Points clés
- Les indicateurs de sécurité des systèmes critiques doivent mesurer la résilience réelle, non la conformité documentaire.
- Les KPI de sécurité pour systèmes critiques incluent : taux de disponibilité, MTTD (Mean Time to Detect), MTTR (Mean Time to Respond), couverture des sauvegardes testées et pourcentage de correctifs critiques appliqués dans les délais.
- Le NIST Cybersecurity Framework fournit une structure de mesure en cinq fonctions : Identify, Protect, Detect, Respond, Recover.
- La BCE publie des indicateurs de résilience opérationnelle que les institutions financières européennes sont invitées à intégrer dans leurs tableaux de bord.
- MAS TRM impose de présenter des rapports de performance des systèmes critiques au conseil d'administration au minimum trimestriellement.
Piloter la sécurité des systèmes critiques sans indicateurs mesurables revient à naviguer sans instruments de bord. La direction ne peut pas prendre de décisions éclairées sur les investissements de sécurité, les priorités de remédiation et les niveaux d'acceptation du risque sans disposer d'une vision chiffrée, régulière et fiable de l'état de protection de ses infrastructures essentielles.
Les indicateurs de sécurité des systèmes critiques ne doivent pas être conçus pour rassurer : ils doivent refléter la réalité opérationnelle. Un tableau de bord qui n'indique que des voyants verts, sans jamais révéler de tension ou de risque résiduel, est généralement un signe que les indicateurs sont mal construits plutôt que que la situation est parfaite.
Les catégories d'indicateurs pour systèmes critiques
Les indicateurs de sécurité pour systèmes critiques se structurent en quatre catégories. Les indicateurs de protection mesurent l'état des défenses en place : taux de correctifs appliqués dans les délais, couverture de l'authentification multifacteur sur les accès privilegiés, pourcentage de systèmes critiques intégrés dans le SIEM. Les indicateurs de détection mesurent la capacité à identifier les incidents : MTTD (délai entre occurrence et détection), taux de couverture des alertes testées. Les indicateurs de réponse mesurent la capacité à traiter les incidents : MTTR (délai de résolution), taux d'incidents escaladés correctement. Les indicateurs de continuité mesurent la résilience : fréquence des tests de bascule, écart entre RTO documenté et RTO observé lors des derniers tests.
NIST SP 800-55 fournit un cadre de mesure de la performance de sécurité adapté aux systèmes critiques, distinguant les mesures d'implémentation, d'efficacité et d'impact.
Les tableaux de bord de direction
Les indicateurs techniques doivent être traduits en métriques compréhensibles pour la direction. Un RSSI qui présente au comité exécutif un taux de 87 % de correctifs critiques appliqués dans les 30 jours doit accompagner ce chiffre de son contexte : quels sont les 13 % non traités, quel est le risque associé, et quel est le plan de traitement ? Sans ce contexte, l'indicateur n'informe pas la décision.
MAS TRM impose un rapport trimestriel au conseil d'administration incluant les indicateurs de performance ICT, les incidents survenus et les actions de remédiation en cours. DORA impose une remontée similaire des informations sur les incidents ICT significatifs et l'état des plans de continuité.
Le MTTD/MTTR comme indicateurs clés
Le MTTD (Mean Time to Detect) et le MTTR (Mean Time to Respond) sont les indicateurs les plus révélateurs de la maturité d'un programme de sécurité des systèmes critiques. Verizon DBIR 2023 indique que le MTTD médian pour les incidents sur infrastructures critiques dépasse encore 150 jours pour les attaques sophistiquées. IBM Cost of Data Breach Report 2023 établit que chaque jour de présence non détectée d'un attaquant dans un réseau critique augmente le coût moyen de l'incident de 14 000 dollars.
Réduire le MTTD est un objectif directement piloté par la direction via ses décisions d'investissement dans les capacités de détection (SIEM, UEBA, EDR, NDR). Ce lien direct entre décision d'investissement et indicateur mesurable est la justification des budgets de sécurité des systèmes critiques.
Goldman Sachs a développé un cadre d'indicateurs de risque cyber présenté trimestriellement au conseil d'administration. Ce cadre inclut des indicateurs de performance des systèmes critiques de trading et de règlement, des métriques de détection et de réponse, et une comparaison avec les benchmarks sectoriels publiés par le FS-ISAC. La transparence de ce cadre a été citée comme modèle par la SEC dans ses recommandations sur la gouvernance cybersécurité.
La BCE a publié des Cyber Resilience Oversight Expectations (CROE) pour les infrastructures des marchés financiers. Ces attentes incluent des indicateurs spécifiques sur la gestion des accès aux systèmes critiques, les tests de continuité et la surveillance des incidents. Les FMI (Financial Market Infrastructures) sous supervision BCE doivent rendre compte annuellement de leur niveau d'alignement avec ces attentes, en fournissant des métriques quantifiées.
Suite aux interruptions de 2021, DBS Bank a développé et publié un cadre d'indicateurs de résilience opérationnelle dans son rapport annuel 2022. Ce cadre inclut le nombre d'incidents classifiés P1 (critique), les délais de résolution moyens, le taux de disponibilité des systèmes critiques et les résultats des tests de continuité. Cette transparence publique, exigée par la MAS en réponse aux incidents, a été présentée comme un standard de reporting pour les institutions financières asiatiques.