Aller au contenu
DevSecOps
Sécurité medium

Métriques & pilotage (SOCLE CLT)

Photo de Stéphane Robert
Stéphane Robert DevOps Engineer
4 min de lecture

La famille Métriques & pilotage ferme le domaine culture sur une exigence de bon sens souvent négligée : on ne pilote que ce qu'on mesure. Une organisation peut multiplier les outils, les formations et les rituels ; sans indicateurs, elle ne sait pas si sa posture progresse, stagne ou régresse. Elle avance à l'aveugle, et la sécurité devient une affaire de ressenti plutôt que de faits.

Cette famille demande donc de rendre visible la sécurité : combien de temps pour corriger une vulnérabilité, quelle part du code est couverte par l'analyse, quelle dette s'accumule, à quelle vitesse on livre en restant sûr. Ces chiffres ne sont pas une fin en soi : ils servent à arbitrer et à prouver la progression devant la direction. C'est le pont naturel vers la gouvernance.

Concrètement, ces exigences parent : la sécurité pilotée au ressenti sans indicateurs, la dette qui s'accumule invisible, le faux dilemme sécurité contre vélocité, et l'absence de vue par produit pour arbitrer les investissements. Trois exigences, des renforcées (R2) aux souveraines (R3).

L'enjeu

On ne pilote que ce qu'on mesure : sans indicateurs, la progression est invisible.

Les pièges à éviter

Section intitulée « Les pièges à éviter »

Les erreurs les plus fréquentes sur ce périmètre :

aucun indicateur de posture
métriques non revues en gouvernance
dette de sécurité non suivie

Exigences

Section intitulée « Exigences »
Comment lire R1R2R3du fondamental au souverain Doitobligatoire Devraitrecommandé Chaque carte porte son énoncé, le pourquoi, la preuve attendue et ses correspondances aux standards.
Afficher
SOCLE-CLT-MET-1 R2 Doit

indicateurs de sécurité définis (MTTR des vulnérabilités, couverture SAST/SCA, dette).#

« On est plutôt sécurisé » ne se pilote pas. Définir des indicateurs concrets (MTTR des vulnérabilités, couverture SAST/SCA, dette) rend la posture chiffrable : on mesure les délais de correction et les angles morts, et on décide où agir sur des faits, pas sur des impressions.

Preuve attendue
Définition et suivi des indicateurs clés.
Correspondances & menaces parées 2 standards
Correspondance
OWASP DSOMM OWASP SAMM
SOCLE-CLT-MET-2 R2 Devrait

métriques de vélocité sécurisée inspirées de DORA.#

Opposer sécurité et vélocité est un faux dilemme qui freine l'adoption. Des métriques inspirées de DORA (fréquence, délai, taux d'échec, restauration) montrent qu'on peut livrer vite et sûr : elles relient la sécurité à la performance de livraison et rallient les équipes au lieu de les braquer.

Preuve attendue
Tableau de bord de vélocité intégrant la sécurité.
Correspondances & menaces parées 1 standard
Correspondance
OWASP DSOMM
SOCLE-CLT-MET-3 R3 Doit

tableau de bord de posture par produit, revu en gouvernance.#

Des métriques éparpillées ne se comparent ni ne se pilotent. Un tableau de bord de posture par produit, revu en gouvernance, met chaque produit face à sa réalité de sécurité et permet d'arbitrer les investissements à l'échelle de l'organisation, sur une base homogène et visible.

Preuve attendue
Tableau de bord par produit présenté en gouvernance.
Correspondances & menaces parées 3 standards
Correspondance
OWASP SAMM BSIMM (Governance) ISO 27001

Prochaines étapes

Section intitulée « Prochaines étapes »
Suivant : Documentation & partageFamille suivante du domaine Domaine : Culture, organisation & processusRevenir à la vue d'ensemble

Ce site vous est utile ?

Sachez que moins de 1% des lecteurs soutiennent ce site.

Je maintiens +700 guides gratuits, sans pub ni tracking. Un soutien, même symbolique, m'aide à couvrir l'hébergement et à garder ces ressources gratuites. Merci pour votre appui.

Le formulaire ne s'affiche pas ? Ouvrir Ko-fi dans un onglet.

Abonnez-vous et suivez mon actualité DevSecOps sur LinkedIn