12 indicateurs clés de cybersécurité à suivre pour les entreprises
Les responsables de la sécurité informatique doivent surveiller les efforts de cybersécurité et s’assurer qu’ils sont efficaces. Ces 12 mesures et indicateurs clés de performance permettent de savoir ce qui fonctionne et ce qui ne fonctionne pas.
La cybersécurité est essentielle, tout le monde le sait. Mais il n’est pas si simple de justifier les investissements dans les outils et les ressources nécessaires pour assurer la sécurité d’une infrastructure informatique. C’est pourquoi les responsables de la sécurité informatique doivent trouver des moyens efficaces de mesurer les efforts en matière de cybersécurité, à la fois pour suivre leurs progrès et pour montrer qu’ils permettent effectivement de prévenir les violations de données, les attaques avec ransomware et d’autres menaces pour la sécurité.
Le suivi des indicateurs de cybersécurité et des indicateurs clés de performance permet également de dresser un tableau des menaces auxquelles l’entreprise est confrontée. Sur la base de ces indicateurs, la stratégie globale de cybersécurité d’une entreprise peut être modifiée, si nécessaire, pour bloquer les menaces actuelles et réduire les cyber risques à long terme. Examinons quelques-uns des principaux indicateurs opérationnels à suivre et pourquoi ils constituent un élément essentiel du processus de cybersécurité.
Pourquoi il est important de suivre les indicateurs de cybersécurité
Comprendre l’exposition d’une entreprise aux risques de sécurité est la principale raison de suivre en permanence les indicateurs de cybersécurité. Cela permet d’avoir une vue historique des événements de sécurité qui se sont produits et de l’endroit où ils se sont produits dans les réseaux et les systèmes d’information, ainsi que des données actualisées sur l’efficacité des outils, des processus et des équipes de sécurité.
Le suivi des mesures permet également aux équipes de sécurité de mieux comprendre où les acteurs de la menace tentent actuellement d’accéder à l’infrastructure informatique. Cette connaissance aide les équipes à hiérarchiser les actions à entreprendre contre les attaques en vogue et à déployer un ensemble d’outils et de processus susceptibles d’arrêter les cybermenaces imminentes avant qu’elles n’affectent l’organisation.
Enfin, les mesures et les indicateurs clés de performance sont d’excellents outils pour fixer des objectifs futurs et planifier l’amélioration des performances en matière de sécurité. Par exemple, les responsables de la sécurité peuvent utiliser des rapports quotidiens ou hebdomadaires contenant diverses mesures pour aider leurs équipes à mieux se préparer aux cyberattaques ou pour placer des yeux supplémentaires sur les menaces et les parties vulnérables de l’infrastructure lorsque c’est nécessaire.
Dans cette optique, voici 12 indicateurs de cybersécurité que les entreprises devraient suivre.
1. Tentatives d’intrusion détectées
À première vue, les tentatives d’intrusion détectées ne semblent pas être l’une des statistiques les plus importantes en matière de sécurité informatique. Cependant, elles donnent une idée générale du nombre de menaces auxquelles une entreprise est confrontée. L’un des problèmes de la sécurité informatique est que lorsque les mécanismes de prévention des menaces fonctionnent et que peu d’incidents se produisent, les chefs d’entreprise ont tendance à penser que l’organisation n’est plus une cible. Partager des données qui prouvent le contraire est un bon moyen de démontrer que les menaces de cybersécurité continuent d’exister et, dans la plupart des cas, qu’elles ne cessent de croître.
2. Nombre d’incidents de sécurité
Un aspect essentiel de la gestion de la sécurité informatique consiste à vérifier si les changements apportés aux outils et aux processus se traduisent par des améliorations. Une grande partie du budget informatique est souvent consacrée à la cybersécurité, de sorte que les mesures suivies devraient indiquer que l’argent est utilisé à bon escient. La collecte de données sur le nombre et le taux d’incidents de sécurité sur des périodes spécifiques peut aider les RSSI et autres responsables de la cybersécurité à s’assurer que les défenses mises en place ont un impact positif sur la protection des actifs numériques d’une organisation.
3. Niveaux de gravité des incidents
Comprendre le niveau de gravité d’une cyber intrusion ou d’un vol de données permet de hiérarchiser les actions à mener pour éviter que des incidents préjudiciables à l’activité ne se reproduisent. Cette mesure peut également être utilisée au fil du temps pour déterminer si de nouveaux outils de sécurité ou des processus actualisés réduisent le nombre d’incidents graves.
