Lorsqu’il s’agit d’évaluer les performances de la cybersécurité, la vérité peut être trouvée dans les chiffres. Voici les KPI essentiels pour mesurer, surveiller et améliorer pour assurer des cyber-opérations très efficaces.
Les KPI et les mesures sont indispensables pour évaluer l’efficacité des cyber-défenses d’entreprise. Ces outils cruciaux ouvrent des informations sur les vulnérabilités du système, les modèles de menace et l’efficacité de la réponse aux incidents. À une époque de recours numérique croissant, les KPI et les mesures jouent un rôle essentiel dans la prise de décision de la sécurité, assurant la préparation aux entreprises contre les cyber-menaces en constante évolution.
Malheureusement, lorsqu’il s’agit de déployer des KPI et des mesures de cybersécurité, il est facile de s’enliser dans un nombre apparemment infini de idées et d’indicateurs populaires. Heureusement, juste une poignée se démarque du pack comme essentielle à toute stratégie de cybersécurité. Voici quelques-uns des meilleurs.
1. Temps moyen pour détecter
Le temps moyen de détecter (MTD) est une métrique cruciale qui reflète la capacité d’une organisation à identifier et à traiter rapidement les incidents potentiels, minimisant finalement les dommages potentiels, explique Mehdi Houdaigui, leader du cyber et de la transformation américaine avec la société de conseil en entreprise Deloitte.
Un MTD inférieur indique que votre organisation de sécurité détecte rapidement les menaces potentielles, réduisant la fenêtre d’opportunité pour les attaquants de nuire à l’organisation, dit Houdaigui. Et avec les délais d’attaque qui se rétrécissent rapidement, le maintien de MTD bas ne deviendra plus important.
Pourtant, dit Houdaigui, MTD n’est qu’une des nombreuses organisations de métriques trouveront utile. «Il est important pour les organisations de se concentrer sur ce qui compte le plus et est stratégique pour leur entreprise», dit-il.
2. Cyber Resilience
« En fin de compte, il ne s’agit pas du nombre de menaces que vous bloquez – ce qui compte certainement – il s’agit de la rapidité et de l’efficacité de récupérer quand quelque chose passera, ce qu’il finira par faire », observe-t-il. «La résilience signifie que votre entreprise continue de fonctionner, vos clients restent confiants et une mauvaise journée ne devient pas une crise.»
Aucun système n’est entièrement à l’épreuve des balles. «Même les meilleures défenses peuvent être violées», explique Wheeler. Ce qui sépare les organisations qui réussissent de ceux qui en découpent, c’est la rapidité avec laquelle elles réagissent et rebondissent. «Si vous pouvez récupérer en quelques heures, c’est un mal de tête. Si cela prend des semaines, c’est un désastre», note-t-il. «La résilience est la différence entre un problème temporaire et des dommages durables – à votre entreprise, à votre réputation et à votre confiance client.»
3. Visibilité du réseau, du système et des points finaux
Vous ne pouvez pas réparer ce que vous ne pouvez pas voir ou ne savez pas. «Si vous n’avez pas de visibilité sur la sécurité de vos points de terminaison, vous ne pourrez pas détecter quand l’un de vos points de terminaison est compromis», explique Sandra McLeod, CISO intérimaire chez Zoom. « Si vous avez une couverture complète de vos environnements de production, mais que vous manquez des contrôles de sécurité et de la visibilité dans vos environnements de développement, vous manquez peut-être de la protection critique de votre code et de vos processus de construction. »
Les lacunes de visibilité créent des opportunités pour les attaquants et les angles morts pour les défenseurs.
L’une des erreurs les plus courantes que les organisations font consiste à ne pas opérationnaliser les KPI et les mesures, observe McLeod, ce qui signifie qu’ils sont suivis, mais non intégrés dans les décisions commerciales quotidiennes. Un autre piège, prévient-elle, consiste à développer un faux sentiment de sécurité basé uniquement sur les performances KPI. Ce n’est pas parce que les chiffres ne signifient pas que l’organisation est sûre ou entièrement sécurisée. «Il est important de demander: quelles sont ces mesures qui ne nous montrent pas?»
4. Métrique de la question de l’objectif (GQM)
Richard Caralli, conseiller principal en cybersécurité chez Axio, un fournisseur de logiciels de cyber gestion basée au SaaS, suggère d’utiliser l’approche structurée fournie par BOCH Question Metric (GQM) pour vous aider à raconter votre histoire de cyber-valeur.
«Cette métrique peut aider les organisations à se concentrer sur l’amélioration des processus de cybersécurité en adoptant des méthodes sécurisées à partir de l’amélioration des processus logiciels», dit-il. «Le GQM est particulièrement bon pour répondre aux besoins de gouvernance, car il peut aider la haute direction et les conseils à développer des mesures significatives qui indiquent l’efficacité du programme.»
Par exemple, un conseil d’administration peut demander: «Retourons-nous les vulnérabilités connues en temps opportun?» Certains CISO pourraient répondre à cette question en déclarant qu’un programme de gestion de vulnérabilité, une politique et des processus de soutien sont en place – mais cela ne répond pas nécessairement à la question, dit Caralli.
