiliseacutes dans lrsquoanalyse Liste les outils utiliseacutes pour lrsquoanalyse (par exemple des outils statistiques)
Client de lrsquoinformationLa personne ou lrsquouniteacute organisationnelle qui demande ou requiert les mesures pour les besoins de sonactiviteacuteCelui qui va utiliser la meacutetrique
Information compleacutementaire
Conseils danalyseCompleacutementaires
Fournit des conseils compleacutementaires sur les variations de cette mesure
Consideacuterations de mise enœuvre
Liste les processus ou les exigences de mise en œuvre qui sont neacutecessaires pour la reacuteussite de la miseen œuvre
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2428
Les meacutetriques dans le cadre de la seacuterie 27000 - 22 - copy CLUSIF 2009
Exemple drsquoutilisation de la fiche
Identification de la mesure
Nom de la mesure Revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Identifiant de la mesure R1-A1124
Objectif de la mesure de seacutecuriteacuteA1124 [270012005]
Mesure de seacutecuriteacute (1)Les managers doivent dans leur peacuterimegravetre reacuteexaminer les droits drsquoaccegraves des utilisateurs agraveintervalles reacuteguliers par le biais drsquoun processus formel
Mesure de seacutecuriteacute (2) Revue des accegraves au reacuteseau informatique
Objectif de la mesure
Mesurer le pourcentage de manager deacuteclarant avoir effectueacute des controcircles sur les droits drsquoaccegravesutilisateurs de leur peacuterimegravetre ce qui permet drsquoeacutevaluer
bull la prise de conscience des managers vis-agrave-vis des risques drsquoaccegraves non fondeacutesfrauduleux ou obsolegravetes aux SI
bull lrsquoimplication du management dans le processus de maicirctrise et de gestion du risqueinformatique
Reacute examinateur Direction des Risques
Objets du mesurage et attributs
Objet du mesurage Processus de revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Attributs Attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateursSpeacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesExistence drsquoune attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateurs parchacun des managers
Meacutethodes de mesurageTous les trimestres les managers enverront un email standardiseacute au Deacutepartement Seacutecuriteacute desSI attestant que les accegraves des utilisateurs ont eacuteteacute revus pour leur peacuterimegravetre
Echelle Numeacuterique
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Taux drsquoattestations retourneacutees par les managers sur le trimestre eacutetudieacute
Fonction de mesurage
Taux dattestations retourneacutees par les managers sur le trimestre eacutetudieacute = (nombre dattestations
retourneacutees par les managers Total dattestations attendues dans le trimestre) 100
Echelle Ratio pourcentage
Speacutecification de lrsquoindicateur
Description dindicateur et exemple Courbe montrant lrsquoindicateur sur plusieurs peacuteriodes de restitution
Modegravele analytique
Satisfaisant si gt= 90Globalement satisfaisant si 80 lt lt 90Moyennement satisfaisant si 70 lt= lt= 80Insatisfaisant si lt 70
Critegravere de deacutecision Seuil min 80
Interpreacutetation dindicateurUn reacutesultat insatisfaisant indique un manque drsquoengagement des managers dans la gestion des
risques lieacutes agrave la seacutecuriteacute des SIEffets impact Si reacutesultats insatisfaisants lrsquoindicateur est remonteacute agrave la Direction Geacuteneacuterale pour action
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2528
Les meacutetriques dans le cadre de la seacuterie 27000 - 23 - copy CLUSIF 2009
Causes drsquoeacutecart Les reacuteorganisations fonctionnelles de lrsquoentreprise
Valeurs positives Des valeurs croissantes indiquent des tendances positives
Format de restitution Tableau Excel standardiseacute
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des donneacutees Trimestrielle
Fournisseur de lrsquoinformation Chaque manager
Collecteur de lrsquoinformation Le RSSI
Outils utiliseacutes dans la collecte desdonneacutees
Mail courrier
Conservation des donneacutees collecteacutees Reacutepertoire speacutecifique du disque reacuteseau
Date de collecte Pour le 15 de chaque deacutebut de trimestre
Proceacutedure drsquoenregistrement desdonneacutees
EhellipNOV08R1-A11-2-4XLS
Validiteacute de la mesure Annuelle
Peacuteriode drsquoanalyse Du 1er janvier au 31 deacutecembre de lrsquoanneacutee en cours
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitution desdonneacutees
Trimestrielle
Communicateur de lrsquoinformation Le RSSI
Source drsquoinformation pour lrsquoanalyse Rapports drsquoentretiens
Outils utiliseacutes dans lrsquoanalyse Excel
Client de lrsquoinformation Direction des Risques
Information compleacutementaire
Conseils danalyse Compleacutementaires NA
Consideacuterations de mise en œuvre NA
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2628
Les meacutetriques dans le cadre de la seacuterie 27000 - 24 - copy CLUSIF 2009
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE
METRIQUES ET OU DrsquoINDICATEURS
Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI
Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A8 Seacutecuriteacute lieacutee aux ressources humaines
A81 Avant le recrutement
A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute
A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat
A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur
A82 Pendant la dureacutee du contrat
A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute
A822 Sensibilisation qualification et formations
en matiegravere de seacutecuriteacute de lrsquoinformation
Nombre de personnes formeacutees an
A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque
A83 Fin ou modification du contrat
A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat
A832 Restitution des actifs Coucirct des biens non rendus en fin de mission
A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai
A9 Seacutecuriteacute physique et environnementale
A91 Zones seacutecuriseacutees
A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees
A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)
A913 Seacutecurisation des bureaux des salles et deseacutequipements
Nombre annuel de disparition de biens informatiques dans les locaux
A914 Protection contre les menaces exteacuterieures etenvironnementales
Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle
A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 928
Les meacutetriques dans le cadre de la seacuterie 27000 - 7 - copy CLUSIF 2009
IISSOO 2277000011 SSMMSSII
IISSOO 2277000011 IISSOO 2277000022 MMeessuurreess ddee sseacuteeacuteccuurriitteacuteeacute
IISSOO 2277000000 VVooccaabbuullaaiirree
IISSOO 2277000066 CCeerrttiiffiiccaattiioonn ddee SSMMSSII
IISSOO 2277000055 GGeessttiioonn ddee rriissqquuee
IISSOO 2277000044 IInnddiiccaatteeuurrss SSMMSSII
IISSOO 2277000033 IImmpplleacuteeacutemmeennttaattiioonn
2005-2010 200
2005-2010 2008
Guidesusage facultatif
Exigencesusage obligatoire
dans la certification
2009
IISSOO 2277000077 AAuuddiitt ddee SSMMSSII
2009
2009
2010
Scheacutema 1 La seacuterie ISOIEC 27000
Bien sucircr dautres normes techniques continueront de traiter de la seacutecuriteacute des systegravemesdinformations En particulier nous pouvons mentionner
ISOIEC 27031 Specification for ICT Readiness for Business Continuity
ISOIEC 27032 Guidelines for Cybersecurity
ISOIEC 27033 de 1 agrave 8 IT network security (ex ISOIEC 18028)
ISOIEC 27034 Guidelines for Application Security
ISOIEC 27035 Information Security Incident Management
ISOIEC 18043 Selection deployment and operation of intrusion detection systems
(IDS)
Dautres reacutefeacuterentiels eux aussi en cours deacutevolution sont susceptibles decirctre utiliseacutes pourameacuteliorer la seacutecuriteacute de linformation Ils peuvent ainsi se trouver en concurrence avec tout oupartie des normes preacuteciteacutees Ils peuvent aussi introduire de nouvelles contraintes qui seront agraveprendre en compte dans leur mise en œuvre
Le plus connu est le CoBIT (Control Objectives of Information and related Technology)eacutelaboreacute par lISACA ( Information Systems Audit and Control Association) Il convienteacutegalement de mentionner les documents eacutemanant du COSO (Committee of Sponsoring
Organisations of the Treadway Commission) ou de diffeacuterents organismes gouvernementaux(NIST aux USA DTI au Royaume Uni hellip)
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1028
Les meacutetriques dans le cadre de la seacuterie 27000 - 8 - copy CLUSIF 2009
Scheacutema 2 La seacuterie ISOIEC 27000 et les autres reacutefeacuterentiels
De la mecircme faccedilon les lois et les regraveglements concernant la seacutecuriteacute de linformation(informations nominatives gestion de lidentiteacute reacutetention de donneacutees chiffrement hellip) sontactuellement en eacutevolution dans la plupart des pays
De nouvelles conditions de traitement de conservation ou de destruction des informations
sont ainsi agrave mettre en œuvre de faccedilon impeacuterative et de faccedilon dautant plus complexe que lesmesures de seacutecuriteacute peuvent varier dun pays agrave lautre
Des impeacuteratifs leacutegislatifs ou sectoriels peuvent aussi voir le jour et entraicircner des conseacutequencesimportantes Par exemple la loi Sarbanes-Oxley Act pour les entreprises coteacutees sur lesmarcheacutes ameacutericains la Loi sur la Seacutecuriteacute Financiegravere pour les entreprises franccedilaises Bacircle IIpour les eacutetablissements financiers ou Solvency II pour les assurances
ISO 27001Moteur de base
ISO 27004Indicateurs
CoBITGouvernance
CMMID eacute veloppements
ITIL Production
ISO 27005Appr eacuteciation des
risques
ISO 27002Bonnes pratiques ISO 27001
SAS 70
PCI - DSS
Tout autre r eacute f eacute rentielseacute curit eacute
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1128
Les meacutetriques dans le cadre de la seacuterie 27000 - 9 - copy CLUSIF 2009
22 Terminologie
Le terme laquo meacutetrique raquo nrsquoexiste pas dans la langue franccedilaise au sens ougrave il est utiliseacute dans ce
documentLe terme anglais laquo metrics raquo (a system of related measures that facilitates the quantification ofsome particular characteristic) est utiliseacute pour meacutetrologie parfois laquo traduit raquo par meacutetrique
Pour meacutemoire la meacutetrologie est la science qui sinteacuteresse aux cocircteacutes theacuteoriques et pratiques dela mesure dans tous les domaines de la science et de la technologie Plus speacutecifiquement lameacutetrologie touche lutilisation des uniteacutes la reacutealisation des eacutetalons les meacutethodes lestechniques et les appareils de mesure ainsi que la preacutecision obtenue
Les diffeacuterentes normes en rapport avec le sujet fournissent les deacutefinitions suivantes
Attribut proprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacute quantitativementou qualitativement par des moyens humains ou automatiques [ISOIEC 159392007]
Mesurage processus drsquoobtention drsquoinformation relative agrave lrsquoefficaciteacute drsquoun SMSI et demesures de seacutecuriteacute agrave lrsquoaide drsquoune meacutethode drsquoeacutevaluation drsquoune fonction drsquoeacutevaluationdrsquoun modegravele analytique et de critegraveres de deacutecision [ISOIEC 27004]
Indicateur reacutesultat de lrsquoapplication drsquoun modegravele analytique agrave une ou plusieurs variablesen relation avec les critegraveres de deacutecision ou un besoin drsquoinformation [ISOIEC 27004]
Un indicateur est la base de lrsquoanalyse et de la prise de deacutecisionCompleacutements aux deacutefinitions proposeacutees dans ce document
Meacutetrique ensemble drsquoeacuteleacutements permettant de fournir une eacutevaluation qualitative ouquantitative repreacutesentative drsquoune situation
Indicateur donneacutee objective qui preacutesente une situation du strict point de vuequantitatif Un indicateur est pertinent srsquoil est directement relieacute agrave une zone drsquoaction (ilindique ougrave il faut agir) Les indicateurs peuvent ecirctre regroupeacutes dans un tableau de bordoutil de synthegravese et de visualisation des situations deacutecrites
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1228
Les meacutetriques dans le cadre de la seacuterie 27000 - 10 - copy CLUSIF 2009
23 Positionnement des meacutetriques dans le modegravele defonctionnement
La figure ci-dessous positionne les termes laquo attribut raquo laquo meacutetrique raquo et laquo indicateur raquo
Interpreacutetation
Collecte des paramegravetres etvariables mesurables
les attributs
Repreacutesentation de lareacutealiteacute du ldquo terrainrdquo(donneacutees brutes)
Repreacutesentation de la situation
Aide agrave la deacutecision
Information quantitative ou
qualitative positionneacutee surune eacutechelle de reacutefeacuterence
Indicateurs
Meacutetriques
Tableau de Bord
Systegravemes et processus meacutetiers de lrsquoentiteacute
attributs
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situationControcircle
ISMS
Objectifs
Miseen
place
Interpreacutetation Interpreacutetation Inte rpreacutetation
Collecte des paramegravetres etvariables mesurables
les attributs
Repreacutesentation de lareacutealiteacute du ldquo terrainrdquo(donneacutees brutes)
Repreacutesentation de la situation
Aide agrave la deacutecision
Information quantitative ou
qualitative positionneacutee surune eacutechelle de reacutefeacuterence
Indicateurs
MeacutetriquesMeacutetriques
Tableau de Bord
Systegravemes et processus meacutetiers de lrsquoentiteacute
attributs
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situation
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situationControcircle
ISMS
Objectifs
Miseen
place
Miseen
place
Scheacutema 3 Repreacutesentation drsquoapregraves le document ISOIEC 27004
Exemple dans le domaine des antivirus
Nombre de postes eacutequipeacutes dun antivirus attribut
Pourcentage du nombre de postes eacutequipeacutes sur le total meacutetrique
Nombre de postes eacutequipeacutes dun antivirus dont lantivirus a eacuteteacute mis agrave jour attribut
Pourcentage de postes dont lantivirus a eacuteteacute mis agrave jour meacutetrique
A partir de lrsquoexemple ci-dessus en regroupant les deux meacutetriques nous pouvons constituer un
indicateur repreacutesentant agrave la fois le niveau de protection viral des postes de travail et lamaicirctrise du processus antiviral sur ces postes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1328
Les meacutetriques dans le cadre de la seacuterie 27000 - 11 - copy CLUSIF 2009
Les indicateurs intimement lieacutes agrave la situation que nous voulons repreacutesenter peuvent ecirctre denature diffeacuterente et avoir des finaliteacutes eacutegalement diffeacuterentes
constater une situation dans le domaine que lrsquoon veut observer
mesurer leacutecart entre le niveau existant et le niveau de lrsquoobjectif deacutefini
suivre leacutevolution des domaines geacutereacutes et analyseacutes
anticiper etou deacuteclencher la mise en œuvre de plans drsquoactions de seacutecuriteacute (agrave partir dufranchissement drsquoun seuil)
communiquer agrave partir de donneacutees analyseacutees
piloter les projets
appreacutecier le respect des lois et reacuteglementations
auditer
Dans le contexte de la mise en œuvre drsquoun SMSI et du respect du principe de la Roue deDeming (cycle PDCA) les critegraveres de choix des indicateurs doivent inteacutegrer le soucidrsquoameacutelioration permanente de la seacutecuriteacute par la veacuterification de lefficaciteacute des mesures deseacutecuriteacute valideacutees et deacuteployeacutees Ainsi il est toujours souhaitable davoir en meacutemoire quelobjectif dun indicateur de seacutecuriteacute dans le SMSI est deacutevaluer lefficaciteacute des mesures deseacutecuriteacute
Dans la suite du document le choix a eacuteteacute fait drsquoillustrer uniquement les meacutethodes de mise en
œuvre drsquoindicateurs pour les SMSI En effet le suivi de lrsquoefficaciteacute de tout systegraveme demanagement est reacutealiseacute agrave partir de ces indicateurs (cf scheacutema 3)
24 Eacuteleacutements pour la mise en œuvre des indicateurs
Afin de satisfaire les objectifs assigneacutes les indicateurs doivent respecter des conditionsparticuliegraveres et ecirctre doteacutes de qualiteacutes speacutecifiques notamment
ecirctre issus des objectifs retenus dans la politique de seacutecuriteacute
ecirctre aiseacutement quantifiables (construits agrave partir drsquoinformations ou de processus geacuteneacuterantdes informations quantifiables) afin de permettre des comparaisons (entre systegravemes ouentre peacuteriodes) Il srsquoagit le plus souvent de pourcentage de taux de ratio de moyenneetou de nombres laquo bruts raquo
les informations neacutecessaires agrave lrsquoeacutelaboration de la mesure doivent ecirctre faciles agrave obteniretou collecter En effet il faut srsquoassurer que les ressources mises en œuvre pour obtenirles donneacutees ne sont pas disproportionneacutees par rapport agrave celles concourant agrave la reacutealisationdu processus mesureacute
srsquoappuyer sur des processus laquo stables raquo et aiseacutement laquo reproductibles raquo
permettre la mesure des eacutevolutions suite agrave des actions correctives
ecirctre fiables sur la dureacutee et autoriser une analyse des eacutecarts
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1428
Les meacutetriques dans le cadre de la seacuterie 27000 - 12 - copy CLUSIF 2009
Ces caracteacuteristiques sont regroupeacutees dans certaines deacutemarches sous lacronyme laquo SMART raquoqui signifie
Specific il correspond agrave ce qui est analyseacute et met en avant la speacutecificiteacute de lattribut
Measurable il peut ecirctre mesureacute et cette mesure est objective
Attainable il est obtenu dans des conditions satisfaisantes de coucirct et de deacutelai Repeatable sa mesure est reproductible
Time dependent la mesure deacutepend de la fenecirctre de temps utiliseacutee
Les caracteacuteristiques de la mesure deacutefinies dans lAnnexe A de lrsquoactuel projet de normeISOIEC 27004 doivent ecirctre deacutefinies pour chaque indicateur
25 Exemples drsquoindicateurs
Quelques exemples drsquoindicateurs sont donneacutes ci-apregraves La liste fournie nrsquoest pas exhaustive Ilest inteacuteressant de constater que certains indicateurs sont de nature opeacuterationnelle oustrateacutegique voire opeacuterationnelle et strateacutegique
Controcircle drsquoaccegraves
pourcentage drsquoutilisateurs dont le mot de passe respecte les principes de construction
pourcentage de systegravemes accessibles depuis lrsquoexteacuterieur et comprenant un IDS agrave jour
Controcircle des codes malveillants
nombre annuel dattaques reacuteussies par deacutefaut de mise agrave jour de la base virale
deacutelai de retour agrave la normale sur attaque virale
freacutequence de mise agrave jour de la base antivirus freacutequence drsquoeacutevaluation de la conformiteacute des politiques antivirales laquo locales raquo avec la
politique laquo globale raquo
Mise en œuvre du SMSI
pourcentage de deacuteclinaisons des principes de la politique de seacutecuriteacute de lrsquoorganisme enproceacutedures opeacuterationnelles
nombre mensuel drsquoincidents de seacutecuriteacute non reacutesolus
pourcentage de comiteacutes de pilotage de seacutecuriteacute tenus en accord avec le planning
pourcentage dactions correctives non meneacutees agrave terme
Maicirctrise des deacutepenses deacutepenses lieacutees agrave la seacutecuriteacute selon diffeacuterents critegraveres nombre dalertes dincidents etc
Formation
pourcentage du budget global de formation consacreacute agrave la seacutecuriteacute des systegravemesdrsquoinformation
pourcentage de participants en fonction de la population cible agrave des sessions relatives agravela seacutecuriteacute des systegravemes drsquoinformation
taux de freacutequentation des formations aux proceacutedures dalerte par les personnes cleacutes descellules de crise
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1528
Les meacutetriques dans le cadre de la seacuterie 27000 - 13 - copy CLUSIF 2009
Seacutecuriteacute des logiciels applications
nombre de correctifs de seacutecuriteacute valideacutes apregraves analyse
taux de correctifs de seacutecuriteacute valideacutes mis en œuvre dans les deacutelais preacutevus
Seacutecuriteacute reacuteseau
nombre drsquoaudits et de tests de vulneacuterabiliteacute reacutealiseacutes sur la peacuteriode
Disponibiliteacute des services
taux de disponibiliteacute DNS accegraves internet messagerie
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1628
Les meacutetriques dans le cadre de la seacuterie 27000 - 14 - copy CLUSIF 2009
3 LES DIFFERENTS USAGES DES INDICATEURS
31 EacutevaluerCes indicateurs peuvent ecirctre reacutepartis dans les grandes familles suivantes
Les indicateurs laquo de conformiteacute raquo deacutecrivent le niveau dexigence souhaiteacute (ou constateacute)sur une mesure de seacutecuriteacute Par exemple en ce qui concerne la mesure de seacutecuriteacutelaquo Reacutealisation de sauvegardes raquo un indicateur de conformiteacute de seacutecuriteacute peut ecirctre lafreacutequence des sauvegardes ou le ratio du nombre de bandes externaliseacutees par rapport aunombre total de bandes
Les indicateurs laquo defficaciteacute raquo deacutecrivent leacutetat du fonctionnement de la mesure deseacutecuriteacute Sur le mecircme exemple de la laquo Reacutealisation de sauvegardes raquo un nombre eacuteleveacute de
tests de restaurations deacutefectueux peut deacutemontrer un mauvais fonctionnement dessauvegardes
Les indicateurs laquo defficience raquo visent agrave rapprocher lefficaciteacute de la mesure de seacutecuriteacuteau regard de limportance des moyens mis en œuvre
32 Piloter
Toute activiteacute (production projet processus etc) implique la deacutetermination drsquoindicateurs depilotage Ces derniers permettent
drsquoappreacutecier lavancement correct du projet drsquoeacutevaluer une situation
de deacutetecter un risque
de deacuteclencher une alerte
Le choix des indicateurs peut deacutependre des objectifs de lrsquoactiviteacute (coucircts deacutelais performanceetc) mais aussi ecirctre lieacute agrave des processus transverses (management support etc)
Nous pourrons ainsi avoir les indicateurs suivants sur diffeacuterentes eacutechelles de temps anneacuteemois semaine jour
nombre de machines infecteacutees par des virus nombre de machines
nombre de messages infecteacutes par des virus nombre de messages
nombre de machines agrave jour nombre de machines
temps moyen et maximum de mise agrave jour du parc
nombre drsquoattaques virales identifieacutees bloqueacutees exeacutecuteacutees
impact de ses attaques en heures de travail perdues financier
raison des infections mise agrave jour non effectueacutee seacutecuriteacute non appliqueacutee malveillancehellip
variation du taux drsquoinfection et tentatives drsquoinfection sur les 12 derniers mois
etc
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1728
Les meacutetriques dans le cadre de la seacuterie 27000 - 15 - copy CLUSIF 2009
Ces indicateurs peuvent aussi ecirctre eacuteleacutementaires ou plus syntheacutetiques Par exemplelrsquoagreacutegation de certains indicateurs informatiques avec les indicateurs eacuteconomiques Lelaquo Ratio du nombre annuel drsquoaccords de confidentialiteacutes (NDA ndash Non disclosure agreement)signeacutes par rapport au nombre de prestataires preacutesents dans lrsquoorganisme raquo en est un exemple
33 Communiquer
Des indicateurs sont aussi utiliseacutes pour communiquer en interne ou en externe Leur naturesera diffeacuterente en fonction des acteurs viseacutes et de leur objectif de communication(sensibiliser faire passer des ideacutees justifierhellip)
Par exemple pour communiquer autour de la lutte antivirale
nombre drsquoheures de travail perdues suite agrave une attaque virale
variation du taux drsquoinfection sur les douze derniers mois (justification du budget)
nombre drsquoattaques virales provenant drsquoun support externe
34 Sautoeacutevaluer
Cette eacutevaluation peut ecirctre reacutealiseacutee en interne par lrsquoeacutequipe en charge de la fonction comme parlrsquoeacutequipe drsquoaudit ou de controcircle interne
Elle se situe par rapport agrave un reacutefeacuterentiel interne ou externe ou par rapport agrave un objectifarbitraire ou reacutesultant drsquoune expeacuterience passeacutee et deacutejagrave mesureacutee
Les indicateurs citeacutes comme exemple dans les paragraphes preacuteceacutedents peuvent notammentservir dans le cadre drsquoune autoeacutevaluation
35 Contribuer agrave lrsquoobtention drsquoune certification
Ces indicateurs servent agrave
appreacutecier lrsquoavancement dans le processus de certification
obtenir la certification
et surtout la conserver
Sans ecirctre obligatoire pour lrsquoobtention de la certification ISOIEC 270012005 la mise enplace drsquoindicateurs simplifie grandement le cheminement vers celle-ci
36 Reacutepondre agrave un audit
Les indicateurs servent agrave informer lrsquoauditeur agrave justifier des mesures de seacutecuriteacute mises enplace et des correctifs en cours
Les indicateurs preacutesenteacutes lors drsquoaudits contribuent agrave lrsquoanalyse de risque et srsquoappreacutecient parrapport agrave un reacutefeacuterentiel externe
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1828
Les meacutetriques dans le cadre de la seacuterie 27000 - 16 - copy CLUSIF 2009
4 LES TRAVAUX NORMATIFS EN COURS
(ISOIEC 27004)
Ce document a eacuteteacute reacutedigeacute alors que la norme ISOIEC 27004 nrsquoeacutetait pas stabiliseacutee (versionCD) il est toutefois permis de penser que lrsquointeacuterecirct du document justifie les travaux entreprisci-apregraves sous reacuteserve de possibles eacutevolutions
Ce projet de norme au sein de la seacuterie 27000 constitue un guide [agrave usage facultatif] delaquo Mesurage et meacutetriques raquo dans le cadre drsquoun SMSI (Systegraveme de Management de la Seacutecuriteacutede lrsquoInformation) tel que deacutefini dans lrsquoISOIEC 270012005
Les domaines suivants sont abordeacutes
preacutesentation du processus de mesurage
rocircles et responsabiliteacutes
conception des indicateurs production et mise en forme des indicateurs
analyse et reporting
ameacutelioration du processus de mesurage
Une premiegravere annexe preacutesente un modegravele commenteacute drsquoune fiche drsquoindicateur (cf Annexe A)La seconde annexe preacutesente plusieurs exemples drsquoattributs de meacutetriques ou drsquoindicateurs (cfAnnexe B)
41 Concepts de meacutetriquesUn processus de mesure a pour but de veacuterifier que les objectifs de seacutecuriteacute fondeacutes notammentsur lrsquoanalyse de risque et la conformiteacute aux dispositions leacutegales et reacuteglementaires sontatteints
Il se compose de phases de collecte drsquoinformations et drsquoanalyse Par comparaison agrave descritegraveres de deacutecision ces phases permettent lrsquoobtention drsquoinformations de seacutecuriteacute etlrsquoameacutelioration continue du management de la seacutecuriteacute
Les mesures peuvent ecirctre eacuteleacutementaires ou deacuteriveacutees
une mesure eacuteleacutementaire1
est la valeur drsquoun laquo attribut raquo obtenue par une meacutethode decalcul
une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesureseacuteleacutementaires
Pour chaque type de mesure (eacuteleacutementaire ou deacuteriveacutee) il convient de faire en sorte que desobjectifs de conformiteacute ou de performance soient mis en eacutevidence
Le modegravele du processus de mesure proposeacute comprend un processus de remonteacutee demesures eacuteleacutementaires et de mesures deacuteriveacutees qui contribuent agrave la fabrication drsquoindicateurslesquels seront compareacutes individuellement agrave leur critegravere de deacutecision Lrsquoefficaciteacute du systegraveme
1 Une mesure eacuteleacutementaire peut dans certains cas correspondre directement agrave un indicateur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1928
Les meacutetriques dans le cadre de la seacuterie 27000 - 17 - copy CLUSIF 2009
de management srsquoappreacutecie en comparant les reacutesultats issus des mesures effectueacutees avec leursobjectifs initiaux
Dans le projet de norme les preacutecisions suivantes sont apporteacutees
les objectifs du processus de mesure sont clairement eacutetablis (eacutevaluer fournir des
donneacutees faciliter lrsquoeacutevolution communiquer) En revanche le peacuterimegravetre sur lequelsrsquoapplique ce processus ainsi que la meacutethodologie drsquoimpleacutementation restent agrave lrsquoinitiativede chacun
lrsquoimplication du management dans le processus de mesure est souligneacutee notamment surson engagement ses responsabiliteacutes et les ressources agrave mettre en œuvre
les diffeacuterents rocircles qui devraient ecirctre assigneacutes par le Management concernant leprocessus de mesure sont preacuteciseacutes le fournisseur le client le collecteur lecommunicateur le reacute-examinateur (cf deacutefinitions dans lrsquoannexe A du preacutesentdocument) Ces diffeacuterents rocircles devront faire lrsquoobjet de proceacutedures drsquohabilitationprenant en compte les contraintes de seacuteparation des tacircches et les compeacutetencestechniques neacutecessaires
42 Concevoir des meacutetriques
Des meacutetriques doivent ecirctre creacuteeacutes pour eacutevaluer lrsquoefficaciteacute du SMSI controcircler lrsquoatteinte desobjectifs identifier valider et ameacuteliorer les mesures de seacutecuriteacute speacutecifiques
Pour cela il faut pour chaque meacutetrique agrave partir drsquoune analyse de risque et de lrsquoeacutetat initial
identifier et choisir des objectifs
documenter et planifier lrsquoactiviteacute de mesurage (lrsquoannexe A du preacutesent document
preacutesente un modegravele de fiche sur ce thegraveme) en particulier concernant la meacutethode decollecte de stockage drsquoarchivage de veacuterification et drsquoanalyse des donneacutees ainsi que lamise en place du processus de mesurage
deacutefinir les principaux acteurs et les ressources neacutecessaires
srsquoassurer de la pertinence des mesurages qui devraient veacuterifier les critegraveres SMART(Specific Measurable Attainable Repeatable Time dependant)
43 Mettre en place des meacutetriques
La mise en place permanente de la collecte de la conservation et de lrsquoanalyse des donneacutees apour but drsquoassurer la compreacutehension et lrsquoameacutelioration du SMSI Ce processus doitaccompagner les eacutevolutions du SMSI
Cette rubrique dans le projet de norme constitue un guide pratique opeacuterationnel qui preacuteciseles conditions de
collecte des donneacutees (en speacutecifiant la date lrsquoheure le proprieacutetairehellip)
validation
traitement
diffusion
conservation
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2028
Les meacutetriques dans le cadre de la seacuterie 27000 - 18 - copy CLUSIF 2009
Il importe que les reacutesultats des indicateurs servent agrave eacutevaluer lrsquoefficaciteacute des dispositifs deseacutecuriteacute (de preacutevention deacutetection correction ou reacutecupeacuteration) en place Dans un secondtemps cette base drsquoindicateurs constitueacutee permettra de soutenir un processus de deacutecision dansle choix de nouveaux dispositifs
44 Utiliser communiquer et ameacuteliorer les meacutetriques
Lrsquoanalyse des donneacutees et leur interpreacutetation consistent agrave les rapprocher des critegraveres dedeacutecision preacutealablement deacutefinis (Annexe A)
Le but de lrsquoanalyse est de pouvoir identifier les eacutecarts entre la performance attendue et cellereacutealiseacutee Les causes de non-conformiteacute et de mauvaise performance pourront ecirctre ainsiidentifieacutees en fonction des dispositifs de seacutecuriteacute qui
ne sont pas opeacuterationnels
sont impleacutementeacutes mais ne fonctionnement pas correctement sont impleacutementeacutes fonctionnent correctement mais ne couvrent pas les menaces
estimeacutees
sont impleacutementeacutes fonctionnent correctement mais toutes les menaces ne sont pascouvertes
Les conclusions des analyses devraient ecirctre revues par toutes les parties prenantes ndash dans lesens laquo stakeholders raquo ndash pour assurer la bonne interpreacutetation de la donneacutee A cette fin lesreacutesultats des analyses devraient ecirctre suffisamment documenteacutes
La consolidation de ces reacutesultats devra intervenir dans des tableaux de bord pour unecommunication agrave qui de droit
Les mesures peuvent ecirctre utiliseacutees agrave diverses fins
eacutevaluer lrsquoefficaciteacute des dispositifs de seacutecuriteacute
critiquer les appreacuteciations et les traitements des risques
deacutemontrer les progregraves
se comparer au sein ou entre organisations
45 Ameacuteliorer le processus de mesure
Lrsquoefficaciteacute du processus de mesure doit ecirctre examineacutee peacuteriodiquement afin de lrsquoameacuteliorerNeacuteanmoins les donneacutees de base doivent faire lrsquoobjet de sauvegardes reacuteguliegraveres et peacuterennesafin de pouvoir recalculer les meacutetriques en fonction de leurs diffeacuterentes eacutevolutions
Des eacutevolutions peuvent ecirctre envisageacutees quand lrsquoorganisation introduit de nouveaux objectifsde mesure points de mesure de nouvelles meacutethodes ou fonctions de mesure
Le processus de mesure devrait ecirctre eacutevalueacute en termes drsquoutiliteacute et reacuteexamineacute agrave chaque fois quelrsquoorganisation change Il importe de srsquoassurer que les mesures reflegravetent un eacutetat agrave jour de laseacutecuriteacute et de veacuterifier que les donneacutees sous-jacentes sont encore valides Il est eacutegalementimportant de valider la pertinence des hypothegraveses
Il srsquoagit aussi drsquoeacutevaluer lrsquoutiliteacute de la mesure et le coucirct du processus de mesure afin dedeacuteterminer la pertinence de sa modification ou de sa suppression
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2128
Les meacutetriques dans le cadre de la seacuterie 27000 - 19 - copy CLUSIF 2009
5 CONCLUSION
LrsquoISOIEC 270012005 insiste sur lrsquoimportance de mesurer lrsquoefficaciteacute des processus du
SMSI des mesures de seacutecuriteacute mises en œuvre et du processus de mesurage lui-mecircme2
Cependant cette norme ne preacutecise pas comment mesurer cette efficaciteacute Elle se contentedrsquoindiquer qursquoune meacutethode est agrave deacutefinir
A cette fin le preacutesent document apporte un eacuteclairage aux RSSI auditeurs internes acteurs ducontrocircle permanent et managers dans la deacutefinition et la mise en œuvre des indicateurs adapteacutesagrave leurs exigences selon des processus qui devraient figurer dans la norme ISOIEC 27004
LrsquoISOIEC 27004 est un guide qui compleacutetera lrsquoISOIEC 270012005 en fournissant deslignes directrices et des conseils sur
la conception
la mise en œuvre
lrsquoanalyse et la communication des reacutesultats
lrsquoameacutelioration du processus de mesurage drsquoun SMSI
Cette future norme devrait ecirctre publieacutee prochainement La seacuterie ISOIEC 27000 a eacuteteacutecompleacuteteacutee de lrsquoISOIEC 270052008 et de lrsquoISOIEC 27003 (preacutevue en 2009) qui traitentrespectivement de la gestion du risque et de la mise en œuvre drsquoun SMSI
2 cf clauses 02c 02d 422d 423c 431g 72f et 73e
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2228
Les meacutetriques dans le cadre de la seacuterie 27000 - 20 - copy CLUSIF 2009
ANNEXE A FICHE DESCRIPTIVE
Modegravele de fiche descriptive drsquoune mesure
Cette fiche est inspireacutee de lrsquoISOIEC FCD 27004
Identification de la mesure
Nom de la mesure Nom de la mesure
Identifiant de la mesure Identifiant numeacuterique unique speacutecifique agrave lrsquoorganisme
Objectif de la mesureDeacutecrit lrsquoobjectif de la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure de
seacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (1)Facultatif Deacutecrit la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure deseacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (2)Facultatif Deacutecrit dautres mesures de seacutecuriteacute (agrave mettre ou deacutejagrave mise en œuvre) faisant lrsquoobjet le caseacutecheacuteant de la mecircme mesure (reacutefeacuterence aux mesures de seacutecuriteacute de lrsquoannexe A de la normeISO 27001)
Objectif de la mesure Deacutefinit le but de la mesure
Reacute examinateurPersonne ou uniteacute organisationnelle qui examine et valide que les critegraveres deacutevaluation de la mesuresont approprieacutes pour veacuterifier lefficaciteacute des mesures de seacutecuriteacute et des processus du SMSI
Objets du mesurage et attributs
Objet du mesurage
Objet qui doit ecirctre mesureacute et qui est caracteacuteriseacute par la mesurabiliteacute de ses attributs Les objets peuvent
comprendre des processus des systegravemes ou des composants de systegravemes
AttributsProprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacutee quantitativement ou qualitativementpar des moyens humains ou automatiques
Speacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesUne mesure eacuteleacutementaire est deacutefinie en fonction dun attribut et de la meacutethode de mesurage speacutecifieacuteepour le quantifier (par exemple le nombre de personnel formeacute le nombre de sites le coucirct cumuleacute agravece jour) Au moment ougrave la donneacutee est collecteacutee une valeur est affecteacutee agrave une mesure eacuteleacutementaire
Meacutethodes de mesurage Suite logique drsquoopeacuterations qui permettent de quantifier un attribut selon une eacutechelle
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure eacuteleacutementaire
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesures eacuteleacutementaires
Fonction de mesurageSuite logique drsquoopeacuterations qui permettent de calculer la mesure deacuteriveacutee Pour les mesures deacuteriveacutees lafonction par laquelle les mesures deacuteriveacutees fondeacutees sur des mesures eacuteleacutementaires correspondantes etla preacutecision cumulative reacutesultante sont agreacutegeacutees
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure deacuteriveacutee
Speacutecification de lrsquoindicateur
Description dindicateur etexemple
Preacutesentation dune ou plusieurs mesures (eacuteleacutementaires ou deacuteriveacutees) qui fournit une estimation ou uneeacutevaluation dattributs speacutecifieacutes reacutesultant dun modegravele analytique en ce qui concerne des besoins delinformation deacutefinis Un indicateur est souvent preacutesenteacute agrave lrsquoaide drsquoun graphique ou drsquoun diagrammeInclure un croquis de lindicateur
Modegravele analytique Algorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires etou deacuteriveacutees avec lescritegraveres de deacutecision associeacutes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2328
Les meacutetriques dans le cadre de la seacuterie 27000 - 21 - copy CLUSIF 2009
Critegravere de deacutecisionSeuil cible ou modegravele utiliseacute pour deacuteterminer la neacutecessiteacute dune action ou un compleacutement denquecircteou pour deacutecrire le niveau de confiance dans un reacutesultat donneacute
Interpreacutetation dindicateurDescription de la faccedilon dont lindicateur exemple (voir la figure exemple dans la description delindicateur) devrait ecirctre interpreacuteteacute
Effets impact Deacutefinition des effets et de lrsquoimpact issu des reacutesultats obtenus par la mesure
Causes drsquoeacutecart Deacutefinition des causes possibles agrave lrsquoorigine drsquoeacutecarts des reacutesultats
Valeurs positivesDeacuteclaration expliquant si les valeurs en laquo croissance raquo indiquent des tendances positives (bonreacutesultat) ou si les valeurs en laquo deacutecroissance raquo doivent ecirctre consideacutereacutees comme des tendancespositives
Format de restitution
Le format de la restitution devrait ecirctre preacuteciseacute et documenteacute Il deacutecrit les observations quelrsquoorganisation ou le proprieacutetaire de lrsquoinformation peut vouloir sur lrsquoenregistrement Les formats derapport deacutecriront visuellement les mesures et fourniront une explication verbale des indicateurs Ilsdevraient ecirctre personnaliseacutes en fonction du laquo client de linformation raquo (ce terme est deacutefini ci-apregraves)
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des
donneacutees
Freacutequence agrave laquelle les donneacutees sont collecteacutees
Fournisseur de lrsquoinformationPersonne ou uniteacute organisationnelle qui deacutetient lrsquoinformation pour creacuteer les mesures eacuteleacutementairesCelui qui va contribuer agrave la meacutetrique produire lrsquoinformation pour le calcul de la meacutetrique
Collecteur de lrsquoinformationPersonne ou uniteacute organisationnelle en charge de collecter enregistrer et stocker les informationsCelui qui va obtenir la meacutetrique
Outils utiliseacutes dans la collectedes donneacutees
Liste les outils utiliseacutes dans la collecte des donneacutees (par exemple un scanner de vulneacuterabiliteacute)
Conservation des donneacuteescollecteacutees
Liste les outils ougrave les donneacutees sont conserveacutees apregraves avoir eacuteteacute collecteacutees (par exemple une base dedonneacutees)
Date de collecte Date agrave laquelle la donneacutee devrait ecirctre obtenue
Proceacutedure drsquoenregistrement
des donneacuteesDeacutefinit la proceacutedure drsquoenregistrement des donneacutees (lien vers la proceacutedure correspondante)
Validiteacute de la mesure Date de reacutevision (date drsquoexpiration ou de validiteacute de renouvellement) de la mesure
Peacuteriode drsquoanalyse Deacutefinit la peacuteriode mesureacutee
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitutiondes donneacutees
Freacutequence agrave laquelle les donneacutees sont restitueacutees (cette freacutequence peut ecirctre infeacuterieure agrave celle decollecte)
Communicateur delrsquoinformation
Personne ou uniteacute organisationnelle responsable de lrsquoanalyse de lrsquoinformation et de la communicationdes reacutesultats des mesuresCelui qui va analyser la meacutetrique
Source drsquoinformation pour
lrsquoanalyse
Liste les sources drsquoinformation utiles pour lrsquoanalyse de reacutesultats (documents journaux entretien
etc)Outils utiliseacutes dans lrsquoanalyse Liste les outils utiliseacutes pour lrsquoanalyse (par exemple des outils statistiques)
Client de lrsquoinformationLa personne ou lrsquouniteacute organisationnelle qui demande ou requiert les mesures pour les besoins de sonactiviteacuteCelui qui va utiliser la meacutetrique
Information compleacutementaire
Conseils danalyseCompleacutementaires
Fournit des conseils compleacutementaires sur les variations de cette mesure
Consideacuterations de mise enœuvre
Liste les processus ou les exigences de mise en œuvre qui sont neacutecessaires pour la reacuteussite de la miseen œuvre
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2428
Les meacutetriques dans le cadre de la seacuterie 27000 - 22 - copy CLUSIF 2009
Exemple drsquoutilisation de la fiche
Identification de la mesure
Nom de la mesure Revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Identifiant de la mesure R1-A1124
Objectif de la mesure de seacutecuriteacuteA1124 [270012005]
Mesure de seacutecuriteacute (1)Les managers doivent dans leur peacuterimegravetre reacuteexaminer les droits drsquoaccegraves des utilisateurs agraveintervalles reacuteguliers par le biais drsquoun processus formel
Mesure de seacutecuriteacute (2) Revue des accegraves au reacuteseau informatique
Objectif de la mesure
Mesurer le pourcentage de manager deacuteclarant avoir effectueacute des controcircles sur les droits drsquoaccegravesutilisateurs de leur peacuterimegravetre ce qui permet drsquoeacutevaluer
bull la prise de conscience des managers vis-agrave-vis des risques drsquoaccegraves non fondeacutesfrauduleux ou obsolegravetes aux SI
bull lrsquoimplication du management dans le processus de maicirctrise et de gestion du risqueinformatique
Reacute examinateur Direction des Risques
Objets du mesurage et attributs
Objet du mesurage Processus de revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Attributs Attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateursSpeacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesExistence drsquoune attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateurs parchacun des managers
Meacutethodes de mesurageTous les trimestres les managers enverront un email standardiseacute au Deacutepartement Seacutecuriteacute desSI attestant que les accegraves des utilisateurs ont eacuteteacute revus pour leur peacuterimegravetre
Echelle Numeacuterique
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Taux drsquoattestations retourneacutees par les managers sur le trimestre eacutetudieacute
Fonction de mesurage
Taux dattestations retourneacutees par les managers sur le trimestre eacutetudieacute = (nombre dattestations
retourneacutees par les managers Total dattestations attendues dans le trimestre) 100
Echelle Ratio pourcentage
Speacutecification de lrsquoindicateur
Description dindicateur et exemple Courbe montrant lrsquoindicateur sur plusieurs peacuteriodes de restitution
Modegravele analytique
Satisfaisant si gt= 90Globalement satisfaisant si 80 lt lt 90Moyennement satisfaisant si 70 lt= lt= 80Insatisfaisant si lt 70
Critegravere de deacutecision Seuil min 80
Interpreacutetation dindicateurUn reacutesultat insatisfaisant indique un manque drsquoengagement des managers dans la gestion des
risques lieacutes agrave la seacutecuriteacute des SIEffets impact Si reacutesultats insatisfaisants lrsquoindicateur est remonteacute agrave la Direction Geacuteneacuterale pour action
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2528
Les meacutetriques dans le cadre de la seacuterie 27000 - 23 - copy CLUSIF 2009
Causes drsquoeacutecart Les reacuteorganisations fonctionnelles de lrsquoentreprise
Valeurs positives Des valeurs croissantes indiquent des tendances positives
Format de restitution Tableau Excel standardiseacute
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des donneacutees Trimestrielle
Fournisseur de lrsquoinformation Chaque manager
Collecteur de lrsquoinformation Le RSSI
Outils utiliseacutes dans la collecte desdonneacutees
Mail courrier
Conservation des donneacutees collecteacutees Reacutepertoire speacutecifique du disque reacuteseau
Date de collecte Pour le 15 de chaque deacutebut de trimestre
Proceacutedure drsquoenregistrement desdonneacutees
EhellipNOV08R1-A11-2-4XLS
Validiteacute de la mesure Annuelle
Peacuteriode drsquoanalyse Du 1er janvier au 31 deacutecembre de lrsquoanneacutee en cours
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitution desdonneacutees
Trimestrielle
Communicateur de lrsquoinformation Le RSSI
Source drsquoinformation pour lrsquoanalyse Rapports drsquoentretiens
Outils utiliseacutes dans lrsquoanalyse Excel
Client de lrsquoinformation Direction des Risques
Information compleacutementaire
Conseils danalyse Compleacutementaires NA
Consideacuterations de mise en œuvre NA
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2628
Les meacutetriques dans le cadre de la seacuterie 27000 - 24 - copy CLUSIF 2009
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE
METRIQUES ET OU DrsquoINDICATEURS
Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI
Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A8 Seacutecuriteacute lieacutee aux ressources humaines
A81 Avant le recrutement
A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute
A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat
A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur
A82 Pendant la dureacutee du contrat
A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute
A822 Sensibilisation qualification et formations
en matiegravere de seacutecuriteacute de lrsquoinformation
Nombre de personnes formeacutees an
A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque
A83 Fin ou modification du contrat
A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat
A832 Restitution des actifs Coucirct des biens non rendus en fin de mission
A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai
A9 Seacutecuriteacute physique et environnementale
A91 Zones seacutecuriseacutees
A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees
A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)
A913 Seacutecurisation des bureaux des salles et deseacutequipements
Nombre annuel de disparition de biens informatiques dans les locaux
A914 Protection contre les menaces exteacuterieures etenvironnementales
Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle
A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1028
Les meacutetriques dans le cadre de la seacuterie 27000 - 8 - copy CLUSIF 2009
Scheacutema 2 La seacuterie ISOIEC 27000 et les autres reacutefeacuterentiels
De la mecircme faccedilon les lois et les regraveglements concernant la seacutecuriteacute de linformation(informations nominatives gestion de lidentiteacute reacutetention de donneacutees chiffrement hellip) sontactuellement en eacutevolution dans la plupart des pays
De nouvelles conditions de traitement de conservation ou de destruction des informations
sont ainsi agrave mettre en œuvre de faccedilon impeacuterative et de faccedilon dautant plus complexe que lesmesures de seacutecuriteacute peuvent varier dun pays agrave lautre
Des impeacuteratifs leacutegislatifs ou sectoriels peuvent aussi voir le jour et entraicircner des conseacutequencesimportantes Par exemple la loi Sarbanes-Oxley Act pour les entreprises coteacutees sur lesmarcheacutes ameacutericains la Loi sur la Seacutecuriteacute Financiegravere pour les entreprises franccedilaises Bacircle IIpour les eacutetablissements financiers ou Solvency II pour les assurances
ISO 27001Moteur de base
ISO 27004Indicateurs
CoBITGouvernance
CMMID eacute veloppements
ITIL Production
ISO 27005Appr eacuteciation des
risques
ISO 27002Bonnes pratiques ISO 27001
SAS 70
PCI - DSS
Tout autre r eacute f eacute rentielseacute curit eacute
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1128
Les meacutetriques dans le cadre de la seacuterie 27000 - 9 - copy CLUSIF 2009
22 Terminologie
Le terme laquo meacutetrique raquo nrsquoexiste pas dans la langue franccedilaise au sens ougrave il est utiliseacute dans ce
documentLe terme anglais laquo metrics raquo (a system of related measures that facilitates the quantification ofsome particular characteristic) est utiliseacute pour meacutetrologie parfois laquo traduit raquo par meacutetrique
Pour meacutemoire la meacutetrologie est la science qui sinteacuteresse aux cocircteacutes theacuteoriques et pratiques dela mesure dans tous les domaines de la science et de la technologie Plus speacutecifiquement lameacutetrologie touche lutilisation des uniteacutes la reacutealisation des eacutetalons les meacutethodes lestechniques et les appareils de mesure ainsi que la preacutecision obtenue
Les diffeacuterentes normes en rapport avec le sujet fournissent les deacutefinitions suivantes
Attribut proprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacute quantitativementou qualitativement par des moyens humains ou automatiques [ISOIEC 159392007]
Mesurage processus drsquoobtention drsquoinformation relative agrave lrsquoefficaciteacute drsquoun SMSI et demesures de seacutecuriteacute agrave lrsquoaide drsquoune meacutethode drsquoeacutevaluation drsquoune fonction drsquoeacutevaluationdrsquoun modegravele analytique et de critegraveres de deacutecision [ISOIEC 27004]
Indicateur reacutesultat de lrsquoapplication drsquoun modegravele analytique agrave une ou plusieurs variablesen relation avec les critegraveres de deacutecision ou un besoin drsquoinformation [ISOIEC 27004]
Un indicateur est la base de lrsquoanalyse et de la prise de deacutecisionCompleacutements aux deacutefinitions proposeacutees dans ce document
Meacutetrique ensemble drsquoeacuteleacutements permettant de fournir une eacutevaluation qualitative ouquantitative repreacutesentative drsquoune situation
Indicateur donneacutee objective qui preacutesente une situation du strict point de vuequantitatif Un indicateur est pertinent srsquoil est directement relieacute agrave une zone drsquoaction (ilindique ougrave il faut agir) Les indicateurs peuvent ecirctre regroupeacutes dans un tableau de bordoutil de synthegravese et de visualisation des situations deacutecrites
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1228
Les meacutetriques dans le cadre de la seacuterie 27000 - 10 - copy CLUSIF 2009
23 Positionnement des meacutetriques dans le modegravele defonctionnement
La figure ci-dessous positionne les termes laquo attribut raquo laquo meacutetrique raquo et laquo indicateur raquo
Interpreacutetation
Collecte des paramegravetres etvariables mesurables
les attributs
Repreacutesentation de lareacutealiteacute du ldquo terrainrdquo(donneacutees brutes)
Repreacutesentation de la situation
Aide agrave la deacutecision
Information quantitative ou
qualitative positionneacutee surune eacutechelle de reacutefeacuterence
Indicateurs
Meacutetriques
Tableau de Bord
Systegravemes et processus meacutetiers de lrsquoentiteacute
attributs
