Vous êtes sur la page 1sur 28

LES DOSSIERS TECHNIQUES

LES METRIQUES DANS LE CADRE


DE LA SERIE 27000

mai 2009

Groupe de Travail Srie 27000

CLUB DE LA SECURITE DE LINFORMATION FRANAIS


30, rue Pierre Smard, 75009 PARIS
Tl. : +33 1 53 25 08 80 Fax : +33 1 53 25 08 88 e-mail : clusif@clusif.asso.fr
Web : http://www.clusif.asso.fr

La loi du 11 mars 1957 n'autorisant, aux termes des alinas 2 et 3 de l'article 41, d'une part, que les "copies ou reproductions strictement
rserves l'usage priv du copiste et non destines une utilisation collective" et, d'autre part, que les analyses et les courtes citations dans
un but d'exemple et d'illustration, "toute reprsentation ou reproduction intgrale, ou partielle, faite sans le consentement de l'auteur ou de
ayants droit ou ayants cause est illicite" (alina 1er de l'article 40)
Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait donc une contrefaon sanctionne par les articles 425 et
suivants du Code Pnal

REMERCIEMENTS
Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la ralisation de
ce document, tout particulirement :

Nicolas ANDREU

Devoteam

Rgis BOURDONNEC

BNP Paribas Assurance

Anne COAT

SEKOIA SAS

Henri CODRON

SCHINDLER

Jean-Marc DELTEIL

France Telecom

Frdric HUYNH

Ernst & Young

Franois JOLIVET

Socit Gnrale

Laurent MARECHAL

Hapsis

Fred MESSIKA

SEKOIA SAS

Grard REMY

Devoteam

Paul RICHY

France Telecom

Herv SCHAUER

HSC

ainsi que les personnes ayant particip la relecture.

Les mtriques dans le cadre de la srie 27000

-I-

CLUSIF 2009

TABLE DES MATIERES

NOTE AUX LECTEURS ...................................................................................................................................III


1.

INTRODUCTION ....................................................................................................................................... 4
1.1
1.2

2.

LES METRIQUES ...................................................................................................................................... 6


2.1
2.2
2.3
2.4
2.5

3.

VALUER ............................................................................................................................................ 14
PILOTER .............................................................................................................................................. 14
COMMUNIQUER .................................................................................................................................. 15
S'AUTOEVALUER ................................................................................................................................. 15
CONTRIBUER A LOBTENTION DUNE CERTIFICATION.......................................................................... 15
REPONDRE A UN AUDIT ....................................................................................................................... 15

LES TRAVAUX NORMATIFS EN COURS (ISO/IEC 27004) ........................................................... 16


4.1
4.2
4.3
4.4
4.5

5.

PANORAMA DES REFERENTIELS ET DES BONNES PRATIQUES ................................................................. 6


TERMINOLOGIE ..................................................................................................................................... 9
POSITIONNEMENT DES METRIQUES DANS LE MODELE DE FONCTIONNEMENT ...................................... 10
LEMENTS POUR LA MISE EN UVRE DES INDICATEURS...................................................................... 11
EXEMPLES DINDICATEURS ................................................................................................................. 12
LES DIFFERENTS USAGES DES INDICATEURS ............................................................................ 14

3.1
3.2
3.3
3.4
3.5
3.6
4.

OBJECTIF DE CE DOCUMENT.................................................................................................................. 4
LECTORAT ............................................................................................................................................ 5

CONCEPTS DE METRIQUES................................................................................................................... 16
CONCEVOIR DES METRIQUES............................................................................................................... 17
METTRE EN PLACE DES METRIQUES .................................................................................................... 17
UTILISER, COMMUNIQUER ET AMELIORER LES METRIQUES ................................................................. 18
AMELIORER LE PROCESSUS DE MESURE .............................................................................................. 18

CONCLUSION .......................................................................................................................................... 19

ANNEXE A : FICHE DESCRIPTIVE.............................................................................................................. 20


MODELE DE FICHE DESCRIPTIVE DUNE MESURE ............................................................................................... 20
EXEMPLE DUTILISATION DE LA FICHE .............................................................................................................. 22
ANNEXE B : EXEMPLES DATTRIBUTS, DE METRIQUES ET/OU DINDICATEURS...................... 24

Les mtriques dans le cadre de la srie 27000

- II -

CLUSIF 2009

NOTE AUX LECTEURS


La langue anglaise comprend plusieurs mots control , measure , measurement ,
security measure qui se traduisent gnralement en franais par le mot mesure ; il
convient donc de prciser le primtre et la dfinition retenue pour chacun de ces mots dans la
suite du document, afin dviter les ambiguts de traduction. Ainsi, pour la suite, nous
utilisons les correspondances suivantes :

Control = mesure de scurit : doit se comprendre comme un ensemble de


dispositions mettre en uvre. Ce sont les mesures prendre pour mettre en uvre
une politique de scurit ; Control ne se rattache donc pas directement la notion de
mtrique ;

Measure = valeur mesure :


est dfini comme la valeur de la mesure ; il
sagit donc dune valeur quantitative, rsultat de la mesure de la mesure de scurit ;

Measurement = mesurage : est explicit dans le glossaire (cf. 2.2), comme tant le
processus de mesurage ; il sagit un niveau, soit lmentaire, soit plus global de la
mise en uvre de mtriques ; measurement couvre donc la dfinition, le choix,
le dploiement et lvaluation dindicateurs.

Security measure = mesure de scurit (voir la dfinition de Control ).

Dans ce document, le terme mesure employ seul dsigne le rsultat de laction de


mesurer et ne correspond donc pas mesure de scurit .

___

Les mtriques dans le cadre de la srie 27000

- III -

CLUSIF 2009

1. INTRODUCTION
Lun des objectifs suivis lors de la mise en uvre, au sein dun organisme, dune politique de
scurit du systme dinformation est dapporter ou de renforcer la confiance en celui-ci.
Cette confiance traduit lune des exigences des diffrents acteurs (internautes, clients,
fournisseurs, actionnaires, ) ou de lorganisme lui-mme (entreprise, administration, ONG,
tiers de confiance, ...) lors dune transaction commerciale, du dveloppement de son activit,
pour la conservation de donnes numriques,
La notion de niveau de scurit est souvent utilise, par abus de langage, pour
talonner cette confiance. Cela pour signifier que lon veut tre sr de son SI, ou pour
garantir que des mesures de scurit ont t mises en uvre et quelles permettent de
rduire lexposition aux risques un niveau acceptable .
Lapprciation de latteinte des objectifs de scurit ainsi que la pondration affecter aux
diffrentes thmatiques de scurit (plan de continuit, scurit physique des infrastructures,
gestion des identits, ) demeurent des questions dactualit. Il est difficile dindiquer parmi
diffrentes mesures de scurit dployes celles qui auront le plus de valeur ajoute sur le
niveau de protection du systme dinformation.
La confiance accorde la scurit du systme dinformation se mesure notamment par
rapport une politique, constitue par des processus et des objectifs, suivant une dmarche
formalise pour les atteindre. Le respect de ces conditions permet de se positionner dans une
perspective de matrise du systme de management de la scurit de linformation (SMSI) ou
dvaluation des mesures de scurit mises en place.
La norme ISO/IEC 27004 fournit une rponse structure et normalise pour mesurer la
performance dun SMSI dans le cadre de lISO/IEC 27001:2002.

