Comment évaluer l’efficacité des mesures de sécurité d’un SMSI ?

Un Système de Management de la Sécurité de l’Information (SMSI) n’a de sens que si les mesures de sécurité qu’il permet de sélectionner et de mettre en œuvre sont adaptées aux besoins de l’entreprise. Mais comment vérifier l’efficacité de ces mesures ? Le guide Performance Measurement Guide for Information Security récemment publié par le NIST tente de répondre à cette question. Les principaux points.

Un SMSI est avant tout un système de management. Un tel système est un ensemble de mesures aussi bien organisationnelles que techniques visant à :

atteindre un objectif ;
une fois cet objectif atteint, à s’y tenir voire à le dépasser.

Les systèmes de management s’articulent autour d’un modèle cyclique à quatre phases connu sous le nom de « PDCA » (Plan, Do, Check, Act) :

Phase Plan : dire ce que nous allons faire dans le cadre du domaine qui nous concerne.
Phase Do : faire ce que nous avons dit dans le cadre de ce domaine.
Phase Check : vérifier l’écart entre ce que nous avons dit (Plan) et ce que nous avons fait (Do).
Phase Act : engager les actions correctives nécessaires à la suppression d’un éventuel écart.

Tel que défini par la norme ISO 27001, un SMSI est « une partie du système de management global de l’entreprise basée sur une approche du risque lié à l’activité, visant à établir, mettre en œuvre, exploiter, surveiller, réexaminer, tenir à jour et améliorer la sécurité de l’information ». Dans la suite de ce document, nous allons nous appuyer sur cette norme pour toutes les définitions et exigences relatives à un SMSI.

Sélection et mise en œuvre des mesures de sécurité

Une appréciation des risques est effectuée dans la phase Plan du SMSI. Cette appréciation permet ensuite d’engager la réflexion sur le traitement des risques identifiés. Dans la plupart des cas, il s’agit de les réduire à l’aide de mesures de sécurité adaptées. Mais comment déterminer ces mesures ?L’ISO 27001 fournit en annexe une liste de 133 mesures de sécurité, sans fournir de conseil ou d’exemple d’implémentation. Ceci est le rôle de la norme ISO 27002. Si toutefois l’implémenteur ne trouve pas de mesure permettant de réduire un risque identifié parmi celles proposées, il a la possibilité de la chercher dans un autre référentiel ou de l’élaborer lui-même. Les mesures de sécurité sélectionnées sont alors mises en œuvre lors de la phase Do du SMSI.

Ces mesures sont-elles efficaces ?

A la lecture de ces quelques lignes, n’avez-vous pas l’impression d’assister à un Happy End où la mise en place d’un SMSI serait un jeu d’enfant ? C’est loin d’être le cas et les normes ISO 27001 et 27002 ont leur lot d’imperfections.Ces normes ne fournissent quasiment aucune recommandation pratique pour juger de l’efficacité des mesures de sécurité sélectionnées. A sa décharge, l’ISO 27001 demande à ce que des indicateurs d’efficacité soient définis pour vérifier le bon fonctionnement du SMSI. Mais lesquels ?L’ISO 27001 ne fournit malheureusement pas plus de détails. L’absence d’éléments concrets permettant d’établir des indicateurs est un de ses défauts majeurs. L’ISO compte le corriger à l’aide d’une autre norme en cours d’élaboration : l’ISO 27004. Elle proposera une démarche de sélection d’indicateurs dans le cadre d’un SMSI. Mais en attendant cette nouvelle norme, que peuvent faire les entreprises pour mesurer l’efficacité des mesures de sécurité de leur SMSI ?Le National Institute of Standards and Technology (NIST), entité fédérale au sein du Département du Commerce américain, a récemment publié un guide intitulé « Performance Measurement Guide for Information Security » et portant l’identifiant SP 800-55. Ce guide vise à fournir une aide dans le développement, la sélection et l’implémentation d’indicateurs de performances d’un programme de sécurité de l’information. Bien qu’il soit destiné aux agences gouvernementales américaines, les entreprises disposant d’un SMSI peuvent tout de même s’en inspirer.

Facteurs de succès

Quel que soit l’indicateur que vous souhaitez développer et implémenter, le SP 800-55 met l’accent sur des facteurs importants dont il faut tenir compte :

tout indicateur doit produire une information quantifiable (que ce soit des pourcentages, des moyennes ou des chiffres concrets) ;
les données servant à alimenter les indicateurs doivent être facilement consultables ;
seuls les processus reproductibles doivent être mesurés ;
les indicateurs doivent être utiles pour évaluer la performance et l’affectation des ressources.

