Points clés
- Les indicateurs de sécurité des infrastructures permettent à la direction de piloter la posture de sécurité avec la même rigueur que les indicateurs financiers
- Les KPIs les plus utiles pour la direction : taux de patches critiques déployés, délai moyen de détection (MTTD), délai moyen de réponse (MTTR), couverture MFA
- Les métriques techniques doivent être traduites en indicateurs de risque métier pour être actionnables au niveau direction
- Le NIST et l'ENISA publient des guides sur les métriques de sécurité adaptées aux différents niveaux de gouvernance
Le pilotage de la sécurité des infrastructures par des indicateurs mesurables est une condition de sa gouvernance efficace. Sans indicateurs, la direction ne peut pas évaluer objectivement l'évolution de la posture de sécurité, comparer les investissements réalisés à leurs résultats, ou détecter les dégradations avant qu'elles ne produisent un incident. Les indicateurs de sécurité sont l'instrument de bord qui rend la sécurité pilotable.
La difficulté spécifique des indicateurs de sécurité est qu'ils doivent être pertinents à plusieurs niveaux simultanément : les équipes techniques ont besoin d'indicateurs opérationnels (nombre de vulnérabilités non patchées, volume d'alertes par catégorie), les équipes de management ont besoin d'indicateurs de processus (taux de réalisation des plans de remédiation, résultats des audits), et la direction a besoin d'indicateurs de risque métier (exposition financière estimée, probabilité d'incident sur les actifs critiques).
Les indicateurs essentiels pour la direction
Cinq catégories d'indicateurs sont essentielles pour le pilotage de la sécurité au niveau direction : la couverture de la protection (% des systèmes critiques couverts par les mesures de sécurité définies), la vitesse de réponse (MTTD et MTTR sur les incidents détectés), l'exposition aux vulnérabilités (% de vulnérabilités critiques corrigées dans les délais, âge moyen des vulnérabilités non corrigées), la résilience testée (résultats des exercices de continuité d'activité, RTO/RPO réels vs objectifs), et la conformité réglementaire (statut des obligations de conformité applicables).
Ces indicateurs permettent à la direction de répondre à trois questions fondamentales : sommes-nous correctement protégés ? (couverture), pouvons-nous détecter et répondre rapidement aux incidents ? (vitesse de réponse), et pouvons-nous récupérer d'un incident dans les délais acceptables ? (résilience testée).
La traduction en risque métier
Les indicateurs techniques deviennent actionnables pour la direction lorsqu'ils sont traduits en termes de risque métier : un taux de patches critiques de 85 % est un chiffre technique ; "15 % de nos systèmes critiques présentent des vulnérabilités exploitables dans des délais de quelques semaines, représentant un risque estimé à X millions d'euros" est un indicateur de risque métier sur lequel une décision peut être prise.
Cette traduction requiert une collaboration entre les équipes techniques (qui fournissent les données) et les équipes de gouvernance ou de risk management (qui les contextualisent en termes de probabilité et d'impact financier). Elle produit des tableaux de bord qui parlent le langage de la décision stratégique plutôt que de la décision technique.
La fréquence et le format du reporting
Le reporting de sécurité vers la direction doit être adapté à la fréquence des décisions qui y sont associées. Les indicateurs opérationnels sont suivis en temps réel par les équipes techniques ; les indicateurs de pilotage sont rapportés mensuellement aux équipes de management ; les indicateurs de risque métier sont présentés trimestriellement ou semestriellement à la direction et au conseil d'administration.
Le format doit favoriser la lisibilité et l'action : tableaux de bord visuels avec tendances, identification claire des indicateurs en dégradation, propositions d'action associées aux indicateurs critiques. Le rapport qui noie la direction dans les détails techniques est aussi peu utile que l'absence de rapport.
La CISA a développé le Cybersecurity Performance Goals (CPG) framework, publié en 2022, qui définit un ensemble d'indicateurs mesurables permettant aux organisations d'évaluer leur posture de sécurité. Ces indicateurs incluent le taux d'activation du MFA, le délai de déploiement des patches critiques, et la couverture de la journalisation. Le CPG framework est conçu pour être accessible aux organisations de toutes tailles et fournit des seuils cibles pour chaque indicateur. Il est utilisé par des milliers d'organisations américaines comme référence de pilotage.
La BCE a publié en 2023 un guide sur les métriques de cybersécurité à communiquer aux organes de gouvernance des institutions financières. Le guide distingue trois niveaux de métriques : opérationnel (pour les équipes IT), managérial (pour le comité de direction), et stratégique (pour le conseil d'administration). Pour chaque niveau, le guide propose des indicateurs spécifiques avec leur mode de calcul et leur fréquence de reporting recommandée. Ce guide est devenu une référence pour la construction des tableaux de bord cyber au niveau européen.
ANZ Banking Group a développé un programme de métriques de cybersécurité intégré dans son reporting trimestriel au conseil d'administration. Le programme distingue les indicateurs de prévention (couverture des contrôles), de détection (MTTD par type d'incident), de réponse (MTTR, taux de résolution dans les SLA définis), et de récupération (résultats des tests de continuité). La publication de ces pratiques dans le rapport annuel d'ANZ a été saluée par les régulateurs australiens comme exemple de bonne gouvernance du risque cyber au niveau du conseil d'administration.