1.1 Objectif de ce document


Lors de ses prcdents travaux sur les normes de la srie 27000, le CLUSIF a dvelopp de
quelle manire :
la norme ISO/IEC 27001:2005 permet le Management de la scurit de l'information
par une approche normative ;

la norme ISO/IEC 27002:2005 fournit les mesures de scurit permettant de rpondre
ses exigences.
Lobjectif de ce document est de prsenter au lecteur, des concepts gnraux pouvant tre
utiliss pour dfinir des indicateurs et une mtrique permettant les mesurages (voir
dfinition au 2.2) du systme de management de la scurit de linformation.


Ce document ne porte pas de jugement sur la qualit de la norme. Ce nest pas non plus un
document sur la mtrologie ou llaboration de tableaux de bord. Il traite des fondamentaux
sur les mtriques et leurs utilisations, afin de mieux apprhender le contenu de la norme
ISO/IEC 27004.
Enfin, les annexes proposeront diffrents exemples de mtriques selon lISO/IEC 27004 qui
permettraient le mesurage dun SMSI norm par lISO/IEC 27001:2005.

Les mtriques dans le cadre de la srie 27000

-4-

CLUSIF 2009

1.2 Lectorat
Les documents du CLUSIF sont gnralement destination des RSSI et des DSI.
Llargissement du primtre au mesurage de lensemble du SMSI nous incite proposer une
cible sensiblement plus large incluant tous les professionnels de la scurit de linformation,
mais aussi toutes les entits de contrle permanent ou de gestion des risques.
Comme tout texte, lutilit de la norme doit tre value en fonction du contexte de mise en
uvre. Ce document ayant t rdig plus particulirement pour un public de non-initis
afin de leur permettre de mieux apprhender le contenu de la norme, les personnes au fait de
cette dernire ny trouveront peut tre pas de dveloppement nouveau.

Les mtriques dans le cadre de la srie 27000

-5-

CLUSIF 2009

2. LES METRIQUES
2.1 Panorama des rfrentiels et des bonnes pratiques
La norme ISO/IEC 27002:2005, connue prcdemment sous la rfrence
ISO/IEC 17799:2005 a pour titre Code of practice for information security management .
Elle met l'accent sur le fait que, dsormais, l'information est une ressource essentielle de
l'entreprise ; c'est--dire que linformation, au mme titre que d'autres actifs, doit tre prise en
considration, value et protge.
La scurit de l'information vise entre autres garantir la continuit de lactivit, rduire les
risques, optimiser le retour sur investissements ainsi que les opportunits d'action pour
l'organisme.
Cette norme traduit une volution tendancielle des normes traitant de la scurit de
l'information. Au dpart, il y a une quinzaine d'annes, ces normes taient plutt techniques et
contenaient surtout des prescriptions relatives aux systmes ou aux rseaux informatiques.
Vers le milieu des annes 90, des travaux d'origine britannique ont conduit laborer des
documents dont le champ s'tendait aux systmes d'information et orients vers les
responsabilits managriales et l'organisation des entreprises.
Le plus connu de ces documents est le standard britannique BS 7799 dont la partie 1 (Code of
practice for information security management) a servi de base l'ISO/IEC 27002
(anciennement ISO/IEC 17799), et la partie 2 a servi de base l'ISO/IEC 27001, dans laquelle
on trouve la notion de SMSI (Systme de Management de la Scurit de lInformation).
Lors d'une runion de l'ISO, il a t dcid de regrouper les principales normes traitant du
SMSI dans une srie ISO/IEC 27000 un peu comme la qualit fait l'objet de la srie
ISO 9000 ou l'environnement de la srie ISO 14000 . Il est dailleurs noter que ces trois
familles de normes sont cohrentes entre elles quant lapproche managriale et
organisationnelle des thmes traits. Il est prvu de disposer terme des normes suivantes
(liste non limitative) :








ISO/IEC 27000, Principles and Vocabulary,


ISO/IEC 27001, Information Security Management Systems Requirements, base sur
la BS 7799-2 et oriente vers la certification,
ISO/IEC 27002, Code of practice for Information Security Management, anciennement
ISO/IEC 17799,
ISO/IEC 27003, ISMS Implementation,
ISO/IEC 27004, ISMS, Measurements and metrics,
ISO/IEC 27005, ISMS, Information security risk management,
ISO/IEC 27006, Information technology Security techniques Requirements for
bodies providing audit and certification of information security management systems.

Les mtriques dans le cadre de la srie 27000

-6-

CLUSIF 2009

2005-2010

Exigences
usage obligatoire
dans la certification

2007

ISO 27001
SMSI

ISO 27006
Certification de SMSI

2010

2009

ISO 27000
Vocabulaire

ISO 27007
Audit de SMSI

Guides
usage facultatif

2005-2010

2008

ISO 27002
Mesures de scurit

ISO 27005
Gestion de risque

ISO 27001
2009

2009

ISO 27003
Implmentation

ISO 27004
Indicateurs SMSI

Schma 1 : La srie ISO/IEC 27000

Bien sr, d'autres normes techniques continueront de traiter de la scurit des systmes
d'informations. En particulier, nous pouvons mentionner :

ISO/IEC 27031, Specification for ICT Readiness for Business Continuity,


ISO/IEC 27032, Guidelines for Cybersecurity,
ISO/IEC 27033, de 1 8, IT network security (ex : ISO/IEC 18028),
ISO/IEC 27034, Guidelines for Application Security,

ISO/IEC 27035, Information Security Incident Management.

ISO/IEC 18043, Selection, deployment and operation of intrusion detection systems


(IDS).





