Nombre de tentatives d'intrusion, niveau moyen de gravité des incidents de sécurité, surveillance des virus et des logiciels malveillants, métriques de temps moyen, volume de données du réseau d'entreprise.... Les responsables de la sécurité sont inondés de métriques à suivre.

Au mieux, suivre trop de métriques est une distraction qui dilue votre concentration. Au pire, elles peuvent donner une image trompeuse des performances de votre programme de cybersécurité et affecter votre capacité à prendre des décisions éclairées pour l'entreprise. Trop de métriques peuvent également confondre et submerger vos dirigeants et votre conseil d'administration.

Les RSSI, DSI et responsables de la sécurité informatique les plus efficaces sont capables de séparer le signal du bruit en se concentrant sur les bons indicateurs de performance clés et en les surveillant avec obsession. À cette fin, nous avons affiné une liste de 10 métriques et KPI qui donnent aux RSSI et aux équipes de sécurité des informations exploitables sur leurs initiatives de cybersécurité. Vous devriez choisir parmi ceux-ci les plus pertinents pour votre situation.

Métriques de cybersécurité vs KPI

Une petite parenthèse avant de plonger dans la liste des métriques et des KPI — quelle est la différence entre les métriques de cybersécurité et les KPI ?

Les KPI mesurent la performance par rapport aux objectifs stratégiques de l'entreprise. Ils aident les RSSI et autres responsables de la cybersécurité à comprendre quels aspects du programme de sécurité ont été mis en œuvre avec succès et quels domaines nécessitent une attention particulière afin qu'ils puissent prendre des décisions éclairées en matière de stratégie de cybersécurité.

Les métriques de cybersécurité fournissent des insights quantitatifs sur la performance des contrôles et des programmes de sécurité d'une organisation.

Les KPI doivent être exploitables et orientés vers les objectifs. Voici un exemple d'un KPI de cybersécurité par rapport à une métrique :

• KPI de cybersécurité : Mesurer l'efficacité de la formation à la sécurité par le biais d'un score moyen de santé de la sécurité des employés.
• Métriques de cybersécurité : taux de complétion de la formation à la sensibilisation à la sécurité, scores moyens des quiz, taux de réussite des tests de phishing, taux de reconnaissance des politiques.

Les bonnes métriques et KPI de cybersécurité sont essentiels pour mesurer les performances et répondre aux risques de manière plus efficace et efficiente. Ils fournissent une meilleure visibilité sur la manière dont les initiatives de cybersécurité ajoutent de la valeur à l'ensemble de l'entreprise. Et ils aident les RSSI et les DSI à démontrer à la direction de l'entreprise et au conseil d'administration ce qu'ils ont fait pour protéger l'intégrité et la sécurité des données à travers l'organisation.

10 métriques clés de cybersécurité à suivre en 2023

Ces dix métriques et KPI vous aideront à mesurer l'efficacité de vos contrôles et initiatives de sécurité de l'information. Avec ces métriques, vous serez bien équipé pour identifier et atténuer les risques et protéger vos actifs informationnels.

KPI de détection des menaces et de réponse aux incidents

1. Temps moyen de détection (MTTD) : Plus votre équipe détecte rapidement un incident de sécurité, plus elle pourra y répondre rapidement. Cette métrique mesure le temps moyen écoulé entre le moment où un incident se produit et le moment où il est détecté.

2. Temps moyen de réponse (MTTR) : Plus votre équipe peut réagir rapidement à un incident, mieux elle peut en contenir et en limiter l'impact. Mesurer le temps moyen qu'il faut à votre équipe pour neutraliser une menace et reprendre le contrôle des systèmes compromis peut vous aider à minimiser les dommages potentiels et à optimiser vos efforts.

3. Temps moyen de confinement (MTTC) : Combien de temps faut-il à votre équipe pour sécuriser tous les points d'extrémité et vecteurs d'attaque compromis ? Suivre cette mesure peut démontrer l'efficacité et l'efficience de votre équipe dans la réduction de l'impact d'un incident de sécurité ou d'une cyberattaque.

Concentrez-vous sur le MTTR et si vous pensez que cela a du sens, incluez plus tard le MTTD.

Indicateurs de performance (KPIs)

4. Retard et temps d'arrêt moyen : Cette mesure suit le temps moyen pendant lequel les systèmes ne sont pas opérationnels, que ce soit pour des réparations, une maintenance corrective et préventive ou des pannes de système. Selon Gartner, une seule minute d'inactivité coûte en moyenne 5 600 $ aux entreprises. La meilleure façon de réduire les risques d'inactivité et de minimiser les coûts est de suivre et d'identifier les tendances.

5. Coût moyen par incident de sécurité : Combien cela coûte-t-il de répondre et de résoudre une attaque ? Prenez en compte des facteurs tels que les coûts d'enquête et de remédiation, ainsi que la perte de productivité des employés et le temps supplémentaire. Soyez très prudent et assurez-vous que votre KPI ici est bien informé, soutenu par de bonnes données. Si vous l'inventez et que vous ne pouvez pas l'expliquer, vous perdrez de la crédibilité.

6. Nombre de systèmes avec des vulnérabilités connues ou un grand nombre de mauvaises configurations : Une compréhension approfondie des vulnérabilités au sein de votre environnement est essentielle pour identifier et atténuer les menaces. Combien de vulnérabilités sont présentes dans votre système et quelles sont les vulnérabilités critiques ? Les rapports issus de balayages de vulnérabilité réguliers, des tests de pénétration et des versions de correctifs peuvent aider à démontrer les tendances dans le nombre d'actifs exposés et prouver l'efficacité de votre gestion des vulnérabilités.

