Plan de surveillance, plan de maintien en conditions opérationnelles (MCO), plan de maintien en conditions de sécurité (MCS), le plan de contrôle revêt plusieurs noms. Voici comment le mettre en place dans Tenacy.
Sommaire
1. Introduction : notions de base et théorie
1.1. Notions de base
1.2. Théorie
3. En pratique comment créer un nouveau contrôle ?
3.2. Créer la tâche récurrente
3.3. Les autres éléments d'une tâche récurrente
3.4. Mettre à jour le tableau de bord
1. Introduction : notions de base et théorie
1.1. Notions de base
Dispositifs
Un dispositif est un logiciel et/ou processus et/ou équipe permettant de sécuriser un périmètre.
Pour effectuer un plan de contrôle, il faut que le dispositif soit opéré dans Tenacy.
Un dispositif opéré :
- Dispositif actuellement en place sur le périmètre
- Peut être complété pour valider l'état par : actions d'amélioration / tâche récurrente
Tâches récurrentes
- La réalisation des tâches récurrentes participe à la performance de vos dispositifs
- 2 types de taches récurrentes : opérationnelle ( Ex : mise à jour de l'AD suite départ/arrivée) et contrôle ( Ex : vérifier que tous les comptes de l'AD actifs correspondent à des employés actifs)
🔎 Les tâches récurrentes peuvent uniquement être créées sur des dispositifs opérés. ⚠️ Un dispositif peut être contrôlé par plusieurs tâches récurrentes mais 1 tâche récurrente contrôle 1 seul dispositif.
Métriques
- Une métrique peut être rattachée à une Tâches Récurrente.
- La métrique est collectée par l'opérateur de la tâche récurrente et peut être vue comme son résultat.
Utilisateurs
Le pilote créé le contrôle et l'affecte à un autre utilisateur (pilote ou contributeur).
1.2. Théorie
🔎 Un contrôle est une vérification périodique permettant de vérifier et mesurer l’application d’une mesure de sécurité.
➡️Dans Tenacy une tâche récurrente permet de collecter des métriques pour mesurer l’efficacité d’un dispositif.
Exemple :
la tâche récurrente "Contrôle de conformité messagerie" permet de collecter la métrique "Nombre de domaines surveillés" pour mesurer l'efficacité du dispositif "Sécurité Messagerie"
1.3. Modélisation dans Tenacy
2. Reporting des contrôles
Chacune des fonctions génère des indicateurs :
- Tâche récurrentes :
➡️ Taux de réalisation (et approbation si nécessaire) d'une tâche
➡️ Taux de réalisation d'un groupe de tâches
➡️ Taux de tâches récurrentes de type "contrôle" effectués avec succès - Métriques :
➡️ Formules personnalisables (+ - * /, nombre de jours etc.)
➡️ Indicateur avec historique (fréquence fixes)
➡️ Indicateur activités et performances - Dispositif :
➡️Performance du dispositif
Taux de réalisation des TR x Atteinte des objectifs des indicateurs de performance
3. En pratique comment créer un nouveau contrôle ?
Pour chaque dispositif il faudra identifier les actions de vérifications possibles et trouver leur fréquence et ensuite créer les tâches récurrentes et les registres nécessaires pour ce reporting.
3.1. Identifier le dispositif
Identifier le dispositif et le périmètre à contrôler. S'il n'est pas déjà opéré sur votre environnement, instancier le dispositif.
Depuis le catalogue ou le socle de sécurité.
3.2. Créer la tâche récurrente
Créer la tâche récurrente de contrôle et l'associer au dispositif.
Tâches récurrentes > bouton "Ajouter une tâche récurrente"
Paramètres à remplir :
- Nom : Titre du contrôle
- Dispositif identifié pour contrôler la mesure de sécurité
- Périodicité : fréquence cible
- Identifiant : non obligatoire, si vous laissez vide la solution génèrera automatiquement un ID
- Charge : estimation en jour de la charge de travaille à la réalisation de l'occurrence du contrôle
- Responsable : utilisateur / groupe en charge de la saisie
- Approbateur : utilisateur /groupe en charge de la validation
- Début : début de la période du contrôle
- Fin : optionnel - permet de définir jusqu'à quand le contrôle doit être réalisé
- Preuve obligatoire : permet d'activer la saisie d'une preuve (lien/document) sur la saisie d'un contrôle.
- Fenêtre de réalisation : optionnel - nombre de jours avant la fin de la période dans laquelle il est possible de saisir la tâche.
- Permettre NA : permet d'autoriser à un contributeur l'enregistrement d'un contrôle comme N/A.
- Labels : optionnel - tags, permet de filtrer.
- Nature : Tenacy permet de différencier une tâche récurrente opérationnelle d'une tâche récurrente de contrôle.
🔎 Une tâche récurrente de contrôle permet 3 options lors de la saisie :
Fait Ok : la TR est effectuée et le résultat est celui attendu
Fait KO : la TR est effectuée mais le résultat n'est pas celui attendu
Non fait : la TR n'a pas été effectuée
Vs.
Une tâche récurrente opérationnelle permet 2 options de saisies
Fait : la TR est effectuée
Non fait : la TR n'est pas effectuée
3.3. Les autres éléments d'une tâche récurrente
Onglet Historique : ici vous pouvez renseigner la réalisation (ou non) ou consulter l'historique de la tâche. Vous pouvez alors :
- spécifier le réalisateur de la tâche
- choisir si la tâche a réalisée ou non
- spécifier la date de réalisation
- ajouter un commentaire
- joindre un fichier ou un lien de preuve ou d'information (par exemple une liste de comptes supprimés).
Métriques :
Une fois la tâche récurrente créée, vous pouvez lier la tâche récurrente à une ou plusieurs métriques que vous souhaitez récolter.
Bien que non obligatoire, cela vous permet de saisir des données à chaque tâche récurrentes réalisée.
La saisie des métriques sera demandée lorsque la tâche récurrente est marquée comme "Faite".
💡Cet article sur l'association de métriques à une tâche récurrente vous indique les différentes manières de procéder.
Fichiers : ici vous pouvez joindre les procédures et templates. L'onglet est consultable par le responsable de la saisie.
Activité : vous pouvez consigner des notes et échanger sur la tâche depuis l'onglet Activité.
3.4. Mettre à jour le tableau de bord
Une fois vos contrôles créés et organisés (création de groupes et de registres) sélections de vos blocs dans votre TDB.
En complément, si vous utilisez des contrôles pour récolter des métriques, vous pouvez reporter sur ces nouveaux indicateurs.