4. Temps de réponse aux incidents
La rapidité est essentielle lorsqu’il s’agit d’identifier et de traiter les cybermenaces. Le suivi des délais de réponse aux incidents permet aux responsables de la sécurité d’évaluer l’efficacité de leurs équipes à répondre aux alertes et à se mettre au travail sur les menaces. Grâce à ces informations, les responsables peuvent se concentrer sur la réduction des délais de réponse s’ils ne sont pas assez rapides. Outre le suivi des réponses aux menaces individuelles, le temps moyen de réponse (MTTR) est généralement calculé comme une moyenne. Le temps moyen de détection (ou MTTD) est une moyenne liée à l’identification des attaques et autres menaces.
5. Délais d’intervention en cas d’incident
La rapidité de réaction à un incident de cybersécurité ne représente que la moitié du problème. L’autre moitié concerne la vitesse à laquelle un logiciel malveillant (ou une autre menace identifiée) peut être isolé, mis en quarantaine et complètement supprimé de l’équipement informatique. Certains praticiens de la sécurité utilisent alternativement le MTTR dans ce contexte, c’est-à-dire le temps moyen pour remédier à la situation. Si les délais de remédiation s’allongent, c’est un signe clair que des changements doivent être apportés au programme de sécurité.
6. Nombre de faux positifs et négatifs
Le domaine de la cybersécurité repose sur divers outils qui automatisent l’identification des logiciels malveillants ou des comportements suspects et qui alertent les équipes de sécurité en cas de menaces. Toutefois, ces outils nécessitent un réglage précis et une maintenance régulière pour éviter qu’ils ne signalent par erreur des anomalies qui pourraient ressembler à une menace, mais qui sont bénignes, ou qu’ils ne passent à côté de véritables incidents de sécurité. Le suivi des faux positifs et des faux négatifs aide les équipes à déterminer si les outils ont été correctement configurés et réglés.
7. Temps de réponse aux correctifs de vulnérabilité
Il est bien connu que l’un des meilleurs moyens de protéger les logiciels critiques consiste à appliquer des correctifs aux systèmes d’exploitation et aux applications, dès que des corrections de bogues sont proposées par les fournisseurs. Le suivi de la rapidité avec laquelle les équipes de cybersécurité installent les correctifs logiciels montre l’efficacité de cette pratique essentielle à la prévention des risques.
8. Résultats de l’évaluation de la vulnérabilité
Les outils d’analyse des vulnérabilités testent les systèmes informatiques et les appareils des utilisateurs pour vérifier s’ils sont protégés contre les vulnérabilités connues et pour identifier d’autres problèmes de sécurité potentiels. Les résultats de l’évaluation générés par les analyses comprennent des listes de vulnérabilités nouvelles et encore ouvertes, des notes de risque, des ratios de réussite/échec des vulnérabilités et d’autres points de données. Ces informations peuvent être utilisées avec la mesure du temps de réponse aux correctifs afin de déterminer si des ressources supplémentaires doivent être allouées, pour garantir que les efforts de gestion des vulnérabilités atteignent leurs objectifs.
9. Niveaux d’accès aux applications et aux données pour l’utilisateur final
Les chefs d’entreprise peuvent penser que les menaces de cybersécurité proviennent essentiellement de l’extérieur de l’organisation. Cependant, dans certaines entreprises, les mesures de cybersécurité concernant les utilisateurs internes montrent que les menaces internes constituent un problème bien plus important. La collecte et l’analyse d’informations sur les privilèges d’accès et l’accès aux applications et aux données par les employés peuvent mettre en évidence des problèmes de sécurité internes, ainsi que les modifications à apporter aux contrôles d’accès des utilisateurs.
10. Volume global de données générées
Bien qu’il ne s’agisse pas à proprement parler d’une mesure de sécurité, le suivi de la quantité de données générées et envoyées par le réseau de l’entreprise peut s’avérer très utile pour identifier les menaces potentielles et déterminer dans quelle mesure les outils et processus de sécurité seront adaptés. Les changements dans les volumes de trafic, qu’ils soient progressifs ou brusques, peuvent indiquer des intrusions de logiciels malveillants ou d’autres types de cyberattaques. Cette mesure peut également aider à justifier la nécessité de mettre en place de nouvelles mesures de sécurité ou de les améliorer. Elle permet de faire comprendre – à juste titre – que l’augmentation de l’utilisation du réseau doit s’accompagner d’une augmentation des fonds alloués à la protection du réseau et des systèmes informatiques.
