Fonctionnement des dispositifs

Cet article vous permet de comprendre les différents score de conformité des dispositifs ainsi que la différence entre un dispositif privé/offert.

Sommaire 

1. Qu'est ce qu'un dispositif 

2. Dispositif privé / offert 

3. Les scores de conformité 

    a) Le score déclaratif 

    b) Le score de couverture

    c) Le score mesuré et la performance

 

1. Qu'est-ce qu'un dispositif ? 

Logiciels, processus, équipes permettant de sécuriser un périmètre. C'est l'élément pivot de Tenacy permettant de lier les objets entre eux. 

Le dispositif peut être :

  • opéré : il est déjà en place dans votre organisation
  • en construction : il n'existe pas dans votre organisation et vous devez le mettre en place

2. Dispositifs privé/offert

a) Le dispositif privé 

Pour une politique choisie, chaque périmètre aura :

  • son propre dispositif (issu du même dispositif proposé)
  • ses propres tâches récurrentes
  • et collectera ses propres métriques.

Dans l'exemple ci-dessous, Lyon et Lille opéreront chacun leur dispositif, collecteront chacun leurs tâches récurrentes et leurs métriques, de manière indépendante. 

b) Les dispositifs offerts 

Dispositif offert, mesuré en central

Pour une politique choisie :

  • 1 seul dispositif est crée pour plusieurs périmètres
  • 1 des périmètres est responsable de l'opérer pour lui-même (ou non) et les autres
  • 1 seule métrique sera collectée pour les différents périmètres

🔎 Il est tout à fait possible pour un périmètre d'offrir le dispositif opéré à d'autres périmètres sans l'opérer pour lui-même. 

Dans l'exemple ci-dessous, Lyon sera chargé d'opérer le dispositif, de collecter les tâches récurrentes et les métriques, pour lui-même et le périmètre de Lille.

Dispositif offert et mesuré en local 

Nuance sur le dispositif offert, il est également possible de choisir de récolter les métriques en local, pour chaque périmètre.

En reprenant l'exemple précédent, la case "Collecter les métriques pour chaque périmètre" est cochée, ainsi les métriques seront collectées pour chacun des 2 périmètres. 

🔎 Pour la collecte, soit chaque périmètre collecte de son côté, soit Lyon peut quand même être en responsabilité de collecter les 2 métriques. 


c) Créer un dispositif privé ou offert

Via le catalogue

⚙️ Roue crantée > Catalogue > Dispositif > "Opérer" un dispositif 

Vous pouvez ensuite retrouver votre dispositif opéré dans le socle de sécurité.

 

Via l'onglet "Politiques"

  • Politiques > Politique choisie > Affichage en score de couverture > Sélection de la mesure sur laquelle le dispositif s'applique.
  • "Ajouter un dispositif à la mesure" > shield-check-png "Opérer" le dispositif et sélectionner s'il est privé ou offert.

Le dispositif est déjà opéré en privé et je veux qu'il soit offert

Depuis l'onglet Politiques : Politique choisie > Affichage en score de couverture > Sélection de la mesure sur laquelle le dispositif s'applique.

  • "Ajouter un dispositif à la mesure" >  "Consommer" 
  • Choix du dispositif > Choix du périmètre consommateur.

Depuis le socle de sécurité : Sélectionner le dispositif > Modifier > Décocher la case "privé" > ajouter les périmètres consommateurs dans l'onglet "consommateurs".

3. Les scores de conformité

Pour la partie conformité, trois scores peuvent être affichés pour les périmètres ou les politiques (déclaratif, couverture, mesuré), ils correspondent à des niveaux de détail et confiance croissants.

a) Le score déclaratif 

Les scores déclaratifs proviennent des évaluations réalisées directement sur les politiques. Pour qu'un périmètre ait un score déclaratif il faut lui associer une politique et réaliser au moins une évaluation pour ce périmètre sur cette politique (le score de la dernière évaluation est utilisé).

💡 Le score dépendra de la réponse de votre évaluation et de l'échelle utilisée. 

Sur l'exemple ci dessous si je prends mon échelle de maturité mon score sera 0, 25, 50, 75 ou 100. Sur l'échelle conformité mon score sera 0 (réponse non conforme) ou 100 (réponse conforme)

🔎 Pour en savoir plus sur les évaluation, vous pouvez lire cet article

 

b) Le score de couverture

Les scores de couverture se basent sur les socles de sécurité des périmètres (ensemble des dispositifs consommés) et les associations entre dispositifs et mesures de sécurité.

Ils indiquent dans quelle proportion les dispositifs en place couvrent les exigences des politiques associées aux périmètres. C'est la couverture théorique définie dans votre politique. 

💡La couverture d'une mesure de politique présente 3 cas de figure :

Premier cas :

Vous devez avoir les 2 dispositifs pour couvrir la mesure à 100%.

Second cas : 

Dans cet exemple vous avez le choix des dispositifs à mettre en place pour couvrir cette règle.

Troisième cas :

Un seul dispositif vous permet d'être conforme à 100%.

Vous pouvez voir le score de couverture de vos dispositifs dans l'onglet Politiques > cliquer sur la politique > Vue "Couverture" :

🔎Mise à jour du 10/09/2023 : Pour le score de couverture vous avez maintenant la possibilité de prendre en compte l'efficacité du dispositif. 

Si vous souhaitez utiliser l'efficacité du dispositif dans le score de couverture le paramétrage est au niveau de la roue crantée ⚙️ > Préférences. 

Faire une recherche avec le mot clé "Coverage" 

  • True = Efficacité du dispositif est prise en compte
  • False = Efficacité du dispositif n'est pas prise en compte

🔔N'hésitez pas à nous écrire dans le chat pour faire la manipulation.

c) Le score mesuré

Les scores mesurés vont prendre en compte la performance de votre dispositif. 

En quoi consiste le score de performance ?

Le score de performance est calculé uniquement sur vos dispositifs opérés. Ce dernier vous permet d'attester de la performance de vos dispositifs en se basant sur

  • les indicateurs de performance liés aux dispositifs
  • la réalisation (ou non) des tâches récurrentes associées, sur les 12 derniers mois.

On parle alors de score de performance opérationnelle. 

🔎 Les indicateurs d'activité comme "PHI.I03 - Nombre de clic (Phishing)" seront liés à des dispositifs mais ne seront pas pris en compte dans le calcul du score de performance.

⚠️ Attention, le score opérationnel n'est qu'une partie du score de performance. La performance prend aussi en compte l'efficacité du dispositif. Un dispositif avec une performance opérationnelle de 100% aura un score de performance réduit si son efficacité n'est pas à 100%. Le score est pondéré par l'efficacité du dispositif.

 

Schéma conceptuel du calcul de la performance d'un dispositif

 

Exemple avec un dispositif avec une efficacité de 100 sur la mesure 4.7 du CIS Control V8

 

Exemple avec un dispositif avec une efficacité de 80 sur la mesure 4.8 du CIS Control V8

 

⚠️Les dispositifs sans contrôle (Taches récurrentes et indicateurs) auront une valeur de « performance opérationnelle » appliqué de 75% pour le calcul.

Ex :

  • 4.8 CIS V8 = 75
  • 4.7 CIS V8 = 37,5 arrondi à 38.

Cette valeur par défaut peut être modifiée dans les préférences : measure.default_performance