Pilotage du SMSI sans données = pilotage à l'aveugle. Ce tableau de bord Excel compile 25 KPI ISO 27004 (couverture audit, MTTR incidents, % accès revus.
TL;DR — En résumé
Template Excel gratuit pour ISO 27001:2022. Pilotage du SMSI sans données = pilotage à l'aveugle. Ce tableau de bord Excel compile 25 KPI ISO 27
Alignement des KPI SMSI avec ISO 27004 et les exigences de la clause 9.1
La norme ISO 27004 (Surveillance, mesure, analyse et évaluation) est le référentiel technique qui précise comment mettre en oeuvre les exigences de mesure de la clause 9.1 d'ISO 27001. Elle définit un modèle structuré pour les mesures : l'objet de la mesure (quoi mesurer), l'attribut (quelle caractéristique), la méthode de collecte (comment obtenir la donnée), la formule de calcul, l'intervalle de mesure, les seuils de référence, et le responsable de la mesure. Ce modèle garantit des KPI reproductibles et cohérents dans le temps, auditables lors des revues de direction et des audits de certification ISO 27001.
L'erreur fréquente dans la construction des tableaux de bord SMSI est de mesurer ce qui est facile à collecter plutôt que ce qui est réellement pertinent pour la sécurité. Le nombre de tickets d'incident créés est facile à mesurer mais ne dit rien sur la résilience du SMSI. Le délai moyen de détection (MTTD) et le délai moyen de résolution (MTTR) sont des indicateurs bien plus pertinents pour mesurer l'efficacité opérationnelle du SMSI, mais nécessitent une infrastructure de collecte plus sophistiquée avec des horodatages précis sur chaque étape du processus de gestion des incidents.
Erreurs de conception dans les tableaux de bord KPI SMSI et comment les éviter
Plusieurs erreurs récurrentes dégradent l'utilité des tableaux de bord KPI SMSI. La première est la multiplication des indicateurs sans hiérarchisation : un tableau de bord avec 50 KPI est aussi inefficace qu'un tableau sans indicateur — la direction ne sait pas où concentrer son attention. La recommandation est de définir 5 à 10 indicateurs stratégiques pour la direction et 15 à 30 indicateurs opérationnels pour les responsables SMSI, avec une visualisation claire de la tendance (flèche hausse/baisse) et du statut par rapport à la cible.
La deuxième erreur est l'absence de valeurs cibles (target values) : un indicateur sans seuil de référence ne permet pas de déterminer si la situation est satisfaisante ou préoccupante. Chaque KPI doit avoir une valeur cible définie et validée par la direction, révisée lors de chaque revue annuelle du SMSI. La troisième erreur est de ne pas relier les indicateurs aux objectifs de sécurité définis en clause 6.2 : les KPI doivent démontrer la progression vers ces objectifs, pas seulement mesurer l'activité opérationnelle quotidienne.
📈 Template gratuit · Excel
Pilotage du SMSI sans données = pilotage à l'aveugle. Ce tableau de bord Excel compile 25 KPI ISO 27004 (couverture audit, MTTR incidents, % accès revus, conformité contrôles) avec graphiques automatiques pour la revue de direction.
Le tableau de bord KPI du SMSI (Système de Management de la Sécurité de l'Information) est l'outil de pilotage qui permet au RSSI et à la direction de mesurer objectivement la performance du SMSI et de prendre des décisions basées sur des données. La clause 9.1 d'ISO/IEC 27001:2022 (Surveillance, mesure, analyse et évaluation) impose à l'organisation de surveiller et mesurer les processus et les contrôles du SMSI, d'analyser et évaluer les résultats, et de conserver des informations documentées sur ces résultats. La norme complémentaire ISO/IEC 27004:2016 (Gestion de la sécurité de l'information — Surveillance, mesure, analyse et évaluation) fournit les lignes directrices pour construire un programme de mesure robuste, avec un modèle de définition d'indicateurs couvrant l'objet de mesure, la méthode de collecte, la fréquence, le responsable, et le seuil d'alerte. Ce template Excel, développé par Ayi NEDJIMI, consultant cybersécurité Lead Implementer ISO 27001, propose 25 KPI couvrant les principaux domaines du SMSI : gestion des incidents, couverture du programme d'audit, conformité des contrôles, gestion des accès, sensibilisation, gestion des risques, et continuité. Chaque KPI est présenté avec sa formule de calcul, sa source de données, sa fréquence de collecte, les seuils rouge/orange/vert, et un graphique d'évolution. Le tableau de bord est l'input principal de la revue de direction (clause 9.3) et le moyen de démontrer aux auditeurs de certification que le SMSI est piloté par des données objectives et non par des intuitions. Il articule les efforts du SMSI avec les objectifs stratégiques de l'organisation, et permet de prioriser les investissements de sécurité en fonction de l'impact réel sur la posture de sécurité. Il s'articule avec le plan d'audit interne, le registre des incidents, et le registre des non-conformités pour former un dispositif complet de pilotage du SMSI.