11. Nombre d’audits, d’évaluations et de tests d’intrusion
Le « ménage » de la cybersécurité implique une série d’audits, d’évaluations, de tests d’intrusion et d’autres vérifications effectuées pour s’assurer que les processus et les outils de sécurité fonctionnent comme prévu. Cependant, il est fréquent que les équipes de sécurité informatique soient tellement débordées par les tâches quotidiennes que ces procédures importantes sont retardées ou oubliées. Le suivi de leur fréquence offre une visibilité sur cet aspect de la cybersécurité, de sorte que les responsables de la sécurité peuvent s’assurer qu’il n’est pas laissé de côté.
12. Analyse comparative de la sécurité par rapport à des organisations similaires
Plusieurs outils d’analyse de la sécurité, en mode cloud, permettent de comparer des mesures de cybersécurité anonymes à celles d’autres organisations du même secteur. Il s’agit en quelque sorte d’une « métrique de comparaison des métriques ». Ce type d’analyse comparative permet de déterminer si l’équipe de sécurité informatique est sur la bonne voie ou si elle a besoin d’une remise à zéro par rapport à ses homologues du secteur.
Comment gérer le processus de suivi des indicateurs de cybersécurité ?
L’obtention d’une visibilité sur les métriques et les indicateurs clés de la cybersécurité n’apporte pas grand-chose à une organisation si les équipes de sécurité ne comprennent pas comment les utiliser pour atteindre les objectifs stratégiques. C’est là que des pratiques de gestion efficaces entrent en jeu. Pour obtenir les résultats souhaités en matière de cybersécurité, en utilisant des points de données historiques et en temps réel pertinents, il convient d’adopter les meilleures pratiques suivantes :
- Définissez vos objectifs, puis déterminez les indicateurs qui vous aideront à identifier les progrès réalisés. Trop souvent, les responsables de la sécurité informatique se concentrent sur les mesures et les indicateurs de performance individuels plutôt que sur les objectifs qu’ils souhaitent atteindre. Cela conduit à des situations où de bonnes données sont sous leurs yeux, mais où rien n’est accompli parce qu’aucun objectif n’a été fixé. Au lieu de cela, il faut d’abord fixer des objectifs utiles et réalisables. Une fois qu’ils ont été définis, il est possible de sélectionner les différents indicateurs de mesure et de performance qui permettent le mieux de suivre la réussite ou l’échec de ces objectifs.
- Créez un tableau de bord pour que les métriques et les indicateurs clés de performance restent à l’esprit. Combiner des objectifs de cybersécurité bien définis avec des moyens de mesurer précisément le succès ne sert pas à grand-chose si seuls les responsables de la sécurité suivent les indicateurs. Il faut au contraire s’assurer qu’il s’agit d’un travail d’équipe. L’élaboration d’un tableau de bord de mesures et d’indicateurs clés de performance que l’ensemble de l’équipe de sécurité peut utiliser pour suivre les progrès accomplis permettra à chacun de rester impliqué et informé.
- Soyez prêt à affiner ou à modifier les objectifs, les métriques et les indicateurs clés de performance. Ne pensez pas qu’une fois les objectifs, les métriques et les indicateurs de performance de la cybersécurité fixés, ils ne pourront jamais changer. Il faut au contraire partir du principe que tout devra être ajusté au fil du temps, car les besoins de l’entreprise et les outils, les processus et le personnel de sécurité nécessaires pour y répondre évolueront sans aucun doute. Le but de cet exercice est d’utiliser des données pertinentes pour améliorer les protections en matière de cybersécurité. Comprendre que l’évolution de l’entreprise et les pivots affecteront ce qui est stratégiquement important devrait guider le processus de création d’objectifs et de choix de mesures et d’indicateurs clés de performance appropriés à suivre.
Andrew Froehlich est le fondateur d’InfraMomentum, un cabinet de recherche et d’analyse en informatique d’entreprise, et le président de West Gate Networks, une société de conseil en informatique. Il travaille dans le domaine de l’informatique d’entreprise depuis plus de 20 ans.