Les responsables de la sécurité doivent mesurer et suivre l'impact des efforts de cybersécurité pour identifier les domaines nécessitant une attention, démontrer la valeur aux parties prenantes, garantir un investissement continu et instaurer la confiance au sein des équipes de direction. Mais il n'existe pas de jeu de métriques standard à choisir — comment identifier les métriques adaptées aux besoins spécifiques de votre entreprise ?
Lors du Forum des RSSI d'Okta, un groupe de plus de 50 RSSI qui se réunit régulièrement pour échanger les bonnes pratiques, les responsables de la sécurité ont partagé les outils et les métriques qu'ils utilisent pour évaluer leurs programmes. Bien que leurs approches de mesure et leurs indicateurs clés de performance (KPI) spécifiques varient, chacun utilise un mélange de récits qualitatifs et de données quantitatives pour raconter une histoire convaincante sur l'efficacité et le retour sur investissement (ROI) des initiatives de cybersécurité.
Voici un aperçu complet des manières dont les responsables de la sécurité peuvent évaluer le succès de leurs programmes de sécurité, soutenu par des exemples concrets.
Métriques quantitatives : les chiffres qui conduisent au succès
Les métriques servent de pont entre l'implémentation technique et les résultats commerciaux, permettant aux responsables de la sécurité de démontrer le ROI, d'obtenir l'adhésion, de monitorer les progrès et d'établir la responsabilité. Les métriques quantitatives sont puissantes car elles fournissent des insights basés sur des données dans un langage que les décideurs comprennent.
1. Métriques de risque
Réduction des risques identifiés mesure l'efficacité avec laquelle votre équipe traite les vulnérabilités critiques de votre organisation au fil du temps. Les tendances en matière d'évaluation des risques, quant à elles, démontrent des catégories d'amélioration lors des examens annuels ou trimestriels, ce qui peut illustrer des progrès tangibles.
« Chaque année, nous réalisons une évaluation des risques et présentons les progrès dans les différentes catégories de la cybersécurité », déclare Jane Domboski, RSSI chez OneMain Financial, une entreprise qui offre un accès responsable au crédit « Être en mesure de présenter au conseil d'administration les tendances au fil du temps a été très utile pour expliquer la valeur de ce que nous faisons. »
2. Métriques opérationnelles
Le délai moyen de détection (MTTD) et le délai moyen de réponse (MTTR) monitorent la rapidité et l'efficacité de la détection et de l'atténuation des menaces lorsqu'elles surviennent. La réduction du MTTD et du MTTR au fil du temps peut indiquer un programme de sécurité en maturation. Le temps moyen de confinement (MTTC), ou le temps moyen nécessaire pour arrêter la propagation d'une menace, est une autre métrique que les responsables de la sécurité devraient s'efforcer de réduire afin de minimiser les dommages potentiels causés par les menaces. Le temps moyen entre les défaillances (MTBF) est souvent utilisé pour mesurer la fiabilité d'un système.
La cadence de correction des vulnérabilités mesure la rapidité avec laquelle votre équipe applique les correctifs aux vulnérabilités critiques par rapport aux normes du secteur. Parallèlement, les métriques de réduction des incidents surveillent la diminution des incidents de sécurité (en particulier les incidents de gravité moyenne et élevée) au fil du temps.
« La cyber-résilience ne consiste pas seulement à se remettre d'un événement », déclare Ken Collins, directeur principal de la sécurité de l'information chez Sunbelt Rentals, une entreprise nord-américaine de location d'équipements et d'outils. « Il s'agit de s'assurer que votre entreprise peut continuer à remplir sa mission même face à l'adversité, grâce à la préparation et à des attentes bien définies. »
3. Métriques de prestation de services
La mesure du service level agreement (SLA) aide à garantir que vous fournissez des services de sécurité aux parties prenantes dans les délais convenus. Il est tout aussi important de mesurer les métriques d'impact sur l'activité, tels que la capacité de votre équipe à éviter les pannes d'application ou de réseau lors des déploiements de sécurité.
Chez Kyndryl, un fournisseur d'infrastructure informatique, le RSSI Cory Musselman déclare qu'il s'agit d'un équilibre. « Nous avons mis au point un « tableau de bord d'équilibre cyber » pour mesurer nos indicateurs clés de performance chaque trimestre, afin de pouvoir montrer à la haute direction et au conseil d'administration que nous exécutons notre plan. » « Du point de vue de l'expérience client, cela signifie évaluer dans quelle mesure nous respectons nos SLA sans introduire de perturbations. »
4. Métriques de Formation à la sensibilisation à la sécurité
Les métriques de Formation de sensibilisation à la sécurité aident à évaluer l'élément humain de votre programme de sécurité en mesurant l'efficacité avec laquelle les employés intériorisent les bonnes pratiques de sécurité et les appliquent dans des scénarios réels. S'assurer que votre personnel reste vigilant et bien informé sur les menaces potentielles est un élément essentiel pour réduire les risques. Cela peut inclure les taux d'achèvement des programmes de Formation à la sécurité ; les scores d'évaluation de la Formation de sensibilisation ; les taux de clics de simulation de phishing, qui monitorent le pourcentage d'employés qui cliquent sur des liens de phishing simulés ; et les taux de signalement de phishing.
