Piloter sa gestion de risques par les indicateurs de performance (KPI) : quelle approche pour les directions sûreté et cyber sécurité ?

Publié par SDmagazine 17 mai 2019

Par nature, les indicateurs et les tableaux de bord sont des outils de gouvernance. Rapportés aux problématiques de cyber sécurité et de sûreté, ils doivent permettre de piloter les risques, de mesurer l’efficacité des plans d’action et enfin d’assurer l’adéquation des moyens aux enjeux et risques auxquels l’entreprise est confrontée. De facto, ils visent avant tout à éclairer les décideurs dans les choix impactant la résilience des systèmes de l’entreprise, en mettant en avant celle des activités cœur de métier. Les travaux du CIGREF(1) sont à ce titre particulièrement intéressants puisqu’ils offrent une vision de la cible à atteindre et des informations à mettre en avant.

Par Christophe Gueguen et Fabien Guillaume

En l’espèce, les retours d’expérience tendent à démontrer que cette cible n’est atteinte que dans de très rares cas. Des indicateurs sont quasi systématiquement présents, mais ils sont souvent cantonnés à un pilotage opérationnel des activités de sécurité et limités à un partage aux experts des organisations.

Cette situation trouve son origine dans la difficulté des experts à valoriser leurs activités auprès des dirigeants comme d’un manque d’appétence de ces derniers sur le sujet, vu encore trop souvent comme un mal nécessaire.

Pour autant, force est de constater que ce paradigme évolue radicalement et positivement. Le renforcement de la prise de conscience des enjeux de sécurité par les pouvoirs publics, les acteurs économiques et les consommateurs, oblige les dirigeants des organisations à disposer d’une vision claire et précise de leur niveau d’exposition aux risques et particulièrement aux risques cyber, considérés en 2019 comme la seconde source de risque pour les entreprises (2).

Cette évolution salutaire impose aux managers sécurité de faire évoluer leur fonctionnement pour que leurs indicateurs deviennent des outils d’aide au pilotage des risques, facilement compréhensibles par les parties prenantes : les experts, les métiers et bien évidemment le top management.

Quels que soient leur taille et leur secteur d’activité, toutes les sociétés ressentent le besoin de s’améliorer sur le sujet. Lors de discussions d’avant-projet, les débats tournent autour de deux sujets : quels objectifs souhaite-t-on atteindre et comment atteindre ces objectifs ?

Les objectifs, une question fondamentale

La question des objectifs est en effet la plus fondamentale, mais paradoxalement la plus simple à lever. En effet, même sans réelle formalisation, les acteurs sont souvent conscients de leur propre situation en termes d’enjeux et de maturité. Il est donc aisé de rapidement préciser les objectifs à prendre en compte et à prioriser. Parmi lesquels peuvent être cités :

  • Le pilotage de la mise en conformité à une politique de sécurité ou de sûreté,
  • La conformité aux exigences règlementaires dont certaines reposent sur le suivi de certains indicateurs (directive NIS(3) pour les Opérateurs de Services Essentiels);
  • La valorisation du niveau de sécurité de ses activités auprès de ses clients et partenaires pour faire de la sécurité un « business enabler »

Au-delà de l’objectif métier, les indicateurs vont devoir valoriser le travail des opérationnels, la bonne utilisation des budgets alloués et les éventuels manques en la matière.

Le « comment », plus ardu

En théorie, les objectifs doivent être déclinés en une liste d’indicateurs stratégiques et opérationnels pour lesquels les responsables concernées devront fournir les données.

Dans la pratique, la production d’un indicateur rencontre trois freins sur le terrain :

  • Les données nécessaires sont inexistantes ou d’une qualité trop médiocre pour apporter de la valeur,
  • La charge nécessaire à la fourniture des données (extraction et mise en qualité) est jugée trop importante par les opérationnels ;
  • Les destinataires de l’indicateur produit n’y trouvent finalement pas l’intérêt souhaité rendant caduc l’effort réalisé.

Ce dernier point revêt une importance capitale. En effet, il est primordial de construire des indicateurs qui font sens auprès de la population cible. Une lapalissade somme toute mais qui reflète une réalité bien prégnante : statistiquement, les taux réels d’usage des tableaux de bord construits sont très faibles.

Lever ces freins et réussir son projet de tableaux de bord sécurité passent donc par la mise en œuvre d’une réelle stratégie « data » sur ces risques très spécifiques avec trois axes clés.

  1. Choisir son outillage ; au travers d’un ou plusieurs outils, il va s’agir d’être en mesure de centraliser les données, de les cartographier et de les analyser, pour enfin de les restituer aux destinataires avec le juste niveau de pertinence. Ce dernier point ne doit pas être négligé. Sans le garantir, l’ergonomie des interfaces et la capacité à s’adapter aux usages des décideurs vont permettre l’adoption des tableaux de bord.
  2. Savoir raconter des histoires avec les données ; Même si l’intérêt pour le sujet est croissant, comprendre les risques nécessite un effort aux personnes non expertes pour en mesurer la gravité et les impacts sur les activités. Il est donc nécessaire de savoir raconter des histoires parlantes. Prenons le cas des comptes d’accès laissés actifs après le départ des collaborateurs. Ce point clé pour la sécurité ne suscitera pas le réel intérêt d’un directeur financier. Par contre, s’il est possible de valoriser la présence de chaque compte en coût d’abonnement (Office 365, Salesforce, etc.) ou d’exploitation (place parking, accès RE, accès site), nous transformons un problème de sécurité en problème de maitrise des dépenses pour lequel nous devrions avoir toute l’attention de la Direction Financière.
  3. Adopter une méthode agile ; les freins évoqués précédemment rendent illusoire la possibilité de disposer de tous les indicateurs souhaités au travers d’un projet classique. En la matière, l’adoption d’une méthode agile fait ses preuves. Au travers de l’implication de l’ensemble des parties prenantes (experts sécurité, responsable des sources de données et destinataires des indicateurs) sur un périmètre donné, on doit pouvoir identifier ce qu’il est possible de faire avec l’existant en suscitant l’intérêt des décideurs. Ainsi au-delà du fait que cette méthode permette l’obtention rapide de premiers résultats, elle assure un gain en maturité sur le sujet de sécurité. Les experts de la sécurité apprennent à vulgariser leurs discours pour passer les bons messages en identifiant les sujets qui retiennent l’attention ; et les équipes néophytes se rendent compte des situations à risque ainsi que des difficultés des équipes opérationnelles.

Construire et piloter sa gestion des risques par des indicateurs n’est donc pas chose aisée, mais des solutions sont à disposition. Ainsi, les organisations qui seront en mesure de créer une réelle synergie entre leurs experts « data » et leurs experts sécurité/sûreté auront une longueur d’avance pour bien positionner leurs investissements et renforcer leur résilience opérationnelle.

Les organisations qui seront en mesure de créer une réelle synergie entre leurs experts « data » et leurs experts sécurité/sûreté auront une longueur d’avance pour bien positionner leurs investissements et renforcer leur résilience opérationnelle.

  1. « Cybersécurité : Visualiser, Comprendre et Décider » – CIGREF – Octobre 2018
  2. Source Baromètre des risques 2019 d’Allianz
  3. DIRECTIVE (UE) 2016/ 1148 Chapitre V ; Article 14
PARTAGER TWEETER EPINGLER PARTAGER PARTAGER