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situationControcircle
ISMS
Objectifs
Miseen
place
Interpreacutetation Interpreacutetation Inte rpreacutetation
Collecte des paramegravetres etvariables mesurables
les attributs
Repreacutesentation de lareacutealiteacute du ldquo terrainrdquo(donneacutees brutes)
Repreacutesentation de la situation
Aide agrave la deacutecision
Information quantitative ou
qualitative positionneacutee surune eacutechelle de reacutefeacuterence
Indicateurs
MeacutetriquesMeacutetriques
Tableau de Bord
Systegravemes et processus meacutetiers de lrsquoentiteacute
attributs
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situation
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situationControcircle
ISMS
Objectifs
Miseen
place
Miseen
place
Scheacutema 3 Repreacutesentation drsquoapregraves le document ISOIEC 27004
Exemple dans le domaine des antivirus
Nombre de postes eacutequipeacutes dun antivirus attribut
Pourcentage du nombre de postes eacutequipeacutes sur le total meacutetrique
Nombre de postes eacutequipeacutes dun antivirus dont lantivirus a eacuteteacute mis agrave jour attribut
Pourcentage de postes dont lantivirus a eacuteteacute mis agrave jour meacutetrique
A partir de lrsquoexemple ci-dessus en regroupant les deux meacutetriques nous pouvons constituer un
indicateur repreacutesentant agrave la fois le niveau de protection viral des postes de travail et lamaicirctrise du processus antiviral sur ces postes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1328
Les meacutetriques dans le cadre de la seacuterie 27000 - 11 - copy CLUSIF 2009
Les indicateurs intimement lieacutes agrave la situation que nous voulons repreacutesenter peuvent ecirctre denature diffeacuterente et avoir des finaliteacutes eacutegalement diffeacuterentes
constater une situation dans le domaine que lrsquoon veut observer
mesurer leacutecart entre le niveau existant et le niveau de lrsquoobjectif deacutefini
suivre leacutevolution des domaines geacutereacutes et analyseacutes
anticiper etou deacuteclencher la mise en œuvre de plans drsquoactions de seacutecuriteacute (agrave partir dufranchissement drsquoun seuil)
communiquer agrave partir de donneacutees analyseacutees
piloter les projets
appreacutecier le respect des lois et reacuteglementations
auditer
Dans le contexte de la mise en œuvre drsquoun SMSI et du respect du principe de la Roue deDeming (cycle PDCA) les critegraveres de choix des indicateurs doivent inteacutegrer le soucidrsquoameacutelioration permanente de la seacutecuriteacute par la veacuterification de lefficaciteacute des mesures deseacutecuriteacute valideacutees et deacuteployeacutees Ainsi il est toujours souhaitable davoir en meacutemoire quelobjectif dun indicateur de seacutecuriteacute dans le SMSI est deacutevaluer lefficaciteacute des mesures deseacutecuriteacute
Dans la suite du document le choix a eacuteteacute fait drsquoillustrer uniquement les meacutethodes de mise en
œuvre drsquoindicateurs pour les SMSI En effet le suivi de lrsquoefficaciteacute de tout systegraveme demanagement est reacutealiseacute agrave partir de ces indicateurs (cf scheacutema 3)
24 Eacuteleacutements pour la mise en œuvre des indicateurs
Afin de satisfaire les objectifs assigneacutes les indicateurs doivent respecter des conditionsparticuliegraveres et ecirctre doteacutes de qualiteacutes speacutecifiques notamment
ecirctre issus des objectifs retenus dans la politique de seacutecuriteacute
ecirctre aiseacutement quantifiables (construits agrave partir drsquoinformations ou de processus geacuteneacuterantdes informations quantifiables) afin de permettre des comparaisons (entre systegravemes ouentre peacuteriodes) Il srsquoagit le plus souvent de pourcentage de taux de ratio de moyenneetou de nombres laquo bruts raquo
les informations neacutecessaires agrave lrsquoeacutelaboration de la mesure doivent ecirctre faciles agrave obteniretou collecter En effet il faut srsquoassurer que les ressources mises en œuvre pour obtenirles donneacutees ne sont pas disproportionneacutees par rapport agrave celles concourant agrave la reacutealisationdu processus mesureacute
srsquoappuyer sur des processus laquo stables raquo et aiseacutement laquo reproductibles raquo
permettre la mesure des eacutevolutions suite agrave des actions correctives
ecirctre fiables sur la dureacutee et autoriser une analyse des eacutecarts
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1428
Les meacutetriques dans le cadre de la seacuterie 27000 - 12 - copy CLUSIF 2009
Ces caracteacuteristiques sont regroupeacutees dans certaines deacutemarches sous lacronyme laquo SMART raquoqui signifie
Specific il correspond agrave ce qui est analyseacute et met en avant la speacutecificiteacute de lattribut
Measurable il peut ecirctre mesureacute et cette mesure est objective
Attainable il est obtenu dans des conditions satisfaisantes de coucirct et de deacutelai Repeatable sa mesure est reproductible
Time dependent la mesure deacutepend de la fenecirctre de temps utiliseacutee
Les caracteacuteristiques de la mesure deacutefinies dans lAnnexe A de lrsquoactuel projet de normeISOIEC 27004 doivent ecirctre deacutefinies pour chaque indicateur
25 Exemples drsquoindicateurs
Quelques exemples drsquoindicateurs sont donneacutes ci-apregraves La liste fournie nrsquoest pas exhaustive Ilest inteacuteressant de constater que certains indicateurs sont de nature opeacuterationnelle oustrateacutegique voire opeacuterationnelle et strateacutegique
Controcircle drsquoaccegraves
pourcentage drsquoutilisateurs dont le mot de passe respecte les principes de construction
pourcentage de systegravemes accessibles depuis lrsquoexteacuterieur et comprenant un IDS agrave jour
Controcircle des codes malveillants
nombre annuel dattaques reacuteussies par deacutefaut de mise agrave jour de la base virale
deacutelai de retour agrave la normale sur attaque virale
freacutequence de mise agrave jour de la base antivirus freacutequence drsquoeacutevaluation de la conformiteacute des politiques antivirales laquo locales raquo avec la
politique laquo globale raquo
Mise en œuvre du SMSI
pourcentage de deacuteclinaisons des principes de la politique de seacutecuriteacute de lrsquoorganisme enproceacutedures opeacuterationnelles
nombre mensuel drsquoincidents de seacutecuriteacute non reacutesolus
pourcentage de comiteacutes de pilotage de seacutecuriteacute tenus en accord avec le planning
pourcentage dactions correctives non meneacutees agrave terme
Maicirctrise des deacutepenses deacutepenses lieacutees agrave la seacutecuriteacute selon diffeacuterents critegraveres nombre dalertes dincidents etc
Formation
pourcentage du budget global de formation consacreacute agrave la seacutecuriteacute des systegravemesdrsquoinformation
pourcentage de participants en fonction de la population cible agrave des sessions relatives agravela seacutecuriteacute des systegravemes drsquoinformation
taux de freacutequentation des formations aux proceacutedures dalerte par les personnes cleacutes descellules de crise
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1528
Les meacutetriques dans le cadre de la seacuterie 27000 - 13 - copy CLUSIF 2009
Seacutecuriteacute des logiciels applications
nombre de correctifs de seacutecuriteacute valideacutes apregraves analyse
taux de correctifs de seacutecuriteacute valideacutes mis en œuvre dans les deacutelais preacutevus
Seacutecuriteacute reacuteseau
nombre drsquoaudits et de tests de vulneacuterabiliteacute reacutealiseacutes sur la peacuteriode
Disponibiliteacute des services
taux de disponibiliteacute DNS accegraves internet messagerie
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1628
Les meacutetriques dans le cadre de la seacuterie 27000 - 14 - copy CLUSIF 2009
3 LES DIFFERENTS USAGES DES INDICATEURS
31 EacutevaluerCes indicateurs peuvent ecirctre reacutepartis dans les grandes familles suivantes
Les indicateurs laquo de conformiteacute raquo deacutecrivent le niveau dexigence souhaiteacute (ou constateacute)sur une mesure de seacutecuriteacute Par exemple en ce qui concerne la mesure de seacutecuriteacutelaquo Reacutealisation de sauvegardes raquo un indicateur de conformiteacute de seacutecuriteacute peut ecirctre lafreacutequence des sauvegardes ou le ratio du nombre de bandes externaliseacutees par rapport aunombre total de bandes
Les indicateurs laquo defficaciteacute raquo deacutecrivent leacutetat du fonctionnement de la mesure deseacutecuriteacute Sur le mecircme exemple de la laquo Reacutealisation de sauvegardes raquo un nombre eacuteleveacute de
tests de restaurations deacutefectueux peut deacutemontrer un mauvais fonctionnement dessauvegardes
Les indicateurs laquo defficience raquo visent agrave rapprocher lefficaciteacute de la mesure de seacutecuriteacuteau regard de limportance des moyens mis en œuvre
32 Piloter
Toute activiteacute (production projet processus etc) implique la deacutetermination drsquoindicateurs depilotage Ces derniers permettent
drsquoappreacutecier lavancement correct du projet drsquoeacutevaluer une situation
de deacutetecter un risque
de deacuteclencher une alerte
Le choix des indicateurs peut deacutependre des objectifs de lrsquoactiviteacute (coucircts deacutelais performanceetc) mais aussi ecirctre lieacute agrave des processus transverses (management support etc)
Nous pourrons ainsi avoir les indicateurs suivants sur diffeacuterentes eacutechelles de temps anneacuteemois semaine jour
nombre de machines infecteacutees par des virus nombre de machines
nombre de messages infecteacutes par des virus nombre de messages
nombre de machines agrave jour nombre de machines
temps moyen et maximum de mise agrave jour du parc
nombre drsquoattaques virales identifieacutees bloqueacutees exeacutecuteacutees
impact de ses attaques en heures de travail perdues financier
raison des infections mise agrave jour non effectueacutee seacutecuriteacute non appliqueacutee malveillancehellip
variation du taux drsquoinfection et tentatives drsquoinfection sur les 12 derniers mois
etc
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1728
Les meacutetriques dans le cadre de la seacuterie 27000 - 15 - copy CLUSIF 2009
Ces indicateurs peuvent aussi ecirctre eacuteleacutementaires ou plus syntheacutetiques Par exemplelrsquoagreacutegation de certains indicateurs informatiques avec les indicateurs eacuteconomiques Lelaquo Ratio du nombre annuel drsquoaccords de confidentialiteacutes (NDA ndash Non disclosure agreement)signeacutes par rapport au nombre de prestataires preacutesents dans lrsquoorganisme raquo en est un exemple
33 Communiquer
Des indicateurs sont aussi utiliseacutes pour communiquer en interne ou en externe Leur naturesera diffeacuterente en fonction des acteurs viseacutes et de leur objectif de communication(sensibiliser faire passer des ideacutees justifierhellip)
Par exemple pour communiquer autour de la lutte antivirale
nombre drsquoheures de travail perdues suite agrave une attaque virale
variation du taux drsquoinfection sur les douze derniers mois (justification du budget)
nombre drsquoattaques virales provenant drsquoun support externe
34 Sautoeacutevaluer
Cette eacutevaluation peut ecirctre reacutealiseacutee en interne par lrsquoeacutequipe en charge de la fonction comme parlrsquoeacutequipe drsquoaudit ou de controcircle interne
Elle se situe par rapport agrave un reacutefeacuterentiel interne ou externe ou par rapport agrave un objectifarbitraire ou reacutesultant drsquoune expeacuterience passeacutee et deacutejagrave mesureacutee
Les indicateurs citeacutes comme exemple dans les paragraphes preacuteceacutedents peuvent notammentservir dans le cadre drsquoune autoeacutevaluation
35 Contribuer agrave lrsquoobtention drsquoune certification
Ces indicateurs servent agrave
appreacutecier lrsquoavancement dans le processus de certification
obtenir la certification
et surtout la conserver
Sans ecirctre obligatoire pour lrsquoobtention de la certification ISOIEC 270012005 la mise enplace drsquoindicateurs simplifie grandement le cheminement vers celle-ci
36 Reacutepondre agrave un audit
Les indicateurs servent agrave informer lrsquoauditeur agrave justifier des mesures de seacutecuriteacute mises enplace et des correctifs en cours
Les indicateurs preacutesenteacutes lors drsquoaudits contribuent agrave lrsquoanalyse de risque et srsquoappreacutecient parrapport agrave un reacutefeacuterentiel externe
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1828
Les meacutetriques dans le cadre de la seacuterie 27000 - 16 - copy CLUSIF 2009
4 LES TRAVAUX NORMATIFS EN COURS
(ISOIEC 27004)
Ce document a eacuteteacute reacutedigeacute alors que la norme ISOIEC 27004 nrsquoeacutetait pas stabiliseacutee (versionCD) il est toutefois permis de penser que lrsquointeacuterecirct du document justifie les travaux entreprisci-apregraves sous reacuteserve de possibles eacutevolutions
Ce projet de norme au sein de la seacuterie 27000 constitue un guide [agrave usage facultatif] delaquo Mesurage et meacutetriques raquo dans le cadre drsquoun SMSI (Systegraveme de Management de la Seacutecuriteacutede lrsquoInformation) tel que deacutefini dans lrsquoISOIEC 270012005
Les domaines suivants sont abordeacutes
preacutesentation du processus de mesurage
rocircles et responsabiliteacutes
conception des indicateurs production et mise en forme des indicateurs
analyse et reporting
ameacutelioration du processus de mesurage
Une premiegravere annexe preacutesente un modegravele commenteacute drsquoune fiche drsquoindicateur (cf Annexe A)La seconde annexe preacutesente plusieurs exemples drsquoattributs de meacutetriques ou drsquoindicateurs (cfAnnexe B)
41 Concepts de meacutetriquesUn processus de mesure a pour but de veacuterifier que les objectifs de seacutecuriteacute fondeacutes notammentsur lrsquoanalyse de risque et la conformiteacute aux dispositions leacutegales et reacuteglementaires sontatteints
Il se compose de phases de collecte drsquoinformations et drsquoanalyse Par comparaison agrave descritegraveres de deacutecision ces phases permettent lrsquoobtention drsquoinformations de seacutecuriteacute etlrsquoameacutelioration continue du management de la seacutecuriteacute
Les mesures peuvent ecirctre eacuteleacutementaires ou deacuteriveacutees
une mesure eacuteleacutementaire1
est la valeur drsquoun laquo attribut raquo obtenue par une meacutethode decalcul
une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesureseacuteleacutementaires
Pour chaque type de mesure (eacuteleacutementaire ou deacuteriveacutee) il convient de faire en sorte que desobjectifs de conformiteacute ou de performance soient mis en eacutevidence
Le modegravele du processus de mesure proposeacute comprend un processus de remonteacutee demesures eacuteleacutementaires et de mesures deacuteriveacutees qui contribuent agrave la fabrication drsquoindicateurslesquels seront compareacutes individuellement agrave leur critegravere de deacutecision Lrsquoefficaciteacute du systegraveme
1 Une mesure eacuteleacutementaire peut dans certains cas correspondre directement agrave un indicateur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1928
Les meacutetriques dans le cadre de la seacuterie 27000 - 17 - copy CLUSIF 2009
de management srsquoappreacutecie en comparant les reacutesultats issus des mesures effectueacutees avec leursobjectifs initiaux
Dans le projet de norme les preacutecisions suivantes sont apporteacutees
les objectifs du processus de mesure sont clairement eacutetablis (eacutevaluer fournir des
donneacutees faciliter lrsquoeacutevolution communiquer) En revanche le peacuterimegravetre sur lequelsrsquoapplique ce processus ainsi que la meacutethodologie drsquoimpleacutementation restent agrave lrsquoinitiativede chacun
lrsquoimplication du management dans le processus de mesure est souligneacutee notamment surson engagement ses responsabiliteacutes et les ressources agrave mettre en œuvre
les diffeacuterents rocircles qui devraient ecirctre assigneacutes par le Management concernant leprocessus de mesure sont preacuteciseacutes le fournisseur le client le collecteur lecommunicateur le reacute-examinateur (cf deacutefinitions dans lrsquoannexe A du preacutesentdocument) Ces diffeacuterents rocircles devront faire lrsquoobjet de proceacutedures drsquohabilitationprenant en compte les contraintes de seacuteparation des tacircches et les compeacutetencestechniques neacutecessaires
42 Concevoir des meacutetriques
Des meacutetriques doivent ecirctre creacuteeacutes pour eacutevaluer lrsquoefficaciteacute du SMSI controcircler lrsquoatteinte desobjectifs identifier valider et ameacuteliorer les mesures de seacutecuriteacute speacutecifiques
Pour cela il faut pour chaque meacutetrique agrave partir drsquoune analyse de risque et de lrsquoeacutetat initial
identifier et choisir des objectifs
documenter et planifier lrsquoactiviteacute de mesurage (lrsquoannexe A du preacutesent document
preacutesente un modegravele de fiche sur ce thegraveme) en particulier concernant la meacutethode decollecte de stockage drsquoarchivage de veacuterification et drsquoanalyse des donneacutees ainsi que lamise en place du processus de mesurage
deacutefinir les principaux acteurs et les ressources neacutecessaires
srsquoassurer de la pertinence des mesurages qui devraient veacuterifier les critegraveres SMART(Specific Measurable Attainable Repeatable Time dependant)
43 Mettre en place des meacutetriques
La mise en place permanente de la collecte de la conservation et de lrsquoanalyse des donneacutees apour but drsquoassurer la compreacutehension et lrsquoameacutelioration du SMSI Ce processus doitaccompagner les eacutevolutions du SMSI
Cette rubrique dans le projet de norme constitue un guide pratique opeacuterationnel qui preacuteciseles conditions de
collecte des donneacutees (en speacutecifiant la date lrsquoheure le proprieacutetairehellip)
validation
traitement
diffusion
conservation
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2028
Les meacutetriques dans le cadre de la seacuterie 27000 - 18 - copy CLUSIF 2009
Il importe que les reacutesultats des indicateurs servent agrave eacutevaluer lrsquoefficaciteacute des dispositifs deseacutecuriteacute (de preacutevention deacutetection correction ou reacutecupeacuteration) en place Dans un secondtemps cette base drsquoindicateurs constitueacutee permettra de soutenir un processus de deacutecision dansle choix de nouveaux dispositifs
44 Utiliser communiquer et ameacuteliorer les meacutetriques
Lrsquoanalyse des donneacutees et leur interpreacutetation consistent agrave les rapprocher des critegraveres dedeacutecision preacutealablement deacutefinis (Annexe A)
Le but de lrsquoanalyse est de pouvoir identifier les eacutecarts entre la performance attendue et cellereacutealiseacutee Les causes de non-conformiteacute et de mauvaise performance pourront ecirctre ainsiidentifieacutees en fonction des dispositifs de seacutecuriteacute qui
ne sont pas opeacuterationnels
sont impleacutementeacutes mais ne fonctionnement pas correctement sont impleacutementeacutes fonctionnent correctement mais ne couvrent pas les menaces
estimeacutees
sont impleacutementeacutes fonctionnent correctement mais toutes les menaces ne sont pascouvertes
Les conclusions des analyses devraient ecirctre revues par toutes les parties prenantes ndash dans lesens laquo stakeholders raquo ndash pour assurer la bonne interpreacutetation de la donneacutee A cette fin lesreacutesultats des analyses devraient ecirctre suffisamment documenteacutes
La consolidation de ces reacutesultats devra intervenir dans des tableaux de bord pour unecommunication agrave qui de droit
Les mesures peuvent ecirctre utiliseacutees agrave diverses fins
eacutevaluer lrsquoefficaciteacute des dispositifs de seacutecuriteacute
critiquer les appreacuteciations et les traitements des risques
deacutemontrer les progregraves
se comparer au sein ou entre organisations
45 Ameacuteliorer le processus de mesure
Lrsquoefficaciteacute du processus de mesure doit ecirctre examineacutee peacuteriodiquement afin de lrsquoameacuteliorerNeacuteanmoins les donneacutees de base doivent faire lrsquoobjet de sauvegardes reacuteguliegraveres et peacuterennesafin de pouvoir recalculer les meacutetriques en fonction de leurs diffeacuterentes eacutevolutions
Des eacutevolutions peuvent ecirctre envisageacutees quand lrsquoorganisation introduit de nouveaux objectifsde mesure points de mesure de nouvelles meacutethodes ou fonctions de mesure
Le processus de mesure devrait ecirctre eacutevalueacute en termes drsquoutiliteacute et reacuteexamineacute agrave chaque fois quelrsquoorganisation change Il importe de srsquoassurer que les mesures reflegravetent un eacutetat agrave jour de laseacutecuriteacute et de veacuterifier que les donneacutees sous-jacentes sont encore valides Il est eacutegalementimportant de valider la pertinence des hypothegraveses
Il srsquoagit aussi drsquoeacutevaluer lrsquoutiliteacute de la mesure et le coucirct du processus de mesure afin dedeacuteterminer la pertinence de sa modification ou de sa suppression
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2128
Les meacutetriques dans le cadre de la seacuterie 27000 - 19 - copy CLUSIF 2009
5 CONCLUSION
LrsquoISOIEC 270012005 insiste sur lrsquoimportance de mesurer lrsquoefficaciteacute des processus du
SMSI des mesures de seacutecuriteacute mises en œuvre et du processus de mesurage lui-mecircme2
Cependant cette norme ne preacutecise pas comment mesurer cette efficaciteacute Elle se contentedrsquoindiquer qursquoune meacutethode est agrave deacutefinir
A cette fin le preacutesent document apporte un eacuteclairage aux RSSI auditeurs internes acteurs ducontrocircle permanent et managers dans la deacutefinition et la mise en œuvre des indicateurs adapteacutesagrave leurs exigences selon des processus qui devraient figurer dans la norme ISOIEC 27004
LrsquoISOIEC 27004 est un guide qui compleacutetera lrsquoISOIEC 270012005 en fournissant deslignes directrices et des conseils sur
la conception
la mise en œuvre
lrsquoanalyse et la communication des reacutesultats
lrsquoameacutelioration du processus de mesurage drsquoun SMSI
Cette future norme devrait ecirctre publieacutee prochainement La seacuterie ISOIEC 27000 a eacuteteacutecompleacuteteacutee de lrsquoISOIEC 270052008 et de lrsquoISOIEC 27003 (preacutevue en 2009) qui traitentrespectivement de la gestion du risque et de la mise en œuvre drsquoun SMSI
2 cf clauses 02c 02d 422d 423c 431g 72f et 73e
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2228
Les meacutetriques dans le cadre de la seacuterie 27000 - 20 - copy CLUSIF 2009
ANNEXE A FICHE DESCRIPTIVE
Modegravele de fiche descriptive drsquoune mesure
Cette fiche est inspireacutee de lrsquoISOIEC FCD 27004
Identification de la mesure
Nom de la mesure Nom de la mesure
Identifiant de la mesure Identifiant numeacuterique unique speacutecifique agrave lrsquoorganisme
Objectif de la mesureDeacutecrit lrsquoobjectif de la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure de
seacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (1)Facultatif Deacutecrit la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure deseacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (2)Facultatif Deacutecrit dautres mesures de seacutecuriteacute (agrave mettre ou deacutejagrave mise en œuvre) faisant lrsquoobjet le caseacutecheacuteant de la mecircme mesure (reacutefeacuterence aux mesures de seacutecuriteacute de lrsquoannexe A de la normeISO 27001)
Objectif de la mesure Deacutefinit le but de la mesure
Reacute examinateurPersonne ou uniteacute organisationnelle qui examine et valide que les critegraveres deacutevaluation de la mesuresont approprieacutes pour veacuterifier lefficaciteacute des mesures de seacutecuriteacute et des processus du SMSI
Objets du mesurage et attributs
Objet du mesurage
Objet qui doit ecirctre mesureacute et qui est caracteacuteriseacute par la mesurabiliteacute de ses attributs Les objets peuvent
comprendre des processus des systegravemes ou des composants de systegravemes
AttributsProprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacutee quantitativement ou qualitativementpar des moyens humains ou automatiques
Speacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesUne mesure eacuteleacutementaire est deacutefinie en fonction dun attribut et de la meacutethode de mesurage speacutecifieacuteepour le quantifier (par exemple le nombre de personnel formeacute le nombre de sites le coucirct cumuleacute agravece jour) Au moment ougrave la donneacutee est collecteacutee une valeur est affecteacutee agrave une mesure eacuteleacutementaire
Meacutethodes de mesurage Suite logique drsquoopeacuterations qui permettent de quantifier un attribut selon une eacutechelle
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure eacuteleacutementaire
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesures eacuteleacutementaires
Fonction de mesurageSuite logique drsquoopeacuterations qui permettent de calculer la mesure deacuteriveacutee Pour les mesures deacuteriveacutees lafonction par laquelle les mesures deacuteriveacutees fondeacutees sur des mesures eacuteleacutementaires correspondantes etla preacutecision cumulative reacutesultante sont agreacutegeacutees
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure deacuteriveacutee
Speacutecification de lrsquoindicateur
Description dindicateur etexemple
Preacutesentation dune ou plusieurs mesures (eacuteleacutementaires ou deacuteriveacutees) qui fournit une estimation ou uneeacutevaluation dattributs speacutecifieacutes reacutesultant dun modegravele analytique en ce qui concerne des besoins delinformation deacutefinis Un indicateur est souvent preacutesenteacute agrave lrsquoaide drsquoun graphique ou drsquoun diagrammeInclure un croquis de lindicateur
Modegravele analytique Algorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires etou deacuteriveacutees avec lescritegraveres de deacutecision associeacutes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2328
Les meacutetriques dans le cadre de la seacuterie 27000 - 21 - copy CLUSIF 2009
Critegravere de deacutecisionSeuil cible ou modegravele utiliseacute pour deacuteterminer la neacutecessiteacute dune action ou un compleacutement denquecircteou pour deacutecrire le niveau de confiance dans un reacutesultat donneacute
Interpreacutetation dindicateurDescription de la faccedilon dont lindicateur exemple (voir la figure exemple dans la description delindicateur) devrait ecirctre interpreacuteteacute
Effets impact Deacutefinition des effets et de lrsquoimpact issu des reacutesultats obtenus par la mesure
Causes drsquoeacutecart Deacutefinition des causes possibles agrave lrsquoorigine drsquoeacutecarts des reacutesultats
Valeurs positivesDeacuteclaration expliquant si les valeurs en laquo croissance raquo indiquent des tendances positives (bonreacutesultat) ou si les valeurs en laquo deacutecroissance raquo doivent ecirctre consideacutereacutees comme des tendancespositives
Format de restitution
Le format de la restitution devrait ecirctre preacuteciseacute et documenteacute Il deacutecrit les observations quelrsquoorganisation ou le proprieacutetaire de lrsquoinformation peut vouloir sur lrsquoenregistrement Les formats derapport deacutecriront visuellement les mesures et fourniront une explication verbale des indicateurs Ilsdevraient ecirctre personnaliseacutes en fonction du laquo client de linformation raquo (ce terme est deacutefini ci-apregraves)
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des
donneacutees
Freacutequence agrave laquelle les donneacutees sont collecteacutees
Fournisseur de lrsquoinformationPersonne ou uniteacute organisationnelle qui deacutetient lrsquoinformation pour creacuteer les mesures eacuteleacutementairesCelui qui va contribuer agrave la meacutetrique produire lrsquoinformation pour le calcul de la meacutetrique
Collecteur de lrsquoinformationPersonne ou uniteacute organisationnelle en charge de collecter enregistrer et stocker les informationsCelui qui va obtenir la meacutetrique
Outils utiliseacutes dans la collectedes donneacutees
Liste les outils utiliseacutes dans la collecte des donneacutees (par exemple un scanner de vulneacuterabiliteacute)
Conservation des donneacuteescollecteacutees
Liste les outils ougrave les donneacutees sont conserveacutees apregraves avoir eacuteteacute collecteacutees (par exemple une base dedonneacutees)
Date de collecte Date agrave laquelle la donneacutee devrait ecirctre obtenue
Proceacutedure drsquoenregistrement
des donneacuteesDeacutefinit la proceacutedure drsquoenregistrement des donneacutees (lien vers la proceacutedure correspondante)
Validiteacute de la mesure Date de reacutevision (date drsquoexpiration ou de validiteacute de renouvellement) de la mesure
Peacuteriode drsquoanalyse Deacutefinit la peacuteriode mesureacutee
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitutiondes donneacutees
Freacutequence agrave laquelle les donneacutees sont restitueacutees (cette freacutequence peut ecirctre infeacuterieure agrave celle decollecte)
Communicateur delrsquoinformation
Personne ou uniteacute organisationnelle responsable de lrsquoanalyse de lrsquoinformation et de la communicationdes reacutesultats des mesuresCelui qui va analyser la meacutetrique
Source drsquoinformation pour
lrsquoanalyse
Liste les sources drsquoinformation utiles pour lrsquoanalyse de reacutesultats (documents journaux entretien
etc)Outils utiliseacutes dans lrsquoanalyse Liste les outils utiliseacutes pour lrsquoanalyse (par exemple des outils statistiques)
Client de lrsquoinformationLa personne ou lrsquouniteacute organisationnelle qui demande ou requiert les mesures pour les besoins de sonactiviteacuteCelui qui va utiliser la meacutetrique
Information compleacutementaire
Conseils danalyseCompleacutementaires
Fournit des conseils compleacutementaires sur les variations de cette mesure
Consideacuterations de mise enœuvre
Liste les processus ou les exigences de mise en œuvre qui sont neacutecessaires pour la reacuteussite de la miseen œuvre
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2428
Les meacutetriques dans le cadre de la seacuterie 27000 - 22 - copy CLUSIF 2009
Exemple drsquoutilisation de la fiche
Identification de la mesure
Nom de la mesure Revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Identifiant de la mesure R1-A1124
Objectif de la mesure de seacutecuriteacuteA1124 [270012005]
Mesure de seacutecuriteacute (1)Les managers doivent dans leur peacuterimegravetre reacuteexaminer les droits drsquoaccegraves des utilisateurs agraveintervalles reacuteguliers par le biais drsquoun processus formel
Mesure de seacutecuriteacute (2) Revue des accegraves au reacuteseau informatique
Objectif de la mesure
Mesurer le pourcentage de manager deacuteclarant avoir effectueacute des controcircles sur les droits drsquoaccegravesutilisateurs de leur peacuterimegravetre ce qui permet drsquoeacutevaluer
bull la prise de conscience des managers vis-agrave-vis des risques drsquoaccegraves non fondeacutesfrauduleux ou obsolegravetes aux SI
bull lrsquoimplication du management dans le processus de maicirctrise et de gestion du risqueinformatique
Reacute examinateur Direction des Risques
Objets du mesurage et attributs
Objet du mesurage Processus de revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Attributs Attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateursSpeacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesExistence drsquoune attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateurs parchacun des managers
Meacutethodes de mesurageTous les trimestres les managers enverront un email standardiseacute au Deacutepartement Seacutecuriteacute desSI attestant que les accegraves des utilisateurs ont eacuteteacute revus pour leur peacuterimegravetre
Echelle Numeacuterique
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Taux drsquoattestations retourneacutees par les managers sur le trimestre eacutetudieacute
Fonction de mesurage
Taux dattestations retourneacutees par les managers sur le trimestre eacutetudieacute = (nombre dattestations
retourneacutees par les managers Total dattestations attendues dans le trimestre) 100
Echelle Ratio pourcentage
Speacutecification de lrsquoindicateur
Description dindicateur et exemple Courbe montrant lrsquoindicateur sur plusieurs peacuteriodes de restitution
Modegravele analytique
Satisfaisant si gt= 90Globalement satisfaisant si 80 lt lt 90Moyennement satisfaisant si 70 lt= lt= 80Insatisfaisant si lt 70
Critegravere de deacutecision Seuil min 80
Interpreacutetation dindicateurUn reacutesultat insatisfaisant indique un manque drsquoengagement des managers dans la gestion des
risques lieacutes agrave la seacutecuriteacute des SIEffets impact Si reacutesultats insatisfaisants lrsquoindicateur est remonteacute agrave la Direction Geacuteneacuterale pour action
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2528
Les meacutetriques dans le cadre de la seacuterie 27000 - 23 - copy CLUSIF 2009
Causes drsquoeacutecart Les reacuteorganisations fonctionnelles de lrsquoentreprise
Valeurs positives Des valeurs croissantes indiquent des tendances positives
Format de restitution Tableau Excel standardiseacute
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des donneacutees Trimestrielle
Fournisseur de lrsquoinformation Chaque manager
Collecteur de lrsquoinformation Le RSSI
Outils utiliseacutes dans la collecte desdonneacutees
Mail courrier
Conservation des donneacutees collecteacutees Reacutepertoire speacutecifique du disque reacuteseau
Date de collecte Pour le 15 de chaque deacutebut de trimestre
Proceacutedure drsquoenregistrement desdonneacutees
EhellipNOV08R1-A11-2-4XLS
Validiteacute de la mesure Annuelle
Peacuteriode drsquoanalyse Du 1er janvier au 31 deacutecembre de lrsquoanneacutee en cours
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitution desdonneacutees
Trimestrielle
Communicateur de lrsquoinformation Le RSSI
Source drsquoinformation pour lrsquoanalyse Rapports drsquoentretiens
Outils utiliseacutes dans lrsquoanalyse Excel
Client de lrsquoinformation Direction des Risques
Information compleacutementaire
Conseils danalyse Compleacutementaires NA
Consideacuterations de mise en œuvre NA
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2628
Les meacutetriques dans le cadre de la seacuterie 27000 - 24 - copy CLUSIF 2009
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE
METRIQUES ET OU DrsquoINDICATEURS
Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI
Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A8 Seacutecuriteacute lieacutee aux ressources humaines
A81 Avant le recrutement
A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute
A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat
A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur
A82 Pendant la dureacutee du contrat
A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute
A822 Sensibilisation qualification et formations
en matiegravere de seacutecuriteacute de lrsquoinformation
Nombre de personnes formeacutees an
A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque
A83 Fin ou modification du contrat
A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat
A832 Restitution des actifs Coucirct des biens non rendus en fin de mission
A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai
A9 Seacutecuriteacute physique et environnementale
A91 Zones seacutecuriseacutees
A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees
A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)
A913 Seacutecurisation des bureaux des salles et deseacutequipements
Nombre annuel de disparition de biens informatiques dans les locaux
A914 Protection contre les menaces exteacuterieures etenvironnementales
Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle
A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1128
Les meacutetriques dans le cadre de la seacuterie 27000 - 9 - copy CLUSIF 2009
22 Terminologie
Le terme laquo meacutetrique raquo nrsquoexiste pas dans la langue franccedilaise au sens ougrave il est utiliseacute dans ce
documentLe terme anglais laquo metrics raquo (a system of related measures that facilitates the quantification ofsome particular characteristic) est utiliseacute pour meacutetrologie parfois laquo traduit raquo par meacutetrique
Pour meacutemoire la meacutetrologie est la science qui sinteacuteresse aux cocircteacutes theacuteoriques et pratiques dela mesure dans tous les domaines de la science et de la technologie Plus speacutecifiquement lameacutetrologie touche lutilisation des uniteacutes la reacutealisation des eacutetalons les meacutethodes lestechniques et les appareils de mesure ainsi que la preacutecision obtenue
Les diffeacuterentes normes en rapport avec le sujet fournissent les deacutefinitions suivantes
Attribut proprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacute quantitativementou qualitativement par des moyens humains ou automatiques [ISOIEC 159392007]
Mesurage processus drsquoobtention drsquoinformation relative agrave lrsquoefficaciteacute drsquoun SMSI et demesures de seacutecuriteacute agrave lrsquoaide drsquoune meacutethode drsquoeacutevaluation drsquoune fonction drsquoeacutevaluationdrsquoun modegravele analytique et de critegraveres de deacutecision [ISOIEC 27004]
Indicateur reacutesultat de lrsquoapplication drsquoun modegravele analytique agrave une ou plusieurs variablesen relation avec les critegraveres de deacutecision ou un besoin drsquoinformation [ISOIEC 27004]
Un indicateur est la base de lrsquoanalyse et de la prise de deacutecisionCompleacutements aux deacutefinitions proposeacutees dans ce document
Meacutetrique ensemble drsquoeacuteleacutements permettant de fournir une eacutevaluation qualitative ouquantitative repreacutesentative drsquoune situation
Indicateur donneacutee objective qui preacutesente une situation du strict point de vuequantitatif Un indicateur est pertinent srsquoil est directement relieacute agrave une zone drsquoaction (ilindique ougrave il faut agir) Les indicateurs peuvent ecirctre regroupeacutes dans un tableau de bordoutil de synthegravese et de visualisation des situations deacutecrites
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1228
Les meacutetriques dans le cadre de la seacuterie 27000 - 10 - copy CLUSIF 2009
23 Positionnement des meacutetriques dans le modegravele defonctionnement
La figure ci-dessous positionne les termes laquo attribut raquo laquo meacutetrique raquo et laquo indicateur raquo
Interpreacutetation
Collecte des paramegravetres etvariables mesurables
les attributs
Repreacutesentation de lareacutealiteacute du ldquo terrainrdquo(donneacutees brutes)
Repreacutesentation de la situation
Aide agrave la deacutecision
Information quantitative ou
qualitative positionneacutee surune eacutechelle de reacutefeacuterence
Indicateurs
Meacutetriques
Tableau de Bord
Systegravemes et processus meacutetiers de lrsquoentiteacute
attributs
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situationControcircle
ISMS
Objectifs
Miseen
place
Interpreacutetation Interpreacutetation Inte rpreacutetation
Collecte des paramegravetres etvariables mesurables
les attributs
Repreacutesentation de lareacutealiteacute du ldquo terrainrdquo(donneacutees brutes)
Repreacutesentation de la situation
Aide agrave la deacutecision
Information quantitative ou
qualitative positionneacutee surune eacutechelle de reacutefeacuterence
Indicateurs
MeacutetriquesMeacutetriques
Tableau de Bord
Systegravemes et processus meacutetiers de lrsquoentiteacute
attributs
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situation
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situationControcircle
ISMS
Objectifs
Miseen
place
Miseen
place
Scheacutema 3 Repreacutesentation drsquoapregraves le document ISOIEC 27004
Exemple dans le domaine des antivirus
Nombre de postes eacutequipeacutes dun antivirus attribut
Pourcentage du nombre de postes eacutequipeacutes sur le total meacutetrique
Nombre de postes eacutequipeacutes dun antivirus dont lantivirus a eacuteteacute mis agrave jour attribut
Pourcentage de postes dont lantivirus a eacuteteacute mis agrave jour meacutetrique
A partir de lrsquoexemple ci-dessus en regroupant les deux meacutetriques nous pouvons constituer un
indicateur repreacutesentant agrave la fois le niveau de protection viral des postes de travail et lamaicirctrise du processus antiviral sur ces postes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1328
Les meacutetriques dans le cadre de la seacuterie 27000 - 11 - copy CLUSIF 2009
Les indicateurs intimement lieacutes agrave la situation que nous voulons repreacutesenter peuvent ecirctre denature diffeacuterente et avoir des finaliteacutes eacutegalement diffeacuterentes
constater une situation dans le domaine que lrsquoon veut observer
mesurer leacutecart entre le niveau existant et le niveau de lrsquoobjectif deacutefini
suivre leacutevolution des domaines geacutereacutes et analyseacutes
anticiper etou deacuteclencher la mise en œuvre de plans drsquoactions de seacutecuriteacute (agrave partir dufranchissement drsquoun seuil)
communiquer agrave partir de donneacutees analyseacutees
piloter les projets
appreacutecier le respect des lois et reacuteglementations
auditer
Dans le contexte de la mise en œuvre drsquoun SMSI et du respect du principe de la Roue deDeming (cycle PDCA) les critegraveres de choix des indicateurs doivent inteacutegrer le soucidrsquoameacutelioration permanente de la seacutecuriteacute par la veacuterification de lefficaciteacute des mesures deseacutecuriteacute valideacutees et deacuteployeacutees Ainsi il est toujours souhaitable davoir en meacutemoire quelobjectif dun indicateur de seacutecuriteacute dans le SMSI est deacutevaluer lefficaciteacute des mesures deseacutecuriteacute
Dans la suite du document le choix a eacuteteacute fait drsquoillustrer uniquement les meacutethodes de mise en
œuvre drsquoindicateurs pour les SMSI En effet le suivi de lrsquoefficaciteacute de tout systegraveme demanagement est reacutealiseacute agrave partir de ces indicateurs (cf scheacutema 3)
24 Eacuteleacutements pour la mise en œuvre des indicateurs
Afin de satisfaire les objectifs assigneacutes les indicateurs doivent respecter des conditionsparticuliegraveres et ecirctre doteacutes de qualiteacutes speacutecifiques notamment
ecirctre issus des objectifs retenus dans la politique de seacutecuriteacute
ecirctre aiseacutement quantifiables (construits agrave partir drsquoinformations ou de processus geacuteneacuterantdes informations quantifiables) afin de permettre des comparaisons (entre systegravemes ouentre peacuteriodes) Il srsquoagit le plus souvent de pourcentage de taux de ratio de moyenneetou de nombres laquo bruts raquo
les informations neacutecessaires agrave lrsquoeacutelaboration de la mesure doivent ecirctre faciles agrave obteniretou collecter En effet il faut srsquoassurer que les ressources mises en œuvre pour obtenirles donneacutees ne sont pas disproportionneacutees par rapport agrave celles concourant agrave la reacutealisationdu processus mesureacute
srsquoappuyer sur des processus laquo stables raquo et aiseacutement laquo reproductibles raquo
permettre la mesure des eacutevolutions suite agrave des actions correctives
ecirctre fiables sur la dureacutee et autoriser une analyse des eacutecarts
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1428
Les meacutetriques dans le cadre de la seacuterie 27000 - 12 - copy CLUSIF 2009
Ces caracteacuteristiques sont regroupeacutees dans certaines deacutemarches sous lacronyme laquo SMART raquoqui signifie
Specific il correspond agrave ce qui est analyseacute et met en avant la speacutecificiteacute de lattribut
Measurable il peut ecirctre mesureacute et cette mesure est objective
Attainable il est obtenu dans des conditions satisfaisantes de coucirct et de deacutelai Repeatable sa mesure est reproductible
Time dependent la mesure deacutepend de la fenecirctre de temps utiliseacutee
Les caracteacuteristiques de la mesure deacutefinies dans lAnnexe A de lrsquoactuel projet de normeISOIEC 27004 doivent ecirctre deacutefinies pour chaque indicateur
25 Exemples drsquoindicateurs
Quelques exemples drsquoindicateurs sont donneacutes ci-apregraves La liste fournie nrsquoest pas exhaustive Ilest inteacuteressant de constater que certains indicateurs sont de nature opeacuterationnelle oustrateacutegique voire opeacuterationnelle et strateacutegique
Controcircle drsquoaccegraves
pourcentage drsquoutilisateurs dont le mot de passe respecte les principes de construction
pourcentage de systegravemes accessibles depuis lrsquoexteacuterieur et comprenant un IDS agrave jour
Controcircle des codes malveillants
nombre annuel dattaques reacuteussies par deacutefaut de mise agrave jour de la base virale
deacutelai de retour agrave la normale sur attaque virale
freacutequence de mise agrave jour de la base antivirus freacutequence drsquoeacutevaluation de la conformiteacute des politiques antivirales laquo locales raquo avec la
politique laquo globale raquo
Mise en œuvre du SMSI
pourcentage de deacuteclinaisons des principes de la politique de seacutecuriteacute de lrsquoorganisme enproceacutedures opeacuterationnelles
nombre mensuel drsquoincidents de seacutecuriteacute non reacutesolus
pourcentage de comiteacutes de pilotage de seacutecuriteacute tenus en accord avec le planning
pourcentage dactions correctives non meneacutees agrave terme
Maicirctrise des deacutepenses deacutepenses lieacutees agrave la seacutecuriteacute selon diffeacuterents critegraveres nombre dalertes dincidents etc
Formation
pourcentage du budget global de formation consacreacute agrave la seacutecuriteacute des systegravemesdrsquoinformation
pourcentage de participants en fonction de la population cible agrave des sessions relatives agravela seacutecuriteacute des systegravemes drsquoinformation
taux de freacutequentation des formations aux proceacutedures dalerte par les personnes cleacutes descellules de crise
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1528
Les meacutetriques dans le cadre de la seacuterie 27000 - 13 - copy CLUSIF 2009
Seacutecuriteacute des logiciels applications
nombre de correctifs de seacutecuriteacute valideacutes apregraves analyse
taux de correctifs de seacutecuriteacute valideacutes mis en œuvre dans les deacutelais preacutevus
Seacutecuriteacute reacuteseau
nombre drsquoaudits et de tests de vulneacuterabiliteacute reacutealiseacutes sur la peacuteriode
Disponibiliteacute des services
taux de disponibiliteacute DNS accegraves internet messagerie
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1628
Les meacutetriques dans le cadre de la seacuterie 27000 - 14 - copy CLUSIF 2009
3 LES DIFFERENTS USAGES DES INDICATEURS
31 EacutevaluerCes indicateurs peuvent ecirctre reacutepartis dans les grandes familles suivantes
Les indicateurs laquo de conformiteacute raquo deacutecrivent le niveau dexigence souhaiteacute (ou constateacute)sur une mesure de seacutecuriteacute Par exemple en ce qui concerne la mesure de seacutecuriteacutelaquo Reacutealisation de sauvegardes raquo un indicateur de conformiteacute de seacutecuriteacute peut ecirctre lafreacutequence des sauvegardes ou le ratio du nombre de bandes externaliseacutees par rapport aunombre total de bandes
Les indicateurs laquo defficaciteacute raquo deacutecrivent leacutetat du fonctionnement de la mesure deseacutecuriteacute Sur le mecircme exemple de la laquo Reacutealisation de sauvegardes raquo un nombre eacuteleveacute de
tests de restaurations deacutefectueux peut deacutemontrer un mauvais fonctionnement dessauvegardes
Les indicateurs laquo defficience raquo visent agrave rapprocher lefficaciteacute de la mesure de seacutecuriteacuteau regard de limportance des moyens mis en œuvre
32 Piloter
Toute activiteacute (production projet processus etc) implique la deacutetermination drsquoindicateurs depilotage Ces derniers permettent
drsquoappreacutecier lavancement correct du projet drsquoeacutevaluer une situation
de deacutetecter un risque
de deacuteclencher une alerte
Le choix des indicateurs peut deacutependre des objectifs de lrsquoactiviteacute (coucircts deacutelais performanceetc) mais aussi ecirctre lieacute agrave des processus transverses (management support etc)
Nous pourrons ainsi avoir les indicateurs suivants sur diffeacuterentes eacutechelles de temps anneacuteemois semaine jour
nombre de machines infecteacutees par des virus nombre de machines
nombre de messages infecteacutes par des virus nombre de messages
nombre de machines agrave jour nombre de machines
temps moyen et maximum de mise agrave jour du parc
nombre drsquoattaques virales identifieacutees bloqueacutees exeacutecuteacutees
impact de ses attaques en heures de travail perdues financier
raison des infections mise agrave jour non effectueacutee seacutecuriteacute non appliqueacutee malveillancehellip
variation du taux drsquoinfection et tentatives drsquoinfection sur les 12 derniers mois
etc
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1728
Les meacutetriques dans le cadre de la seacuterie 27000 - 15 - copy CLUSIF 2009
Ces indicateurs peuvent aussi ecirctre eacuteleacutementaires ou plus syntheacutetiques Par exemplelrsquoagreacutegation de certains indicateurs informatiques avec les indicateurs eacuteconomiques Lelaquo Ratio du nombre annuel drsquoaccords de confidentialiteacutes (NDA ndash Non disclosure agreement)signeacutes par rapport au nombre de prestataires preacutesents dans lrsquoorganisme raquo en est un exemple
33 Communiquer
Des indicateurs sont aussi utiliseacutes pour communiquer en interne ou en externe Leur naturesera diffeacuterente en fonction des acteurs viseacutes et de leur objectif de communication(sensibiliser faire passer des ideacutees justifierhellip)
Par exemple pour communiquer autour de la lutte antivirale
nombre drsquoheures de travail perdues suite agrave une attaque virale
variation du taux drsquoinfection sur les douze derniers mois (justification du budget)
nombre drsquoattaques virales provenant drsquoun support externe
34 Sautoeacutevaluer
Cette eacutevaluation peut ecirctre reacutealiseacutee en interne par lrsquoeacutequipe en charge de la fonction comme parlrsquoeacutequipe drsquoaudit ou de controcircle interne
Elle se situe par rapport agrave un reacutefeacuterentiel interne ou externe ou par rapport agrave un objectifarbitraire ou reacutesultant drsquoune expeacuterience passeacutee et deacutejagrave mesureacutee
Les indicateurs citeacutes comme exemple dans les paragraphes preacuteceacutedents peuvent notammentservir dans le cadre drsquoune autoeacutevaluation
35 Contribuer agrave lrsquoobtention drsquoune certification
Ces indicateurs servent agrave
appreacutecier lrsquoavancement dans le processus de certification
obtenir la certification
et surtout la conserver
Sans ecirctre obligatoire pour lrsquoobtention de la certification ISOIEC 270012005 la mise enplace drsquoindicateurs simplifie grandement le cheminement vers celle-ci
36 Reacutepondre agrave un audit
Les indicateurs servent agrave informer lrsquoauditeur agrave justifier des mesures de seacutecuriteacute mises enplace et des correctifs en cours
Les indicateurs preacutesenteacutes lors drsquoaudits contribuent agrave lrsquoanalyse de risque et srsquoappreacutecient parrapport agrave un reacutefeacuterentiel externe
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1828
Les meacutetriques dans le cadre de la seacuterie 27000 - 16 - copy CLUSIF 2009
4 LES TRAVAUX NORMATIFS EN COURS
(ISOIEC 27004)
Ce document a eacuteteacute reacutedigeacute alors que la norme ISOIEC 27004 nrsquoeacutetait pas stabiliseacutee (versionCD) il est toutefois permis de penser que lrsquointeacuterecirct du document justifie les travaux entreprisci-apregraves sous reacuteserve de possibles eacutevolutions
Ce projet de norme au sein de la seacuterie 27000 constitue un guide [agrave usage facultatif] delaquo Mesurage et meacutetriques raquo dans le cadre drsquoun SMSI (Systegraveme de Management de la Seacutecuriteacutede lrsquoInformation) tel que deacutefini dans lrsquoISOIEC 270012005
Les domaines suivants sont abordeacutes
preacutesentation du processus de mesurage
rocircles et responsabiliteacutes
conception des indicateurs production et mise en forme des indicateurs
analyse et reporting
ameacutelioration du processus de mesurage
Une premiegravere annexe preacutesente un modegravele commenteacute drsquoune fiche drsquoindicateur (cf Annexe A)La seconde annexe preacutesente plusieurs exemples drsquoattributs de meacutetriques ou drsquoindicateurs (cfAnnexe B)
41 Concepts de meacutetriquesUn processus de mesure a pour but de veacuterifier que les objectifs de seacutecuriteacute fondeacutes notammentsur lrsquoanalyse de risque et la conformiteacute aux dispositions leacutegales et reacuteglementaires sontatteints
Il se compose de phases de collecte drsquoinformations et drsquoanalyse Par comparaison agrave descritegraveres de deacutecision ces phases permettent lrsquoobtention drsquoinformations de seacutecuriteacute etlrsquoameacutelioration continue du management de la seacutecuriteacute
Les mesures peuvent ecirctre eacuteleacutementaires ou deacuteriveacutees
une mesure eacuteleacutementaire1
