Avril 2013

Conférence annuelle du Club 27001

Benchmark des outils SMSI

Florence LE GOFF - Solucom

Emmanuel JOULAIN - THALES

2 /2 / Agenda

1. Historique et motivation du

groupe de travail

2. Apports et freins pour l’outillage

d’une démarche 27001

3. Les outils identifiés et testés

4. L’analyse

5. Première synthèse

6. Débat / Questions : échanges

Club 27001 – Avril 2013

3 /3 /

HISTORIQUE ET MOTIVATION

DU GROUPE DE TRAVAIL

1

4 /4 / Historique et motivation de la démarche

Club 27001 – Avril 2013

Problématiques rencontrées

De nombreuses entreprises se lancent dans des démarches SMSI

En utilisant des outils bureautiques hétérogènes…

… étant limités fonctionnellement, difficile à maintenir et à faible interopérabilité

… et apparaissant insuffisants pour gérer de manière pérenne des SMSI complexes au sein d’autres

systèmes de management

Ces entreprises n’ont pas de visibilité sur les outils du marché qui leur permettraient de faciliter

l’exploitation de leur SMSI

Difficulté pour déterminer quels sont les modules nécessaires (analyse des risques, gestion documentaire,

gestion des incidents…)

… en tenant compte de leurs besoins, leurs contraintes et les outils existants (SMQ, GED…) au sein de leur

organisation

Introduction par le président du Club27001 : Éric Doyen

Finalité du groupe de travail « Benchmark outils SMSI » :

Apporter un éclairage sur ces problématiques

Pas un comparatif… mais une liste des produits du marché et un avis sur chacun

Un choix restant à faire par l’entreprise

• en fonction de ses besoins et attentes

• et à l’aide des résultats apportés par le groupe de travail

5 /5 / Objectifs

Club 27001 – Avril 2013

Identifier et lister les fonctionnalités utiles

pour un SMSI

Avoir une vue d’ensemble des

solutions du marché permettant la mise en œuvre et l’exploitation

d’un SMSI

Permettre aux futurs acquéreurs de choisir un outil en fonction de

leurs besoins et

contraintes

Publier un rapport d’analyse public et

animer une conférence de présentation des

résultats

6 /6 /

40 inscrits

Organisation du Groupe de Travail

Club 27001 – Avril 2013

Comité de

Pilotage

Comité

technique

8 17

25 personnes activesCréation de 2

mailing-lists

• E. DOYEN (Humanis)

• E. GARNIER (Systalians -

Reunica)

• T. LEBOUC (Thales)

• D. GUENEZAN (Thales)

• T. CHENU (Dassault)

• S. MICHALOWSKI (Indépendant)

• M. BERTEAU (Indépendant)

• H. Ysnel (CGI Business

Consulting)

• E. JOULAIN (Thales)

• F. LE GOFF (Solucom)

• M. VERON (ESR Consulting)

• N. IOANNIDOU – GAMBIER

(RICOH France)

• G. LE GALIARD (CGI Business

Consulting)

• D. RENAULD (MiaXys)

• F. HASNAOUI (Webhelp)

• E. PETIT (CGI Business

Consulting)

• M. DEHEINZELIN (Altran)

• M. DOVERO (CG13)

• S. JOURDAIN (Cheops)

• C. DI-CESARE (SCASSI Conseil)

• R. BOTTAN (Cassidian)

• W. MEZIANE (Elron)

• J. PEGLI

• L. BOBET (CGI Business

Consulting)

• N FORCE (Orasys)

Acteurs

7 /7 / Organisation du Groupe de Travail

• Définition de la note de fonctionnement

du groupe

• Identification des grandes thématiques

du questionnaire

• Validation du questionnaire d’analyse

• Affectation des outils aux analystes

• Gestion de la communication

• Rédaction du livre blanc

• Définition du questionnaire d’analyse

préliminaire

• Définition du questionnaire d’analyse

technique

• Echange avec les éditeurs

• Test des produits

• Rédaction d’une synthèse d’analyse

• Présentation des analyses

Club 27001 – Avril 2013

Comité de

Pilotage

Comité

technique

8 17

25 personnes actives

Rôle et responsabilités du COPIL Rôle et responsabilités du COTECH

8 /8 /

APPORTS ET FREINS POUR

L’OUTILLAGE D’UNE

DÉMARCHE 27001

2

9 /9 / Travaux du GT – 2012/2013

Club 27001 – Avril 2013

Janv.Fév.