D'autres rfrentiels, eux aussi en cours d'volution, sont susceptibles d'tre utiliss pour
amliorer la scurit de l'information. Ils peuvent ainsi se trouver en concurrence avec tout ou
partie des normes prcites. Ils peuvent aussi introduire de nouvelles contraintes qui seront
prendre en compte dans leur mise en uvre.
Le plus connu est le CoBIT (Control Objectives of Information and related Technology),
labor par l'ISACA (Information Systems Audit and Control Association). Il convient
galement de mentionner les documents manant du COSO (Committee of Sponsoring
Organisations of the Treadway Commission) ou de diffrents organismes gouvernementaux
(NIST aux USA, DTI au Royaume Uni, ).

Les mtriques dans le cadre de la srie 27000

-7-

CLUSIF 2009

ISO 27002
Bonnes pratiques

ISO 27001

ISO 27005
Apprciation des
risques

ITIL

SAS 70

Production

ISO 27001
Moteur de base

CMMI
Dveloppements

PCI-DSS

CoBIT
Gouvernance

ISO 27004
Indicateurs

Tout autre
rfrentiel
scurit

Schma 2 : La srie ISO/IEC 27000 et les autres rfrentiels

De la mme faon, les lois et les rglements concernant la scurit de l'information


(informations nominatives, gestion de l'identit, rtention de donnes, chiffrement, ) sont
actuellement en volution dans la plupart des pays.
De nouvelles conditions de traitement, de conservation ou de destruction des informations
sont ainsi mettre en uvre de faon imprative et de faon d'autant plus complexe que les
mesures de scurit peuvent varier d'un pays l'autre.
Des impratifs lgislatifs ou sectoriels peuvent aussi voir le jour et entraner des consquences
importantes. Par exemple la loi Sarbanes-Oxley Act pour les entreprises cotes sur les
marchs amricains, la Loi sur la Scurit Financire pour les entreprises franaises, Ble II
pour les tablissements financiers ou Solvency II pour les assurances.

Les mtriques dans le cadre de la srie 27000

-8-

CLUSIF 2009

2.2 Terminologie
Le terme mtrique nexiste pas dans la langue franaise au sens o il est utilis dans ce
document.
Le terme anglais metrics (a system of related measures that facilitates the quantification of
some particular characteristic) est utilis pour mtrologie, parfois traduit par mtrique.
Pour mmoire, la mtrologie est la science qui s'intresse aux cts thoriques et pratiques de
la mesure, dans tous les domaines de la science et de la technologie. Plus spcifiquement, la
mtrologie touche l'utilisation des units, la ralisation des talons, les mthodes, les
techniques et les appareils de mesure, ainsi que la prcision obtenue.
Les diffrentes normes en rapport avec le sujet fournissent les dfinitions suivantes :


Attribut : proprit ou caractristique dun objet qui peut tre distingu quantitativement
ou qualitativement par des moyens humains ou automatiques [ISO/IEC 15939:2007]

Mesurage : processus dobtention dinformation relative lefficacit dun SMSI et de


mesures de scurit, laide dune mthode dvaluation, dune fonction dvaluation,
dun modle analytique et de critres de dcision [ISO/IEC 27004]

Indicateur : rsultat de lapplication dun modle analytique une ou plusieurs variables


en relation avec les critres de dcision ou un besoin dinformation. [ISO/IEC 27004]

Un indicateur est la base de lanalyse et de la prise de dcision.


Complments aux dfinitions proposes dans ce document :


Mtrique : ensemble dlments permettant de fournir une valuation qualitative ou


quantitative reprsentative dune situation.

Indicateur : donne objective qui prsente une situation du strict point de vue
quantitatif. Un indicateur est pertinent sil est directement reli une zone daction (il
indique o il faut agir). Les indicateurs peuvent tre regroups dans un tableau de bord,
outil de synthse et de visualisation des situations dcrites.

Les mtriques dans le cadre de la srie 27000

-9-

CLUSIF 2009

2.3 Positionnement des mtriques dans le modle de


fonctionnement
La figure ci-dessous positionne les termes attribut , mtrique et indicateur .

Tableau de Bord

Aide la dcision

ISMS

Interprtation

Objectifs

Indicateurs
Information quantitative ou
qualita tive positionne sur
une che lle de rf rence

Contrle

Reprsentation de la situation
Elaboration dune
reprsentation de la situation
Analyse de la situation
Traitement (calcul ou dduction)
Agrgation, consolidation

Mise
en
place

Mtriques

Mesures lmentaires

attributs

Collecte des paramtres et


variables mesurables :
les attributs
Reprsentation de la
ralit du terrain
(donnes brutes)

Systmes et processus mtiers de lentit

Schma 3 : Reprsentation daprs le document ISO/IEC 27004

Exemple dans le domaine des antivirus :




Nombre de postes quips d'un antivirus : attribut

Pourcentage du nombre de postes quips sur le total : mtrique

Nombre de postes quips d'un antivirus dont l'antivirus a t mis jour : attribut

Pourcentage de postes dont l'antivirus a t mis jour : mtrique

A partir de lexemple ci-dessus, en regroupant les deux mtriques nous pouvons constituer un
indicateur reprsentant la fois le niveau de protection viral des postes de travail et la
matrise du processus antiviral sur ces postes.

Les mtriques dans le cadre de la srie 27000

- 10 -

CLUSIF 2009

Les indicateurs, intimement lis la situation que nous voulons reprsenter peuvent tre de
nature diffrente et avoir des finalits galement diffrentes :


constater une situation dans le domaine que lon veut observer ;

mesurer l'cart entre le niveau existant et le niveau de lobjectif dfini ;

suivre l'volution des domaines grs et analyss ;

anticiper et/ou dclencher la mise en uvre de plans dactions de scurit ( partir du


franchissement dun seuil) ;

communiquer partir de donnes analyses ;

piloter les projets ;

apprcier le respect des lois et rglementations ;

auditer.

Dans le contexte de la mise en uvre dun SMSI et du respect du principe de la Roue de


Deming (cycle PDCA), les critres de choix des indicateurs doivent intgrer le souci
damlioration permanente de la scurit par la vrification de l'efficacit des mesures de
scurit valides et dployes. Ainsi, il est toujours souhaitable d'avoir en mmoire que
l'objectif d'un indicateur de scurit dans le SMSI est d'valuer l'efficacit des mesures de
scurit.
Dans la suite du document, le choix a t fait dillustrer uniquement les mthodes de mise en
uvre dindicateurs pour les SMSI. En effet, le suivi de lefficacit de tout systme de
management est ralis partir de ces indicateurs (cf. schma 3).