Contexte réglementaire et normatif
ISO/IEC 27001:2022 — Clause 9.1 : Surveillance, mesure, analyse et évaluation
La clause 9.1 impose que l'organisation détermine ce qui doit être mesuré (incluant les processus et contrôles SMSI), les méthodes de surveillance, de mesure, d'analyse et d'évaluation, quand la surveillance et la mesure doivent être effectuées, qui doit effectuer la surveillance et la mesure, quand les résultats de la surveillance et de la mesure doivent être analysés et évalués, et qui doit analyser et évaluer ces résultats. Cette clause est souvent sous-estimée lors des projets de certification : beaucoup d'organisations implémentent les contrôles mais n'ont pas de programme de mesure structuré, ce qui constitue une NC lors des audits de certification.
ISO/IEC 27004:2016 — Gestion de la sécurité de l'information : Mesures
ISO 27004 fournit les lignes directrices pour établir un programme de mesure SMSI. Elle définit un modèle d'indicateur (measure model) qui spécifie : l'objet de mesure et l'attribut mesuré, la mesure de base (données brutes collectées), la mesure dérivée (calcul à partir des mesures de base), l'indicateur (interprétation de la mesure dérivée par rapport à un critère), et les critères décisionnels (seuils qui déclenchent une action). Ce modèle garantit que les KPI sont définis de manière rigoureuse et reproductible, plutôt que basés sur des appréciations subjectives.
ISO/IEC 27001:2022 — Clause 9.3 : Revue de direction
La revue de direction (clause 9.3) est la réunion formelle où la direction évalue la performance du SMSI. Les résultats de la surveillance et des mesures (les KPI du tableau de bord) sont un input obligatoire de la revue de direction. La direction doit analyser ces données et prendre des décisions sur les ressources à allouer, les objectifs de sécurité à réviser, et les améliorations à apporter. Un tableau de bord KPI bien construit facilite cette discussion en rendant les données lisibles pour des décideurs non techniques.
Structure détaillée du template Excel KPI SMSI
Onglet 1 — Instructions et catalogue d'indicateurs
Guide d'utilisation du template, définitions des termes (KPI, mesure de base, mesure dérivée, indicateur, seuil), et catalogue complet des 25 KPI avec pour chacun : identifiant, nom, description, formule de calcul, source de données, responsable de collecte, fréquence, et seuils rouge/orange/vert.
Onglet 2 — Saisie des données mensuelles
Tableau de saisie mensuelle des valeurs brutes pour chaque KPI, avec calcul automatique des indicateurs agrégés. Pour chaque KPI et chaque mois : valeur mesurée, valeur cible, statut automatique (Rouge/Orange/Vert selon les seuils), et commentaire. Les données de 12 mois sont conservées pour visualiser les tendances.
Onglet 3 — Tableau de bord synthétique
Dashboard visuel avec : synthèse globale (score SMSI agrégé, nombre de KPI verts/oranges/rouges), graphique radar de performance par domaine (Incidents, Audit, Accès, Formation, Risques, Continuité), évolution mensuelle des KPI critiques, et top 5 des KPI les plus dégradés avec tendance. Ce tableau est directement utilisable pour la présentation en revue de direction.
