Alain Rees · 12-07-2026 · 10 min leestijd
En tant que CISO et en tant que CISO Office, vous voulez savoir où vous en êtes, tant au niveau de l'organisation qu'à celui de votre propre fonction. Le reporting à la direction en découle naturellement. Le véritable objectif est de mesurer suffisamment pour pouvoir piloter et corriger à temps. Dans cet article, vous découvrez comment le faire avec des indicateurs, comment distinguer la performance de l'atteinte des objectifs, et comment mesurer à deux niveaux sans vous noyer dans les chiffres.
En bref
- Vous ne mesurez pas pour rendre compte, mais pour pouvoir piloter et corriger à temps.
- Un indicateur de performance (KPI) montre comment vous performez, un indicateur d'objectif (KGI) montre si vous atteignez l'objectif.
- Vous mesurez à deux niveaux, à savoir l'organisation et le CISO Office.
- Chaque indicateur a une valeur cible et une direction, et des mesures périodiques donnent la tendance et un feu tricolore.
- Commencez par des mesures manuelles qui fonctionnent pour chaque sujet, et automatisez plus tard là où c'est possible.
Beaucoup d'organisations rendent compte de la sécurité de l'information, mais mesurent trop peu pour réellement pouvoir la piloter. Un rapport indique après coup ce qui s'est passé, tandis que de bonnes mesures vous permettent de corriger en cours de route. Cette différence est grande. Une direction qui reçoit un rapport chaque trimestre sait où en étaient les choses, mais un CISO qui suit la tendance voit venir qu'un objectif devient hors de portée et peut encore y remédier.
Mesurer sert donc avant tout votre propre pilotage. Le reporting à la direction en découle naturellement, car si vous mesurez les bonnes choses, vous avez déjà le récit prêt pour la direction.
Pour pouvoir piloter, vous utilisez deux types d'indicateurs qui se complètent.
Un indicateur de performance, le KPI, montre à quel point vous performez sur le chemin d'un objectif. Le temps moyen de correction des vulnérabilités critiques est un tel indicateur, car il indique à quelle vitesse vous travaillez.
Un indicateur d'objectif, le KGI, montre si vous atteignez réellement l'objectif. Le pourcentage de vulnérabilités critiques corrigées dans le délai convenu est un tel indicateur, car il indique si vous atteignez la norme que vous vous êtes fixée.
Les deux vont de pair. Le KPI pilote votre travail quotidien, le KGI veille à ce que ce travail mène au résultat souhaité. Ensemble, ils évitent que vous travailliez dur sans atteindre votre objectif, ou que vous atteigniez votre objectif sans savoir comment.
Où vous en êtes est une question à deux niveaux, et vous les mesurez tous les deux.
La perspective de l'organisation montre où en est l'organisation en matière de sécurité. Pensez aux vulnérabilités corrigées à temps, aux incidents signalés dans les délais et aux plans de continuité qui ont été testés.
La perspective du CISO Office montre comment votre propre fonction performe dans le pilotage et la surveillance de tout cela. Pensez aux évaluations vérifiées à temps, aux registres à jour et au reporting qui parvient à temps à la direction.
Ces deux perspectives peuvent diverger. L'organisation peut bien s'en sortir alors que le CISO Office est en retard, ou l'inverse. En mesurant les deux, vous gardez à l'œil l'angle mort qui apparaît lorsque vous ne regardez qu'un seul niveau.
Un indicateur utile est plus qu'un chiffre. Pour chaque indicateur, vous consignez un certain nombre de propriétés :
Grâce à ces propriétés, un indicateur devient lisible par lui-même. Chacun voit d'un coup d'œil ce qui est mesuré, quel est l'objectif et qui en a la charge.
Un indicateur prend vie par la mesure. Périodiquement, vous consignez une valeur, avec la date, le chiffre et un bref commentaire. De cette série de mesures découlent d'elles-mêmes la tendance et l'état actuel.
