Pilotez l’efficacité de votre programme grâce aux métriques et KPI
Les métriques et KPI sont des mesures essentielles qui vous permettent d'affiner votre prestation. Elles sont à la sécurité ce que le métronome est à l'orchestre : elles garantissent que vous êtes sur le bon rythme, et qu'il est harmonieux.
Pour votre programme de sensibilisation, vous devez considérer deux catégories principales de métriques :
La mesure du changement réel de comportement.
La mesure de la satisfaction des utilisateurs.
La mesure du changement réel de comportement
La sensibilisation est conçue pour impacter directement les comportements. Si vos collaborateurs n'adoptent pas de nouvelles habitudes sécuritaires après vos campagnes, alors un réajustement est nécessaire.
Des KPI tels que le taux de levée d'alerte post-campagne de phishing ou la baisse du nombre moyen d'extensions navigateurs installées permettent d'avoir un aperçu concret de cette évolution.
Si l'orchestre joue, mais que la foule ne danse pas, il est peut-être temps de changer de partition.
La mesure de la satisfaction des utilisateurs
Aussi important que la première catégorie, ce type de mesure permet d'assurer que vos efforts de sensibilisation sont bien reçus par l'audience. Après tout, une équipe de sécurité qui serait impopulaire aurait du mal à être efficace. Cependant, cette popularité ne doit pas occulter l'objectif premier. Une action peut être très appréciée, faire sourire, mais si elle ne provoque pas de changement concret, son utilité est à remettre en question.
Les ovations d'un public conquis sont gratifiantes, mais l'essence même d'un orchestre réside dans sa capacité à faire ressentir, à provoquer une émotion. De même, la satisfaction des utilisateurs est précieuse, mais elle ne doit jamais éclipser le but principal : la modification des comportements.
Et si vos indicateurs ne répondent pas à vos attentes, alors il vous reste toujours la possibilité de rectifier vos actions. N’oubliez pas, vous courez un marathon et non un sprint.
Identifiez vos sources techniques pour réaliser vos métriques
Pour définir vos métriques, la qualité des données sur lesquelles vous vous basez est primordiale. Il est donc crucial de s'assurer que ces données sont précises, fiables et facilement accessibles. Pour ce faire, je ne peux que vous recommander l'utilisation de sources techniques automatisées plutôt que des méthodes manuelles.
Bien identifiés et bien formatés, leur extraction ou leur usage automatique vous permettra d’avoir des données à jour régulièrement et facilement.
Vous n’avez pas besoin de définir des indicateurs en temps réel. Un téléchargement de fichier ou un copié-collé de données peut être acceptable, sans être totalement chronophage, s’il est réalisé à une fréquence correcte (1 fois par mois ou par trimestre).
Discutez donc bien avec les équipes de la DSI et l’équipe Sécurité pour identifier quelles sont les données techniques auxquelles vous pourriez accéder, les canaux de communication et la fréquence de fourniture de ces informations. Si cela est trop chronophage pour les équipes, vous risquez de rencontrer quelques réticences.
À vous de jouer !
Consigne
Voici 5 messages de sensibilisation très classiques:
“Signalez à l’équipe Sécurité vos e-mails suspects”.
“Vérifiez la liste des droits sur vos partages de fichiers”.
“Utilisez le gestionnaire de mots de passe à votre disposition”.
“Activez le multifacteur sur votre compte d’entreprise”.
“Utilisez le VPN pour vous connecter à distance au SI de l’entreprise".
Définissez pour chacun de ces messages une métrique permettant d’analyser si vos actions de sensibilisation ont eu un impact ou non.
Solution
Nombre d’e-mails signalés / Nombre d’utilisations du bouton de remontée des mails / Nombre de nouvelles personnes remontant des e-mails suspects.
Nombre d’utilisateurs ayant revu leurs droits / Nombre d’utilisateurs supplémentaires ayant revu leurs droits / Nombre de partages dont les droits ont été revus.
Nombre de téléchargements du gestionnaire / Nombre d’activations de compte pour le gestionnaire.
Nombre d’utilisateurs ayant activé le multifacteur / Pourcentage d’utilisateurs sans multifacteur.
Nombre de connexions d’utilisateurs par VPN / Pourcentage de connexions à distance via VPN versus sans VPN.
Construisez votre outil de pilotage des métriques
Pour suivre vos indicateurs et surtout les présenter, un outil ou tableau de bord adapté s'avère indispensable. Cependant, avant de se lancer tête baissée dans des solutions complexes ou coûteuses, quelques principes sont à garder en tête.
Commencez simple !
La tentation de partir directement sur des solutions d'application personnalisée est grande, en particulier face à la diversité des sources de données. Pourtant, je vous conseille d'adopter d'abord une démarche pragmatique.
