Académique Documents
Professionnel Documents
Culture Documents
CLUSIF Metriques Dans 27000
CLUSIF Metriques Dans 27000
mai 2009
La loi du 11 mars 1957 n'autorisant, aux termes des alinas 2 et 3 de l'article 41, d'une part, que les "copies ou reproductions strictement
rserves l'usage priv du copiste et non destines une utilisation collective" et, d'autre part, que les analyses et les courtes citations dans
un but d'exemple et d'illustration, "toute reprsentation ou reproduction intgrale, ou partielle, faite sans le consentement de l'auteur ou de
ayants droit ou ayants cause est illicite" (alina 1er de l'article 40)
Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait donc une contrefaon sanctionne par les articles 425 et
suivants du Code Pnal
REMERCIEMENTS
Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la ralisation de
ce document, tout particulirement :
Nicolas ANDREU
Devoteam
Rgis BOURDONNEC
Anne COAT
SEKOIA SAS
Henri CODRON
SCHINDLER
Jean-Marc DELTEIL
France Telecom
Frdric HUYNH
Franois JOLIVET
Socit Gnrale
Laurent MARECHAL
Hapsis
Fred MESSIKA
SEKOIA SAS
Grard REMY
Devoteam
Paul RICHY
France Telecom
Herv SCHAUER
HSC
-I-
CLUSIF 2009
INTRODUCTION ....................................................................................................................................... 4
1.1
1.2
2.
3.
VALUER ............................................................................................................................................ 14
PILOTER .............................................................................................................................................. 14
COMMUNIQUER .................................................................................................................................. 15
S'AUTOEVALUER ................................................................................................................................. 15
CONTRIBUER A LOBTENTION DUNE CERTIFICATION.......................................................................... 15
REPONDRE A UN AUDIT ....................................................................................................................... 15
5.
3.1
3.2
3.3
3.4
3.5
3.6
4.
OBJECTIF DE CE DOCUMENT.................................................................................................................. 4
LECTORAT ............................................................................................................................................ 5
CONCEPTS DE METRIQUES................................................................................................................... 16
CONCEVOIR DES METRIQUES............................................................................................................... 17
METTRE EN PLACE DES METRIQUES .................................................................................................... 17
UTILISER, COMMUNIQUER ET AMELIORER LES METRIQUES ................................................................. 18
AMELIORER LE PROCESSUS DE MESURE .............................................................................................. 18
CONCLUSION .......................................................................................................................................... 19
- II -
CLUSIF 2009
Measurement = mesurage : est explicit dans le glossaire (cf. 2.2), comme tant le
processus de mesurage ; il sagit un niveau, soit lmentaire, soit plus global de la
mise en uvre de mtriques ; measurement couvre donc la dfinition, le choix,
le dploiement et lvaluation dindicateurs.
___
- III -
CLUSIF 2009
1. INTRODUCTION
Lun des objectifs suivis lors de la mise en uvre, au sein dun organisme, dune politique de
scurit du systme dinformation est dapporter ou de renforcer la confiance en celui-ci.
Cette confiance traduit lune des exigences des diffrents acteurs (internautes, clients,
fournisseurs, actionnaires, ) ou de lorganisme lui-mme (entreprise, administration, ONG,
tiers de confiance, ...) lors dune transaction commerciale, du dveloppement de son activit,
pour la conservation de donnes numriques,
La notion de niveau de scurit est souvent utilise, par abus de langage, pour
talonner cette confiance. Cela pour signifier que lon veut tre sr de son SI, ou pour
garantir que des mesures de scurit ont t mises en uvre et quelles permettent de
rduire lexposition aux risques un niveau acceptable .
Lapprciation de latteinte des objectifs de scurit ainsi que la pondration affecter aux
diffrentes thmatiques de scurit (plan de continuit, scurit physique des infrastructures,
gestion des identits, ) demeurent des questions dactualit. Il est difficile dindiquer parmi
diffrentes mesures de scurit dployes celles qui auront le plus de valeur ajoute sur le
niveau de protection du systme dinformation.
