La cybersécurité est essentielle – tout le monde le sait. Mais justifier les investissements dans les outils et les ressources nécessaires pour assurer la sécurité d’une infrastructure informatique n’est pas aussi simple. C’est pourquoi les responsables de la sécurité informatique doivent trouver des moyens efficaces de mesurer les efforts de cybersécurité, à la fois pour suivre leurs progrès et montrer qu’ils parviennent à prévenir les violations de données, les attaques de ransomwares et autres menaces de sécurité.
Le suivi des mesures de cybersécurité et des KPI permet également de dresser un tableau du paysage des menaces auxquelles les entreprises sont confrontées. Et sur la base de ces mesures, la stratégie globale de cybersécurité d’une entreprise peut être modifiée selon les besoins pour bloquer les menaces actuelles et réduire les cyber-risques à long terme. Examinons quelques-uns des principaux indicateurs opérationnels et KPI à suivre et pourquoi cela constitue une partie essentielle du processus de cybersécurité.
Pourquoi il est important de suivre les mesures de cybersécurité
Comprendre l’exposition d’une entreprise aux risques de sécurité est la principale raison de suivre en permanence les mesures de cybersécurité. Cela fournit une vue historique des événements de sécurité qui se sont produits et de l’endroit où ils se sont produits dans les réseaux et systèmes informatiques, ainsi que des informations à jour sur l’efficacité du fonctionnement des outils, processus et équipes de sécurité.
Les mesures de surveillance permettent également aux équipes de sécurité de mieux comprendre où les acteurs malveillants tentent actuellement d’accéder à l’infrastructure informatique. Ces connaissances aident les équipes à prioriser les mesures à prendre contre les attaques en cours et à déployer une combinaison d’outils et de processus capables de stopper les cybermenaces imminentes avant qu’elles n’affectent une organisation.
Enfin, les métriques et les KPI sont d’excellents outils à utiliser pour définir des objectifs futurs et planifier l’amélioration des performances de sécurité. Par exemple, les responsables de la sécurité peuvent utiliser des rapports quotidiens ou hebdomadaires contenant diverses mesures pour aider leurs équipes à mieux se préparer aux cyberattaques – ou pour mettre un œil supplémentaire sur les menaces et les parties vulnérables de l’infrastructure si nécessaire.
Dans cet esprit, voici 12 indicateurs de cybersécurité que les entreprises devraient suivre.
1. Tentatives d’intrusion détectées
À première vue, les tentatives d’intrusion détectées ne semblent pas constituer l’une des statistiques les plus importantes en matière de sécurité informatique. Cependant, il donne un aperçu général du nombre global de menaces auxquelles une entreprise est confrontée. L’un des problèmes liés à la sécurité informatique est que lorsque les mécanismes de prévention des menaces fonctionnent et que peu d’incidents se produisent, les dirigeants d’entreprise ont tendance à supposer que l’organisation n’est plus une cible. Partager des données prouvant le contraire est un bon moyen de démontrer que les menaces à la cybersécurité existent toujours et, dans la plupart des cas, ne cessent de croître.
2. Nombre d’incidents de sécurité
Un aspect clé de la gestion de la sécurité informatique consiste à vérifier si les modifications apportées aux outils et aux processus entraînent des améliorations. Une grande partie du budget informatique est souvent consacrée à la cybersécurité. Les indicateurs suivis doivent donc indiquer que l’argent est utilisé à bon escient. La collecte de données sur le nombre et le taux d’incidents de sécurité sur des périodes spécifiques peut aider les RSSI et autres responsables de la cybersécurité à s’assurer que les défenses mises en place ont un impact positif sur la protection des actifs numériques d’une organisation.
3. Niveaux de gravité des incidents
Comprendre le niveau de gravité d’une cyber-intrusion ou d’un vol de données aidera à prioriser les actions afin de garantir que les incidents paralysants pour l’entreprise ne se poursuivent pas. Cette mesure peut également être utilisée au fil du temps pour voir si de nouveaux outils de sécurité ou des processus mis à jour réduisent le nombre d’incidents de haute gravité.
