Quel RSSI ne se s’est pas posé les questions suivantes : Que puis-je communiquer à ma direction et à mes métiers ? A quand un tableau de bord synthétique présentant une situation claire de ma posture de sécurité et éclairant ma hiérarchie sur les actions à entreprendre ? Quels sont les bons indicateurs à communiquer à ma hiérarchie ? Comment puis-je produire rapidement un tableau de bord adapté à une demande urgente ? Et combien ont su y répondre… ?

Ce qui amène également le flot de questions inexorables : mes investissements sécurité sont-ils réellement efficaces ? Suis-je réellement protégé ? Quels sont les actifs réellement en danger ?

Il y a fort à parier que, dans les deux cas, beaucoup se posent régulièrement ces questions et qu’une infime partie peut répondre avec rapidité et pertinence. En effet, le constat suivant est très largement partagé par les RSSI :

– Une forte complexité pour établir le niveau de sécurité sans devoir faire, à chaque occurrence, une demande spécifique de données de production et une mise à jour de l’outil dédié,
– Une très grande difficulté pour la communauté cybersécurité de communiquer avec les décideurs et les métiers sur la base d’informations fiables et comprises par tous,
– Un foisonnement d’indicateurs techniques ne parlant qu’à une communauté d’initiés techniques,
– Des règles de gestion mal maitrisées, changeantes au cours du temps et empêchant une visualisation pertinente des tendances,
– Une logique « 1 indicateur = 1 outil » (généralement un fichier Excel), qui empêche toute réflexion globale d’entreprise, et qui finit par être couteuse du fait de la multitude d’outils disparates,
– Une faible capacité d’analyse, de synthèse et de croisement des outils développés.

Alors que les solutions existent…

Des solutions, largement éprouvées qui existent depuis plus de 20 ans pour résoudre cette problématique : la Business Intelligence !

Il s’agit de méthodologies et de technologies qui exploitent les données de base des systèmes d’informations afin de les transformer en informations à valeur ajoutée métier pour permettre aux décideurs à tous les niveaux (stratégiques, intermédiaires, opérationnels) de piloter leur activité. En d’autres termes, il s’agit de fournir les bons indicateurs au bon moment aux bonnes personnes afin qu’ils puissent prendre les bonnes décisions.

Ces solutions sont éprouvées et maîtrisées par les DSI. Elles permettent de mettre en oeuvre rapidement un tableau de bord efficace en évitant les effets tunnels des gros projets informatiques. Elles peuvent être la première étape pragmatique vers une solution fonctionnellement plus riche à base de Big Data.

Ces solutions sont massivement utilisées dans tous les métiers classiques (Finance, Commerce, Production, Supply Chain, Achats…). Imagine-t-on une consolidation financière réalisée avec des fichiers Excel et des formules imbriquées dans tous les sens ? Peut-on concevoir une analyse des ventes par pays, par produit avec une  évolution des analyses et un rapprochement avec les données de prévisions budgétaires conçus manuellement ? De moins en moins, voire plus du tout, surtout quand il s’agit de grands groupes internationaux agrégeant une multitude de données.

Pourtant cela prend du temps alors qu’il suffirait de se lancer !

La généralisation de la BI dans la cybersécurité est inéluctable. Les entreprises ont largement pris conscience de la nécessité de se protéger à la fois pour répondre aux besoins de synthèse du management et aux exigences de la règlementation (LPM par exemple) mais également pour se défendre face aux attaques de plus en plus nombreuses et dévastatrices, comme l’attestent les récentes attaques de groupes mondiaux (WPP, Saint Gobain).

Au même titre que les autres métiers « classiques », la cybersécurité adoptera les pratiques et les usages de la BI. De nombreux éditeurs et intégrateurs de solution BI existent sur le marché. Ces acteurs maîtrisent les techniques et les méthodologies de la Business Intelligence et savent les appliquer à n’importe quel métier. Les entreprises ne rechignent pas à dégager de gros budgets pour d’autres programmes de sécurité informatique plus coûteux (SOC/SIEM, IAM, DLP…). Il reste donc à convaincre les entreprises que la BI peut répondre à leur besoin à moindre coût.

Pour cela, deux approches sont possibles : La proactivité, il s’agit alors de sensibiliser les entreprises, de les encourager à analyser le retour d’expérience des autres directions sur ces types de projets et de se lancer eux-mêmes dans de tels projets. Ou la réactivité : il s’agit de réagir à la contrainte, managériale ou règlementaire.

Naturellement, il est préférable d’engager des démarches proactives. Le résultat n’en sera que meilleur, mieux accepté, et plus conforme au besoin d’une entreprise. Toutefois, il est fort probable que le réactif, et notamment la contrainte règlementaire soit le moteur premier de ces initiatives. Gageons donc que les exigences LPM, et notamment son chapitre 20 sur la production d’indicateurs sera le catalyseur de la mise en place de la BI dans la cybersécurité.

___________
Michaël Simantov est consultant cybersécurité, BT