Onglet 4 — Historique et tendances
Graphiques d'évolution de chaque KPI sur 12 mois avec ligne de tendance, cible fixe, et zones de seuil (rouge/orange/vert). Cet onglet permet d'identifier les KPI en amélioration continue, les KPI qui se dégradent progressivement, et les KPI "flat" qui ne progressent plus malgré les investissements.
Les 25 KPI SMSI recommandés — ISO 27001/27004
| ID | KPI | Domaine | Formule | Seuil Vert | Seuil Rouge | Fréquence |
|---|---|---|---|---|---|---|
| KPI-01 | MTTD (Mean Time To Detect) | Incidents | Moyenne délai détection incidents (heures) | < 4h | > 24h | Mensuel |
| KPI-02 | MTTR (Mean Time To Respond) | Incidents | Moyenne délai réponse incidents (heures) | < 8h | > 48h | Mensuel |
| KPI-03 | Nombre d'incidents critiques | Incidents | Nb incidents P1/P2 sur la période | 0 | > 2 | Mensuel |
| KPI-04 | Taux de réalisation du plan d'audit | Audit | Audits réalisés / Audits planifiés × 100 | > 90% | < 70% | Trimestriel |
| KPI-05 | Taux de couverture audit Annexe A | Audit | Contrôles audités / Contrôles applicables × 100 | > 80% / an | < 50% / an | Annuel |
| KPI-06 | NC majeures identifiées (audit interne) | Audit | Nb NC majeures identifiées sur période | 0 | > 3 | Par audit |
| KPI-07 | Délai moyen de clôture des NC | NC / Amélioration | Moyenne délai ouverture → clôture NC (jours) | < 30 jours | > 90 jours | Mensuel |
| KPI-08 | Taux de comptes à privilèges revus | Accès | Comptes admin revus / Total comptes admin × 100 | 100% / trimestriel | < 80% | Trimestriel |
| KPI-09 | Délai moyen de révocation accès (départ) | Accès | Moyenne délai départ → désactivation compte (heures) | < 24h | > 72h | Mensuel |
| KPI-10 | Taux de comptes avec MFA activé | Accès | Comptes avec MFA / Total comptes actifs × 100 | > 95% | < 70% | Mensuel |
| KPI-11 | Taux de comptes dormants / orphelins | Accès | Comptes inactifs > 90j / Total comptes actifs × 100 | < 2% | > 5% | Mensuel |
| KPI-12 | Taux de complétion formation sensibilisation | Formation | Collaborateurs formés / Total collaborateurs × 100 | > 95% | < 80% | Annuel |
| KPI-13 | Taux de clic sur simulations phishing | Formation | Clics simulation phishing / Emails envoyés × 100 | < 5% | > 20% | Trimestriel |
| KPI-14 | Délai moyen de patching vulnérabilités critiques | Vulnérabilités | Moyenne délai découverte → correction vulnérabilités CVSS ≥ 9 (jours) | < 7 jours | > 30 jours | Mensuel |
| KPI-15 | Taux de couverture scan de vulnérabilités | Vulnérabilités | Assets scannés / Total assets dans scope × 100 | > 95% | < 70% | Mensuel |
| KPI-16 | Taux de traitement des risques élevés | Risques | Risques élevés avec mesure de traitement / Total risques élevés × 100 | > 90% | < 70% | Trimestriel |
| KPI-17 | Couverture chiffrement laptops | Sécurité endpoints | Laptops avec chiffrement disque / Total laptops × 100 | 100% | < 90% | Mensuel |
| KPI-18 | Taux de sauvegardes testées avec succès | Continuité | Tests restauration réussis / Tests restauration totaux × 100 | > 95% | < 80% | Mensuel |
| KPI-19 | Conformité fournisseurs critiques | Fournisseurs | Fournisseurs critiques avec évaluation sécurité / Total fournisseurs critiques × 100 | > 90% | < 70% | Annuel |
| KPI-20 | Disponibilité des systèmes critiques | Disponibilité | Uptime / Période × 100 par système critique | > 99.5% | < 99% | Mensuel |
| KPI-21 | Taux de conformité TLS (certificats valides) | Cryptographie | Serveurs avec TLS valide et non expiré / Total serveurs exposés × 100 | 100% | < 95% | Mensuel |
| KPI-22 | Nombre de violations de données notifiées CNIL | RGPD | Nb notifications CNIL sur la période | 0 | > 2 | Mensuel |
| KPI-23 | Budget SMSI réalisé vs planifié | Gouvernance | Budget SMSI réalisé / Budget SMSI planifié × 100 | 80-110% | < 60% ou > 130% | Trimestriel |
| KPI-24 | Maturité SMSI (score gap analysis) | Maturité | Score moyen gap analysis 0-5 (toutes clauses) | > 3.5 / 5 | < 2.5 / 5 | Annuel |
| KPI-25 | Exercice PCA réalisé dans l'année | Continuité | Nombre d'exercices PCA réalisés vs planifiés | 1 (min.) | 0 | Annuel |
Guide d'utilisation étape par étape
- Sélectionner les KPI adaptés à votre contexte : les 25 KPI proposés ne sont pas tous pertinents pour toutes les organisations. Commencez par sélectionner 10 à 15 KPI prioritaires correspondant aux domaines de risque les plus importants pour votre SMSI. Un tableau de bord avec trop de KPI est aussi peu efficace qu'un tableau de bord avec trop peu.
