Quels indicateurs de performance pour sa cybersécurité ?

Les indicateurs de performance (ou KPI, Key Performance Indicators) constituent des éléments de mesure quantifiables définis en amont pour déterminer si l’organisation atteint ou pas ses objectifs. Les KPI peuvent changer à mesure qu’évolue l’organisation, ou lorsque les objectifs sont atteints. Les KPI de cybersécurité peuvent porter sur des objectifs à court ou long terme et visent à mesurer l’efficacité des opérations de sécurité.

Les accords de niveau de service (SLA) peuvent constituer un KPI pour la sécurité. Mais d’autres indicateurs devraient également être envisagés, comme la rétention des effectifs, ou la progression de la satisfaction des clients. Il est important de concentrer les KPI sur ce qui compte pour l’organisation et sa culture d’entreprise.

Les entreprises utilisent des KPI de cybersécurité parce qu’ils sont mesurables. Il est ainsi facile de déterminer si le groupe cybersécurité atteint ou dépasse les attentes.

Ces indicateurs peuvent être déterminés en fonction des éléments suivants :

• Actions des équipes – respect des SLA dans le provisionnement des utilisateurs, les formulaires de demande d’accès, le suivi des remédiations, les résultats de supervision quotidiens ;
• Evénements système ou technologiques – intégration de la cybersécurité dans de nouveaux outils et services ; réduction des faux positifs ;
• Processus internes – rétention des effectifs, accroissement de la satisfaction client, rapports à la direction sur la posture de sécurité, audits de conformité ;
• Evénements externes – détection de brèches et d’attaques, prévention.

Quantifier la cybersécurité avec des KPI peut répondre à plusieurs besoins :

• Montrer l’amélioration de chacun des domaines mesurés ;
• Justifier le besoin de ressources supplémentaires, qu’il s’agisse d’effectifs, d’outils ou de services ;
• Identifier les tendances susceptibles de motiver des changements dans le programme ou les processus de cybersécurité ;
• Fournir à la direction une assurance sur la cybersécurité, ou indiquer des domaines méritant une attention accrue.

Sans PKI, mesurer la performance en cybersécurité est subjectif et qualitatif par nature. Cela peut être acceptable pour certaines organisations, mais les mesures quantitives prêtent moins à discussion.

Adapté de l’anglais.