Le but de ces facteurs est de s’assurer que les indicateurs soient développés dans le but d’identifier les causes de la faible performance d’un SMSI et d’aider à entreprendre les actions correctives adéquates.

Trois types d’indicateurs

Le SP 800-55 porte particulièrement sur le développement et la collecte de trois types d’indicateurs :

des indicateurs d’implémentation,
des indicateurs d’efficacité,
des indicateurs d’impact.

Les indicateurs d’implémentation visent à jauger le niveau d’application des mesures de sécurité. Par exemple, un indicateur d’implémentation pourrait être le pourcentage de systèmes disposant de politiques de gestion de mots de passe correctement configurées ou le pourcentage de systèmes d’exploitation durcis suivant la politique de durcissement en vigueur. Ces indicateurs sont principalement alimentés par les résultats d’audits.En gagnant en maturité, le SMSI permet à ces indicateurs d’approcher et surtout de rester autour de 100 %. L’entreprise commencera alors à porter son attention vers les autres types d’indicateurs proposés par le SP 800-55.Les indicateurs d’efficacité sont utilisés pour vérifier que les processus du SMSI et les mesures de sécurité sont correctement implémentés, fonctionnant tel qu’attendu et permettant d’obtenir le résultat souhaité (réduction des risques à un niveau acceptable). Le pourcentage de vulnérabilités corrigées est un exemple d’indicateur d’efficacité de la mesure de sécurité 12.6.1 de l’ISO 27001 (mesure relative aux vulnérabilités techniques). En effet, tout résultat en deçà du résultat attendu indique une incapacité à recevoir les bulletins d’alertes et à les utiliser pour corriger les vulnérabilités.Enfin, les indicateurs d’impact sont destinés à mesurer les conséquences d’événements de sécurité sur l’activité de l’entreprise. Ces indicateurs peuvent être utilisés par exemple pour mesurer les économies réalisées grâce au SMSI suite à un incident sécurité. Bien évidemment, ces indicateurs sont très recherchés par les dirigeants de l’entreprise. Il n’en reste pas moins les plus difficiles à développer et à implémenter. Contrairement aux autres indicateurs présentés plus haut, le SP 800-55 ne fournit pas d’exemple concret d’indicateur d’impact. La description de ces indicateurs reste aussi très vague. Le SP 800-55 se contente d’indiquer qu’ils sont spécifiques à chaque organisation (sic). Une manière d’écarter un sujet aussi difficile à traiter ?

Améliorer les performances du SMSI

Afin d’améliorer les performances du SMSI, le SP 800-55 propose une démarche en six étapes dont voici les grandes lignes :

Préparer soigneusement la collecte des données qui vont servir à générer les indicateurs d’efficacité du SMSI. Il s’agit de décrire à l’aide d’un plan comment ces données seront réunies, traitées et comment les résultats seront communiqués.
Procéder à la collecte des données et à leur analyse. Ainsi seront obtenus les indicateurs attendus. Cette étape permet d’identifier tout problème d’efficacité des mesures de sécurité retenues et de donner une visibilité sur les actions qui doivent être engagées afin de rectifier le tir s’il y a lieu.
Identifier clairement les actions devant être entreprises en s’appuyant sur l’étape précédente. Chaque mesure de sécurité qui n’est pas suffisamment efficace se voit associer une ou plusieurs actions correctives. Ces actions sont priorisées suivant un processus d’analyse de risques.
Estimer le budget nécessaire pour mener à bien les actions précédemment identifiées. Défendre le projet auprès des décideurs.
Obtenir les ressources nécessaires à la bonne conduite des actions correctives.
Appliquer les actions correctives aux mesures de sécurité incriminées. Il se peut qu’il soit nécessaire de supprimer une mesure de sécurité au profit d’une autre, plus adaptée. Cette démarche est itérative.

Un coup d’épée dans l’eau ou une réelle aide ?

Malgré les quelques problèmes de cette première version tel qu’un traitement très vague des indicateurs d’impact, le SP 800-55 reste une ressource utile pour développer quelques indicateurs pertinents et améliorer ainsi l’efficacité des mesures de sécurité du SMSI et donc les performances de ce dernier. Le guide fournit aussi treize fiches descriptives de mesures de sécurité et les indicateurs associés. Bien que ces mesures soient décrites dans un langage propre au NIST, il est facile de trouver leur pendant dans l’ISO 27001. Toutefois, un effort d’adaptation vis-à-vis au monde « ISO » des SMSI tels que nous les connaissons reste nécessaire, sans oublier que ce guide n’est actuellement disponible qu’en anglais. Saad Kadhi, Consultant sécurité, ISO 27001 Lead Auditor

Les autres articles du dossier