Un tableau bien conçu sous Excel ou Google sheets offre déjà une grande lisibilité et vous permettra de tester votre tableau de bord avant d'envisager des solutions plus poussées.
Passez ensuite à l'automatisation
Une fois que la structure de votre tableau de bord est bien établie et que vos besoins sont clairement identifiés, il est temps de penser à une solution plus automatisée. Regardez d’abord dans les outils qui sont à votre disposition dans votre organisation.
Bien évidemment, n’oubliez pas de voir avec vos collègues de l’équipe Sécurité ce que vous pouvez faire ou non.
Pensez à la fréquence de mise à jour
La fréquence de mise à jour de votre tableau de bord doit être adaptée à la fois aux besoins de suivi de votre programme et à la complexité de la collecte des indicateurs. Ne vous compliquez pas la vie.
Au lancement d’une campagne, il est intéressant d’avoir des mesures rapides et régulières pour vous assurer que le lancement s’est bien passé et qu’il n’y a pas eu de problèmes techniques. Mais par la suite cela peut s’espacer dans le temps. Tout dépend de ce que vous mesurez.
Identifiez vos échelles de mesure dans le temps
Afin d’analyser le comportement des utilisateurs, il est intéressant d’intégrer visuellement des repères temporels. Voici quelques exemples :
Si vous mesurez une campagne de faux phishing, il sera intéressant d’avoir un suivi à l’heure, voire à la minute près pour observer par exemple en combien de temps l’équipe Sécurité est alertée par la première victime.
Par contre pour une campagne de e-learning, un suivi journalier du nombre de participants suffit largement. Cela vous permettra de comparer avec les dates auxquelles vous avez fait vos communications, pour mesurer si ces dernières ont eu un effet plus ou moins positif sur la participation.
Construisez votre budget
Maintenant que vous avez dressé la liste de vos besoins, des actions que vous souhaitez mettre en œuvre et des ressources nécessaires pour y parvenir, il est temps de traduire tout cela en chiffres afin de construire le budget nécessaire.
Commencez par une première estimation des coûts de toutes les actions et ressources auxquelles vous pensez. Cela va des coûts directs tels que les achats de matériel ou de logiciels, aux coûts indirects comme le temps consacré par vos équipes. Cette première estimation vous donnera un aperçu du budget global nécessaire.
Ensuite, préparez-vous à affronter les aléas financiers. Il est donc judicieux de prévoir plusieurs scénarios budgétaires :
Scénario optimiste | Scénario réaliste | Scénario pessimiste |
Toutes les ressources nécessaires sont disponibles et chaque action est financée intégralement. | Basé sur un budget médian où certaines priorités sont définies, avec une prise en compte des actions les plus impactantes. | Le budget est serré et seules les actions essentielles sont financées. |
Pour chaque scénario, identifiez clairement les risques associés que vous ne couvrez pas, en particulier dans les options les moins coûteuses. Cette transparence aidera les décideurs à peser le pour et le contre de chaque option.
Rappelez-vous qu'un programme de sensibilisation s'étend souvent sur plusieurs années. Cela signifie que vous pouvez ajuster l'ordre de vos actions pour vous adapter aux contraintes budgétaires. Peut-être certaines initiatives coûteuses pourraient-elles être reportées à l'année suivante, tandis que d'autres, moins onéreuses, pourraient être mises en œuvre plus tôt.
Il est tentant de vouloir tout faire tout de suite, mais comme on l’a vu, il est souvent plus judicieux de commencer petit. Débutez par des actions simples et moins coûteuses. Cela vous permettra non seulement de rester dans les limites de votre budget, mais également de récolter des KPI pertinents.
Ces premiers résultats seront cruciaux pour convaincre la direction d'investir davantage les années suivantes. En effet, elle verra un retour sur investissement tangible. Ce qui n’est pas évident en cybersécurité.
Construire un budget est un exercice d'équilibre entre aspirations et réalités financières : vous devrez ajuster, prioriser et, parfois, faire des compromis. Mais avec une planification réfléchie et une vision claire de vos objectifs, vous serez en mesure de mettre en place un programme efficace, tout en respectant vos contraintes budgétaires.
En résumé
Le succès de votre programme dépend de votre capacité à mesurer principalement les changements de comportement ainsi que l’adhésion de vos utilisateurs à votre programme.
Pensez donc en amont aux indicateurs dont vous avez besoin.
Identifiez votre manière de collecter les évènements permettant de calculer vos métriques.
Concevez dans un premier temps un reporting simple et évolutif pour vous tester.
Utilisez ce reporting comme élément de persuasion sur l’efficacité de vos actions pour justifier vos besoins de budget.
J’ai l’impression que vous avez tout préparé. Vous êtes dorénavant à quelques jours de la grande première de votre concert. Voyons ensemble dans la prochaine partie comment se passent les derniers jours de préparatifs pour votre orchestre.