« Les programmes de sensibilisation à la sécurité devraient mettre l'accent sur le reporting des activités suspectes plutôt que sur la sanction des erreurs », déclare Collins « Nous avons constaté que le fait de “see something, say something” augmente les taux de reporting, ce qui réduit les risques à l’échelle des Organizations. »
5. Métriques financières
Les métriques financières peuvent également être utilisées pour mesurer le succès de votre programme de sécurité. Par exemple, le calcul du coût des incidents peut démontrer les économies réalisées grâce à des mesures de sécurité proactives. La mesure du ROI permettra également de quantifier comment des outils ou des processus spécifiques ont amélioré les résultats en matière de sécurité par rapport à leur coût d'implémentation.
Métriques qualitatives : construire le récit
Alors que les métriques quantitatives fournissent des données concrètes, les mesures qualitatives aident à raconter l'histoire derrière les chiffres. Ils contextualisent les efforts de sécurité, en mettant l'accent sur les domaines où des améliorations moins tangibles génèrent néanmoins une valeur organisationnelle significative.
1. Alignement avec les frameworks
De nombreux RSSI utilisent des frameworks de cybersécurité tels que le NIST Cybersecurity Framework (CSF) comme un guide pour évaluer la maturité globale du programme. Bien qu'il ne s'agisse pas d'une certification ou d'un framework officiel, le CSF fournit une approche standardisée de la cybersécurité, contribuant à instaurer la confiance parmi les parties prenantes. Pour prouver la valeur continue d'un framework donné, les équipes doivent régulièrement associer leurs initiatives sur ses piliers centraux, tels que la capacité à identifier, protéger, détecter, répondre et récupérer.
« Au début, le succès ressemble à l'adhésion à certains standards de conformité ou à la gestion des risques identifiés dans les audits externes », déclare Collins. « Mais dans un programme mature, ces éléments deviennent votre référence, et le succès évolue pour aborder les menaces avancées par l'efficacité opérationnelle plutôt que par l'héroïsme. »
2. Avis des parties prenantes
Pour optimiser vos programmes de cybersécurité pour l'avenir, recueillez les retours des autres entités et des parties prenantes. Dans quelle mesure votre programme favorise-t-il une culture de sensibilisation à la sécurité ? Comment supporte-t-il l'accessibilité des données, la disponibilité du système ou la correction rapide des menaces ? La recherche active et la prise en compte de ces commentaires témoignent d'un engagement envers la collaboration et l'amélioration continue.
« Un PDG qui dit 'bon travail' est également une métrique importante », déclare Collins. « Cela reflète la confiance dans votre travail et indique que votre programme de sécurité trouve un écho auprès des priorités commerciales de la direction. »
3. Métriques de talent
Les CISOs intègrent les performances et le bien-être de leur équipe dans leur stratégie globale pour mesurer le succès de leurs programmes de sécurité. Les métriques importantes à suivre dans ce domaine incluent la fidélisation des employés et l'expérience des employés pour garantir que les membres critiques de l'équipe restent engagés. En outre, les CISO doivent suivre les gains d'efficacité pour déterminer si les membres de l'équipe moins expérimentés disposent des outils nécessaires pour contribuer plus efficacement.
Comme le dit Musselman, « Du côté des talents en cybersécurité, nous examinons la fidélisation, la diversité et l'expérience des employés, car une équipe solide et engagée est au cœur de tout ce que nous faisons. »
Des métriques aux actions
Mesurer et communiquer les réussites de votre programme de sécurité est essentiel pour obtenir l'adhésion, prouver la valeur et identifier les domaines à améliorer — autant d'éléments qui peuvent amplifier le succès de votre programme, dans une boucle de feedback. Assurez-vous d'aligner vos métriques avec les objectifs commerciaux plus larges, d'utiliser des outils tels que les tableaux de bord équilibrés et d'employer des framework comme NIST pour orienter votre stratégie.
Si vous débutez, il est acceptable de commencer petit. « Commencez par quelque chose de simple », dit Collins. « Même une seule métrique peut vous donner une base. » Assurez-vous de sa fiabilité avant de vous développer. « Essayer de mettre en place 15 métriques à la fois vous donnera du bruit, pas des informations. »
En combinant des données concrètes avec des récits convaincants, vous pouvez mesurer efficacement le succès de votre programme tout en apportant des améliorations continues au fil du temps.
Comme le dit Collins, « La cohérence, la clarté et la communication sont essentielles. » « Parlez leur langue, montrez votre travail et ne vous contentez pas de mesurer votre programme — mesurez son impact. »
Pour plus d'informations, consultez notre guide destiné aux RSSI sur la manière de prouver le ROI de la cybersécurité.
