Upload
elga
View
31
Download
2
Embed Size (px)
DESCRIPTION
Un tableau de Bord Sécurité comme outil de communication. Communiquer avec ses parties prenantes et piloter sa sécurité. [email protected]. Quels besoins ?. Communiquer avec des parties prenantes (sans expertise technique particulière) - PowerPoint PPT Presentation
Citation preview
www.lineon.fr
Un tableau de Bord Sécurité comme outil de communication
Communiquer avec ses parties prenantes et piloter sa sécurité
www.lineon.fr
Quels besoins ?
1. Communiquer avec des parties prenantes (sans expertise technique particulière)
2. Représenter une information de manière visuelle afin de :– Prendre une décision– Justifier un choix– Contrôler un fonctionnement– Simuler et expliquer
• Représenter la connaissance d’un système
– Diagnostiquer
www.lineon.fr
Plusieurs cas d’usage
• Pour un suivi périodique– Meta-indicateurs– Tendances– Faits marquants– Suivi d’activité
• Pour une utilisation ponctuelle– Meta-indicateurs– Indicateurs (ciblés)– Eléments techniques
www.lineon.fr
Tableau de Bord : Key Points
• Outil de communication avec le management ou les métiers• Représentation claire, épurée et attrayante graphiquement• Démarche industrialisée et inscrite dans un processus d’amélioration
continue• Eviter le “bruit” pour garantir la lisibilité et la compréhension• Souplesse et adaptabilité du tableau de bord pour servir les objectifs de
communication
Stable & Graphique
Attractif visuellement – Didactique - Synthétique
Associé à une vue métier
www.lineon.fr
Illustration du “bruit”
www.lineon.fr
Et les indicateurs ?
• Grand nombre d’indicateurs disponibles• Liés au système d’information• Informations indicatives ou métriques• Changent suivant les évolutions de l’environnement• Issues ou produites dans le cadre :
– Du reporting– De sources techniques– D’avis d’experts
• Eventuellement normalisés : ISO/IEC 27004
www.lineon.fr
Indicateurs : Key Points
• Issus de l’expertise, des outils et des ressources SI
• Informations riches et complexes• Tendances à l’exhaustivité• Extraits et ciblés pour être communicables
• Souples• Evolutifs• Hétérogènes
Inutilisables en l’état pour communiquer
Associés à une vue SI
www.lineon.fr
Synthèse de la problématique
Synthétiser les indicateurs pour intégrer
l’information dans le tableau de bord
www.lineon.fr
Démarche adoptée
Identifier ce que l’on a à
dispositionDéfinir les règles de synthèse
Il n’est pas nécessaire d’avoir une cartographie exhaustive, une cartographie indicative suffit, basée sur :
• Des statistiques • Une conformité• Un ressenti• …
www.lineon.fr
L’information à disposition
• Une connaissance intuitive :– Au travers de la perception du fonctionnement:• Du Système d’Information• Des processus métiers ou sécurité
– Issues des éléments techniques produits par les ressources SI
Cette connaissance n’est pas déterministe, il y a des incertitudes
www.lineon.fr
Comment faire le lien ?1ere approche
• Système expert deterministe– Il décrit un processus de raisonnement
• Complexe à décrire
– Il n’est pas évolutif • Complexité du modèle à maintenir• Ajout de critère de pondération nécessaire
– Traitement de relation binaire• Ne gère pas l’incertitude
www.lineon.fr
Ex : Système Expert Déterministe
www.lineon.fr
Comment faire le lien ?2eme approche
• Réseau de neurones– Système statistique par apprentissage
• Historique de données important nécessaire• Sources uniquement numériques
– En cas de sources de données réduites• biais potentiel lié au choix de l'échantillon
– Fonctionnement non “human readable”• Règles de fonctionnement hermétiques
– Traitement de relation binaire• Ne gère pas l’incertitude
– Gère difficilement les données hétérogènes• Ajout d’une fonction de normalisation indispensable en entrée
www.lineon.fr