La confiance accorde la scurit du systme dinformation se mesure notamment par
rapport une politique, constitue par des processus et des objectifs, suivant une dmarche
formalise pour les atteindre. Le respect de ces conditions permet de se positionner dans une
perspective de matrise du systme de management de la scurit de linformation (SMSI) ou
dvaluation des mesures de scurit mises en place.
La norme ISO/IEC 27004 fournit une rponse structure et normalise pour mesurer la
performance dun SMSI dans le cadre de lISO/IEC 27001:2002.
Ce document ne porte pas de jugement sur la qualit de la norme. Ce nest pas non plus un
document sur la mtrologie ou llaboration de tableaux de bord. Il traite des fondamentaux
sur les mtriques et leurs utilisations, afin de mieux apprhender le contenu de la norme
ISO/IEC 27004.
Enfin, les annexes proposeront diffrents exemples de mtriques selon lISO/IEC 27004 qui
permettraient le mesurage dun SMSI norm par lISO/IEC 27001:2005.
-4-
CLUSIF 2009
1.2 Lectorat
Les documents du CLUSIF sont gnralement destination des RSSI et des DSI.
Llargissement du primtre au mesurage de lensemble du SMSI nous incite proposer une
cible sensiblement plus large incluant tous les professionnels de la scurit de linformation,
mais aussi toutes les entits de contrle permanent ou de gestion des risques.
Comme tout texte, lutilit de la norme doit tre value en fonction du contexte de mise en
uvre. Ce document ayant t rdig plus particulirement pour un public de non-initis
afin de leur permettre de mieux apprhender le contenu de la norme, les personnes au fait de
cette dernire ny trouveront peut tre pas de dveloppement nouveau.
-5-
CLUSIF 2009
2. LES METRIQUES
2.1 Panorama des rfrentiels et des bonnes pratiques
La norme ISO/IEC 27002:2005, connue prcdemment sous la rfrence
ISO/IEC 17799:2005 a pour titre Code of practice for information security management .
Elle met l'accent sur le fait que, dsormais, l'information est une ressource essentielle de
l'entreprise ; c'est--dire que linformation, au mme titre que d'autres actifs, doit tre prise en
considration, value et protge.
La scurit de l'information vise entre autres garantir la continuit de lactivit, rduire les
risques, optimiser le retour sur investissements ainsi que les opportunits d'action pour
l'organisme.
Cette norme traduit une volution tendancielle des normes traitant de la scurit de
l'information. Au dpart, il y a une quinzaine d'annes, ces normes taient plutt techniques et
contenaient surtout des prescriptions relatives aux systmes ou aux rseaux informatiques.
Vers le milieu des annes 90, des travaux d'origine britannique ont conduit laborer des
documents dont le champ s'tendait aux systmes d'information et orients vers les
responsabilits managriales et l'organisation des entreprises.
Le plus connu de ces documents est le standard britannique BS 7799 dont la partie 1 (Code of
practice for information security management) a servi de base l'ISO/IEC 27002
(anciennement ISO/IEC 17799), et la partie 2 a servi de base l'ISO/IEC 27001, dans laquelle
on trouve la notion de SMSI (Systme de Management de la Scurit de lInformation).
Lors d'une runion de l'ISO, il a t dcid de regrouper les principales normes traitant du
SMSI dans une srie ISO/IEC 27000 un peu comme la qualit fait l'objet de la srie
ISO 9000 ou l'environnement de la srie ISO 14000 . Il est dailleurs noter que ces trois
familles de normes sont cohrentes entre elles quant lapproche managriale et
organisationnelle des thmes traits. Il est prvu de disposer terme des normes suivantes
(liste non limitative) :
-6-
CLUSIF 2009
2005-2010
Exigences
usage obligatoire
dans la certification
2007
ISO 27001
SMSI
ISO 27006
Certification de SMSI
2010
2009
ISO 27000
Vocabulaire
ISO 27007
Audit de SMSI
Guides
usage facultatif
2005-2010
2008
ISO 27002
Mesures de scurit
ISO 27005
Gestion de risque
ISO 27001
2009
2009
ISO 27003
Implmentation
ISO 27004
Indicateurs SMSI
Bien sr, d'autres normes techniques continueront de traiter de la scurit des systmes
d'informations. En particulier, nous pouvons mentionner :
D'autres rfrentiels, eux aussi en cours d'volution, sont susceptibles d'tre utiliss pour
amliorer la scurit de l'information. Ils peuvent ainsi se trouver en concurrence avec tout ou
partie des normes prcites. Ils peuvent aussi introduire de nouvelles contraintes qui seront
prendre en compte dans leur mise en uvre.
