CLUSIF Metriques Dans 27000

LES DOSSIERS TECHNIQUES
LES METRIQUES DANS LE CADRE

DE LA SERIE 27000
mai 2009
Groupe de Travail Srie 27000
CLUB DE LA SECURITE DE LINFORMATION FRANAIS

30, rue Pierre Smard, 75009 PARIS
Tl. : +33 1 53 25 08 80 Fax : +33 1 53 25 08 88 e-mail : clusif@clusif.asso.fr
Web : http://www.clusif.asso.fr
La loi du 11 mars 1957 n'autorisant, aux termes des alinas 2 et 3 de l'article 41, d'une part, que les "copies ou reproductions strictement
rserves l'usage priv du copiste et non destines une utilisation collective" et, d'autre part, que les analyses et les courtes citations dans
un but d'exemple et d'illustration, "toute reprsentation ou reproduction intgrale, ou partielle, faite sans le consentement de l'auteur ou de
ayants droit ou ayants cause est illicite" (alina 1er de l'article 40)
Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait donc une contrefaon sanctionne par les articles 425 et
suivants du Code Pnal
REMERCIEMENTS
Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la ralisation de
ce document, tout particulirement :
Nicolas ANDREU
Devoteam
Rgis BOURDONNEC
BNP Paribas Assurance
Anne COAT
SEKOIA SAS
Henri CODRON
SCHINDLER
Jean-Marc DELTEIL
France Telecom
Frdric HUYNH
Ernst & Young
Franois JOLIVET
Socit Gnrale
Laurent MARECHAL
Hapsis
Fred MESSIKA
SEKOIA SAS
Grard REMY
Devoteam
Paul RICHY
France Telecom
Herv SCHAUER
HSC
ainsi que les personnes ayant particip la relecture.
Les mtriques dans le cadre de la srie 27000
-I-
CLUSIF 2009
TABLE DES MATIERES
NOTE AUX LECTEURS ...................................................................................................................................III

1.
INTRODUCTION ....................................................................................................................................... 4
1.1
1.2
2.
LES METRIQUES ...................................................................................................................................... 6

2.1
2.2
2.3
2.4
2.5
3.
VALUER ............................................................................................................................................ 14
PILOTER .............................................................................................................................................. 14
COMMUNIQUER .................................................................................................................................. 15
S'AUTOEVALUER ................................................................................................................................. 15
CONTRIBUER A LOBTENTION DUNE CERTIFICATION.......................................................................... 15
REPONDRE A UN AUDIT ....................................................................................................................... 15
LES TRAVAUX NORMATIFS EN COURS (ISO/IEC 27004) ........................................................... 16

4.1
4.2
4.3
4.4
4.5
5.
PANORAMA DES REFERENTIELS ET DES BONNES PRATIQUES ................................................................. 6

TERMINOLOGIE ..................................................................................................................................... 9
POSITIONNEMENT DES METRIQUES DANS LE MODELE DE FONCTIONNEMENT ...................................... 10
LEMENTS POUR LA MISE EN UVRE DES INDICATEURS...................................................................... 11
EXEMPLES DINDICATEURS ................................................................................................................. 12
LES DIFFERENTS USAGES DES INDICATEURS ............................................................................ 14
3.1
3.2
3.3
3.4
3.5
3.6
4.
OBJECTIF DE CE DOCUMENT.................................................................................................................. 4
LECTORAT ............................................................................................................................................ 5
CONCEPTS DE METRIQUES................................................................................................................... 16
CONCEVOIR DES METRIQUES............................................................................................................... 17
METTRE EN PLACE DES METRIQUES .................................................................................................... 17
UTILISER, COMMUNIQUER ET AMELIORER LES METRIQUES ................................................................. 18
AMELIORER LE PROCESSUS DE MESURE .............................................................................................. 18
CONCLUSION .......................................................................................................................................... 19
ANNEXE A : FICHE DESCRIPTIVE.............................................................................................................. 20

MODELE DE FICHE DESCRIPTIVE DUNE MESURE ............................................................................................... 20
EXEMPLE DUTILISATION DE LA FICHE .............................................................................................................. 22
ANNEXE B : EXEMPLES DATTRIBUTS, DE METRIQUES ET/OU DINDICATEURS...................... 24
- II -
CLUSIF 2009
NOTE AUX LECTEURS

La langue anglaise comprend plusieurs mots control , measure , measurement ,
security measure qui se traduisent gnralement en franais par le mot mesure ; il
convient donc de prciser le primtre et la dfinition retenue pour chacun de ces mots dans la
suite du document, afin dviter les ambiguts de traduction. Ainsi, pour la suite, nous
utilisons les correspondances suivantes :
Control = mesure de scurit : doit se comprendre comme un ensemble de

dispositions mettre en uvre. Ce sont les mesures prendre pour mettre en uvre
une politique de scurit ; Control ne se rattache donc pas directement la notion de
mtrique ;
Measure = valeur mesure :

est dfini comme la valeur de la mesure ; il
sagit donc dune valeur quantitative, rsultat de la mesure de la mesure de scurit ;
Measurement = mesurage : est explicit dans le glossaire (cf. 2.2), comme tant le
processus de mesurage ; il sagit un niveau, soit lmentaire, soit plus global de la
mise en uvre de mtriques ; measurement couvre donc la dfinition, le choix,
le dploiement et lvaluation dindicateurs.
Security measure = mesure de scurit (voir la dfinition de Control ).
Dans ce document, le terme mesure employ seul dsigne le rsultat de laction de

mesurer et ne correspond donc pas mesure de scurit .
___
- III -
CLUSIF 2009
1. INTRODUCTION
Lun des objectifs suivis lors de la mise en uvre, au sein dun organisme, dune politique de
scurit du systme dinformation est dapporter ou de renforcer la confiance en celui-ci.
Cette confiance traduit lune des exigences des diffrents acteurs (internautes, clients,
fournisseurs, actionnaires, ) ou de lorganisme lui-mme (entreprise, administration, ONG,
tiers de confiance, ...) lors dune transaction commerciale, du dveloppement de son activit,
pour la conservation de donnes numriques,
La notion de niveau de scurit est souvent utilise, par abus de langage, pour
talonner cette confiance. Cela pour signifier que lon veut tre sr de son SI, ou pour
garantir que des mesures de scurit ont t mises en uvre et quelles permettent de
rduire lexposition aux risques un niveau acceptable .
Lapprciation de latteinte des objectifs de scurit ainsi que la pondration affecter aux
diffrentes thmatiques de scurit (plan de continuit, scurit physique des infrastructures,
gestion des identits, ) demeurent des questions dactualit. Il est difficile dindiquer parmi
diffrentes mesures de scurit dployes celles qui auront le plus de valeur ajoute sur le
niveau de protection du systme dinformation.
La confiance accorde la scurit du systme dinformation se mesure notamment par
rapport une politique, constitue par des processus et des objectifs, suivant une dmarche
formalise pour les atteindre. Le respect de ces conditions permet de se positionner dans une
perspective de matrise du systme de management de la scurit de linformation (SMSI) ou
dvaluation des mesures de scurit mises en place.
La norme ISO/IEC 27004 fournit une rponse structure et normalise pour mesurer la
performance dun SMSI dans le cadre de lISO/IEC 27001:2002.
1.1 Objectif de ce document