est la valeur drsquoun laquo attribut raquo obtenue par une meacutethode decalcul
une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesureseacuteleacutementaires
Pour chaque type de mesure (eacuteleacutementaire ou deacuteriveacutee) il convient de faire en sorte que desobjectifs de conformiteacute ou de performance soient mis en eacutevidence
Le modegravele du processus de mesure proposeacute comprend un processus de remonteacutee demesures eacuteleacutementaires et de mesures deacuteriveacutees qui contribuent agrave la fabrication drsquoindicateurslesquels seront compareacutes individuellement agrave leur critegravere de deacutecision Lrsquoefficaciteacute du systegraveme
1 Une mesure eacuteleacutementaire peut dans certains cas correspondre directement agrave un indicateur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1928
Les meacutetriques dans le cadre de la seacuterie 27000 - 17 - copy CLUSIF 2009
de management srsquoappreacutecie en comparant les reacutesultats issus des mesures effectueacutees avec leursobjectifs initiaux
Dans le projet de norme les preacutecisions suivantes sont apporteacutees
les objectifs du processus de mesure sont clairement eacutetablis (eacutevaluer fournir des
donneacutees faciliter lrsquoeacutevolution communiquer) En revanche le peacuterimegravetre sur lequelsrsquoapplique ce processus ainsi que la meacutethodologie drsquoimpleacutementation restent agrave lrsquoinitiativede chacun
lrsquoimplication du management dans le processus de mesure est souligneacutee notamment surson engagement ses responsabiliteacutes et les ressources agrave mettre en œuvre
les diffeacuterents rocircles qui devraient ecirctre assigneacutes par le Management concernant leprocessus de mesure sont preacuteciseacutes le fournisseur le client le collecteur lecommunicateur le reacute-examinateur (cf deacutefinitions dans lrsquoannexe A du preacutesentdocument) Ces diffeacuterents rocircles devront faire lrsquoobjet de proceacutedures drsquohabilitationprenant en compte les contraintes de seacuteparation des tacircches et les compeacutetencestechniques neacutecessaires
42 Concevoir des meacutetriques
Des meacutetriques doivent ecirctre creacuteeacutes pour eacutevaluer lrsquoefficaciteacute du SMSI controcircler lrsquoatteinte desobjectifs identifier valider et ameacuteliorer les mesures de seacutecuriteacute speacutecifiques
Pour cela il faut pour chaque meacutetrique agrave partir drsquoune analyse de risque et de lrsquoeacutetat initial
identifier et choisir des objectifs
documenter et planifier lrsquoactiviteacute de mesurage (lrsquoannexe A du preacutesent document
preacutesente un modegravele de fiche sur ce thegraveme) en particulier concernant la meacutethode decollecte de stockage drsquoarchivage de veacuterification et drsquoanalyse des donneacutees ainsi que lamise en place du processus de mesurage
deacutefinir les principaux acteurs et les ressources neacutecessaires
srsquoassurer de la pertinence des mesurages qui devraient veacuterifier les critegraveres SMART(Specific Measurable Attainable Repeatable Time dependant)
43 Mettre en place des meacutetriques
La mise en place permanente de la collecte de la conservation et de lrsquoanalyse des donneacutees apour but drsquoassurer la compreacutehension et lrsquoameacutelioration du SMSI Ce processus doitaccompagner les eacutevolutions du SMSI
Cette rubrique dans le projet de norme constitue un guide pratique opeacuterationnel qui preacuteciseles conditions de
collecte des donneacutees (en speacutecifiant la date lrsquoheure le proprieacutetairehellip)
validation
traitement
diffusion
conservation
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2028
Les meacutetriques dans le cadre de la seacuterie 27000 - 18 - copy CLUSIF 2009
Il importe que les reacutesultats des indicateurs servent agrave eacutevaluer lrsquoefficaciteacute des dispositifs deseacutecuriteacute (de preacutevention deacutetection correction ou reacutecupeacuteration) en place Dans un secondtemps cette base drsquoindicateurs constitueacutee permettra de soutenir un processus de deacutecision dansle choix de nouveaux dispositifs
44 Utiliser communiquer et ameacuteliorer les meacutetriques
Lrsquoanalyse des donneacutees et leur interpreacutetation consistent agrave les rapprocher des critegraveres dedeacutecision preacutealablement deacutefinis (Annexe A)
Le but de lrsquoanalyse est de pouvoir identifier les eacutecarts entre la performance attendue et cellereacutealiseacutee Les causes de non-conformiteacute et de mauvaise performance pourront ecirctre ainsiidentifieacutees en fonction des dispositifs de seacutecuriteacute qui
ne sont pas opeacuterationnels
sont impleacutementeacutes mais ne fonctionnement pas correctement sont impleacutementeacutes fonctionnent correctement mais ne couvrent pas les menaces
estimeacutees
sont impleacutementeacutes fonctionnent correctement mais toutes les menaces ne sont pascouvertes
Les conclusions des analyses devraient ecirctre revues par toutes les parties prenantes ndash dans lesens laquo stakeholders raquo ndash pour assurer la bonne interpreacutetation de la donneacutee A cette fin lesreacutesultats des analyses devraient ecirctre suffisamment documenteacutes
La consolidation de ces reacutesultats devra intervenir dans des tableaux de bord pour unecommunication agrave qui de droit
Les mesures peuvent ecirctre utiliseacutees agrave diverses fins
eacutevaluer lrsquoefficaciteacute des dispositifs de seacutecuriteacute
critiquer les appreacuteciations et les traitements des risques
deacutemontrer les progregraves
se comparer au sein ou entre organisations
45 Ameacuteliorer le processus de mesure
Lrsquoefficaciteacute du processus de mesure doit ecirctre examineacutee peacuteriodiquement afin de lrsquoameacuteliorerNeacuteanmoins les donneacutees de base doivent faire lrsquoobjet de sauvegardes reacuteguliegraveres et peacuterennesafin de pouvoir recalculer les meacutetriques en fonction de leurs diffeacuterentes eacutevolutions
Des eacutevolutions peuvent ecirctre envisageacutees quand lrsquoorganisation introduit de nouveaux objectifsde mesure points de mesure de nouvelles meacutethodes ou fonctions de mesure
Le processus de mesure devrait ecirctre eacutevalueacute en termes drsquoutiliteacute et reacuteexamineacute agrave chaque fois quelrsquoorganisation change Il importe de srsquoassurer que les mesures reflegravetent un eacutetat agrave jour de laseacutecuriteacute et de veacuterifier que les donneacutees sous-jacentes sont encore valides Il est eacutegalementimportant de valider la pertinence des hypothegraveses
Il srsquoagit aussi drsquoeacutevaluer lrsquoutiliteacute de la mesure et le coucirct du processus de mesure afin dedeacuteterminer la pertinence de sa modification ou de sa suppression
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2128
Les meacutetriques dans le cadre de la seacuterie 27000 - 19 - copy CLUSIF 2009
5 CONCLUSION
LrsquoISOIEC 270012005 insiste sur lrsquoimportance de mesurer lrsquoefficaciteacute des processus du
SMSI des mesures de seacutecuriteacute mises en œuvre et du processus de mesurage lui-mecircme2
Cependant cette norme ne preacutecise pas comment mesurer cette efficaciteacute Elle se contentedrsquoindiquer qursquoune meacutethode est agrave deacutefinir
A cette fin le preacutesent document apporte un eacuteclairage aux RSSI auditeurs internes acteurs ducontrocircle permanent et managers dans la deacutefinition et la mise en œuvre des indicateurs adapteacutesagrave leurs exigences selon des processus qui devraient figurer dans la norme ISOIEC 27004
LrsquoISOIEC 27004 est un guide qui compleacutetera lrsquoISOIEC 270012005 en fournissant deslignes directrices et des conseils sur
la conception
la mise en œuvre
lrsquoanalyse et la communication des reacutesultats
lrsquoameacutelioration du processus de mesurage drsquoun SMSI
Cette future norme devrait ecirctre publieacutee prochainement La seacuterie ISOIEC 27000 a eacuteteacutecompleacuteteacutee de lrsquoISOIEC 270052008 et de lrsquoISOIEC 27003 (preacutevue en 2009) qui traitentrespectivement de la gestion du risque et de la mise en œuvre drsquoun SMSI
2 cf clauses 02c 02d 422d 423c 431g 72f et 73e
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2228
Les meacutetriques dans le cadre de la seacuterie 27000 - 20 - copy CLUSIF 2009
ANNEXE A FICHE DESCRIPTIVE
Modegravele de fiche descriptive drsquoune mesure
Cette fiche est inspireacutee de lrsquoISOIEC FCD 27004
Identification de la mesure
Nom de la mesure Nom de la mesure
Identifiant de la mesure Identifiant numeacuterique unique speacutecifique agrave lrsquoorganisme
Objectif de la mesureDeacutecrit lrsquoobjectif de la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure de
seacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (1)Facultatif Deacutecrit la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure deseacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (2)Facultatif Deacutecrit dautres mesures de seacutecuriteacute (agrave mettre ou deacutejagrave mise en œuvre) faisant lrsquoobjet le caseacutecheacuteant de la mecircme mesure (reacutefeacuterence aux mesures de seacutecuriteacute de lrsquoannexe A de la normeISO 27001)
Objectif de la mesure Deacutefinit le but de la mesure
Reacute examinateurPersonne ou uniteacute organisationnelle qui examine et valide que les critegraveres deacutevaluation de la mesuresont approprieacutes pour veacuterifier lefficaciteacute des mesures de seacutecuriteacute et des processus du SMSI
Objets du mesurage et attributs
Objet du mesurage
Objet qui doit ecirctre mesureacute et qui est caracteacuteriseacute par la mesurabiliteacute de ses attributs Les objets peuvent
comprendre des processus des systegravemes ou des composants de systegravemes
AttributsProprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacutee quantitativement ou qualitativementpar des moyens humains ou automatiques
Speacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesUne mesure eacuteleacutementaire est deacutefinie en fonction dun attribut et de la meacutethode de mesurage speacutecifieacuteepour le quantifier (par exemple le nombre de personnel formeacute le nombre de sites le coucirct cumuleacute agravece jour) Au moment ougrave la donneacutee est collecteacutee une valeur est affecteacutee agrave une mesure eacuteleacutementaire
Meacutethodes de mesurage Suite logique drsquoopeacuterations qui permettent de quantifier un attribut selon une eacutechelle
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure eacuteleacutementaire
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesures eacuteleacutementaires
Fonction de mesurageSuite logique drsquoopeacuterations qui permettent de calculer la mesure deacuteriveacutee Pour les mesures deacuteriveacutees lafonction par laquelle les mesures deacuteriveacutees fondeacutees sur des mesures eacuteleacutementaires correspondantes etla preacutecision cumulative reacutesultante sont agreacutegeacutees
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure deacuteriveacutee
Speacutecification de lrsquoindicateur
Description dindicateur etexemple
Preacutesentation dune ou plusieurs mesures (eacuteleacutementaires ou deacuteriveacutees) qui fournit une estimation ou uneeacutevaluation dattributs speacutecifieacutes reacutesultant dun modegravele analytique en ce qui concerne des besoins delinformation deacutefinis Un indicateur est souvent preacutesenteacute agrave lrsquoaide drsquoun graphique ou drsquoun diagrammeInclure un croquis de lindicateur
Modegravele analytique Algorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires etou deacuteriveacutees avec lescritegraveres de deacutecision associeacutes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2328
Les meacutetriques dans le cadre de la seacuterie 27000 - 21 - copy CLUSIF 2009
Critegravere de deacutecisionSeuil cible ou modegravele utiliseacute pour deacuteterminer la neacutecessiteacute dune action ou un compleacutement denquecircteou pour deacutecrire le niveau de confiance dans un reacutesultat donneacute
Interpreacutetation dindicateurDescription de la faccedilon dont lindicateur exemple (voir la figure exemple dans la description delindicateur) devrait ecirctre interpreacuteteacute
Effets impact Deacutefinition des effets et de lrsquoimpact issu des reacutesultats obtenus par la mesure
Causes drsquoeacutecart Deacutefinition des causes possibles agrave lrsquoorigine drsquoeacutecarts des reacutesultats
Valeurs positivesDeacuteclaration expliquant si les valeurs en laquo croissance raquo indiquent des tendances positives (bonreacutesultat) ou si les valeurs en laquo deacutecroissance raquo doivent ecirctre consideacutereacutees comme des tendancespositives
Format de restitution
Le format de la restitution devrait ecirctre preacuteciseacute et documenteacute Il deacutecrit les observations quelrsquoorganisation ou le proprieacutetaire de lrsquoinformation peut vouloir sur lrsquoenregistrement Les formats derapport deacutecriront visuellement les mesures et fourniront une explication verbale des indicateurs Ilsdevraient ecirctre personnaliseacutes en fonction du laquo client de linformation raquo (ce terme est deacutefini ci-apregraves)
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des
donneacutees
Freacutequence agrave laquelle les donneacutees sont collecteacutees
Fournisseur de lrsquoinformationPersonne ou uniteacute organisationnelle qui deacutetient lrsquoinformation pour creacuteer les mesures eacuteleacutementairesCelui qui va contribuer agrave la meacutetrique produire lrsquoinformation pour le calcul de la meacutetrique
Collecteur de lrsquoinformationPersonne ou uniteacute organisationnelle en charge de collecter enregistrer et stocker les informationsCelui qui va obtenir la meacutetrique
Outils utiliseacutes dans la collectedes donneacutees
Liste les outils utiliseacutes dans la collecte des donneacutees (par exemple un scanner de vulneacuterabiliteacute)
Conservation des donneacuteescollecteacutees
Liste les outils ougrave les donneacutees sont conserveacutees apregraves avoir eacuteteacute collecteacutees (par exemple une base dedonneacutees)
Date de collecte Date agrave laquelle la donneacutee devrait ecirctre obtenue
Proceacutedure drsquoenregistrement
des donneacuteesDeacutefinit la proceacutedure drsquoenregistrement des donneacutees (lien vers la proceacutedure correspondante)
Validiteacute de la mesure Date de reacutevision (date drsquoexpiration ou de validiteacute de renouvellement) de la mesure
Peacuteriode drsquoanalyse Deacutefinit la peacuteriode mesureacutee
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitutiondes donneacutees
Freacutequence agrave laquelle les donneacutees sont restitueacutees (cette freacutequence peut ecirctre infeacuterieure agrave celle decollecte)
Communicateur delrsquoinformation
Personne ou uniteacute organisationnelle responsable de lrsquoanalyse de lrsquoinformation et de la communicationdes reacutesultats des mesuresCelui qui va analyser la meacutetrique
Source drsquoinformation pour
lrsquoanalyse
Liste les sources drsquoinformation utiles pour lrsquoanalyse de reacutesultats (documents journaux entretien
etc)Outils utiliseacutes dans lrsquoanalyse Liste les outils utiliseacutes pour lrsquoanalyse (par exemple des outils statistiques)
Client de lrsquoinformationLa personne ou lrsquouniteacute organisationnelle qui demande ou requiert les mesures pour les besoins de sonactiviteacuteCelui qui va utiliser la meacutetrique
Information compleacutementaire
Conseils danalyseCompleacutementaires
Fournit des conseils compleacutementaires sur les variations de cette mesure
Consideacuterations de mise enœuvre
Liste les processus ou les exigences de mise en œuvre qui sont neacutecessaires pour la reacuteussite de la miseen œuvre
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2428
Les meacutetriques dans le cadre de la seacuterie 27000 - 22 - copy CLUSIF 2009
Exemple drsquoutilisation de la fiche
Identification de la mesure
Nom de la mesure Revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Identifiant de la mesure R1-A1124
Objectif de la mesure de seacutecuriteacuteA1124 [270012005]
Mesure de seacutecuriteacute (1)Les managers doivent dans leur peacuterimegravetre reacuteexaminer les droits drsquoaccegraves des utilisateurs agraveintervalles reacuteguliers par le biais drsquoun processus formel
Mesure de seacutecuriteacute (2) Revue des accegraves au reacuteseau informatique
Objectif de la mesure
Mesurer le pourcentage de manager deacuteclarant avoir effectueacute des controcircles sur les droits drsquoaccegravesutilisateurs de leur peacuterimegravetre ce qui permet drsquoeacutevaluer
bull la prise de conscience des managers vis-agrave-vis des risques drsquoaccegraves non fondeacutesfrauduleux ou obsolegravetes aux SI
bull lrsquoimplication du management dans le processus de maicirctrise et de gestion du risqueinformatique
Reacute examinateur Direction des Risques
Objets du mesurage et attributs
Objet du mesurage Processus de revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Attributs Attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateursSpeacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesExistence drsquoune attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateurs parchacun des managers
Meacutethodes de mesurageTous les trimestres les managers enverront un email standardiseacute au Deacutepartement Seacutecuriteacute desSI attestant que les accegraves des utilisateurs ont eacuteteacute revus pour leur peacuterimegravetre
Echelle Numeacuterique
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Taux drsquoattestations retourneacutees par les managers sur le trimestre eacutetudieacute
Fonction de mesurage
Taux dattestations retourneacutees par les managers sur le trimestre eacutetudieacute = (nombre dattestations
retourneacutees par les managers Total dattestations attendues dans le trimestre) 100
Echelle Ratio pourcentage
Speacutecification de lrsquoindicateur
Description dindicateur et exemple Courbe montrant lrsquoindicateur sur plusieurs peacuteriodes de restitution
Modegravele analytique
Satisfaisant si gt= 90Globalement satisfaisant si 80 lt lt 90Moyennement satisfaisant si 70 lt= lt= 80Insatisfaisant si lt 70
Critegravere de deacutecision Seuil min 80
Interpreacutetation dindicateurUn reacutesultat insatisfaisant indique un manque drsquoengagement des managers dans la gestion des
risques lieacutes agrave la seacutecuriteacute des SIEffets impact Si reacutesultats insatisfaisants lrsquoindicateur est remonteacute agrave la Direction Geacuteneacuterale pour action
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2528
Les meacutetriques dans le cadre de la seacuterie 27000 - 23 - copy CLUSIF 2009
Causes drsquoeacutecart Les reacuteorganisations fonctionnelles de lrsquoentreprise
Valeurs positives Des valeurs croissantes indiquent des tendances positives
Format de restitution Tableau Excel standardiseacute
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des donneacutees Trimestrielle
Fournisseur de lrsquoinformation Chaque manager
Collecteur de lrsquoinformation Le RSSI
Outils utiliseacutes dans la collecte desdonneacutees
Mail courrier
Conservation des donneacutees collecteacutees Reacutepertoire speacutecifique du disque reacuteseau
Date de collecte Pour le 15 de chaque deacutebut de trimestre
Proceacutedure drsquoenregistrement desdonneacutees
EhellipNOV08R1-A11-2-4XLS
Validiteacute de la mesure Annuelle
Peacuteriode drsquoanalyse Du 1er janvier au 31 deacutecembre de lrsquoanneacutee en cours
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitution desdonneacutees
Trimestrielle
Communicateur de lrsquoinformation Le RSSI
Source drsquoinformation pour lrsquoanalyse Rapports drsquoentretiens
Outils utiliseacutes dans lrsquoanalyse Excel
Client de lrsquoinformation Direction des Risques
Information compleacutementaire
Conseils danalyse Compleacutementaires NA
Consideacuterations de mise en œuvre NA
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2628
Les meacutetriques dans le cadre de la seacuterie 27000 - 24 - copy CLUSIF 2009
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE
METRIQUES ET OU DrsquoINDICATEURS
Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI
Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A8 Seacutecuriteacute lieacutee aux ressources humaines
A81 Avant le recrutement
A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute
A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat
A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur
A82 Pendant la dureacutee du contrat
A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute
A822 Sensibilisation qualification et formations
en matiegravere de seacutecuriteacute de lrsquoinformation
Nombre de personnes formeacutees an
A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque
A83 Fin ou modification du contrat
A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat
A832 Restitution des actifs Coucirct des biens non rendus en fin de mission
A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai
A9 Seacutecuriteacute physique et environnementale
A91 Zones seacutecuriseacutees
A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees
A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)
A913 Seacutecurisation des bureaux des salles et deseacutequipements
Nombre annuel de disparition de biens informatiques dans les locaux
A914 Protection contre les menaces exteacuterieures etenvironnementales
Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle
A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1228
Les meacutetriques dans le cadre de la seacuterie 27000 - 10 - copy CLUSIF 2009
23 Positionnement des meacutetriques dans le modegravele defonctionnement
La figure ci-dessous positionne les termes laquo attribut raquo laquo meacutetrique raquo et laquo indicateur raquo
Interpreacutetation
Collecte des paramegravetres etvariables mesurables
les attributs
Repreacutesentation de lareacutealiteacute du ldquo terrainrdquo(donneacutees brutes)
Repreacutesentation de la situation
Aide agrave la deacutecision
Information quantitative ou
qualitative positionneacutee surune eacutechelle de reacutefeacuterence
Indicateurs
Meacutetriques
Tableau de Bord
Systegravemes et processus meacutetiers de lrsquoentiteacute
attributs
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situationControcircle
ISMS
Objectifs
Miseen
place
Interpreacutetation Interpreacutetation Inte rpreacutetation
Collecte des paramegravetres etvariables mesurables
les attributs
Repreacutesentation de lareacutealiteacute du ldquo terrainrdquo(donneacutees brutes)
Repreacutesentation de la situation
Aide agrave la deacutecision
Information quantitative ou
qualitative positionneacutee surune eacutechelle de reacutefeacuterence
Indicateurs
MeacutetriquesMeacutetriques
Tableau de Bord
Systegravemes et processus meacutetiers de lrsquoentiteacute
attributs
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situation
Elaboration drsquounerepreacutesentation de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situation
Mesures eacuteleacutementaires
Agreacutegation consolidation
Traitement (calcul ou deacuteduction)
Analyse de la situationControcircle
ISMS
Objectifs
Miseen
place
Miseen
place
Scheacutema 3 Repreacutesentation drsquoapregraves le document ISOIEC 27004
Exemple dans le domaine des antivirus
Nombre de postes eacutequipeacutes dun antivirus attribut
Pourcentage du nombre de postes eacutequipeacutes sur le total meacutetrique
Nombre de postes eacutequipeacutes dun antivirus dont lantivirus a eacuteteacute mis agrave jour attribut
Pourcentage de postes dont lantivirus a eacuteteacute mis agrave jour meacutetrique
A partir de lrsquoexemple ci-dessus en regroupant les deux meacutetriques nous pouvons constituer un
indicateur repreacutesentant agrave la fois le niveau de protection viral des postes de travail et lamaicirctrise du processus antiviral sur ces postes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1328
Les meacutetriques dans le cadre de la seacuterie 27000 - 11 - copy CLUSIF 2009
Les indicateurs intimement lieacutes agrave la situation que nous voulons repreacutesenter peuvent ecirctre denature diffeacuterente et avoir des finaliteacutes eacutegalement diffeacuterentes
constater une situation dans le domaine que lrsquoon veut observer
mesurer leacutecart entre le niveau existant et le niveau de lrsquoobjectif deacutefini
suivre leacutevolution des domaines geacutereacutes et analyseacutes
anticiper etou deacuteclencher la mise en œuvre de plans drsquoactions de seacutecuriteacute (agrave partir dufranchissement drsquoun seuil)
communiquer agrave partir de donneacutees analyseacutees
piloter les projets
appreacutecier le respect des lois et reacuteglementations
auditer
Dans le contexte de la mise en œuvre drsquoun SMSI et du respect du principe de la Roue deDeming (cycle PDCA) les critegraveres de choix des indicateurs doivent inteacutegrer le soucidrsquoameacutelioration permanente de la seacutecuriteacute par la veacuterification de lefficaciteacute des mesures deseacutecuriteacute valideacutees et deacuteployeacutees Ainsi il est toujours souhaitable davoir en meacutemoire quelobjectif dun indicateur de seacutecuriteacute dans le SMSI est deacutevaluer lefficaciteacute des mesures deseacutecuriteacute
Dans la suite du document le choix a eacuteteacute fait drsquoillustrer uniquement les meacutethodes de mise en
œuvre drsquoindicateurs pour les SMSI En effet le suivi de lrsquoefficaciteacute de tout systegraveme demanagement est reacutealiseacute agrave partir de ces indicateurs (cf scheacutema 3)
24 Eacuteleacutements pour la mise en œuvre des indicateurs
Afin de satisfaire les objectifs assigneacutes les indicateurs doivent respecter des conditionsparticuliegraveres et ecirctre doteacutes de qualiteacutes speacutecifiques notamment
ecirctre issus des objectifs retenus dans la politique de seacutecuriteacute
ecirctre aiseacutement quantifiables (construits agrave partir drsquoinformations ou de processus geacuteneacuterantdes informations quantifiables) afin de permettre des comparaisons (entre systegravemes ouentre peacuteriodes) Il srsquoagit le plus souvent de pourcentage de taux de ratio de moyenneetou de nombres laquo bruts raquo
les informations neacutecessaires agrave lrsquoeacutelaboration de la mesure doivent ecirctre faciles agrave obteniretou collecter En effet il faut srsquoassurer que les ressources mises en œuvre pour obtenirles donneacutees ne sont pas disproportionneacutees par rapport agrave celles concourant agrave la reacutealisationdu processus mesureacute
srsquoappuyer sur des processus laquo stables raquo et aiseacutement laquo reproductibles raquo
permettre la mesure des eacutevolutions suite agrave des actions correctives
ecirctre fiables sur la dureacutee et autoriser une analyse des eacutecarts
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1428
Les meacutetriques dans le cadre de la seacuterie 27000 - 12 - copy CLUSIF 2009
Ces caracteacuteristiques sont regroupeacutees dans certaines deacutemarches sous lacronyme laquo SMART raquoqui signifie
Specific il correspond agrave ce qui est analyseacute et met en avant la speacutecificiteacute de lattribut
Measurable il peut ecirctre mesureacute et cette mesure est objective
Attainable il est obtenu dans des conditions satisfaisantes de coucirct et de deacutelai Repeatable sa mesure est reproductible
Time dependent la mesure deacutepend de la fenecirctre de temps utiliseacutee
Les caracteacuteristiques de la mesure deacutefinies dans lAnnexe A de lrsquoactuel projet de normeISOIEC 27004 doivent ecirctre deacutefinies pour chaque indicateur
25 Exemples drsquoindicateurs
Quelques exemples drsquoindicateurs sont donneacutes ci-apregraves La liste fournie nrsquoest pas exhaustive Ilest inteacuteressant de constater que certains indicateurs sont de nature opeacuterationnelle oustrateacutegique voire opeacuterationnelle et strateacutegique
Controcircle drsquoaccegraves
pourcentage drsquoutilisateurs dont le mot de passe respecte les principes de construction
pourcentage de systegravemes accessibles depuis lrsquoexteacuterieur et comprenant un IDS agrave jour
Controcircle des codes malveillants
nombre annuel dattaques reacuteussies par deacutefaut de mise agrave jour de la base virale
deacutelai de retour agrave la normale sur attaque virale
freacutequence de mise agrave jour de la base antivirus freacutequence drsquoeacutevaluation de la conformiteacute des politiques antivirales laquo locales raquo avec la
politique laquo globale raquo
Mise en œuvre du SMSI
pourcentage de deacuteclinaisons des principes de la politique de seacutecuriteacute de lrsquoorganisme enproceacutedures opeacuterationnelles
nombre mensuel drsquoincidents de seacutecuriteacute non reacutesolus
pourcentage de comiteacutes de pilotage de seacutecuriteacute tenus en accord avec le planning
pourcentage dactions correctives non meneacutees agrave terme
Maicirctrise des deacutepenses deacutepenses lieacutees agrave la seacutecuriteacute selon diffeacuterents critegraveres nombre dalertes dincidents etc
Formation
pourcentage du budget global de formation consacreacute agrave la seacutecuriteacute des systegravemesdrsquoinformation
pourcentage de participants en fonction de la population cible agrave des sessions relatives agravela seacutecuriteacute des systegravemes drsquoinformation
taux de freacutequentation des formations aux proceacutedures dalerte par les personnes cleacutes descellules de crise
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1528
Les meacutetriques dans le cadre de la seacuterie 27000 - 13 - copy CLUSIF 2009
Seacutecuriteacute des logiciels applications
nombre de correctifs de seacutecuriteacute valideacutes apregraves analyse
taux de correctifs de seacutecuriteacute valideacutes mis en œuvre dans les deacutelais preacutevus
Seacutecuriteacute reacuteseau
nombre drsquoaudits et de tests de vulneacuterabiliteacute reacutealiseacutes sur la peacuteriode
Disponibiliteacute des services
taux de disponibiliteacute DNS accegraves internet messagerie
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1628
Les meacutetriques dans le cadre de la seacuterie 27000 - 14 - copy CLUSIF 2009
3 LES DIFFERENTS USAGES DES INDICATEURS
31 EacutevaluerCes indicateurs peuvent ecirctre reacutepartis dans les grandes familles suivantes
Les indicateurs laquo de conformiteacute raquo deacutecrivent le niveau dexigence souhaiteacute (ou constateacute)sur une mesure de seacutecuriteacute Par exemple en ce qui concerne la mesure de seacutecuriteacutelaquo Reacutealisation de sauvegardes raquo un indicateur de conformiteacute de seacutecuriteacute peut ecirctre lafreacutequence des sauvegardes ou le ratio du nombre de bandes externaliseacutees par rapport aunombre total de bandes
Les indicateurs laquo defficaciteacute raquo deacutecrivent leacutetat du fonctionnement de la mesure deseacutecuriteacute Sur le mecircme exemple de la laquo Reacutealisation de sauvegardes raquo un nombre eacuteleveacute de
tests de restaurations deacutefectueux peut deacutemontrer un mauvais fonctionnement dessauvegardes
Les indicateurs laquo defficience raquo visent agrave rapprocher lefficaciteacute de la mesure de seacutecuriteacuteau regard de limportance des moyens mis en œuvre
32 Piloter
Toute activiteacute (production projet processus etc) implique la deacutetermination drsquoindicateurs depilotage Ces derniers permettent
drsquoappreacutecier lavancement correct du projet drsquoeacutevaluer une situation
de deacutetecter un risque
de deacuteclencher une alerte
Le choix des indicateurs peut deacutependre des objectifs de lrsquoactiviteacute (coucircts deacutelais performanceetc) mais aussi ecirctre lieacute agrave des processus transverses (management support etc)
Nous pourrons ainsi avoir les indicateurs suivants sur diffeacuterentes eacutechelles de temps anneacuteemois semaine jour
nombre de machines infecteacutees par des virus nombre de machines
nombre de messages infecteacutes par des virus nombre de messages
nombre de machines agrave jour nombre de machines
temps moyen et maximum de mise agrave jour du parc
nombre drsquoattaques virales identifieacutees bloqueacutees exeacutecuteacutees
impact de ses attaques en heures de travail perdues financier
raison des infections mise agrave jour non effectueacutee seacutecuriteacute non appliqueacutee malveillancehellip
variation du taux drsquoinfection et tentatives drsquoinfection sur les 12 derniers mois
etc
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1728
Les meacutetriques dans le cadre de la seacuterie 27000 - 15 - copy CLUSIF 2009
Ces indicateurs peuvent aussi ecirctre eacuteleacutementaires ou plus syntheacutetiques Par exemplelrsquoagreacutegation de certains indicateurs informatiques avec les indicateurs eacuteconomiques Lelaquo Ratio du nombre annuel drsquoaccords de confidentialiteacutes (NDA ndash Non disclosure agreement)signeacutes par rapport au nombre de prestataires preacutesents dans lrsquoorganisme raquo en est un exemple
33 Communiquer
Des indicateurs sont aussi utiliseacutes pour communiquer en interne ou en externe Leur naturesera diffeacuterente en fonction des acteurs viseacutes et de leur objectif de communication(sensibiliser faire passer des ideacutees justifierhellip)
Par exemple pour communiquer autour de la lutte antivirale
nombre drsquoheures de travail perdues suite agrave une attaque virale
variation du taux drsquoinfection sur les douze derniers mois (justification du budget)
nombre drsquoattaques virales provenant drsquoun support externe
34 Sautoeacutevaluer
Cette eacutevaluation peut ecirctre reacutealiseacutee en interne par lrsquoeacutequipe en charge de la fonction comme parlrsquoeacutequipe drsquoaudit ou de controcircle interne
Elle se situe par rapport agrave un reacutefeacuterentiel interne ou externe ou par rapport agrave un objectifarbitraire ou reacutesultant drsquoune expeacuterience passeacutee et deacutejagrave mesureacutee
Les indicateurs citeacutes comme exemple dans les paragraphes preacuteceacutedents peuvent notammentservir dans le cadre drsquoune autoeacutevaluation
35 Contribuer agrave lrsquoobtention drsquoune certification
Ces indicateurs servent agrave
appreacutecier lrsquoavancement dans le processus de certification
obtenir la certification
et surtout la conserver
Sans ecirctre obligatoire pour lrsquoobtention de la certification ISOIEC 270012005 la mise enplace drsquoindicateurs simplifie grandement le cheminement vers celle-ci
36 Reacutepondre agrave un audit
Les indicateurs servent agrave informer lrsquoauditeur agrave justifier des mesures de seacutecuriteacute mises enplace et des correctifs en cours
Les indicateurs preacutesenteacutes lors drsquoaudits contribuent agrave lrsquoanalyse de risque et srsquoappreacutecient parrapport agrave un reacutefeacuterentiel externe
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1828
Les meacutetriques dans le cadre de la seacuterie 27000 - 16 - copy CLUSIF 2009
4 LES TRAVAUX NORMATIFS EN COURS
(ISOIEC 27004)
Ce document a eacuteteacute reacutedigeacute alors que la norme ISOIEC 27004 nrsquoeacutetait pas stabiliseacutee (versionCD) il est toutefois permis de penser que lrsquointeacuterecirct du document justifie les travaux entreprisci-apregraves sous reacuteserve de possibles eacutevolutions
Ce projet de norme au sein de la seacuterie 27000 constitue un guide [agrave usage facultatif] delaquo Mesurage et meacutetriques raquo dans le cadre drsquoun SMSI (Systegraveme de Management de la Seacutecuriteacutede lrsquoInformation) tel que deacutefini dans lrsquoISOIEC 270012005
Les domaines suivants sont abordeacutes
preacutesentation du processus de mesurage
rocircles et responsabiliteacutes
conception des indicateurs production et mise en forme des indicateurs
analyse et reporting
ameacutelioration du processus de mesurage
Une premiegravere annexe preacutesente un modegravele commenteacute drsquoune fiche drsquoindicateur (cf Annexe A)La seconde annexe preacutesente plusieurs exemples drsquoattributs de meacutetriques ou drsquoindicateurs (cfAnnexe B)
41 Concepts de meacutetriquesUn processus de mesure a pour but de veacuterifier que les objectifs de seacutecuriteacute fondeacutes notammentsur lrsquoanalyse de risque et la conformiteacute aux dispositions leacutegales et reacuteglementaires sontatteints
Il se compose de phases de collecte drsquoinformations et drsquoanalyse Par comparaison agrave descritegraveres de deacutecision ces phases permettent lrsquoobtention drsquoinformations de seacutecuriteacute etlrsquoameacutelioration continue du management de la seacutecuriteacute
Les mesures peuvent ecirctre eacuteleacutementaires ou deacuteriveacutees
une mesure eacuteleacutementaire1
est la valeur drsquoun laquo attribut raquo obtenue par une meacutethode decalcul
une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesureseacuteleacutementaires
Pour chaque type de mesure (eacuteleacutementaire ou deacuteriveacutee) il convient de faire en sorte que desobjectifs de conformiteacute ou de performance soient mis en eacutevidence
Le modegravele du processus de mesure proposeacute comprend un processus de remonteacutee demesures eacuteleacutementaires et de mesures deacuteriveacutees qui contribuent agrave la fabrication drsquoindicateurslesquels seront compareacutes individuellement agrave leur critegravere de deacutecision Lrsquoefficaciteacute du systegraveme
1 Une mesure eacuteleacutementaire peut dans certains cas correspondre directement agrave un indicateur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1928
Les meacutetriques dans le cadre de la seacuterie 27000 - 17 - copy CLUSIF 2009
de management srsquoappreacutecie en comparant les reacutesultats issus des mesures effectueacutees avec leursobjectifs initiaux
Dans le projet de norme les preacutecisions suivantes sont apporteacutees
les objectifs du processus de mesure sont clairement eacutetablis (eacutevaluer fournir des
donneacutees faciliter lrsquoeacutevolution communiquer) En revanche le peacuterimegravetre sur lequelsrsquoapplique ce processus ainsi que la meacutethodologie drsquoimpleacutementation restent agrave lrsquoinitiativede chacun
lrsquoimplication du management dans le processus de mesure est souligneacutee notamment surson engagement ses responsabiliteacutes et les ressources agrave mettre en œuvre
les diffeacuterents rocircles qui devraient ecirctre assigneacutes par le Management concernant leprocessus de mesure sont preacuteciseacutes le fournisseur le client le collecteur lecommunicateur le reacute-examinateur (cf deacutefinitions dans lrsquoannexe A du preacutesentdocument) Ces diffeacuterents rocircles devront faire lrsquoobjet de proceacutedures drsquohabilitationprenant en compte les contraintes de seacuteparation des tacircches et les compeacutetencestechniques neacutecessaires
42 Concevoir des meacutetriques
Des meacutetriques doivent ecirctre creacuteeacutes pour eacutevaluer lrsquoefficaciteacute du SMSI controcircler lrsquoatteinte desobjectifs identifier valider et ameacuteliorer les mesures de seacutecuriteacute speacutecifiques
Pour cela il faut pour chaque meacutetrique agrave partir drsquoune analyse de risque et de lrsquoeacutetat initial
identifier et choisir des objectifs
documenter et planifier lrsquoactiviteacute de mesurage (lrsquoannexe A du preacutesent document
preacutesente un modegravele de fiche sur ce thegraveme) en particulier concernant la meacutethode decollecte de stockage drsquoarchivage de veacuterification et drsquoanalyse des donneacutees ainsi que lamise en place du processus de mesurage
deacutefinir les principaux acteurs et les ressources neacutecessaires
srsquoassurer de la pertinence des mesurages qui devraient veacuterifier les critegraveres SMART(Specific Measurable Attainable Repeatable Time dependant)
43 Mettre en place des meacutetriques
La mise en place permanente de la collecte de la conservation et de lrsquoanalyse des donneacutees apour but drsquoassurer la compreacutehension et lrsquoameacutelioration du SMSI Ce processus doitaccompagner les eacutevolutions du SMSI
Cette rubrique dans le projet de norme constitue un guide pratique opeacuterationnel qui preacuteciseles conditions de
collecte des donneacutees (en speacutecifiant la date lrsquoheure le proprieacutetairehellip)
validation
traitement
diffusion
conservation
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2028
Les meacutetriques dans le cadre de la seacuterie 27000 - 18 - copy CLUSIF 2009
Il importe que les reacutesultats des indicateurs servent agrave eacutevaluer lrsquoefficaciteacute des dispositifs deseacutecuriteacute (de preacutevention deacutetection correction ou reacutecupeacuteration) en place Dans un secondtemps cette base drsquoindicateurs constitueacutee permettra de soutenir un processus de deacutecision dansle choix de nouveaux dispositifs
44 Utiliser communiquer et ameacuteliorer les meacutetriques
Lrsquoanalyse des donneacutees et leur interpreacutetation consistent agrave les rapprocher des critegraveres dedeacutecision preacutealablement deacutefinis (Annexe A)
Le but de lrsquoanalyse est de pouvoir identifier les eacutecarts entre la performance attendue et cellereacutealiseacutee Les causes de non-conformiteacute et de mauvaise performance pourront ecirctre ainsiidentifieacutees en fonction des dispositifs de seacutecuriteacute qui
ne sont pas opeacuterationnels
sont impleacutementeacutes mais ne fonctionnement pas correctement sont impleacutementeacutes fonctionnent correctement mais ne couvrent pas les menaces
estimeacutees
sont impleacutementeacutes fonctionnent correctement mais toutes les menaces ne sont pascouvertes
Les conclusions des analyses devraient ecirctre revues par toutes les parties prenantes ndash dans lesens laquo stakeholders raquo ndash pour assurer la bonne interpreacutetation de la donneacutee A cette fin lesreacutesultats des analyses devraient ecirctre suffisamment documenteacutes
La consolidation de ces reacutesultats devra intervenir dans des tableaux de bord pour unecommunication agrave qui de droit
Les mesures peuvent ecirctre utiliseacutees agrave diverses fins
eacutevaluer lrsquoefficaciteacute des dispositifs de seacutecuriteacute
critiquer les appreacuteciations et les traitements des risques
deacutemontrer les progregraves
se comparer au sein ou entre organisations
45 Ameacuteliorer le processus de mesure
Lrsquoefficaciteacute du processus de mesure doit ecirctre examineacutee peacuteriodiquement afin de lrsquoameacuteliorerNeacuteanmoins les donneacutees de base doivent faire lrsquoobjet de sauvegardes reacuteguliegraveres et peacuterennesafin de pouvoir recalculer les meacutetriques en fonction de leurs diffeacuterentes eacutevolutions
Des eacutevolutions peuvent ecirctre envisageacutees quand lrsquoorganisation introduit de nouveaux objectifsde mesure points de mesure de nouvelles meacutethodes ou fonctions de mesure
Le processus de mesure devrait ecirctre eacutevalueacute en termes drsquoutiliteacute et reacuteexamineacute agrave chaque fois quelrsquoorganisation change Il importe de srsquoassurer que les mesures reflegravetent un eacutetat agrave jour de laseacutecuriteacute et de veacuterifier que les donneacutees sous-jacentes sont encore valides Il est eacutegalementimportant de valider la pertinence des hypothegraveses
Il srsquoagit aussi drsquoeacutevaluer lrsquoutiliteacute de la mesure et le coucirct du processus de mesure afin dedeacuteterminer la pertinence de sa modification ou de sa suppression
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2128
Les meacutetriques dans le cadre de la seacuterie 27000 - 19 - copy CLUSIF 2009
5 CONCLUSION
LrsquoISOIEC 270012005 insiste sur lrsquoimportance de mesurer lrsquoefficaciteacute des processus du
SMSI des mesures de seacutecuriteacute mises en œuvre et du processus de mesurage lui-mecircme2
Cependant cette norme ne preacutecise pas comment mesurer cette efficaciteacute Elle se contentedrsquoindiquer qursquoune meacutethode est agrave deacutefinir
A cette fin le preacutesent document apporte un eacuteclairage aux RSSI auditeurs internes acteurs ducontrocircle permanent et managers dans la deacutefinition et la mise en œuvre des indicateurs adapteacutesagrave leurs exigences selon des processus qui devraient figurer dans la norme ISOIEC 27004
LrsquoISOIEC 27004 est un guide qui compleacutetera lrsquoISOIEC 270012005 en fournissant deslignes directrices et des conseils sur
la conception
la mise en œuvre
lrsquoanalyse et la communication des reacutesultats
lrsquoameacutelioration du processus de mesurage drsquoun SMSI
Cette future norme devrait ecirctre publieacutee prochainement La seacuterie ISOIEC 27000 a eacuteteacutecompleacuteteacutee de lrsquoISOIEC 270052008 et de lrsquoISOIEC 27003 (preacutevue en 2009) qui traitentrespectivement de la gestion du risque et de la mise en œuvre drsquoun SMSI
2 cf clauses 02c 02d 422d 423c 431g 72f et 73e
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2228
Les meacutetriques dans le cadre de la seacuterie 27000 - 20 - copy CLUSIF 2009
ANNEXE A FICHE DESCRIPTIVE
Modegravele de fiche descriptive drsquoune mesure
Cette fiche est inspireacutee de lrsquoISOIEC FCD 27004
Identification de la mesure
Nom de la mesure Nom de la mesure
Identifiant de la mesure Identifiant numeacuterique unique speacutecifique agrave lrsquoorganisme
Objectif de la mesureDeacutecrit lrsquoobjectif de la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure de
seacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (1)Facultatif Deacutecrit la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure deseacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (2)Facultatif Deacutecrit dautres mesures de seacutecuriteacute (agrave mettre ou deacutejagrave mise en œuvre) faisant lrsquoobjet le caseacutecheacuteant de la mecircme mesure (reacutefeacuterence aux mesures de seacutecuriteacute de lrsquoannexe A de la normeISO 27001)
Objectif de la mesure Deacutefinit le but de la mesure
Reacute examinateurPersonne ou uniteacute organisationnelle qui examine et valide que les critegraveres deacutevaluation de la mesuresont approprieacutes pour veacuterifier lefficaciteacute des mesures de seacutecuriteacute et des processus du SMSI
Objets du mesurage et attributs
Objet du mesurage
Objet qui doit ecirctre mesureacute et qui est caracteacuteriseacute par la mesurabiliteacute de ses attributs Les objets peuvent
comprendre des processus des systegravemes ou des composants de systegravemes
AttributsProprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacutee quantitativement ou qualitativementpar des moyens humains ou automatiques
Speacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesUne mesure eacuteleacutementaire est deacutefinie en fonction dun attribut et de la meacutethode de mesurage speacutecifieacuteepour le quantifier (par exemple le nombre de personnel formeacute le nombre de sites le coucirct cumuleacute agravece jour) Au moment ougrave la donneacutee est collecteacutee une valeur est affecteacutee agrave une mesure eacuteleacutementaire
Meacutethodes de mesurage Suite logique drsquoopeacuterations qui permettent de quantifier un attribut selon une eacutechelle
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure eacuteleacutementaire
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesures eacuteleacutementaires
Fonction de mesurageSuite logique drsquoopeacuterations qui permettent de calculer la mesure deacuteriveacutee Pour les mesures deacuteriveacutees lafonction par laquelle les mesures deacuteriveacutees fondeacutees sur des mesures eacuteleacutementaires correspondantes etla preacutecision cumulative reacutesultante sont agreacutegeacutees
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure deacuteriveacutee
Speacutecification de lrsquoindicateur
Description dindicateur etexemple
Preacutesentation dune ou plusieurs mesures (eacuteleacutementaires ou deacuteriveacutees) qui fournit une estimation ou uneeacutevaluation dattributs speacutecifieacutes reacutesultant dun modegravele analytique en ce qui concerne des besoins delinformation deacutefinis Un indicateur est souvent preacutesenteacute agrave lrsquoaide drsquoun graphique ou drsquoun diagrammeInclure un croquis de lindicateur
Modegravele analytique Algorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires etou deacuteriveacutees avec lescritegraveres de deacutecision associeacutes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2328
Les meacutetriques dans le cadre de la seacuterie 27000 - 21 - copy CLUSIF 2009
Critegravere de deacutecisionSeuil cible ou modegravele utiliseacute pour deacuteterminer la neacutecessiteacute dune action ou un compleacutement denquecircteou pour deacutecrire le niveau de confiance dans un reacutesultat donneacute
Interpreacutetation dindicateurDescription de la faccedilon dont lindicateur exemple (voir la figure exemple dans la description delindicateur) devrait ecirctre interpreacuteteacute
Effets impact Deacutefinition des effets et de lrsquoimpact issu des reacutesultats obtenus par la mesure
Causes drsquoeacutecart Deacutefinition des causes possibles agrave lrsquoorigine drsquoeacutecarts des reacutesultats
Valeurs positivesDeacuteclaration expliquant si les valeurs en laquo croissance raquo indiquent des tendances positives (bonreacutesultat) ou si les valeurs en laquo deacutecroissance raquo doivent ecirctre consideacutereacutees comme des tendancespositives
Format de restitution
Le format de la restitution devrait ecirctre preacuteciseacute et documenteacute Il deacutecrit les observations quelrsquoorganisation ou le proprieacutetaire de lrsquoinformation peut vouloir sur lrsquoenregistrement Les formats derapport deacutecriront visuellement les mesures et fourniront une explication verbale des indicateurs Ilsdevraient ecirctre personnaliseacutes en fonction du laquo client de linformation raquo (ce terme est deacutefini ci-apregraves)
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des
donneacutees
Freacutequence agrave laquelle les donneacutees sont collecteacutees
Fournisseur de lrsquoinformationPersonne ou uniteacute organisationnelle qui deacutetient lrsquoinformation pour creacuteer les mesures eacuteleacutementairesCelui qui va contribuer agrave la meacutetrique produire lrsquoinformation pour le calcul de la meacutetrique
Collecteur de lrsquoinformationPersonne ou uniteacute organisationnelle en charge de collecter enregistrer et stocker les informationsCelui qui va obtenir la meacutetrique
Outils utiliseacutes dans la collectedes donneacutees
Liste les outils utiliseacutes dans la collecte des donneacutees (par exemple un scanner de vulneacuterabiliteacute)
Conservation des donneacuteescollecteacutees
Liste les outils ougrave les donneacutees sont conserveacutees apregraves avoir eacuteteacute collecteacutees (par exemple une base dedonneacutees)
Date de collecte Date agrave laquelle la donneacutee devrait ecirctre obtenue
Proceacutedure drsquoenregistrement
des donneacuteesDeacutefinit la proceacutedure drsquoenregistrement des donneacutees (lien vers la proceacutedure correspondante)
Validiteacute de la mesure Date de reacutevision (date drsquoexpiration ou de validiteacute de renouvellement) de la mesure
Peacuteriode drsquoanalyse Deacutefinit la peacuteriode mesureacutee
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitutiondes donneacutees
Freacutequence agrave laquelle les donneacutees sont restitueacutees (cette freacutequence peut ecirctre infeacuterieure agrave celle decollecte)
Communicateur delrsquoinformation
Personne ou uniteacute organisationnelle responsable de lrsquoanalyse de lrsquoinformation et de la communicationdes reacutesultats des mesuresCelui qui va analyser la meacutetrique
Source drsquoinformation pour
lrsquoanalyse
Liste les sources drsquoinformation utiles pour lrsquoanalyse de reacutesultats (documents journaux entretien
etc)Outils utiliseacutes dans lrsquoanalyse Liste les outils utiliseacutes pour lrsquoanalyse (par exemple des outils statistiques)
Client de lrsquoinformationLa personne ou lrsquouniteacute organisationnelle qui demande ou requiert les mesures pour les besoins de sonactiviteacuteCelui qui va utiliser la meacutetrique
Information compleacutementaire
Conseils danalyseCompleacutementaires
Fournit des conseils compleacutementaires sur les variations de cette mesure
Consideacuterations de mise enœuvre
Liste les processus ou les exigences de mise en œuvre qui sont neacutecessaires pour la reacuteussite de la miseen œuvre
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2428
Les meacutetriques dans le cadre de la seacuterie 27000 - 22 - copy CLUSIF 2009
Exemple drsquoutilisation de la fiche
Identification de la mesure
Nom de la mesure Revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Identifiant de la mesure R1-A1124
Objectif de la mesure de seacutecuriteacuteA1124 [270012005]
Mesure de seacutecuriteacute (1)Les managers doivent dans leur peacuterimegravetre reacuteexaminer les droits drsquoaccegraves des utilisateurs agraveintervalles reacuteguliers par le biais drsquoun processus formel
Mesure de seacutecuriteacute (2) Revue des accegraves au reacuteseau informatique
Objectif de la mesure