- Définir les sources de données pour chaque KPI : pour chaque KPI sélectionné, identifiez concrètement où se trouve la donnée (SIEM, ticketing ITSM, IAM, MDM, scanner de vulnérabilités, Active Directory, etc.) et comment elle sera collectée (export manuel, API automatisée, rapport mensuel). Si la donnée n'est pas disponible, le KPI ne peut pas être calculé — ce qui révèle souvent des lacunes dans les outils de monitoring.
- Définir des seuils réalistes pour votre contexte : les seuils proposés dans le tableau sont des références génériques. Adaptez-les à votre contexte : une organisation en début de démarche SMSI aura des seuils moins exigeants qu'une organisation mature. Les seuils doivent être définis en accord avec la direction pour être crédibles.
- Assigner des responsables pour chaque KPI : chaque KPI doit avoir un responsable unique chargé de collecter la donnée et de mettre à jour le tableau de bord selon la fréquence définie. Sans responsable clairement désigné, les KPI ne sont pas mis à jour.
- Intégrer le tableau de bord dans la revue de direction : le tableau de bord doit être présenté à chaque revue de direction avec une analyse des tendances, une explication des KPI dégradés, et des propositions d'actions correctives. La direction doit pouvoir valider les objectifs et allouer des ressources sur la base de ces données.
- Automatiser la collecte des données quand c'est possible : pour les KPI les plus critiques, envisagez d'automatiser la collecte via des APIs (Active Directory/Intune pour les KPI d'accès, SIEM pour les KPI d'incidents, scanner de vulnérabilités pour les KPI de patching). L'automatisation garantit la fraîcheur des données et réduit la charge de collecte manuelle.
- Revoir et faire évoluer le catalogue de KPI annuellement : les KPI qui atteignent systématiquement leur cible verte pendant 12 mois peuvent être remplacés par des KPI plus ambitieux ou couvrant de nouveaux domaines. Le programme de mesure doit évoluer avec la maturité du SMSI.
Points de vigilance pour l'audit de certification
- KPI définis mais jamais mesurés : un catalogue de KPI bien rédigé mais avec des cellules vides dans le tableau de bord est une NC. L'auditeur vérifiera que les KPI sont réellement collectés et analysés régulièrement. Remédiation : commencez par 5 à 10 KPI simples à collecter manuellement plutôt que 25 KPI théoriques jamais alimentés.
- Absence de seuils d'alerte définis : des KPI sans seuils "Acceptable/Non acceptable" ne permettent pas d'identifier quand une action est nécessaire. Remédiation : pour chaque KPI, définissez explicitement les seuils rouge/orange/vert et documentez la procédure déclenchée quand un KPI passe en rouge.
- Tableau de bord non présenté en revue de direction : si le tableau de bord est produit mais jamais présenté en revue de direction, il ne contribue pas au pilotage du SMSI par la direction. Remédiation : intégrez le tableau de bord dans l'ordre du jour de chaque revue de direction et conservez le compte rendu avec les décisions prises sur la base des KPI présentés.