Lors de ses prcdents travaux sur les normes de la srie 27000, le CLUSIF a dvelopp de
quelle manire :
la norme ISO/IEC 27001:2005 permet le Management de la scurit de l'information
par une approche normative ;

la norme ISO/IEC 27002:2005 fournit les mesures de scurit permettant de rpondre
ses exigences.
Lobjectif de ce document est de prsenter au lecteur, des concepts gnraux pouvant tre
utiliss pour dfinir des indicateurs et une mtrique permettant les mesurages (voir
dfinition au 2.2) du systme de management de la scurit de linformation.
Ce document ne porte pas de jugement sur la qualit de la norme. Ce nest pas non plus un
document sur la mtrologie ou llaboration de tableaux de bord. Il traite des fondamentaux
sur les mtriques et leurs utilisations, afin de mieux apprhender le contenu de la norme
ISO/IEC 27004.
Enfin, les annexes proposeront diffrents exemples de mtriques selon lISO/IEC 27004 qui
permettraient le mesurage dun SMSI norm par lISO/IEC 27001:2005.
-4-
CLUSIF 2009
1.2 Lectorat
Les documents du CLUSIF sont gnralement destination des RSSI et des DSI.
Llargissement du primtre au mesurage de lensemble du SMSI nous incite proposer une
cible sensiblement plus large incluant tous les professionnels de la scurit de linformation,
mais aussi toutes les entits de contrle permanent ou de gestion des risques.
Comme tout texte, lutilit de la norme doit tre value en fonction du contexte de mise en
uvre. Ce document ayant t rdig plus particulirement pour un public de non-initis
afin de leur permettre de mieux apprhender le contenu de la norme, les personnes au fait de
cette dernire ny trouveront peut tre pas de dveloppement nouveau.
-5-
CLUSIF 2009
2. LES METRIQUES
2.1 Panorama des rfrentiels et des bonnes pratiques
La norme ISO/IEC 27002:2005, connue prcdemment sous la rfrence
ISO/IEC 17799:2005 a pour titre Code of practice for information security management .
Elle met l'accent sur le fait que, dsormais, l'information est une ressource essentielle de
l'entreprise ; c'est--dire que linformation, au mme titre que d'autres actifs, doit tre prise en
considration, value et protge.
La scurit de l'information vise entre autres garantir la continuit de lactivit, rduire les
risques, optimiser le retour sur investissements ainsi que les opportunits d'action pour
l'organisme.
Cette norme traduit une volution tendancielle des normes traitant de la scurit de
l'information. Au dpart, il y a une quinzaine d'annes, ces normes taient plutt techniques et
contenaient surtout des prescriptions relatives aux systmes ou aux rseaux informatiques.
Vers le milieu des annes 90, des travaux d'origine britannique ont conduit laborer des
documents dont le champ s'tendait aux systmes d'information et orients vers les
responsabilits managriales et l'organisation des entreprises.
Le plus connu de ces documents est le standard britannique BS 7799 dont la partie 1 (Code of
practice for information security management) a servi de base l'ISO/IEC 27002
(anciennement ISO/IEC 17799), et la partie 2 a servi de base l'ISO/IEC 27001, dans laquelle
on trouve la notion de SMSI (Systme de Management de la Scurit de lInformation).
Lors d'une runion de l'ISO, il a t dcid de regrouper les principales normes traitant du
SMSI dans une srie ISO/IEC 27000 un peu comme la qualit fait l'objet de la srie
ISO 9000 ou l'environnement de la srie ISO 14000 . Il est dailleurs noter que ces trois
familles de normes sont cohrentes entre elles quant lapproche managriale et
organisationnelle des thmes traits. Il est prvu de disposer terme des normes suivantes
(liste non limitative) :

ISO/IEC 27000, Principles and Vocabulary,

ISO/IEC 27001, Information Security Management Systems Requirements, base sur
la BS 7799-2 et oriente vers la certification,
ISO/IEC 27002, Code of practice for Information Security Management, anciennement
ISO/IEC 17799,
ISO/IEC 27003, ISMS Implementation,
ISO/IEC 27004, ISMS, Measurements and metrics,
ISO/IEC 27005, ISMS, Information security risk management,
ISO/IEC 27006, Information technology Security techniques Requirements for
bodies providing audit and certification of information security management systems.
-6-
CLUSIF 2009
2005-2010
Exigences
usage obligatoire
dans la certification
2007
ISO 27001
SMSI
ISO 27006
Certification de SMSI
2010
2009
ISO 27000
Vocabulaire
ISO 27007
Audit de SMSI
Guides
usage facultatif
2005-2010
2008
ISO 27002
Mesures de scurit
ISO 27005
Gestion de risque
ISO 27001
2009
2009
ISO 27003
Implmentation
ISO 27004
Indicateurs SMSI
Schma 1 : La srie ISO/IEC 27000
Bien sr, d'autres normes techniques continueront de traiter de la scurit des systmes
d'informations. En particulier, nous pouvons mentionner :
ISO/IEC 27031, Specification for ICT Readiness for Business Continuity,

ISO/IEC 27032, Guidelines for Cybersecurity,
ISO/IEC 27033, de 1 8, IT network security (ex : ISO/IEC 18028),
ISO/IEC 27034, Guidelines for Application Security,
ISO/IEC 27035, Information Security Incident Management.
ISO/IEC 18043, Selection, deployment and operation of intrusion detection systems

(IDS).

