Quelles sont les menaces qui pèsent sur l’organisation : intrusion, espionnage, vol de données, ransomware... ? Quel est le niveau de risque ? Les équipes sont-elles en capacité de réagir, et sous quel délai ?
Mesurer dans la durée la sécurisation d’un parc informatique est indispensable pour se protéger efficacement, et pour réagir de façon adéquate quand une attaque survient.
Cybersécurité : qui suit les KPIs ?
Ces données vont permettre d’identifier les forces sur lesquelles s’appuyer (outils, expertises, process...), et les points de vigilance ou d’amélioration (vulnérabilités, process à optimiser, expertises à renforcer...).
Les KPIs liés à la sécurisation d’un parc informatique peuvent être suivis en interne par les RSSI, les SOC Managers ou les DSI selon la structure des équipes techniques ; et ils peuvent aussi être challengés avec les MSSP pour les organisations qui font appel à un partenaire pour la gestion de leurs solutions de cybersécurité.
Comment mesurer les KPIs liés à la sécurité ?
Avant d’entrer dans le vif du sujet, si nous avons mentionné un peu plus tôt la nécessité de mesurer ces indicateurs dans la durée, c’est pour une bonne raison ! En effet, ces KPIs nécessitent un suivi régulier pour constater les améliorations, mais aussi identifier la dégradation éventuelle des performances pour y remédier.
Selon les indicateurs, il convient de définir une périodicité adaptée pour les observer, afin que leur utilisation soit pertinente. Par exemple, le suivi des KPI liés à la formation s’évalue sur des temps longs, alors que des données relatives aux événements de sécurité se mesurent au quotidien.
La stratégie et la feuille de route cyber peuvent ainsi être ajustées, tout en justifiant des investissements engagés, qu’il s’agisse de formation, de solutions, ou de temps consacré à l’amélioration des process internes...
Aussi, pour être à la fois compris et pris en compte par toutes les parties prenantes, ces KPIs doivent être partagés régulièrement et servir de socle en vue de proposer des optimisations en matière de sécurité.
En outre, certains KPIs peuvent aider à fixer des objectifs – seuils à atteindre ou à ne pas dépasser - afin d’orienter et hiérarchiser les actions à mener. Il peut s’agir de délais d’intervention par les équipes, d’objectifs de formation... dans tous les cas les objectifs doivent rester réalistes et atteignables (SMART), et ils peuvent aussi être ajustés au fil du temps selon le contexte cyber et les priorités de l’organisation.
Cybersécurité : les points clés à suivre et à partager
Niveau de formation des équipes Sécurité
L’expertise des ressources humaines en cybersécurité est irremplaçable, même avec les outils les plus performants. Ainsi, les membres des équipes techniques, qu’elles soient internes ou externes, doivent procéder à une mise à jour continue de leurs connaissances sur les menaces, et sur les outils pour les détecter et y répondre.
En ce qui concerne les outils, ils évoluent pour rester à l’état de l’art et souvent anticiper les menaces qui se profilent, et leur exploitation implique également de se former régulièrement pour pouvoir en tirer le meilleur.
Dans ce sens, des programmes sont prévus par les éditeurs de solutions à destination de leurs utilisateurs. Une organisation peut ainsi définir des objectifs portant sur le nombre de salariés formés, sur quels sujets ou fonctionnalités, avec quelles certifications...
Nombre d’audits et évaluations prévues
Les attaques sont inévitables - le rapport Thales Data Threat 2024 indiquait une hausse de 27% du nombre d’entreprises victimes d’attaques par ransomware en 2023. Pour réagir au plus vite, la propreté d’un parc informatique est indispensable. Cette notion de propreté implique d’être en mesure de lister les actifs en vue de segmenter correctement le parc informatique, d’identifier les vulnérabilités et détecter le Shadow IT...
Ces opérations nécessitent des audits et des tests d’intrusion à échéances régulières pour pouvoir évaluer le niveau de sécurité. Par manque de temps, ces procédures souvent dépriorisées alors qu’elles permettent justement d’optimiser la gestion des incidents de sécurité en prenant les bonnes décisions - et dans cette situation, chaque minute compte.
Il est donc essentiel de fixer des objectifs sur les audits et les tests d’intrusion à réaliser, car l’identification des vulnérabilités permet de les corriger, et la visibilité sur l’infrastructure IT permet de réagir de façon adéquate en cas d’attaque. Ces évaluations peuvent aussi mettre en lumière le besoin d’outils, de ressources ou d’accompagnement complémentaire pour renforcer la sécurisation du Système d’Information.
Volume d’incidents de sécurité et contextualisation
C’est évidemment un chiffre que tous les RSSI et SOC Managers voudraient voir le plus bas possible... Néanmoins, partager en interne le nombre d’incidents de sécurité remontés à l'aide les outils mis en place permet de rendre compte de la pertinence des budgets engagés pour la protection du SI.
Un ransomware est une attaque dont l’impact est immédiatement visible (demande explicite de rançon, SI à l’arrêt...), mais il faut aussi pouvoir détecter les attaques sans impact visible telles que les tentatives d’intrusion (pour du vol de données, de l’espionnage...). Ce second type d’attaque étant beaucoup plus difficile à détecter, il convient de s’équiper d’outils capables d’identifier les comportements suspects révélateurs.