2.4 lments pour la mise en uvre des indicateurs


Afin de satisfaire les objectifs assigns, les indicateurs doivent respecter des conditions
particulires et tre dots de qualits spcifiques, notamment :







tre issus des objectifs retenus dans la politique de scurit ;


tre aisment quantifiables (construits partir dinformations ou de processus gnrant
des informations quantifiables) afin de permettre des comparaisons (entre systmes ou
entre priodes). Il sagit le plus souvent de pourcentage, de taux, de ratio, de moyenne
et/ou de nombres bruts ;
les informations ncessaires llaboration de la mesure doivent tre faciles obtenir
et/ou collecter. En effet, il faut sassurer que les ressources mises en uvre pour obtenir
les donnes ne sont pas disproportionnes par rapport celles concourant la ralisation
du processus mesur ;
sappuyer sur des processus stables et aisment reproductibles ;
permettre la mesure des volutions suite des actions correctives ;
tre fiables sur la dure et autoriser une analyse des carts.

Les mtriques dans le cadre de la srie 27000

- 11 -

CLUSIF 2009

Ces caractristiques sont regroupes dans certaines dmarches sous l'acronyme SMART
qui signifie :






Specific : il correspond ce qui est analys et met en avant la spcificit de l'attribut.


Measurable : il peut tre mesur et cette mesure est objective.
Attainable : il est obtenu dans des conditions satisfaisantes de cot et de dlai.
Repeatable : sa mesure est reproductible.
Time dependent : la mesure dpend de la fentre de temps utilise.

Les caractristiques de la mesure dfinies dans l'Annexe A de lactuel projet de norme


ISO/IEC 27004 doivent tre dfinies pour chaque indicateur.

2.5 Exemples dindicateurs


Quelques exemples dindicateurs sont donns ci-aprs. La liste fournie nest pas exhaustive. Il
est intressant de constater que certains indicateurs sont de nature oprationnelle ou
stratgique, voire oprationnelle et stratgique.
Contrle daccs

pourcentage dutilisateurs dont le mot de passe respecte les principes de construction ;

pourcentage de systmes accessibles depuis lextrieur et comprenant un IDS jour.
Contrle des codes malveillants :

nombre annuel d'attaques russies par dfaut de mise jour de la base virale ;

dlai de retour la normale sur attaque virale ;

frquence de mise jour de la base antivirus ;

frquence dvaluation de la conformit des politiques antivirales locales avec la
politique globale .
Mise en uvre du SMSI :

pourcentage de dclinaisons des principes de la politique de scurit de lorganisme en
procdures oprationnelles ;

nombre mensuel dincidents de scurit non rsolus ;

pourcentage de comits de pilotage de scurit tenus en accord avec le planning ;

pourcentage d'actions correctives non menes terme.
Matrise des dpenses :

dpenses lies la scurit selon diffrents critres : nombre d'alertes, d'incidents, etc.
Formation :

pourcentage du budget global de formation consacr la scurit des systmes
dinformation ;

pourcentage de participants en fonction de la population cible des sessions relatives
la scurit des systmes dinformation ;

taux de frquentation des formations aux procdures d'alerte par les personnes cls des
cellules de crise.

Les mtriques dans le cadre de la srie 27000

- 12 -

CLUSIF 2009

Scurit des logiciels / applications :



nombre de correctifs de scurit valids aprs analyse ;

taux de correctifs de scurit valids mis en uvre dans les dlais prvus.
Scurit rseau :

nombre daudits et de tests de vulnrabilit raliss sur la priode.
Disponibilit des services :

taux de disponibilit DNS, accs internet, messagerie.

Les mtriques dans le cadre de la srie 27000

- 13 -

CLUSIF 2009

3. LES DIFFERENTS USAGES DES INDICATEURS


3.1 valuer
Ces indicateurs peuvent tre rpartis dans les grandes familles suivantes :


Les indicateurs de conformit dcrivent le niveau d'exigence souhait (ou constat)


sur une mesure de scurit. Par exemple en ce qui concerne la mesure de scurit
Ralisation de sauvegardes , un indicateur de conformit de scurit peut tre la
frquence des sauvegardes ou le ratio du nombre de bandes externalises par rapport au
nombre total de bandes ;
Les indicateurs d'efficacit dcrivent l'tat du fonctionnement de la mesure de
scurit. Sur le mme exemple de la Ralisation de sauvegardes , un nombre lev de
tests de restaurations dfectueux peut dmontrer un mauvais fonctionnement des
sauvegardes ;
Les indicateurs d'efficience visent rapprocher l'efficacit de la mesure de scurit
au regard de l'importance des moyens mis en uvre.

3.2 Piloter
Toute activit (production, projet, processus, etc.) implique la dtermination dindicateurs de
pilotage. Ces derniers permettent :

dapprcier l'avancement correct du projet ;

dvaluer une situation ;

de dtecter un risque ;

de dclencher une alerte.
Le choix des indicateurs peut dpendre des objectifs de lactivit (cots, dlais, performance,
etc.) mais aussi tre li des processus transverses (management, support, etc.).
Nous pourrons ainsi avoir les indicateurs suivants, sur diffrentes chelles de temps, anne,
mois, semaine, jour :

nombre de machines infectes par des virus / nombre de machines ;

nombre de messages infects par des virus / nombre de messages ;

nombre de machines jour / nombre de machines ;

temps moyen et maximum de mise jour du parc ;

nombre dattaques virales identifies / bloques / excutes ;

impact de ses attaques en heures de travail perdues / financier ;

raison des infections : mise jour non effectue / scurit non applique /
malveillance ;

variation du taux dinfection et tentatives dinfection sur les 12 derniers mois ;

etc.

Les mtriques dans le cadre de la srie 27000

- 14 -

CLUSIF 2009

Ces indicateurs peuvent aussi tre lmentaires ou plus synthtiques. Par exemple,
lagrgation de certains indicateurs informatiques avec les indicateurs conomiques. Le
Ratio du nombre annuel daccords de confidentialits (NDA Non disclosure agreement)
signs par rapport au nombre de prestataires prsents dans lorganisme en est un exemple.

3.3 Communiquer
Des indicateurs sont aussi utiliss pour communiquer, en interne ou en externe. Leur nature
sera diffrente en fonction des acteurs viss, et de leur objectif de communication
(sensibiliser, faire passer des ides, justifier).
Par exemple pour communiquer autour de la lutte antivirale :

nombre dheures de travail perdues suite une attaque virale ;

variation du taux dinfection sur les douze derniers mois (justification du budget) ;

nombre dattaques virales provenant dun support externe.

