Le conseil veut des « métriques » de sécurité. Laquelle est la plus pertinente à rapporter ?
Réponse courte
Les métriques de niveau conseil doivent se rattacher au risque et aux résultats : temps de détection et de réponse (MTTD/MTTR), respect des SLA de correctifs sur les systèmes critiques, couverture des contrôles et évolution du risque résiduel par rapport à l'appétit. Le nombre d'attaques bloquées par le pare-feu, le compte des signatures antivirus et le total des courriels reçus sont des chiffres vaniteux — ils impressionnent mais ne disent rien sur la baisse du risque. Le conseil gouverne le risque, les métriques doivent donc lui montrer la tendance et lui permettre de décider.
Les conseils ne veulent pas admirer de l'activité ; ils veulent savoir si le cyber-risque est maîtrisé et évolue dans le bon sens. Le scénario teste si un RSSI sait distinguer les métriques de résultat qui éclairent la gouvernance des métriques vaniteuses qui ne font qu'occuper.
Pourquoi les mesures orientées risque sont correctes
De bonnes métriques de conseil répondent à « gérons-nous mieux le risque ? ». Cela signifie le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR) — à quelle vitesse vous détectez et contenez les incidents ; la conformité aux SLA de correctifs sur les actifs critiques — vos systèmes les plus importants sont-ils corrigés dans les délais convenus ; la couverture des contrôles — quelle part de votre parc est réellement protégée par les contrôles clés ; et la tendance du risque résiduel par rapport à l'appétit du conseil. Chacune est un chiffre exploitable : financer, accepter ou pousser. Elles montrent une direction dans le temps, pas un instantané d'effort.
Pourquoi les autres options échouent
- Attaques bloquées par le pare-feu. Un chiffre énorme qui ne veut presque rien dire — Internet est bruyant, et les attaques « bloquées » sont surtout du balayage automatisé. Cela ne dit pas au conseil si le risque réel baisse.
- Signatures antivirus mises à jour. Cela mesure la cadence de publication d'un éditeur, pas votre posture de sécurité. C'est de l'activité pure, pas un résultat.
- Total des courriels reçus. Totalement déconnecté du risque. Une statistique de volume sans décision attachée.
Ce que l'examinateur cherche
Il veut que vous saisissiez qu'une métrique n'est utile que si le conseil peut en tirer une décision. MTTD/MTTR, SLA de correctifs et couverture des contrôles se rattachent directement au risque et permettent de gouverner ; « attaques bloquées » et décomptes de signatures sont du théâtre qui gonfle la confiance sans l'éclairer. Le candidat faible se rabat sur le grand chiffre impressionnant — précisément le piège : cela ressemble à un reporting mais ne communique aucun risque ni aucune tendance par laquelle le conseil peut piloter.
Questions de suivi probables
- Pourquoi le MTTD/MTTR est-il plus pertinent pour le conseil qu'un décompte d'attaques bloquées ?
- Comment montreriez-vous une métrique évoluant par rapport à l'appétit pour le risque sur une seule diapositive ?
- Quel est le danger de rapporter des métriques vaniteuses à un conseil sur la durée ?