Indicateurs de préparation (KPIs)

7. Efficacité de la formation en sécurité : Les employés qui savent reconnaître et réagir aux menaces potentielles de cybersécurité sont essentiels pour prévenir une violation. Quelle est l'efficacité de votre formation de sensibilisation à la sécurité dans la réduction des risques humains ? Ces mesures vous aideront à comprendre ce qui fonctionne et à identifier les opportunités d'amélioration.

• Pourcentage d'employés ayant terminé la formation de sensibilisation à la sécurité au cours des 12 derniers mois et résultats des quiz
• Test de réussite des attaques de phishing

8. Rapports sur les risques de sécurité et de conformité des fournisseurs ; évaluations de sécurité : Près de 60 % des entreprises estiment avoir subi une violation de données due à l'accès d'un fournisseur. Les évaluations de sécurité des fournisseurs fournissent un aperçu global de la robustesse de la posture de sécurité d'une organisation. Suivre les évaluations de sécurité des fournisseurs avec lesquels vous collaborez peut être un moyen efficace de surveiller et de limiter votre exposition aux risques. La chaîne d'approvisionnement et les fournisseurs sont essentiels ; beaucoup ont des pratiques de sécurité des données moins qu'idéales, ce qui impacte directement et de manière significative n'importe quel programme de sécurité.

9. Cadence de correctif (et cadence de correctif des fournisseurs) : À quelle fréquence votre organisation examine-t-elle les systèmes, réseaux, appareils et applications pour des mises à jour qui corrigent les vulnérabilités de sécurité ? Un processus de correctif bien établi peut vous aider à suivre, surveiller, prioriser et limiter les vulnérabilités. Si vous ne corrigez pas, vous êtes éligible à une violation.

10. Gestion des accès : Une stratégie IAM solide impacte plusieurs aspects d'une organisation, de la sécurisation des données et de la confidentialité à la réduction des charges de travail pour les équipes IT et de sécurité des informations. En surveillant les contrôles d'accès et en limitant les accès au minimum nécessaire, vous pouvez démontrer aux parties prenantes que vous avez considérablement réduit le risque d'accès non autorisé.

• Nombre d'utilisateurs avec un niveau d'accès superutilisateur
• Temps moyen pour désactiver les identifiants des anciens employés
• Cadence d'examen de l'accès des tiers

Les audits internes de sécurité et les rapports de conformité doivent également être examinés périodiquement pour mettre à jour les éléments essentiels de votre posture de sécurité de l'information, tels que votre paysage actuel des menaces, la stratégie de gestion des risques, l'exposition aux risques des tiers, le plan de remédiation et les indicateurs de performance internes.

Rapport exécutif : donner du sens aux mesures de cybersécurité

Suivre les indicateurs qui comptent n'est qu'un élément du puzzle — il est essentiel de donner du sens à ces indicateurs pour les autres parties prenantes clés. 

Vous pouvez avoir 10 ou 15 indicateurs (ou plus) que vous suivez pour votre propre bénéfice, mais en tant que RSSI, votre travail consiste à utiliser ces indicateurs et à raconter une histoire adaptée à votre audience spécifique et qui explique pourquoi ils devraient s'en soucier. Lorsque vous vous présentez à l'équipe de direction, vous pouvez partager les six ou sept principaux indicateurs, mais lorsque vous faites rapport au conseil d'administration, vous pouvez souligner seulement deux ou trois. 

Que se soucie votre audience et comment pouvez-vous montrer l'impact de vos activités de sécurité et de conformité sur ces objectifs commerciaux clés ?

Le conseil d'administration se soucie des revenus et des bénéfices, alors utilisez vos indicateurs de rapport pour démontrer et quantifier comment vos efforts font bouger cette aiguille. Peut-être avez-vous obtenu de nouvelles certifications de sécurité ou mis en place un processus plus rapide de RFP et de questionnaires de sécurité et cela a eu un impact positif sur le nombre de clients que vous avez acquis ou la taille moyenne de vos transactions.

Lorsque vous partagez les résultats trimestriels avec l'équipe de direction, vous pourriez présenter une série de KPI qui sont des scores agrégés de divers indicateurs de sécurité et de conformité : un score de risque de vulnérabilité, un score de risque des tiers, un score de conformité de sécurité, un score de sensibilisation à la sécurité — puis démontrer comment ces scores agrégés évoluent au fil du temps et comment ils affectent la santé globale de l'organisation. 

Quoi que vous choisissiez de présenter, il doit être adapté à votre organisation et à votre audience. En tant que RSSI, il est crucial que vous puissiez traduire vos indicateurs en un récit significatif qui explique comment les programmes de sécurité, de confidentialité et de conformité ajoutent de la valeur à l'ensemble de l'entreprise.

Choisir les bons indicateurs de cybersécurité pour votre entreprise

Comme pour presque tout dans le domaine de la sécurité de l'information, il n'y a pas de réponse unique. Bien que les indicateurs énumérés ci-dessus vous donnent des informations essentielles sur la manière dont votre programme de cybersécurité fonctionne au fil du temps, les indicateurs exacts que vous choisissez de suivre dépendront de votre secteur d'activité spécifique, des réglementations, des exigences des clients et de votre profil de risque en matière de cybersécurité.

Une plateforme tout-en-un d'automatisation de la sécurité et de la confidentialité comme Secureframe facilite l'obtention d'informations significatives sur les indicateurs de performance qui comptent le plus pour vous. La surveillance continue de votre pile technologique offre une visibilité complète et des informations exploitables sur votre posture de sécurité des données et de confidentialité, et les tableaux de bord en temps réel vous donnent une image claire de votre état de conformité en un coup d'œil.

En savoir plus sur les capacités de reporting puissantes de Secureframe, ou voyez la plateforme en action en demandant une démo.