D'autres rfrentiels, eux aussi en cours d'volution, sont susceptibles d'tre utiliss pour
amliorer la scurit de l'information. Ils peuvent ainsi se trouver en concurrence avec tout ou
partie des normes prcites. Ils peuvent aussi introduire de nouvelles contraintes qui seront
prendre en compte dans leur mise en uvre.
Le plus connu est le CoBIT (Control Objectives of Information and related Technology),
labor par l'ISACA (Information Systems Audit and Control Association). Il convient
galement de mentionner les documents manant du COSO (Committee of Sponsoring
Organisations of the Treadway Commission) ou de diffrents organismes gouvernementaux
(NIST aux USA, DTI au Royaume Uni, ).
-7-
CLUSIF 2009
ISO 27002
Bonnes pratiques
ISO 27001
ISO 27005
Apprciation des
risques
ITIL
SAS 70
Production
ISO 27001
Moteur de base
CMMI
Dveloppements
PCI-DSS
CoBIT
Gouvernance
ISO 27004
Indicateurs
Tout autre
rfrentiel
scurit
Schma 2 : La srie ISO/IEC 27000 et les autres rfrentiels
De la mme faon, les lois et les rglements concernant la scurit de l'information

(informations nominatives, gestion de l'identit, rtention de donnes, chiffrement, ) sont
actuellement en volution dans la plupart des pays.
De nouvelles conditions de traitement, de conservation ou de destruction des informations
sont ainsi mettre en uvre de faon imprative et de faon d'autant plus complexe que les
mesures de scurit peuvent varier d'un pays l'autre.
Des impratifs lgislatifs ou sectoriels peuvent aussi voir le jour et entraner des consquences
importantes. Par exemple la loi Sarbanes-Oxley Act pour les entreprises cotes sur les
marchs amricains, la Loi sur la Scurit Financire pour les entreprises franaises, Ble II
pour les tablissements financiers ou Solvency II pour les assurances.
-8-
CLUSIF 2009
2.2 Terminologie
Le terme mtrique nexiste pas dans la langue franaise au sens o il est utilis dans ce
document.
Le terme anglais metrics (a system of related measures that facilitates the quantification of
some particular characteristic) est utilis pour mtrologie, parfois traduit par mtrique.
Pour mmoire, la mtrologie est la science qui s'intresse aux cts thoriques et pratiques de
la mesure, dans tous les domaines de la science et de la technologie. Plus spcifiquement, la
mtrologie touche l'utilisation des units, la ralisation des talons, les mthodes, les
techniques et les appareils de mesure, ainsi que la prcision obtenue.
Les diffrentes normes en rapport avec le sujet fournissent les dfinitions suivantes :
Attribut : proprit ou caractristique dun objet qui peut tre distingu quantitativement
ou qualitativement par des moyens humains ou automatiques [ISO/IEC 15939:2007]
Mesurage : processus dobtention dinformation relative lefficacit dun SMSI et de

mesures de scurit, laide dune mthode dvaluation, dune fonction dvaluation,
dun modle analytique et de critres de dcision [ISO/IEC 27004]
Indicateur : rsultat de lapplication dun modle analytique une ou plusieurs variables

en relation avec les critres de dcision ou un besoin dinformation. [ISO/IEC 27004]
Un indicateur est la base de lanalyse et de la prise de dcision.

Complments aux dfinitions proposes dans ce document :
Mtrique : ensemble dlments permettant de fournir une valuation qualitative ou

quantitative reprsentative dune situation.
Indicateur : donne objective qui prsente une situation du strict point de vue
quantitatif. Un indicateur est pertinent sil est directement reli une zone daction (il
indique o il faut agir). Les indicateurs peuvent tre regroups dans un tableau de bord,
outil de synthse et de visualisation des situations dcrites.
-9-
CLUSIF 2009
2.3 Positionnement des mtriques dans le modle de

fonctionnement
La figure ci-dessous positionne les termes attribut , mtrique et indicateur .
Tableau de Bord
Aide la dcision
ISMS
Interprtation
Objectifs
Indicateurs
Information quantitative ou
qualita tive positionne sur
une che lle de rf rence
Contrle
Reprsentation de la situation
Elaboration dune
reprsentation de la situation
Analyse de la situation
Traitement (calcul ou dduction)
Agrgation, consolidation
Mise
en
place
Mtriques
Mesures lmentaires
attributs
Collecte des paramtres et

variables mesurables :
les attributs
Reprsentation de la
ralit du terrain
(donnes brutes)
Systmes et processus mtiers de lentit
Schma 3 : Reprsentation daprs le document ISO/IEC 27004
Exemple dans le domaine des antivirus :

Nombre de postes quips d'un antivirus : attribut
Pourcentage du nombre de postes quips sur le total : mtrique
Nombre de postes quips d'un antivirus dont l'antivirus a t mis jour : attribut
Pourcentage de postes dont l'antivirus a t mis jour : mtrique
A partir de lexemple ci-dessus, en regroupant les deux mtriques nous pouvons constituer un
indicateur reprsentant la fois le niveau de protection viral des postes de travail et la
matrise du processus antiviral sur ces postes.
- 10 -
CLUSIF 2009
Les indicateurs, intimement lis la situation que nous voulons reprsenter peuvent tre de
nature diffrente et avoir des finalits galement diffrentes :
constater une situation dans le domaine que lon veut observer ;
mesurer l'cart entre le niveau existant et le niveau de lobjectif dfini ;
suivre l'volution des domaines grs et analyss ;
anticiper et/ou dclencher la mise en uvre de plans dactions de scurit ( partir du

franchissement dun seuil) ;
communiquer partir de donnes analyses ;
piloter les projets ;
apprcier le respect des lois et rglementations ;
auditer.
Dans le contexte de la mise en uvre dun SMSI et du respect du principe de la Roue de

Deming (cycle PDCA), les critres de choix des indicateurs doivent intgrer le souci
damlioration permanente de la scurit par la vrification de l'efficacit des mesures de
scurit valides et dployes. Ainsi, il est toujours souhaitable d'avoir en mmoire que
l'objectif d'un indicateur de scurit dans le SMSI est d'valuer l'efficacit des mesures de
scurit.
Dans la suite du document, le choix a t fait dillustrer uniquement les mthodes de mise en
uvre dindicateurs pour les SMSI. En effet, le suivi de lefficacit de tout systme de
management est ralis partir de ces indicateurs (cf. schma 3).
2.4 lments pour la mise en uvre des indicateurs

Afin de satisfaire les objectifs assigns, les indicateurs doivent respecter des conditions
particulires et tre dots de qualits spcifiques, notamment :

tre issus des objectifs retenus dans la politique de scurit ;

tre aisment quantifiables (construits partir dinformations ou de processus gnrant
des informations quantifiables) afin de permettre des comparaisons (entre systmes ou
entre priodes). Il sagit le plus souvent de pourcentage, de taux, de ratio, de moyenne
et/ou de nombres bruts ;
les informations ncessaires llaboration de la mesure doivent tre faciles obtenir
et/ou collecter. En effet, il faut sassurer que les ressources mises en uvre pour obtenir
les donnes ne sont pas disproportionnes par rapport celles concourant la ralisation
du processus mesur ;
sappuyer sur des processus stables et aisment reproductibles ;
permettre la mesure des volutions suite des actions correctives ;
tre fiables sur la dure et autoriser une analyse des carts.
- 11 -
CLUSIF 2009
Ces caractristiques sont regroupes dans certaines dmarches sous l'acronyme SMART
qui signifie :

Specific : il correspond ce qui est analys et met en avant la spcificit de l'attribut.