Mesurer le pourcentage de manager deacuteclarant avoir effectueacute des controcircles sur les droits drsquoaccegravesutilisateurs de leur peacuterimegravetre ce qui permet drsquoeacutevaluer
bull la prise de conscience des managers vis-agrave-vis des risques drsquoaccegraves non fondeacutesfrauduleux ou obsolegravetes aux SI
bull lrsquoimplication du management dans le processus de maicirctrise et de gestion du risqueinformatique
Reacute examinateur Direction des Risques
Objets du mesurage et attributs
Objet du mesurage Processus de revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Attributs Attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateursSpeacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesExistence drsquoune attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateurs parchacun des managers
Meacutethodes de mesurageTous les trimestres les managers enverront un email standardiseacute au Deacutepartement Seacutecuriteacute desSI attestant que les accegraves des utilisateurs ont eacuteteacute revus pour leur peacuterimegravetre
Echelle Numeacuterique
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Taux drsquoattestations retourneacutees par les managers sur le trimestre eacutetudieacute
Fonction de mesurage
Taux dattestations retourneacutees par les managers sur le trimestre eacutetudieacute = (nombre dattestations
retourneacutees par les managers Total dattestations attendues dans le trimestre) 100
Echelle Ratio pourcentage
Speacutecification de lrsquoindicateur
Description dindicateur et exemple Courbe montrant lrsquoindicateur sur plusieurs peacuteriodes de restitution
Modegravele analytique
Satisfaisant si gt= 90Globalement satisfaisant si 80 lt lt 90Moyennement satisfaisant si 70 lt= lt= 80Insatisfaisant si lt 70
Critegravere de deacutecision Seuil min 80
Interpreacutetation dindicateurUn reacutesultat insatisfaisant indique un manque drsquoengagement des managers dans la gestion des
risques lieacutes agrave la seacutecuriteacute des SIEffets impact Si reacutesultats insatisfaisants lrsquoindicateur est remonteacute agrave la Direction Geacuteneacuterale pour action
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2528
Les meacutetriques dans le cadre de la seacuterie 27000 - 23 - copy CLUSIF 2009
Causes drsquoeacutecart Les reacuteorganisations fonctionnelles de lrsquoentreprise
Valeurs positives Des valeurs croissantes indiquent des tendances positives
Format de restitution Tableau Excel standardiseacute
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des donneacutees Trimestrielle
Fournisseur de lrsquoinformation Chaque manager
Collecteur de lrsquoinformation Le RSSI
Outils utiliseacutes dans la collecte desdonneacutees
Mail courrier
Conservation des donneacutees collecteacutees Reacutepertoire speacutecifique du disque reacuteseau
Date de collecte Pour le 15 de chaque deacutebut de trimestre
Proceacutedure drsquoenregistrement desdonneacutees
EhellipNOV08R1-A11-2-4XLS
Validiteacute de la mesure Annuelle
Peacuteriode drsquoanalyse Du 1er janvier au 31 deacutecembre de lrsquoanneacutee en cours
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitution desdonneacutees
Trimestrielle
Communicateur de lrsquoinformation Le RSSI
Source drsquoinformation pour lrsquoanalyse Rapports drsquoentretiens
Outils utiliseacutes dans lrsquoanalyse Excel
Client de lrsquoinformation Direction des Risques
Information compleacutementaire
Conseils danalyse Compleacutementaires NA
Consideacuterations de mise en œuvre NA
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2628
Les meacutetriques dans le cadre de la seacuterie 27000 - 24 - copy CLUSIF 2009
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE
METRIQUES ET OU DrsquoINDICATEURS
Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI
Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A8 Seacutecuriteacute lieacutee aux ressources humaines
A81 Avant le recrutement
A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute
A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat
A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur
A82 Pendant la dureacutee du contrat
A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute
A822 Sensibilisation qualification et formations
en matiegravere de seacutecuriteacute de lrsquoinformation
Nombre de personnes formeacutees an
A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque
A83 Fin ou modification du contrat
A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat
A832 Restitution des actifs Coucirct des biens non rendus en fin de mission
A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai
A9 Seacutecuriteacute physique et environnementale
A91 Zones seacutecuriseacutees
A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees
A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)
A913 Seacutecurisation des bureaux des salles et deseacutequipements
Nombre annuel de disparition de biens informatiques dans les locaux
A914 Protection contre les menaces exteacuterieures etenvironnementales
Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle
A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1328
Les meacutetriques dans le cadre de la seacuterie 27000 - 11 - copy CLUSIF 2009
Les indicateurs intimement lieacutes agrave la situation que nous voulons repreacutesenter peuvent ecirctre denature diffeacuterente et avoir des finaliteacutes eacutegalement diffeacuterentes
constater une situation dans le domaine que lrsquoon veut observer
mesurer leacutecart entre le niveau existant et le niveau de lrsquoobjectif deacutefini
suivre leacutevolution des domaines geacutereacutes et analyseacutes
anticiper etou deacuteclencher la mise en œuvre de plans drsquoactions de seacutecuriteacute (agrave partir dufranchissement drsquoun seuil)
communiquer agrave partir de donneacutees analyseacutees
piloter les projets
appreacutecier le respect des lois et reacuteglementations
auditer
Dans le contexte de la mise en œuvre drsquoun SMSI et du respect du principe de la Roue deDeming (cycle PDCA) les critegraveres de choix des indicateurs doivent inteacutegrer le soucidrsquoameacutelioration permanente de la seacutecuriteacute par la veacuterification de lefficaciteacute des mesures deseacutecuriteacute valideacutees et deacuteployeacutees Ainsi il est toujours souhaitable davoir en meacutemoire quelobjectif dun indicateur de seacutecuriteacute dans le SMSI est deacutevaluer lefficaciteacute des mesures deseacutecuriteacute
Dans la suite du document le choix a eacuteteacute fait drsquoillustrer uniquement les meacutethodes de mise en
œuvre drsquoindicateurs pour les SMSI En effet le suivi de lrsquoefficaciteacute de tout systegraveme demanagement est reacutealiseacute agrave partir de ces indicateurs (cf scheacutema 3)
24 Eacuteleacutements pour la mise en œuvre des indicateurs
Afin de satisfaire les objectifs assigneacutes les indicateurs doivent respecter des conditionsparticuliegraveres et ecirctre doteacutes de qualiteacutes speacutecifiques notamment
ecirctre issus des objectifs retenus dans la politique de seacutecuriteacute
ecirctre aiseacutement quantifiables (construits agrave partir drsquoinformations ou de processus geacuteneacuterantdes informations quantifiables) afin de permettre des comparaisons (entre systegravemes ouentre peacuteriodes) Il srsquoagit le plus souvent de pourcentage de taux de ratio de moyenneetou de nombres laquo bruts raquo
les informations neacutecessaires agrave lrsquoeacutelaboration de la mesure doivent ecirctre faciles agrave obteniretou collecter En effet il faut srsquoassurer que les ressources mises en œuvre pour obtenirles donneacutees ne sont pas disproportionneacutees par rapport agrave celles concourant agrave la reacutealisationdu processus mesureacute
srsquoappuyer sur des processus laquo stables raquo et aiseacutement laquo reproductibles raquo
permettre la mesure des eacutevolutions suite agrave des actions correctives
ecirctre fiables sur la dureacutee et autoriser une analyse des eacutecarts
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1428
Les meacutetriques dans le cadre de la seacuterie 27000 - 12 - copy CLUSIF 2009
Ces caracteacuteristiques sont regroupeacutees dans certaines deacutemarches sous lacronyme laquo SMART raquoqui signifie
Specific il correspond agrave ce qui est analyseacute et met en avant la speacutecificiteacute de lattribut
Measurable il peut ecirctre mesureacute et cette mesure est objective
Attainable il est obtenu dans des conditions satisfaisantes de coucirct et de deacutelai Repeatable sa mesure est reproductible
Time dependent la mesure deacutepend de la fenecirctre de temps utiliseacutee
Les caracteacuteristiques de la mesure deacutefinies dans lAnnexe A de lrsquoactuel projet de normeISOIEC 27004 doivent ecirctre deacutefinies pour chaque indicateur
25 Exemples drsquoindicateurs
Quelques exemples drsquoindicateurs sont donneacutes ci-apregraves La liste fournie nrsquoest pas exhaustive Ilest inteacuteressant de constater que certains indicateurs sont de nature opeacuterationnelle oustrateacutegique voire opeacuterationnelle et strateacutegique
Controcircle drsquoaccegraves
pourcentage drsquoutilisateurs dont le mot de passe respecte les principes de construction
pourcentage de systegravemes accessibles depuis lrsquoexteacuterieur et comprenant un IDS agrave jour
Controcircle des codes malveillants
nombre annuel dattaques reacuteussies par deacutefaut de mise agrave jour de la base virale
deacutelai de retour agrave la normale sur attaque virale
freacutequence de mise agrave jour de la base antivirus freacutequence drsquoeacutevaluation de la conformiteacute des politiques antivirales laquo locales raquo avec la
politique laquo globale raquo
Mise en œuvre du SMSI
pourcentage de deacuteclinaisons des principes de la politique de seacutecuriteacute de lrsquoorganisme enproceacutedures opeacuterationnelles
nombre mensuel drsquoincidents de seacutecuriteacute non reacutesolus
pourcentage de comiteacutes de pilotage de seacutecuriteacute tenus en accord avec le planning
pourcentage dactions correctives non meneacutees agrave terme
Maicirctrise des deacutepenses deacutepenses lieacutees agrave la seacutecuriteacute selon diffeacuterents critegraveres nombre dalertes dincidents etc
Formation
pourcentage du budget global de formation consacreacute agrave la seacutecuriteacute des systegravemesdrsquoinformation
pourcentage de participants en fonction de la population cible agrave des sessions relatives agravela seacutecuriteacute des systegravemes drsquoinformation
taux de freacutequentation des formations aux proceacutedures dalerte par les personnes cleacutes descellules de crise
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1528
Les meacutetriques dans le cadre de la seacuterie 27000 - 13 - copy CLUSIF 2009
Seacutecuriteacute des logiciels applications
nombre de correctifs de seacutecuriteacute valideacutes apregraves analyse
taux de correctifs de seacutecuriteacute valideacutes mis en œuvre dans les deacutelais preacutevus
Seacutecuriteacute reacuteseau
nombre drsquoaudits et de tests de vulneacuterabiliteacute reacutealiseacutes sur la peacuteriode
Disponibiliteacute des services
taux de disponibiliteacute DNS accegraves internet messagerie
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1628
Les meacutetriques dans le cadre de la seacuterie 27000 - 14 - copy CLUSIF 2009
3 LES DIFFERENTS USAGES DES INDICATEURS
31 EacutevaluerCes indicateurs peuvent ecirctre reacutepartis dans les grandes familles suivantes
Les indicateurs laquo de conformiteacute raquo deacutecrivent le niveau dexigence souhaiteacute (ou constateacute)sur une mesure de seacutecuriteacute Par exemple en ce qui concerne la mesure de seacutecuriteacutelaquo Reacutealisation de sauvegardes raquo un indicateur de conformiteacute de seacutecuriteacute peut ecirctre lafreacutequence des sauvegardes ou le ratio du nombre de bandes externaliseacutees par rapport aunombre total de bandes
Les indicateurs laquo defficaciteacute raquo deacutecrivent leacutetat du fonctionnement de la mesure deseacutecuriteacute Sur le mecircme exemple de la laquo Reacutealisation de sauvegardes raquo un nombre eacuteleveacute de
tests de restaurations deacutefectueux peut deacutemontrer un mauvais fonctionnement dessauvegardes
Les indicateurs laquo defficience raquo visent agrave rapprocher lefficaciteacute de la mesure de seacutecuriteacuteau regard de limportance des moyens mis en œuvre
32 Piloter
Toute activiteacute (production projet processus etc) implique la deacutetermination drsquoindicateurs depilotage Ces derniers permettent
drsquoappreacutecier lavancement correct du projet drsquoeacutevaluer une situation
de deacutetecter un risque
de deacuteclencher une alerte
Le choix des indicateurs peut deacutependre des objectifs de lrsquoactiviteacute (coucircts deacutelais performanceetc) mais aussi ecirctre lieacute agrave des processus transverses (management support etc)
Nous pourrons ainsi avoir les indicateurs suivants sur diffeacuterentes eacutechelles de temps anneacuteemois semaine jour
nombre de machines infecteacutees par des virus nombre de machines
nombre de messages infecteacutes par des virus nombre de messages
nombre de machines agrave jour nombre de machines
temps moyen et maximum de mise agrave jour du parc
nombre drsquoattaques virales identifieacutees bloqueacutees exeacutecuteacutees
impact de ses attaques en heures de travail perdues financier
raison des infections mise agrave jour non effectueacutee seacutecuriteacute non appliqueacutee malveillancehellip
variation du taux drsquoinfection et tentatives drsquoinfection sur les 12 derniers mois
etc
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1728
Les meacutetriques dans le cadre de la seacuterie 27000 - 15 - copy CLUSIF 2009
Ces indicateurs peuvent aussi ecirctre eacuteleacutementaires ou plus syntheacutetiques Par exemplelrsquoagreacutegation de certains indicateurs informatiques avec les indicateurs eacuteconomiques Lelaquo Ratio du nombre annuel drsquoaccords de confidentialiteacutes (NDA ndash Non disclosure agreement)signeacutes par rapport au nombre de prestataires preacutesents dans lrsquoorganisme raquo en est un exemple
33 Communiquer
Des indicateurs sont aussi utiliseacutes pour communiquer en interne ou en externe Leur naturesera diffeacuterente en fonction des acteurs viseacutes et de leur objectif de communication(sensibiliser faire passer des ideacutees justifierhellip)
Par exemple pour communiquer autour de la lutte antivirale
nombre drsquoheures de travail perdues suite agrave une attaque virale
variation du taux drsquoinfection sur les douze derniers mois (justification du budget)
nombre drsquoattaques virales provenant drsquoun support externe
34 Sautoeacutevaluer
Cette eacutevaluation peut ecirctre reacutealiseacutee en interne par lrsquoeacutequipe en charge de la fonction comme parlrsquoeacutequipe drsquoaudit ou de controcircle interne
Elle se situe par rapport agrave un reacutefeacuterentiel interne ou externe ou par rapport agrave un objectifarbitraire ou reacutesultant drsquoune expeacuterience passeacutee et deacutejagrave mesureacutee
Les indicateurs citeacutes comme exemple dans les paragraphes preacuteceacutedents peuvent notammentservir dans le cadre drsquoune autoeacutevaluation
35 Contribuer agrave lrsquoobtention drsquoune certification
Ces indicateurs servent agrave
appreacutecier lrsquoavancement dans le processus de certification
obtenir la certification
et surtout la conserver
Sans ecirctre obligatoire pour lrsquoobtention de la certification ISOIEC 270012005 la mise enplace drsquoindicateurs simplifie grandement le cheminement vers celle-ci
36 Reacutepondre agrave un audit
Les indicateurs servent agrave informer lrsquoauditeur agrave justifier des mesures de seacutecuriteacute mises enplace et des correctifs en cours
Les indicateurs preacutesenteacutes lors drsquoaudits contribuent agrave lrsquoanalyse de risque et srsquoappreacutecient parrapport agrave un reacutefeacuterentiel externe
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1828
Les meacutetriques dans le cadre de la seacuterie 27000 - 16 - copy CLUSIF 2009
4 LES TRAVAUX NORMATIFS EN COURS
(ISOIEC 27004)
Ce document a eacuteteacute reacutedigeacute alors que la norme ISOIEC 27004 nrsquoeacutetait pas stabiliseacutee (versionCD) il est toutefois permis de penser que lrsquointeacuterecirct du document justifie les travaux entreprisci-apregraves sous reacuteserve de possibles eacutevolutions
Ce projet de norme au sein de la seacuterie 27000 constitue un guide [agrave usage facultatif] delaquo Mesurage et meacutetriques raquo dans le cadre drsquoun SMSI (Systegraveme de Management de la Seacutecuriteacutede lrsquoInformation) tel que deacutefini dans lrsquoISOIEC 270012005
Les domaines suivants sont abordeacutes
preacutesentation du processus de mesurage
rocircles et responsabiliteacutes
conception des indicateurs production et mise en forme des indicateurs
analyse et reporting
ameacutelioration du processus de mesurage
Une premiegravere annexe preacutesente un modegravele commenteacute drsquoune fiche drsquoindicateur (cf Annexe A)La seconde annexe preacutesente plusieurs exemples drsquoattributs de meacutetriques ou drsquoindicateurs (cfAnnexe B)
41 Concepts de meacutetriquesUn processus de mesure a pour but de veacuterifier que les objectifs de seacutecuriteacute fondeacutes notammentsur lrsquoanalyse de risque et la conformiteacute aux dispositions leacutegales et reacuteglementaires sontatteints
Il se compose de phases de collecte drsquoinformations et drsquoanalyse Par comparaison agrave descritegraveres de deacutecision ces phases permettent lrsquoobtention drsquoinformations de seacutecuriteacute etlrsquoameacutelioration continue du management de la seacutecuriteacute
Les mesures peuvent ecirctre eacuteleacutementaires ou deacuteriveacutees
une mesure eacuteleacutementaire1
est la valeur drsquoun laquo attribut raquo obtenue par une meacutethode decalcul
une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesureseacuteleacutementaires
Pour chaque type de mesure (eacuteleacutementaire ou deacuteriveacutee) il convient de faire en sorte que desobjectifs de conformiteacute ou de performance soient mis en eacutevidence
Le modegravele du processus de mesure proposeacute comprend un processus de remonteacutee demesures eacuteleacutementaires et de mesures deacuteriveacutees qui contribuent agrave la fabrication drsquoindicateurslesquels seront compareacutes individuellement agrave leur critegravere de deacutecision Lrsquoefficaciteacute du systegraveme
1 Une mesure eacuteleacutementaire peut dans certains cas correspondre directement agrave un indicateur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1928
Les meacutetriques dans le cadre de la seacuterie 27000 - 17 - copy CLUSIF 2009
de management srsquoappreacutecie en comparant les reacutesultats issus des mesures effectueacutees avec leursobjectifs initiaux
Dans le projet de norme les preacutecisions suivantes sont apporteacutees
les objectifs du processus de mesure sont clairement eacutetablis (eacutevaluer fournir des
donneacutees faciliter lrsquoeacutevolution communiquer) En revanche le peacuterimegravetre sur lequelsrsquoapplique ce processus ainsi que la meacutethodologie drsquoimpleacutementation restent agrave lrsquoinitiativede chacun
lrsquoimplication du management dans le processus de mesure est souligneacutee notamment surson engagement ses responsabiliteacutes et les ressources agrave mettre en œuvre
les diffeacuterents rocircles qui devraient ecirctre assigneacutes par le Management concernant leprocessus de mesure sont preacuteciseacutes le fournisseur le client le collecteur lecommunicateur le reacute-examinateur (cf deacutefinitions dans lrsquoannexe A du preacutesentdocument) Ces diffeacuterents rocircles devront faire lrsquoobjet de proceacutedures drsquohabilitationprenant en compte les contraintes de seacuteparation des tacircches et les compeacutetencestechniques neacutecessaires
42 Concevoir des meacutetriques
Des meacutetriques doivent ecirctre creacuteeacutes pour eacutevaluer lrsquoefficaciteacute du SMSI controcircler lrsquoatteinte desobjectifs identifier valider et ameacuteliorer les mesures de seacutecuriteacute speacutecifiques
Pour cela il faut pour chaque meacutetrique agrave partir drsquoune analyse de risque et de lrsquoeacutetat initial
identifier et choisir des objectifs
documenter et planifier lrsquoactiviteacute de mesurage (lrsquoannexe A du preacutesent document
preacutesente un modegravele de fiche sur ce thegraveme) en particulier concernant la meacutethode decollecte de stockage drsquoarchivage de veacuterification et drsquoanalyse des donneacutees ainsi que lamise en place du processus de mesurage
deacutefinir les principaux acteurs et les ressources neacutecessaires
srsquoassurer de la pertinence des mesurages qui devraient veacuterifier les critegraveres SMART(Specific Measurable Attainable Repeatable Time dependant)
43 Mettre en place des meacutetriques
La mise en place permanente de la collecte de la conservation et de lrsquoanalyse des donneacutees apour but drsquoassurer la compreacutehension et lrsquoameacutelioration du SMSI Ce processus doitaccompagner les eacutevolutions du SMSI
Cette rubrique dans le projet de norme constitue un guide pratique opeacuterationnel qui preacuteciseles conditions de
collecte des donneacutees (en speacutecifiant la date lrsquoheure le proprieacutetairehellip)
validation
traitement
diffusion
conservation
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2028
Les meacutetriques dans le cadre de la seacuterie 27000 - 18 - copy CLUSIF 2009
Il importe que les reacutesultats des indicateurs servent agrave eacutevaluer lrsquoefficaciteacute des dispositifs deseacutecuriteacute (de preacutevention deacutetection correction ou reacutecupeacuteration) en place Dans un secondtemps cette base drsquoindicateurs constitueacutee permettra de soutenir un processus de deacutecision dansle choix de nouveaux dispositifs
44 Utiliser communiquer et ameacuteliorer les meacutetriques
Lrsquoanalyse des donneacutees et leur interpreacutetation consistent agrave les rapprocher des critegraveres dedeacutecision preacutealablement deacutefinis (Annexe A)
Le but de lrsquoanalyse est de pouvoir identifier les eacutecarts entre la performance attendue et cellereacutealiseacutee Les causes de non-conformiteacute et de mauvaise performance pourront ecirctre ainsiidentifieacutees en fonction des dispositifs de seacutecuriteacute qui
ne sont pas opeacuterationnels
sont impleacutementeacutes mais ne fonctionnement pas correctement sont impleacutementeacutes fonctionnent correctement mais ne couvrent pas les menaces
estimeacutees
sont impleacutementeacutes fonctionnent correctement mais toutes les menaces ne sont pascouvertes
Les conclusions des analyses devraient ecirctre revues par toutes les parties prenantes ndash dans lesens laquo stakeholders raquo ndash pour assurer la bonne interpreacutetation de la donneacutee A cette fin lesreacutesultats des analyses devraient ecirctre suffisamment documenteacutes
La consolidation de ces reacutesultats devra intervenir dans des tableaux de bord pour unecommunication agrave qui de droit
Les mesures peuvent ecirctre utiliseacutees agrave diverses fins
eacutevaluer lrsquoefficaciteacute des dispositifs de seacutecuriteacute
critiquer les appreacuteciations et les traitements des risques
deacutemontrer les progregraves
se comparer au sein ou entre organisations
45 Ameacuteliorer le processus de mesure
Lrsquoefficaciteacute du processus de mesure doit ecirctre examineacutee peacuteriodiquement afin de lrsquoameacuteliorerNeacuteanmoins les donneacutees de base doivent faire lrsquoobjet de sauvegardes reacuteguliegraveres et peacuterennesafin de pouvoir recalculer les meacutetriques en fonction de leurs diffeacuterentes eacutevolutions
Des eacutevolutions peuvent ecirctre envisageacutees quand lrsquoorganisation introduit de nouveaux objectifsde mesure points de mesure de nouvelles meacutethodes ou fonctions de mesure
Le processus de mesure devrait ecirctre eacutevalueacute en termes drsquoutiliteacute et reacuteexamineacute agrave chaque fois quelrsquoorganisation change Il importe de srsquoassurer que les mesures reflegravetent un eacutetat agrave jour de laseacutecuriteacute et de veacuterifier que les donneacutees sous-jacentes sont encore valides Il est eacutegalementimportant de valider la pertinence des hypothegraveses
Il srsquoagit aussi drsquoeacutevaluer lrsquoutiliteacute de la mesure et le coucirct du processus de mesure afin dedeacuteterminer la pertinence de sa modification ou de sa suppression
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2128
Les meacutetriques dans le cadre de la seacuterie 27000 - 19 - copy CLUSIF 2009
5 CONCLUSION
LrsquoISOIEC 270012005 insiste sur lrsquoimportance de mesurer lrsquoefficaciteacute des processus du
SMSI des mesures de seacutecuriteacute mises en œuvre et du processus de mesurage lui-mecircme2
Cependant cette norme ne preacutecise pas comment mesurer cette efficaciteacute Elle se contentedrsquoindiquer qursquoune meacutethode est agrave deacutefinir
A cette fin le preacutesent document apporte un eacuteclairage aux RSSI auditeurs internes acteurs ducontrocircle permanent et managers dans la deacutefinition et la mise en œuvre des indicateurs adapteacutesagrave leurs exigences selon des processus qui devraient figurer dans la norme ISOIEC 27004
LrsquoISOIEC 27004 est un guide qui compleacutetera lrsquoISOIEC 270012005 en fournissant deslignes directrices et des conseils sur
la conception
la mise en œuvre
lrsquoanalyse et la communication des reacutesultats
lrsquoameacutelioration du processus de mesurage drsquoun SMSI
Cette future norme devrait ecirctre publieacutee prochainement La seacuterie ISOIEC 27000 a eacuteteacutecompleacuteteacutee de lrsquoISOIEC 270052008 et de lrsquoISOIEC 27003 (preacutevue en 2009) qui traitentrespectivement de la gestion du risque et de la mise en œuvre drsquoun SMSI
2 cf clauses 02c 02d 422d 423c 431g 72f et 73e
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2228
Les meacutetriques dans le cadre de la seacuterie 27000 - 20 - copy CLUSIF 2009
ANNEXE A FICHE DESCRIPTIVE
Modegravele de fiche descriptive drsquoune mesure
Cette fiche est inspireacutee de lrsquoISOIEC FCD 27004
Identification de la mesure
Nom de la mesure Nom de la mesure
Identifiant de la mesure Identifiant numeacuterique unique speacutecifique agrave lrsquoorganisme
Objectif de la mesureDeacutecrit lrsquoobjectif de la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure de
seacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (1)Facultatif Deacutecrit la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure deseacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (2)Facultatif Deacutecrit dautres mesures de seacutecuriteacute (agrave mettre ou deacutejagrave mise en œuvre) faisant lrsquoobjet le caseacutecheacuteant de la mecircme mesure (reacutefeacuterence aux mesures de seacutecuriteacute de lrsquoannexe A de la normeISO 27001)
Objectif de la mesure Deacutefinit le but de la mesure
Reacute examinateurPersonne ou uniteacute organisationnelle qui examine et valide que les critegraveres deacutevaluation de la mesuresont approprieacutes pour veacuterifier lefficaciteacute des mesures de seacutecuriteacute et des processus du SMSI
Objets du mesurage et attributs
Objet du mesurage
Objet qui doit ecirctre mesureacute et qui est caracteacuteriseacute par la mesurabiliteacute de ses attributs Les objets peuvent
comprendre des processus des systegravemes ou des composants de systegravemes
AttributsProprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacutee quantitativement ou qualitativementpar des moyens humains ou automatiques
Speacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesUne mesure eacuteleacutementaire est deacutefinie en fonction dun attribut et de la meacutethode de mesurage speacutecifieacuteepour le quantifier (par exemple le nombre de personnel formeacute le nombre de sites le coucirct cumuleacute agravece jour) Au moment ougrave la donneacutee est collecteacutee une valeur est affecteacutee agrave une mesure eacuteleacutementaire
Meacutethodes de mesurage Suite logique drsquoopeacuterations qui permettent de quantifier un attribut selon une eacutechelle
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure eacuteleacutementaire
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesures eacuteleacutementaires
Fonction de mesurageSuite logique drsquoopeacuterations qui permettent de calculer la mesure deacuteriveacutee Pour les mesures deacuteriveacutees lafonction par laquelle les mesures deacuteriveacutees fondeacutees sur des mesures eacuteleacutementaires correspondantes etla preacutecision cumulative reacutesultante sont agreacutegeacutees
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure deacuteriveacutee
Speacutecification de lrsquoindicateur
Description dindicateur etexemple
Preacutesentation dune ou plusieurs mesures (eacuteleacutementaires ou deacuteriveacutees) qui fournit une estimation ou uneeacutevaluation dattributs speacutecifieacutes reacutesultant dun modegravele analytique en ce qui concerne des besoins delinformation deacutefinis Un indicateur est souvent preacutesenteacute agrave lrsquoaide drsquoun graphique ou drsquoun diagrammeInclure un croquis de lindicateur
Modegravele analytique Algorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires etou deacuteriveacutees avec lescritegraveres de deacutecision associeacutes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2328
Les meacutetriques dans le cadre de la seacuterie 27000 - 21 - copy CLUSIF 2009
Critegravere de deacutecisionSeuil cible ou modegravele utiliseacute pour deacuteterminer la neacutecessiteacute dune action ou un compleacutement denquecircteou pour deacutecrire le niveau de confiance dans un reacutesultat donneacute
Interpreacutetation dindicateurDescription de la faccedilon dont lindicateur exemple (voir la figure exemple dans la description delindicateur) devrait ecirctre interpreacuteteacute
Effets impact Deacutefinition des effets et de lrsquoimpact issu des reacutesultats obtenus par la mesure
Causes drsquoeacutecart Deacutefinition des causes possibles agrave lrsquoorigine drsquoeacutecarts des reacutesultats
Valeurs positivesDeacuteclaration expliquant si les valeurs en laquo croissance raquo indiquent des tendances positives (bonreacutesultat) ou si les valeurs en laquo deacutecroissance raquo doivent ecirctre consideacutereacutees comme des tendancespositives
Format de restitution
Le format de la restitution devrait ecirctre preacuteciseacute et documenteacute Il deacutecrit les observations quelrsquoorganisation ou le proprieacutetaire de lrsquoinformation peut vouloir sur lrsquoenregistrement Les formats derapport deacutecriront visuellement les mesures et fourniront une explication verbale des indicateurs Ilsdevraient ecirctre personnaliseacutes en fonction du laquo client de linformation raquo (ce terme est deacutefini ci-apregraves)
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des
donneacutees
Freacutequence agrave laquelle les donneacutees sont collecteacutees
Fournisseur de lrsquoinformationPersonne ou uniteacute organisationnelle qui deacutetient lrsquoinformation pour creacuteer les mesures eacuteleacutementairesCelui qui va contribuer agrave la meacutetrique produire lrsquoinformation pour le calcul de la meacutetrique
Collecteur de lrsquoinformationPersonne ou uniteacute organisationnelle en charge de collecter enregistrer et stocker les informationsCelui qui va obtenir la meacutetrique
Outils utiliseacutes dans la collectedes donneacutees
Liste les outils utiliseacutes dans la collecte des donneacutees (par exemple un scanner de vulneacuterabiliteacute)
Conservation des donneacuteescollecteacutees
Liste les outils ougrave les donneacutees sont conserveacutees apregraves avoir eacuteteacute collecteacutees (par exemple une base dedonneacutees)
Date de collecte Date agrave laquelle la donneacutee devrait ecirctre obtenue
Proceacutedure drsquoenregistrement
des donneacuteesDeacutefinit la proceacutedure drsquoenregistrement des donneacutees (lien vers la proceacutedure correspondante)
Validiteacute de la mesure Date de reacutevision (date drsquoexpiration ou de validiteacute de renouvellement) de la mesure
Peacuteriode drsquoanalyse Deacutefinit la peacuteriode mesureacutee
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitutiondes donneacutees
Freacutequence agrave laquelle les donneacutees sont restitueacutees (cette freacutequence peut ecirctre infeacuterieure agrave celle decollecte)
Communicateur delrsquoinformation
Personne ou uniteacute organisationnelle responsable de lrsquoanalyse de lrsquoinformation et de la communicationdes reacutesultats des mesuresCelui qui va analyser la meacutetrique
Source drsquoinformation pour
lrsquoanalyse
Liste les sources drsquoinformation utiles pour lrsquoanalyse de reacutesultats (documents journaux entretien
etc)Outils utiliseacutes dans lrsquoanalyse Liste les outils utiliseacutes pour lrsquoanalyse (par exemple des outils statistiques)
Client de lrsquoinformationLa personne ou lrsquouniteacute organisationnelle qui demande ou requiert les mesures pour les besoins de sonactiviteacuteCelui qui va utiliser la meacutetrique
Information compleacutementaire
Conseils danalyseCompleacutementaires
Fournit des conseils compleacutementaires sur les variations de cette mesure
Consideacuterations de mise enœuvre
Liste les processus ou les exigences de mise en œuvre qui sont neacutecessaires pour la reacuteussite de la miseen œuvre
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2428
Les meacutetriques dans le cadre de la seacuterie 27000 - 22 - copy CLUSIF 2009
Exemple drsquoutilisation de la fiche
Identification de la mesure
Nom de la mesure Revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Identifiant de la mesure R1-A1124
Objectif de la mesure de seacutecuriteacuteA1124 [270012005]
Mesure de seacutecuriteacute (1)Les managers doivent dans leur peacuterimegravetre reacuteexaminer les droits drsquoaccegraves des utilisateurs agraveintervalles reacuteguliers par le biais drsquoun processus formel
Mesure de seacutecuriteacute (2) Revue des accegraves au reacuteseau informatique
Objectif de la mesure
Mesurer le pourcentage de manager deacuteclarant avoir effectueacute des controcircles sur les droits drsquoaccegravesutilisateurs de leur peacuterimegravetre ce qui permet drsquoeacutevaluer
bull la prise de conscience des managers vis-agrave-vis des risques drsquoaccegraves non fondeacutesfrauduleux ou obsolegravetes aux SI
bull lrsquoimplication du management dans le processus de maicirctrise et de gestion du risqueinformatique
Reacute examinateur Direction des Risques
Objets du mesurage et attributs
Objet du mesurage Processus de revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Attributs Attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateursSpeacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesExistence drsquoune attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateurs parchacun des managers
Meacutethodes de mesurageTous les trimestres les managers enverront un email standardiseacute au Deacutepartement Seacutecuriteacute desSI attestant que les accegraves des utilisateurs ont eacuteteacute revus pour leur peacuterimegravetre
Echelle Numeacuterique
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Taux drsquoattestations retourneacutees par les managers sur le trimestre eacutetudieacute
Fonction de mesurage
Taux dattestations retourneacutees par les managers sur le trimestre eacutetudieacute = (nombre dattestations
retourneacutees par les managers Total dattestations attendues dans le trimestre) 100
Echelle Ratio pourcentage
Speacutecification de lrsquoindicateur
Description dindicateur et exemple Courbe montrant lrsquoindicateur sur plusieurs peacuteriodes de restitution
Modegravele analytique
Satisfaisant si gt= 90Globalement satisfaisant si 80 lt lt 90Moyennement satisfaisant si 70 lt= lt= 80Insatisfaisant si lt 70
Critegravere de deacutecision Seuil min 80
Interpreacutetation dindicateurUn reacutesultat insatisfaisant indique un manque drsquoengagement des managers dans la gestion des
risques lieacutes agrave la seacutecuriteacute des SIEffets impact Si reacutesultats insatisfaisants lrsquoindicateur est remonteacute agrave la Direction Geacuteneacuterale pour action
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2528
Les meacutetriques dans le cadre de la seacuterie 27000 - 23 - copy CLUSIF 2009
Causes drsquoeacutecart Les reacuteorganisations fonctionnelles de lrsquoentreprise
Valeurs positives Des valeurs croissantes indiquent des tendances positives
Format de restitution Tableau Excel standardiseacute
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des donneacutees Trimestrielle
Fournisseur de lrsquoinformation Chaque manager
Collecteur de lrsquoinformation Le RSSI
Outils utiliseacutes dans la collecte desdonneacutees
Mail courrier
Conservation des donneacutees collecteacutees Reacutepertoire speacutecifique du disque reacuteseau
Date de collecte Pour le 15 de chaque deacutebut de trimestre
Proceacutedure drsquoenregistrement desdonneacutees
EhellipNOV08R1-A11-2-4XLS
Validiteacute de la mesure Annuelle
Peacuteriode drsquoanalyse Du 1er janvier au 31 deacutecembre de lrsquoanneacutee en cours
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitution desdonneacutees
Trimestrielle
Communicateur de lrsquoinformation Le RSSI
Source drsquoinformation pour lrsquoanalyse Rapports drsquoentretiens
Outils utiliseacutes dans lrsquoanalyse Excel
Client de lrsquoinformation Direction des Risques
Information compleacutementaire
Conseils danalyse Compleacutementaires NA
Consideacuterations de mise en œuvre NA
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2628
Les meacutetriques dans le cadre de la seacuterie 27000 - 24 - copy CLUSIF 2009
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE
METRIQUES ET OU DrsquoINDICATEURS
Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI
Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A8 Seacutecuriteacute lieacutee aux ressources humaines
A81 Avant le recrutement
A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute
A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat
A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur
A82 Pendant la dureacutee du contrat
A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute
A822 Sensibilisation qualification et formations
en matiegravere de seacutecuriteacute de lrsquoinformation
Nombre de personnes formeacutees an
A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque
A83 Fin ou modification du contrat
A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat
A832 Restitution des actifs Coucirct des biens non rendus en fin de mission
A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai
A9 Seacutecuriteacute physique et environnementale
A91 Zones seacutecuriseacutees
A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees
A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)
A913 Seacutecurisation des bureaux des salles et deseacutequipements
Nombre annuel de disparition de biens informatiques dans les locaux
A914 Protection contre les menaces exteacuterieures etenvironnementales
Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle
A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1428
Les meacutetriques dans le cadre de la seacuterie 27000 - 12 - copy CLUSIF 2009
Ces caracteacuteristiques sont regroupeacutees dans certaines deacutemarches sous lacronyme laquo SMART raquoqui signifie
Specific il correspond agrave ce qui est analyseacute et met en avant la speacutecificiteacute de lattribut
Measurable il peut ecirctre mesureacute et cette mesure est objective
Attainable il est obtenu dans des conditions satisfaisantes de coucirct et de deacutelai Repeatable sa mesure est reproductible
Time dependent la mesure deacutepend de la fenecirctre de temps utiliseacutee
Les caracteacuteristiques de la mesure deacutefinies dans lAnnexe A de lrsquoactuel projet de normeISOIEC 27004 doivent ecirctre deacutefinies pour chaque indicateur
25 Exemples drsquoindicateurs
Quelques exemples drsquoindicateurs sont donneacutes ci-apregraves La liste fournie nrsquoest pas exhaustive Ilest inteacuteressant de constater que certains indicateurs sont de nature opeacuterationnelle oustrateacutegique voire opeacuterationnelle et strateacutegique
Controcircle drsquoaccegraves
pourcentage drsquoutilisateurs dont le mot de passe respecte les principes de construction
pourcentage de systegravemes accessibles depuis lrsquoexteacuterieur et comprenant un IDS agrave jour
Controcircle des codes malveillants
nombre annuel dattaques reacuteussies par deacutefaut de mise agrave jour de la base virale
deacutelai de retour agrave la normale sur attaque virale
freacutequence de mise agrave jour de la base antivirus freacutequence drsquoeacutevaluation de la conformiteacute des politiques antivirales laquo locales raquo avec la
politique laquo globale raquo
Mise en œuvre du SMSI
pourcentage de deacuteclinaisons des principes de la politique de seacutecuriteacute de lrsquoorganisme enproceacutedures opeacuterationnelles
nombre mensuel drsquoincidents de seacutecuriteacute non reacutesolus
pourcentage de comiteacutes de pilotage de seacutecuriteacute tenus en accord avec le planning
pourcentage dactions correctives non meneacutees agrave terme
Maicirctrise des deacutepenses deacutepenses lieacutees agrave la seacutecuriteacute selon diffeacuterents critegraveres nombre dalertes dincidents etc
Formation
pourcentage du budget global de formation consacreacute agrave la seacutecuriteacute des systegravemesdrsquoinformation
pourcentage de participants en fonction de la population cible agrave des sessions relatives agravela seacutecuriteacute des systegravemes drsquoinformation
taux de freacutequentation des formations aux proceacutedures dalerte par les personnes cleacutes descellules de crise
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1528
Les meacutetriques dans le cadre de la seacuterie 27000 - 13 - copy CLUSIF 2009
Seacutecuriteacute des logiciels applications
nombre de correctifs de seacutecuriteacute valideacutes apregraves analyse
taux de correctifs de seacutecuriteacute valideacutes mis en œuvre dans les deacutelais preacutevus
Seacutecuriteacute reacuteseau
nombre drsquoaudits et de tests de vulneacuterabiliteacute reacutealiseacutes sur la peacuteriode
Disponibiliteacute des services
taux de disponibiliteacute DNS accegraves internet messagerie
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1628
Les meacutetriques dans le cadre de la seacuterie 27000 - 14 - copy CLUSIF 2009
3 LES DIFFERENTS USAGES DES INDICATEURS
31 EacutevaluerCes indicateurs peuvent ecirctre reacutepartis dans les grandes familles suivantes
Les indicateurs laquo de conformiteacute raquo deacutecrivent le niveau dexigence souhaiteacute (ou constateacute)sur une mesure de seacutecuriteacute Par exemple en ce qui concerne la mesure de seacutecuriteacutelaquo Reacutealisation de sauvegardes raquo un indicateur de conformiteacute de seacutecuriteacute peut ecirctre lafreacutequence des sauvegardes ou le ratio du nombre de bandes externaliseacutees par rapport aunombre total de bandes
Les indicateurs laquo defficaciteacute raquo deacutecrivent leacutetat du fonctionnement de la mesure deseacutecuriteacute Sur le mecircme exemple de la laquo Reacutealisation de sauvegardes raquo un nombre eacuteleveacute de
tests de restaurations deacutefectueux peut deacutemontrer un mauvais fonctionnement dessauvegardes
Les indicateurs laquo defficience raquo visent agrave rapprocher lefficaciteacute de la mesure de seacutecuriteacuteau regard de limportance des moyens mis en œuvre
32 Piloter
Toute activiteacute (production projet processus etc) implique la deacutetermination drsquoindicateurs depilotage Ces derniers permettent
drsquoappreacutecier lavancement correct du projet drsquoeacutevaluer une situation
de deacutetecter un risque
de deacuteclencher une alerte
Le choix des indicateurs peut deacutependre des objectifs de lrsquoactiviteacute (coucircts deacutelais performanceetc) mais aussi ecirctre lieacute agrave des processus transverses (management support etc)
Nous pourrons ainsi avoir les indicateurs suivants sur diffeacuterentes eacutechelles de temps anneacuteemois semaine jour
nombre de machines infecteacutees par des virus nombre de machines
nombre de messages infecteacutes par des virus nombre de messages
nombre de machines agrave jour nombre de machines
temps moyen et maximum de mise agrave jour du parc
nombre drsquoattaques virales identifieacutees bloqueacutees exeacutecuteacutees
impact de ses attaques en heures de travail perdues financier
raison des infections mise agrave jour non effectueacutee seacutecuriteacute non appliqueacutee malveillancehellip
variation du taux drsquoinfection et tentatives drsquoinfection sur les 12 derniers mois
etc
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1728
Les meacutetriques dans le cadre de la seacuterie 27000 - 15 - copy CLUSIF 2009
Ces indicateurs peuvent aussi ecirctre eacuteleacutementaires ou plus syntheacutetiques Par exemplelrsquoagreacutegation de certains indicateurs informatiques avec les indicateurs eacuteconomiques Lelaquo Ratio du nombre annuel drsquoaccords de confidentialiteacutes (NDA ndash Non disclosure agreement)signeacutes par rapport au nombre de prestataires preacutesents dans lrsquoorganisme raquo en est un exemple
33 Communiquer
Des indicateurs sont aussi utiliseacutes pour communiquer en interne ou en externe Leur naturesera diffeacuterente en fonction des acteurs viseacutes et de leur objectif de communication(sensibiliser faire passer des ideacutees justifierhellip)
Par exemple pour communiquer autour de la lutte antivirale
nombre drsquoheures de travail perdues suite agrave une attaque virale
variation du taux drsquoinfection sur les douze derniers mois (justification du budget)
nombre drsquoattaques virales provenant drsquoun support externe
34 Sautoeacutevaluer
Cette eacutevaluation peut ecirctre reacutealiseacutee en interne par lrsquoeacutequipe en charge de la fonction comme parlrsquoeacutequipe drsquoaudit ou de controcircle interne
Elle se situe par rapport agrave un reacutefeacuterentiel interne ou externe ou par rapport agrave un objectifarbitraire ou reacutesultant drsquoune expeacuterience passeacutee et deacutejagrave mesureacutee
Les indicateurs citeacutes comme exemple dans les paragraphes preacuteceacutedents peuvent notammentservir dans le cadre drsquoune autoeacutevaluation
35 Contribuer agrave lrsquoobtention drsquoune certification
Ces indicateurs servent agrave
appreacutecier lrsquoavancement dans le processus de certification
obtenir la certification
et surtout la conserver
Sans ecirctre obligatoire pour lrsquoobtention de la certification ISOIEC 270012005 la mise enplace drsquoindicateurs simplifie grandement le cheminement vers celle-ci
36 Reacutepondre agrave un audit
Les indicateurs servent agrave informer lrsquoauditeur agrave justifier des mesures de seacutecuriteacute mises enplace et des correctifs en cours
Les indicateurs preacutesenteacutes lors drsquoaudits contribuent agrave lrsquoanalyse de risque et srsquoappreacutecient parrapport agrave un reacutefeacuterentiel externe
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1828
Les meacutetriques dans le cadre de la seacuterie 27000 - 16 - copy CLUSIF 2009
4 LES TRAVAUX NORMATIFS EN COURS
(ISOIEC 27004)
Ce document a eacuteteacute reacutedigeacute alors que la norme ISOIEC 27004 nrsquoeacutetait pas stabiliseacutee (versionCD) il est toutefois permis de penser que lrsquointeacuterecirct du document justifie les travaux entreprisci-apregraves sous reacuteserve de possibles eacutevolutions
Ce projet de norme au sein de la seacuterie 27000 constitue un guide [agrave usage facultatif] delaquo Mesurage et meacutetriques raquo dans le cadre drsquoun SMSI (Systegraveme de Management de la Seacutecuriteacutede lrsquoInformation) tel que deacutefini dans lrsquoISOIEC 270012005
Les domaines suivants sont abordeacutes
preacutesentation du processus de mesurage
rocircles et responsabiliteacutes
conception des indicateurs production et mise en forme des indicateurs
analyse et reporting
ameacutelioration du processus de mesurage
Une premiegravere annexe preacutesente un modegravele commenteacute drsquoune fiche drsquoindicateur (cf Annexe A)La seconde annexe preacutesente plusieurs exemples drsquoattributs de meacutetriques ou drsquoindicateurs (cfAnnexe B)
41 Concepts de meacutetriquesUn processus de mesure a pour but de veacuterifier que les objectifs de seacutecuriteacute fondeacutes notammentsur lrsquoanalyse de risque et la conformiteacute aux dispositions leacutegales et reacuteglementaires sontatteints
Il se compose de phases de collecte drsquoinformations et drsquoanalyse Par comparaison agrave descritegraveres de deacutecision ces phases permettent lrsquoobtention drsquoinformations de seacutecuriteacute etlrsquoameacutelioration continue du management de la seacutecuriteacute
Les mesures peuvent ecirctre eacuteleacutementaires ou deacuteriveacutees
une mesure eacuteleacutementaire1
est la valeur drsquoun laquo attribut raquo obtenue par une meacutethode decalcul
une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesureseacuteleacutementaires
Pour chaque type de mesure (eacuteleacutementaire ou deacuteriveacutee) il convient de faire en sorte que desobjectifs de conformiteacute ou de performance soient mis en eacutevidence
Le modegravele du processus de mesure proposeacute comprend un processus de remonteacutee demesures eacuteleacutementaires et de mesures deacuteriveacutees qui contribuent agrave la fabrication drsquoindicateurslesquels seront compareacutes individuellement agrave leur critegravere de deacutecision Lrsquoefficaciteacute du systegraveme
1 Une mesure eacuteleacutementaire peut dans certains cas correspondre directement agrave un indicateur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1928
Les meacutetriques dans le cadre de la seacuterie 27000 - 17 - copy CLUSIF 2009
de management srsquoappreacutecie en comparant les reacutesultats issus des mesures effectueacutees avec leursobjectifs initiaux
Dans le projet de norme les preacutecisions suivantes sont apporteacutees
les objectifs du processus de mesure sont clairement eacutetablis (eacutevaluer fournir des
donneacutees faciliter lrsquoeacutevolution communiquer) En revanche le peacuterimegravetre sur lequelsrsquoapplique ce processus ainsi que la meacutethodologie drsquoimpleacutementation restent agrave lrsquoinitiativede chacun
lrsquoimplication du management dans le processus de mesure est souligneacutee notamment surson engagement ses responsabiliteacutes et les ressources agrave mettre en œuvre
les diffeacuterents rocircles qui devraient ecirctre assigneacutes par le Management concernant leprocessus de mesure sont preacuteciseacutes le fournisseur le client le collecteur lecommunicateur le reacute-examinateur (cf deacutefinitions dans lrsquoannexe A du preacutesentdocument) Ces diffeacuterents rocircles devront faire lrsquoobjet de proceacutedures drsquohabilitationprenant en compte les contraintes de seacuteparation des tacircches et les compeacutetencestechniques neacutecessaires
42 Concevoir des meacutetriques
Des meacutetriques doivent ecirctre creacuteeacutes pour eacutevaluer lrsquoefficaciteacute du SMSI controcircler lrsquoatteinte desobjectifs identifier valider et ameacuteliorer les mesures de seacutecuriteacute speacutecifiques
Pour cela il faut pour chaque meacutetrique agrave partir drsquoune analyse de risque et de lrsquoeacutetat initial
identifier et choisir des objectifs
documenter et planifier lrsquoactiviteacute de mesurage (lrsquoannexe A du preacutesent document
preacutesente un modegravele de fiche sur ce thegraveme) en particulier concernant la meacutethode decollecte de stockage drsquoarchivage de veacuterification et drsquoanalyse des donneacutees ainsi que lamise en place du processus de mesurage
deacutefinir les principaux acteurs et les ressources neacutecessaires
srsquoassurer de la pertinence des mesurages qui devraient veacuterifier les critegraveres SMART(Specific Measurable Attainable Repeatable Time dependant)
43 Mettre en place des meacutetriques
La mise en place permanente de la collecte de la conservation et de lrsquoanalyse des donneacutees apour but drsquoassurer la compreacutehension et lrsquoameacutelioration du SMSI Ce processus doitaccompagner les eacutevolutions du SMSI
Cette rubrique dans le projet de norme constitue un guide pratique opeacuterationnel qui preacuteciseles conditions de
collecte des donneacutees (en speacutecifiant la date lrsquoheure le proprieacutetairehellip)
validation
traitement
diffusion
conservation
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2028
Les meacutetriques dans le cadre de la seacuterie 27000 - 18 - copy CLUSIF 2009
Il importe que les reacutesultats des indicateurs servent agrave eacutevaluer lrsquoefficaciteacute des dispositifs deseacutecuriteacute (de preacutevention deacutetection correction ou reacutecupeacuteration) en place Dans un secondtemps cette base drsquoindicateurs constitueacutee permettra de soutenir un processus de deacutecision dansle choix de nouveaux dispositifs