Le plus connu est le CoBIT (Control Objectives of Information and related Technology),
labor par l'ISACA (Information Systems Audit and Control Association). Il convient
galement de mentionner les documents manant du COSO (Committee of Sponsoring
Organisations of the Treadway Commission) ou de diffrents organismes gouvernementaux
(NIST aux USA, DTI au Royaume Uni, ).
-7-
CLUSIF 2009
ISO 27002
Bonnes pratiques
ISO 27001
ISO 27005
Apprciation des
risques
ITIL
SAS 70
Production
ISO 27001
Moteur de base
CMMI
Dveloppements
PCI-DSS
CoBIT
Gouvernance
ISO 27004
Indicateurs
Tout autre
rfrentiel
scurit
-8-
CLUSIF 2009
2.2 Terminologie
Le terme mtrique nexiste pas dans la langue franaise au sens o il est utilis dans ce
document.
Le terme anglais metrics (a system of related measures that facilitates the quantification of
some particular characteristic) est utilis pour mtrologie, parfois traduit par mtrique.
Pour mmoire, la mtrologie est la science qui s'intresse aux cts thoriques et pratiques de
la mesure, dans tous les domaines de la science et de la technologie. Plus spcifiquement, la
mtrologie touche l'utilisation des units, la ralisation des talons, les mthodes, les
techniques et les appareils de mesure, ainsi que la prcision obtenue.
Les diffrentes normes en rapport avec le sujet fournissent les dfinitions suivantes :
Attribut : proprit ou caractristique dun objet qui peut tre distingu quantitativement
ou qualitativement par des moyens humains ou automatiques [ISO/IEC 15939:2007]
Indicateur : donne objective qui prsente une situation du strict point de vue
quantitatif. Un indicateur est pertinent sil est directement reli une zone daction (il
indique o il faut agir). Les indicateurs peuvent tre regroups dans un tableau de bord,
outil de synthse et de visualisation des situations dcrites.
-9-
CLUSIF 2009
Tableau de Bord
Aide la dcision
ISMS
Interprtation
Objectifs
Indicateurs
Information quantitative ou
qualita tive positionne sur
une che lle de rf rence
Contrle
Reprsentation de la situation
Elaboration dune
reprsentation de la situation
Analyse de la situation
Traitement (calcul ou dduction)
Agrgation, consolidation
Mise
en
place
Mtriques
Mesures lmentaires
attributs
Nombre de postes quips d'un antivirus dont l'antivirus a t mis jour : attribut
A partir de lexemple ci-dessus, en regroupant les deux mtriques nous pouvons constituer un
indicateur reprsentant la fois le niveau de protection viral des postes de travail et la
matrise du processus antiviral sur ces postes.
- 10 -
CLUSIF 2009
Les indicateurs, intimement lis la situation que nous voulons reprsenter peuvent tre de
nature diffrente et avoir des finalits galement diffrentes :
auditer.
- 11 -
CLUSIF 2009
Ces caractristiques sont regroupes dans certaines dmarches sous l'acronyme SMART
qui signifie :
- 12 -
CLUSIF 2009
- 13 -
CLUSIF 2009
3.2 Piloter
Toute activit (production, projet, processus, etc.) implique la dtermination dindicateurs de
pilotage. Ces derniers permettent :
dapprcier l'avancement correct du projet ;
dvaluer une situation ;
de dtecter un risque ;
de dclencher une alerte.
Le choix des indicateurs peut dpendre des objectifs de lactivit (cots, dlais, performance,
etc.) mais aussi tre li des processus transverses (management, support, etc.).
