Portail officiel de la sécurité informatique - ANSSI - République française

Un projet pilote concernant un système de gestion des concours et du personnel est fourni en annexe du guide d’élaboration des tableaux de bord SSI. Il offre un exemple concret de l’application complète de la démarche.

Les tableaux de bord SSI concernent une dizaine de destinataires à différents niveaux opérationnels, fonctionnels et stratégiques en suivant la voie fonctionnelle SSI (haut fonctionnaire de défense, fonctionnaire de sécurité des systèmes d’information, autorité qualifiée responsable de la maîtrise d’ouvrage, autorité qualifiée responsable de la maîtrise d’œuvre, responsable du domaine des réseaux…).

La démarche repose sur une analyse des risques réalisée à l’aide de la méthode EBIOS®. Elle a permis d’identifier 44 objectifs de sécurité du système et des actions de sécurité ont été déterminées. Par exemple :

 des règles doivent être définies sur le pare-feu,
 des contrôles et audits réguliers doivent avoir lieu sur le pare-feu,
 un suivi régulier des activités de contrôle des traces doit être assuré,
 des moyens d’analyse des délais d’échanges doivent être mis en place,
 le système doit garantir une indisponibilité maximale de 24h,
 un suivi des failles sur les systèmes Unix et Windows doit être assuré,
 les informations et supports d’information doivent être protégés,
 les utilisateurs doivent être sensibilisés (sur politique de sécurité, consignes de protection contre les dégâts des eaux…),
 mettre en œuvre un suivi des accès de télémaintenance…

Une fois les acteurs identifiés, les groupes de travail créés, le projet lancé et planifié, des objectifs mesurables ont été définis à partir des objectifs de sécurité identifiés. Par exemple :

 le nombre d’incidents relatifs aux règles du pare-feu (usurpation d’un compte depuis l’extérieur, tentatives d’intrusion, divulgation de mot de passe par écoute sur le réseau, accès malveillant aux commandes d’administration) doit diminuer,
 les traces doivent être contrôlées régulièrement,
 les personnels techniques doivent être formés,
 les utilisateurs doivent être sensibilisés régulièrement,
 le nombre d’incidents liés à la gestion et protection des supports magnétiques doit diminuer,
 les délais d’échanges doivent être suivis afin de prévenir les saturations,
 il ne doit pas exister de compte inutilisé,
 la proportion des tâches d’administration réalisées sous le compte d’administrateur système doit être suivie,
 le nombre d’échecs de basculement du serveur sur le serveur de secours doit être minimal…

Des indicateurs ont été élaborés afin de mesurer ces objectifs mesurables. Seule une partie d’entre eux a été développée dans l’étude de cas. Par exemple :

Proportion de traces contrôlées
 Calcul : Volume des traces contrôlées x 100 / volume des traces
 Valeur cible : 100%
 Représentations graphiques proposées :

• Répartition sectorielle (traces contrôlées, traces non contrôlées)
• Historique : courbe d’évolution quantitative (proportion de traces contrôlées)

Évolution du nombre de comptes inutilisés
 Calcul : Nombre de comptes inutilisés
 Valeur cible : 0
 Représentation graphique proposée :

• Historique : courbe d’évolution quantitative (nombre de comptes inutilisés)

Renouvellement des sensibilisations et informations des personnels techniques
 Calcul : Somme des délais écoulés depuis la dernière sensibilisation ou information de chaque personnel technique / nombre de personnels techniques
 Valeur seuil : délai moyen maximal à fixer
 Représentation graphique proposée :

• Historique : courbe d’évolution quantitative (moyenne des délais écoulés depuis la dernière sensibilisation ou formation des personnels techniques)

Les indicateurs élaborés sont ensuite décrits précisément sous la forme de fiches et de procédures d’alimentation. Ils sont enfin regroupés en tableaux de bord SSI thématiques. Leurs procédures d’alimentation sont définies, les tableaux de bord SSI font l’objet d’une validation et sont enfin exploités.

Les tableaux de bord SSI ainsi constitués seront régulièrement révisés afin d’intégrer les évolutions du contexte, de nouveaux objectifs et les ajustements demandés.