44 Utiliser communiquer et ameacuteliorer les meacutetriques
Lrsquoanalyse des donneacutees et leur interpreacutetation consistent agrave les rapprocher des critegraveres dedeacutecision preacutealablement deacutefinis (Annexe A)
Le but de lrsquoanalyse est de pouvoir identifier les eacutecarts entre la performance attendue et cellereacutealiseacutee Les causes de non-conformiteacute et de mauvaise performance pourront ecirctre ainsiidentifieacutees en fonction des dispositifs de seacutecuriteacute qui
ne sont pas opeacuterationnels
sont impleacutementeacutes mais ne fonctionnement pas correctement sont impleacutementeacutes fonctionnent correctement mais ne couvrent pas les menaces
estimeacutees
sont impleacutementeacutes fonctionnent correctement mais toutes les menaces ne sont pascouvertes
Les conclusions des analyses devraient ecirctre revues par toutes les parties prenantes ndash dans lesens laquo stakeholders raquo ndash pour assurer la bonne interpreacutetation de la donneacutee A cette fin lesreacutesultats des analyses devraient ecirctre suffisamment documenteacutes
La consolidation de ces reacutesultats devra intervenir dans des tableaux de bord pour unecommunication agrave qui de droit
Les mesures peuvent ecirctre utiliseacutees agrave diverses fins
eacutevaluer lrsquoefficaciteacute des dispositifs de seacutecuriteacute
critiquer les appreacuteciations et les traitements des risques
deacutemontrer les progregraves
se comparer au sein ou entre organisations
45 Ameacuteliorer le processus de mesure
Lrsquoefficaciteacute du processus de mesure doit ecirctre examineacutee peacuteriodiquement afin de lrsquoameacuteliorerNeacuteanmoins les donneacutees de base doivent faire lrsquoobjet de sauvegardes reacuteguliegraveres et peacuterennesafin de pouvoir recalculer les meacutetriques en fonction de leurs diffeacuterentes eacutevolutions
Des eacutevolutions peuvent ecirctre envisageacutees quand lrsquoorganisation introduit de nouveaux objectifsde mesure points de mesure de nouvelles meacutethodes ou fonctions de mesure
Le processus de mesure devrait ecirctre eacutevalueacute en termes drsquoutiliteacute et reacuteexamineacute agrave chaque fois quelrsquoorganisation change Il importe de srsquoassurer que les mesures reflegravetent un eacutetat agrave jour de laseacutecuriteacute et de veacuterifier que les donneacutees sous-jacentes sont encore valides Il est eacutegalementimportant de valider la pertinence des hypothegraveses
Il srsquoagit aussi drsquoeacutevaluer lrsquoutiliteacute de la mesure et le coucirct du processus de mesure afin dedeacuteterminer la pertinence de sa modification ou de sa suppression
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2128
Les meacutetriques dans le cadre de la seacuterie 27000 - 19 - copy CLUSIF 2009
5 CONCLUSION
LrsquoISOIEC 270012005 insiste sur lrsquoimportance de mesurer lrsquoefficaciteacute des processus du
SMSI des mesures de seacutecuriteacute mises en œuvre et du processus de mesurage lui-mecircme2
Cependant cette norme ne preacutecise pas comment mesurer cette efficaciteacute Elle se contentedrsquoindiquer qursquoune meacutethode est agrave deacutefinir
A cette fin le preacutesent document apporte un eacuteclairage aux RSSI auditeurs internes acteurs ducontrocircle permanent et managers dans la deacutefinition et la mise en œuvre des indicateurs adapteacutesagrave leurs exigences selon des processus qui devraient figurer dans la norme ISOIEC 27004
LrsquoISOIEC 27004 est un guide qui compleacutetera lrsquoISOIEC 270012005 en fournissant deslignes directrices et des conseils sur
la conception
la mise en œuvre
lrsquoanalyse et la communication des reacutesultats
lrsquoameacutelioration du processus de mesurage drsquoun SMSI
Cette future norme devrait ecirctre publieacutee prochainement La seacuterie ISOIEC 27000 a eacuteteacutecompleacuteteacutee de lrsquoISOIEC 270052008 et de lrsquoISOIEC 27003 (preacutevue en 2009) qui traitentrespectivement de la gestion du risque et de la mise en œuvre drsquoun SMSI
2 cf clauses 02c 02d 422d 423c 431g 72f et 73e
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2228
Les meacutetriques dans le cadre de la seacuterie 27000 - 20 - copy CLUSIF 2009
ANNEXE A FICHE DESCRIPTIVE
Modegravele de fiche descriptive drsquoune mesure
Cette fiche est inspireacutee de lrsquoISOIEC FCD 27004
Identification de la mesure
Nom de la mesure Nom de la mesure
Identifiant de la mesure Identifiant numeacuterique unique speacutecifique agrave lrsquoorganisme
Objectif de la mesureDeacutecrit lrsquoobjectif de la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure de
seacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (1)Facultatif Deacutecrit la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure deseacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (2)Facultatif Deacutecrit dautres mesures de seacutecuriteacute (agrave mettre ou deacutejagrave mise en œuvre) faisant lrsquoobjet le caseacutecheacuteant de la mecircme mesure (reacutefeacuterence aux mesures de seacutecuriteacute de lrsquoannexe A de la normeISO 27001)
Objectif de la mesure Deacutefinit le but de la mesure
Reacute examinateurPersonne ou uniteacute organisationnelle qui examine et valide que les critegraveres deacutevaluation de la mesuresont approprieacutes pour veacuterifier lefficaciteacute des mesures de seacutecuriteacute et des processus du SMSI
Objets du mesurage et attributs
Objet du mesurage
Objet qui doit ecirctre mesureacute et qui est caracteacuteriseacute par la mesurabiliteacute de ses attributs Les objets peuvent
comprendre des processus des systegravemes ou des composants de systegravemes
AttributsProprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacutee quantitativement ou qualitativementpar des moyens humains ou automatiques
Speacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesUne mesure eacuteleacutementaire est deacutefinie en fonction dun attribut et de la meacutethode de mesurage speacutecifieacuteepour le quantifier (par exemple le nombre de personnel formeacute le nombre de sites le coucirct cumuleacute agravece jour) Au moment ougrave la donneacutee est collecteacutee une valeur est affecteacutee agrave une mesure eacuteleacutementaire
Meacutethodes de mesurage Suite logique drsquoopeacuterations qui permettent de quantifier un attribut selon une eacutechelle
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure eacuteleacutementaire
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesures eacuteleacutementaires
Fonction de mesurageSuite logique drsquoopeacuterations qui permettent de calculer la mesure deacuteriveacutee Pour les mesures deacuteriveacutees lafonction par laquelle les mesures deacuteriveacutees fondeacutees sur des mesures eacuteleacutementaires correspondantes etla preacutecision cumulative reacutesultante sont agreacutegeacutees
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure deacuteriveacutee
Speacutecification de lrsquoindicateur
Description dindicateur etexemple
Preacutesentation dune ou plusieurs mesures (eacuteleacutementaires ou deacuteriveacutees) qui fournit une estimation ou uneeacutevaluation dattributs speacutecifieacutes reacutesultant dun modegravele analytique en ce qui concerne des besoins delinformation deacutefinis Un indicateur est souvent preacutesenteacute agrave lrsquoaide drsquoun graphique ou drsquoun diagrammeInclure un croquis de lindicateur
Modegravele analytique Algorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires etou deacuteriveacutees avec lescritegraveres de deacutecision associeacutes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2328
Les meacutetriques dans le cadre de la seacuterie 27000 - 21 - copy CLUSIF 2009
Critegravere de deacutecisionSeuil cible ou modegravele utiliseacute pour deacuteterminer la neacutecessiteacute dune action ou un compleacutement denquecircteou pour deacutecrire le niveau de confiance dans un reacutesultat donneacute
Interpreacutetation dindicateurDescription de la faccedilon dont lindicateur exemple (voir la figure exemple dans la description delindicateur) devrait ecirctre interpreacuteteacute
Effets impact Deacutefinition des effets et de lrsquoimpact issu des reacutesultats obtenus par la mesure
Causes drsquoeacutecart Deacutefinition des causes possibles agrave lrsquoorigine drsquoeacutecarts des reacutesultats
Valeurs positivesDeacuteclaration expliquant si les valeurs en laquo croissance raquo indiquent des tendances positives (bonreacutesultat) ou si les valeurs en laquo deacutecroissance raquo doivent ecirctre consideacutereacutees comme des tendancespositives
Format de restitution
Le format de la restitution devrait ecirctre preacuteciseacute et documenteacute Il deacutecrit les observations quelrsquoorganisation ou le proprieacutetaire de lrsquoinformation peut vouloir sur lrsquoenregistrement Les formats derapport deacutecriront visuellement les mesures et fourniront une explication verbale des indicateurs Ilsdevraient ecirctre personnaliseacutes en fonction du laquo client de linformation raquo (ce terme est deacutefini ci-apregraves)
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des
donneacutees
Freacutequence agrave laquelle les donneacutees sont collecteacutees
Fournisseur de lrsquoinformationPersonne ou uniteacute organisationnelle qui deacutetient lrsquoinformation pour creacuteer les mesures eacuteleacutementairesCelui qui va contribuer agrave la meacutetrique produire lrsquoinformation pour le calcul de la meacutetrique
Collecteur de lrsquoinformationPersonne ou uniteacute organisationnelle en charge de collecter enregistrer et stocker les informationsCelui qui va obtenir la meacutetrique
Outils utiliseacutes dans la collectedes donneacutees
Liste les outils utiliseacutes dans la collecte des donneacutees (par exemple un scanner de vulneacuterabiliteacute)
Conservation des donneacuteescollecteacutees
Liste les outils ougrave les donneacutees sont conserveacutees apregraves avoir eacuteteacute collecteacutees (par exemple une base dedonneacutees)
Date de collecte Date agrave laquelle la donneacutee devrait ecirctre obtenue
Proceacutedure drsquoenregistrement
des donneacuteesDeacutefinit la proceacutedure drsquoenregistrement des donneacutees (lien vers la proceacutedure correspondante)
Validiteacute de la mesure Date de reacutevision (date drsquoexpiration ou de validiteacute de renouvellement) de la mesure
Peacuteriode drsquoanalyse Deacutefinit la peacuteriode mesureacutee
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitutiondes donneacutees
Freacutequence agrave laquelle les donneacutees sont restitueacutees (cette freacutequence peut ecirctre infeacuterieure agrave celle decollecte)
Communicateur delrsquoinformation
Personne ou uniteacute organisationnelle responsable de lrsquoanalyse de lrsquoinformation et de la communicationdes reacutesultats des mesuresCelui qui va analyser la meacutetrique
Source drsquoinformation pour
lrsquoanalyse
Liste les sources drsquoinformation utiles pour lrsquoanalyse de reacutesultats (documents journaux entretien
etc)Outils utiliseacutes dans lrsquoanalyse Liste les outils utiliseacutes pour lrsquoanalyse (par exemple des outils statistiques)
Client de lrsquoinformationLa personne ou lrsquouniteacute organisationnelle qui demande ou requiert les mesures pour les besoins de sonactiviteacuteCelui qui va utiliser la meacutetrique
Information compleacutementaire
Conseils danalyseCompleacutementaires
Fournit des conseils compleacutementaires sur les variations de cette mesure
Consideacuterations de mise enœuvre
Liste les processus ou les exigences de mise en œuvre qui sont neacutecessaires pour la reacuteussite de la miseen œuvre
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2428
Les meacutetriques dans le cadre de la seacuterie 27000 - 22 - copy CLUSIF 2009
Exemple drsquoutilisation de la fiche
Identification de la mesure
Nom de la mesure Revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Identifiant de la mesure R1-A1124
Objectif de la mesure de seacutecuriteacuteA1124 [270012005]
Mesure de seacutecuriteacute (1)Les managers doivent dans leur peacuterimegravetre reacuteexaminer les droits drsquoaccegraves des utilisateurs agraveintervalles reacuteguliers par le biais drsquoun processus formel
Mesure de seacutecuriteacute (2) Revue des accegraves au reacuteseau informatique
Objectif de la mesure
Mesurer le pourcentage de manager deacuteclarant avoir effectueacute des controcircles sur les droits drsquoaccegravesutilisateurs de leur peacuterimegravetre ce qui permet drsquoeacutevaluer
bull la prise de conscience des managers vis-agrave-vis des risques drsquoaccegraves non fondeacutesfrauduleux ou obsolegravetes aux SI
bull lrsquoimplication du management dans le processus de maicirctrise et de gestion du risqueinformatique
Reacute examinateur Direction des Risques
Objets du mesurage et attributs
Objet du mesurage Processus de revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Attributs Attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateursSpeacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesExistence drsquoune attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateurs parchacun des managers
Meacutethodes de mesurageTous les trimestres les managers enverront un email standardiseacute au Deacutepartement Seacutecuriteacute desSI attestant que les accegraves des utilisateurs ont eacuteteacute revus pour leur peacuterimegravetre
Echelle Numeacuterique
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Taux drsquoattestations retourneacutees par les managers sur le trimestre eacutetudieacute
Fonction de mesurage
Taux dattestations retourneacutees par les managers sur le trimestre eacutetudieacute = (nombre dattestations
retourneacutees par les managers Total dattestations attendues dans le trimestre) 100
Echelle Ratio pourcentage
Speacutecification de lrsquoindicateur
Description dindicateur et exemple Courbe montrant lrsquoindicateur sur plusieurs peacuteriodes de restitution
Modegravele analytique
Satisfaisant si gt= 90Globalement satisfaisant si 80 lt lt 90Moyennement satisfaisant si 70 lt= lt= 80Insatisfaisant si lt 70
Critegravere de deacutecision Seuil min 80
Interpreacutetation dindicateurUn reacutesultat insatisfaisant indique un manque drsquoengagement des managers dans la gestion des
risques lieacutes agrave la seacutecuriteacute des SIEffets impact Si reacutesultats insatisfaisants lrsquoindicateur est remonteacute agrave la Direction Geacuteneacuterale pour action
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2528
Les meacutetriques dans le cadre de la seacuterie 27000 - 23 - copy CLUSIF 2009
Causes drsquoeacutecart Les reacuteorganisations fonctionnelles de lrsquoentreprise
Valeurs positives Des valeurs croissantes indiquent des tendances positives
Format de restitution Tableau Excel standardiseacute
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des donneacutees Trimestrielle
Fournisseur de lrsquoinformation Chaque manager
Collecteur de lrsquoinformation Le RSSI
Outils utiliseacutes dans la collecte desdonneacutees
Mail courrier
Conservation des donneacutees collecteacutees Reacutepertoire speacutecifique du disque reacuteseau
Date de collecte Pour le 15 de chaque deacutebut de trimestre
Proceacutedure drsquoenregistrement desdonneacutees
EhellipNOV08R1-A11-2-4XLS
Validiteacute de la mesure Annuelle
Peacuteriode drsquoanalyse Du 1er janvier au 31 deacutecembre de lrsquoanneacutee en cours
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitution desdonneacutees
Trimestrielle
Communicateur de lrsquoinformation Le RSSI
Source drsquoinformation pour lrsquoanalyse Rapports drsquoentretiens
Outils utiliseacutes dans lrsquoanalyse Excel
Client de lrsquoinformation Direction des Risques
Information compleacutementaire
Conseils danalyse Compleacutementaires NA
Consideacuterations de mise en œuvre NA
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2628
Les meacutetriques dans le cadre de la seacuterie 27000 - 24 - copy CLUSIF 2009
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE
METRIQUES ET OU DrsquoINDICATEURS
Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI
Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A8 Seacutecuriteacute lieacutee aux ressources humaines
A81 Avant le recrutement
A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute
A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat
A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur
A82 Pendant la dureacutee du contrat
A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute
A822 Sensibilisation qualification et formations
en matiegravere de seacutecuriteacute de lrsquoinformation
Nombre de personnes formeacutees an
A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque
A83 Fin ou modification du contrat
A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat
A832 Restitution des actifs Coucirct des biens non rendus en fin de mission
A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai
A9 Seacutecuriteacute physique et environnementale
A91 Zones seacutecuriseacutees
A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees
A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)
A913 Seacutecurisation des bureaux des salles et deseacutequipements
Nombre annuel de disparition de biens informatiques dans les locaux
A914 Protection contre les menaces exteacuterieures etenvironnementales
Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle
A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1528
Les meacutetriques dans le cadre de la seacuterie 27000 - 13 - copy CLUSIF 2009
Seacutecuriteacute des logiciels applications
nombre de correctifs de seacutecuriteacute valideacutes apregraves analyse
taux de correctifs de seacutecuriteacute valideacutes mis en œuvre dans les deacutelais preacutevus
Seacutecuriteacute reacuteseau
nombre drsquoaudits et de tests de vulneacuterabiliteacute reacutealiseacutes sur la peacuteriode
Disponibiliteacute des services
taux de disponibiliteacute DNS accegraves internet messagerie
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1628
Les meacutetriques dans le cadre de la seacuterie 27000 - 14 - copy CLUSIF 2009
3 LES DIFFERENTS USAGES DES INDICATEURS
31 EacutevaluerCes indicateurs peuvent ecirctre reacutepartis dans les grandes familles suivantes
Les indicateurs laquo de conformiteacute raquo deacutecrivent le niveau dexigence souhaiteacute (ou constateacute)sur une mesure de seacutecuriteacute Par exemple en ce qui concerne la mesure de seacutecuriteacutelaquo Reacutealisation de sauvegardes raquo un indicateur de conformiteacute de seacutecuriteacute peut ecirctre lafreacutequence des sauvegardes ou le ratio du nombre de bandes externaliseacutees par rapport aunombre total de bandes
Les indicateurs laquo defficaciteacute raquo deacutecrivent leacutetat du fonctionnement de la mesure deseacutecuriteacute Sur le mecircme exemple de la laquo Reacutealisation de sauvegardes raquo un nombre eacuteleveacute de
tests de restaurations deacutefectueux peut deacutemontrer un mauvais fonctionnement dessauvegardes
Les indicateurs laquo defficience raquo visent agrave rapprocher lefficaciteacute de la mesure de seacutecuriteacuteau regard de limportance des moyens mis en œuvre
32 Piloter
Toute activiteacute (production projet processus etc) implique la deacutetermination drsquoindicateurs depilotage Ces derniers permettent
drsquoappreacutecier lavancement correct du projet drsquoeacutevaluer une situation
de deacutetecter un risque
de deacuteclencher une alerte
Le choix des indicateurs peut deacutependre des objectifs de lrsquoactiviteacute (coucircts deacutelais performanceetc) mais aussi ecirctre lieacute agrave des processus transverses (management support etc)
Nous pourrons ainsi avoir les indicateurs suivants sur diffeacuterentes eacutechelles de temps anneacuteemois semaine jour
nombre de machines infecteacutees par des virus nombre de machines
nombre de messages infecteacutes par des virus nombre de messages
nombre de machines agrave jour nombre de machines
temps moyen et maximum de mise agrave jour du parc
nombre drsquoattaques virales identifieacutees bloqueacutees exeacutecuteacutees
impact de ses attaques en heures de travail perdues financier
raison des infections mise agrave jour non effectueacutee seacutecuriteacute non appliqueacutee malveillancehellip
variation du taux drsquoinfection et tentatives drsquoinfection sur les 12 derniers mois
etc
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1728
Les meacutetriques dans le cadre de la seacuterie 27000 - 15 - copy CLUSIF 2009
Ces indicateurs peuvent aussi ecirctre eacuteleacutementaires ou plus syntheacutetiques Par exemplelrsquoagreacutegation de certains indicateurs informatiques avec les indicateurs eacuteconomiques Lelaquo Ratio du nombre annuel drsquoaccords de confidentialiteacutes (NDA ndash Non disclosure agreement)signeacutes par rapport au nombre de prestataires preacutesents dans lrsquoorganisme raquo en est un exemple
33 Communiquer
Des indicateurs sont aussi utiliseacutes pour communiquer en interne ou en externe Leur naturesera diffeacuterente en fonction des acteurs viseacutes et de leur objectif de communication(sensibiliser faire passer des ideacutees justifierhellip)
Par exemple pour communiquer autour de la lutte antivirale
nombre drsquoheures de travail perdues suite agrave une attaque virale
variation du taux drsquoinfection sur les douze derniers mois (justification du budget)
nombre drsquoattaques virales provenant drsquoun support externe
34 Sautoeacutevaluer
Cette eacutevaluation peut ecirctre reacutealiseacutee en interne par lrsquoeacutequipe en charge de la fonction comme parlrsquoeacutequipe drsquoaudit ou de controcircle interne
Elle se situe par rapport agrave un reacutefeacuterentiel interne ou externe ou par rapport agrave un objectifarbitraire ou reacutesultant drsquoune expeacuterience passeacutee et deacutejagrave mesureacutee
Les indicateurs citeacutes comme exemple dans les paragraphes preacuteceacutedents peuvent notammentservir dans le cadre drsquoune autoeacutevaluation
35 Contribuer agrave lrsquoobtention drsquoune certification
Ces indicateurs servent agrave
appreacutecier lrsquoavancement dans le processus de certification
obtenir la certification
et surtout la conserver
Sans ecirctre obligatoire pour lrsquoobtention de la certification ISOIEC 270012005 la mise enplace drsquoindicateurs simplifie grandement le cheminement vers celle-ci
36 Reacutepondre agrave un audit
Les indicateurs servent agrave informer lrsquoauditeur agrave justifier des mesures de seacutecuriteacute mises enplace et des correctifs en cours
Les indicateurs preacutesenteacutes lors drsquoaudits contribuent agrave lrsquoanalyse de risque et srsquoappreacutecient parrapport agrave un reacutefeacuterentiel externe
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1828
Les meacutetriques dans le cadre de la seacuterie 27000 - 16 - copy CLUSIF 2009
4 LES TRAVAUX NORMATIFS EN COURS
(ISOIEC 27004)
Ce document a eacuteteacute reacutedigeacute alors que la norme ISOIEC 27004 nrsquoeacutetait pas stabiliseacutee (versionCD) il est toutefois permis de penser que lrsquointeacuterecirct du document justifie les travaux entreprisci-apregraves sous reacuteserve de possibles eacutevolutions
Ce projet de norme au sein de la seacuterie 27000 constitue un guide [agrave usage facultatif] delaquo Mesurage et meacutetriques raquo dans le cadre drsquoun SMSI (Systegraveme de Management de la Seacutecuriteacutede lrsquoInformation) tel que deacutefini dans lrsquoISOIEC 270012005
Les domaines suivants sont abordeacutes
preacutesentation du processus de mesurage
rocircles et responsabiliteacutes
conception des indicateurs production et mise en forme des indicateurs
analyse et reporting
ameacutelioration du processus de mesurage
Une premiegravere annexe preacutesente un modegravele commenteacute drsquoune fiche drsquoindicateur (cf Annexe A)La seconde annexe preacutesente plusieurs exemples drsquoattributs de meacutetriques ou drsquoindicateurs (cfAnnexe B)
41 Concepts de meacutetriquesUn processus de mesure a pour but de veacuterifier que les objectifs de seacutecuriteacute fondeacutes notammentsur lrsquoanalyse de risque et la conformiteacute aux dispositions leacutegales et reacuteglementaires sontatteints
Il se compose de phases de collecte drsquoinformations et drsquoanalyse Par comparaison agrave descritegraveres de deacutecision ces phases permettent lrsquoobtention drsquoinformations de seacutecuriteacute etlrsquoameacutelioration continue du management de la seacutecuriteacute
Les mesures peuvent ecirctre eacuteleacutementaires ou deacuteriveacutees
une mesure eacuteleacutementaire1
est la valeur drsquoun laquo attribut raquo obtenue par une meacutethode decalcul
une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesureseacuteleacutementaires
Pour chaque type de mesure (eacuteleacutementaire ou deacuteriveacutee) il convient de faire en sorte que desobjectifs de conformiteacute ou de performance soient mis en eacutevidence
Le modegravele du processus de mesure proposeacute comprend un processus de remonteacutee demesures eacuteleacutementaires et de mesures deacuteriveacutees qui contribuent agrave la fabrication drsquoindicateurslesquels seront compareacutes individuellement agrave leur critegravere de deacutecision Lrsquoefficaciteacute du systegraveme
1 Une mesure eacuteleacutementaire peut dans certains cas correspondre directement agrave un indicateur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1928
Les meacutetriques dans le cadre de la seacuterie 27000 - 17 - copy CLUSIF 2009
de management srsquoappreacutecie en comparant les reacutesultats issus des mesures effectueacutees avec leursobjectifs initiaux
Dans le projet de norme les preacutecisions suivantes sont apporteacutees
les objectifs du processus de mesure sont clairement eacutetablis (eacutevaluer fournir des
donneacutees faciliter lrsquoeacutevolution communiquer) En revanche le peacuterimegravetre sur lequelsrsquoapplique ce processus ainsi que la meacutethodologie drsquoimpleacutementation restent agrave lrsquoinitiativede chacun
lrsquoimplication du management dans le processus de mesure est souligneacutee notamment surson engagement ses responsabiliteacutes et les ressources agrave mettre en œuvre
les diffeacuterents rocircles qui devraient ecirctre assigneacutes par le Management concernant leprocessus de mesure sont preacuteciseacutes le fournisseur le client le collecteur lecommunicateur le reacute-examinateur (cf deacutefinitions dans lrsquoannexe A du preacutesentdocument) Ces diffeacuterents rocircles devront faire lrsquoobjet de proceacutedures drsquohabilitationprenant en compte les contraintes de seacuteparation des tacircches et les compeacutetencestechniques neacutecessaires
42 Concevoir des meacutetriques
Des meacutetriques doivent ecirctre creacuteeacutes pour eacutevaluer lrsquoefficaciteacute du SMSI controcircler lrsquoatteinte desobjectifs identifier valider et ameacuteliorer les mesures de seacutecuriteacute speacutecifiques
Pour cela il faut pour chaque meacutetrique agrave partir drsquoune analyse de risque et de lrsquoeacutetat initial
identifier et choisir des objectifs
documenter et planifier lrsquoactiviteacute de mesurage (lrsquoannexe A du preacutesent document
preacutesente un modegravele de fiche sur ce thegraveme) en particulier concernant la meacutethode decollecte de stockage drsquoarchivage de veacuterification et drsquoanalyse des donneacutees ainsi que lamise en place du processus de mesurage
deacutefinir les principaux acteurs et les ressources neacutecessaires
srsquoassurer de la pertinence des mesurages qui devraient veacuterifier les critegraveres SMART(Specific Measurable Attainable Repeatable Time dependant)
43 Mettre en place des meacutetriques
La mise en place permanente de la collecte de la conservation et de lrsquoanalyse des donneacutees apour but drsquoassurer la compreacutehension et lrsquoameacutelioration du SMSI Ce processus doitaccompagner les eacutevolutions du SMSI
Cette rubrique dans le projet de norme constitue un guide pratique opeacuterationnel qui preacuteciseles conditions de
collecte des donneacutees (en speacutecifiant la date lrsquoheure le proprieacutetairehellip)
validation
traitement
diffusion
conservation
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2028
Les meacutetriques dans le cadre de la seacuterie 27000 - 18 - copy CLUSIF 2009
Il importe que les reacutesultats des indicateurs servent agrave eacutevaluer lrsquoefficaciteacute des dispositifs deseacutecuriteacute (de preacutevention deacutetection correction ou reacutecupeacuteration) en place Dans un secondtemps cette base drsquoindicateurs constitueacutee permettra de soutenir un processus de deacutecision dansle choix de nouveaux dispositifs
44 Utiliser communiquer et ameacuteliorer les meacutetriques
Lrsquoanalyse des donneacutees et leur interpreacutetation consistent agrave les rapprocher des critegraveres dedeacutecision preacutealablement deacutefinis (Annexe A)
Le but de lrsquoanalyse est de pouvoir identifier les eacutecarts entre la performance attendue et cellereacutealiseacutee Les causes de non-conformiteacute et de mauvaise performance pourront ecirctre ainsiidentifieacutees en fonction des dispositifs de seacutecuriteacute qui
ne sont pas opeacuterationnels
sont impleacutementeacutes mais ne fonctionnement pas correctement sont impleacutementeacutes fonctionnent correctement mais ne couvrent pas les menaces
estimeacutees
sont impleacutementeacutes fonctionnent correctement mais toutes les menaces ne sont pascouvertes
Les conclusions des analyses devraient ecirctre revues par toutes les parties prenantes ndash dans lesens laquo stakeholders raquo ndash pour assurer la bonne interpreacutetation de la donneacutee A cette fin lesreacutesultats des analyses devraient ecirctre suffisamment documenteacutes
La consolidation de ces reacutesultats devra intervenir dans des tableaux de bord pour unecommunication agrave qui de droit
Les mesures peuvent ecirctre utiliseacutees agrave diverses fins
eacutevaluer lrsquoefficaciteacute des dispositifs de seacutecuriteacute
critiquer les appreacuteciations et les traitements des risques
deacutemontrer les progregraves
se comparer au sein ou entre organisations
45 Ameacuteliorer le processus de mesure
Lrsquoefficaciteacute du processus de mesure doit ecirctre examineacutee peacuteriodiquement afin de lrsquoameacuteliorerNeacuteanmoins les donneacutees de base doivent faire lrsquoobjet de sauvegardes reacuteguliegraveres et peacuterennesafin de pouvoir recalculer les meacutetriques en fonction de leurs diffeacuterentes eacutevolutions
Des eacutevolutions peuvent ecirctre envisageacutees quand lrsquoorganisation introduit de nouveaux objectifsde mesure points de mesure de nouvelles meacutethodes ou fonctions de mesure
Le processus de mesure devrait ecirctre eacutevalueacute en termes drsquoutiliteacute et reacuteexamineacute agrave chaque fois quelrsquoorganisation change Il importe de srsquoassurer que les mesures reflegravetent un eacutetat agrave jour de laseacutecuriteacute et de veacuterifier que les donneacutees sous-jacentes sont encore valides Il est eacutegalementimportant de valider la pertinence des hypothegraveses
Il srsquoagit aussi drsquoeacutevaluer lrsquoutiliteacute de la mesure et le coucirct du processus de mesure afin dedeacuteterminer la pertinence de sa modification ou de sa suppression
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2128
Les meacutetriques dans le cadre de la seacuterie 27000 - 19 - copy CLUSIF 2009
5 CONCLUSION
LrsquoISOIEC 270012005 insiste sur lrsquoimportance de mesurer lrsquoefficaciteacute des processus du
SMSI des mesures de seacutecuriteacute mises en œuvre et du processus de mesurage lui-mecircme2
Cependant cette norme ne preacutecise pas comment mesurer cette efficaciteacute Elle se contentedrsquoindiquer qursquoune meacutethode est agrave deacutefinir
A cette fin le preacutesent document apporte un eacuteclairage aux RSSI auditeurs internes acteurs ducontrocircle permanent et managers dans la deacutefinition et la mise en œuvre des indicateurs adapteacutesagrave leurs exigences selon des processus qui devraient figurer dans la norme ISOIEC 27004
LrsquoISOIEC 27004 est un guide qui compleacutetera lrsquoISOIEC 270012005 en fournissant deslignes directrices et des conseils sur
la conception
la mise en œuvre
lrsquoanalyse et la communication des reacutesultats
lrsquoameacutelioration du processus de mesurage drsquoun SMSI
Cette future norme devrait ecirctre publieacutee prochainement La seacuterie ISOIEC 27000 a eacuteteacutecompleacuteteacutee de lrsquoISOIEC 270052008 et de lrsquoISOIEC 27003 (preacutevue en 2009) qui traitentrespectivement de la gestion du risque et de la mise en œuvre drsquoun SMSI
2 cf clauses 02c 02d 422d 423c 431g 72f et 73e
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2228
Les meacutetriques dans le cadre de la seacuterie 27000 - 20 - copy CLUSIF 2009
ANNEXE A FICHE DESCRIPTIVE
Modegravele de fiche descriptive drsquoune mesure
Cette fiche est inspireacutee de lrsquoISOIEC FCD 27004
Identification de la mesure
Nom de la mesure Nom de la mesure
Identifiant de la mesure Identifiant numeacuterique unique speacutecifique agrave lrsquoorganisme
Objectif de la mesureDeacutecrit lrsquoobjectif de la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure de
seacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (1)Facultatif Deacutecrit la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure deseacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (2)Facultatif Deacutecrit dautres mesures de seacutecuriteacute (agrave mettre ou deacutejagrave mise en œuvre) faisant lrsquoobjet le caseacutecheacuteant de la mecircme mesure (reacutefeacuterence aux mesures de seacutecuriteacute de lrsquoannexe A de la normeISO 27001)
Objectif de la mesure Deacutefinit le but de la mesure
Reacute examinateurPersonne ou uniteacute organisationnelle qui examine et valide que les critegraveres deacutevaluation de la mesuresont approprieacutes pour veacuterifier lefficaciteacute des mesures de seacutecuriteacute et des processus du SMSI
Objets du mesurage et attributs
Objet du mesurage
Objet qui doit ecirctre mesureacute et qui est caracteacuteriseacute par la mesurabiliteacute de ses attributs Les objets peuvent
comprendre des processus des systegravemes ou des composants de systegravemes
AttributsProprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacutee quantitativement ou qualitativementpar des moyens humains ou automatiques
Speacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesUne mesure eacuteleacutementaire est deacutefinie en fonction dun attribut et de la meacutethode de mesurage speacutecifieacuteepour le quantifier (par exemple le nombre de personnel formeacute le nombre de sites le coucirct cumuleacute agravece jour) Au moment ougrave la donneacutee est collecteacutee une valeur est affecteacutee agrave une mesure eacuteleacutementaire
Meacutethodes de mesurage Suite logique drsquoopeacuterations qui permettent de quantifier un attribut selon une eacutechelle
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure eacuteleacutementaire
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesures eacuteleacutementaires
Fonction de mesurageSuite logique drsquoopeacuterations qui permettent de calculer la mesure deacuteriveacutee Pour les mesures deacuteriveacutees lafonction par laquelle les mesures deacuteriveacutees fondeacutees sur des mesures eacuteleacutementaires correspondantes etla preacutecision cumulative reacutesultante sont agreacutegeacutees
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure deacuteriveacutee
Speacutecification de lrsquoindicateur
Description dindicateur etexemple
Preacutesentation dune ou plusieurs mesures (eacuteleacutementaires ou deacuteriveacutees) qui fournit une estimation ou uneeacutevaluation dattributs speacutecifieacutes reacutesultant dun modegravele analytique en ce qui concerne des besoins delinformation deacutefinis Un indicateur est souvent preacutesenteacute agrave lrsquoaide drsquoun graphique ou drsquoun diagrammeInclure un croquis de lindicateur
Modegravele analytique Algorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires etou deacuteriveacutees avec lescritegraveres de deacutecision associeacutes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2328
Les meacutetriques dans le cadre de la seacuterie 27000 - 21 - copy CLUSIF 2009
Critegravere de deacutecisionSeuil cible ou modegravele utiliseacute pour deacuteterminer la neacutecessiteacute dune action ou un compleacutement denquecircteou pour deacutecrire le niveau de confiance dans un reacutesultat donneacute
Interpreacutetation dindicateurDescription de la faccedilon dont lindicateur exemple (voir la figure exemple dans la description delindicateur) devrait ecirctre interpreacuteteacute
Effets impact Deacutefinition des effets et de lrsquoimpact issu des reacutesultats obtenus par la mesure
Causes drsquoeacutecart Deacutefinition des causes possibles agrave lrsquoorigine drsquoeacutecarts des reacutesultats
Valeurs positivesDeacuteclaration expliquant si les valeurs en laquo croissance raquo indiquent des tendances positives (bonreacutesultat) ou si les valeurs en laquo deacutecroissance raquo doivent ecirctre consideacutereacutees comme des tendancespositives
Format de restitution
Le format de la restitution devrait ecirctre preacuteciseacute et documenteacute Il deacutecrit les observations quelrsquoorganisation ou le proprieacutetaire de lrsquoinformation peut vouloir sur lrsquoenregistrement Les formats derapport deacutecriront visuellement les mesures et fourniront une explication verbale des indicateurs Ilsdevraient ecirctre personnaliseacutes en fonction du laquo client de linformation raquo (ce terme est deacutefini ci-apregraves)
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des
donneacutees
Freacutequence agrave laquelle les donneacutees sont collecteacutees
Fournisseur de lrsquoinformationPersonne ou uniteacute organisationnelle qui deacutetient lrsquoinformation pour creacuteer les mesures eacuteleacutementairesCelui qui va contribuer agrave la meacutetrique produire lrsquoinformation pour le calcul de la meacutetrique
Collecteur de lrsquoinformationPersonne ou uniteacute organisationnelle en charge de collecter enregistrer et stocker les informationsCelui qui va obtenir la meacutetrique
Outils utiliseacutes dans la collectedes donneacutees
Liste les outils utiliseacutes dans la collecte des donneacutees (par exemple un scanner de vulneacuterabiliteacute)
Conservation des donneacuteescollecteacutees
Liste les outils ougrave les donneacutees sont conserveacutees apregraves avoir eacuteteacute collecteacutees (par exemple une base dedonneacutees)
Date de collecte Date agrave laquelle la donneacutee devrait ecirctre obtenue
Proceacutedure drsquoenregistrement
des donneacuteesDeacutefinit la proceacutedure drsquoenregistrement des donneacutees (lien vers la proceacutedure correspondante)
Validiteacute de la mesure Date de reacutevision (date drsquoexpiration ou de validiteacute de renouvellement) de la mesure
Peacuteriode drsquoanalyse Deacutefinit la peacuteriode mesureacutee
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitutiondes donneacutees
Freacutequence agrave laquelle les donneacutees sont restitueacutees (cette freacutequence peut ecirctre infeacuterieure agrave celle decollecte)
Communicateur delrsquoinformation
Personne ou uniteacute organisationnelle responsable de lrsquoanalyse de lrsquoinformation et de la communicationdes reacutesultats des mesuresCelui qui va analyser la meacutetrique
Source drsquoinformation pour
lrsquoanalyse
Liste les sources drsquoinformation utiles pour lrsquoanalyse de reacutesultats (documents journaux entretien
etc)Outils utiliseacutes dans lrsquoanalyse Liste les outils utiliseacutes pour lrsquoanalyse (par exemple des outils statistiques)
Client de lrsquoinformationLa personne ou lrsquouniteacute organisationnelle qui demande ou requiert les mesures pour les besoins de sonactiviteacuteCelui qui va utiliser la meacutetrique
Information compleacutementaire
Conseils danalyseCompleacutementaires
Fournit des conseils compleacutementaires sur les variations de cette mesure
Consideacuterations de mise enœuvre
Liste les processus ou les exigences de mise en œuvre qui sont neacutecessaires pour la reacuteussite de la miseen œuvre
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2428
Les meacutetriques dans le cadre de la seacuterie 27000 - 22 - copy CLUSIF 2009
Exemple drsquoutilisation de la fiche
Identification de la mesure
Nom de la mesure Revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Identifiant de la mesure R1-A1124
Objectif de la mesure de seacutecuriteacuteA1124 [270012005]
Mesure de seacutecuriteacute (1)Les managers doivent dans leur peacuterimegravetre reacuteexaminer les droits drsquoaccegraves des utilisateurs agraveintervalles reacuteguliers par le biais drsquoun processus formel
Mesure de seacutecuriteacute (2) Revue des accegraves au reacuteseau informatique
Objectif de la mesure
Mesurer le pourcentage de manager deacuteclarant avoir effectueacute des controcircles sur les droits drsquoaccegravesutilisateurs de leur peacuterimegravetre ce qui permet drsquoeacutevaluer
bull la prise de conscience des managers vis-agrave-vis des risques drsquoaccegraves non fondeacutesfrauduleux ou obsolegravetes aux SI
bull lrsquoimplication du management dans le processus de maicirctrise et de gestion du risqueinformatique
Reacute examinateur Direction des Risques
Objets du mesurage et attributs
Objet du mesurage Processus de revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Attributs Attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateursSpeacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesExistence drsquoune attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateurs parchacun des managers
Meacutethodes de mesurageTous les trimestres les managers enverront un email standardiseacute au Deacutepartement Seacutecuriteacute desSI attestant que les accegraves des utilisateurs ont eacuteteacute revus pour leur peacuterimegravetre
Echelle Numeacuterique
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Taux drsquoattestations retourneacutees par les managers sur le trimestre eacutetudieacute
Fonction de mesurage
Taux dattestations retourneacutees par les managers sur le trimestre eacutetudieacute = (nombre dattestations
retourneacutees par les managers Total dattestations attendues dans le trimestre) 100
Echelle Ratio pourcentage
Speacutecification de lrsquoindicateur
Description dindicateur et exemple Courbe montrant lrsquoindicateur sur plusieurs peacuteriodes de restitution
Modegravele analytique
Satisfaisant si gt= 90Globalement satisfaisant si 80 lt lt 90Moyennement satisfaisant si 70 lt= lt= 80Insatisfaisant si lt 70
Critegravere de deacutecision Seuil min 80
Interpreacutetation dindicateurUn reacutesultat insatisfaisant indique un manque drsquoengagement des managers dans la gestion des
risques lieacutes agrave la seacutecuriteacute des SIEffets impact Si reacutesultats insatisfaisants lrsquoindicateur est remonteacute agrave la Direction Geacuteneacuterale pour action
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2528
Les meacutetriques dans le cadre de la seacuterie 27000 - 23 - copy CLUSIF 2009
Causes drsquoeacutecart Les reacuteorganisations fonctionnelles de lrsquoentreprise
Valeurs positives Des valeurs croissantes indiquent des tendances positives
Format de restitution Tableau Excel standardiseacute
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des donneacutees Trimestrielle
Fournisseur de lrsquoinformation Chaque manager
Collecteur de lrsquoinformation Le RSSI
Outils utiliseacutes dans la collecte desdonneacutees
Mail courrier
Conservation des donneacutees collecteacutees Reacutepertoire speacutecifique du disque reacuteseau
Date de collecte Pour le 15 de chaque deacutebut de trimestre
Proceacutedure drsquoenregistrement desdonneacutees
EhellipNOV08R1-A11-2-4XLS
Validiteacute de la mesure Annuelle
Peacuteriode drsquoanalyse Du 1er janvier au 31 deacutecembre de lrsquoanneacutee en cours
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitution desdonneacutees
Trimestrielle
Communicateur de lrsquoinformation Le RSSI
Source drsquoinformation pour lrsquoanalyse Rapports drsquoentretiens
Outils utiliseacutes dans lrsquoanalyse Excel
Client de lrsquoinformation Direction des Risques
Information compleacutementaire
Conseils danalyse Compleacutementaires NA
Consideacuterations de mise en œuvre NA
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2628
Les meacutetriques dans le cadre de la seacuterie 27000 - 24 - copy CLUSIF 2009
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE
METRIQUES ET OU DrsquoINDICATEURS
Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI
Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A8 Seacutecuriteacute lieacutee aux ressources humaines
A81 Avant le recrutement
A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute
A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat
A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur
A82 Pendant la dureacutee du contrat
A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute
A822 Sensibilisation qualification et formations
en matiegravere de seacutecuriteacute de lrsquoinformation
Nombre de personnes formeacutees an
A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque
A83 Fin ou modification du contrat
A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat
A832 Restitution des actifs Coucirct des biens non rendus en fin de mission
A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai
A9 Seacutecuriteacute physique et environnementale
A91 Zones seacutecuriseacutees
A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees
A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)
A913 Seacutecurisation des bureaux des salles et deseacutequipements
Nombre annuel de disparition de biens informatiques dans les locaux
A914 Protection contre les menaces exteacuterieures etenvironnementales
Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle
A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1628
Les meacutetriques dans le cadre de la seacuterie 27000 - 14 - copy CLUSIF 2009
3 LES DIFFERENTS USAGES DES INDICATEURS
31 EacutevaluerCes indicateurs peuvent ecirctre reacutepartis dans les grandes familles suivantes
Les indicateurs laquo de conformiteacute raquo deacutecrivent le niveau dexigence souhaiteacute (ou constateacute)sur une mesure de seacutecuriteacute Par exemple en ce qui concerne la mesure de seacutecuriteacutelaquo Reacutealisation de sauvegardes raquo un indicateur de conformiteacute de seacutecuriteacute peut ecirctre lafreacutequence des sauvegardes ou le ratio du nombre de bandes externaliseacutees par rapport aunombre total de bandes
Les indicateurs laquo defficaciteacute raquo deacutecrivent leacutetat du fonctionnement de la mesure deseacutecuriteacute Sur le mecircme exemple de la laquo Reacutealisation de sauvegardes raquo un nombre eacuteleveacute de
tests de restaurations deacutefectueux peut deacutemontrer un mauvais fonctionnement dessauvegardes
Les indicateurs laquo defficience raquo visent agrave rapprocher lefficaciteacute de la mesure de seacutecuriteacuteau regard de limportance des moyens mis en œuvre
32 Piloter
Toute activiteacute (production projet processus etc) implique la deacutetermination drsquoindicateurs depilotage Ces derniers permettent
drsquoappreacutecier lavancement correct du projet drsquoeacutevaluer une situation
de deacutetecter un risque
de deacuteclencher une alerte
Le choix des indicateurs peut deacutependre des objectifs de lrsquoactiviteacute (coucircts deacutelais performanceetc) mais aussi ecirctre lieacute agrave des processus transverses (management support etc)
Nous pourrons ainsi avoir les indicateurs suivants sur diffeacuterentes eacutechelles de temps anneacuteemois semaine jour
nombre de machines infecteacutees par des virus nombre de machines
nombre de messages infecteacutes par des virus nombre de messages
nombre de machines agrave jour nombre de machines
temps moyen et maximum de mise agrave jour du parc
nombre drsquoattaques virales identifieacutees bloqueacutees exeacutecuteacutees
impact de ses attaques en heures de travail perdues financier
raison des infections mise agrave jour non effectueacutee seacutecuriteacute non appliqueacutee malveillancehellip
variation du taux drsquoinfection et tentatives drsquoinfection sur les 12 derniers mois
etc
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1728
Les meacutetriques dans le cadre de la seacuterie 27000 - 15 - copy CLUSIF 2009
Ces indicateurs peuvent aussi ecirctre eacuteleacutementaires ou plus syntheacutetiques Par exemplelrsquoagreacutegation de certains indicateurs informatiques avec les indicateurs eacuteconomiques Lelaquo Ratio du nombre annuel drsquoaccords de confidentialiteacutes (NDA ndash Non disclosure agreement)signeacutes par rapport au nombre de prestataires preacutesents dans lrsquoorganisme raquo en est un exemple
33 Communiquer
Des indicateurs sont aussi utiliseacutes pour communiquer en interne ou en externe Leur naturesera diffeacuterente en fonction des acteurs viseacutes et de leur objectif de communication(sensibiliser faire passer des ideacutees justifierhellip)
Par exemple pour communiquer autour de la lutte antivirale
nombre drsquoheures de travail perdues suite agrave une attaque virale
variation du taux drsquoinfection sur les douze derniers mois (justification du budget)
nombre drsquoattaques virales provenant drsquoun support externe
34 Sautoeacutevaluer
Cette eacutevaluation peut ecirctre reacutealiseacutee en interne par lrsquoeacutequipe en charge de la fonction comme parlrsquoeacutequipe drsquoaudit ou de controcircle interne
Elle se situe par rapport agrave un reacutefeacuterentiel interne ou externe ou par rapport agrave un objectifarbitraire ou reacutesultant drsquoune expeacuterience passeacutee et deacutejagrave mesureacutee
Les indicateurs citeacutes comme exemple dans les paragraphes preacuteceacutedents peuvent notammentservir dans le cadre drsquoune autoeacutevaluation
35 Contribuer agrave lrsquoobtention drsquoune certification
Ces indicateurs servent agrave
appreacutecier lrsquoavancement dans le processus de certification
obtenir la certification
et surtout la conserver
Sans ecirctre obligatoire pour lrsquoobtention de la certification ISOIEC 270012005 la mise enplace drsquoindicateurs simplifie grandement le cheminement vers celle-ci
36 Reacutepondre agrave un audit
Les indicateurs servent agrave informer lrsquoauditeur agrave justifier des mesures de seacutecuriteacute mises enplace et des correctifs en cours
Les indicateurs preacutesenteacutes lors drsquoaudits contribuent agrave lrsquoanalyse de risque et srsquoappreacutecient parrapport agrave un reacutefeacuterentiel externe
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1828
Les meacutetriques dans le cadre de la seacuterie 27000 - 16 - copy CLUSIF 2009
4 LES TRAVAUX NORMATIFS EN COURS
(ISOIEC 27004)
Ce document a eacuteteacute reacutedigeacute alors que la norme ISOIEC 27004 nrsquoeacutetait pas stabiliseacutee (versionCD) il est toutefois permis de penser que lrsquointeacuterecirct du document justifie les travaux entreprisci-apregraves sous reacuteserve de possibles eacutevolutions
Ce projet de norme au sein de la seacuterie 27000 constitue un guide [agrave usage facultatif] delaquo Mesurage et meacutetriques raquo dans le cadre drsquoun SMSI (Systegraveme de Management de la Seacutecuriteacutede lrsquoInformation) tel que deacutefini dans lrsquoISOIEC 270012005
Les domaines suivants sont abordeacutes
preacutesentation du processus de mesurage
rocircles et responsabiliteacutes
conception des indicateurs production et mise en forme des indicateurs
analyse et reporting
ameacutelioration du processus de mesurage
Une premiegravere annexe preacutesente un modegravele commenteacute drsquoune fiche drsquoindicateur (cf Annexe A)La seconde annexe preacutesente plusieurs exemples drsquoattributs de meacutetriques ou drsquoindicateurs (cfAnnexe B)
41 Concepts de meacutetriquesUn processus de mesure a pour but de veacuterifier que les objectifs de seacutecuriteacute fondeacutes notammentsur lrsquoanalyse de risque et la conformiteacute aux dispositions leacutegales et reacuteglementaires sontatteints
Il se compose de phases de collecte drsquoinformations et drsquoanalyse Par comparaison agrave descritegraveres de deacutecision ces phases permettent lrsquoobtention drsquoinformations de seacutecuriteacute etlrsquoameacutelioration continue du management de la seacutecuriteacute
Les mesures peuvent ecirctre eacuteleacutementaires ou deacuteriveacutees
une mesure eacuteleacutementaire1
est la valeur drsquoun laquo attribut raquo obtenue par une meacutethode decalcul
une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesureseacuteleacutementaires
Pour chaque type de mesure (eacuteleacutementaire ou deacuteriveacutee) il convient de faire en sorte que desobjectifs de conformiteacute ou de performance soient mis en eacutevidence