Nous pourrons ainsi avoir les indicateurs suivants, sur diffrentes chelles de temps, anne,
mois, semaine, jour :
nombre de machines infectes par des virus / nombre de machines ;
nombre de messages infects par des virus / nombre de messages ;
nombre de machines jour / nombre de machines ;
temps moyen et maximum de mise jour du parc ;
nombre dattaques virales identifies / bloques / excutes ;
impact de ses attaques en heures de travail perdues / financier ;
raison des infections : mise jour non effectue / scurit non applique /
malveillance ;
variation du taux dinfection et tentatives dinfection sur les 12 derniers mois ;
etc.
- 14 -
CLUSIF 2009
Ces indicateurs peuvent aussi tre lmentaires ou plus synthtiques. Par exemple,
lagrgation de certains indicateurs informatiques avec les indicateurs conomiques. Le
Ratio du nombre annuel daccords de confidentialits (NDA Non disclosure agreement)
signs par rapport au nombre de prestataires prsents dans lorganisme en est un exemple.
3.3 Communiquer
Des indicateurs sont aussi utiliss pour communiquer, en interne ou en externe. Leur nature
sera diffrente en fonction des acteurs viss, et de leur objectif de communication
(sensibiliser, faire passer des ides, justifier).
Par exemple pour communiquer autour de la lutte antivirale :
nombre dheures de travail perdues suite une attaque virale ;
variation du taux dinfection sur les douze derniers mois (justification du budget) ;
nombre dattaques virales provenant dun support externe.
3.4 S'autovaluer
Cette valuation peut tre ralise en interne par lquipe en charge de la fonction comme par
lquipe daudit ou de contrle interne.
Elle se situe par rapport un rfrentiel interne ou externe ou par rapport un objectif
arbitraire, ou rsultant dune exprience passe et dj mesure.
Les indicateurs cits comme exemple dans les paragraphes prcdents peuvent notamment
servir dans le cadre dune autovaluation.
- 15 -
CLUSIF 2009
Une premire annexe prsente un modle comment dune fiche dindicateur (cf. Annexe A).
La seconde annexe prsente plusieurs exemples dattributs, de mtriques ou dindicateurs (cf.
Annexe B).
Une mesure lmentaire peut, dans certains cas, correspondre directement un indicateur.
- 16 -
CLUSIF 2009
de management sapprcie en comparant les rsultats issus des mesures effectues avec leurs
objectifs initiaux.
Dans le projet de norme, les prcisions suivantes sont apportes :
les objectifs du processus de mesure sont clairement tablis (valuer, fournir des
donnes, faciliter lvolution, communiquer). En revanche le primtre sur lequel
sapplique ce processus ainsi que la mthodologie dimplmentation restent linitiative
de chacun ;
limplication du management dans le processus de mesure est souligne notamment sur
son engagement, ses responsabilits et les ressources mettre en uvre ;
les diffrents rles qui devraient tre assigns par le Management concernant le
processus de mesure sont prciss : le fournisseur, le client, le collecteur, le
communicateur, le r-examinateur (cf. dfinitions dans lannexe A du prsent
document). Ces diffrents rles devront faire lobjet de procdures dhabilitation
prenant en compte les contraintes de sparation des tches et les comptences
techniques ncessaires.
- 17 -
CLUSIF 2009
Il importe que les rsultats des indicateurs servent valuer lefficacit des dispositifs de
scurit (de prvention, dtection, correction ou rcupration) en place. Dans un second
temps, cette base dindicateurs constitue permettra de soutenir un processus de dcision dans
le choix de nouveaux dispositifs.
Les conclusions des analyses devraient tre revues par toutes les parties prenantes dans le
sens stakeholders pour assurer la bonne interprtation de la donne. A cette fin, les
rsultats des analyses devraient tre suffisamment documents.
La consolidation de ces rsultats devra intervenir dans des tableaux de bord pour une
communication qui de droit.
Les mesures peuvent tre utilises diverses fins :
- 18 -
CLUSIF 2009
5. CONCLUSION
LISO/IEC 27001:2005 insiste sur limportance de mesurer lefficacit des processus du
SMSI, des mesures de scurit mises en uvre et du processus de mesurage lui-mme2 .