Measurable : il peut tre mesur et cette mesure est objective.
Attainable : il est obtenu dans des conditions satisfaisantes de cot et de dlai.
Repeatable : sa mesure est reproductible.
Time dependent : la mesure dpend de la fentre de temps utilise.
Les caractristiques de la mesure dfinies dans l'Annexe A de lactuel projet de norme

ISO/IEC 27004 doivent tre dfinies pour chaque indicateur.
2.5 Exemples dindicateurs

Quelques exemples dindicateurs sont donns ci-aprs. La liste fournie nest pas exhaustive. Il
est intressant de constater que certains indicateurs sont de nature oprationnelle ou
stratgique, voire oprationnelle et stratgique.
Contrle daccs

pourcentage dutilisateurs dont le mot de passe respecte les principes de construction ;

pourcentage de systmes accessibles depuis lextrieur et comprenant un IDS jour.
Contrle des codes malveillants :

nombre annuel d'attaques russies par dfaut de mise jour de la base virale ;

dlai de retour la normale sur attaque virale ;

frquence de mise jour de la base antivirus ;

frquence dvaluation de la conformit des politiques antivirales locales avec la
politique globale .
Mise en uvre du SMSI :

pourcentage de dclinaisons des principes de la politique de scurit de lorganisme en
procdures oprationnelles ;

nombre mensuel dincidents de scurit non rsolus ;

pourcentage de comits de pilotage de scurit tenus en accord avec le planning ;

pourcentage d'actions correctives non menes terme.
Matrise des dpenses :

dpenses lies la scurit selon diffrents critres : nombre d'alertes, d'incidents, etc.
Formation :

pourcentage du budget global de formation consacr la scurit des systmes
dinformation ;

pourcentage de participants en fonction de la population cible des sessions relatives
la scurit des systmes dinformation ;

taux de frquentation des formations aux procdures d'alerte par les personnes cls des
cellules de crise.
- 12 -
CLUSIF 2009
Scurit des logiciels / applications :

nombre de correctifs de scurit valids aprs analyse ;

taux de correctifs de scurit valids mis en uvre dans les dlais prvus.
Scurit rseau :

nombre daudits et de tests de vulnrabilit raliss sur la priode.
Disponibilit des services :

taux de disponibilit DNS, accs internet, messagerie.
- 13 -
CLUSIF 2009
3. LES DIFFERENTS USAGES DES INDICATEURS

3.1 valuer
Ces indicateurs peuvent tre rpartis dans les grandes familles suivantes :
Les indicateurs de conformit dcrivent le niveau d'exigence souhait (ou constat)

sur une mesure de scurit. Par exemple en ce qui concerne la mesure de scurit
Ralisation de sauvegardes , un indicateur de conformit de scurit peut tre la
frquence des sauvegardes ou le ratio du nombre de bandes externalises par rapport au
nombre total de bandes ;
Les indicateurs d'efficacit dcrivent l'tat du fonctionnement de la mesure de
scurit. Sur le mme exemple de la Ralisation de sauvegardes , un nombre lev de
tests de restaurations dfectueux peut dmontrer un mauvais fonctionnement des
sauvegardes ;
Les indicateurs d'efficience visent rapprocher l'efficacit de la mesure de scurit
au regard de l'importance des moyens mis en uvre.
3.2 Piloter
Toute activit (production, projet, processus, etc.) implique la dtermination dindicateurs de
pilotage. Ces derniers permettent :

dapprcier l'avancement correct du projet ;

dvaluer une situation ;

de dtecter un risque ;

de dclencher une alerte.
Le choix des indicateurs peut dpendre des objectifs de lactivit (cots, dlais, performance,
etc.) mais aussi tre li des processus transverses (management, support, etc.).
Nous pourrons ainsi avoir les indicateurs suivants, sur diffrentes chelles de temps, anne,
mois, semaine, jour :

nombre de machines infectes par des virus / nombre de machines ;

nombre de messages infects par des virus / nombre de messages ;

nombre de machines jour / nombre de machines ;

temps moyen et maximum de mise jour du parc ;

nombre dattaques virales identifies / bloques / excutes ;

impact de ses attaques en heures de travail perdues / financier ;

raison des infections : mise jour non effectue / scurit non applique /
malveillance ;

variation du taux dinfection et tentatives dinfection sur les 12 derniers mois ;

etc.
- 14 -
CLUSIF 2009
Ces indicateurs peuvent aussi tre lmentaires ou plus synthtiques. Par exemple,
lagrgation de certains indicateurs informatiques avec les indicateurs conomiques. Le
Ratio du nombre annuel daccords de confidentialits (NDA Non disclosure agreement)
signs par rapport au nombre de prestataires prsents dans lorganisme en est un exemple.
3.3 Communiquer
Des indicateurs sont aussi utiliss pour communiquer, en interne ou en externe. Leur nature
sera diffrente en fonction des acteurs viss, et de leur objectif de communication
(sensibiliser, faire passer des ides, justifier).
Par exemple pour communiquer autour de la lutte antivirale :

nombre dheures de travail perdues suite une attaque virale ;

variation du taux dinfection sur les douze derniers mois (justification du budget) ;

nombre dattaques virales provenant dun support externe.
3.4 S'autovaluer
Cette valuation peut tre ralise en interne par lquipe en charge de la fonction comme par
lquipe daudit ou de contrle interne.
Elle se situe par rapport un rfrentiel interne ou externe ou par rapport un objectif
arbitraire, ou rsultant dune exprience passe et dj mesure.
Les indicateurs cits comme exemple dans les paragraphes prcdents peuvent notamment
servir dans le cadre dune autovaluation.
3.5 Contribuer lobtention dune certification

Ces indicateurs servent :

apprcier lavancement dans le processus de certification ;

obtenir la certification ;

et surtout la conserver.
Sans tre obligatoire pour lobtention de la certification ISO/IEC 27001:2005, la mise en
place dindicateurs simplifie grandement le cheminement vers celle-ci.
3.6 Rpondre un audit

Les indicateurs servent informer lauditeur, justifier des mesures de scurit mises en
place et des correctifs en cours.
Les indicateurs prsents lors daudits contribuent lanalyse de risque et sapprcient par
rapport un rfrentiel externe.
- 15 -
CLUSIF 2009
4. LES TRAVAUX NORMATIFS EN COURS

(ISO/IEC 27004)
Ce document a t rdig alors que la norme ISO/IEC 27004 ntait pas stabilise (version
CD); il est toutefois permis de penser que lintrt du document justifie les travaux entrepris
ci-aprs, sous rserve de possibles volutions.
Ce projet de norme, au sein de la srie 27000, constitue un guide [ usage facultatif], de
Mesurage et mtriques , dans le cadre dun SMSI (Systme de Management de la Scurit
de lInformation) tel que dfini dans lISO/IEC 27001:2005.
Les domaines suivants sont abords :

prsentation du processus de mesurage ;

rles et responsabilits ;
conception des indicateurs ;
production et mise en forme des indicateurs ;
analyse et reporting ;
amlioration du processus de mesurage.
Une premire annexe prsente un modle comment dune fiche dindicateur (cf. Annexe A).
La seconde annexe prsente plusieurs exemples dattributs, de mtriques ou dindicateurs (cf.
Annexe B).
4.1 Concepts de mtriques