Mars

Avr.

Mai

JuinAoût

Sept.

Oct.

Nov.

Déc..

Juil.

GT

BENCHMARK

Rapport par

outil analysé

Support

séminaireQuestionnaire

technique

Questionnaire

préliminaire

Liste des outils

à analyser

Liste des outils

et éditeurs

Livre Blanc

Comité de Pilotage (6)

Comité technique (6)

Lancement du GT

Séminaire annuel Club 27001

2013

10 /10 / Apports vs. freins

Club 27001 – Avril 2013

Conformité Facilité le respect des normes et

réglementation

Mapping entre référentiel

Partage Publication de la politique de sécurité

des SI et autres règlements internes

Exploitation Diminution du temps de gestion et des

budgets de fonctionnement

Organisation Gestion décentralisée des plans

d’actions

Workflow et gestion des tâches

Délégation Collecte et consolidation des résultats

d’audit et des indicateurs

Outils peu connus des RSSI

Peu de références établies en France

Coût de mise en œuvre important et

ROI difficile à calculer

Assistance pouvant doubler le budget

Outil « usine à gaz » si projet trop

ambitieux ne répondant pas à des

besoins opérationnels pratiques

Pas d’exigence ou de recommandation

dans les référentiels sur l’outillage

Peur d’une perte d’autonomie et de

souplesse liée au format de l’outil

Marché

Complexité

Budget

Exigences

Flexibilité

APPORTS FREINS

« Penser large, implémenter petit » pour des résultats rapides [RSA]

« Il n’y a pas d’outil miracle ’’ Wizzard SMSI’’» [Club 27001]

Quelques verbatim issus de nos échanges avec les éditeurs :

11 /11 /

LES OUTILS IDENTIFIÉS ET

TESTÉS

3

12 /12 / Listes de outils

Les membres du groupe de travail ont identifié un panel de 33 outils, à

priori capable d’offrir des fonctionnalités permettant la mise en œuvre

ou l’exploitation d’un SMSI :

Club 27001 – Avril 2013

5 outils Système de Management (SM)

10 outils Gouvernance / Risque / Conformité (GRC)

18 outils Gestion des risques / Sécurité des SI (SSI)

33 outils

11 nationalités

13 /13 / Les outils (1/4)

Solution Entreprise Nationalité

Réponse

questionnaire

préliminaire

Origine du

produit

BlueSuite Oxial Suisse Oui GRC

Brainwave Identity GRC France Oui GRC

Bwise GRC Bwise Pays-Bas Oui GRC

Callio-Secura Callio technologie Canada Non SSI

DPCIA DPCIA France Oui SSI

Easy2comply DynaSec ltd. Israël Oui SSI

EBIOS 2010 ANSSI France Non SSI

EnablonRM Enablon Etats-Unis Non GRC

Club 27001 – Avril 2013

14 /14 / Les outils (2/4)

Solution Entreprise Nationalité

Réponse

questionnaire

préliminaire

Origine du

produit

Entropy BSI GrandeBretagne

Oui SM

FIDENS EGERIE Risk Manager

Fidens France Oui SSI

Front GRC efront France Oui GRC

Gesttic Or Gesttic Espagne Non SSI

In4Risk Sagenti Canada Non SSI

ISMart Biznet Turquies Oui SSI

ISOSystemPlus Netcomm Etats-Unis Oui SSI

IsoVision IsoVision Canada Non SM

Club 27001 – Avril 2013

15 /15 / Les outils (3/4)