Cependant, cette norme ne prcise pas comment mesurer cette efficacit. Elle se contente
dindiquer quune mthode est dfinir.
A cette fin, le prsent document apporte un clairage aux RSSI, auditeurs internes, acteurs du
contrle permanent et managers, dans la dfinition et la mise en uvre des indicateurs adapts
leurs exigences selon des processus qui devraient figurer dans la norme ISO/IEC 27004.
LISO/IEC 27004 est un guide qui compltera lISO/IEC 27001:2005 en fournissant des
lignes directrices et des conseils sur :
la conception,
la mise en uvre,
lanalyse et la communication des rsultats,
lamlioration du processus de mesurage dun SMSI.
Cette future norme devrait tre publie prochainement. La srie ISO/IEC 27000 a t
complte de lISO/IEC 27005:2008 et de lISO/IEC 27003 (prvue en 2009) qui traitent
respectivement de la gestion du risque et de la mise en uvre dun SMSI.
- 19 -
CLUSIF 2009
Identification de la mesure
Nom de la mesure
Nom de la mesure
Identifiant de la mesure
Objectif de la mesure
Facultatif : Dcrit d'autres mesures de scurit ( mettre ou dj mise en uvre) faisant lobjet, le cas
chant, de la mme mesure (rfrence aux mesures de scurit de lannexe A de la norme
ISO 27001).
Objectif de la mesure
R examinateur
Personne ou unit organisationnelle qui examine et valide que les critres d'valuation de la mesure
sont appropris pour vrifier l'efficacit des mesures de scurit et des processus du SMSI.
Objet qui doit tre mesur et qui est caractris par la mesurabilit de ses attributs. Les objets peuvent
comprendre des processus, des systmes ou des composants de systmes.
Attributs
Proprit ou caractristique dun objet qui peut tre distingue quantitativement ou qualitativement
par des moyens humains ou automatiques.
Une mesure lmentaire est dfinie en fonction d'un attribut et de la mthode de mesurage spcifie
pour le quantifier (par exemple, le nombre de personnel form, le nombre de sites, le cot cumul
ce jour). Au moment o la donne est collecte, une valeur est affecte une mesure lmentaire.
Mthodes de mesurage
Suite logique doprations qui permettent de quantifier un attribut selon une chelle.
Echelle
Une mesure drive est la valeur issue dun traitement dune ou plusieurs mesures lmentaires.
Fonction de mesurage
Suite logique doprations qui permettent de calculer la mesure drive. Pour les mesures drives, la
fonction par laquelle les mesures drives, fondes sur des mesures lmentaires correspondantes et
la prcision cumulative rsultante, sont agrges.
Echelle
Spcification de lindicateur
Description d'indicateur et
exemple
Prsentation d'une ou plusieurs mesures (lmentaires ou drives) qui fournit une estimation ou une
valuation d'attributs spcifis rsultant d'un modle analytique en ce qui concerne des besoins de
l'information dfinis. Un indicateur est souvent prsent laide dun graphique ou dun diagramme.
Inclure un croquis de l'indicateur.
Modle analytique
Algorithme ou calcul combinant une ou plusieurs mesures lmentaires et/ou drives avec les
critres de dcision associs.
- 20 -
CLUSIF 2009
Critre de dcision
Seuil, cible, ou modle utilis pour dterminer la ncessit d'une action ou un complment d'enqute,
ou pour dcrire le niveau de confiance dans un rsultat donn.
Interprtation d'indicateur
Description de la faon dont l'indicateur exemple (voir la figure exemple dans la description de
l'indicateur) devrait tre interprt.
Effets / impact
Dfinition des effets et de limpact issu des rsultats obtenus par la mesure.
Causes dcart
Valeurs positives
Dclaration expliquant si les valeurs en croissance indiquent des tendances positives (bon
rsultat) ou si les valeurs en dcroissance doivent tre considres comme des tendances
positives.
Format de restitution
Le format de la restitution devrait tre prcis et document. Il dcrit les observations que
lorganisation ou le propritaire de linformation peut vouloir sur lenregistrement. Les formats de
rapport dcriront visuellement les mesures et fourniront une explication verbale des indicateurs. Ils
devraient tre personnaliss en fonction du client de l'information (ce terme est dfini ci-aprs).