3.4 S'autovaluer
Cette valuation peut tre ralise en interne par lquipe en charge de la fonction comme par
lquipe daudit ou de contrle interne.
Elle se situe par rapport un rfrentiel interne ou externe ou par rapport un objectif
arbitraire, ou rsultant dune exprience passe et dj mesure.
Les indicateurs cits comme exemple dans les paragraphes prcdents peuvent notamment
servir dans le cadre dune autovaluation.

3.5 Contribuer lobtention dune certification


Ces indicateurs servent :

apprcier lavancement dans le processus de certification ;

obtenir la certification ;

et surtout la conserver.
Sans tre obligatoire pour lobtention de la certification ISO/IEC 27001:2005, la mise en
place dindicateurs simplifie grandement le cheminement vers celle-ci.

3.6 Rpondre un audit


Les indicateurs servent informer lauditeur, justifier des mesures de scurit mises en
place et des correctifs en cours.
Les indicateurs prsents lors daudits contribuent lanalyse de risque et sapprcient par
rapport un rfrentiel externe.

Les mtriques dans le cadre de la srie 27000

- 15 -

CLUSIF 2009

4. LES TRAVAUX NORMATIFS EN COURS


(ISO/IEC 27004)
Ce document a t rdig alors que la norme ISO/IEC 27004 ntait pas stabilise (version
CD); il est toutefois permis de penser que lintrt du document justifie les travaux entrepris
ci-aprs, sous rserve de possibles volutions.
Ce projet de norme, au sein de la srie 27000, constitue un guide [ usage facultatif], de
Mesurage et mtriques , dans le cadre dun SMSI (Systme de Management de la Scurit
de lInformation) tel que dfini dans lISO/IEC 27001:2005.
Les domaines suivants sont abords :







prsentation du processus de mesurage ;


rles et responsabilits ;
conception des indicateurs ;
production et mise en forme des indicateurs ;
analyse et reporting ;
amlioration du processus de mesurage.

Une premire annexe prsente un modle comment dune fiche dindicateur (cf. Annexe A).
La seconde annexe prsente plusieurs exemples dattributs, de mtriques ou dindicateurs (cf.
Annexe B).

4.1 Concepts de mtriques


Un processus de mesure a pour but de vrifier que les objectifs de scurit, fonds notamment
sur lanalyse de risque et la conformit aux dispositions lgales et rglementaires, sont
atteints.
Il se compose de phases de collecte dinformations et danalyse. Par comparaison des
critres de dcision, ces phases permettent lobtention dinformations de scurit et
lamlioration continue du management de la scurit.
Les mesures peuvent tre lmentaires ou drives :
une mesure lmentaire1 est la valeur dun attribut obtenue par une mthode de
calcul ;

une mesure drive est la valeur issue dun traitement dune ou plusieurs mesures
lmentaires.
Pour chaque type de mesure (lmentaire ou drive) il convient de faire en sorte que des
objectifs de conformit ou de performance soient mis en vidence.


Le modle du processus de mesure propos comprend un processus de remonte de


mesures lmentaires et de mesures drives qui contribuent la fabrication dindicateurs,
lesquels seront compars individuellement leur critre de dcision. Lefficacit du systme

Une mesure lmentaire peut, dans certains cas, correspondre directement un indicateur.

Les mtriques dans le cadre de la srie 27000

- 16 -

CLUSIF 2009

de management sapprcie en comparant les rsultats issus des mesures effectues avec leurs
objectifs initiaux.
Dans le projet de norme, les prcisions suivantes sont apportes :





les objectifs du processus de mesure sont clairement tablis (valuer, fournir des
donnes, faciliter lvolution, communiquer). En revanche le primtre sur lequel
sapplique ce processus ainsi que la mthodologie dimplmentation restent linitiative
de chacun ;
limplication du management dans le processus de mesure est souligne notamment sur
son engagement, ses responsabilits et les ressources mettre en uvre ;
les diffrents rles qui devraient tre assigns par le Management concernant le
processus de mesure sont prciss : le fournisseur, le client, le collecteur, le
communicateur, le r-examinateur (cf. dfinitions dans lannexe A du prsent
document). Ces diffrents rles devront faire lobjet de procdures dhabilitation
prenant en compte les contraintes de sparation des tches et les comptences
techniques ncessaires.

4.2 Concevoir des mtriques


Des mtriques doivent tre crs pour valuer lefficacit du SMSI, contrler latteinte des
objectifs, identifier, valider et amliorer les mesures de scurit spcifiques.
Pour cela, il faut pour chaque mtrique, partir dune analyse de risque et de ltat initial :






identifier et choisir des objectifs ;


documenter et planifier lactivit de mesurage (lannexe A du prsent document
prsente un modle de fiche sur ce thme) en particulier concernant la mthode de
collecte, de stockage, darchivage, de vrification et danalyse des donnes ainsi que la
mise en place du processus de mesurage ;
dfinir les principaux acteurs et les ressources ncessaires ;
sassurer de la pertinence des mesurages qui devraient vrifier les critres SMART
(Specific, Measurable, Attainable, Repeatable, Time dependant).

4.3 Mettre en place des mtriques


La mise en place permanente de la collecte, de la conservation et de lanalyse des donnes a
pour but dassurer la comprhension et lamlioration du SMSI. Ce processus doit
accompagner les volutions du SMSI.
Cette rubrique, dans le projet de norme, constitue un guide pratique oprationnel qui prcise
les conditions de :






collecte des donnes (en spcifiant la date, lheure, le propritaire) ;


validation ;
traitement ;
diffusion ;
conservation.

Les mtriques dans le cadre de la srie 27000

- 17 -

CLUSIF 2009

Il importe que les rsultats des indicateurs servent valuer lefficacit des dispositifs de
scurit (de prvention, dtection, correction ou rcupration) en place. Dans un second
temps, cette base dindicateurs constitue permettra de soutenir un processus de dcision dans
le choix de nouveaux dispositifs.

4.4 Utiliser, communiquer et amliorer les mtriques


Lanalyse des donnes et leur interprtation consistent les rapprocher des critres de
dcision pralablement dfinis (Annexe A).
Le but de lanalyse est de pouvoir identifier les carts entre la performance attendue et celle
ralise. Les causes de non-conformit et de mauvaise performance pourront tre ainsi
identifies en fonction des dispositifs de scurit qui :





ne sont pas oprationnels ;


sont implments mais ne fonctionnement pas correctement ;
sont implments, fonctionnent correctement, mais ne couvrent pas les menaces
estimes ;
sont implments, fonctionnent correctement, mais toutes les menaces ne sont pas
couvertes.

