Formation ISO 27004 : indicateurs et tableaux de bord en cybersécurité

1/ Introduction aux indicateurs

• Qu'est-ce qu'un indicateur ?

• Vocabulaire

2/ Indicateurs : pourquoi mesurer une activité ?

• Peut-on piloter sans instruments ?

• Quelle valeur ajoutée

3/ Points à mesurer dans le domaine de la SSI

• Besoins du RSSI : Conformité, Sécurité, Communication

• Efficience de la sécurité

• Coût de la sécurité, ou de l'absence de sécurité

• Conformité aux normes, référentiels, exigences, réglementations

4/ Approches pour gérer les indicateurs

• Les travaux issus du monde de la sécurité : ANSSI, ISO, CLUSIF, CIGREF

• Quelques techniques de communication au service des indicateurs

• Coût des indicateurs

5/ Démarche de mise en oeuvre

• Vue d’ensemble de la démarche

• Concevoir ses indicateurs :

• Définir ses besoins et ses finalités

• Définir les moyens de production

• Façon de produire ses indicateurs

• Communiquer ses indicateurs

• Auditer ses indicateurs

6/ Conseils pratiques

• Principaux indicateurs à mettre en place :

• Indicateurs pour un Système d’Information (SI)

• Indicateurs pour un SMSI

• Exemples

• Les erreurs à éviter

• Savoir identifier les solutions simples et efficaces (« quick wins »)

7/ Norme ISO 27004

• Contexte, vocabulaire, structure

• Modèle de mesurage

• Responsabilité de la direction

• Développement, exploitation, analyse

• Evaluation

• Spécifications

• Processus de mise en œuvre de la norme ISO27004

• Quels indicateurs pour quel usage