270 likes | 483 Views
Un tableau de Bord Sécurité comme outil de communication. Communiquer avec ses parties prenantes et piloter sa sécurité. olivier.allaire@lineon.fr. Quels besoins ?. Communiquer avec des parties prenantes (sans expertise technique particulière)
E N D
Un tableau de Bord Sécurité comme outil de communication Communiquer avec ses parties prenantes et piloter sa sécurité olivier.allaire@lineon.fr
Quels besoins ? • Communiquer avec des parties prenantes (sans expertise technique particulière) • Représenter une information de manière visuelle afin de : • Prendre une décision • Justifier un choix • Contrôler un fonctionnement • Simuler et expliquer • Représenter la connaissance d’un système • Diagnostiquer
Plusieurs cas d’usage • Pour un suivi périodique • Meta-indicateurs • Tendances • Faits marquants • Suivi d’activité • Pour une utilisation ponctuelle • Meta-indicateurs • Indicateurs (ciblés) • Eléments techniques
Tableau de Bord : Key Points Stable & Graphique • Outil de communication avec le management ou les métiers • Représentation claire, épurée et attrayante graphiquement • Démarche industrialisée et inscrite dans un processus d’amélioration continue • Eviter le “bruit” pour garantir la lisibilité et la compréhension • Souplesse et adaptabilité du tableau de bord pour servir les objectifs de communication Attractif visuellement – Didactique - Synthétique Associé à une vue métier
Et les indicateurs ? • Grand nombre d’indicateurs disponibles • Liés au système d’information • Informations indicatives ou métriques • Changent suivant les évolutions de l’environnement • Issues ou produites dans le cadre : • Du reporting • De sources techniques • D’avis d’experts • Eventuellement normalisés : ISO/IEC 27004
Indicateurs : Key Points • Issus de l’expertise, des outils et des ressources SI • Informations riches et complexes • Tendances à l’exhaustivité • Extraits et ciblés pour être communicables • Souples • Evolutifs • Hétérogènes Associés à une vue SI Inutilisables en l’état pour communiquer
Synthèse de la problématique Synthétiser les indicateurs pour intégrer l’information dans le tableau de bord
Démarche adoptée Identifier ce que l’on a à disposition Définir les règles de synthèse • Il n’est pas nécessaire d’avoir une cartographie exhaustive, une cartographie indicative suffit, basée sur : • Des statistiques • Une conformité • Un ressenti • …
L’information à disposition • Une connaissance intuitive : • Au travers de la perception du fonctionnement: • Du Système d’Information • Des processus métiers ou sécurité • Issues des éléments techniques produits par les ressources SI Cette connaissance n’est pas déterministe, il y a des incertitudes
Comment faire le lien ?1ere approche • Système expert deterministe • Il décrit un processus de raisonnement • Complexe à décrire • Il n’est pas évolutif • Complexité du modèle à maintenir • Ajout de critère de pondération nécessaire • Traitement de relation binaire • Ne gère pas l’incertitude
Comment faire le lien ?2eme approche • Réseau de neurones • Système statistique par apprentissage • Historique de données important nécessaire • Sources uniquement numériques • En cas de sources de données réduites • biais potentiel lié au choix de l'échantillon • Fonctionnement non “humanreadable” • Règles de fonctionnement hermétiques • Traitement de relation binaire • Ne gère pas l’incertitude • Gère difficilement les données hétérogènes • Ajout d’une fonction de normalisation indispensable en entrée
Ex : Réseau de neurones Sources d’informations Meta-Indicateurs
Comment faire le lien ?3eme approche • Réseaux Bayésiens • Modèle basé sur graphe causal • Modélisation intuitive • Relations basées sur des calculs de probabilités conditionnelles • Gère l’incertitude • Uniformité des règles mathématiques appliquées • Rigueur de l’approche • Rejouabilité du modèle • Capacité d'apprentissage incrémentale • Modification partielle du modèle ne l'impacte pas dans sa globalité • Permet de transformer en modèle interprétable : • une connaissance noyée dans des chiffres • Une connaissance intuitive d’un fonctionnement
Réseaux Bayésiens : quelques informations • Modèle qui permet de combiner l’approche qualitative et l’approche quantitative : Système expert deterministe Modèle d’analyse statistique Probabilités conditionnelles Graphe Causal Directement issu des indicateurs et de l’historique Le lien entre TdB et Indicateurs Réseau Bayésien • Acquisition • Représentation • Utilisation • Le Graphe causal => représente l’aspect qualitatif (l’expertise) * • Les probabilités conditionnelles => représentent l’aspect quantitatif (statistique) * Un graphe causal représente la perception du fonctionnement
Réseaux Bayésiens : Définition Permet de calculer des probabilités conditionnelles d’évènements reliés les uns aux autres par des liens de causes à effet Raisonnement par Inférence D’un point de vue mathématique : La connaissance de l’APriori est transformée APosteriori suivant la Vraisemblance APosteriori F(Vraisemblance x Apriori)
Comment ca marche concrètement • Exemple : Risque d’accident sur machine outil
Une démarche et des outils • Gestion des informations et des moyens de collecte => (ex : ETL, SIEMS, questionnaires, rapports d’audit, …) • Gestion des indicateurs, de leur production et du reporting associé => BI (ex : Jaspersoft, Pentao, Business Object, …) • Gestion des réseaux bayésiens => (ex : Genie, Smile, …) • Production du tableau de bord => (ex : WebApp Html5/JS)
Cas d’usage : Tableau de Bord pour Bastion • Contexte sécurité métier • Vol direct d’informations brutes et/ou traitées • Divulgation volontaire /involontaire d’informations • Atteinte à l’efficacité métier • Géré via un SMSI • Pas de réglementation spécifique à appliquer • Suivi spécifique par la direction et/ou les clients
Structure & Meta-Indicateurs • Evaluation du niveau d’exposition au risque • Sur base de l’évaluation de l’exposition à 3 enjeux métiers identifiés • Evaluation du niveau d’efficacité de la sécurité SI • Sur base de l’analyse des incidents de sécurité relatifs aux 3 enjeux métiers identifiés • Evaluation du niveau de sécurité (base ISO/IEC 27002) • Sur base de 5 domaines de l’ISO/IEC 27002 identifiés comme pertinents par le métier Evaluation du “Score” de sécurité • Synthèse des 3 méta-indicateurs
Sources d’informations et indicateurs • Sources techniques : • Résultats de scans de vulnérabilité • Résultats d’analyse de configuration automatique • Reporting du système de gestion d’incidents • Sources fonctionnelles : • Résultats d’audit • Reporting du système IAM • Niveau de sensibilité • Cartographie des assets
Visuel de Tableau de bord pour le cas d’usage Type d’informations : • Un « score » sécurité • Les meta-indicateurs • Les évolutions dans le temps (trends) • Les points clés et/ou incidents • Le suivi des projets principaux • Le calendrier 78 *version en cours de design • D’autresoutils de visualisation possibles : • RoamBI, Dundas, …
LINEON Immeuble Elysées la Défense 7c place du dôme 92056 PARIS LA DEFENSE CEDEX +33 (0) 1 73 02 67 27