La comparaison avec la valeur cible donne ensuite un feu tricolore. Si la valeur est au niveau ou au-dessus de la valeur cible, l'indicateur est sur la bonne voie et passe au vert. S'il est juste en dessous, il demande de l'attention et passe à l'orange. S'il reste à la traîne, il passe au rouge. Ainsi, vous voyez d'un coup d'œil où les choses vont bien et où vous devez intervenir, sans avoir d'abord à décortiquer un tableau.
Le commentaire de chaque mesure importe plus qu'il n'y paraît. Il explique une valeur aberrante, consigne une hypothèse et rend la mesure traçable par la suite.
Pour mesurer, il est payant de commencer de façon pratique. Des mesures manuelles périodiques constituent la meilleure base, car elles fonctionnent pour chaque sujet. Même un indicateur comme le taux de signalement du phishing, qui provient de votre plateforme de sensibilisation, se consigne ainsi facilement.
Une partie des indicateurs peut être alimentée plus tard automatiquement à partir de données que vous avez déjà. Pensez au temps moyen de correction, au nombre de risques au-dessus de la tolérance, aux délais issus de la directive NIS2, aux dates de révision de vos registres et au taux de mise en œuvre de votre Déclaration d'applicabilité. C'est une étape suivante judicieuse, même si ce n'est pas une condition pour commencer.
Vouloir mesurer chaque indicateur automatiquement est un piège. Cela exigerait une construction énorme et en partie impossible, alors qu'une mesure manuelle par trimestre vous en dit souvent juste assez pour piloter. Commencez donc manuellement, et automatisez de manière ciblée là où cela fait vraiment gagner du temps.
Lorsque vous mesurez, deux types de vue d'ensemble apparaissent, qui se complètent.
Pour votre propre pilotage, vous utilisez une carte de score, c'est-à-dire une vue d'ensemble comportant, pour chaque indicateur, le feu tricolore et une mini-tendance, regroupés par perspective et par sujet. Cette carte de score est votre instrument de travail, avec lequel vous voyez en une seule image où vous en êtes et où vous devez corriger.
Pour la direction, vous résumez cela dans un bloc d'indicateurs de performance et d'objectif dans le rapport de gestion régulier. La direction n'a pas besoin de voir chaque indicateur, mais veut l'état dans les grandes lignes, la tendance et les points qui demandent de l'attention. Ainsi, mesurer reste proche de l'objectif : c'est le pont entre votre pilotage quotidien et la reddition de comptes à la direction.
Les indicateurs appartiennent à la base de votre système de management, à chaque plan, car il s'agit d'informations pour le conseil et la direction, tout comme le rapport de gestion lui-même. Leur gestion revient aux managers et aux gestionnaires qui gèrent aussi les sujets sous-jacents, afin que l'indicateur reste proche de la source.
Ainsi, la mesure se relie directement à votre sécurité de l'information et gestion des risques (ISMS) et à des sujets comme la gestion des vulnérabilités. Les indicateurs forment ainsi la couche de pilotage au-dessus du reste de votre maîtrise, au lieu d'une collection éparse de chiffres.
Les exemples ci-dessous vous aident à démarrer. Choisissez-en un petit nombre, car mieux vaut quelques indicateurs que vous tenez vraiment à jour qu'une longue liste qui se dilue.