Solution Entreprise Nationalité

Réponse

questionnaire

préliminaire

Origine du

produit

JKT9000 Noweco Allemagne Non SM

Kleverware IAG Kleverware France Oui SSI

ManageISMS Paladion Inde Oui SSI

MEGA MEGA suite France Non SM

MetricStream GRC MetricStream Etats-Unis Non GRC

OpenPages IBM Etats-Unis Oui GRC

Optimiso Optimiso Group SA Suisse Oui SM

Profisse PROFIS S.A.S France Oui SSI

Club 27001 – Avril 2013

16 /16 / Les outils (4/4)

Solution Entreprise Nationalité

Réponse

questionnaire

préliminaire

Origine du

produit

RealISMS Realiso Corp Etats-Unis Non SSI

RSA Archer eGRC EMC-RSA Etats-Unis Oui GRC

RSSI-Pilote Siva France Non SSI

RVR DEVOTEAM France Oui GRC

Score PDCA ISM Ageris France Oui SSI

Self-Expert SE-Conseil France Oui SSI

SGSI ECIJA Espagne Non SSI

STREAM Acuityrm GrandeBretagne

Oui GRC

Verinice Sernet Allemagne Non SSI

Club 27001 – Avril 2013

17 /17 / Les outils

Club 27001 – Avril 2013

Dans un premier temps, 10 outils ont été testés :

BlueSuite

EFRONT

RSA ARCHER

OpenPages

RVR Systems

Stream

Entropy

Optimiso

Self Expert

DPCIA

GRC

SM

SSI

18 /18 /

L’ANALYSE

4

19 /19 / Démarche

ANALYSE

PRÉLIMINAIRE

Questionnaire à

compléter

Questionnaire

complété

Éditeur X

Synthèse

de l’analyse

Éditeur X

ANALYSE

TECHNIQUE

Membre GT A

Membre GT B

Outil X

Questionnaire BX

complété

Questionnaire AX

complété

Questionnaire X

consolidé

Membre

GT

Membre

GT

Diffusion du

questionnaireAnalyse de la réponse

Complétion du

questionnaire

Analyse et rapport unitaireConsolidation du

rapportFormalisation de la

synthèse

Club 27001 – Avril 2013

Questionnaire

préliminaire

Questionnaire

technique

Fiche de synthèse

20 /20 / Étape 1 - Questionnaire d’analyse préliminaire

Club 27001 – Avril 2013

Administratif• Description de l’entreprise, références , implantation, support, langue(s) outil

Financier• Prix d’achat, maintenance annuelle, coût de mise en œuvre, adaptation

Plateforme technique • Pré-requis techniques, langage de développement, client léger / client lourd,

mono ou multi-utilisateurs

Condition de test ou de maquettage• Modalité / coût, démonstration, données inclues

Grandes fonctionnalités• Établissement, mise en œuvre, surveillance, amélioration, documentation, base

de connaissance

Description libre de la solution par l’éditeur

21 /21 / Étape 2 - Questionnaire d’analyse technique

Couverture de la norme

Analyse des risques

Audit

Tableau de bord et indicateurs

Processus / workflow / organisation

Gestion documentaire

Suivi des actions / événements Analyse de l’outil

Ergonomie

Environnement technique &

sécurité

Test, acquisition et exploitation

Adaptabilité / interopérabilité

Intégration autres référentiels

Club 27001 – Avril 2013

101 questions

Couvre 100% des points de la

norme ISO 27001:2005

Répartition PDCA :

PLAN 15 - DO 19 - CHECK 9 - ACT 5

Echelle d’analyse de 1 à 4

22 /22 / Étape 3 - Analyse des outils

Conditions de test

• Plateforme WEB

• Poste avec l’outil installé

• Réunion d’échange et de travail avec l’éditeur

Limites

• Environ une journée de test par outil

• Pas de formation à l’outil

• Des versions non configurées en fonction d’un contexte client

Club 27001 – Avril 2013

Les outils ont été testés par les membres bénévoles du groupe

de travail, selon les conditions et les limites suivantes :