Ex : Réseau de neuronesSo
urce
s d’
info
rmati
ons
Met
a-In
dica
teur
s
www.lineon.fr
Comment faire le lien ?3eme approche
• Réseaux Bayésiens– Modèle basé sur graphe causal
• Modélisation intuitive– Relations basées sur des calculs
de probabilités conditionnelles• Gère l’incertitude
– Uniformité des règles mathématiques appliquées• Rigueur de l’approche• Rejouabilité du modèle
– Capacité d'apprentissage incrémentale• Modification partielle du
modèle ne l'impacte pas dans sa globalité
Permet de transformer en modèle interprétable : - une connaissance noyée dans des chiffres- Une connaissance intuitive d’un fonctionnement
www.lineon.fr
Réseaux Bayésiens : quelques informations
• Modèle qui permet de combiner l’approche qualitative et l’approche quantitative :
• Le Graphe causal => représente l’aspect qualitatif (l’expertise) *• Les probabilités conditionnelles => représentent l’aspect quantitatif (statistique)* Un graphe causal représente la perception du fonctionnement
Graphe Causal
Système expert deterministe
Probabilités conditionnelles
Modèle d’analyse statistique
Réseau Bayésien
Le lien entre TdB et Indicateurs
Directement issu des indicateurs et de l’historique
• Acquisition• Représentation• Utilisation
www.lineon.fr
Réseaux Bayésiens : Définition
Permet de calculer des probabilités conditionnelles d’évènements reliés les uns aux autres par des liens de
causes à effet
Raisonnement par Inférence
D’un point de vue mathématique :La connaissance de l’APriori est transformée APosteriori suivant la Vraisemblance
APosteriori F(Vraisemblance x Apriori)
www.lineon.fr
Comment ca marche concrètement
• Exemple : Risque d’accident sur machine outil
www.lineon.fr
Une démarche et des outils
• Gestion des informations et des moyens de collecte => (ex : ETL, SIEMS, questionnaires, rapports d’audit, …)
• Gestion des indicateurs, de leur production et du reporting associé => BI (ex : Jaspersoft, Pentao, Business Object, …)
• Gestion des réseaux bayésiens => (ex : Genie, Smile, …)
• Production du tableau de bord => (ex : WebApp Html5/JS)
www.lineon.fr
Cas d’usage : Tableau de Bord pour Bastion
• Contexte sécurité métier– Vol direct d’informations
brutes et/ou traitées– Divulgation volontaire
/involontaire d’informations– Atteinte à l’efficacité métier
• Géré via un SMSI• Pas de réglementation
spécifique à appliquer• Suivi spécifique par la
direction et/ou les clients
www.lineon.fr
Structure & Meta-Indicateurs
• Evaluation du niveau d’exposition au risque– Sur base de l’évaluation de l’exposition à 3 enjeux métiers
identifiés
• Evaluation du niveau d’efficacité de la sécurité SI– Sur base de l’analyse des incidents de sécurité relatifs aux 3
enjeux métiers identifiés• Evaluation du niveau de sécurité (base ISO/IEC 27002)
– Sur base de 5 domaines de l’ISO/IEC 27002 identifiés comme pertinents par le métier
Evaluation du “Score” de sécurité – Synthèse des 3 méta-indicateurs
www.lineon.fr
Sources d’informations et indicateurs
• Sources techniques :– Résultats de scans de vulnérabilité– Résultats d’analyse de configuration automatique– Reporting du système de gestion d’incidents
• Sources fonctionnelles :– Résultats d’audit– Reporting du système IAM• Niveau de sensibilité• Cartographie des assets
www.lineon.fr
Graphe Causal(réseau bayésien)
www.lineon.fr
Visuel de Tableau de bord pour le cas d’usage
Type d’informations :• Un « score » sécurité• Les meta-indicateurs• Les évolutions dans le
temps (trends)• Les points clés et/ou
incidents• Le suivi des projets
principaux• Le calendrier
78
*version en cours de design
D’autres outils de visualisation possibles :RoamBI, Dundas, …
www.lineon.fr
Synthèse : Architecture fonctionnelle
www.lineon.fr
LINEONImmeuble Elysées la Défense
7c place du dôme92056 PARIS LA DEFENSE CEDEX
+33 (0) 1 73 02 67 27