1 / 26

Un tableau de Bord Sécurité comme outil de communication

Un tableau de Bord Sécurité comme outil de communication. Communiquer avec ses parties prenantes et piloter sa sécurité. olivier.allaire@lineon.fr. Quels besoins ?. Communiquer avec des parties prenantes (sans expertise technique particulière)

elga
Download Presentation

Un tableau de Bord Sécurité comme outil de communication

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Un tableau de Bord Sécurité comme outil de communication Communiquer avec ses parties prenantes et piloter sa sécurité olivier.allaire@lineon.fr

  2. Quels besoins ? • Communiquer avec des parties prenantes (sans expertise technique particulière) • Représenter une information de manière visuelle afin de : • Prendre une décision • Justifier un choix • Contrôler un fonctionnement • Simuler et expliquer • Représenter la connaissance d’un système • Diagnostiquer

  3. Plusieurs cas d’usage • Pour un suivi périodique • Meta-indicateurs • Tendances • Faits marquants • Suivi d’activité • Pour une utilisation ponctuelle • Meta-indicateurs • Indicateurs (ciblés) • Eléments techniques

  4. Tableau de Bord : Key Points Stable & Graphique • Outil de communication avec le management ou les métiers • Représentation claire, épurée et attrayante graphiquement • Démarche industrialisée et inscrite dans un processus d’amélioration continue • Eviter le “bruit” pour garantir la lisibilité et la compréhension • Souplesse et adaptabilité du tableau de bord pour servir les objectifs de communication Attractif visuellement – Didactique - Synthétique Associé à une vue métier

  5. Illustration du “bruit”

  6. Et les indicateurs ? • Grand nombre d’indicateurs disponibles • Liés au système d’information • Informations indicatives ou métriques • Changent suivant les évolutions de l’environnement • Issues ou produites dans le cadre : • Du reporting • De sources techniques • D’avis d’experts • Eventuellement normalisés : ISO/IEC 27004

  7. Indicateurs : Key Points • Issus de l’expertise, des outils et des ressources SI • Informations riches et complexes • Tendances à l’exhaustivité • Extraits et ciblés pour être communicables • Souples • Evolutifs • Hétérogènes Associés à une vue SI Inutilisables en l’état pour communiquer

  8. Synthèse de la problématique Synthétiser les indicateurs pour intégrer l’information dans le tableau de bord

  9. Démarche adoptée Identifier ce que l’on a à disposition Définir les règles de synthèse • Il n’est pas nécessaire d’avoir une cartographie exhaustive, une cartographie indicative suffit, basée sur : • Des statistiques • Une conformité • Un ressenti • …

  10. L’information à disposition • Une connaissance intuitive : • Au travers de la perception du fonctionnement: • Du Système d’Information • Des processus métiers ou sécurité • Issues des éléments techniques produits par les ressources SI Cette connaissance n’est pas déterministe, il y a des incertitudes

  11. Comment faire le lien ?1ere approche • Système expert deterministe • Il décrit un processus de raisonnement • Complexe à décrire • Il n’est pas évolutif • Complexité du modèle à maintenir • Ajout de critère de pondération nécessaire • Traitement de relation binaire • Ne gère pas l’incertitude

  12. Ex : Système Expert Déterministe

  13. Comment faire le lien ?2eme approche • Réseau de neurones • Système statistique par apprentissage • Historique de données important nécessaire • Sources uniquement numériques • En cas de sources de données réduites • biais potentiel lié au choix de l'échantillon • Fonctionnement non “humanreadable” • Règles de fonctionnement hermétiques • Traitement de relation binaire • Ne gère pas l’incertitude • Gère difficilement les données hétérogènes • Ajout d’une fonction de normalisation indispensable en entrée

  14. Ex : Réseau de neurones Sources d’informations Meta-Indicateurs

  15. Comment faire le lien ?3eme approche • Réseaux Bayésiens • Modèle basé sur graphe causal • Modélisation intuitive • Relations basées sur des calculs de probabilités conditionnelles • Gère l’incertitude • Uniformité des règles mathématiques appliquées • Rigueur de l’approche • Rejouabilité du modèle • Capacité d'apprentissage incrémentale • Modification partielle du modèle ne l'impacte pas dans sa globalité • Permet de transformer en modèle interprétable : • une connaissance noyée dans des chiffres • Une connaissance intuitive d’un fonctionnement

  16. Réseaux Bayésiens : quelques informations • Modèle qui permet de combiner l’approche qualitative et l’approche quantitative : Système expert deterministe Modèle d’analyse statistique Probabilités conditionnelles Graphe Causal Directement issu des indicateurs et de l’historique Le lien entre TdB et Indicateurs Réseau Bayésien • Acquisition • Représentation • Utilisation • Le Graphe causal => représente l’aspect qualitatif (l’expertise) * • Les probabilités conditionnelles => représentent l’aspect quantitatif (statistique) * Un graphe causal représente la perception du fonctionnement

  17. Réseaux Bayésiens : Définition Permet de calculer des probabilités conditionnelles d’évènements reliés les uns aux autres par des liens de causes à effet Raisonnement par Inférence D’un point de vue mathématique : La connaissance de l’APriori est transformée APosteriori suivant la Vraisemblance APosteriori F(Vraisemblance x Apriori)

  18. Comment ca marche concrètement • Exemple : Risque d’accident sur machine outil

  19. Une démarche et des outils • Gestion des informations et des moyens de collecte => (ex : ETL, SIEMS, questionnaires, rapports d’audit, …) • Gestion des indicateurs, de leur production et du reporting associé => BI (ex : Jaspersoft, Pentao, Business Object, …) • Gestion des réseaux bayésiens => (ex : Genie, Smile, …) • Production du tableau de bord => (ex : WebApp Html5/JS)

  20. Cas d’usage : Tableau de Bord pour Bastion • Contexte sécurité métier • Vol direct d’informations brutes et/ou traitées • Divulgation volontaire /involontaire d’informations • Atteinte à l’efficacité métier • Géré via un SMSI • Pas de réglementation spécifique à appliquer • Suivi spécifique par la direction et/ou les clients

  21. Structure & Meta-Indicateurs • Evaluation du niveau d’exposition au risque • Sur base de l’évaluation de l’exposition à 3 enjeux métiers identifiés • Evaluation du niveau d’efficacité de la sécurité SI • Sur base de l’analyse des incidents de sécurité relatifs aux 3 enjeux métiers identifiés • Evaluation du niveau de sécurité (base ISO/IEC 27002) • Sur base de 5 domaines de l’ISO/IEC 27002 identifiés comme pertinents par le métier  Evaluation du “Score” de sécurité • Synthèse des 3 méta-indicateurs

  22. Sources d’informations et indicateurs • Sources techniques : • Résultats de scans de vulnérabilité • Résultats d’analyse de configuration automatique • Reporting du système de gestion d’incidents • Sources fonctionnelles : • Résultats d’audit • Reporting du système IAM • Niveau de sensibilité • Cartographie des assets

  23. GrapheCausal(réseaubayésien)

  24. Visuel de Tableau de bord pour le cas d’usage Type d’informations : • Un « score » sécurité • Les meta-indicateurs • Les évolutions dans le temps (trends) • Les points clés et/ou incidents • Le suivi des projets principaux • Le calendrier 78 *version en cours de design • D’autresoutils de visualisation possibles : • RoamBI, Dundas, …

  25. Synthèse : Architecture fonctionnelle

  26. LINEON Immeuble Elysées la Défense 7c place du dôme 92056 PARIS LA DEFENSE CEDEX +33 (0) 1 73 02 67 27

More Related