Le modegravele du processus de mesure proposeacute comprend un processus de remonteacutee demesures eacuteleacutementaires et de mesures deacuteriveacutees qui contribuent agrave la fabrication drsquoindicateurslesquels seront compareacutes individuellement agrave leur critegravere de deacutecision Lrsquoefficaciteacute du systegraveme
1 Une mesure eacuteleacutementaire peut dans certains cas correspondre directement agrave un indicateur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1928
Les meacutetriques dans le cadre de la seacuterie 27000 - 17 - copy CLUSIF 2009
de management srsquoappreacutecie en comparant les reacutesultats issus des mesures effectueacutees avec leursobjectifs initiaux
Dans le projet de norme les preacutecisions suivantes sont apporteacutees
les objectifs du processus de mesure sont clairement eacutetablis (eacutevaluer fournir des
donneacutees faciliter lrsquoeacutevolution communiquer) En revanche le peacuterimegravetre sur lequelsrsquoapplique ce processus ainsi que la meacutethodologie drsquoimpleacutementation restent agrave lrsquoinitiativede chacun
lrsquoimplication du management dans le processus de mesure est souligneacutee notamment surson engagement ses responsabiliteacutes et les ressources agrave mettre en œuvre
les diffeacuterents rocircles qui devraient ecirctre assigneacutes par le Management concernant leprocessus de mesure sont preacuteciseacutes le fournisseur le client le collecteur lecommunicateur le reacute-examinateur (cf deacutefinitions dans lrsquoannexe A du preacutesentdocument) Ces diffeacuterents rocircles devront faire lrsquoobjet de proceacutedures drsquohabilitationprenant en compte les contraintes de seacuteparation des tacircches et les compeacutetencestechniques neacutecessaires
42 Concevoir des meacutetriques
Des meacutetriques doivent ecirctre creacuteeacutes pour eacutevaluer lrsquoefficaciteacute du SMSI controcircler lrsquoatteinte desobjectifs identifier valider et ameacuteliorer les mesures de seacutecuriteacute speacutecifiques
Pour cela il faut pour chaque meacutetrique agrave partir drsquoune analyse de risque et de lrsquoeacutetat initial
identifier et choisir des objectifs
documenter et planifier lrsquoactiviteacute de mesurage (lrsquoannexe A du preacutesent document
preacutesente un modegravele de fiche sur ce thegraveme) en particulier concernant la meacutethode decollecte de stockage drsquoarchivage de veacuterification et drsquoanalyse des donneacutees ainsi que lamise en place du processus de mesurage
deacutefinir les principaux acteurs et les ressources neacutecessaires
srsquoassurer de la pertinence des mesurages qui devraient veacuterifier les critegraveres SMART(Specific Measurable Attainable Repeatable Time dependant)
43 Mettre en place des meacutetriques
La mise en place permanente de la collecte de la conservation et de lrsquoanalyse des donneacutees apour but drsquoassurer la compreacutehension et lrsquoameacutelioration du SMSI Ce processus doitaccompagner les eacutevolutions du SMSI
Cette rubrique dans le projet de norme constitue un guide pratique opeacuterationnel qui preacuteciseles conditions de
collecte des donneacutees (en speacutecifiant la date lrsquoheure le proprieacutetairehellip)
validation
traitement
diffusion
conservation
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2028
Les meacutetriques dans le cadre de la seacuterie 27000 - 18 - copy CLUSIF 2009
Il importe que les reacutesultats des indicateurs servent agrave eacutevaluer lrsquoefficaciteacute des dispositifs deseacutecuriteacute (de preacutevention deacutetection correction ou reacutecupeacuteration) en place Dans un secondtemps cette base drsquoindicateurs constitueacutee permettra de soutenir un processus de deacutecision dansle choix de nouveaux dispositifs
44 Utiliser communiquer et ameacuteliorer les meacutetriques
Lrsquoanalyse des donneacutees et leur interpreacutetation consistent agrave les rapprocher des critegraveres dedeacutecision preacutealablement deacutefinis (Annexe A)
Le but de lrsquoanalyse est de pouvoir identifier les eacutecarts entre la performance attendue et cellereacutealiseacutee Les causes de non-conformiteacute et de mauvaise performance pourront ecirctre ainsiidentifieacutees en fonction des dispositifs de seacutecuriteacute qui
ne sont pas opeacuterationnels
sont impleacutementeacutes mais ne fonctionnement pas correctement sont impleacutementeacutes fonctionnent correctement mais ne couvrent pas les menaces
estimeacutees
sont impleacutementeacutes fonctionnent correctement mais toutes les menaces ne sont pascouvertes
Les conclusions des analyses devraient ecirctre revues par toutes les parties prenantes ndash dans lesens laquo stakeholders raquo ndash pour assurer la bonne interpreacutetation de la donneacutee A cette fin lesreacutesultats des analyses devraient ecirctre suffisamment documenteacutes
La consolidation de ces reacutesultats devra intervenir dans des tableaux de bord pour unecommunication agrave qui de droit
Les mesures peuvent ecirctre utiliseacutees agrave diverses fins
eacutevaluer lrsquoefficaciteacute des dispositifs de seacutecuriteacute
critiquer les appreacuteciations et les traitements des risques
deacutemontrer les progregraves
se comparer au sein ou entre organisations
45 Ameacuteliorer le processus de mesure
Lrsquoefficaciteacute du processus de mesure doit ecirctre examineacutee peacuteriodiquement afin de lrsquoameacuteliorerNeacuteanmoins les donneacutees de base doivent faire lrsquoobjet de sauvegardes reacuteguliegraveres et peacuterennesafin de pouvoir recalculer les meacutetriques en fonction de leurs diffeacuterentes eacutevolutions
Des eacutevolutions peuvent ecirctre envisageacutees quand lrsquoorganisation introduit de nouveaux objectifsde mesure points de mesure de nouvelles meacutethodes ou fonctions de mesure
Le processus de mesure devrait ecirctre eacutevalueacute en termes drsquoutiliteacute et reacuteexamineacute agrave chaque fois quelrsquoorganisation change Il importe de srsquoassurer que les mesures reflegravetent un eacutetat agrave jour de laseacutecuriteacute et de veacuterifier que les donneacutees sous-jacentes sont encore valides Il est eacutegalementimportant de valider la pertinence des hypothegraveses
Il srsquoagit aussi drsquoeacutevaluer lrsquoutiliteacute de la mesure et le coucirct du processus de mesure afin dedeacuteterminer la pertinence de sa modification ou de sa suppression
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2128
Les meacutetriques dans le cadre de la seacuterie 27000 - 19 - copy CLUSIF 2009
5 CONCLUSION
LrsquoISOIEC 270012005 insiste sur lrsquoimportance de mesurer lrsquoefficaciteacute des processus du
SMSI des mesures de seacutecuriteacute mises en œuvre et du processus de mesurage lui-mecircme2
Cependant cette norme ne preacutecise pas comment mesurer cette efficaciteacute Elle se contentedrsquoindiquer qursquoune meacutethode est agrave deacutefinir
A cette fin le preacutesent document apporte un eacuteclairage aux RSSI auditeurs internes acteurs ducontrocircle permanent et managers dans la deacutefinition et la mise en œuvre des indicateurs adapteacutesagrave leurs exigences selon des processus qui devraient figurer dans la norme ISOIEC 27004
LrsquoISOIEC 27004 est un guide qui compleacutetera lrsquoISOIEC 270012005 en fournissant deslignes directrices et des conseils sur
la conception
la mise en œuvre
lrsquoanalyse et la communication des reacutesultats
lrsquoameacutelioration du processus de mesurage drsquoun SMSI
Cette future norme devrait ecirctre publieacutee prochainement La seacuterie ISOIEC 27000 a eacuteteacutecompleacuteteacutee de lrsquoISOIEC 270052008 et de lrsquoISOIEC 27003 (preacutevue en 2009) qui traitentrespectivement de la gestion du risque et de la mise en œuvre drsquoun SMSI
2 cf clauses 02c 02d 422d 423c 431g 72f et 73e
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2228
Les meacutetriques dans le cadre de la seacuterie 27000 - 20 - copy CLUSIF 2009
ANNEXE A FICHE DESCRIPTIVE
Modegravele de fiche descriptive drsquoune mesure
Cette fiche est inspireacutee de lrsquoISOIEC FCD 27004
Identification de la mesure
Nom de la mesure Nom de la mesure
Identifiant de la mesure Identifiant numeacuterique unique speacutecifique agrave lrsquoorganisme
Objectif de la mesureDeacutecrit lrsquoobjectif de la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure de
seacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (1)Facultatif Deacutecrit la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure deseacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (2)Facultatif Deacutecrit dautres mesures de seacutecuriteacute (agrave mettre ou deacutejagrave mise en œuvre) faisant lrsquoobjet le caseacutecheacuteant de la mecircme mesure (reacutefeacuterence aux mesures de seacutecuriteacute de lrsquoannexe A de la normeISO 27001)
Objectif de la mesure Deacutefinit le but de la mesure
Reacute examinateurPersonne ou uniteacute organisationnelle qui examine et valide que les critegraveres deacutevaluation de la mesuresont approprieacutes pour veacuterifier lefficaciteacute des mesures de seacutecuriteacute et des processus du SMSI
Objets du mesurage et attributs
Objet du mesurage
Objet qui doit ecirctre mesureacute et qui est caracteacuteriseacute par la mesurabiliteacute de ses attributs Les objets peuvent
comprendre des processus des systegravemes ou des composants de systegravemes
AttributsProprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacutee quantitativement ou qualitativementpar des moyens humains ou automatiques
Speacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesUne mesure eacuteleacutementaire est deacutefinie en fonction dun attribut et de la meacutethode de mesurage speacutecifieacuteepour le quantifier (par exemple le nombre de personnel formeacute le nombre de sites le coucirct cumuleacute agravece jour) Au moment ougrave la donneacutee est collecteacutee une valeur est affecteacutee agrave une mesure eacuteleacutementaire
Meacutethodes de mesurage Suite logique drsquoopeacuterations qui permettent de quantifier un attribut selon une eacutechelle
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure eacuteleacutementaire
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesures eacuteleacutementaires
Fonction de mesurageSuite logique drsquoopeacuterations qui permettent de calculer la mesure deacuteriveacutee Pour les mesures deacuteriveacutees lafonction par laquelle les mesures deacuteriveacutees fondeacutees sur des mesures eacuteleacutementaires correspondantes etla preacutecision cumulative reacutesultante sont agreacutegeacutees
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure deacuteriveacutee
Speacutecification de lrsquoindicateur
Description dindicateur etexemple
Preacutesentation dune ou plusieurs mesures (eacuteleacutementaires ou deacuteriveacutees) qui fournit une estimation ou uneeacutevaluation dattributs speacutecifieacutes reacutesultant dun modegravele analytique en ce qui concerne des besoins delinformation deacutefinis Un indicateur est souvent preacutesenteacute agrave lrsquoaide drsquoun graphique ou drsquoun diagrammeInclure un croquis de lindicateur
Modegravele analytique Algorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires etou deacuteriveacutees avec lescritegraveres de deacutecision associeacutes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2328
Les meacutetriques dans le cadre de la seacuterie 27000 - 21 - copy CLUSIF 2009
Critegravere de deacutecisionSeuil cible ou modegravele utiliseacute pour deacuteterminer la neacutecessiteacute dune action ou un compleacutement denquecircteou pour deacutecrire le niveau de confiance dans un reacutesultat donneacute
Interpreacutetation dindicateurDescription de la faccedilon dont lindicateur exemple (voir la figure exemple dans la description delindicateur) devrait ecirctre interpreacuteteacute
Effets impact Deacutefinition des effets et de lrsquoimpact issu des reacutesultats obtenus par la mesure
Causes drsquoeacutecart Deacutefinition des causes possibles agrave lrsquoorigine drsquoeacutecarts des reacutesultats
Valeurs positivesDeacuteclaration expliquant si les valeurs en laquo croissance raquo indiquent des tendances positives (bonreacutesultat) ou si les valeurs en laquo deacutecroissance raquo doivent ecirctre consideacutereacutees comme des tendancespositives
Format de restitution
Le format de la restitution devrait ecirctre preacuteciseacute et documenteacute Il deacutecrit les observations quelrsquoorganisation ou le proprieacutetaire de lrsquoinformation peut vouloir sur lrsquoenregistrement Les formats derapport deacutecriront visuellement les mesures et fourniront une explication verbale des indicateurs Ilsdevraient ecirctre personnaliseacutes en fonction du laquo client de linformation raquo (ce terme est deacutefini ci-apregraves)
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des
donneacutees
Freacutequence agrave laquelle les donneacutees sont collecteacutees
Fournisseur de lrsquoinformationPersonne ou uniteacute organisationnelle qui deacutetient lrsquoinformation pour creacuteer les mesures eacuteleacutementairesCelui qui va contribuer agrave la meacutetrique produire lrsquoinformation pour le calcul de la meacutetrique
Collecteur de lrsquoinformationPersonne ou uniteacute organisationnelle en charge de collecter enregistrer et stocker les informationsCelui qui va obtenir la meacutetrique
Outils utiliseacutes dans la collectedes donneacutees
Liste les outils utiliseacutes dans la collecte des donneacutees (par exemple un scanner de vulneacuterabiliteacute)
Conservation des donneacuteescollecteacutees
Liste les outils ougrave les donneacutees sont conserveacutees apregraves avoir eacuteteacute collecteacutees (par exemple une base dedonneacutees)
Date de collecte Date agrave laquelle la donneacutee devrait ecirctre obtenue
Proceacutedure drsquoenregistrement
des donneacuteesDeacutefinit la proceacutedure drsquoenregistrement des donneacutees (lien vers la proceacutedure correspondante)
Validiteacute de la mesure Date de reacutevision (date drsquoexpiration ou de validiteacute de renouvellement) de la mesure
Peacuteriode drsquoanalyse Deacutefinit la peacuteriode mesureacutee
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitutiondes donneacutees
Freacutequence agrave laquelle les donneacutees sont restitueacutees (cette freacutequence peut ecirctre infeacuterieure agrave celle decollecte)
Communicateur delrsquoinformation
Personne ou uniteacute organisationnelle responsable de lrsquoanalyse de lrsquoinformation et de la communicationdes reacutesultats des mesuresCelui qui va analyser la meacutetrique
Source drsquoinformation pour
lrsquoanalyse
Liste les sources drsquoinformation utiles pour lrsquoanalyse de reacutesultats (documents journaux entretien
etc)Outils utiliseacutes dans lrsquoanalyse Liste les outils utiliseacutes pour lrsquoanalyse (par exemple des outils statistiques)
Client de lrsquoinformationLa personne ou lrsquouniteacute organisationnelle qui demande ou requiert les mesures pour les besoins de sonactiviteacuteCelui qui va utiliser la meacutetrique
Information compleacutementaire
Conseils danalyseCompleacutementaires
Fournit des conseils compleacutementaires sur les variations de cette mesure
Consideacuterations de mise enœuvre
Liste les processus ou les exigences de mise en œuvre qui sont neacutecessaires pour la reacuteussite de la miseen œuvre
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2428
Les meacutetriques dans le cadre de la seacuterie 27000 - 22 - copy CLUSIF 2009
Exemple drsquoutilisation de la fiche
Identification de la mesure
Nom de la mesure Revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Identifiant de la mesure R1-A1124
Objectif de la mesure de seacutecuriteacuteA1124 [270012005]
Mesure de seacutecuriteacute (1)Les managers doivent dans leur peacuterimegravetre reacuteexaminer les droits drsquoaccegraves des utilisateurs agraveintervalles reacuteguliers par le biais drsquoun processus formel
Mesure de seacutecuriteacute (2) Revue des accegraves au reacuteseau informatique
Objectif de la mesure
Mesurer le pourcentage de manager deacuteclarant avoir effectueacute des controcircles sur les droits drsquoaccegravesutilisateurs de leur peacuterimegravetre ce qui permet drsquoeacutevaluer
bull la prise de conscience des managers vis-agrave-vis des risques drsquoaccegraves non fondeacutesfrauduleux ou obsolegravetes aux SI
bull lrsquoimplication du management dans le processus de maicirctrise et de gestion du risqueinformatique
Reacute examinateur Direction des Risques
Objets du mesurage et attributs
Objet du mesurage Processus de revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Attributs Attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateursSpeacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesExistence drsquoune attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateurs parchacun des managers
Meacutethodes de mesurageTous les trimestres les managers enverront un email standardiseacute au Deacutepartement Seacutecuriteacute desSI attestant que les accegraves des utilisateurs ont eacuteteacute revus pour leur peacuterimegravetre
Echelle Numeacuterique
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Taux drsquoattestations retourneacutees par les managers sur le trimestre eacutetudieacute
Fonction de mesurage
Taux dattestations retourneacutees par les managers sur le trimestre eacutetudieacute = (nombre dattestations
retourneacutees par les managers Total dattestations attendues dans le trimestre) 100
Echelle Ratio pourcentage
Speacutecification de lrsquoindicateur
Description dindicateur et exemple Courbe montrant lrsquoindicateur sur plusieurs peacuteriodes de restitution
Modegravele analytique
Satisfaisant si gt= 90Globalement satisfaisant si 80 lt lt 90Moyennement satisfaisant si 70 lt= lt= 80Insatisfaisant si lt 70
Critegravere de deacutecision Seuil min 80
Interpreacutetation dindicateurUn reacutesultat insatisfaisant indique un manque drsquoengagement des managers dans la gestion des
risques lieacutes agrave la seacutecuriteacute des SIEffets impact Si reacutesultats insatisfaisants lrsquoindicateur est remonteacute agrave la Direction Geacuteneacuterale pour action
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2528
Les meacutetriques dans le cadre de la seacuterie 27000 - 23 - copy CLUSIF 2009
Causes drsquoeacutecart Les reacuteorganisations fonctionnelles de lrsquoentreprise
Valeurs positives Des valeurs croissantes indiquent des tendances positives
Format de restitution Tableau Excel standardiseacute
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des donneacutees Trimestrielle
Fournisseur de lrsquoinformation Chaque manager
Collecteur de lrsquoinformation Le RSSI
Outils utiliseacutes dans la collecte desdonneacutees
Mail courrier
Conservation des donneacutees collecteacutees Reacutepertoire speacutecifique du disque reacuteseau
Date de collecte Pour le 15 de chaque deacutebut de trimestre
Proceacutedure drsquoenregistrement desdonneacutees
EhellipNOV08R1-A11-2-4XLS
Validiteacute de la mesure Annuelle
Peacuteriode drsquoanalyse Du 1er janvier au 31 deacutecembre de lrsquoanneacutee en cours
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitution desdonneacutees
Trimestrielle
Communicateur de lrsquoinformation Le RSSI
Source drsquoinformation pour lrsquoanalyse Rapports drsquoentretiens
Outils utiliseacutes dans lrsquoanalyse Excel
Client de lrsquoinformation Direction des Risques
Information compleacutementaire
Conseils danalyse Compleacutementaires NA
Consideacuterations de mise en œuvre NA
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2628
Les meacutetriques dans le cadre de la seacuterie 27000 - 24 - copy CLUSIF 2009
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE
METRIQUES ET OU DrsquoINDICATEURS
Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI
Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A8 Seacutecuriteacute lieacutee aux ressources humaines
A81 Avant le recrutement
A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute
A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat
A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur
A82 Pendant la dureacutee du contrat
A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute
A822 Sensibilisation qualification et formations
en matiegravere de seacutecuriteacute de lrsquoinformation
Nombre de personnes formeacutees an
A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque
A83 Fin ou modification du contrat
A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat
A832 Restitution des actifs Coucirct des biens non rendus en fin de mission
A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai
A9 Seacutecuriteacute physique et environnementale
A91 Zones seacutecuriseacutees
A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees
A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)
A913 Seacutecurisation des bureaux des salles et deseacutequipements
Nombre annuel de disparition de biens informatiques dans les locaux
A914 Protection contre les menaces exteacuterieures etenvironnementales
Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle
A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1728
Les meacutetriques dans le cadre de la seacuterie 27000 - 15 - copy CLUSIF 2009
Ces indicateurs peuvent aussi ecirctre eacuteleacutementaires ou plus syntheacutetiques Par exemplelrsquoagreacutegation de certains indicateurs informatiques avec les indicateurs eacuteconomiques Lelaquo Ratio du nombre annuel drsquoaccords de confidentialiteacutes (NDA ndash Non disclosure agreement)signeacutes par rapport au nombre de prestataires preacutesents dans lrsquoorganisme raquo en est un exemple
33 Communiquer
Des indicateurs sont aussi utiliseacutes pour communiquer en interne ou en externe Leur naturesera diffeacuterente en fonction des acteurs viseacutes et de leur objectif de communication(sensibiliser faire passer des ideacutees justifierhellip)
Par exemple pour communiquer autour de la lutte antivirale
nombre drsquoheures de travail perdues suite agrave une attaque virale
variation du taux drsquoinfection sur les douze derniers mois (justification du budget)
nombre drsquoattaques virales provenant drsquoun support externe
34 Sautoeacutevaluer
Cette eacutevaluation peut ecirctre reacutealiseacutee en interne par lrsquoeacutequipe en charge de la fonction comme parlrsquoeacutequipe drsquoaudit ou de controcircle interne
Elle se situe par rapport agrave un reacutefeacuterentiel interne ou externe ou par rapport agrave un objectifarbitraire ou reacutesultant drsquoune expeacuterience passeacutee et deacutejagrave mesureacutee
Les indicateurs citeacutes comme exemple dans les paragraphes preacuteceacutedents peuvent notammentservir dans le cadre drsquoune autoeacutevaluation
35 Contribuer agrave lrsquoobtention drsquoune certification
Ces indicateurs servent agrave
appreacutecier lrsquoavancement dans le processus de certification
obtenir la certification
et surtout la conserver
Sans ecirctre obligatoire pour lrsquoobtention de la certification ISOIEC 270012005 la mise enplace drsquoindicateurs simplifie grandement le cheminement vers celle-ci
36 Reacutepondre agrave un audit
Les indicateurs servent agrave informer lrsquoauditeur agrave justifier des mesures de seacutecuriteacute mises enplace et des correctifs en cours
Les indicateurs preacutesenteacutes lors drsquoaudits contribuent agrave lrsquoanalyse de risque et srsquoappreacutecient parrapport agrave un reacutefeacuterentiel externe
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1828
Les meacutetriques dans le cadre de la seacuterie 27000 - 16 - copy CLUSIF 2009
4 LES TRAVAUX NORMATIFS EN COURS
(ISOIEC 27004)
Ce document a eacuteteacute reacutedigeacute alors que la norme ISOIEC 27004 nrsquoeacutetait pas stabiliseacutee (versionCD) il est toutefois permis de penser que lrsquointeacuterecirct du document justifie les travaux entreprisci-apregraves sous reacuteserve de possibles eacutevolutions
Ce projet de norme au sein de la seacuterie 27000 constitue un guide [agrave usage facultatif] delaquo Mesurage et meacutetriques raquo dans le cadre drsquoun SMSI (Systegraveme de Management de la Seacutecuriteacutede lrsquoInformation) tel que deacutefini dans lrsquoISOIEC 270012005
Les domaines suivants sont abordeacutes
preacutesentation du processus de mesurage
rocircles et responsabiliteacutes
conception des indicateurs production et mise en forme des indicateurs
analyse et reporting
ameacutelioration du processus de mesurage
Une premiegravere annexe preacutesente un modegravele commenteacute drsquoune fiche drsquoindicateur (cf Annexe A)La seconde annexe preacutesente plusieurs exemples drsquoattributs de meacutetriques ou drsquoindicateurs (cfAnnexe B)
41 Concepts de meacutetriquesUn processus de mesure a pour but de veacuterifier que les objectifs de seacutecuriteacute fondeacutes notammentsur lrsquoanalyse de risque et la conformiteacute aux dispositions leacutegales et reacuteglementaires sontatteints
Il se compose de phases de collecte drsquoinformations et drsquoanalyse Par comparaison agrave descritegraveres de deacutecision ces phases permettent lrsquoobtention drsquoinformations de seacutecuriteacute etlrsquoameacutelioration continue du management de la seacutecuriteacute
Les mesures peuvent ecirctre eacuteleacutementaires ou deacuteriveacutees
une mesure eacuteleacutementaire1
est la valeur drsquoun laquo attribut raquo obtenue par une meacutethode decalcul
une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesureseacuteleacutementaires
Pour chaque type de mesure (eacuteleacutementaire ou deacuteriveacutee) il convient de faire en sorte que desobjectifs de conformiteacute ou de performance soient mis en eacutevidence
Le modegravele du processus de mesure proposeacute comprend un processus de remonteacutee demesures eacuteleacutementaires et de mesures deacuteriveacutees qui contribuent agrave la fabrication drsquoindicateurslesquels seront compareacutes individuellement agrave leur critegravere de deacutecision Lrsquoefficaciteacute du systegraveme
1 Une mesure eacuteleacutementaire peut dans certains cas correspondre directement agrave un indicateur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1928
Les meacutetriques dans le cadre de la seacuterie 27000 - 17 - copy CLUSIF 2009
de management srsquoappreacutecie en comparant les reacutesultats issus des mesures effectueacutees avec leursobjectifs initiaux
Dans le projet de norme les preacutecisions suivantes sont apporteacutees
les objectifs du processus de mesure sont clairement eacutetablis (eacutevaluer fournir des
donneacutees faciliter lrsquoeacutevolution communiquer) En revanche le peacuterimegravetre sur lequelsrsquoapplique ce processus ainsi que la meacutethodologie drsquoimpleacutementation restent agrave lrsquoinitiativede chacun
lrsquoimplication du management dans le processus de mesure est souligneacutee notamment surson engagement ses responsabiliteacutes et les ressources agrave mettre en œuvre
les diffeacuterents rocircles qui devraient ecirctre assigneacutes par le Management concernant leprocessus de mesure sont preacuteciseacutes le fournisseur le client le collecteur lecommunicateur le reacute-examinateur (cf deacutefinitions dans lrsquoannexe A du preacutesentdocument) Ces diffeacuterents rocircles devront faire lrsquoobjet de proceacutedures drsquohabilitationprenant en compte les contraintes de seacuteparation des tacircches et les compeacutetencestechniques neacutecessaires
42 Concevoir des meacutetriques
Des meacutetriques doivent ecirctre creacuteeacutes pour eacutevaluer lrsquoefficaciteacute du SMSI controcircler lrsquoatteinte desobjectifs identifier valider et ameacuteliorer les mesures de seacutecuriteacute speacutecifiques
Pour cela il faut pour chaque meacutetrique agrave partir drsquoune analyse de risque et de lrsquoeacutetat initial
identifier et choisir des objectifs
documenter et planifier lrsquoactiviteacute de mesurage (lrsquoannexe A du preacutesent document
preacutesente un modegravele de fiche sur ce thegraveme) en particulier concernant la meacutethode decollecte de stockage drsquoarchivage de veacuterification et drsquoanalyse des donneacutees ainsi que lamise en place du processus de mesurage
deacutefinir les principaux acteurs et les ressources neacutecessaires
srsquoassurer de la pertinence des mesurages qui devraient veacuterifier les critegraveres SMART(Specific Measurable Attainable Repeatable Time dependant)
43 Mettre en place des meacutetriques
La mise en place permanente de la collecte de la conservation et de lrsquoanalyse des donneacutees apour but drsquoassurer la compreacutehension et lrsquoameacutelioration du SMSI Ce processus doitaccompagner les eacutevolutions du SMSI
Cette rubrique dans le projet de norme constitue un guide pratique opeacuterationnel qui preacuteciseles conditions de
collecte des donneacutees (en speacutecifiant la date lrsquoheure le proprieacutetairehellip)
validation
traitement
diffusion
conservation
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2028
Les meacutetriques dans le cadre de la seacuterie 27000 - 18 - copy CLUSIF 2009
Il importe que les reacutesultats des indicateurs servent agrave eacutevaluer lrsquoefficaciteacute des dispositifs deseacutecuriteacute (de preacutevention deacutetection correction ou reacutecupeacuteration) en place Dans un secondtemps cette base drsquoindicateurs constitueacutee permettra de soutenir un processus de deacutecision dansle choix de nouveaux dispositifs
44 Utiliser communiquer et ameacuteliorer les meacutetriques
Lrsquoanalyse des donneacutees et leur interpreacutetation consistent agrave les rapprocher des critegraveres dedeacutecision preacutealablement deacutefinis (Annexe A)
Le but de lrsquoanalyse est de pouvoir identifier les eacutecarts entre la performance attendue et cellereacutealiseacutee Les causes de non-conformiteacute et de mauvaise performance pourront ecirctre ainsiidentifieacutees en fonction des dispositifs de seacutecuriteacute qui
ne sont pas opeacuterationnels
sont impleacutementeacutes mais ne fonctionnement pas correctement sont impleacutementeacutes fonctionnent correctement mais ne couvrent pas les menaces
estimeacutees
sont impleacutementeacutes fonctionnent correctement mais toutes les menaces ne sont pascouvertes
Les conclusions des analyses devraient ecirctre revues par toutes les parties prenantes ndash dans lesens laquo stakeholders raquo ndash pour assurer la bonne interpreacutetation de la donneacutee A cette fin lesreacutesultats des analyses devraient ecirctre suffisamment documenteacutes
La consolidation de ces reacutesultats devra intervenir dans des tableaux de bord pour unecommunication agrave qui de droit
Les mesures peuvent ecirctre utiliseacutees agrave diverses fins
eacutevaluer lrsquoefficaciteacute des dispositifs de seacutecuriteacute
critiquer les appreacuteciations et les traitements des risques
deacutemontrer les progregraves
se comparer au sein ou entre organisations
45 Ameacuteliorer le processus de mesure
Lrsquoefficaciteacute du processus de mesure doit ecirctre examineacutee peacuteriodiquement afin de lrsquoameacuteliorerNeacuteanmoins les donneacutees de base doivent faire lrsquoobjet de sauvegardes reacuteguliegraveres et peacuterennesafin de pouvoir recalculer les meacutetriques en fonction de leurs diffeacuterentes eacutevolutions
Des eacutevolutions peuvent ecirctre envisageacutees quand lrsquoorganisation introduit de nouveaux objectifsde mesure points de mesure de nouvelles meacutethodes ou fonctions de mesure
Le processus de mesure devrait ecirctre eacutevalueacute en termes drsquoutiliteacute et reacuteexamineacute agrave chaque fois quelrsquoorganisation change Il importe de srsquoassurer que les mesures reflegravetent un eacutetat agrave jour de laseacutecuriteacute et de veacuterifier que les donneacutees sous-jacentes sont encore valides Il est eacutegalementimportant de valider la pertinence des hypothegraveses
Il srsquoagit aussi drsquoeacutevaluer lrsquoutiliteacute de la mesure et le coucirct du processus de mesure afin dedeacuteterminer la pertinence de sa modification ou de sa suppression
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2128
Les meacutetriques dans le cadre de la seacuterie 27000 - 19 - copy CLUSIF 2009
5 CONCLUSION
LrsquoISOIEC 270012005 insiste sur lrsquoimportance de mesurer lrsquoefficaciteacute des processus du
SMSI des mesures de seacutecuriteacute mises en œuvre et du processus de mesurage lui-mecircme2
Cependant cette norme ne preacutecise pas comment mesurer cette efficaciteacute Elle se contentedrsquoindiquer qursquoune meacutethode est agrave deacutefinir
A cette fin le preacutesent document apporte un eacuteclairage aux RSSI auditeurs internes acteurs ducontrocircle permanent et managers dans la deacutefinition et la mise en œuvre des indicateurs adapteacutesagrave leurs exigences selon des processus qui devraient figurer dans la norme ISOIEC 27004
LrsquoISOIEC 27004 est un guide qui compleacutetera lrsquoISOIEC 270012005 en fournissant deslignes directrices et des conseils sur
la conception
la mise en œuvre
lrsquoanalyse et la communication des reacutesultats
lrsquoameacutelioration du processus de mesurage drsquoun SMSI
Cette future norme devrait ecirctre publieacutee prochainement La seacuterie ISOIEC 27000 a eacuteteacutecompleacuteteacutee de lrsquoISOIEC 270052008 et de lrsquoISOIEC 27003 (preacutevue en 2009) qui traitentrespectivement de la gestion du risque et de la mise en œuvre drsquoun SMSI
2 cf clauses 02c 02d 422d 423c 431g 72f et 73e
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2228
Les meacutetriques dans le cadre de la seacuterie 27000 - 20 - copy CLUSIF 2009
ANNEXE A FICHE DESCRIPTIVE
Modegravele de fiche descriptive drsquoune mesure
Cette fiche est inspireacutee de lrsquoISOIEC FCD 27004
Identification de la mesure
Nom de la mesure Nom de la mesure
Identifiant de la mesure Identifiant numeacuterique unique speacutecifique agrave lrsquoorganisme
Objectif de la mesureDeacutecrit lrsquoobjectif de la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure de
seacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (1)Facultatif Deacutecrit la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure deseacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (2)Facultatif Deacutecrit dautres mesures de seacutecuriteacute (agrave mettre ou deacutejagrave mise en œuvre) faisant lrsquoobjet le caseacutecheacuteant de la mecircme mesure (reacutefeacuterence aux mesures de seacutecuriteacute de lrsquoannexe A de la normeISO 27001)
Objectif de la mesure Deacutefinit le but de la mesure
Reacute examinateurPersonne ou uniteacute organisationnelle qui examine et valide que les critegraveres deacutevaluation de la mesuresont approprieacutes pour veacuterifier lefficaciteacute des mesures de seacutecuriteacute et des processus du SMSI
Objets du mesurage et attributs
Objet du mesurage
Objet qui doit ecirctre mesureacute et qui est caracteacuteriseacute par la mesurabiliteacute de ses attributs Les objets peuvent
comprendre des processus des systegravemes ou des composants de systegravemes
AttributsProprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacutee quantitativement ou qualitativementpar des moyens humains ou automatiques
Speacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesUne mesure eacuteleacutementaire est deacutefinie en fonction dun attribut et de la meacutethode de mesurage speacutecifieacuteepour le quantifier (par exemple le nombre de personnel formeacute le nombre de sites le coucirct cumuleacute agravece jour) Au moment ougrave la donneacutee est collecteacutee une valeur est affecteacutee agrave une mesure eacuteleacutementaire
Meacutethodes de mesurage Suite logique drsquoopeacuterations qui permettent de quantifier un attribut selon une eacutechelle
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure eacuteleacutementaire
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesures eacuteleacutementaires
Fonction de mesurageSuite logique drsquoopeacuterations qui permettent de calculer la mesure deacuteriveacutee Pour les mesures deacuteriveacutees lafonction par laquelle les mesures deacuteriveacutees fondeacutees sur des mesures eacuteleacutementaires correspondantes etla preacutecision cumulative reacutesultante sont agreacutegeacutees
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure deacuteriveacutee
Speacutecification de lrsquoindicateur
Description dindicateur etexemple
Preacutesentation dune ou plusieurs mesures (eacuteleacutementaires ou deacuteriveacutees) qui fournit une estimation ou uneeacutevaluation dattributs speacutecifieacutes reacutesultant dun modegravele analytique en ce qui concerne des besoins delinformation deacutefinis Un indicateur est souvent preacutesenteacute agrave lrsquoaide drsquoun graphique ou drsquoun diagrammeInclure un croquis de lindicateur
Modegravele analytique Algorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires etou deacuteriveacutees avec lescritegraveres de deacutecision associeacutes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2328
Les meacutetriques dans le cadre de la seacuterie 27000 - 21 - copy CLUSIF 2009
Critegravere de deacutecisionSeuil cible ou modegravele utiliseacute pour deacuteterminer la neacutecessiteacute dune action ou un compleacutement denquecircteou pour deacutecrire le niveau de confiance dans un reacutesultat donneacute
Interpreacutetation dindicateurDescription de la faccedilon dont lindicateur exemple (voir la figure exemple dans la description delindicateur) devrait ecirctre interpreacuteteacute
Effets impact Deacutefinition des effets et de lrsquoimpact issu des reacutesultats obtenus par la mesure
Causes drsquoeacutecart Deacutefinition des causes possibles agrave lrsquoorigine drsquoeacutecarts des reacutesultats
Valeurs positivesDeacuteclaration expliquant si les valeurs en laquo croissance raquo indiquent des tendances positives (bonreacutesultat) ou si les valeurs en laquo deacutecroissance raquo doivent ecirctre consideacutereacutees comme des tendancespositives
Format de restitution
Le format de la restitution devrait ecirctre preacuteciseacute et documenteacute Il deacutecrit les observations quelrsquoorganisation ou le proprieacutetaire de lrsquoinformation peut vouloir sur lrsquoenregistrement Les formats derapport deacutecriront visuellement les mesures et fourniront une explication verbale des indicateurs Ilsdevraient ecirctre personnaliseacutes en fonction du laquo client de linformation raquo (ce terme est deacutefini ci-apregraves)
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des
donneacutees
Freacutequence agrave laquelle les donneacutees sont collecteacutees
Fournisseur de lrsquoinformationPersonne ou uniteacute organisationnelle qui deacutetient lrsquoinformation pour creacuteer les mesures eacuteleacutementairesCelui qui va contribuer agrave la meacutetrique produire lrsquoinformation pour le calcul de la meacutetrique
Collecteur de lrsquoinformationPersonne ou uniteacute organisationnelle en charge de collecter enregistrer et stocker les informationsCelui qui va obtenir la meacutetrique
Outils utiliseacutes dans la collectedes donneacutees
Liste les outils utiliseacutes dans la collecte des donneacutees (par exemple un scanner de vulneacuterabiliteacute)
Conservation des donneacuteescollecteacutees
Liste les outils ougrave les donneacutees sont conserveacutees apregraves avoir eacuteteacute collecteacutees (par exemple une base dedonneacutees)
Date de collecte Date agrave laquelle la donneacutee devrait ecirctre obtenue
Proceacutedure drsquoenregistrement
des donneacuteesDeacutefinit la proceacutedure drsquoenregistrement des donneacutees (lien vers la proceacutedure correspondante)
Validiteacute de la mesure Date de reacutevision (date drsquoexpiration ou de validiteacute de renouvellement) de la mesure
Peacuteriode drsquoanalyse Deacutefinit la peacuteriode mesureacutee
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitutiondes donneacutees
Freacutequence agrave laquelle les donneacutees sont restitueacutees (cette freacutequence peut ecirctre infeacuterieure agrave celle decollecte)
Communicateur delrsquoinformation
Personne ou uniteacute organisationnelle responsable de lrsquoanalyse de lrsquoinformation et de la communicationdes reacutesultats des mesuresCelui qui va analyser la meacutetrique
Source drsquoinformation pour
lrsquoanalyse
Liste les sources drsquoinformation utiles pour lrsquoanalyse de reacutesultats (documents journaux entretien
etc)Outils utiliseacutes dans lrsquoanalyse Liste les outils utiliseacutes pour lrsquoanalyse (par exemple des outils statistiques)
Client de lrsquoinformationLa personne ou lrsquouniteacute organisationnelle qui demande ou requiert les mesures pour les besoins de sonactiviteacuteCelui qui va utiliser la meacutetrique
Information compleacutementaire
Conseils danalyseCompleacutementaires
Fournit des conseils compleacutementaires sur les variations de cette mesure
Consideacuterations de mise enœuvre
Liste les processus ou les exigences de mise en œuvre qui sont neacutecessaires pour la reacuteussite de la miseen œuvre
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2428
Les meacutetriques dans le cadre de la seacuterie 27000 - 22 - copy CLUSIF 2009
Exemple drsquoutilisation de la fiche
Identification de la mesure
Nom de la mesure Revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Identifiant de la mesure R1-A1124
Objectif de la mesure de seacutecuriteacuteA1124 [270012005]
Mesure de seacutecuriteacute (1)Les managers doivent dans leur peacuterimegravetre reacuteexaminer les droits drsquoaccegraves des utilisateurs agraveintervalles reacuteguliers par le biais drsquoun processus formel
Mesure de seacutecuriteacute (2) Revue des accegraves au reacuteseau informatique
Objectif de la mesure
Mesurer le pourcentage de manager deacuteclarant avoir effectueacute des controcircles sur les droits drsquoaccegravesutilisateurs de leur peacuterimegravetre ce qui permet drsquoeacutevaluer
bull la prise de conscience des managers vis-agrave-vis des risques drsquoaccegraves non fondeacutesfrauduleux ou obsolegravetes aux SI
bull lrsquoimplication du management dans le processus de maicirctrise et de gestion du risqueinformatique
Reacute examinateur Direction des Risques
Objets du mesurage et attributs
Objet du mesurage Processus de revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Attributs Attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateursSpeacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesExistence drsquoune attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateurs parchacun des managers
Meacutethodes de mesurageTous les trimestres les managers enverront un email standardiseacute au Deacutepartement Seacutecuriteacute desSI attestant que les accegraves des utilisateurs ont eacuteteacute revus pour leur peacuterimegravetre
Echelle Numeacuterique
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Taux drsquoattestations retourneacutees par les managers sur le trimestre eacutetudieacute
Fonction de mesurage
Taux dattestations retourneacutees par les managers sur le trimestre eacutetudieacute = (nombre dattestations
retourneacutees par les managers Total dattestations attendues dans le trimestre) 100
Echelle Ratio pourcentage
Speacutecification de lrsquoindicateur
Description dindicateur et exemple Courbe montrant lrsquoindicateur sur plusieurs peacuteriodes de restitution
Modegravele analytique
Satisfaisant si gt= 90Globalement satisfaisant si 80 lt lt 90Moyennement satisfaisant si 70 lt= lt= 80Insatisfaisant si lt 70
Critegravere de deacutecision Seuil min 80
Interpreacutetation dindicateurUn reacutesultat insatisfaisant indique un manque drsquoengagement des managers dans la gestion des
risques lieacutes agrave la seacutecuriteacute des SIEffets impact Si reacutesultats insatisfaisants lrsquoindicateur est remonteacute agrave la Direction Geacuteneacuterale pour action
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2528
Les meacutetriques dans le cadre de la seacuterie 27000 - 23 - copy CLUSIF 2009
Causes drsquoeacutecart Les reacuteorganisations fonctionnelles de lrsquoentreprise
Valeurs positives Des valeurs croissantes indiquent des tendances positives
Format de restitution Tableau Excel standardiseacute
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des donneacutees Trimestrielle
Fournisseur de lrsquoinformation Chaque manager
Collecteur de lrsquoinformation Le RSSI
Outils utiliseacutes dans la collecte desdonneacutees
Mail courrier
Conservation des donneacutees collecteacutees Reacutepertoire speacutecifique du disque reacuteseau
Date de collecte Pour le 15 de chaque deacutebut de trimestre
Proceacutedure drsquoenregistrement desdonneacutees
EhellipNOV08R1-A11-2-4XLS
Validiteacute de la mesure Annuelle
Peacuteriode drsquoanalyse Du 1er janvier au 31 deacutecembre de lrsquoanneacutee en cours
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitution desdonneacutees
Trimestrielle
Communicateur de lrsquoinformation Le RSSI
Source drsquoinformation pour lrsquoanalyse Rapports drsquoentretiens
Outils utiliseacutes dans lrsquoanalyse Excel
Client de lrsquoinformation Direction des Risques
Information compleacutementaire
Conseils danalyse Compleacutementaires NA
Consideacuterations de mise en œuvre NA
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2628
Les meacutetriques dans le cadre de la seacuterie 27000 - 24 - copy CLUSIF 2009
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE
METRIQUES ET OU DrsquoINDICATEURS
Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI
Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A8 Seacutecuriteacute lieacutee aux ressources humaines
A81 Avant le recrutement
A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute
A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat
A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur
A82 Pendant la dureacutee du contrat
A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute
A822 Sensibilisation qualification et formations
en matiegravere de seacutecuriteacute de lrsquoinformation
Nombre de personnes formeacutees an
A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque
A83 Fin ou modification du contrat
A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat
A832 Restitution des actifs Coucirct des biens non rendus en fin de mission
A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai
A9 Seacutecuriteacute physique et environnementale
A91 Zones seacutecuriseacutees
A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees
A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)
A913 Seacutecurisation des bureaux des salles et deseacutequipements
Nombre annuel de disparition de biens informatiques dans les locaux
A914 Protection contre les menaces exteacuterieures etenvironnementales
Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle
A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1828
Les meacutetriques dans le cadre de la seacuterie 27000 - 16 - copy CLUSIF 2009
4 LES TRAVAUX NORMATIFS EN COURS
(ISOIEC 27004)
Ce document a eacuteteacute reacutedigeacute alors que la norme ISOIEC 27004 nrsquoeacutetait pas stabiliseacutee (versionCD) il est toutefois permis de penser que lrsquointeacuterecirct du document justifie les travaux entreprisci-apregraves sous reacuteserve de possibles eacutevolutions
Ce projet de norme au sein de la seacuterie 27000 constitue un guide [agrave usage facultatif] delaquo Mesurage et meacutetriques raquo dans le cadre drsquoun SMSI (Systegraveme de Management de la Seacutecuriteacutede lrsquoInformation) tel que deacutefini dans lrsquoISOIEC 270012005
Les domaines suivants sont abordeacutes
preacutesentation du processus de mesurage
rocircles et responsabiliteacutes
conception des indicateurs production et mise en forme des indicateurs
analyse et reporting
ameacutelioration du processus de mesurage
Une premiegravere annexe preacutesente un modegravele commenteacute drsquoune fiche drsquoindicateur (cf Annexe A)La seconde annexe preacutesente plusieurs exemples drsquoattributs de meacutetriques ou drsquoindicateurs (cfAnnexe B)
41 Concepts de meacutetriquesUn processus de mesure a pour but de veacuterifier que les objectifs de seacutecuriteacute fondeacutes notammentsur lrsquoanalyse de risque et la conformiteacute aux dispositions leacutegales et reacuteglementaires sontatteints
Il se compose de phases de collecte drsquoinformations et drsquoanalyse Par comparaison agrave descritegraveres de deacutecision ces phases permettent lrsquoobtention drsquoinformations de seacutecuriteacute etlrsquoameacutelioration continue du management de la seacutecuriteacute
Les mesures peuvent ecirctre eacuteleacutementaires ou deacuteriveacutees
une mesure eacuteleacutementaire1
est la valeur drsquoun laquo attribut raquo obtenue par une meacutethode decalcul
une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesureseacuteleacutementaires
Pour chaque type de mesure (eacuteleacutementaire ou deacuteriveacutee) il convient de faire en sorte que desobjectifs de conformiteacute ou de performance soient mis en eacutevidence
Le modegravele du processus de mesure proposeacute comprend un processus de remonteacutee demesures eacuteleacutementaires et de mesures deacuteriveacutees qui contribuent agrave la fabrication drsquoindicateurslesquels seront compareacutes individuellement agrave leur critegravere de deacutecision Lrsquoefficaciteacute du systegraveme
1 Une mesure eacuteleacutementaire peut dans certains cas correspondre directement agrave un indicateur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1928
Les meacutetriques dans le cadre de la seacuterie 27000 - 17 - copy CLUSIF 2009
de management srsquoappreacutecie en comparant les reacutesultats issus des mesures effectueacutees avec leursobjectifs initiaux
Dans le projet de norme les preacutecisions suivantes sont apporteacutees
les objectifs du processus de mesure sont clairement eacutetablis (eacutevaluer fournir des
donneacutees faciliter lrsquoeacutevolution communiquer) En revanche le peacuterimegravetre sur lequelsrsquoapplique ce processus ainsi que la meacutethodologie drsquoimpleacutementation restent agrave lrsquoinitiativede chacun
lrsquoimplication du management dans le processus de mesure est souligneacutee notamment surson engagement ses responsabiliteacutes et les ressources agrave mettre en œuvre
les diffeacuterents rocircles qui devraient ecirctre assigneacutes par le Management concernant leprocessus de mesure sont preacuteciseacutes le fournisseur le client le collecteur lecommunicateur le reacute-examinateur (cf deacutefinitions dans lrsquoannexe A du preacutesentdocument) Ces diffeacuterents rocircles devront faire lrsquoobjet de proceacutedures drsquohabilitationprenant en compte les contraintes de seacuteparation des tacircches et les compeacutetencestechniques neacutecessaires
42 Concevoir des meacutetriques
Des meacutetriques doivent ecirctre creacuteeacutes pour eacutevaluer lrsquoefficaciteacute du SMSI controcircler lrsquoatteinte desobjectifs identifier valider et ameacuteliorer les mesures de seacutecuriteacute speacutecifiques
Pour cela il faut pour chaque meacutetrique agrave partir drsquoune analyse de risque et de lrsquoeacutetat initial
identifier et choisir des objectifs
documenter et planifier lrsquoactiviteacute de mesurage (lrsquoannexe A du preacutesent document
preacutesente un modegravele de fiche sur ce thegraveme) en particulier concernant la meacutethode decollecte de stockage drsquoarchivage de veacuterification et drsquoanalyse des donneacutees ainsi que lamise en place du processus de mesurage
deacutefinir les principaux acteurs et les ressources neacutecessaires
srsquoassurer de la pertinence des mesurages qui devraient veacuterifier les critegraveres SMART(Specific Measurable Attainable Repeatable Time dependant)
43 Mettre en place des meacutetriques
La mise en place permanente de la collecte de la conservation et de lrsquoanalyse des donneacutees apour but drsquoassurer la compreacutehension et lrsquoameacutelioration du SMSI Ce processus doitaccompagner les eacutevolutions du SMSI
Cette rubrique dans le projet de norme constitue un guide pratique opeacuterationnel qui preacuteciseles conditions de
collecte des donneacutees (en speacutecifiant la date lrsquoheure le proprieacutetairehellip)
validation
traitement
diffusion
conservation
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2028
Les meacutetriques dans le cadre de la seacuterie 27000 - 18 - copy CLUSIF 2009
Il importe que les reacutesultats des indicateurs servent agrave eacutevaluer lrsquoefficaciteacute des dispositifs deseacutecuriteacute (de preacutevention deacutetection correction ou reacutecupeacuteration) en place Dans un secondtemps cette base drsquoindicateurs constitueacutee permettra de soutenir un processus de deacutecision dansle choix de nouveaux dispositifs
44 Utiliser communiquer et ameacuteliorer les meacutetriques
Lrsquoanalyse des donneacutees et leur interpreacutetation consistent agrave les rapprocher des critegraveres dedeacutecision preacutealablement deacutefinis (Annexe A)