Les conclusions des analyses devraient tre revues par toutes les parties prenantes dans le
sens stakeholders pour assurer la bonne interprtation de la donne. A cette fin, les
rsultats des analyses devraient tre suffisamment documents.
La consolidation de ces rsultats devra intervenir dans des tableaux de bord pour une
communication qui de droit.
Les mesures peuvent tre utilises diverses fins :





valuer lefficacit des dispositifs de scurit ;


critiquer les apprciations et les traitements des risques ;
dmontrer les progrs ;
se comparer au sein ou entre organisations.

4.5 Amliorer le processus de mesure


Lefficacit du processus de mesure doit tre examine priodiquement afin de lamliorer.
Nanmoins, les donnes de base doivent faire lobjet de sauvegardes rgulires et prennes
afin de pouvoir recalculer les mtriques en fonction de leurs diffrentes volutions.
Des volutions peuvent tre envisages quand lorganisation introduit de nouveaux objectifs
de mesure, points de mesure, de nouvelles mthodes ou fonctions de mesure.
Le processus de mesure devrait tre valu en termes dutilit et rexamin chaque fois que
lorganisation change. Il importe de sassurer que les mesures refltent un tat jour de la
scurit et de vrifier que les donnes sous-jacentes sont encore valides. Il est galement
important de valider la pertinence des hypothses.
Il sagit aussi dvaluer lutilit de la mesure, et le cot du processus de mesure afin de
dterminer la pertinence de sa modification ou de sa suppression.

Les mtriques dans le cadre de la srie 27000

- 18 -

CLUSIF 2009

5. CONCLUSION
LISO/IEC 27001:2005 insiste sur limportance de mesurer lefficacit des processus du
SMSI, des mesures de scurit mises en uvre et du processus de mesurage lui-mme2 .

Cependant, cette norme ne prcise pas comment mesurer cette efficacit. Elle se contente
dindiquer quune mthode est dfinir.
A cette fin, le prsent document apporte un clairage aux RSSI, auditeurs internes, acteurs du
contrle permanent et managers, dans la dfinition et la mise en uvre des indicateurs adapts
leurs exigences selon des processus qui devraient figurer dans la norme ISO/IEC 27004.
LISO/IEC 27004 est un guide qui compltera lISO/IEC 27001:2005 en fournissant des
lignes directrices et des conseils sur :





la conception,
la mise en uvre,
lanalyse et la communication des rsultats,
lamlioration du processus de mesurage dun SMSI.

Cette future norme devrait tre publie prochainement. La srie ISO/IEC 27000 a t
complte de lISO/IEC 27005:2008 et de lISO/IEC 27003 (prvue en 2009) qui traitent
respectivement de la gestion du risque et de la mise en uvre dun SMSI.

cf. clauses 0.2.c, 0.2.d, 4.2.2.d, 4.2.3.c, 4.3.1.g, 7.2.f et 7.3.e

Les mtriques dans le cadre de la srie 27000

- 19 -

CLUSIF 2009

ANNEXE A : FICHE DESCRIPTIVE


Modle de fiche descriptive dune mesure
Cette fiche est inspire de lISO/IEC FCD 27004.

Identification de la mesure
Nom de la mesure

Nom de la mesure

Identifiant de la mesure

Identifiant numrique unique spcifique lorganisme.

Objectif de la mesure

Dcrit lobjectif de la mesure de scurit mettre ou dj mise en uvre (rfrence la mesure de


scurit de lannexe A de la norme ISO 27001).

Mesure de scurit (1)

Facultatif : Dcrit la mesure de scurit mettre ou dj mise en uvre (rfrence la mesure de


scurit de lannexe A de la norme ISO 27001).

Mesure de scurit (2)

Facultatif : Dcrit d'autres mesures de scurit ( mettre ou dj mise en uvre) faisant lobjet, le cas
chant, de la mme mesure (rfrence aux mesures de scurit de lannexe A de la norme
ISO 27001).

Objectif de la mesure

Dfinit le but de la mesure.

R examinateur

Personne ou unit organisationnelle qui examine et valide que les critres d'valuation de la mesure
sont appropris pour vrifier l'efficacit des mesures de scurit et des processus du SMSI.

Objets du mesurage et attributs


Objet du mesurage

Objet qui doit tre mesur et qui est caractris par la mesurabilit de ses attributs. Les objets peuvent
comprendre des processus, des systmes ou des composants de systmes.

Attributs

Proprit ou caractristique dun objet qui peut tre distingue quantitativement ou qualitativement
par des moyens humains ou automatiques.

Spcification des mesures lmentaires (pour chaque mesure lmentaire [2n])


Mesures lmentaires

Une mesure lmentaire est dfinie en fonction d'un attribut et de la mthode de mesurage spcifie
pour le quantifier (par exemple, le nombre de personnel form, le nombre de sites, le cot cumul
ce jour). Au moment o la donne est collecte, une valeur est affecte une mesure lmentaire.

Mthodes de mesurage

Suite logique doprations qui permettent de quantifier un attribut selon une chelle.

Echelle

Ensemble ordonn de valeurs ou de catgories utilises pour la mesure lmentaire.

Spcification de la mesure drive


Mesure drive

Une mesure drive est la valeur issue dun traitement dune ou plusieurs mesures lmentaires.

Fonction de mesurage

Suite logique doprations qui permettent de calculer la mesure drive. Pour les mesures drives, la
fonction par laquelle les mesures drives, fondes sur des mesures lmentaires correspondantes et
la prcision cumulative rsultante, sont agrges.

Echelle

Ensemble ordonn de valeurs ou de catgories utilises pour la mesure drive.

Spcification de lindicateur
Description d'indicateur et
exemple

Prsentation d'une ou plusieurs mesures (lmentaires ou drives) qui fournit une estimation ou une
valuation d'attributs spcifis rsultant d'un modle analytique en ce qui concerne des besoins de
l'information dfinis. Un indicateur est souvent prsent laide dun graphique ou dun diagramme.
Inclure un croquis de l'indicateur.

Modle analytique

Algorithme ou calcul combinant une ou plusieurs mesures lmentaires et/ou drives avec les
critres de dcision associs.

Les mtriques dans le cadre de la srie 27000

- 20 -

CLUSIF 2009

Critre de dcision

Seuil, cible, ou modle utilis pour dterminer la ncessit d'une action ou un complment d'enqute,
ou pour dcrire le niveau de confiance dans un rsultat donn.