«Dans une approche GQM, une ou plusieurs mesures peuvent être établies pour répondre à cette question et fournir des informations de tendance qui démontrent les compétences au fil du temps», dit-il.
5. Ratio d’évitement des coûts
L’efficacité d’un programme de cybersécurité peut être évaluée efficacement en utilisant le ratio d’évitement des coûts (CAR), une mesure comparative des coûts associés à la prévention, à la détection et à la réponse aux incidents par rapport aux pertes potentielles subies de ne pas le faire, a déclaré TIM Lawless, architecte de logiciels de maître et ingénieur d’assainissement de la vulnérabilité au Cybersecurity Innovation Institute.
Les mesures qui suivent la capacité d’une organisation à détecter, à répondre et à se remettre des incidents peuvent avoir un impact direct sur le coût global et les perturbations causés par de tels événements, dit Lawless. Ces dépenses comprennent les coûts de confinement, les efforts de recouvrement et les coûts d’opportunité des temps d’arrêt opérationnels. «Une voiture plus élevée reflète une posture de cybersécurité plus efficace, démontrant que les investissements proactifs dans les capacités de réponse aux incidents minimisent avec succès les dommages potentiels et maximisent la résilience organisationnelle.»
6. Temps moyen entre les échecs
Dans n’importe quelle entreprise, mais surtout les finances, la fiabilité est absolument fondamentale, explique Jason Pack, directeur des revenus de la société de prêt Freedom Debt Remeding, une société de services d’allégement de la dette. C’est pourquoi le temps moyen entre les échecs (MTBF) est devenu une métrique si essentielle pour évaluer la cyber-santé.
«Les clients et le marché dépendent d’un accès constant à des services tels que les services bancaires en ligne, le traitement des paiements et les plateformes de trading», observe Pack. «Un MTBF élevé montre que ces systèmes sont suffisamment stables et dignes de confiance pour que les gens comptent sur eux.»
MTBF fournit une image claire de la façon dont une infrastructure se comporte réellement et de la résilience qu’il est susceptible d’être confrontée à des perturbations, que ce soit de simples problèmes technologiques ou des menaces de sécurité, dit Pack. «Garder un œil sur le MTBF peut vous aider à prendre de l’avance sur les risques opérationnels, ce qui est certainement un objectif pour les régulateurs.»
Avec MTBF, il est possible d’anticiper les problèmes potentiels, de planifier la maintenance plus efficacement et, en fin de compte, et en fin de compte, les industries sensibles aux clients en profondeur sont construites, dit Pack. «En fin de compte, moins d’échecs de système signifient des temps d’arrêt moins chers, des opérations plus lisses pour tout le monde, et une confiance plus forte que vous pouvez livrer de manière fiable.»
7. Il est temps de contenir
Le temps de contenir (TTC) est ce qui détermine vraiment la résilience, affirme Antony Marceles, consultant en technologie et fondateur de la société de développement de logiciels Pumex. La détection seule ne suffit pas, note-t-il. « Si vous ne pouvez pas isoler et neutraliser rapidement la menace, le coût de la récupération peut monter en flèche. »
TTC reflète non seulement la réactivité d’une équipe de sécurité; Il montre également à quel point l’organisation a intégré ses protocoles de sécurité, ses outils d’automatisation et ses infrastructures cloud. «Dans notre entreprise, nous avons investi dans l’automatisation des actions de confinement pour des menaces communes et construit des exercices interfonctionnels pour tester notre temps de réponse, ce qui a considérablement raccourci notre TTC», explique Marceles. «Pour tout leader technologique, l’optimisation de ces mesures peut faire la différence entre une perturbation mineure et une catastrophe à part entière.»
8. Réduction des tentatives de phishing réussies
La réduction des tentatives de phishing réussies (RISPA) aborde directement un élément très humain en matière de sécurité, explique Gyan Chawdhary, vice-président de la société de cybersécurité informatique Security Compass. Il note que même avec les meilleurs contrôles techniques, un e-mail de phishing bien conçu peut inciter un employé à donner des informations d’identification ou à télécharger des logiciels malveillants.
«Le suivi du taux de réussite de ces attaques et montrant une tendance à la baisse indique que vos efforts en matière de formation de sensibilisation à la sécurité, associés à des contrôles techniques tels que le filtrage des e-mails et les outils antiphétistes, font une réelle différence dans le comportement des utilisateurs et votre résilience globale», dit-il.
Les dangers de négliger les KPI et les mesures de cybersécurité s’apprêtent à naviguer dans une entreprise complexe sans aucun rapport financier, dit Chawdhary.
«Vous opérez dans l’obscurité, sans compréhension réelle de vos forces, de vos faiblesses ou du rendement de vos investissements en matière de sécurité», explique-t-il. «Cela peut conduire à une mauvaise allocation des ressources, un faux sentiment de sécurité et, finalement, une probabilité plus élevée de vivre un incident de sécurité important.»