23 /23 / Étape 4 - Synthèse par outil

Club 27001 – Avril 2013

Pour chaque outil analysé, une fiche de synthèse contenant les

éléments suivants sera publiée :

Carte d’identité de l’outil (l’éditeur, la nationalité, la langue, le site internet, la

personne à contacter et son adresse email)

Une fourchette budgétaire (si communiquée par l’éditeur)

Les radars issus du questionnaire technique :

Radar de la couverture de la norme

Radar d’analyse de l’outil

Des remarques générales sur l’outil :

Points forts et points faibles

L’avis du club 27001

Contexte idéal d’utilisation

Maturité nécessaire - Prérequis

Les points forts et points faibles des différentes thématiques abordées

24 /24 / Exemple de fiche de synthèse

Club 27001 – Avril 2013

25 /25 /

PREMIÈRE SYNTHÈSE

5

26 /26 / Synthèse – Constats (1/2)

Le marché actuel des outils couvre un large panel

> de besoins

Périmètre de SMSI varié : petit ou grand périmètre, mono ou multi-sites…

Installation sur site ou hébergé

Outil complet (toutes les fonctionnalités) ou outil avec fonctionnalités limitées à

vos besoins facile à mettre œuvre

> et de coûts

Acquisition des licences unitaires ou modulaires

Accompagnement à la mise en œuvre et au paramétrage

Maintenance de l’application

Certains outils initialement prévus pour d’autres périmètres (SM ou

GRC) peuvent répondre à de nombreuses attentes liées au SMSI

Renseignez vous si votre entreprise dispose déjà d’un de ses outils ou envisage

d’en acquérir un :

Mutualisez pour diminuer les coûts !

Club 27001 – Avril 2013

27 /27 / Synthèse – Constats (2/2)

Les outils ne font pas tout…

Aucun produit ne permet de garantir la certification ISO 27001:2005

Les outils ne permettent pas de faire le SMSI à votre place

Club 27001 – Avril 2013

… mais peuvent apporter beaucoup…

Il n’y a pas d’outil parfait, mais des outils qui peuvent

vous aider à déployer ou exploiter votre SMSI

et compléter un existant

… selon votre maturité dans le domaine !

Les objectifs et enjeux doivent être définis

Les moyens et les méthodologies permettant de

les atteindre aussi

28 /28 / Le bilan à aujourd’hui

Un travail important qui a permis d’établir :

Une démarche de test au sein du Club avec un premier retour d’expérience

Une liste d’outils offrant un panel large de recherche

Un questionnaire d’analyse préliminaire

Objectif : présentation de la société et des grandes fonctionnalités de chaque outil

Élaboré et partagé par les membres du COTECH et du COPIL

Validé et éprouvé auprès des éditeurs

Un questionnaire d’analyse technique

Objectif : étude précise des fonctionnalités de l’outil suivant des points

d’exigences des l’ISO 27001

Questionnaire pouvant servir de base pour un appel d’offres

Élaboré et partagé par les membres du COTECH et du COPIL

Ces livrables sont publiés sur le site du Club 27001 !

Club 27001 – Avril 2013

http://www.club-27001.fr/benchmark.html

29 /29 / Et maintenant ?

Les résultats seront publiés sous forme d’un livre blanc d’ici l’été 2013

Le GT s’est inscrit dans une démarche d’amélioration continue

Un premier retour d’expérience concluant ayant permis de lancer la démarche au

sein du Club et fournir de premiers résultats

Des questionnaires et livrables élaborés et publiés sur le site du Club 27001

pourront être améliorés lors du prochain cycle

Un nouveau cycle est en marche

Un nouveau cycle d’analyse sera lancé suite à la publication du Livre Blanc 2013

Les questionnaires seront mis à jour en fonction des retours d’expérience et des

éventuelles mises à jour des référentiels ISO 2700x

De nouveaux outils seront ajoutés et testés

Club 27001 – Avril 2013

Rejoignez-nous !

Benchmark@club-27001.fr