Un processus de mesure a pour but de vrifier que les objectifs de scurit, fonds notamment
sur lanalyse de risque et la conformit aux dispositions lgales et rglementaires, sont
atteints.
Il se compose de phases de collecte dinformations et danalyse. Par comparaison des
critres de dcision, ces phases permettent lobtention dinformations de scurit et
lamlioration continue du management de la scurit.
Les mesures peuvent tre lmentaires ou drives :
une mesure lmentaire1 est la valeur dun attribut obtenue par une mthode de
calcul ;

une mesure drive est la valeur issue dun traitement dune ou plusieurs mesures
lmentaires.
Pour chaque type de mesure (lmentaire ou drive) il convient de faire en sorte que des
objectifs de conformit ou de performance soient mis en vidence.
Le modle du processus de mesure propos comprend un processus de remonte de

mesures lmentaires et de mesures drives qui contribuent la fabrication dindicateurs,
lesquels seront compars individuellement leur critre de dcision. Lefficacit du systme
Une mesure lmentaire peut, dans certains cas, correspondre directement un indicateur.
- 16 -
CLUSIF 2009
de management sapprcie en comparant les rsultats issus des mesures effectues avec leurs
objectifs initiaux.
Dans le projet de norme, les prcisions suivantes sont apportes :

les objectifs du processus de mesure sont clairement tablis (valuer, fournir des
donnes, faciliter lvolution, communiquer). En revanche le primtre sur lequel
sapplique ce processus ainsi que la mthodologie dimplmentation restent linitiative
de chacun ;
limplication du management dans le processus de mesure est souligne notamment sur
son engagement, ses responsabilits et les ressources mettre en uvre ;
les diffrents rles qui devraient tre assigns par le Management concernant le
processus de mesure sont prciss : le fournisseur, le client, le collecteur, le
communicateur, le r-examinateur (cf. dfinitions dans lannexe A du prsent
document). Ces diffrents rles devront faire lobjet de procdures dhabilitation
prenant en compte les contraintes de sparation des tches et les comptences
techniques ncessaires.
4.2 Concevoir des mtriques

Des mtriques doivent tre crs pour valuer lefficacit du SMSI, contrler latteinte des
objectifs, identifier, valider et amliorer les mesures de scurit spcifiques.
Pour cela, il faut pour chaque mtrique, partir dune analyse de risque et de ltat initial :

identifier et choisir des objectifs ;

documenter et planifier lactivit de mesurage (lannexe A du prsent document
prsente un modle de fiche sur ce thme) en particulier concernant la mthode de
collecte, de stockage, darchivage, de vrification et danalyse des donnes ainsi que la
mise en place du processus de mesurage ;
dfinir les principaux acteurs et les ressources ncessaires ;
sassurer de la pertinence des mesurages qui devraient vrifier les critres SMART
(Specific, Measurable, Attainable, Repeatable, Time dependant).
4.3 Mettre en place des mtriques

La mise en place permanente de la collecte, de la conservation et de lanalyse des donnes a
pour but dassurer la comprhension et lamlioration du SMSI. Ce processus doit
accompagner les volutions du SMSI.
Cette rubrique, dans le projet de norme, constitue un guide pratique oprationnel qui prcise
les conditions de :

collecte des donnes (en spcifiant la date, lheure, le propritaire) ;

validation ;
traitement ;
diffusion ;
conservation.
- 17 -
CLUSIF 2009
Il importe que les rsultats des indicateurs servent valuer lefficacit des dispositifs de
scurit (de prvention, dtection, correction ou rcupration) en place. Dans un second
temps, cette base dindicateurs constitue permettra de soutenir un processus de dcision dans
le choix de nouveaux dispositifs.
4.4 Utiliser, communiquer et amliorer les mtriques

Lanalyse des donnes et leur interprtation consistent les rapprocher des critres de
dcision pralablement dfinis (Annexe A).
Le but de lanalyse est de pouvoir identifier les carts entre la performance attendue et celle
ralise. Les causes de non-conformit et de mauvaise performance pourront tre ainsi
identifies en fonction des dispositifs de scurit qui :

ne sont pas oprationnels ;

sont implments mais ne fonctionnement pas correctement ;
sont implments, fonctionnent correctement, mais ne couvrent pas les menaces
estimes ;
sont implments, fonctionnent correctement, mais toutes les menaces ne sont pas
couvertes.
Les conclusions des analyses devraient tre revues par toutes les parties prenantes dans le
sens stakeholders pour assurer la bonne interprtation de la donne. A cette fin, les
rsultats des analyses devraient tre suffisamment documents.
La consolidation de ces rsultats devra intervenir dans des tableaux de bord pour une
communication qui de droit.
Les mesures peuvent tre utilises diverses fins :

valuer lefficacit des dispositifs de scurit ;

critiquer les apprciations et les traitements des risques ;
dmontrer les progrs ;
se comparer au sein ou entre organisations.
4.5 Amliorer le processus de mesure

Lefficacit du processus de mesure doit tre examine priodiquement afin de lamliorer.
Nanmoins, les donnes de base doivent faire lobjet de sauvegardes rgulires et prennes
afin de pouvoir recalculer les mtriques en fonction de leurs diffrentes volutions.
Des volutions peuvent tre envisages quand lorganisation introduit de nouveaux objectifs
de mesure, points de mesure, de nouvelles mthodes ou fonctions de mesure.
Le processus de mesure devrait tre valu en termes dutilit et rexamin chaque fois que
lorganisation change. Il importe de sassurer que les mesures refltent un tat jour de la
scurit et de vrifier que les donnes sous-jacentes sont encore valides. Il est galement
important de valider la pertinence des hypothses.
Il sagit aussi dvaluer lutilit de la mesure, et le cot du processus de mesure afin de
dterminer la pertinence de sa modification ou de sa suppression.
- 18 -
CLUSIF 2009
5. CONCLUSION
LISO/IEC 27001:2005 insiste sur limportance de mesurer lefficacit des processus du
SMSI, des mesures de scurit mises en uvre et du processus de mesurage lui-mme2 .
Cependant, cette norme ne prcise pas comment mesurer cette efficacit. Elle se contente
dindiquer quune mthode est dfinir.
A cette fin, le prsent document apporte un clairage aux RSSI, auditeurs internes, acteurs du
contrle permanent et managers, dans la dfinition et la mise en uvre des indicateurs adapts
leurs exigences selon des processus qui devraient figurer dans la norme ISO/IEC 27004.
LISO/IEC 27004 est un guide qui compltera lISO/IEC 27001:2005 en fournissant des
lignes directrices et des conseils sur :

la conception,
la mise en uvre,
lanalyse et la communication des rsultats,
lamlioration du processus de mesurage dun SMSI.
Cette future norme devrait tre publie prochainement. La srie ISO/IEC 27000 a t
complte de lISO/IEC 27005:2008 et de lISO/IEC 27003 (prvue en 2009) qui traitent
respectivement de la gestion du risque et de la mise en uvre dun SMSI.
cf. clauses 0.2.c, 0.2.d, 4.2.2.d, 4.2.3.c, 4.3.1.g, 7.2.f et 7.3.e
- 19 -
CLUSIF 2009
ANNEXE A : FICHE DESCRIPTIVE