Le but de lrsquoanalyse est de pouvoir identifier les eacutecarts entre la performance attendue et cellereacutealiseacutee Les causes de non-conformiteacute et de mauvaise performance pourront ecirctre ainsiidentifieacutees en fonction des dispositifs de seacutecuriteacute qui
ne sont pas opeacuterationnels
sont impleacutementeacutes mais ne fonctionnement pas correctement sont impleacutementeacutes fonctionnent correctement mais ne couvrent pas les menaces
estimeacutees
sont impleacutementeacutes fonctionnent correctement mais toutes les menaces ne sont pascouvertes
Les conclusions des analyses devraient ecirctre revues par toutes les parties prenantes ndash dans lesens laquo stakeholders raquo ndash pour assurer la bonne interpreacutetation de la donneacutee A cette fin lesreacutesultats des analyses devraient ecirctre suffisamment documenteacutes
La consolidation de ces reacutesultats devra intervenir dans des tableaux de bord pour unecommunication agrave qui de droit
Les mesures peuvent ecirctre utiliseacutees agrave diverses fins
eacutevaluer lrsquoefficaciteacute des dispositifs de seacutecuriteacute
critiquer les appreacuteciations et les traitements des risques
deacutemontrer les progregraves
se comparer au sein ou entre organisations
45 Ameacuteliorer le processus de mesure
Lrsquoefficaciteacute du processus de mesure doit ecirctre examineacutee peacuteriodiquement afin de lrsquoameacuteliorerNeacuteanmoins les donneacutees de base doivent faire lrsquoobjet de sauvegardes reacuteguliegraveres et peacuterennesafin de pouvoir recalculer les meacutetriques en fonction de leurs diffeacuterentes eacutevolutions
Des eacutevolutions peuvent ecirctre envisageacutees quand lrsquoorganisation introduit de nouveaux objectifsde mesure points de mesure de nouvelles meacutethodes ou fonctions de mesure
Le processus de mesure devrait ecirctre eacutevalueacute en termes drsquoutiliteacute et reacuteexamineacute agrave chaque fois quelrsquoorganisation change Il importe de srsquoassurer que les mesures reflegravetent un eacutetat agrave jour de laseacutecuriteacute et de veacuterifier que les donneacutees sous-jacentes sont encore valides Il est eacutegalementimportant de valider la pertinence des hypothegraveses
Il srsquoagit aussi drsquoeacutevaluer lrsquoutiliteacute de la mesure et le coucirct du processus de mesure afin dedeacuteterminer la pertinence de sa modification ou de sa suppression
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2128
Les meacutetriques dans le cadre de la seacuterie 27000 - 19 - copy CLUSIF 2009
5 CONCLUSION
LrsquoISOIEC 270012005 insiste sur lrsquoimportance de mesurer lrsquoefficaciteacute des processus du
SMSI des mesures de seacutecuriteacute mises en œuvre et du processus de mesurage lui-mecircme2
Cependant cette norme ne preacutecise pas comment mesurer cette efficaciteacute Elle se contentedrsquoindiquer qursquoune meacutethode est agrave deacutefinir
A cette fin le preacutesent document apporte un eacuteclairage aux RSSI auditeurs internes acteurs ducontrocircle permanent et managers dans la deacutefinition et la mise en œuvre des indicateurs adapteacutesagrave leurs exigences selon des processus qui devraient figurer dans la norme ISOIEC 27004
LrsquoISOIEC 27004 est un guide qui compleacutetera lrsquoISOIEC 270012005 en fournissant deslignes directrices et des conseils sur
la conception
la mise en œuvre
lrsquoanalyse et la communication des reacutesultats
lrsquoameacutelioration du processus de mesurage drsquoun SMSI
Cette future norme devrait ecirctre publieacutee prochainement La seacuterie ISOIEC 27000 a eacuteteacutecompleacuteteacutee de lrsquoISOIEC 270052008 et de lrsquoISOIEC 27003 (preacutevue en 2009) qui traitentrespectivement de la gestion du risque et de la mise en œuvre drsquoun SMSI
2 cf clauses 02c 02d 422d 423c 431g 72f et 73e
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2228
Les meacutetriques dans le cadre de la seacuterie 27000 - 20 - copy CLUSIF 2009
ANNEXE A FICHE DESCRIPTIVE
Modegravele de fiche descriptive drsquoune mesure
Cette fiche est inspireacutee de lrsquoISOIEC FCD 27004
Identification de la mesure
Nom de la mesure Nom de la mesure
Identifiant de la mesure Identifiant numeacuterique unique speacutecifique agrave lrsquoorganisme
Objectif de la mesureDeacutecrit lrsquoobjectif de la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure de
seacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (1)Facultatif Deacutecrit la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure deseacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (2)Facultatif Deacutecrit dautres mesures de seacutecuriteacute (agrave mettre ou deacutejagrave mise en œuvre) faisant lrsquoobjet le caseacutecheacuteant de la mecircme mesure (reacutefeacuterence aux mesures de seacutecuriteacute de lrsquoannexe A de la normeISO 27001)
Objectif de la mesure Deacutefinit le but de la mesure
Reacute examinateurPersonne ou uniteacute organisationnelle qui examine et valide que les critegraveres deacutevaluation de la mesuresont approprieacutes pour veacuterifier lefficaciteacute des mesures de seacutecuriteacute et des processus du SMSI
Objets du mesurage et attributs
Objet du mesurage
Objet qui doit ecirctre mesureacute et qui est caracteacuteriseacute par la mesurabiliteacute de ses attributs Les objets peuvent
comprendre des processus des systegravemes ou des composants de systegravemes
AttributsProprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacutee quantitativement ou qualitativementpar des moyens humains ou automatiques
Speacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesUne mesure eacuteleacutementaire est deacutefinie en fonction dun attribut et de la meacutethode de mesurage speacutecifieacuteepour le quantifier (par exemple le nombre de personnel formeacute le nombre de sites le coucirct cumuleacute agravece jour) Au moment ougrave la donneacutee est collecteacutee une valeur est affecteacutee agrave une mesure eacuteleacutementaire
Meacutethodes de mesurage Suite logique drsquoopeacuterations qui permettent de quantifier un attribut selon une eacutechelle
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure eacuteleacutementaire
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesures eacuteleacutementaires
Fonction de mesurageSuite logique drsquoopeacuterations qui permettent de calculer la mesure deacuteriveacutee Pour les mesures deacuteriveacutees lafonction par laquelle les mesures deacuteriveacutees fondeacutees sur des mesures eacuteleacutementaires correspondantes etla preacutecision cumulative reacutesultante sont agreacutegeacutees
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure deacuteriveacutee
Speacutecification de lrsquoindicateur
Description dindicateur etexemple
Preacutesentation dune ou plusieurs mesures (eacuteleacutementaires ou deacuteriveacutees) qui fournit une estimation ou uneeacutevaluation dattributs speacutecifieacutes reacutesultant dun modegravele analytique en ce qui concerne des besoins delinformation deacutefinis Un indicateur est souvent preacutesenteacute agrave lrsquoaide drsquoun graphique ou drsquoun diagrammeInclure un croquis de lindicateur
Modegravele analytique Algorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires etou deacuteriveacutees avec lescritegraveres de deacutecision associeacutes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2328
Les meacutetriques dans le cadre de la seacuterie 27000 - 21 - copy CLUSIF 2009
Critegravere de deacutecisionSeuil cible ou modegravele utiliseacute pour deacuteterminer la neacutecessiteacute dune action ou un compleacutement denquecircteou pour deacutecrire le niveau de confiance dans un reacutesultat donneacute
Interpreacutetation dindicateurDescription de la faccedilon dont lindicateur exemple (voir la figure exemple dans la description delindicateur) devrait ecirctre interpreacuteteacute
Effets impact Deacutefinition des effets et de lrsquoimpact issu des reacutesultats obtenus par la mesure
Causes drsquoeacutecart Deacutefinition des causes possibles agrave lrsquoorigine drsquoeacutecarts des reacutesultats
Valeurs positivesDeacuteclaration expliquant si les valeurs en laquo croissance raquo indiquent des tendances positives (bonreacutesultat) ou si les valeurs en laquo deacutecroissance raquo doivent ecirctre consideacutereacutees comme des tendancespositives
Format de restitution
Le format de la restitution devrait ecirctre preacuteciseacute et documenteacute Il deacutecrit les observations quelrsquoorganisation ou le proprieacutetaire de lrsquoinformation peut vouloir sur lrsquoenregistrement Les formats derapport deacutecriront visuellement les mesures et fourniront une explication verbale des indicateurs Ilsdevraient ecirctre personnaliseacutes en fonction du laquo client de linformation raquo (ce terme est deacutefini ci-apregraves)
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des
donneacutees
Freacutequence agrave laquelle les donneacutees sont collecteacutees
Fournisseur de lrsquoinformationPersonne ou uniteacute organisationnelle qui deacutetient lrsquoinformation pour creacuteer les mesures eacuteleacutementairesCelui qui va contribuer agrave la meacutetrique produire lrsquoinformation pour le calcul de la meacutetrique
Collecteur de lrsquoinformationPersonne ou uniteacute organisationnelle en charge de collecter enregistrer et stocker les informationsCelui qui va obtenir la meacutetrique
Outils utiliseacutes dans la collectedes donneacutees
Liste les outils utiliseacutes dans la collecte des donneacutees (par exemple un scanner de vulneacuterabiliteacute)
Conservation des donneacuteescollecteacutees
Liste les outils ougrave les donneacutees sont conserveacutees apregraves avoir eacuteteacute collecteacutees (par exemple une base dedonneacutees)
Date de collecte Date agrave laquelle la donneacutee devrait ecirctre obtenue
Proceacutedure drsquoenregistrement
des donneacuteesDeacutefinit la proceacutedure drsquoenregistrement des donneacutees (lien vers la proceacutedure correspondante)
Validiteacute de la mesure Date de reacutevision (date drsquoexpiration ou de validiteacute de renouvellement) de la mesure
Peacuteriode drsquoanalyse Deacutefinit la peacuteriode mesureacutee
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitutiondes donneacutees
Freacutequence agrave laquelle les donneacutees sont restitueacutees (cette freacutequence peut ecirctre infeacuterieure agrave celle decollecte)
Communicateur delrsquoinformation
Personne ou uniteacute organisationnelle responsable de lrsquoanalyse de lrsquoinformation et de la communicationdes reacutesultats des mesuresCelui qui va analyser la meacutetrique
Source drsquoinformation pour
lrsquoanalyse
Liste les sources drsquoinformation utiles pour lrsquoanalyse de reacutesultats (documents journaux entretien
etc)Outils utiliseacutes dans lrsquoanalyse Liste les outils utiliseacutes pour lrsquoanalyse (par exemple des outils statistiques)
Client de lrsquoinformationLa personne ou lrsquouniteacute organisationnelle qui demande ou requiert les mesures pour les besoins de sonactiviteacuteCelui qui va utiliser la meacutetrique
Information compleacutementaire
Conseils danalyseCompleacutementaires
Fournit des conseils compleacutementaires sur les variations de cette mesure
Consideacuterations de mise enœuvre
Liste les processus ou les exigences de mise en œuvre qui sont neacutecessaires pour la reacuteussite de la miseen œuvre
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2428
Les meacutetriques dans le cadre de la seacuterie 27000 - 22 - copy CLUSIF 2009
Exemple drsquoutilisation de la fiche
Identification de la mesure
Nom de la mesure Revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Identifiant de la mesure R1-A1124
Objectif de la mesure de seacutecuriteacuteA1124 [270012005]
Mesure de seacutecuriteacute (1)Les managers doivent dans leur peacuterimegravetre reacuteexaminer les droits drsquoaccegraves des utilisateurs agraveintervalles reacuteguliers par le biais drsquoun processus formel
Mesure de seacutecuriteacute (2) Revue des accegraves au reacuteseau informatique
Objectif de la mesure
Mesurer le pourcentage de manager deacuteclarant avoir effectueacute des controcircles sur les droits drsquoaccegravesutilisateurs de leur peacuterimegravetre ce qui permet drsquoeacutevaluer
bull la prise de conscience des managers vis-agrave-vis des risques drsquoaccegraves non fondeacutesfrauduleux ou obsolegravetes aux SI
bull lrsquoimplication du management dans le processus de maicirctrise et de gestion du risqueinformatique
Reacute examinateur Direction des Risques
Objets du mesurage et attributs
Objet du mesurage Processus de revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Attributs Attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateursSpeacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesExistence drsquoune attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateurs parchacun des managers
Meacutethodes de mesurageTous les trimestres les managers enverront un email standardiseacute au Deacutepartement Seacutecuriteacute desSI attestant que les accegraves des utilisateurs ont eacuteteacute revus pour leur peacuterimegravetre
Echelle Numeacuterique
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Taux drsquoattestations retourneacutees par les managers sur le trimestre eacutetudieacute
Fonction de mesurage
Taux dattestations retourneacutees par les managers sur le trimestre eacutetudieacute = (nombre dattestations
retourneacutees par les managers Total dattestations attendues dans le trimestre) 100
Echelle Ratio pourcentage
Speacutecification de lrsquoindicateur
Description dindicateur et exemple Courbe montrant lrsquoindicateur sur plusieurs peacuteriodes de restitution
Modegravele analytique
Satisfaisant si gt= 90Globalement satisfaisant si 80 lt lt 90Moyennement satisfaisant si 70 lt= lt= 80Insatisfaisant si lt 70
Critegravere de deacutecision Seuil min 80
Interpreacutetation dindicateurUn reacutesultat insatisfaisant indique un manque drsquoengagement des managers dans la gestion des
risques lieacutes agrave la seacutecuriteacute des SIEffets impact Si reacutesultats insatisfaisants lrsquoindicateur est remonteacute agrave la Direction Geacuteneacuterale pour action
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2528
Les meacutetriques dans le cadre de la seacuterie 27000 - 23 - copy CLUSIF 2009
Causes drsquoeacutecart Les reacuteorganisations fonctionnelles de lrsquoentreprise
Valeurs positives Des valeurs croissantes indiquent des tendances positives
Format de restitution Tableau Excel standardiseacute
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des donneacutees Trimestrielle
Fournisseur de lrsquoinformation Chaque manager
Collecteur de lrsquoinformation Le RSSI
Outils utiliseacutes dans la collecte desdonneacutees
Mail courrier
Conservation des donneacutees collecteacutees Reacutepertoire speacutecifique du disque reacuteseau
Date de collecte Pour le 15 de chaque deacutebut de trimestre
Proceacutedure drsquoenregistrement desdonneacutees
EhellipNOV08R1-A11-2-4XLS
Validiteacute de la mesure Annuelle
Peacuteriode drsquoanalyse Du 1er janvier au 31 deacutecembre de lrsquoanneacutee en cours
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitution desdonneacutees
Trimestrielle
Communicateur de lrsquoinformation Le RSSI
Source drsquoinformation pour lrsquoanalyse Rapports drsquoentretiens
Outils utiliseacutes dans lrsquoanalyse Excel
Client de lrsquoinformation Direction des Risques
Information compleacutementaire
Conseils danalyse Compleacutementaires NA
Consideacuterations de mise en œuvre NA
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2628
Les meacutetriques dans le cadre de la seacuterie 27000 - 24 - copy CLUSIF 2009
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE
METRIQUES ET OU DrsquoINDICATEURS
Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI
Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A8 Seacutecuriteacute lieacutee aux ressources humaines
A81 Avant le recrutement
A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute
A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat
A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur
A82 Pendant la dureacutee du contrat
A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute
A822 Sensibilisation qualification et formations
en matiegravere de seacutecuriteacute de lrsquoinformation
Nombre de personnes formeacutees an
A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque
A83 Fin ou modification du contrat
A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat
A832 Restitution des actifs Coucirct des biens non rendus en fin de mission
A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai
A9 Seacutecuriteacute physique et environnementale
A91 Zones seacutecuriseacutees
A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees
A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)
A913 Seacutecurisation des bureaux des salles et deseacutequipements
Nombre annuel de disparition de biens informatiques dans les locaux
A914 Protection contre les menaces exteacuterieures etenvironnementales
Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle
A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 1928
Les meacutetriques dans le cadre de la seacuterie 27000 - 17 - copy CLUSIF 2009
de management srsquoappreacutecie en comparant les reacutesultats issus des mesures effectueacutees avec leursobjectifs initiaux
Dans le projet de norme les preacutecisions suivantes sont apporteacutees
les objectifs du processus de mesure sont clairement eacutetablis (eacutevaluer fournir des
donneacutees faciliter lrsquoeacutevolution communiquer) En revanche le peacuterimegravetre sur lequelsrsquoapplique ce processus ainsi que la meacutethodologie drsquoimpleacutementation restent agrave lrsquoinitiativede chacun
lrsquoimplication du management dans le processus de mesure est souligneacutee notamment surson engagement ses responsabiliteacutes et les ressources agrave mettre en œuvre
les diffeacuterents rocircles qui devraient ecirctre assigneacutes par le Management concernant leprocessus de mesure sont preacuteciseacutes le fournisseur le client le collecteur lecommunicateur le reacute-examinateur (cf deacutefinitions dans lrsquoannexe A du preacutesentdocument) Ces diffeacuterents rocircles devront faire lrsquoobjet de proceacutedures drsquohabilitationprenant en compte les contraintes de seacuteparation des tacircches et les compeacutetencestechniques neacutecessaires
42 Concevoir des meacutetriques
Des meacutetriques doivent ecirctre creacuteeacutes pour eacutevaluer lrsquoefficaciteacute du SMSI controcircler lrsquoatteinte desobjectifs identifier valider et ameacuteliorer les mesures de seacutecuriteacute speacutecifiques
Pour cela il faut pour chaque meacutetrique agrave partir drsquoune analyse de risque et de lrsquoeacutetat initial
identifier et choisir des objectifs
documenter et planifier lrsquoactiviteacute de mesurage (lrsquoannexe A du preacutesent document
preacutesente un modegravele de fiche sur ce thegraveme) en particulier concernant la meacutethode decollecte de stockage drsquoarchivage de veacuterification et drsquoanalyse des donneacutees ainsi que lamise en place du processus de mesurage
deacutefinir les principaux acteurs et les ressources neacutecessaires
srsquoassurer de la pertinence des mesurages qui devraient veacuterifier les critegraveres SMART(Specific Measurable Attainable Repeatable Time dependant)
43 Mettre en place des meacutetriques
La mise en place permanente de la collecte de la conservation et de lrsquoanalyse des donneacutees apour but drsquoassurer la compreacutehension et lrsquoameacutelioration du SMSI Ce processus doitaccompagner les eacutevolutions du SMSI
Cette rubrique dans le projet de norme constitue un guide pratique opeacuterationnel qui preacuteciseles conditions de
collecte des donneacutees (en speacutecifiant la date lrsquoheure le proprieacutetairehellip)
validation
traitement
diffusion
conservation
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2028
Les meacutetriques dans le cadre de la seacuterie 27000 - 18 - copy CLUSIF 2009
Il importe que les reacutesultats des indicateurs servent agrave eacutevaluer lrsquoefficaciteacute des dispositifs deseacutecuriteacute (de preacutevention deacutetection correction ou reacutecupeacuteration) en place Dans un secondtemps cette base drsquoindicateurs constitueacutee permettra de soutenir un processus de deacutecision dansle choix de nouveaux dispositifs
44 Utiliser communiquer et ameacuteliorer les meacutetriques
Lrsquoanalyse des donneacutees et leur interpreacutetation consistent agrave les rapprocher des critegraveres dedeacutecision preacutealablement deacutefinis (Annexe A)
Le but de lrsquoanalyse est de pouvoir identifier les eacutecarts entre la performance attendue et cellereacutealiseacutee Les causes de non-conformiteacute et de mauvaise performance pourront ecirctre ainsiidentifieacutees en fonction des dispositifs de seacutecuriteacute qui
ne sont pas opeacuterationnels
sont impleacutementeacutes mais ne fonctionnement pas correctement sont impleacutementeacutes fonctionnent correctement mais ne couvrent pas les menaces
estimeacutees
sont impleacutementeacutes fonctionnent correctement mais toutes les menaces ne sont pascouvertes
Les conclusions des analyses devraient ecirctre revues par toutes les parties prenantes ndash dans lesens laquo stakeholders raquo ndash pour assurer la bonne interpreacutetation de la donneacutee A cette fin lesreacutesultats des analyses devraient ecirctre suffisamment documenteacutes
La consolidation de ces reacutesultats devra intervenir dans des tableaux de bord pour unecommunication agrave qui de droit
Les mesures peuvent ecirctre utiliseacutees agrave diverses fins
eacutevaluer lrsquoefficaciteacute des dispositifs de seacutecuriteacute
critiquer les appreacuteciations et les traitements des risques
deacutemontrer les progregraves
se comparer au sein ou entre organisations
45 Ameacuteliorer le processus de mesure
Lrsquoefficaciteacute du processus de mesure doit ecirctre examineacutee peacuteriodiquement afin de lrsquoameacuteliorerNeacuteanmoins les donneacutees de base doivent faire lrsquoobjet de sauvegardes reacuteguliegraveres et peacuterennesafin de pouvoir recalculer les meacutetriques en fonction de leurs diffeacuterentes eacutevolutions
Des eacutevolutions peuvent ecirctre envisageacutees quand lrsquoorganisation introduit de nouveaux objectifsde mesure points de mesure de nouvelles meacutethodes ou fonctions de mesure
Le processus de mesure devrait ecirctre eacutevalueacute en termes drsquoutiliteacute et reacuteexamineacute agrave chaque fois quelrsquoorganisation change Il importe de srsquoassurer que les mesures reflegravetent un eacutetat agrave jour de laseacutecuriteacute et de veacuterifier que les donneacutees sous-jacentes sont encore valides Il est eacutegalementimportant de valider la pertinence des hypothegraveses
Il srsquoagit aussi drsquoeacutevaluer lrsquoutiliteacute de la mesure et le coucirct du processus de mesure afin dedeacuteterminer la pertinence de sa modification ou de sa suppression
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2128
Les meacutetriques dans le cadre de la seacuterie 27000 - 19 - copy CLUSIF 2009
5 CONCLUSION
LrsquoISOIEC 270012005 insiste sur lrsquoimportance de mesurer lrsquoefficaciteacute des processus du
SMSI des mesures de seacutecuriteacute mises en œuvre et du processus de mesurage lui-mecircme2
Cependant cette norme ne preacutecise pas comment mesurer cette efficaciteacute Elle se contentedrsquoindiquer qursquoune meacutethode est agrave deacutefinir
A cette fin le preacutesent document apporte un eacuteclairage aux RSSI auditeurs internes acteurs ducontrocircle permanent et managers dans la deacutefinition et la mise en œuvre des indicateurs adapteacutesagrave leurs exigences selon des processus qui devraient figurer dans la norme ISOIEC 27004
LrsquoISOIEC 27004 est un guide qui compleacutetera lrsquoISOIEC 270012005 en fournissant deslignes directrices et des conseils sur
la conception
la mise en œuvre
lrsquoanalyse et la communication des reacutesultats
lrsquoameacutelioration du processus de mesurage drsquoun SMSI
Cette future norme devrait ecirctre publieacutee prochainement La seacuterie ISOIEC 27000 a eacuteteacutecompleacuteteacutee de lrsquoISOIEC 270052008 et de lrsquoISOIEC 27003 (preacutevue en 2009) qui traitentrespectivement de la gestion du risque et de la mise en œuvre drsquoun SMSI
2 cf clauses 02c 02d 422d 423c 431g 72f et 73e
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2228
Les meacutetriques dans le cadre de la seacuterie 27000 - 20 - copy CLUSIF 2009
ANNEXE A FICHE DESCRIPTIVE
Modegravele de fiche descriptive drsquoune mesure
Cette fiche est inspireacutee de lrsquoISOIEC FCD 27004
Identification de la mesure
Nom de la mesure Nom de la mesure
Identifiant de la mesure Identifiant numeacuterique unique speacutecifique agrave lrsquoorganisme
Objectif de la mesureDeacutecrit lrsquoobjectif de la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure de
seacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (1)Facultatif Deacutecrit la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure deseacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (2)Facultatif Deacutecrit dautres mesures de seacutecuriteacute (agrave mettre ou deacutejagrave mise en œuvre) faisant lrsquoobjet le caseacutecheacuteant de la mecircme mesure (reacutefeacuterence aux mesures de seacutecuriteacute de lrsquoannexe A de la normeISO 27001)
Objectif de la mesure Deacutefinit le but de la mesure
Reacute examinateurPersonne ou uniteacute organisationnelle qui examine et valide que les critegraveres deacutevaluation de la mesuresont approprieacutes pour veacuterifier lefficaciteacute des mesures de seacutecuriteacute et des processus du SMSI
Objets du mesurage et attributs
Objet du mesurage
Objet qui doit ecirctre mesureacute et qui est caracteacuteriseacute par la mesurabiliteacute de ses attributs Les objets peuvent
comprendre des processus des systegravemes ou des composants de systegravemes
AttributsProprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacutee quantitativement ou qualitativementpar des moyens humains ou automatiques
Speacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesUne mesure eacuteleacutementaire est deacutefinie en fonction dun attribut et de la meacutethode de mesurage speacutecifieacuteepour le quantifier (par exemple le nombre de personnel formeacute le nombre de sites le coucirct cumuleacute agravece jour) Au moment ougrave la donneacutee est collecteacutee une valeur est affecteacutee agrave une mesure eacuteleacutementaire
Meacutethodes de mesurage Suite logique drsquoopeacuterations qui permettent de quantifier un attribut selon une eacutechelle
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure eacuteleacutementaire
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesures eacuteleacutementaires
Fonction de mesurageSuite logique drsquoopeacuterations qui permettent de calculer la mesure deacuteriveacutee Pour les mesures deacuteriveacutees lafonction par laquelle les mesures deacuteriveacutees fondeacutees sur des mesures eacuteleacutementaires correspondantes etla preacutecision cumulative reacutesultante sont agreacutegeacutees
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure deacuteriveacutee
Speacutecification de lrsquoindicateur
Description dindicateur etexemple
Preacutesentation dune ou plusieurs mesures (eacuteleacutementaires ou deacuteriveacutees) qui fournit une estimation ou uneeacutevaluation dattributs speacutecifieacutes reacutesultant dun modegravele analytique en ce qui concerne des besoins delinformation deacutefinis Un indicateur est souvent preacutesenteacute agrave lrsquoaide drsquoun graphique ou drsquoun diagrammeInclure un croquis de lindicateur
Modegravele analytique Algorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires etou deacuteriveacutees avec lescritegraveres de deacutecision associeacutes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2328
Les meacutetriques dans le cadre de la seacuterie 27000 - 21 - copy CLUSIF 2009
Critegravere de deacutecisionSeuil cible ou modegravele utiliseacute pour deacuteterminer la neacutecessiteacute dune action ou un compleacutement denquecircteou pour deacutecrire le niveau de confiance dans un reacutesultat donneacute
Interpreacutetation dindicateurDescription de la faccedilon dont lindicateur exemple (voir la figure exemple dans la description delindicateur) devrait ecirctre interpreacuteteacute
Effets impact Deacutefinition des effets et de lrsquoimpact issu des reacutesultats obtenus par la mesure
Causes drsquoeacutecart Deacutefinition des causes possibles agrave lrsquoorigine drsquoeacutecarts des reacutesultats
Valeurs positivesDeacuteclaration expliquant si les valeurs en laquo croissance raquo indiquent des tendances positives (bonreacutesultat) ou si les valeurs en laquo deacutecroissance raquo doivent ecirctre consideacutereacutees comme des tendancespositives
Format de restitution
Le format de la restitution devrait ecirctre preacuteciseacute et documenteacute Il deacutecrit les observations quelrsquoorganisation ou le proprieacutetaire de lrsquoinformation peut vouloir sur lrsquoenregistrement Les formats derapport deacutecriront visuellement les mesures et fourniront une explication verbale des indicateurs Ilsdevraient ecirctre personnaliseacutes en fonction du laquo client de linformation raquo (ce terme est deacutefini ci-apregraves)
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des
donneacutees
Freacutequence agrave laquelle les donneacutees sont collecteacutees
Fournisseur de lrsquoinformationPersonne ou uniteacute organisationnelle qui deacutetient lrsquoinformation pour creacuteer les mesures eacuteleacutementairesCelui qui va contribuer agrave la meacutetrique produire lrsquoinformation pour le calcul de la meacutetrique
Collecteur de lrsquoinformationPersonne ou uniteacute organisationnelle en charge de collecter enregistrer et stocker les informationsCelui qui va obtenir la meacutetrique
Outils utiliseacutes dans la collectedes donneacutees
Liste les outils utiliseacutes dans la collecte des donneacutees (par exemple un scanner de vulneacuterabiliteacute)
Conservation des donneacuteescollecteacutees
Liste les outils ougrave les donneacutees sont conserveacutees apregraves avoir eacuteteacute collecteacutees (par exemple une base dedonneacutees)
Date de collecte Date agrave laquelle la donneacutee devrait ecirctre obtenue
Proceacutedure drsquoenregistrement
des donneacuteesDeacutefinit la proceacutedure drsquoenregistrement des donneacutees (lien vers la proceacutedure correspondante)
Validiteacute de la mesure Date de reacutevision (date drsquoexpiration ou de validiteacute de renouvellement) de la mesure
Peacuteriode drsquoanalyse Deacutefinit la peacuteriode mesureacutee
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitutiondes donneacutees
Freacutequence agrave laquelle les donneacutees sont restitueacutees (cette freacutequence peut ecirctre infeacuterieure agrave celle decollecte)
Communicateur delrsquoinformation
Personne ou uniteacute organisationnelle responsable de lrsquoanalyse de lrsquoinformation et de la communicationdes reacutesultats des mesuresCelui qui va analyser la meacutetrique
Source drsquoinformation pour
lrsquoanalyse
Liste les sources drsquoinformation utiles pour lrsquoanalyse de reacutesultats (documents journaux entretien
etc)Outils utiliseacutes dans lrsquoanalyse Liste les outils utiliseacutes pour lrsquoanalyse (par exemple des outils statistiques)
Client de lrsquoinformationLa personne ou lrsquouniteacute organisationnelle qui demande ou requiert les mesures pour les besoins de sonactiviteacuteCelui qui va utiliser la meacutetrique
Information compleacutementaire
Conseils danalyseCompleacutementaires
Fournit des conseils compleacutementaires sur les variations de cette mesure
Consideacuterations de mise enœuvre
Liste les processus ou les exigences de mise en œuvre qui sont neacutecessaires pour la reacuteussite de la miseen œuvre
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2428
Les meacutetriques dans le cadre de la seacuterie 27000 - 22 - copy CLUSIF 2009
Exemple drsquoutilisation de la fiche
Identification de la mesure
Nom de la mesure Revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Identifiant de la mesure R1-A1124
Objectif de la mesure de seacutecuriteacuteA1124 [270012005]
Mesure de seacutecuriteacute (1)Les managers doivent dans leur peacuterimegravetre reacuteexaminer les droits drsquoaccegraves des utilisateurs agraveintervalles reacuteguliers par le biais drsquoun processus formel
Mesure de seacutecuriteacute (2) Revue des accegraves au reacuteseau informatique
Objectif de la mesure
Mesurer le pourcentage de manager deacuteclarant avoir effectueacute des controcircles sur les droits drsquoaccegravesutilisateurs de leur peacuterimegravetre ce qui permet drsquoeacutevaluer
bull la prise de conscience des managers vis-agrave-vis des risques drsquoaccegraves non fondeacutesfrauduleux ou obsolegravetes aux SI
bull lrsquoimplication du management dans le processus de maicirctrise et de gestion du risqueinformatique
Reacute examinateur Direction des Risques
Objets du mesurage et attributs
Objet du mesurage Processus de revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Attributs Attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateursSpeacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesExistence drsquoune attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateurs parchacun des managers
Meacutethodes de mesurageTous les trimestres les managers enverront un email standardiseacute au Deacutepartement Seacutecuriteacute desSI attestant que les accegraves des utilisateurs ont eacuteteacute revus pour leur peacuterimegravetre
Echelle Numeacuterique
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Taux drsquoattestations retourneacutees par les managers sur le trimestre eacutetudieacute
Fonction de mesurage
Taux dattestations retourneacutees par les managers sur le trimestre eacutetudieacute = (nombre dattestations
retourneacutees par les managers Total dattestations attendues dans le trimestre) 100
Echelle Ratio pourcentage
Speacutecification de lrsquoindicateur
Description dindicateur et exemple Courbe montrant lrsquoindicateur sur plusieurs peacuteriodes de restitution
Modegravele analytique
Satisfaisant si gt= 90Globalement satisfaisant si 80 lt lt 90Moyennement satisfaisant si 70 lt= lt= 80Insatisfaisant si lt 70
Critegravere de deacutecision Seuil min 80
Interpreacutetation dindicateurUn reacutesultat insatisfaisant indique un manque drsquoengagement des managers dans la gestion des
risques lieacutes agrave la seacutecuriteacute des SIEffets impact Si reacutesultats insatisfaisants lrsquoindicateur est remonteacute agrave la Direction Geacuteneacuterale pour action
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2528
Les meacutetriques dans le cadre de la seacuterie 27000 - 23 - copy CLUSIF 2009
Causes drsquoeacutecart Les reacuteorganisations fonctionnelles de lrsquoentreprise
Valeurs positives Des valeurs croissantes indiquent des tendances positives
Format de restitution Tableau Excel standardiseacute
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des donneacutees Trimestrielle
Fournisseur de lrsquoinformation Chaque manager
Collecteur de lrsquoinformation Le RSSI
Outils utiliseacutes dans la collecte desdonneacutees
Mail courrier
Conservation des donneacutees collecteacutees Reacutepertoire speacutecifique du disque reacuteseau
Date de collecte Pour le 15 de chaque deacutebut de trimestre
Proceacutedure drsquoenregistrement desdonneacutees
EhellipNOV08R1-A11-2-4XLS
Validiteacute de la mesure Annuelle
Peacuteriode drsquoanalyse Du 1er janvier au 31 deacutecembre de lrsquoanneacutee en cours
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitution desdonneacutees
Trimestrielle
Communicateur de lrsquoinformation Le RSSI
Source drsquoinformation pour lrsquoanalyse Rapports drsquoentretiens
Outils utiliseacutes dans lrsquoanalyse Excel
Client de lrsquoinformation Direction des Risques
Information compleacutementaire
Conseils danalyse Compleacutementaires NA
Consideacuterations de mise en œuvre NA
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2628
Les meacutetriques dans le cadre de la seacuterie 27000 - 24 - copy CLUSIF 2009
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE
METRIQUES ET OU DrsquoINDICATEURS
Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI
Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A8 Seacutecuriteacute lieacutee aux ressources humaines
A81 Avant le recrutement
A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute
A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat
A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur
A82 Pendant la dureacutee du contrat
A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute
A822 Sensibilisation qualification et formations
en matiegravere de seacutecuriteacute de lrsquoinformation
Nombre de personnes formeacutees an
A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque
A83 Fin ou modification du contrat
A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat
A832 Restitution des actifs Coucirct des biens non rendus en fin de mission
A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai
A9 Seacutecuriteacute physique et environnementale
A91 Zones seacutecuriseacutees
A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees
A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)
A913 Seacutecurisation des bureaux des salles et deseacutequipements
Nombre annuel de disparition de biens informatiques dans les locaux
A914 Protection contre les menaces exteacuterieures etenvironnementales
Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle
A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2028
Les meacutetriques dans le cadre de la seacuterie 27000 - 18 - copy CLUSIF 2009
Il importe que les reacutesultats des indicateurs servent agrave eacutevaluer lrsquoefficaciteacute des dispositifs deseacutecuriteacute (de preacutevention deacutetection correction ou reacutecupeacuteration) en place Dans un secondtemps cette base drsquoindicateurs constitueacutee permettra de soutenir un processus de deacutecision dansle choix de nouveaux dispositifs
44 Utiliser communiquer et ameacuteliorer les meacutetriques
Lrsquoanalyse des donneacutees et leur interpreacutetation consistent agrave les rapprocher des critegraveres dedeacutecision preacutealablement deacutefinis (Annexe A)
Le but de lrsquoanalyse est de pouvoir identifier les eacutecarts entre la performance attendue et cellereacutealiseacutee Les causes de non-conformiteacute et de mauvaise performance pourront ecirctre ainsiidentifieacutees en fonction des dispositifs de seacutecuriteacute qui
ne sont pas opeacuterationnels
sont impleacutementeacutes mais ne fonctionnement pas correctement sont impleacutementeacutes fonctionnent correctement mais ne couvrent pas les menaces
estimeacutees
sont impleacutementeacutes fonctionnent correctement mais toutes les menaces ne sont pascouvertes
Les conclusions des analyses devraient ecirctre revues par toutes les parties prenantes ndash dans lesens laquo stakeholders raquo ndash pour assurer la bonne interpreacutetation de la donneacutee A cette fin lesreacutesultats des analyses devraient ecirctre suffisamment documenteacutes
La consolidation de ces reacutesultats devra intervenir dans des tableaux de bord pour unecommunication agrave qui de droit
Les mesures peuvent ecirctre utiliseacutees agrave diverses fins
eacutevaluer lrsquoefficaciteacute des dispositifs de seacutecuriteacute
critiquer les appreacuteciations et les traitements des risques
deacutemontrer les progregraves
se comparer au sein ou entre organisations
45 Ameacuteliorer le processus de mesure
Lrsquoefficaciteacute du processus de mesure doit ecirctre examineacutee peacuteriodiquement afin de lrsquoameacuteliorerNeacuteanmoins les donneacutees de base doivent faire lrsquoobjet de sauvegardes reacuteguliegraveres et peacuterennesafin de pouvoir recalculer les meacutetriques en fonction de leurs diffeacuterentes eacutevolutions
Des eacutevolutions peuvent ecirctre envisageacutees quand lrsquoorganisation introduit de nouveaux objectifsde mesure points de mesure de nouvelles meacutethodes ou fonctions de mesure
Le processus de mesure devrait ecirctre eacutevalueacute en termes drsquoutiliteacute et reacuteexamineacute agrave chaque fois quelrsquoorganisation change Il importe de srsquoassurer que les mesures reflegravetent un eacutetat agrave jour de laseacutecuriteacute et de veacuterifier que les donneacutees sous-jacentes sont encore valides Il est eacutegalementimportant de valider la pertinence des hypothegraveses
Il srsquoagit aussi drsquoeacutevaluer lrsquoutiliteacute de la mesure et le coucirct du processus de mesure afin dedeacuteterminer la pertinence de sa modification ou de sa suppression
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2128
Les meacutetriques dans le cadre de la seacuterie 27000 - 19 - copy CLUSIF 2009
5 CONCLUSION
LrsquoISOIEC 270012005 insiste sur lrsquoimportance de mesurer lrsquoefficaciteacute des processus du
SMSI des mesures de seacutecuriteacute mises en œuvre et du processus de mesurage lui-mecircme2
Cependant cette norme ne preacutecise pas comment mesurer cette efficaciteacute Elle se contentedrsquoindiquer qursquoune meacutethode est agrave deacutefinir
A cette fin le preacutesent document apporte un eacuteclairage aux RSSI auditeurs internes acteurs ducontrocircle permanent et managers dans la deacutefinition et la mise en œuvre des indicateurs adapteacutesagrave leurs exigences selon des processus qui devraient figurer dans la norme ISOIEC 27004
LrsquoISOIEC 27004 est un guide qui compleacutetera lrsquoISOIEC 270012005 en fournissant deslignes directrices et des conseils sur
la conception
la mise en œuvre
lrsquoanalyse et la communication des reacutesultats
lrsquoameacutelioration du processus de mesurage drsquoun SMSI
Cette future norme devrait ecirctre publieacutee prochainement La seacuterie ISOIEC 27000 a eacuteteacutecompleacuteteacutee de lrsquoISOIEC 270052008 et de lrsquoISOIEC 27003 (preacutevue en 2009) qui traitentrespectivement de la gestion du risque et de la mise en œuvre drsquoun SMSI
2 cf clauses 02c 02d 422d 423c 431g 72f et 73e
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2228
Les meacutetriques dans le cadre de la seacuterie 27000 - 20 - copy CLUSIF 2009
ANNEXE A FICHE DESCRIPTIVE
Modegravele de fiche descriptive drsquoune mesure
Cette fiche est inspireacutee de lrsquoISOIEC FCD 27004
Identification de la mesure
Nom de la mesure Nom de la mesure
Identifiant de la mesure Identifiant numeacuterique unique speacutecifique agrave lrsquoorganisme
Objectif de la mesureDeacutecrit lrsquoobjectif de la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure de
seacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (1)Facultatif Deacutecrit la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure deseacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (2)Facultatif Deacutecrit dautres mesures de seacutecuriteacute (agrave mettre ou deacutejagrave mise en œuvre) faisant lrsquoobjet le caseacutecheacuteant de la mecircme mesure (reacutefeacuterence aux mesures de seacutecuriteacute de lrsquoannexe A de la normeISO 27001)
Objectif de la mesure Deacutefinit le but de la mesure
Reacute examinateurPersonne ou uniteacute organisationnelle qui examine et valide que les critegraveres deacutevaluation de la mesuresont approprieacutes pour veacuterifier lefficaciteacute des mesures de seacutecuriteacute et des processus du SMSI
Objets du mesurage et attributs
Objet du mesurage
Objet qui doit ecirctre mesureacute et qui est caracteacuteriseacute par la mesurabiliteacute de ses attributs Les objets peuvent
comprendre des processus des systegravemes ou des composants de systegravemes
AttributsProprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacutee quantitativement ou qualitativementpar des moyens humains ou automatiques
Speacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesUne mesure eacuteleacutementaire est deacutefinie en fonction dun attribut et de la meacutethode de mesurage speacutecifieacuteepour le quantifier (par exemple le nombre de personnel formeacute le nombre de sites le coucirct cumuleacute agravece jour) Au moment ougrave la donneacutee est collecteacutee une valeur est affecteacutee agrave une mesure eacuteleacutementaire
Meacutethodes de mesurage Suite logique drsquoopeacuterations qui permettent de quantifier un attribut selon une eacutechelle
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure eacuteleacutementaire
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesures eacuteleacutementaires
Fonction de mesurageSuite logique drsquoopeacuterations qui permettent de calculer la mesure deacuteriveacutee Pour les mesures deacuteriveacutees lafonction par laquelle les mesures deacuteriveacutees fondeacutees sur des mesures eacuteleacutementaires correspondantes etla preacutecision cumulative reacutesultante sont agreacutegeacutees
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure deacuteriveacutee
Speacutecification de lrsquoindicateur
Description dindicateur etexemple
Preacutesentation dune ou plusieurs mesures (eacuteleacutementaires ou deacuteriveacutees) qui fournit une estimation ou uneeacutevaluation dattributs speacutecifieacutes reacutesultant dun modegravele analytique en ce qui concerne des besoins delinformation deacutefinis Un indicateur est souvent preacutesenteacute agrave lrsquoaide drsquoun graphique ou drsquoun diagrammeInclure un croquis de lindicateur
Modegravele analytique Algorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires etou deacuteriveacutees avec lescritegraveres de deacutecision associeacutes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2328
Les meacutetriques dans le cadre de la seacuterie 27000 - 21 - copy CLUSIF 2009
Critegravere de deacutecisionSeuil cible ou modegravele utiliseacute pour deacuteterminer la neacutecessiteacute dune action ou un compleacutement denquecircteou pour deacutecrire le niveau de confiance dans un reacutesultat donneacute
Interpreacutetation dindicateurDescription de la faccedilon dont lindicateur exemple (voir la figure exemple dans la description delindicateur) devrait ecirctre interpreacuteteacute
Effets impact Deacutefinition des effets et de lrsquoimpact issu des reacutesultats obtenus par la mesure
Causes drsquoeacutecart Deacutefinition des causes possibles agrave lrsquoorigine drsquoeacutecarts des reacutesultats
Valeurs positivesDeacuteclaration expliquant si les valeurs en laquo croissance raquo indiquent des tendances positives (bonreacutesultat) ou si les valeurs en laquo deacutecroissance raquo doivent ecirctre consideacutereacutees comme des tendancespositives
Format de restitution
Le format de la restitution devrait ecirctre preacuteciseacute et documenteacute Il deacutecrit les observations quelrsquoorganisation ou le proprieacutetaire de lrsquoinformation peut vouloir sur lrsquoenregistrement Les formats derapport deacutecriront visuellement les mesures et fourniront une explication verbale des indicateurs Ilsdevraient ecirctre personnaliseacutes en fonction du laquo client de linformation raquo (ce terme est deacutefini ci-apregraves)
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des
donneacutees
Freacutequence agrave laquelle les donneacutees sont collecteacutees
Fournisseur de lrsquoinformationPersonne ou uniteacute organisationnelle qui deacutetient lrsquoinformation pour creacuteer les mesures eacuteleacutementairesCelui qui va contribuer agrave la meacutetrique produire lrsquoinformation pour le calcul de la meacutetrique
Collecteur de lrsquoinformationPersonne ou uniteacute organisationnelle en charge de collecter enregistrer et stocker les informationsCelui qui va obtenir la meacutetrique
Outils utiliseacutes dans la collectedes donneacutees
Liste les outils utiliseacutes dans la collecte des donneacutees (par exemple un scanner de vulneacuterabiliteacute)
Conservation des donneacuteescollecteacutees
Liste les outils ougrave les donneacutees sont conserveacutees apregraves avoir eacuteteacute collecteacutees (par exemple une base dedonneacutees)
Date de collecte Date agrave laquelle la donneacutee devrait ecirctre obtenue
Proceacutedure drsquoenregistrement
des donneacuteesDeacutefinit la proceacutedure drsquoenregistrement des donneacutees (lien vers la proceacutedure correspondante)
Validiteacute de la mesure Date de reacutevision (date drsquoexpiration ou de validiteacute de renouvellement) de la mesure
Peacuteriode drsquoanalyse Deacutefinit la peacuteriode mesureacutee
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitutiondes donneacutees
Freacutequence agrave laquelle les donneacutees sont restitueacutees (cette freacutequence peut ecirctre infeacuterieure agrave celle decollecte)
Communicateur delrsquoinformation
Personne ou uniteacute organisationnelle responsable de lrsquoanalyse de lrsquoinformation et de la communicationdes reacutesultats des mesuresCelui qui va analyser la meacutetrique
Source drsquoinformation pour
lrsquoanalyse
Liste les sources drsquoinformation utiles pour lrsquoanalyse de reacutesultats (documents journaux entretien
etc)Outils utiliseacutes dans lrsquoanalyse Liste les outils utiliseacutes pour lrsquoanalyse (par exemple des outils statistiques)
Client de lrsquoinformationLa personne ou lrsquouniteacute organisationnelle qui demande ou requiert les mesures pour les besoins de sonactiviteacuteCelui qui va utiliser la meacutetrique
Information compleacutementaire
Conseils danalyseCompleacutementaires
Fournit des conseils compleacutementaires sur les variations de cette mesure
Consideacuterations de mise enœuvre
Liste les processus ou les exigences de mise en œuvre qui sont neacutecessaires pour la reacuteussite de la miseen œuvre
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2428
Les meacutetriques dans le cadre de la seacuterie 27000 - 22 - copy CLUSIF 2009
Exemple drsquoutilisation de la fiche
Identification de la mesure
Nom de la mesure Revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Identifiant de la mesure R1-A1124
Objectif de la mesure de seacutecuriteacuteA1124 [270012005]
Mesure de seacutecuriteacute (1)Les managers doivent dans leur peacuterimegravetre reacuteexaminer les droits drsquoaccegraves des utilisateurs agraveintervalles reacuteguliers par le biais drsquoun processus formel
Mesure de seacutecuriteacute (2) Revue des accegraves au reacuteseau informatique
Objectif de la mesure
Mesurer le pourcentage de manager deacuteclarant avoir effectueacute des controcircles sur les droits drsquoaccegravesutilisateurs de leur peacuterimegravetre ce qui permet drsquoeacutevaluer
bull la prise de conscience des managers vis-agrave-vis des risques drsquoaccegraves non fondeacutesfrauduleux ou obsolegravetes aux SI
bull lrsquoimplication du management dans le processus de maicirctrise et de gestion du risqueinformatique
Reacute examinateur Direction des Risques
Objets du mesurage et attributs
Objet du mesurage Processus de revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Attributs Attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateursSpeacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesExistence drsquoune attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateurs parchacun des managers
Meacutethodes de mesurageTous les trimestres les managers enverront un email standardiseacute au Deacutepartement Seacutecuriteacute desSI attestant que les accegraves des utilisateurs ont eacuteteacute revus pour leur peacuterimegravetre
Echelle Numeacuterique
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Taux drsquoattestations retourneacutees par les managers sur le trimestre eacutetudieacute
Fonction de mesurage
Taux dattestations retourneacutees par les managers sur le trimestre eacutetudieacute = (nombre dattestations
retourneacutees par les managers Total dattestations attendues dans le trimestre) 100
Echelle Ratio pourcentage
Speacutecification de lrsquoindicateur
Description dindicateur et exemple Courbe montrant lrsquoindicateur sur plusieurs peacuteriodes de restitution
Modegravele analytique
Satisfaisant si gt= 90Globalement satisfaisant si 80 lt lt 90Moyennement satisfaisant si 70 lt= lt= 80Insatisfaisant si lt 70
Critegravere de deacutecision Seuil min 80
Interpreacutetation dindicateurUn reacutesultat insatisfaisant indique un manque drsquoengagement des managers dans la gestion des
risques lieacutes agrave la seacutecuriteacute des SIEffets impact Si reacutesultats insatisfaisants lrsquoindicateur est remonteacute agrave la Direction Geacuteneacuterale pour action
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2528
Les meacutetriques dans le cadre de la seacuterie 27000 - 23 - copy CLUSIF 2009
Causes drsquoeacutecart Les reacuteorganisations fonctionnelles de lrsquoentreprise
Valeurs positives Des valeurs croissantes indiquent des tendances positives
Format de restitution Tableau Excel standardiseacute
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des donneacutees Trimestrielle