Organisation, comment se porte l'organisation
| Sujet | Indicateur | Type | Valeur cible |
|---|---|---|---|
| Vulnérabilités | Vulnérabilités critiques corrigées dans le délai | KGI | ≥ 95 % |
| Vulnérabilités | Temps moyen de correction des vulnérabilités critiques | KPI | ≤ 14 jours |
| Gestion des risques | Risques majeurs avec un plan de traitement à jour | KGI | 100 % |
| Gestion des risques | Risques au-dessus de la tolérance sans acceptation | KPI | 0 |
| Incidents | Incidents à notification obligatoire signalés dans les 72 heures | KGI | 100 % |
| Incidents | Délai moyen de l'incident à la résolution | KPI | en baisse |
| Vie privée | Traitements avec une base légale valide et une révision à jour | KGI | 100 % |
| Continuité | Plans de continuité testés au cours de l'année écoulée | KPI | 100 % |
| Conformité | Taux de mise en œuvre de la Déclaration d'applicabilité | KGI | en hausse |
| Sensibilisation | Taux de signalement du phishing | KPI | en hausse |
CISO Office, comment se porte le CISO
| Indicateur | Type | Valeur cible |
|---|---|---|
| Évaluations vérifiées dans le délai selon le principe des quatre yeux | KPI | ≥ 90 % |
| Risques avec un propriétaire et un traitant assignés | KGI | 100 % |
| Registres dans leur date de révision (risques, documents, traitements) | KPI | ≥ 95 % |
| Tâches en retard au sein du CISO Office | KPI | en baisse |
| Mesures testées à temps sur leur efficacité | KPI | ≥ 90 % |
| Rapport trimestriel à la direction livré à temps | KGI | oui |
Quelle est la différence entre un KPI et un KGI ? Un indicateur de performance (KPI) montre à quel point vous performez, par exemple le temps moyen de correction. Un indicateur d'objectif (KGI) montre si vous atteignez l'objectif, par exemple le pourcentage corrigé dans le délai. Le KPI pilote le travail, le KGI veille au résultat.
Pourquoi mesurez-vous à deux niveaux ? Parce que l'organisation et le CISO Office peuvent diverger. L'organisation peut bien performer alors que votre propre fonction est en retard, ou l'inverse. En mesurant les deux, vous gardez l'ensemble à l'œil.
Devez-vous tout mesurer automatiquement ? Non. Des mesures manuelles périodiques fonctionnent pour chaque sujet et constituent une bonne base. Une partie peut être alimentée plus tard automatiquement à partir de données que vous avez déjà, même si tout automatiser est inutile et en partie impossible.
À quelle fréquence devez-vous mesurer ? Pour la plupart des indicateurs, une mesure par trimestre suffit pour piloter, en phase avec votre rapport de gestion. Pour les sujets qui évoluent rapidement, vous pouvez mesurer plus souvent.
Qu'est-ce qu'une bonne valeur cible ? Une valeur cible est atteignable mais ambitieuse, et correspond à votre appétence au risque. Indiquez en outre une direction, afin qu'il soit clair si une valeur plus élevée ou plus basse est meilleure.
Dans Kantyra, vous faites cela avec un seul bloc générique, l'indicateur, qui fonctionne pour chaque sujet. Vous choisissez pour chaque indicateur le type, le sujet et la perspective, vous consignez l'unité, la valeur cible et la direction, et vous désignez un propriétaire. Ensuite, vous consignez périodiquement une mesure, après quoi la tendance, l'état actuel et le feu tricolore apparaissent d'eux-mêmes. Pour vous aider à démarrer, vous choisissez si vous le souhaitez un indicateur dans une liste d'exemples fournie.
Pour votre propre pilotage, vous retrouvez tout sur une carte de score avec feu tricolore et mini-tendance, regroupés par perspective et par sujet. Pour la direction, tout se rejoint dans un bloc d'indicateurs de performance et d'objectif dans le rapport de gestion. Ainsi, vous mesurez où vous en êtes, vous corrigez à temps et vous rendez compte à la direction, le tout au sein de votre ISMS. Demandez une démo et découvrez comment piloter votre sécurité de l'information avec des indicateurs.
Kantyra est une plateforme ISMS et GRC européenne qui permet aux organisations de gérer leur sécurité de l'information, leur gestion des risques et leur conformité de manière démontrable, conformément à des normes telles qu'ISO 27001 et ISO 22301 et à des législations telles que le RGPD, la directive NIS2 et le règlement IA.
In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.
Plan een demoComment piloter la gestion des vulnérabilités en tant que RSSI, de la politique jusqu'à la reddition de comptes à la direction.
Comment structurer vos tests d'intrusion, de la politique de pentest et du calendrier jusqu'au rapport et au suivi des constats.
Le RGPD exige que vous ne vous contentiez pas de traiter les données personnelles avec soin, mais que vous puissiez aussi le prouver.