Interprtation d'indicateur

Description de la faon dont l'indicateur exemple (voir la figure exemple dans la description de
l'indicateur) devrait tre interprt.

Effets / impact

Dfinition des effets et de limpact issu des rsultats obtenus par la mesure.

Causes dcart

Dfinition des causes possibles lorigine dcarts des rsultats.

Valeurs positives

Dclaration expliquant si les valeurs en croissance indiquent des tendances positives (bon
rsultat) ou si les valeurs en dcroissance doivent tre considres comme des tendances
positives.

Format de restitution

Le format de la restitution devrait tre prcis et document. Il dcrit les observations que
lorganisation ou le propritaire de linformation peut vouloir sur lenregistrement. Les formats de
rapport dcriront visuellement les mesures et fourniront une explication verbale des indicateurs. Ils
devraient tre personnaliss en fonction du client de l'information (ce terme est dfini ci-aprs).

Procdure de collecte des donnes


Compltez cette section pour chaque mesure lmentaire
Frquence de collecte des
donnes

Frquence laquelle les donnes sont collectes.

Fournisseur de linformation

Personne ou unit organisationnelle qui dtient linformation pour crer les mesures lmentaires.
Celui qui va contribuer la mtrique / produire linformation pour le calcul de la mtrique.

Collecteur de linformation

Personne ou unit organisationnelle en charge de collecter, enregistrer et stocker les informations.


Celui qui va obtenir la mtrique.

Outils utiliss dans la collecte


des donnes

Liste les outils utiliss dans la collecte des donnes (par exemple, un scanner de vulnrabilit).

Conservation des donnes


collectes

Liste les outils o les donnes sont conserves aprs avoir t collectes (par exemple, une base de
donnes).

Date de collecte

Date laquelle la donne devrait tre obtenue.

Procdure denregistrement
des donnes

Dfinit la procdure denregistrement des donnes (lien vers la procdure correspondante).

Validit de la mesure

Date de rvision (date dexpiration ou de validit de renouvellement) de la mesure.

Priode danalyse

Dfinit la priode mesure.

Procdure d'analyse des donnes (pour chaque Indicateur)


Frquence de la restitution
des donnes

Frquence laquelle les donnes sont restitues (cette frquence peut tre infrieure celle de
collecte).

Communicateur de
linformation

Personne ou unit organisationnelle responsable de lanalyse de linformation et de la communication


des rsultats des mesures.
Celui qui va analyser la mtrique.

Source dinformation pour


lanalyse

Liste les sources dinformation utiles pour lanalyse de rsultats (documents, journaux, entretien,
etc.)

Outils utiliss dans lanalyse

Liste les outils utiliss pour lanalyse (par exemple, des outils statistiques).

Client de linformation

La personne ou lunit organisationnelle qui demande ou requiert les mesures pour les besoins de son
activit.
Celui qui va utiliser la mtrique.

Information complmentaire
Conseils d'analyse
Complmentaires

Fournit des conseils complmentaires sur les variations de cette mesure.

Considrations de mise en
uvre

Liste les processus ou les exigences de mise en uvre qui sont ncessaires pour la russite de la mise
en uvre.

Les mtriques dans le cadre de la srie 27000

- 21 -

CLUSIF 2009

Exemple dutilisation de la fiche

Identification de la mesure
Nom de la mesure

Revue des droits daccs des utilisateurs aux systmes et aux applications.

Identifiant de la mesure

R1-A11.2.4
A11.2.4 [27001:2005]

Objectif de la mesure de scurit


Mesure de scurit (1)

Les managers doivent, dans leur primtre, rexaminer les droits daccs des utilisateurs
intervalles rguliers par le biais dun processus formel.

Mesure de scurit (2)

Revue des accs au rseau informatique.


Mesurer le pourcentage de manager dclarant avoir effectu des contrles sur les droits daccs
utilisateurs de leur primtre, ce qui permet dvaluer :

Objectif de la mesure

R examinateur

la prise de conscience des managers vis--vis des risques daccs non fonds,
frauduleux ou obsoltes aux SI

limplication du management dans le processus de matrise et de gestion du risque


informatique.

Direction des Risques

Objets du mesurage et attributs


Objet du mesurage

Processus de revue des droits daccs des utilisateurs aux systmes et aux applications.

Attributs

Attestation de ralisation de revue des droits daccs des utilisateurs.

Spcification des mesures lmentaires (pour chaque mesure lmentaire [2n])


Mesures lmentaires

Existence dune attestation de ralisation de revue des droits daccs des utilisateurs par
chacun des managers.

Mthodes de mesurage

Tous les trimestres les managers enverront un email standardis au Dpartement Scurit des
SI attestant que les accs des utilisateurs ont t revus pour leur primtre.

Echelle

Numrique

Spcification de la mesure drive


Mesure drive

Taux dattestations retournes par les managers sur le trimestre tudi.

Fonction de mesurage

Taux d'attestations retournes par les managers sur le trimestre tudi = (nombre d'attestations
retournes par les managers / Total d'attestations attendues dans le trimestre) * 100

Echelle

Ratio : pourcentage

Spcification de lindicateur
Description d'indicateur et exemple

Courbe montrant lindicateur sur plusieurs priodes de restitution.

Modle analytique

Satisfaisant si : % >= 90%


Globalement satisfaisant si : 80% < % < 90%
Moyennement satisfaisant si : 70% <= % <= 80%
Insatisfaisant si : % < 70%

Critre de dcision

Seuil min 80%

Interprtation d'indicateur

Un rsultat insatisfaisant indique un manque dengagement des managers dans la gestion des
risques lis la scurit des SI.

Effets / impact

Si rsultats insatisfaisants lindicateur est remont la Direction Gnrale pour action.

Les mtriques dans le cadre de la srie 27000

- 22 -

CLUSIF 2009

Causes dcart

Les rorganisations fonctionnelles de lentreprise.

Valeurs positives

Des valeurs croissantes indiquent des tendances positives.

Format de restitution

Tableau Excel standardis.

Procdure de collecte des donnes


Compltez cette section pour chaque mesure lmentaire
Frquence de collecte des donnes

Trimestrielle

Fournisseur de linformation

Chaque manager

Collecteur de linformation

Le RSSI

Outils utiliss dans la collecte des


donnes

Mail, courrier

Conservation des donnes collectes

Rpertoire spcifique du disque rseau.

Date de collecte

Pour le 15 de chaque dbut de trimestre.

