Points clés
- La supervision des systèmes d'information n'est pas seulement un outil technique de détection des incidents — c'est un outil de pilotage de la maturité sécurité de l'organisation, utilisable par la direction générale.
- Les métriques de supervision (taux d'alertes traitées, délai de détection, taux de faux positifs, couverture des systèmes supervisés) permettent d'évaluer objectivement l'efficacité du dispositif de sécurité opérationnel.
- La direction générale qui reçoit un rapport mensuel de supervision comprend mieux l'état réel de la sécurité de son organisation que celle qui ne reçoit que des rapports de conformité ou d'audit annuels.
- NIST CSF 2.0 (fonction Govern) et ISO 27001:2022 Section 9 (évaluation de la performance) imposent un reporting régulier à la direction sur l'efficacité du SMSI, incluant les capacités de détection.
La supervision des systèmes d'information est souvent présentée à la direction comme un sujet technique opérationnel — l'affaire des équipes SOC et des équipes IT. Cette présentation sous-estime la valeur stratégique de la supervision : les données qu'elle produit permettent de mesurer objectivement l'état de la sécurité de l'organisation, d'identifier les investissements prioritaires, et de démontrer la maturité sécuritaire aux régulateurs et aux partenaires.
Présenter la supervision comme un outil de pilotage — pas seulement comme un outil technique — change la conversation avec la direction générale. Plutôt que de décrire des alertes SIEM et des règles de corrélation, le RSSI présente des métriques opérationnelles de sécurité qui permettent à la direction de comprendre l'état réel de son exposition et de prendre des décisions d'investissement éclairées.
Les métriques de pilotage pour la direction
Le Mean Time to Detect (MTTD) — délai moyen entre la survenue d'un incident et sa détection — est la métrique de supervision la plus directement actionnable pour la direction. Un MTTD élevé (plusieurs jours ou semaines) indique un risque opérationnel élevé : des attaquants qui opèrent longtemps sans être détectés. La réduction du MTTD est un objectif mesurable que la direction peut fixer aux équipes de sécurité et dont elle peut suivre la progression.
Le Mean Time to Respond (MTTR) — délai moyen entre la détection d'un incident et sa résolution — complète le MTTD. Un MTTR élevé peut indiquer un manque de ressources, de processus ou d'outils de réponse aux incidents. Ces deux métriques ensemble donnent une vision complète de la capacité de l'organisation à détecter et à contenir les incidents.
La couverture de supervision — pourcentage des systèmes critiques supervisés en temps réel — est une métrique de maturité de l'infrastructure de supervision. Un gap de couverture identifié (par exemple, les environnements cloud sont supervisés mais les équipements OT ne le sont pas) donne à la direction une base concrète pour décider d'un investissement de supervision supplémentaire.
La supervision comme preuve de conformité
Les référentiels de conformité les plus exigeants (PCI-DSS, ISO 27001, SOC 2 Type II, DORA) imposent des capacités de supervision documentées et des preuves de leur opérationnalité. Les auditeurs PCI-DSS vérifient que les logs sont collectés, que les alertes sont générées et traitées, et que les événements de sécurité sont revus périodiquement. Un SIEM bien configuré et documenté est une preuve de maturité qui simplifie les audits de conformité.
La supervision produit également des preuves forensiques documentées en cas d'incident. Une organisation qui peut démontrer aux régulateurs, lors d'une notification de violation de données, que ses capacités de supervision lui ont permis de détecter l'incident dans un délai réduit et de le contenir efficacement, se positionne en meilleure posture réglementaire qu'une organisation qui a détecté l'incident par hasard ou via une notification externe.
DORA (Digital Operational Resilience Act) impose aux entités financières de démontrer des capacités de détection des incidents ICT dans les délais définis, et de reporter les incidents significatifs aux régulateurs. Ces exigences ne peuvent être satisfaites sans des capacités de supervision documentées et opérationnelles.
Intégrer la supervision dans le reporting de gouvernance
Le reporting de supervision à la direction générale doit être traduit dans un langage de gouvernance et de risque : non pas "nous avons traité X alertes SIEM ce mois", mais "notre délai moyen de détection est de X heures, en amélioration de Y % par rapport au trimestre précédent, et nous avons identifié 3 incidents significatifs dont voici les conséquences et les mesures de remédiation".
Ce rapport doit inclure les zones de supervision non couvertes, avec une évaluation du risque associé, et des recommandations d'investissement prioritaires pour améliorer la couverture. Il doit être présenté au comité de direction et au comité d'audit trimestriellement, et au conseil d'administration annuellement dans le cadre du rapport de risques cyber.
ISO 27001:2022 Section 9.1 (Surveillance, mesure, analyse et évaluation) impose que les organisations évaluent régulièrement l'efficacité de leur SMSI, incluant leurs capacités de détection. Ces évaluations doivent être présentées à la direction dans le cadre de la revue de direction annuelle.
Goldman Sachs a développé un tableau de bord de supervision cybersécurité présenté mensuellement au comité de direction. Ce tableau de bord inclut des métriques de supervision opérationnelle (MTTD, MTTR, couverture) et des métriques de risque (incidents par vecteur, tendances d'attaques ciblant le secteur financier). La particularité du reporting Goldman Sachs est sa traduction systématique des métriques techniques en exposition financière potentielle — permettant au comité de direction de comprendre le risque en termes financiers et de prendre des décisions d'investissement informées. Cette approche est citée par Gartner comme un exemple de RSSI orienté "business risk".
L'ENISA a publié en 2023 des recommandations sur le reporting de supervision cyber aux organes de gouvernance des organisations européennes. Ces recommandations préconisent un reporting trimestriel incluant : les métriques MTTD et MTTR, la couverture de supervision par périmètre, les incidents significatifs et leurs conséquences, les tendances des menaces émergentes, et les recommandations d'investissement prioritaires. L'ENISA recommande que ce rapport soit présenté non seulement au RSSI et au DSI, mais au comité de direction et au conseil d'administration — positionnant la supervision cyber comme un instrument de gouvernance et non seulement de gestion opérationnelle.
La Monetary Authority of Singapore impose dans son TRM framework que les institutions financières maintiennent des métriques de supervision cyber présentées régulièrement au conseil d'administration. Ces métriques incluent le délai de détection des incidents, le taux de couverture des systèmes critiques, et les résultats des tests de capacité de détection. La MAS vérifie lors de ses inspections que ces rapports existent et sont effectivement présentés à la gouvernance. Plusieurs banques singapouriennes ont développé des tableaux de bord de supervision cyber présentés mensuellement au COMEX et trimestriellement au conseil d'administration, alignés sur les exigences de la MAS.