Introduction : notions de base et théorie
Notions de base
Mesures de sécurité
Une mesure est un logiciel et/ou processus et/ou équipe permettant de sécuriser un périmètre.
Pour effectuer un plan de contrôle, il faut que la mesure soit implémenté dans Tenacy.
Une mesure implémentée :
Mesure de sécurité actuellement en place sur le périmètre
Peut-être complété pour valider l'état par : actions d'amélioration / tâche récurrente
Tâches récurrentes
La réalisation des tâches récurrentes participe à la performance de vos mesures de sécurité
2 types de tâches récurrentes : opérationnelle (Ex : mise à jour de l'AD suite départ/arrivée) et contrôle (Ex : vérifier que tous les comptes de l'AD actifs correspondent à des employés actifs)
🔎 Les tâches récurrentes peuvent uniquement être créées sur des mesures de sécurité implémentées.
⚠️ Une mesure peut être contrôlée par plusieurs tâches récurrentes, mais 1 tâche récurrente contrôle 1 seule mesure de sécurité.
Métriques
Une métrique peut être rattachée à une tâche récurrente.
La métrique est collectée par l'opérateur de la tâche récurrente et peut être vue comme son résultat.
Utilisateurs
Le pilote créé le contrôle et l'affecte à un autre utilisateur (pilote ou contributeur).
Théorie
🔎 Un contrôle est une vérification périodique permettant de vérifier et mesurer l’application d’une exigence.
➡️Dans Tenacy une tâche récurrente permet de collecter des métriques pour mesurer l’efficacité d’une mesure de sécurité.
Exemple :
La tâche récurrente "Contrôle de conformité messagerie" permet de collecter la métrique "Nombre de domaines surveillés" pour mesurer l'efficacité de la mesure de sécurité "Sécurité Messagerie".
Reporting des contrôles
Chacune des fonctions génère des indicateurs :
Tâches récurrentes :
➡️ Taux de réalisation (et approbation si nécessaire) d'une tâche
➡️ Taux de réalisation d'un groupe de tâches
➡️ Taux de tâches récurrentes de type "contrôle" effectués avec succèsMétriques :
➡️ Formules personnalisables (+ - * /, nombre de jours, etc.)
➡️ Indicateur avec historique (fréquence fixe)
➡️ Indicateur activités et performancesMesure :
➡️Performance de la mesure de sécurité
Taux de réalisation des TR x Atteinte des objectifs des indicateurs de performance
Ces indicateurs peuvent être représentés dans un tableau de bord.
En pratique, comment créer un nouveau contrôle ?
Pour chaque mesure de sécurité, il faudra identifier les actions de vérifications possibles et trouver leur fréquence et ensuite créer les tâches récurrentes et les registres nécessaires pour ce reporting.
Identifier la mesure de sécurité
Identifier la mesure et le périmètre à contrôler. S'il n'est pas déjà implémenté sur votre environnement, instancier la mesure.
Depuis le catalogue :
ou le socle de sécurité :
Créer la tâche récurrente
Cela peut se faire depuis le socle de sécurité, en cliquant sur la mesure concernée, si vous souhaitez ajouter une tâche récurrente proposée par notre catalogue :
Ou alors depuis le module Tâches récurrentes en créant la tâche récurrente de contrôle et l'associer à la mesure de sécurité.
Tâches récurrentes > bouton "Ajouter une tâche récurrente"
Paramètres à remplir :
Nom : Titre du contrôle
Mesure identifiée pour contrôler l'exigence
Périodicité : fréquence cible
Identifiant : non obligatoire, si vous laissez vide la solution génèrera automatiquement un ID
Charge : estimation en jour de la charge de travail à la réalisation de l'occurrence du contrôle
Responsable : utilisateur / groupe en charge de la saisie
Approbateur : utilisateur /groupe en charge de la validation
Début : début de la période du contrôle
Fin : optionnel – permet de définir jusqu'à quand le contrôle doit être réalisé
Preuve obligatoire : permet d'activer la saisie d'une preuve (lien/document) sur la saisie d'un contrôle.
Fenêtre de réalisation : optionnel – nombre de jours avant la fin de la période dans laquelle il est possible de saisir la tâche.
Permettre NA : permet d'autoriser à un contributeur l'enregistrement d'un contrôle comme N/A.
Labels : optionnel – tags, permet de filtrer.
Nature : Tenacy permet de différencier une tâche récurrente opérationnelle d'une tâche récurrente de contrôle.
🔎 Une tâche récurrente de contrôle permet 3 options lors de la saisie :
Fait Ok : la TR est effectuée et le résultat est celui attendu
Fait KO : la TR est effectuée, mais le résultat n'est pas celui attendu
Non fait : la TR n'a pas été effectuée
Vs.
Une tâche récurrente opérationnelle permet 2 options de saisies
Fait : la TR est effectuée
Non fait : la TR n'est pas effectuée
Les autres éléments d'une tâche récurrente
Onglet Historique : ici, vous pouvez renseigner la réalisation (ou non) ou consulter l'historique de la tâche. Vous pouvez alors :
spécifier le réalisateur de la tâche
choisir si la tâche a été réalisée ou non
spécifier la date de réalisation
ajouter un commentaire
joindre un fichier ou un lien de preuve ou d'information (par exemple une liste de comptes supprimés).
Métriques :
Une fois la tâche récurrente créée, vous pouvez lier la tâche récurrente à une ou plusieurs métriques que vous souhaitez récolter.
Bien que non obligatoire, cela vous permet de saisir des données à chaque tâche récurrente réalisée.
La saisie des métriques sera demandée lorsque la tâche récurrente est marquée comme "Faite".
💡Cet article sur l'association de métriques à une tâche récurrente vous indique les différentes manières de procéder.
Fichiers : ici, vous pouvez joindre les procédures et templates. L'onglet est consultable par le responsable de la saisie.
Activité : vous pouvez consigner des notes et échanger sur la tâche depuis l'onglet Activité.
Mettre à jour le tableau de bord
Une fois vos contrôles créés et organisés (création de groupes et de registres) sélections de vos blocs dans votre TDB.
En complément, si vous utilisez des contrôles pour récolter des métriques, vous pouvez reporter sur ces nouveaux indicateurs.