Modle de fiche descriptive dune mesure
Cette fiche est inspire de lISO/IEC FCD 27004.
Identification de la mesure
Nom de la mesure
Nom de la mesure
Identifiant de la mesure
Identifiant numrique unique spcifique lorganisme.
Objectif de la mesure
Dcrit lobjectif de la mesure de scurit mettre ou dj mise en uvre (rfrence la mesure de

scurit de lannexe A de la norme ISO 27001).
Mesure de scurit (1)
Facultatif : Dcrit la mesure de scurit mettre ou dj mise en uvre (rfrence la mesure de

scurit de lannexe A de la norme ISO 27001).
Facultatif : Dcrit d'autres mesures de scurit ( mettre ou dj mise en uvre) faisant lobjet, le cas
chant, de la mme mesure (rfrence aux mesures de scurit de lannexe A de la norme
ISO 27001).
Dfinit le but de la mesure.
R examinateur
Personne ou unit organisationnelle qui examine et valide que les critres d'valuation de la mesure
sont appropris pour vrifier l'efficacit des mesures de scurit et des processus du SMSI.
Objets du mesurage et attributs

Objet du mesurage
Objet qui doit tre mesur et qui est caractris par la mesurabilit de ses attributs. Les objets peuvent
comprendre des processus, des systmes ou des composants de systmes.
Attributs
Proprit ou caractristique dun objet qui peut tre distingue quantitativement ou qualitativement
par des moyens humains ou automatiques.
Spcification des mesures lmentaires (pour chaque mesure lmentaire [2n])

Mesures lmentaires
Une mesure lmentaire est dfinie en fonction d'un attribut et de la mthode de mesurage spcifie
pour le quantifier (par exemple, le nombre de personnel form, le nombre de sites, le cot cumul
ce jour). Au moment o la donne est collecte, une valeur est affecte une mesure lmentaire.
Mthodes de mesurage
Suite logique doprations qui permettent de quantifier un attribut selon une chelle.
Echelle
Ensemble ordonn de valeurs ou de catgories utilises pour la mesure lmentaire.
Spcification de la mesure drive

Mesure drive
Une mesure drive est la valeur issue dun traitement dune ou plusieurs mesures lmentaires.
Fonction de mesurage
Suite logique doprations qui permettent de calculer la mesure drive. Pour les mesures drives, la
fonction par laquelle les mesures drives, fondes sur des mesures lmentaires correspondantes et
la prcision cumulative rsultante, sont agrges.
Echelle
Ensemble ordonn de valeurs ou de catgories utilises pour la mesure drive.
Spcification de lindicateur
Description d'indicateur et
exemple
Prsentation d'une ou plusieurs mesures (lmentaires ou drives) qui fournit une estimation ou une
valuation d'attributs spcifis rsultant d'un modle analytique en ce qui concerne des besoins de
l'information dfinis. Un indicateur est souvent prsent laide dun graphique ou dun diagramme.
Inclure un croquis de l'indicateur.
Modle analytique
Algorithme ou calcul combinant une ou plusieurs mesures lmentaires et/ou drives avec les
critres de dcision associs.
- 20 -
CLUSIF 2009
Critre de dcision
Seuil, cible, ou modle utilis pour dterminer la ncessit d'une action ou un complment d'enqute,
ou pour dcrire le niveau de confiance dans un rsultat donn.
Interprtation d'indicateur
Description de la faon dont l'indicateur exemple (voir la figure exemple dans la description de
l'indicateur) devrait tre interprt.
Effets / impact
Dfinition des effets et de limpact issu des rsultats obtenus par la mesure.
Causes dcart
Dfinition des causes possibles lorigine dcarts des rsultats.
Valeurs positives
Dclaration expliquant si les valeurs en croissance indiquent des tendances positives (bon
rsultat) ou si les valeurs en dcroissance doivent tre considres comme des tendances
positives.
Format de restitution
Le format de la restitution devrait tre prcis et document. Il dcrit les observations que
lorganisation ou le propritaire de linformation peut vouloir sur lenregistrement. Les formats de
rapport dcriront visuellement les mesures et fourniront une explication verbale des indicateurs. Ils
devraient tre personnaliss en fonction du client de l'information (ce terme est dfini ci-aprs).
Procdure de collecte des donnes

Compltez cette section pour chaque mesure lmentaire
Frquence de collecte des
donnes
Frquence laquelle les donnes sont collectes.
Fournisseur de linformation
Personne ou unit organisationnelle qui dtient linformation pour crer les mesures lmentaires.
Celui qui va contribuer la mtrique / produire linformation pour le calcul de la mtrique.
Collecteur de linformation
Personne ou unit organisationnelle en charge de collecter, enregistrer et stocker les informations.

Celui qui va obtenir la mtrique.
Outils utiliss dans la collecte

des donnes
Liste les outils utiliss dans la collecte des donnes (par exemple, un scanner de vulnrabilit).
Conservation des donnes

collectes
Liste les outils o les donnes sont conserves aprs avoir t collectes (par exemple, une base de
donnes).
Date de collecte
Date laquelle la donne devrait tre obtenue.
Procdure denregistrement
des donnes
Dfinit la procdure denregistrement des donnes (lien vers la procdure correspondante).
Validit de la mesure
Date de rvision (date dexpiration ou de validit de renouvellement) de la mesure.
Priode danalyse
Dfinit la priode mesure.
Procdure d'analyse des donnes (pour chaque Indicateur)

Frquence de la restitution
des donnes
Frquence laquelle les donnes sont restitues (cette frquence peut tre infrieure celle de
collecte).
Communicateur de
linformation
Personne ou unit organisationnelle responsable de lanalyse de linformation et de la communication

des rsultats des mesures.
Celui qui va analyser la mtrique.
Source dinformation pour

lanalyse
Liste les sources dinformation utiles pour lanalyse de rsultats (documents, journaux, entretien,
etc.)
Outils utiliss dans lanalyse
Liste les outils utiliss pour lanalyse (par exemple, des outils statistiques).
Client de linformation
La personne ou lunit organisationnelle qui demande ou requiert les mesures pour les besoins de son
activit.
Celui qui va utiliser la mtrique.
Information complmentaire
Conseils d'analyse
Complmentaires
Fournit des conseils complmentaires sur les variations de cette mesure.
Considrations de mise en
uvre
Liste les processus ou les exigences de mise en uvre qui sont ncessaires pour la russite de la mise
en uvre.
- 21 -
CLUSIF 2009
Exemple dutilisation de la fiche
Identification de la mesure
Nom de la mesure
Revue des droits daccs des utilisateurs aux systmes et aux applications.
Identifiant de la mesure
R1-A11.2.4
A11.2.4 [27001:2005]
Objectif de la mesure de scurit

Les managers doivent, dans leur primtre, rexaminer les droits daccs des utilisateurs
intervalles rguliers par le biais dun processus formel.
Revue des accs au rseau informatique.