4. Délais de réponse aux incidents
La rapidité est d’une importance cruciale lorsqu’il s’agit d’identifier et de traiter les cybermenaces. Le suivi des temps de réponse aux incidents permet aux responsables de la sécurité de voir dans quelle mesure leurs équipes sont efficaces pour répondre aux alertes et se mettre au travail sur les menaces. Grâce à ces informations, les responsables peuvent se concentrer sur la réduction des temps de réponse s’ils ne sont pas assez rapides. En plus de surveiller les réponses aux menaces individuelles, le temps moyen de réponse (MTTR) est généralement calculé comme une moyenne. Le temps moyen de détection, ou MTTD, est une moyenne connexe permettant d’identifier les attaques et autres menaces.
5. Délais de remédiation des incidents
Répondre rapidement à un incident de cybersécurité ne représente que la moitié du problème. L’autre moitié concerne la vitesse à laquelle les logiciels malveillants ou toute autre menace identifiée peuvent être isolés, mis en quarantaine et complètement supprimés des équipements informatiques. Certains praticiens de la sécurité utilisent alternativement le MTTR dans ce contexte, comme temps moyen de résolution. Si les délais de remédiation s’allongent, c’est un signe clair que des modifications doivent être apportées au programme de sécurité.
6. Nombre de faux positifs et négatifs
Le domaine de la cybersécurité s’appuie sur différents outils qui automatisent l’identification de malwares ou de comportements suspects et alertent les équipes de sécurité des menaces. Cependant, ces outils nécessitent un réglage fin et une maintenance régulière pour les empêcher de signaler par erreur des anomalies qui pourraient ressembler à une menace mais sont bénignes – ou de manquer de véritables incidents de sécurité. Le suivi des faux positifs et négatifs aide les équipes à déterminer si les outils ont été correctement configurés et réglés.
7. Délais de réponse aux correctifs de vulnérabilité
Il est bien connu que l’un des meilleurs moyens de protéger les logiciels critiques pour l’entreprise consiste à appliquer des correctifs aux systèmes d’exploitation et aux applications dès que des correctifs de bugs sont disponibles auprès des fournisseurs. Le suivi de la rapidité avec laquelle les équipes de cybersécurité installent les correctifs logiciels montre l’efficacité de cette pratique critique d’évitement des risques.
8. Résultats de l’évaluation de la vulnérabilité
Les outils d’analyse des vulnérabilités exécutent des tests sur les systèmes informatiques et les appareils des utilisateurs pour voir s’ils sont corrigés contre les vulnérabilités connues et identifier d’autres problèmes de sécurité potentiels. Les résultats d’évaluation générés par les analyses incluent des listes de vulnérabilités nouvelles et encore ouvertes, des évaluations de risque, des taux de réussite/échec de vulnérabilité et d’autres points de données. Ces informations peuvent être utilisées avec la mesure des temps de réponse des correctifs pour identifier si davantage de ressources doivent être allouées pour garantir que les efforts de gestion des vulnérabilités atteignent les objectifs.
9. Niveaux d’accès aux applications et aux données de l’utilisateur final
Les chefs d’entreprise pourraient supposer que les menaces de cybersécurité proviennent en grande partie de l’extérieur de l’organisation. Cependant, dans certaines entreprises, les mesures de cybersécurité des utilisateurs internes montrent que les menaces internes constituent un problème bien plus important. La collecte et l’analyse d’informations sur les privilèges d’accès et l’accès aux applications et aux données par les employés peuvent mettre en évidence les problèmes de sécurité interne ainsi que les modifications nécessaires aux contrôles d’accès des utilisateurs.