La capacité à démontrer l’intérêt des outils déployés dans cet objectif est aussi crucial pour une bonne compréhension des enjeux cyber par les utilisateurs du SI.
En outre, des tests de simulation à visée pédagogique aident par exemple à mettre en situation, en vue de “propager une saine paranoïa”.
Pour les équipes Sécurité, un suivi quotidien, ainsi que des bilans pour prendre de la hauteur, contribuent également à mieux identifier, et donc anticiper les typologies de risques qui pèsent sur l’organisation. La stratégie cyber peut ainsi être orientée en fonction de l’évolution des menaces.
En effet, savoir évaluer la criticité des incidents détectés par les outils de sécurité (EDR, XDR, SOAR...) permet de mesurer efficacement le niveau de risque et l’impact potentiel sur l’activité de l’organisation. C’est indispensable pour se préparer à déployer les moyens adaptés, et éventuellement envisager de s’équiper de solutions ou actualiser les procédures en vue de durcir la protection.
Pertinence des alertes et faux positifs
Les outils de cybersécurité sont faits pour que les experts puissent être alertés en cas d’incident, mais sans être noyés. L’alert fatigue est un phénomène malheureusement fréquent, source de stress mais aussi d’erreur.
Une étude menée en 2023 auprès de 2000 analystes SOC, révélait que pour 90% d’entre eux, les outils de détection des menaces sont efficaces, mais 97% craignent de manquer un événement de sécurité important. Ils passent près de 3h à trier manuellement les alertes au quotidien (4500 alertes en moyenne), et 67% de ces alertes ne peuvent être traitées faute de temps, sachant que 83% sont des faux positifs.
A la lumière de ces chiffres, on comprend facilement en quoi la pertinence des alertes est un enjeu fondamental pour une protection efficace.
Les outils doivent donc offrir des options de configuration et de white listing fines, et ces paramètres doivent être ajustés dès la prise en main, puis en continu. Le suivi des faux positifs permet ainsi de s’assurer que l’outil est toujours configuré correctement par rapport à l’état de la menace pour répondre aux besoins des équipes de Sécurité.
Notez que plus un outil de sécurité donne accès aux règles de détection, plus il sera facile d’intervenir pour les ajuster. C’est un atout important à prendre en compte pour l’efficacité et les conditions de travail des analystes.
Temps de réponse aux incidents
La réactivité et la vélocité sont essentielles pour identifier et remédier aux attaques, et dans ce sens, les outils de sécurité ont un rôle primordial. De la même façon qu’ils aident à identifier correctement les incidents de sécurité avec un taux de faux positif minime, ils doivent permettre une contextualisation et une visualisation optimale des données collectées.
A l’aide de ces outils, en conditions réelles ou dans le cadre d’exercice de simulation, il devient possible d’évaluer différents aspects du temps nécessaire pour répondre à un incident de sécurité, notamment :
- Le temps moyen de détection (Mean Time to Detect - MTTD)
C’est le délai pour qu’un outil détecte une menace. Dans certains cas, il peut y avoir une latence due au mode de détection, si elle est opérée via une Sandbox ou en utilisant un moteur de corrélation. Cet indicateur peut être abordé avec l’éditeur de la solution ou le MSSP qui l’opère le cas échéant.
- Le temps moyen de réponse/remédiation (Mean Time to Respond/Remediate - MTTR)
C’est le temps nécessaire pour qu’une solution de sécurité contienne et éradique une menace, et il peut être optimisé en définissant l’automatisation de certaines actions.
- Le temps moyen pour prendre les incidents en compte (Mean Time to Acknowledge – MTTA)
Il s’agit du temps moyen entre le moment où une alerte est déclenchée et celui où les équipes travaillent sur l’incident. Cette mesure permet de suivre la réactivité des équipes, et permet de mettre en lumière un éventuel besoin d’ajustement des outils, de formation, ou de renforcement des équipes.
- Le temps moyen d'investigation (Mean Time to Investigate - MTTI)
A l’inverse des deux métriques précédentes qui sont liées aux outils, le MTTI traduit le temps nécessaire aux analystes, en interne ou chez un partenaire, pour investiguer après une alerte : collecte d'informations, analyse des données, évaluation de la criticité... Sachez que plus une solution de sécurité est ouverte à l'interfaçage avec d'autres solutions de monitoring et de gestion des incidents (ITSM, SIEM...), plus ce temps sera court.
Le MTTI peut s’évaluer en s’appuyant sur les données disponibles et le temps nécessaire pour les traiter (plus un outil est transparent, plus les données pourront aider les analystes en phase d’investigation), sur les ressources disponibles, la performance du SOC...
Dans le cas où les outils de sécurité sont gérés par un MSSP un Service Level Agreement (SLA) peut être prévu dans le contrat de prestation pour garantir ces délais de réponse et de remédiation.
Formation des équipes, audits et tests d’intrusion, efficacité des outils et des ressources sont des aspects cruciaux pour garantir une sécurité optimale des actifs d’un Système d’information.
Ils doivent être suivis sur le long terme pour en faire de véritables outils d’aide à la décision pour les RSSI et SOC Managers, mais aussi pour valider une stratégie cyber auprès du board d’une organisation, et identifier les points d’amélioration.
A propos de board, vous vous demandez comment défaire les idées reçues sur la cybersécurité pour convaincre les parties prenantes de la pertinence de votre feuille de route cyber ?