Mesurer le pourcentage de manager dclarant avoir effectu des contrles sur les droits daccs
utilisateurs de leur primtre, ce qui permet dvaluer :
R examinateur
la prise de conscience des managers vis--vis des risques daccs non fonds,
frauduleux ou obsoltes aux SI
limplication du management dans le processus de matrise et de gestion du risque

informatique.
Direction des Risques
Objets du mesurage et attributs

Objet du mesurage
Processus de revue des droits daccs des utilisateurs aux systmes et aux applications.
Attributs
Attestation de ralisation de revue des droits daccs des utilisateurs.
Spcification des mesures lmentaires (pour chaque mesure lmentaire [2n])

Mesures lmentaires
Existence dune attestation de ralisation de revue des droits daccs des utilisateurs par
chacun des managers.
Mthodes de mesurage
Tous les trimestres les managers enverront un email standardis au Dpartement Scurit des
SI attestant que les accs des utilisateurs ont t revus pour leur primtre.
Echelle
Numrique
Spcification de la mesure drive

Mesure drive
Taux dattestations retournes par les managers sur le trimestre tudi.
Fonction de mesurage
Taux d'attestations retournes par les managers sur le trimestre tudi = (nombre d'attestations
retournes par les managers / Total d'attestations attendues dans le trimestre) * 100
Echelle
Ratio : pourcentage
Spcification de lindicateur
Description d'indicateur et exemple
Courbe montrant lindicateur sur plusieurs priodes de restitution.
Modle analytique
Satisfaisant si : % >= 90%

Globalement satisfaisant si : 80% < % < 90%
Moyennement satisfaisant si : 70% <= % <= 80%
Insatisfaisant si : % < 70%
Critre de dcision
Seuil min 80%
Interprtation d'indicateur
Un rsultat insatisfaisant indique un manque dengagement des managers dans la gestion des
risques lis la scurit des SI.
Effets / impact
Si rsultats insatisfaisants lindicateur est remont la Direction Gnrale pour action.
- 22 -
CLUSIF 2009
Causes dcart
Les rorganisations fonctionnelles de lentreprise.
Valeurs positives
Des valeurs croissantes indiquent des tendances positives.
Format de restitution
Tableau Excel standardis.
Procdure de collecte des donnes

Compltez cette section pour chaque mesure lmentaire
Frquence de collecte des donnes
Trimestrielle
Fournisseur de linformation
Chaque manager
Collecteur de linformation
Le RSSI
Outils utiliss dans la collecte des

donnes
Mail, courrier
Conservation des donnes collectes
Rpertoire spcifique du disque rseau.
Date de collecte
Pour le 15 de chaque dbut de trimestre.
Procdure denregistrement des

donnes
E:///NOV08/R1-A11-2-4.XLS
Validit de la mesure
Annuelle
Priode danalyse
Du 1er janvier au 31 dcembre de lanne en cours
Procdure d'analyse des donnes (pour chaque Indicateur)

Frquence de la restitution des
donnes
Trimestrielle
Communicateur de linformation
Le RSSI
Source dinformation pour lanalyse
Rapports dentretiens
Outils utiliss dans lanalyse
Excel
Client de linformation
Direction des Risques
Information complmentaire
Conseils d'analyse Complmentaires
N/A
Considrations de mise en uvre
N/A
- 23 -
CLUSIF 2009
ANNEXE B : EXEMPLES DATTRIBUTS, DE

METRIQUES ET/OU DINDICATEURS
Lobjet de cette annexe est dapporter au lecteur un dbut de rflexion sur la mise en uvre
dindicateurs. Elle fournit une liste non exhaustive dattributs, de mtriques et/ou dindicateurs. Ces
lments de rflexions sont adapter au contexte de lorganisme et du primtre du SMSI.
Pour illustrer ces exemples, seuls les articles 8 Scurit lie aux ressources humaines , 9 Scurit
physique et environnementale et 15 Conformit de lannexe A de lISO/IEC 27002:2005 ont t
retenus.
Mesures de scurit de
lISO/IEC 27001 (annexe a)
Attributs, mtriques et/ou indicateurs
A.8 Scurit lie aux ressources humaines

A.8.1 Avant le recrutement
A.8.1.1 Rles et responsabilits
Taux (granulomtrie) de rles ayant un impact sur la scurit
A.8.1.2 Slection
Taux de dossiers ayant fait lobjet dune vrification des documents fournis par le
candidat
A.8.1.3 Conditions dembauche
Prsence des rgles de scurit dans le contrat de travail ou dans le rglement

intrieur
A.8.2 Pendant la dure du contrat

A.8.2.1 Responsabilits de la direction
Existence d'un plan de communication sur la scurit
A.8.2.2 Sensibilisation, qualification et formations

en matire de scurit de linformation
Nombre de personnes formes / an
A.8.2.3 Processus disciplinaire
Nombre annuel de sanctions disciplinaires

Perte annuelle due des pratiques risque
A.8.3 Fin ou modification du contrat

A.8.3.1 Responsabilits en fin de contrat
Existence dune procdure de gestion des fins de contrat
A.8.3.2 Restitution des actifs
Cot des biens non rendus en fin de mission
A.8.3.3 Retrait des droits daccs
Taux de retraits des droits hors dlai
A.9 Scurit physique et environnementale

A.9.1 Zones scurises
A.9.1.1 Primtre de scurit physique
Nombre d'actifs sensibles localiss dans des zones non scurises
A.9.1.2 Contrles physiques des accs
Nombre d'intrusions physiques identifies (y compris les dpassements d'horaires de

personnes autorises)
A.9.1.3 Scurisation des bureaux, des salles et des

quipements
Nombre annuel de disparition de biens informatiques dans les locaux
A.9.1.4 Protection contre les menaces extrieures et

environnementales
Nombre de non conformits constates lors des visites des organismes de contrle.
A.9.1.5 Travail dans les zones scurises
Nombre dcarts constats par rapport aux consignes de scurit applicables en

vigueur.
- 24 -
CLUSIF 2009
Mesures de scurit de
lISO/IEC 27001 (annexe a)
A.9.1.6 Zones daccs public, de livraison et de
chargement
Attributs, mtriques et/ou indicateurs