Fournisseur de lrsquoinformation Chaque manager
Collecteur de lrsquoinformation Le RSSI
Outils utiliseacutes dans la collecte desdonneacutees
Mail courrier
Conservation des donneacutees collecteacutees Reacutepertoire speacutecifique du disque reacuteseau
Date de collecte Pour le 15 de chaque deacutebut de trimestre
Proceacutedure drsquoenregistrement desdonneacutees
EhellipNOV08R1-A11-2-4XLS
Validiteacute de la mesure Annuelle
Peacuteriode drsquoanalyse Du 1er janvier au 31 deacutecembre de lrsquoanneacutee en cours
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitution desdonneacutees
Trimestrielle
Communicateur de lrsquoinformation Le RSSI
Source drsquoinformation pour lrsquoanalyse Rapports drsquoentretiens
Outils utiliseacutes dans lrsquoanalyse Excel
Client de lrsquoinformation Direction des Risques
Information compleacutementaire
Conseils danalyse Compleacutementaires NA
Consideacuterations de mise en œuvre NA
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2628
Les meacutetriques dans le cadre de la seacuterie 27000 - 24 - copy CLUSIF 2009
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE
METRIQUES ET OU DrsquoINDICATEURS
Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI
Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A8 Seacutecuriteacute lieacutee aux ressources humaines
A81 Avant le recrutement
A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute
A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat
A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur
A82 Pendant la dureacutee du contrat
A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute
A822 Sensibilisation qualification et formations
en matiegravere de seacutecuriteacute de lrsquoinformation
Nombre de personnes formeacutees an
A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque
A83 Fin ou modification du contrat
A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat
A832 Restitution des actifs Coucirct des biens non rendus en fin de mission
A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai
A9 Seacutecuriteacute physique et environnementale
A91 Zones seacutecuriseacutees
A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees
A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)
A913 Seacutecurisation des bureaux des salles et deseacutequipements
Nombre annuel de disparition de biens informatiques dans les locaux
A914 Protection contre les menaces exteacuterieures etenvironnementales
Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle
A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2128
Les meacutetriques dans le cadre de la seacuterie 27000 - 19 - copy CLUSIF 2009
5 CONCLUSION
LrsquoISOIEC 270012005 insiste sur lrsquoimportance de mesurer lrsquoefficaciteacute des processus du
SMSI des mesures de seacutecuriteacute mises en œuvre et du processus de mesurage lui-mecircme2
Cependant cette norme ne preacutecise pas comment mesurer cette efficaciteacute Elle se contentedrsquoindiquer qursquoune meacutethode est agrave deacutefinir
A cette fin le preacutesent document apporte un eacuteclairage aux RSSI auditeurs internes acteurs ducontrocircle permanent et managers dans la deacutefinition et la mise en œuvre des indicateurs adapteacutesagrave leurs exigences selon des processus qui devraient figurer dans la norme ISOIEC 27004
LrsquoISOIEC 27004 est un guide qui compleacutetera lrsquoISOIEC 270012005 en fournissant deslignes directrices et des conseils sur
la conception
la mise en œuvre
lrsquoanalyse et la communication des reacutesultats
lrsquoameacutelioration du processus de mesurage drsquoun SMSI
Cette future norme devrait ecirctre publieacutee prochainement La seacuterie ISOIEC 27000 a eacuteteacutecompleacuteteacutee de lrsquoISOIEC 270052008 et de lrsquoISOIEC 27003 (preacutevue en 2009) qui traitentrespectivement de la gestion du risque et de la mise en œuvre drsquoun SMSI
2 cf clauses 02c 02d 422d 423c 431g 72f et 73e
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2228
Les meacutetriques dans le cadre de la seacuterie 27000 - 20 - copy CLUSIF 2009
ANNEXE A FICHE DESCRIPTIVE
Modegravele de fiche descriptive drsquoune mesure
Cette fiche est inspireacutee de lrsquoISOIEC FCD 27004
Identification de la mesure
Nom de la mesure Nom de la mesure
Identifiant de la mesure Identifiant numeacuterique unique speacutecifique agrave lrsquoorganisme
Objectif de la mesureDeacutecrit lrsquoobjectif de la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure de
seacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (1)Facultatif Deacutecrit la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure deseacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (2)Facultatif Deacutecrit dautres mesures de seacutecuriteacute (agrave mettre ou deacutejagrave mise en œuvre) faisant lrsquoobjet le caseacutecheacuteant de la mecircme mesure (reacutefeacuterence aux mesures de seacutecuriteacute de lrsquoannexe A de la normeISO 27001)
Objectif de la mesure Deacutefinit le but de la mesure
Reacute examinateurPersonne ou uniteacute organisationnelle qui examine et valide que les critegraveres deacutevaluation de la mesuresont approprieacutes pour veacuterifier lefficaciteacute des mesures de seacutecuriteacute et des processus du SMSI
Objets du mesurage et attributs
Objet du mesurage
Objet qui doit ecirctre mesureacute et qui est caracteacuteriseacute par la mesurabiliteacute de ses attributs Les objets peuvent
comprendre des processus des systegravemes ou des composants de systegravemes
AttributsProprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacutee quantitativement ou qualitativementpar des moyens humains ou automatiques
Speacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesUne mesure eacuteleacutementaire est deacutefinie en fonction dun attribut et de la meacutethode de mesurage speacutecifieacuteepour le quantifier (par exemple le nombre de personnel formeacute le nombre de sites le coucirct cumuleacute agravece jour) Au moment ougrave la donneacutee est collecteacutee une valeur est affecteacutee agrave une mesure eacuteleacutementaire
Meacutethodes de mesurage Suite logique drsquoopeacuterations qui permettent de quantifier un attribut selon une eacutechelle
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure eacuteleacutementaire
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesures eacuteleacutementaires
Fonction de mesurageSuite logique drsquoopeacuterations qui permettent de calculer la mesure deacuteriveacutee Pour les mesures deacuteriveacutees lafonction par laquelle les mesures deacuteriveacutees fondeacutees sur des mesures eacuteleacutementaires correspondantes etla preacutecision cumulative reacutesultante sont agreacutegeacutees
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure deacuteriveacutee
Speacutecification de lrsquoindicateur
Description dindicateur etexemple
Preacutesentation dune ou plusieurs mesures (eacuteleacutementaires ou deacuteriveacutees) qui fournit une estimation ou uneeacutevaluation dattributs speacutecifieacutes reacutesultant dun modegravele analytique en ce qui concerne des besoins delinformation deacutefinis Un indicateur est souvent preacutesenteacute agrave lrsquoaide drsquoun graphique ou drsquoun diagrammeInclure un croquis de lindicateur
Modegravele analytique Algorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires etou deacuteriveacutees avec lescritegraveres de deacutecision associeacutes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2328
Les meacutetriques dans le cadre de la seacuterie 27000 - 21 - copy CLUSIF 2009
Critegravere de deacutecisionSeuil cible ou modegravele utiliseacute pour deacuteterminer la neacutecessiteacute dune action ou un compleacutement denquecircteou pour deacutecrire le niveau de confiance dans un reacutesultat donneacute
Interpreacutetation dindicateurDescription de la faccedilon dont lindicateur exemple (voir la figure exemple dans la description delindicateur) devrait ecirctre interpreacuteteacute
Effets impact Deacutefinition des effets et de lrsquoimpact issu des reacutesultats obtenus par la mesure
Causes drsquoeacutecart Deacutefinition des causes possibles agrave lrsquoorigine drsquoeacutecarts des reacutesultats
Valeurs positivesDeacuteclaration expliquant si les valeurs en laquo croissance raquo indiquent des tendances positives (bonreacutesultat) ou si les valeurs en laquo deacutecroissance raquo doivent ecirctre consideacutereacutees comme des tendancespositives
Format de restitution
Le format de la restitution devrait ecirctre preacuteciseacute et documenteacute Il deacutecrit les observations quelrsquoorganisation ou le proprieacutetaire de lrsquoinformation peut vouloir sur lrsquoenregistrement Les formats derapport deacutecriront visuellement les mesures et fourniront une explication verbale des indicateurs Ilsdevraient ecirctre personnaliseacutes en fonction du laquo client de linformation raquo (ce terme est deacutefini ci-apregraves)
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des
donneacutees
Freacutequence agrave laquelle les donneacutees sont collecteacutees
Fournisseur de lrsquoinformationPersonne ou uniteacute organisationnelle qui deacutetient lrsquoinformation pour creacuteer les mesures eacuteleacutementairesCelui qui va contribuer agrave la meacutetrique produire lrsquoinformation pour le calcul de la meacutetrique
Collecteur de lrsquoinformationPersonne ou uniteacute organisationnelle en charge de collecter enregistrer et stocker les informationsCelui qui va obtenir la meacutetrique
Outils utiliseacutes dans la collectedes donneacutees
Liste les outils utiliseacutes dans la collecte des donneacutees (par exemple un scanner de vulneacuterabiliteacute)
Conservation des donneacuteescollecteacutees
Liste les outils ougrave les donneacutees sont conserveacutees apregraves avoir eacuteteacute collecteacutees (par exemple une base dedonneacutees)
Date de collecte Date agrave laquelle la donneacutee devrait ecirctre obtenue
Proceacutedure drsquoenregistrement
des donneacuteesDeacutefinit la proceacutedure drsquoenregistrement des donneacutees (lien vers la proceacutedure correspondante)
Validiteacute de la mesure Date de reacutevision (date drsquoexpiration ou de validiteacute de renouvellement) de la mesure
Peacuteriode drsquoanalyse Deacutefinit la peacuteriode mesureacutee
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitutiondes donneacutees
Freacutequence agrave laquelle les donneacutees sont restitueacutees (cette freacutequence peut ecirctre infeacuterieure agrave celle decollecte)
Communicateur delrsquoinformation
Personne ou uniteacute organisationnelle responsable de lrsquoanalyse de lrsquoinformation et de la communicationdes reacutesultats des mesuresCelui qui va analyser la meacutetrique
Source drsquoinformation pour
lrsquoanalyse
Liste les sources drsquoinformation utiles pour lrsquoanalyse de reacutesultats (documents journaux entretien
etc)Outils utiliseacutes dans lrsquoanalyse Liste les outils utiliseacutes pour lrsquoanalyse (par exemple des outils statistiques)
Client de lrsquoinformationLa personne ou lrsquouniteacute organisationnelle qui demande ou requiert les mesures pour les besoins de sonactiviteacuteCelui qui va utiliser la meacutetrique
Information compleacutementaire
Conseils danalyseCompleacutementaires
Fournit des conseils compleacutementaires sur les variations de cette mesure
Consideacuterations de mise enœuvre
Liste les processus ou les exigences de mise en œuvre qui sont neacutecessaires pour la reacuteussite de la miseen œuvre
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2428
Les meacutetriques dans le cadre de la seacuterie 27000 - 22 - copy CLUSIF 2009
Exemple drsquoutilisation de la fiche
Identification de la mesure
Nom de la mesure Revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Identifiant de la mesure R1-A1124
Objectif de la mesure de seacutecuriteacuteA1124 [270012005]
Mesure de seacutecuriteacute (1)Les managers doivent dans leur peacuterimegravetre reacuteexaminer les droits drsquoaccegraves des utilisateurs agraveintervalles reacuteguliers par le biais drsquoun processus formel
Mesure de seacutecuriteacute (2) Revue des accegraves au reacuteseau informatique
Objectif de la mesure
Mesurer le pourcentage de manager deacuteclarant avoir effectueacute des controcircles sur les droits drsquoaccegravesutilisateurs de leur peacuterimegravetre ce qui permet drsquoeacutevaluer
bull la prise de conscience des managers vis-agrave-vis des risques drsquoaccegraves non fondeacutesfrauduleux ou obsolegravetes aux SI
bull lrsquoimplication du management dans le processus de maicirctrise et de gestion du risqueinformatique
Reacute examinateur Direction des Risques
Objets du mesurage et attributs
Objet du mesurage Processus de revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Attributs Attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateursSpeacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesExistence drsquoune attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateurs parchacun des managers
Meacutethodes de mesurageTous les trimestres les managers enverront un email standardiseacute au Deacutepartement Seacutecuriteacute desSI attestant que les accegraves des utilisateurs ont eacuteteacute revus pour leur peacuterimegravetre
Echelle Numeacuterique
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Taux drsquoattestations retourneacutees par les managers sur le trimestre eacutetudieacute
Fonction de mesurage
Taux dattestations retourneacutees par les managers sur le trimestre eacutetudieacute = (nombre dattestations
retourneacutees par les managers Total dattestations attendues dans le trimestre) 100
Echelle Ratio pourcentage
Speacutecification de lrsquoindicateur
Description dindicateur et exemple Courbe montrant lrsquoindicateur sur plusieurs peacuteriodes de restitution
Modegravele analytique
Satisfaisant si gt= 90Globalement satisfaisant si 80 lt lt 90Moyennement satisfaisant si 70 lt= lt= 80Insatisfaisant si lt 70
Critegravere de deacutecision Seuil min 80
Interpreacutetation dindicateurUn reacutesultat insatisfaisant indique un manque drsquoengagement des managers dans la gestion des
risques lieacutes agrave la seacutecuriteacute des SIEffets impact Si reacutesultats insatisfaisants lrsquoindicateur est remonteacute agrave la Direction Geacuteneacuterale pour action
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2528
Les meacutetriques dans le cadre de la seacuterie 27000 - 23 - copy CLUSIF 2009
Causes drsquoeacutecart Les reacuteorganisations fonctionnelles de lrsquoentreprise
Valeurs positives Des valeurs croissantes indiquent des tendances positives
Format de restitution Tableau Excel standardiseacute
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des donneacutees Trimestrielle
Fournisseur de lrsquoinformation Chaque manager
Collecteur de lrsquoinformation Le RSSI
Outils utiliseacutes dans la collecte desdonneacutees
Mail courrier
Conservation des donneacutees collecteacutees Reacutepertoire speacutecifique du disque reacuteseau
Date de collecte Pour le 15 de chaque deacutebut de trimestre
Proceacutedure drsquoenregistrement desdonneacutees
EhellipNOV08R1-A11-2-4XLS
Validiteacute de la mesure Annuelle
Peacuteriode drsquoanalyse Du 1er janvier au 31 deacutecembre de lrsquoanneacutee en cours
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitution desdonneacutees
Trimestrielle
Communicateur de lrsquoinformation Le RSSI
Source drsquoinformation pour lrsquoanalyse Rapports drsquoentretiens
Outils utiliseacutes dans lrsquoanalyse Excel
Client de lrsquoinformation Direction des Risques
Information compleacutementaire
Conseils danalyse Compleacutementaires NA
Consideacuterations de mise en œuvre NA
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2628
Les meacutetriques dans le cadre de la seacuterie 27000 - 24 - copy CLUSIF 2009
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE
METRIQUES ET OU DrsquoINDICATEURS
Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI
Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A8 Seacutecuriteacute lieacutee aux ressources humaines
A81 Avant le recrutement
A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute
A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat
A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur
A82 Pendant la dureacutee du contrat
A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute
A822 Sensibilisation qualification et formations
en matiegravere de seacutecuriteacute de lrsquoinformation
Nombre de personnes formeacutees an
A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque
A83 Fin ou modification du contrat
A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat
A832 Restitution des actifs Coucirct des biens non rendus en fin de mission
A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai
A9 Seacutecuriteacute physique et environnementale
A91 Zones seacutecuriseacutees
A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees
A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)
A913 Seacutecurisation des bureaux des salles et deseacutequipements
Nombre annuel de disparition de biens informatiques dans les locaux
A914 Protection contre les menaces exteacuterieures etenvironnementales
Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle
A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2228
Les meacutetriques dans le cadre de la seacuterie 27000 - 20 - copy CLUSIF 2009
ANNEXE A FICHE DESCRIPTIVE
Modegravele de fiche descriptive drsquoune mesure
Cette fiche est inspireacutee de lrsquoISOIEC FCD 27004
Identification de la mesure
Nom de la mesure Nom de la mesure
Identifiant de la mesure Identifiant numeacuterique unique speacutecifique agrave lrsquoorganisme
Objectif de la mesureDeacutecrit lrsquoobjectif de la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure de
seacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (1)Facultatif Deacutecrit la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure deseacutecuriteacute de lrsquoannexe A de la norme ISO 27001)
Mesure de seacutecuriteacute (2)Facultatif Deacutecrit dautres mesures de seacutecuriteacute (agrave mettre ou deacutejagrave mise en œuvre) faisant lrsquoobjet le caseacutecheacuteant de la mecircme mesure (reacutefeacuterence aux mesures de seacutecuriteacute de lrsquoannexe A de la normeISO 27001)
Objectif de la mesure Deacutefinit le but de la mesure
Reacute examinateurPersonne ou uniteacute organisationnelle qui examine et valide que les critegraveres deacutevaluation de la mesuresont approprieacutes pour veacuterifier lefficaciteacute des mesures de seacutecuriteacute et des processus du SMSI
Objets du mesurage et attributs
Objet du mesurage
Objet qui doit ecirctre mesureacute et qui est caracteacuteriseacute par la mesurabiliteacute de ses attributs Les objets peuvent
comprendre des processus des systegravemes ou des composants de systegravemes
AttributsProprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacutee quantitativement ou qualitativementpar des moyens humains ou automatiques
Speacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesUne mesure eacuteleacutementaire est deacutefinie en fonction dun attribut et de la meacutethode de mesurage speacutecifieacuteepour le quantifier (par exemple le nombre de personnel formeacute le nombre de sites le coucirct cumuleacute agravece jour) Au moment ougrave la donneacutee est collecteacutee une valeur est affecteacutee agrave une mesure eacuteleacutementaire
Meacutethodes de mesurage Suite logique drsquoopeacuterations qui permettent de quantifier un attribut selon une eacutechelle
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure eacuteleacutementaire
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesures eacuteleacutementaires
Fonction de mesurageSuite logique drsquoopeacuterations qui permettent de calculer la mesure deacuteriveacutee Pour les mesures deacuteriveacutees lafonction par laquelle les mesures deacuteriveacutees fondeacutees sur des mesures eacuteleacutementaires correspondantes etla preacutecision cumulative reacutesultante sont agreacutegeacutees
Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure deacuteriveacutee
Speacutecification de lrsquoindicateur
Description dindicateur etexemple
Preacutesentation dune ou plusieurs mesures (eacuteleacutementaires ou deacuteriveacutees) qui fournit une estimation ou uneeacutevaluation dattributs speacutecifieacutes reacutesultant dun modegravele analytique en ce qui concerne des besoins delinformation deacutefinis Un indicateur est souvent preacutesenteacute agrave lrsquoaide drsquoun graphique ou drsquoun diagrammeInclure un croquis de lindicateur
Modegravele analytique Algorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires etou deacuteriveacutees avec lescritegraveres de deacutecision associeacutes
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2328
Les meacutetriques dans le cadre de la seacuterie 27000 - 21 - copy CLUSIF 2009
Critegravere de deacutecisionSeuil cible ou modegravele utiliseacute pour deacuteterminer la neacutecessiteacute dune action ou un compleacutement denquecircteou pour deacutecrire le niveau de confiance dans un reacutesultat donneacute
Interpreacutetation dindicateurDescription de la faccedilon dont lindicateur exemple (voir la figure exemple dans la description delindicateur) devrait ecirctre interpreacuteteacute
Effets impact Deacutefinition des effets et de lrsquoimpact issu des reacutesultats obtenus par la mesure
Causes drsquoeacutecart Deacutefinition des causes possibles agrave lrsquoorigine drsquoeacutecarts des reacutesultats
Valeurs positivesDeacuteclaration expliquant si les valeurs en laquo croissance raquo indiquent des tendances positives (bonreacutesultat) ou si les valeurs en laquo deacutecroissance raquo doivent ecirctre consideacutereacutees comme des tendancespositives
Format de restitution
Le format de la restitution devrait ecirctre preacuteciseacute et documenteacute Il deacutecrit les observations quelrsquoorganisation ou le proprieacutetaire de lrsquoinformation peut vouloir sur lrsquoenregistrement Les formats derapport deacutecriront visuellement les mesures et fourniront une explication verbale des indicateurs Ilsdevraient ecirctre personnaliseacutes en fonction du laquo client de linformation raquo (ce terme est deacutefini ci-apregraves)
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des
donneacutees
Freacutequence agrave laquelle les donneacutees sont collecteacutees
Fournisseur de lrsquoinformationPersonne ou uniteacute organisationnelle qui deacutetient lrsquoinformation pour creacuteer les mesures eacuteleacutementairesCelui qui va contribuer agrave la meacutetrique produire lrsquoinformation pour le calcul de la meacutetrique
Collecteur de lrsquoinformationPersonne ou uniteacute organisationnelle en charge de collecter enregistrer et stocker les informationsCelui qui va obtenir la meacutetrique
Outils utiliseacutes dans la collectedes donneacutees
Liste les outils utiliseacutes dans la collecte des donneacutees (par exemple un scanner de vulneacuterabiliteacute)
Conservation des donneacuteescollecteacutees
Liste les outils ougrave les donneacutees sont conserveacutees apregraves avoir eacuteteacute collecteacutees (par exemple une base dedonneacutees)
Date de collecte Date agrave laquelle la donneacutee devrait ecirctre obtenue
Proceacutedure drsquoenregistrement
des donneacuteesDeacutefinit la proceacutedure drsquoenregistrement des donneacutees (lien vers la proceacutedure correspondante)
Validiteacute de la mesure Date de reacutevision (date drsquoexpiration ou de validiteacute de renouvellement) de la mesure
Peacuteriode drsquoanalyse Deacutefinit la peacuteriode mesureacutee
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitutiondes donneacutees
Freacutequence agrave laquelle les donneacutees sont restitueacutees (cette freacutequence peut ecirctre infeacuterieure agrave celle decollecte)
Communicateur delrsquoinformation
Personne ou uniteacute organisationnelle responsable de lrsquoanalyse de lrsquoinformation et de la communicationdes reacutesultats des mesuresCelui qui va analyser la meacutetrique
Source drsquoinformation pour
lrsquoanalyse
Liste les sources drsquoinformation utiles pour lrsquoanalyse de reacutesultats (documents journaux entretien
etc)Outils utiliseacutes dans lrsquoanalyse Liste les outils utiliseacutes pour lrsquoanalyse (par exemple des outils statistiques)
Client de lrsquoinformationLa personne ou lrsquouniteacute organisationnelle qui demande ou requiert les mesures pour les besoins de sonactiviteacuteCelui qui va utiliser la meacutetrique
Information compleacutementaire
Conseils danalyseCompleacutementaires
Fournit des conseils compleacutementaires sur les variations de cette mesure
Consideacuterations de mise enœuvre
Liste les processus ou les exigences de mise en œuvre qui sont neacutecessaires pour la reacuteussite de la miseen œuvre
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2428
Les meacutetriques dans le cadre de la seacuterie 27000 - 22 - copy CLUSIF 2009
Exemple drsquoutilisation de la fiche
Identification de la mesure
Nom de la mesure Revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Identifiant de la mesure R1-A1124
Objectif de la mesure de seacutecuriteacuteA1124 [270012005]
Mesure de seacutecuriteacute (1)Les managers doivent dans leur peacuterimegravetre reacuteexaminer les droits drsquoaccegraves des utilisateurs agraveintervalles reacuteguliers par le biais drsquoun processus formel
Mesure de seacutecuriteacute (2) Revue des accegraves au reacuteseau informatique
Objectif de la mesure
Mesurer le pourcentage de manager deacuteclarant avoir effectueacute des controcircles sur les droits drsquoaccegravesutilisateurs de leur peacuterimegravetre ce qui permet drsquoeacutevaluer
bull la prise de conscience des managers vis-agrave-vis des risques drsquoaccegraves non fondeacutesfrauduleux ou obsolegravetes aux SI
bull lrsquoimplication du management dans le processus de maicirctrise et de gestion du risqueinformatique
Reacute examinateur Direction des Risques
Objets du mesurage et attributs
Objet du mesurage Processus de revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Attributs Attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateursSpeacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesExistence drsquoune attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateurs parchacun des managers
Meacutethodes de mesurageTous les trimestres les managers enverront un email standardiseacute au Deacutepartement Seacutecuriteacute desSI attestant que les accegraves des utilisateurs ont eacuteteacute revus pour leur peacuterimegravetre
Echelle Numeacuterique
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Taux drsquoattestations retourneacutees par les managers sur le trimestre eacutetudieacute
Fonction de mesurage
Taux dattestations retourneacutees par les managers sur le trimestre eacutetudieacute = (nombre dattestations
retourneacutees par les managers Total dattestations attendues dans le trimestre) 100
Echelle Ratio pourcentage
Speacutecification de lrsquoindicateur
Description dindicateur et exemple Courbe montrant lrsquoindicateur sur plusieurs peacuteriodes de restitution
Modegravele analytique
Satisfaisant si gt= 90Globalement satisfaisant si 80 lt lt 90Moyennement satisfaisant si 70 lt= lt= 80Insatisfaisant si lt 70
Critegravere de deacutecision Seuil min 80
Interpreacutetation dindicateurUn reacutesultat insatisfaisant indique un manque drsquoengagement des managers dans la gestion des
risques lieacutes agrave la seacutecuriteacute des SIEffets impact Si reacutesultats insatisfaisants lrsquoindicateur est remonteacute agrave la Direction Geacuteneacuterale pour action
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2528
Les meacutetriques dans le cadre de la seacuterie 27000 - 23 - copy CLUSIF 2009
Causes drsquoeacutecart Les reacuteorganisations fonctionnelles de lrsquoentreprise
Valeurs positives Des valeurs croissantes indiquent des tendances positives
Format de restitution Tableau Excel standardiseacute
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des donneacutees Trimestrielle
Fournisseur de lrsquoinformation Chaque manager
Collecteur de lrsquoinformation Le RSSI
Outils utiliseacutes dans la collecte desdonneacutees
Mail courrier
Conservation des donneacutees collecteacutees Reacutepertoire speacutecifique du disque reacuteseau
Date de collecte Pour le 15 de chaque deacutebut de trimestre
Proceacutedure drsquoenregistrement desdonneacutees
EhellipNOV08R1-A11-2-4XLS
Validiteacute de la mesure Annuelle
Peacuteriode drsquoanalyse Du 1er janvier au 31 deacutecembre de lrsquoanneacutee en cours
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitution desdonneacutees
Trimestrielle
Communicateur de lrsquoinformation Le RSSI
Source drsquoinformation pour lrsquoanalyse Rapports drsquoentretiens
Outils utiliseacutes dans lrsquoanalyse Excel
Client de lrsquoinformation Direction des Risques
Information compleacutementaire
Conseils danalyse Compleacutementaires NA
Consideacuterations de mise en œuvre NA
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2628
Les meacutetriques dans le cadre de la seacuterie 27000 - 24 - copy CLUSIF 2009
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE
METRIQUES ET OU DrsquoINDICATEURS
Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI
Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A8 Seacutecuriteacute lieacutee aux ressources humaines
A81 Avant le recrutement
A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute
A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat
A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur
A82 Pendant la dureacutee du contrat
A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute
A822 Sensibilisation qualification et formations
en matiegravere de seacutecuriteacute de lrsquoinformation
Nombre de personnes formeacutees an
A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque
A83 Fin ou modification du contrat
A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat
A832 Restitution des actifs Coucirct des biens non rendus en fin de mission
A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai
A9 Seacutecuriteacute physique et environnementale
A91 Zones seacutecuriseacutees
A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees
A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)
A913 Seacutecurisation des bureaux des salles et deseacutequipements
Nombre annuel de disparition de biens informatiques dans les locaux
A914 Protection contre les menaces exteacuterieures etenvironnementales
Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle
A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2328
Les meacutetriques dans le cadre de la seacuterie 27000 - 21 - copy CLUSIF 2009
Critegravere de deacutecisionSeuil cible ou modegravele utiliseacute pour deacuteterminer la neacutecessiteacute dune action ou un compleacutement denquecircteou pour deacutecrire le niveau de confiance dans un reacutesultat donneacute
Interpreacutetation dindicateurDescription de la faccedilon dont lindicateur exemple (voir la figure exemple dans la description delindicateur) devrait ecirctre interpreacuteteacute
Effets impact Deacutefinition des effets et de lrsquoimpact issu des reacutesultats obtenus par la mesure
Causes drsquoeacutecart Deacutefinition des causes possibles agrave lrsquoorigine drsquoeacutecarts des reacutesultats
Valeurs positivesDeacuteclaration expliquant si les valeurs en laquo croissance raquo indiquent des tendances positives (bonreacutesultat) ou si les valeurs en laquo deacutecroissance raquo doivent ecirctre consideacutereacutees comme des tendancespositives
Format de restitution
Le format de la restitution devrait ecirctre preacuteciseacute et documenteacute Il deacutecrit les observations quelrsquoorganisation ou le proprieacutetaire de lrsquoinformation peut vouloir sur lrsquoenregistrement Les formats derapport deacutecriront visuellement les mesures et fourniront une explication verbale des indicateurs Ilsdevraient ecirctre personnaliseacutes en fonction du laquo client de linformation raquo (ce terme est deacutefini ci-apregraves)
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des
donneacutees
Freacutequence agrave laquelle les donneacutees sont collecteacutees
Fournisseur de lrsquoinformationPersonne ou uniteacute organisationnelle qui deacutetient lrsquoinformation pour creacuteer les mesures eacuteleacutementairesCelui qui va contribuer agrave la meacutetrique produire lrsquoinformation pour le calcul de la meacutetrique
Collecteur de lrsquoinformationPersonne ou uniteacute organisationnelle en charge de collecter enregistrer et stocker les informationsCelui qui va obtenir la meacutetrique
Outils utiliseacutes dans la collectedes donneacutees
Liste les outils utiliseacutes dans la collecte des donneacutees (par exemple un scanner de vulneacuterabiliteacute)
Conservation des donneacuteescollecteacutees
Liste les outils ougrave les donneacutees sont conserveacutees apregraves avoir eacuteteacute collecteacutees (par exemple une base dedonneacutees)
Date de collecte Date agrave laquelle la donneacutee devrait ecirctre obtenue
Proceacutedure drsquoenregistrement
des donneacuteesDeacutefinit la proceacutedure drsquoenregistrement des donneacutees (lien vers la proceacutedure correspondante)
Validiteacute de la mesure Date de reacutevision (date drsquoexpiration ou de validiteacute de renouvellement) de la mesure
Peacuteriode drsquoanalyse Deacutefinit la peacuteriode mesureacutee
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitutiondes donneacutees
Freacutequence agrave laquelle les donneacutees sont restitueacutees (cette freacutequence peut ecirctre infeacuterieure agrave celle decollecte)
Communicateur delrsquoinformation
Personne ou uniteacute organisationnelle responsable de lrsquoanalyse de lrsquoinformation et de la communicationdes reacutesultats des mesuresCelui qui va analyser la meacutetrique
Source drsquoinformation pour
lrsquoanalyse
Liste les sources drsquoinformation utiles pour lrsquoanalyse de reacutesultats (documents journaux entretien
etc)Outils utiliseacutes dans lrsquoanalyse Liste les outils utiliseacutes pour lrsquoanalyse (par exemple des outils statistiques)
Client de lrsquoinformationLa personne ou lrsquouniteacute organisationnelle qui demande ou requiert les mesures pour les besoins de sonactiviteacuteCelui qui va utiliser la meacutetrique
Information compleacutementaire
Conseils danalyseCompleacutementaires
Fournit des conseils compleacutementaires sur les variations de cette mesure
Consideacuterations de mise enœuvre
Liste les processus ou les exigences de mise en œuvre qui sont neacutecessaires pour la reacuteussite de la miseen œuvre
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2428
Les meacutetriques dans le cadre de la seacuterie 27000 - 22 - copy CLUSIF 2009
Exemple drsquoutilisation de la fiche
Identification de la mesure
Nom de la mesure Revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Identifiant de la mesure R1-A1124
Objectif de la mesure de seacutecuriteacuteA1124 [270012005]
Mesure de seacutecuriteacute (1)Les managers doivent dans leur peacuterimegravetre reacuteexaminer les droits drsquoaccegraves des utilisateurs agraveintervalles reacuteguliers par le biais drsquoun processus formel
Mesure de seacutecuriteacute (2) Revue des accegraves au reacuteseau informatique
Objectif de la mesure
Mesurer le pourcentage de manager deacuteclarant avoir effectueacute des controcircles sur les droits drsquoaccegravesutilisateurs de leur peacuterimegravetre ce qui permet drsquoeacutevaluer
bull la prise de conscience des managers vis-agrave-vis des risques drsquoaccegraves non fondeacutesfrauduleux ou obsolegravetes aux SI
bull lrsquoimplication du management dans le processus de maicirctrise et de gestion du risqueinformatique
Reacute examinateur Direction des Risques
Objets du mesurage et attributs
Objet du mesurage Processus de revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Attributs Attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateursSpeacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesExistence drsquoune attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateurs parchacun des managers
Meacutethodes de mesurageTous les trimestres les managers enverront un email standardiseacute au Deacutepartement Seacutecuriteacute desSI attestant que les accegraves des utilisateurs ont eacuteteacute revus pour leur peacuterimegravetre
Echelle Numeacuterique
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Taux drsquoattestations retourneacutees par les managers sur le trimestre eacutetudieacute
Fonction de mesurage
Taux dattestations retourneacutees par les managers sur le trimestre eacutetudieacute = (nombre dattestations
retourneacutees par les managers Total dattestations attendues dans le trimestre) 100
Echelle Ratio pourcentage
Speacutecification de lrsquoindicateur
Description dindicateur et exemple Courbe montrant lrsquoindicateur sur plusieurs peacuteriodes de restitution
Modegravele analytique
Satisfaisant si gt= 90Globalement satisfaisant si 80 lt lt 90Moyennement satisfaisant si 70 lt= lt= 80Insatisfaisant si lt 70
Critegravere de deacutecision Seuil min 80
Interpreacutetation dindicateurUn reacutesultat insatisfaisant indique un manque drsquoengagement des managers dans la gestion des
risques lieacutes agrave la seacutecuriteacute des SIEffets impact Si reacutesultats insatisfaisants lrsquoindicateur est remonteacute agrave la Direction Geacuteneacuterale pour action
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2528
Les meacutetriques dans le cadre de la seacuterie 27000 - 23 - copy CLUSIF 2009
Causes drsquoeacutecart Les reacuteorganisations fonctionnelles de lrsquoentreprise
Valeurs positives Des valeurs croissantes indiquent des tendances positives
Format de restitution Tableau Excel standardiseacute
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des donneacutees Trimestrielle
Fournisseur de lrsquoinformation Chaque manager
Collecteur de lrsquoinformation Le RSSI
Outils utiliseacutes dans la collecte desdonneacutees
Mail courrier
Conservation des donneacutees collecteacutees Reacutepertoire speacutecifique du disque reacuteseau
Date de collecte Pour le 15 de chaque deacutebut de trimestre
Proceacutedure drsquoenregistrement desdonneacutees
EhellipNOV08R1-A11-2-4XLS
Validiteacute de la mesure Annuelle
Peacuteriode drsquoanalyse Du 1er janvier au 31 deacutecembre de lrsquoanneacutee en cours
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitution desdonneacutees
Trimestrielle
Communicateur de lrsquoinformation Le RSSI
Source drsquoinformation pour lrsquoanalyse Rapports drsquoentretiens
Outils utiliseacutes dans lrsquoanalyse Excel
Client de lrsquoinformation Direction des Risques
Information compleacutementaire
Conseils danalyse Compleacutementaires NA
Consideacuterations de mise en œuvre NA
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2628
Les meacutetriques dans le cadre de la seacuterie 27000 - 24 - copy CLUSIF 2009
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE
METRIQUES ET OU DrsquoINDICATEURS
Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI
Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A8 Seacutecuriteacute lieacutee aux ressources humaines
A81 Avant le recrutement
A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute
A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat
A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur
A82 Pendant la dureacutee du contrat
A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute
A822 Sensibilisation qualification et formations
en matiegravere de seacutecuriteacute de lrsquoinformation
Nombre de personnes formeacutees an
A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque
A83 Fin ou modification du contrat
A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat
A832 Restitution des actifs Coucirct des biens non rendus en fin de mission
A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai
A9 Seacutecuriteacute physique et environnementale
A91 Zones seacutecuriseacutees
A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees
A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)
A913 Seacutecurisation des bureaux des salles et deseacutequipements
Nombre annuel de disparition de biens informatiques dans les locaux
A914 Protection contre les menaces exteacuterieures etenvironnementales
Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle
A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2428
Les meacutetriques dans le cadre de la seacuterie 27000 - 22 - copy CLUSIF 2009
Exemple drsquoutilisation de la fiche
Identification de la mesure
Nom de la mesure Revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Identifiant de la mesure R1-A1124
Objectif de la mesure de seacutecuriteacuteA1124 [270012005]
Mesure de seacutecuriteacute (1)Les managers doivent dans leur peacuterimegravetre reacuteexaminer les droits drsquoaccegraves des utilisateurs agraveintervalles reacuteguliers par le biais drsquoun processus formel
Mesure de seacutecuriteacute (2) Revue des accegraves au reacuteseau informatique
Objectif de la mesure
Mesurer le pourcentage de manager deacuteclarant avoir effectueacute des controcircles sur les droits drsquoaccegravesutilisateurs de leur peacuterimegravetre ce qui permet drsquoeacutevaluer
bull la prise de conscience des managers vis-agrave-vis des risques drsquoaccegraves non fondeacutesfrauduleux ou obsolegravetes aux SI
bull lrsquoimplication du management dans le processus de maicirctrise et de gestion du risqueinformatique
Reacute examinateur Direction des Risques
Objets du mesurage et attributs
Objet du mesurage Processus de revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications
Attributs Attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateursSpeacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])
Mesures eacuteleacutementairesExistence drsquoune attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateurs parchacun des managers
Meacutethodes de mesurageTous les trimestres les managers enverront un email standardiseacute au Deacutepartement Seacutecuriteacute desSI attestant que les accegraves des utilisateurs ont eacuteteacute revus pour leur peacuterimegravetre
Echelle Numeacuterique
Speacutecification de la mesure deacuteriveacutee
Mesure deacuteriveacutee Taux drsquoattestations retourneacutees par les managers sur le trimestre eacutetudieacute
Fonction de mesurage
Taux dattestations retourneacutees par les managers sur le trimestre eacutetudieacute = (nombre dattestations
retourneacutees par les managers Total dattestations attendues dans le trimestre) 100
Echelle Ratio pourcentage
Speacutecification de lrsquoindicateur
Description dindicateur et exemple Courbe montrant lrsquoindicateur sur plusieurs peacuteriodes de restitution
Modegravele analytique
Satisfaisant si gt= 90Globalement satisfaisant si 80 lt lt 90Moyennement satisfaisant si 70 lt= lt= 80Insatisfaisant si lt 70
Critegravere de deacutecision Seuil min 80
Interpreacutetation dindicateurUn reacutesultat insatisfaisant indique un manque drsquoengagement des managers dans la gestion des
risques lieacutes agrave la seacutecuriteacute des SIEffets impact Si reacutesultats insatisfaisants lrsquoindicateur est remonteacute agrave la Direction Geacuteneacuterale pour action
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2528
Les meacutetriques dans le cadre de la seacuterie 27000 - 23 - copy CLUSIF 2009
Causes drsquoeacutecart Les reacuteorganisations fonctionnelles de lrsquoentreprise
Valeurs positives Des valeurs croissantes indiquent des tendances positives
Format de restitution Tableau Excel standardiseacute
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des donneacutees Trimestrielle
Fournisseur de lrsquoinformation Chaque manager
Collecteur de lrsquoinformation Le RSSI
Outils utiliseacutes dans la collecte desdonneacutees
Mail courrier
Conservation des donneacutees collecteacutees Reacutepertoire speacutecifique du disque reacuteseau
Date de collecte Pour le 15 de chaque deacutebut de trimestre
Proceacutedure drsquoenregistrement desdonneacutees
EhellipNOV08R1-A11-2-4XLS
Validiteacute de la mesure Annuelle
Peacuteriode drsquoanalyse Du 1er janvier au 31 deacutecembre de lrsquoanneacutee en cours
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitution desdonneacutees
Trimestrielle
Communicateur de lrsquoinformation Le RSSI
Source drsquoinformation pour lrsquoanalyse Rapports drsquoentretiens
Outils utiliseacutes dans lrsquoanalyse Excel
Client de lrsquoinformation Direction des Risques
Information compleacutementaire
Conseils danalyse Compleacutementaires NA
Consideacuterations de mise en œuvre NA
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2628
Les meacutetriques dans le cadre de la seacuterie 27000 - 24 - copy CLUSIF 2009
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE
METRIQUES ET OU DrsquoINDICATEURS
Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI
Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A8 Seacutecuriteacute lieacutee aux ressources humaines
A81 Avant le recrutement
A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute
A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat
A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur
A82 Pendant la dureacutee du contrat
A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute
A822 Sensibilisation qualification et formations
en matiegravere de seacutecuriteacute de lrsquoinformation
Nombre de personnes formeacutees an
A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque
A83 Fin ou modification du contrat
A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat
A832 Restitution des actifs Coucirct des biens non rendus en fin de mission
A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai
A9 Seacutecuriteacute physique et environnementale
A91 Zones seacutecuriseacutees
A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees
A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)
A913 Seacutecurisation des bureaux des salles et deseacutequipements
Nombre annuel de disparition de biens informatiques dans les locaux
A914 Protection contre les menaces exteacuterieures etenvironnementales
Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle
A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2528
Les meacutetriques dans le cadre de la seacuterie 27000 - 23 - copy CLUSIF 2009
Causes drsquoeacutecart Les reacuteorganisations fonctionnelles de lrsquoentreprise
Valeurs positives Des valeurs croissantes indiquent des tendances positives
Format de restitution Tableau Excel standardiseacute
Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire
Freacutequence de collecte des donneacutees Trimestrielle
Fournisseur de lrsquoinformation Chaque manager
Collecteur de lrsquoinformation Le RSSI
Outils utiliseacutes dans la collecte desdonneacutees
Mail courrier
Conservation des donneacutees collecteacutees Reacutepertoire speacutecifique du disque reacuteseau
Date de collecte Pour le 15 de chaque deacutebut de trimestre
Proceacutedure drsquoenregistrement desdonneacutees
EhellipNOV08R1-A11-2-4XLS
Validiteacute de la mesure Annuelle
Peacuteriode drsquoanalyse Du 1er janvier au 31 deacutecembre de lrsquoanneacutee en cours
Proceacutedure danalyse des donneacutees (pour chaque Indicateur)
Freacutequence de la restitution desdonneacutees
Trimestrielle
Communicateur de lrsquoinformation Le RSSI
Source drsquoinformation pour lrsquoanalyse Rapports drsquoentretiens
Outils utiliseacutes dans lrsquoanalyse Excel
Client de lrsquoinformation Direction des Risques
Information compleacutementaire
Conseils danalyse Compleacutementaires NA
Consideacuterations de mise en œuvre NA
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2628
Les meacutetriques dans le cadre de la seacuterie 27000 - 24 - copy CLUSIF 2009
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE
METRIQUES ET OU DrsquoINDICATEURS
Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI
Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A8 Seacutecuriteacute lieacutee aux ressources humaines
A81 Avant le recrutement
A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute
A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat
A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur
A82 Pendant la dureacutee du contrat
A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute
A822 Sensibilisation qualification et formations
en matiegravere de seacutecuriteacute de lrsquoinformation
Nombre de personnes formeacutees an
A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque
A83 Fin ou modification du contrat
A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat
A832 Restitution des actifs Coucirct des biens non rendus en fin de mission
A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai
A9 Seacutecuriteacute physique et environnementale
A91 Zones seacutecuriseacutees
A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees
A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)
A913 Seacutecurisation des bureaux des salles et deseacutequipements
Nombre annuel de disparition de biens informatiques dans les locaux
A914 Protection contre les menaces exteacuterieures etenvironnementales
Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle
A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2628
Les meacutetriques dans le cadre de la seacuterie 27000 - 24 - copy CLUSIF 2009
ANNEXE B EXEMPLES DrsquoATTRIBUTS DE
METRIQUES ET OU DrsquoINDICATEURS
Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI
Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A8 Seacutecuriteacute lieacutee aux ressources humaines
A81 Avant le recrutement
A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute
A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat
A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur
A82 Pendant la dureacutee du contrat
A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute
A822 Sensibilisation qualification et formations
en matiegravere de seacutecuriteacute de lrsquoinformation
Nombre de personnes formeacutees an
A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque
A83 Fin ou modification du contrat
A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat
A832 Restitution des actifs Coucirct des biens non rendus en fin de mission
A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai
A9 Seacutecuriteacute physique et environnementale
A91 Zones seacutecuriseacutees
A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees
A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)
A913 Seacutecurisation des bureaux des salles et deseacutequipements
Nombre annuel de disparition de biens informatiques dans les locaux
A914 Protection contre les menaces exteacuterieures etenvironnementales
Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle
A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2728
Les meacutetriques dans le cadre de la seacuterie 27000 - 25 - copy CLUSIF 2009
Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)
Attributs meacutetriques etou indicateurs
A916 Zones drsquoaccegraves public de livraison et dechargement
Nombre dintrusions vols dans des aires de livraison
A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel
Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute
A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)
A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique
Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants
A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute
A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement
A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel
Nombre de destruction des donneacutees ou des eacutequipements sensibles
A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees
A15 Conformiteacute
A151 Conformiteacute aux exigences leacutegales
A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire
A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences
A1513 Protection des enregistrements delrsquoorganisme
Nombre de non-conformiteacutes constateacutees
A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee
Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)
A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation
Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes
A1516 Reacuteglementation relative aux mesurescryptographiques
Charge annuelle de la veille reacuteglementaire speacutecifique
A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique
A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute
Nombre de non-conformiteacutes constateacutees
A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration
A153 Prises en compte de laudit du systegraveme dinformation
A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation
Taux de reacutealisation du programme drsquoaudit
A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation
Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr
7232019 CLUSIF Metriques Dans 27000
httpslidepdfcomreaderfullclusif-metriques-dans-27000 2828
983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109
CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS
30 rue Pierre Seacutemard
75009 Paris
01 53 25 08 80
clusifclusifassofr
Teacuteleacutechargez les productions du CLUSIF sur
wwwclusifassofr