- KPI orientés activité plutôt que résultat : "Nombre de politiques de sécurité rédigées" est un KPI d'activité (qu'avons-nous fait ?), pas un KPI de résultat (quel est l'impact sur la sécurité ?). Remédiation : privilégiez les KPI de résultat (MTTD/MTTR, taux de clics sur phishing, délai de patching) qui mesurent l'efficacité réelle des contrôles.
Questions fréquentes
Combien de KPI faut-il dans un tableau de bord SMSI ?
La question de la quantité de KPI est un équilibre entre couverture et praticabilité. Un tableau de bord avec 5 KPI est insuffisant pour piloter un SMSI complet. Un tableau de bord avec 50 KPI est impossible à maintenir à jour et noie la direction dans les données. La pratique recommandée est de distinguer deux niveaux de KPI : les KPI de direction (8 à 12 indicateurs de haut niveau, présentés en revue de direction) et les KPI opérationnels (20 à 30 indicateurs techniques, suivis par le RSSI et les équipes IT). Les KPI de direction doivent être compréhensibles par des non-techniciens (directeur général, DAF, conseil d'administration) et montrer l'état de santé global du SMSI et son évolution. Les KPI opérationnels permettent au RSSI de piloter les contrôles techniques au quotidien. ISO 27004 recommande de définir un programme de mesure avec 15 à 25 indicateurs pour un SMSI de taille standard, couvrant les principales clauses de la norme et les domaines à risque élevé.
Comment gérer les KPI qui ne peuvent pas être automatisés ?
Tous les KPI ne peuvent pas être automatisés, surtout dans les organisations qui n'ont pas de SIEM, d'IAM, ou d'outils de scanning de vulnérabilités intégrés. Pour les KPI collectés manuellement, plusieurs bonnes pratiques permettent de les maintenir à jour sans charge excessive. Définissez une fréquence de collecte adaptée au niveau d'effort : les KPI qui nécessitent une extraction manuelle de plusieurs heures ne doivent pas être collectés mensuellement. Créez des tâches récurrentes dans votre outil de gestion de tâches (Jira, Planner) pour rappeler la collecte. Prévoyez une procédure de collecte documentée ("pour collecter ce KPI, faire ceci : exports → calcul → mise à jour Excel") pour permettre une délégation. Considérez que les KPI impossibles à collecter manuellement de manière fiable révèlent souvent un manque d'outillage — c'est une information utile pour le plan d'investissement SMSI.
Comment présenter les KPI SMSI à un comité de direction non technique ?
La présentation des KPI SMSI à une direction non technique nécessite une traduction des données techniques en enjeux business. Quelques règles de présentation. Utilisez des visuels simples : les feux tricolores (rouge/orange/vert) et les graphiques de tendance sont plus parlants que des tableaux de chiffres pour une direction. Traduisez les KPI en impacts business : "Délai de patching moyen de 45 jours pour les vulnérabilités critiques" devient "Nous sommes exposés pendant 45 jours en moyenne après la publication d'une vulnérabilité critique — le standard de l'industrie est 7 jours". Comparez à des benchmarks sectoriels quand c'est possible. Concentrez la présentation sur les 5 à 7 KPI les plus parlants pour la direction, et gardez les KPI opérationnels détaillés dans un annexe technique. Terminez toujours par des propositions d'actions concrètes et leurs coûts — la direction doit pouvoir prendre des décisions, pas seulement constater des problèmes.
À retenir — Tableau de bord KPI SMSI ISO 27001/27004
- La clause 9.1 impose de surveiller et mesurer les processus SMSI — pas de certification sans programme de mesure
- ISO 27004 fournit le modèle de définition d'indicateurs : mesure de base → mesure dérivée → indicateur → critère décisionnel
- Commencez par 10-15 KPI mesurables plutôt que 25 KPI théoriques jamais alimentés
- Les KPI de résultat (MTTD, taux de clic phishing, délai patching) sont plus pertinents que les KPI d'activité
- Le tableau de bord est un input obligatoire de la revue de direction (clause 9.3) — conservez les comptes rendus
- Auteur : Ayi NEDJIMI, consultant cybersécurité — accompagnement ISO 27001
Pour aller plus loin
Un projet cybersécurité ?
Expert dispo · Réponse 24h