10. Volume global de données générées
Bien qu’il ne s’agisse pas strictement d’une mesure de sécurité, le suivi de la quantité de données générées et envoyées via le réseau d’entreprise peut s’avérer très utile pour identifier les menaces potentielles et déterminer dans quelle mesure les outils et processus de sécurité évolueront. Les changements dans les volumes de trafic, qu’ils soient progressifs ou brusques, peuvent indiquer des intrusions de logiciels malveillants ou d’autres types de cyberattaques. Cette mesure peut également aider à justifier la nécessité de mesures de sécurité nouvelles ou améliorées. Cela contribuera à faire comprendre – et à juste titre – l’idée selon laquelle, à mesure que l’utilisation du réseau augmente, le montant d’argent alloué à la protection du réseau et des systèmes informatiques devrait également augmenter.
11. Nombre d’audits, d’évaluations et de tests d’intrusion
Le « entretien interne » de la cybersécurité implique une série d’audits, d’évaluations, de tests d’intrusion et d’autres contrôles effectués pour garantir que les processus et outils de sécurité fonctionnent comme prévu. Il est cependant assez courant que les équipes de sécurité informatique soient tellement surchargées de tâches quotidiennes que ces procédures importantes soient retardées ou oubliées. Le suivi de leur fréquence offre une visibilité sur cet aspect de la cybersécurité afin que les responsables de la sécurité puissent s’assurer qu’il ne soit pas laissé de côté.
12. Benchmarks de sécurité par rapport à des organisations similaires
Plusieurs outils d’analyse de sécurité basés sur le cloud offrent la possibilité de comparer les mesures de cybersécurité anonymisées à celles d’autres organisations du même secteur. Dans un sens, il s’agit d’une « métrique de comparaison de métriques ». Une telle analyse comparative permet d’identifier si l’équipe de sécurité informatique est sur la bonne voie ou a besoin d’une réinitialisation par rapport à ses pairs du secteur.
Comment gérer le processus de suivi des mesures de cybersécurité
Gagner en visibilité sur les mesures et les KPI critiques de cybersécurité n’apporte pas grand chose à une organisation si les équipes de sécurité ne comprennent pas comment les utiliser pour atteindre les objectifs stratégiques. C’est là que des pratiques de gestion efficaces entrent en jeu. Pour obtenir les résultats de cybersécurité souhaités à l’aide de points de données historiques et en temps réel pertinents, adoptez les bonnes pratiques suivantes :
- Définissez vos objectifs, puis déterminez quelles mesures vous aideront à identifier les progrès. Trop souvent, les responsables de la sécurité informatique se concentrent sur des mesures et des KPI individuels plutôt que sur les objectifs qu’ils souhaitent atteindre. Cela conduit à des situations où de bonnes données se trouvent juste devant eux, mais rien n’est accompli car aucun objectif n’a été fixé. Au lieu de cela, créez d’abord des objectifs utiles et réalisables. Une fois qu’ils sont établis, les différents indicateurs et KPI qui suivent le mieux le succès ou l’échec de ces objectifs peuvent être sélectionnés.
- Créez un tableau de bord pour garder les métriques et les KPI en tête. Combiner des objectifs de cybersécurité bien définis avec des moyens de mesurer avec précision le succès ne sert à rien si seuls les responsables de la sécurité suivent les mesures. Assurez-vous plutôt qu’il s’agit d’un effort d’équipe. Le développement d’un tableau de bord de métriques et de KPI que toute l’équipe de sécurité peut utiliser pour suivre les progrès aidera à garder tout le monde impliqué et informé.
- Soyez prêt à affiner ou modifier les objectifs, les mesures et les KPI. Ne pensez pas qu’une fois les objectifs, les mesures et les KPI de cybersécurité fixés initialement, ils ne pourront jamais changer. Supposons plutôt que tout devra être ajusté au fil du temps, car les exigences de l’entreprise ainsi que les outils de sécurité, les processus et le personnel nécessaires pour y répondre changeront sans aucun doute. Le but de cet exercice est d’utiliser les données pertinentes pour améliorer les protections en matière de cybersécurité. Comprendre que l’évolution et les pivots de l’entreprise affecteront ce qui est stratégiquement important devrait guider le processus de création d’objectifs et de choix des mesures et des KPI appropriés à suivre.