Procdure denregistrement des


donnes

E:///NOV08/R1-A11-2-4.XLS

Validit de la mesure

Annuelle

Priode danalyse

Du 1er janvier au 31 dcembre de lanne en cours

Procdure d'analyse des donnes (pour chaque Indicateur)


Frquence de la restitution des
donnes

Trimestrielle

Communicateur de linformation

Le RSSI

Source dinformation pour lanalyse

Rapports dentretiens

Outils utiliss dans lanalyse

Excel

Client de linformation

Direction des Risques

Information complmentaire
Conseils d'analyse Complmentaires

N/A

Considrations de mise en uvre

N/A

Les mtriques dans le cadre de la srie 27000

- 23 -

CLUSIF 2009

ANNEXE B : EXEMPLES DATTRIBUTS, DE


METRIQUES ET/OU DINDICATEURS
Lobjet de cette annexe est dapporter au lecteur un dbut de rflexion sur la mise en uvre
dindicateurs. Elle fournit une liste non exhaustive dattributs, de mtriques et/ou dindicateurs. Ces
lments de rflexions sont adapter au contexte de lorganisme et du primtre du SMSI.
Pour illustrer ces exemples, seuls les articles 8 Scurit lie aux ressources humaines , 9 Scurit
physique et environnementale et 15 Conformit de lannexe A de lISO/IEC 27002:2005 ont t
retenus.

Mesures de scurit de
lISO/IEC 27001 (annexe a)

Attributs, mtriques et/ou indicateurs

A.8 Scurit lie aux ressources humaines


A.8.1 Avant le recrutement
A.8.1.1 Rles et responsabilits

Taux (granulomtrie) de rles ayant un impact sur la scurit

A.8.1.2 Slection

Taux de dossiers ayant fait lobjet dune vrification des documents fournis par le
candidat

A.8.1.3 Conditions dembauche

Prsence des rgles de scurit dans le contrat de travail ou dans le rglement


intrieur

A.8.2 Pendant la dure du contrat


A.8.2.1 Responsabilits de la direction

Existence d'un plan de communication sur la scurit

A.8.2.2 Sensibilisation, qualification et formations


en matire de scurit de linformation

Nombre de personnes formes / an

A.8.2.3 Processus disciplinaire

Nombre annuel de sanctions disciplinaires


Perte annuelle due des pratiques risque

A.8.3 Fin ou modification du contrat


A.8.3.1 Responsabilits en fin de contrat

Existence dune procdure de gestion des fins de contrat

A.8.3.2 Restitution des actifs

Cot des biens non rendus en fin de mission

A.8.3.3 Retrait des droits daccs

Taux de retraits des droits hors dlai

A.9 Scurit physique et environnementale


A.9.1 Zones scurises
A.9.1.1 Primtre de scurit physique

Nombre d'actifs sensibles localiss dans des zones non scurises

A.9.1.2 Contrles physiques des accs

Nombre d'intrusions physiques identifies (y compris les dpassements d'horaires de


personnes autorises)

A.9.1.3 Scurisation des bureaux, des salles et des


quipements

Nombre annuel de disparition de biens informatiques dans les locaux

A.9.1.4 Protection contre les menaces extrieures et


environnementales

Nombre de non conformits constates lors des visites des organismes de contrle.

A.9.1.5 Travail dans les zones scurises

Nombre dcarts constats par rapport aux consignes de scurit applicables en


vigueur.

Les mtriques dans le cadre de la srie 27000

- 24 -

CLUSIF 2009

Mesures de scurit de
lISO/IEC 27001 (annexe a)
A.9.1.6 Zones daccs public, de livraison et de
chargement

Attributs, mtriques et/ou indicateurs


Nombre d'intrusions / vols / dans des aires de livraison

A.9.2 Scurit du matriel


A.9.2.1 Choix de lemplacement et protection du
matriel

Nombre d'quipements localiss dans des zones dont la scurit n'est pas cohrente
avec leur sensibilit

A.9.2.2 Services gnraux

Dure mensuelle cumule d'indisponibilit des nergies (lectricit, climatisation,


eau)

A.9.2.3 Scurit du cblage

Nombre annuel d'accidents d'origine lectrique


Ralisation de contrle annuel de conformit par des organismes indpendants

A.9.2.4 Maintenance du matriel

Taux d'quipements sensibles couverts par un contrat de maintenance adapt et


honor

A.9.2.5 Scurit du matriel hors des locaux

Nombre d'quipements mobiles disparus pendant un dplacement

A.9.2.6 Mise au rebut ou recyclage scuris(e) du


matriel

Nombre de destruction des donnes ou des quipements sensibles

A.9.2.7 Sortie d'un actif

Nombre de tentatives de sortie sans autorisation ;


Nombre de demandes dautorisation dlivres

A.15 Conformit
A.15.1 Conformit aux exigences lgales
A.15.1.1 Identification de la lgislation en vigueur

Charge annuelle de la veille rglementaire

A.15.1.2 Droits de proprit intellectuelle (DPI)

Nombre de non-conformits sur les licences

A.15.1.3 Protection des enregistrements de


lorganisme

Nombre de non-conformits constates

A.15.1.4 Protection des d nes et confidentialit des


informations relatives la vie prive

Nombre annuel de non conformits dans le traitement des donnes personnelles


(diffusions indues, refus de diffusion, )

A.15.1.5 Mesure prventive lgard du mauvais


usage des moyens de traitement de linformation

Nombre dquipements dtects comme non-conformes

A.15.1.6 Rglementation relative aux mesures


cryptographiques

Charge annuelle de la veille rglementaire spcifique

A.15.2 Conformit avec les politiques et normes de scurit et conformit technique


A.15.2.1 Conformit avec les politiques et les
normes de scurit

Nombre de non-conformits constates

A.15.2.2 Vrification de la conformit technique

Nombre de non conformits identifies lors d'audits techniques


Nombre de non-conformits aboutissant dans des actions d'amlioration

A.15.3 Prises en compte de l'audit du systme d'information


A.15.3.1 Contrles de laudit du systme
dinformation

Taux de ralisation du programme daudit

A.15.3.2 Protection des outils daudit du systme


dinformation

Nombre dincidents lis lutilisation non-autorise.

Les mtriques dans le cadre de la srie 27000

- 25 -

CLUSIF 2009

LESPRIT DE LCHANGE

CLUB DE LA SCURIT DE L'INFORMATION FRANAIS


30, rue Pierre Smard
75009 Paris
 01 53 25 08 80
clusif@clusif.asso.fr

Tlchargez les productions du CLUSIF sur

www.clusif.asso.fr