Question etrange que de prendre la température de la sécurité ? Et pourtant, "tout ce qui ne se mesure pas... n'existe pas " parait il... Donc en suivant ce principe, tout responsable sécurité devrait pouvoir exhiber quelques éléments de mesure du niveau de sécurité de son entreprise. Apres tout, les responsables qualité affichent leur "taux de rebus" ou le nombre de pièces en retour SAV, le responsable contentieux, le taux de litiges ou le responsable service client , le taux de resolution des problèmes. Et le Rssi ? C'est peut etre la une des dimensions du problème : sans indicateur, même très élèmentaire, difficile d'évoluer la situation (hormis après le sinistre...), de se fixer des objectifs, de communiquer et... de négocier des investissements.
Alors pour ou commencer ? Peut etre par le plus simple : un note de 1 à 10 (comme a l'école, comme cela tout le monde comprend), qui apprécie les différents domaines de la sécurité (point trop n'en faut) : les postes, les reseaux, les applications , les sites... en prennant soin d'actualiser la publication de ces mesures (l'effet répétition) afin d'habituer et de faire réagir... Apres cette premiere phase, il est possible de sophistiquer les choses (intégrité, confidentialité, etc) et de les relier à des mesures physiques (ex. taux de spam, taux de consommation illicite de la bande passante réseau, etc).
Je vous proposerai ensuite d'approffondir le sujet sur l'automatisation et la gestion de ces résultats. A Lire le rapport du Clusif qui propose une démarche à adapter a votre contexte