Nombre d'intrusions / vols / dans des aires de livraison
A.9.2 Scurit du matriel

A.9.2.1 Choix de lemplacement et protection du
matriel
Nombre d'quipements localiss dans des zones dont la scurit n'est pas cohrente
avec leur sensibilit
A.9.2.2 Services gnraux
Dure mensuelle cumule d'indisponibilit des nergies (lectricit, climatisation,

eau)
A.9.2.3 Scurit du cblage
Nombre annuel d'accidents d'origine lectrique

Ralisation de contrle annuel de conformit par des organismes indpendants
A.9.2.4 Maintenance du matriel
Taux d'quipements sensibles couverts par un contrat de maintenance adapt et

honor
A.9.2.5 Scurit du matriel hors des locaux
Nombre d'quipements mobiles disparus pendant un dplacement
A.9.2.6 Mise au rebut ou recyclage scuris(e) du

matriel
Nombre de destruction des donnes ou des quipements sensibles
A.9.2.7 Sortie d'un actif
Nombre de tentatives de sortie sans autorisation ;

Nombre de demandes dautorisation dlivres
A.15 Conformit
A.15.1 Conformit aux exigences lgales
A.15.1.1 Identification de la lgislation en vigueur
Charge annuelle de la veille rglementaire
A.15.1.2 Droits de proprit intellectuelle (DPI)
Nombre de non-conformits sur les licences
A.15.1.3 Protection des enregistrements de

lorganisme
Nombre de non-conformits constates
A.15.1.4 Protection des d nes et confidentialit des

informations relatives la vie prive
Nombre annuel de non conformits dans le traitement des donnes personnelles

(diffusions indues, refus de diffusion, )
A.15.1.5 Mesure prventive lgard du mauvais

usage des moyens de traitement de linformation
Nombre dquipements dtects comme non-conformes
A.15.1.6 Rglementation relative aux mesures

cryptographiques
Charge annuelle de la veille rglementaire spcifique
A.15.2 Conformit avec les politiques et normes de scurit et conformit technique

A.15.2.1 Conformit avec les politiques et les
normes de scurit
Nombre de non-conformits constates
A.15.2.2 Vrification de la conformit technique
Nombre de non conformits identifies lors d'audits techniques

Nombre de non-conformits aboutissant dans des actions d'amlioration
A.15.3 Prises en compte de l'audit du systme d'information

A.15.3.1 Contrles de laudit du systme
dinformation
Taux de ralisation du programme daudit
A.15.3.2 Protection des outils daudit du systme

dinformation
Nombre dincidents lis lutilisation non-autorise.
- 25 -
CLUSIF 2009
LESPRIT DE LCHANGE
CLUB DE LA SCURIT DE L'INFORMATION FRANAIS

30, rue Pierre Smard
75009 Paris
01 53 25 08 80
clusif@clusif.asso.fr
Tlchargez les productions du CLUSIF sur
www.clusif.asso.fr

CLUSIF Metriques Dans 27000

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CLUSIF Metriques Dans 27000

Transféré par

Droits d'auteur :

Formats disponibles

LES DOSSIERS TECHNIQUES

LES METRIQUES DANS LE CADRE

Groupe de Travail Srie 27000

CLUB DE LA SECURITE DE LINFORMATION FRANAIS

BNP Paribas Assurance

Ernst & Young

ainsi que les personnes ayant particip la relecture.

Les mtriques dans le cadre de la srie 27000

TABLE DES MATIERES

NOTE AUX LECTEURS ...................................................................................................................................III

LES METRIQUES ...................................................................................................................................... 6

LES TRAVAUX NORMATIFS EN COURS (ISO/IEC 27004) ........................................................... 16

PANORAMA DES REFERENTIELS ET DES BONNES PRATIQUES ................................................................. 6

ANNEXE A : FICHE DESCRIPTIVE.............................................................................................................. 20

Les mtriques dans le cadre de la srie 27000

NOTE AUX LECTEURS

Control = mesure de scurit : doit se comprendre comme un ensemble de

Measure = valeur mesure :

Security measure = mesure de scurit (voir la dfinition de Control ).

Dans ce document, le terme mesure employ seul dsigne le rsultat de laction de

Les mtriques dans le cadre de la srie 27000

1.1 Objectif de ce document

Les mtriques dans le cadre de la srie 27000

Les mtriques dans le cadre de la srie 27000

ISO/IEC 27000, Principles and Vocabulary,

Les mtriques dans le cadre de la srie 27000

Schma 1 : La srie ISO/IEC 27000

ISO/IEC 27031, Specification for ICT Readiness for Business Continuity,

ISO/IEC 27035, Information Security Incident Management.

ISO/IEC 18043, Selection, deployment and operation of intrusion detection systems

Les mtriques dans le cadre de la srie 27000

Schma 2 : La srie ISO/IEC 27000 et les autres rfrentiels

De la mme faon, les lois et les rglements concernant la scurit de l'information

Les mtriques dans le cadre de la srie 27000

Mesurage : processus dobtention dinformation relative lefficacit dun SMSI et de

Indicateur : rsultat de lapplication dun modle analytique une ou plusieurs variables

Un indicateur est la base de lanalyse et de la prise de dcision.

Mtrique : ensemble dlments permettant de fournir une valuation qualitative ou

Les mtriques dans le cadre de la srie 27000

2.3 Positionnement des mtriques dans le modle de

Collecte des paramtres et

Systmes et processus mtiers de lentit

Schma 3 : Reprsentation daprs le document ISO/IEC 27004

Exemple dans le domaine des antivirus :

Nombre de postes quips d'un antivirus : attribut

Pourcentage du nombre de postes quips sur le total : mtrique

Pourcentage de postes dont l'antivirus a t mis jour : mtrique

Les mtriques dans le cadre de la srie 27000

constater une situation dans le domaine que lon veut observer ;

mesurer l'cart entre le niveau existant et le niveau de lobjectif dfini ;

suivre l'volution des domaines grs et analyss ;

anticiper et/ou dclencher la mise en uvre de plans dactions de scurit ( partir du

communiquer partir de donnes analyses ;

piloter les projets ;

apprcier le respect des lois et rglementations ;

Dans le contexte de la mise en uvre dun SMSI et du respect du principe de la Roue de

2.4 lments pour la mise en uvre des indicateurs

tre issus des objectifs retenus dans la politique de scurit ;

Les mtriques dans le cadre de la srie 27000

Specific : il correspond ce qui est analys et met en avant la spcificit de l'attribut.

Les caractristiques de la mesure dfinies dans l'Annexe A de lactuel projet de norme

2.5 Exemples dindicateurs

Les mtriques dans le cadre de la srie 27000

Scurit des logiciels / applications :