Rares sont les articles aussi clairs sur un tel sujet. Scott Berinato de CIO décrit simplement comment dresser des tableaux de bord significatifs témoignant de la sécurité des S.I.. Point de statistiques, nulle intégrale, rien que de l'échelle temporelle, une pincée de scanner réseau, une feuille Excel (ou OpenOffice) et son module graphique et le tour est joué. La recette s'applique même aux petites et moyennes entreprises, sans qu'il ne soit nécessaire de dépenser des fortunes en auditeurs.
Les métriques selon Berinato se résument en 6 points. :
1. Les défenses de base (antivirus, antispywares firewall etc)
2. Les temps de latence de déploiement de correctif
3. La solidité des mots de passe
4. Les conformités des plateformes
5. Le volume du courrier électronique
6. L'index de risque
Le premier indicateur prend en compte les mises à jour des principaux logiciels de protection, le taux de couverture de ceux-ci, les disparités par service etc. Le second tableau, insiste l'auteur, nécessite une approche intelligente, capable de prendre en compte les tests de régression. Pour améliorer les mesures du tableau trois, promenez-vous avec un « password cracking tool » et faites une petite démonstration... ça impressionne toujours. L'état des mises en conformité peut, à moindre frais, être dressé avec quelques outils gratuits, tel celui du Center for Internet Security (souvent mentionné dans les colonnes de CSO France). Le cinquième graphique se passe de commentaire : les variations de flux smtp en apprennent parfois plus sur un état de crise que n'importe quel informateur secret. Le dernier point est peut-être le plus sujet à controverse : qu'est-ce qu'un risque, comment le pondérer, ces questions de CSO sont parfois très byzantines.
Bien plus qu'une recette pour homme sécu pressé, Berinato explique comment interpréter les résultats, et surtout comment ne pas utiliser ces mêmes résultats pour en tirer des conclusions hâtives. Chaque fiche pratique relative à une métrique particulière est également accompagnée d'une courte bibliographie. A lire, à retenir, à archiver.