La découverte du plan de contrôle de Trustse poursuit avec Étape 2 : Analyse et mesure. Cette étape met l'accent sur l' importance des données, des indicateurs et de la validation, de manière continue. Pour les RSSI et les dirigeants d’entreprise, c’est à ce stade que la valeur du programme est quantifiée et validée. Il s’agit de démontrer, à l’aide de preuves tangibles, comment la confiance peut être maîtrisée et mise en place pour s’améliorer au fil du temps, en garantissant une boucle de rétroaction qui favorise une amélioration continue à toutes les étapes.
Des données aux décisions : pourquoi la mesure est essentielle
Dans le monde de l'entreprise actuel, axé sur les données, « on ne peut pas gérer ce qu’on ne peut pas mesurer » s'applique également à la confiance numérique. La phase 2 répond à plusieurs objectifs de haut niveau :
- Visibilité des risques et rapports : Les RSSI ont besoin de réponses claires à des questions telles que « Quel est notre niveau de sécurité actuel ? » et « Notre situation s'améliore-t-elle ou empire-t-elle ? » La phase d’analyse met en évidence les indicateurs qui caractérisent la posture de confiance de l’organisation – par exemple, le délai de résolution des incidents de confiance, tendance du nombre d'identités de machines par rapport à la couverture, le nombre de certificats arrivant à expiration dans les 30 prochains jours, pourcentage de systèmes entièrement conformes aux politiques de cryptographie, etc. Ces éléments constituent les indicateurs de risque clés qui peuvent être communiqués au conseil d'administration et orienter la stratégie de l'entreprise.
- Preuve de maîtrise : Dans les secteurs réglementés en particulier, il est tout aussi important de démontrer un contrôle continu que de le mettre en place. La phase 2 fournit la piste d'audit et les tableaux de bord nécessaires pour prouver que la découverte est continue, que les politiques sont appliquées et que les systèmes d'automatisation fonctionnent. C'est une chose de prétendre que vous n'avez ni angle mort ni lacune ; c'en est une autre, bien plus convaincante, de pouvoir produire des données en temps réel pour étayer ces affirmations.
- Amélioration continue : En analysant les données générées par vos processus de gestion de la confiance, vous pouvez identifier les domaines à renforcer. Vous remarquerez peut-être que certaines unités opérationnelles ou certains services mettent plus lents à remplacer les clés obsolètes, ou que certains contrôles de conformité génèrent souvent des exceptions , ce qui indique peut-être que la politique doit être ajustée ou qu’une formation supplémentaire est nécessaire. Cette étape réinjecte ces informations dans le cycle, ce qui permet de renforcer le système dans son ensemble au fil du temps.
Indicateurs et analyses issus du plan de contrôle de confiance
Le plan de contrôle de confiance génère intrinsèquement des données de télémétrie riches. Parmi les indicateurs clés et les analyses fournis, on trouve notamment :
- Couverture de l'inventaire des entités de confiance : Quelle part de notre environnement fait l'objet d'une gestion active ? Idéalement 100 %, mais les tableaux de bord peuvent indiquer si certains segments (par exemple, l'infrastructure d'une filiale récemment acquise) sont encore en cours d'intégration. Cela permet de hiérarchiser les efforts de découverte à venir.
- Scores de conformité : Dans quelle mesure respectons-nous nos politiques définies ? Par exemple, « 98 % des certificats sont conformes à notre politique (2 % d'exceptions faisant l'objet d'une dérogation) » ou « Tous les systèmes à haute criticité utilisent des algorithmes approuvés et compatibles avec la PQC ». Une grande entreprise s’est fixé pour objectif que 100 % de ses systèmes en contact avec l'extérieur utilisent un chiffrement résistant à l'informatique quantique d'ici 2028 ; sa plateforme de confiance indique à tout moment à quel point elle est proche de cet objectif.
- Performances tout au long du cycle de vie : Indicateurs tels que le délai moyen entre la demande de certificat et son émission, le taux de réussite des renouvellementset le taux d'échec des modifications (un déploiement automatisé a-t-il nécessité une restauration ?). Des taux de réussite élevés et des délais d'exécution de plus en plus courts indiquent que le processus fonctionne sans heurts ; les contretemps révèlent les points où une optimisation supplémentaire pourrait être nécessaire.
- Tendances en matière d'incidents et d'anomalies : Suivi d'éléments tels que les actifs cryptographiques anormaux détectés ou le nombre d’expirations imprévues de certificats (qui devrait tendre vers zéro si vous utilisez une plateforme automatisée pourla crypto-agilité). Au fil du temps, ces chiffres devraient afficher une tendance à la baisse à mesure que les étapes précédentes s’améliorent. Si l’on observe un pic d’anomalies au cours d’un mois, l’analyse peut en déterminer la cause : y a-t-il eu une recrudescence de l’informatique fantôme ou de l’IA fantôme ? Une nouvelle technique d’analyse a-t-elle permis de détecter des éléments jusque-là inconnus ? Cela garantit de ne négliger aucun détail.
En réalité, la phase 2 ne se contente pas de fournir des données : elle les met en contexte pour faciliter la prise de décision. Les tableaux de bord sont généralement adaptés aux rôles : un RSSI peut consulter un résumé général et le niveau de risque, tandis qu’un PKI peut accéder à des détails précis sur des certificats ou des tâches spécifiques arrivant à expiration. Au-delà des tableaux de bord, des alertes et des rapports peuvent être générés automatiquement pour les parties prenantes (par exemple, un rapport hebdomadaire sur l’état de la confiance destiné à la direction informatique ou à la direction générale).
Cas pratique : prêt à faire face à l'imprévu
Pour illustrer la puissance d'Analyze & Measure, prenons l'exemple d'un scénario évoqué par l'un de nos clients professionnels : « Q-Day » – le jour où un ordinateur quantique capable de contourner les systèmes de chiffrement actuels fera son apparition. Selon ses propres termes, « Je veux être réveillé à 3 heures du matin par cette nouvelle et pouvoir dire à mon PDG exactement à quel point nous sommes exposés et que la situation est sous contrôle ». Avec la phase 2 en place, ce type de réponse devient possible. Le système de contrôle de la confiance indiquera immédiatement le pourcentage de l’environnement utilisant déjà des algorithmes résistants à l’informatique quantique, identifiera les systèmes les plus vulnérables et suivra la progression des mesures d’atténuation rapides. En substance, l’organisation peut s'adapter en un clin d'œil car elle dispose des données à portée de main.
Même dans des circonstances moins critiques, le fait de disposer de réponses immédiates renforce la crédibilité. Si un dirigeant demande : « Tous nos certificats ont-ils été migrés hors de SHA-1 comme prévu ? » (en réalité, certains environnements utilisent encore SHA-1) ou « Combien de clés orphelines nous reste-t-il à éliminer ? », la phase 2 fournit une réponse factuelle en quelques clics. Cela favorise une culture de la responsabilité et renforce la confiance dans le programme de sécurité lui-même.
En résumé, cette phase du plan de contrôle de la confiance définit clairement les risques, en évaluant et en hiérarchisant en permanence les mesures à prendre dans l'ensemble de l'environnement de l'entreprise. En suivant cette méthodologie, les équipes savent où intervenir en priorité et mettent en place des plans à long terme en s'appuyant sur une analyse contextuelle et une validation continue.