Fournisseur de linformation
Personne ou unit organisationnelle qui dtient linformation pour crer les mesures lmentaires.
Celui qui va contribuer la mtrique / produire linformation pour le calcul de la mtrique.
Collecteur de linformation
Liste les outils utiliss dans la collecte des donnes (par exemple, un scanner de vulnrabilit).
Liste les outils o les donnes sont conserves aprs avoir t collectes (par exemple, une base de
donnes).
Date de collecte
Procdure denregistrement
des donnes
Validit de la mesure
Priode danalyse
Frquence laquelle les donnes sont restitues (cette frquence peut tre infrieure celle de
collecte).
Communicateur de
linformation
Liste les sources dinformation utiles pour lanalyse de rsultats (documents, journaux, entretien,
etc.)
Liste les outils utiliss pour lanalyse (par exemple, des outils statistiques).
Client de linformation
La personne ou lunit organisationnelle qui demande ou requiert les mesures pour les besoins de son
activit.
Celui qui va utiliser la mtrique.
Information complmentaire
Conseils d'analyse
Complmentaires
Considrations de mise en
uvre
Liste les processus ou les exigences de mise en uvre qui sont ncessaires pour la russite de la mise
en uvre.
- 21 -
CLUSIF 2009
Identification de la mesure
Nom de la mesure
Revue des droits daccs des utilisateurs aux systmes et aux applications.
Identifiant de la mesure
R1-A11.2.4
A11.2.4 [27001:2005]
Les managers doivent, dans leur primtre, rexaminer les droits daccs des utilisateurs
intervalles rguliers par le biais dun processus formel.
Objectif de la mesure
R examinateur
la prise de conscience des managers vis--vis des risques daccs non fonds,
frauduleux ou obsoltes aux SI
Processus de revue des droits daccs des utilisateurs aux systmes et aux applications.
Attributs
Existence dune attestation de ralisation de revue des droits daccs des utilisateurs par
chacun des managers.
Mthodes de mesurage
Tous les trimestres les managers enverront un email standardis au Dpartement Scurit des
SI attestant que les accs des utilisateurs ont t revus pour leur primtre.
Echelle
Numrique
Fonction de mesurage
Taux d'attestations retournes par les managers sur le trimestre tudi = (nombre d'attestations
retournes par les managers / Total d'attestations attendues dans le trimestre) * 100
Echelle
Ratio : pourcentage
Spcification de lindicateur
Description d'indicateur et exemple
Modle analytique
Critre de dcision
Interprtation d'indicateur
Un rsultat insatisfaisant indique un manque dengagement des managers dans la gestion des
risques lis la scurit des SI.
Effets / impact
- 22 -
CLUSIF 2009
Causes dcart
Valeurs positives
Format de restitution
Trimestrielle
Fournisseur de linformation
Chaque manager
Collecteur de linformation
Le RSSI
Mail, courrier
Date de collecte
E:///NOV08/R1-A11-2-4.XLS
Validit de la mesure
Annuelle
Priode danalyse
Trimestrielle
Communicateur de linformation
Le RSSI
Rapports dentretiens
Excel
Client de linformation
Information complmentaire
Conseils d'analyse Complmentaires
N/A
N/A
- 23 -
CLUSIF 2009
Mesures de scurit de
lISO/IEC 27001 (annexe a)
A.8.1.2 Slection
Taux de dossiers ayant fait lobjet dune vrification des documents fournis par le
candidat
Nombre de non conformits constates lors des visites des organismes de contrle.
- 24 -
CLUSIF 2009
Mesures de scurit de
lISO/IEC 27001 (annexe a)
A.9.1.6 Zones daccs public, de livraison et de
chargement
Nombre d'quipements localiss dans des zones dont la scurit n'est pas cohrente
avec leur sensibilit
A.15 Conformit
A.15.1 Conformit aux exigences lgales
A.15.1.1 Identification de la lgislation en vigueur
- 25 -
CLUSIF 2009
LESPRIT DE LCHANGE
www.clusif.asso.fr