conférence annuelle du club 27001club-27001.fr/attachments/article/146/club 27001... ·...
TRANSCRIPT
Avril 2013
Conférence annuelle du Club 27001
Benchmark des outils SMSI
Florence LE GOFF - Solucom
Emmanuel JOULAIN - THALES
2 /2 / Agenda
1. Historique et motivation du
groupe de travail
2. Apports et freins pour l’outillage
d’une démarche 27001
3. Les outils identifiés et testés
4. L’analyse
5. Première synthèse
6. Débat / Questions : échanges
Club 27001 – Avril 2013
3 /3 /
HISTORIQUE ET MOTIVATION
DU GROUPE DE TRAVAIL
1
4 /4 / Historique et motivation de la démarche
Club 27001 – Avril 2013
Problématiques rencontrées
De nombreuses entreprises se lancent dans des démarches SMSI
En utilisant des outils bureautiques hétérogènes…
… étant limités fonctionnellement, difficile à maintenir et à faible interopérabilité
… et apparaissant insuffisants pour gérer de manière pérenne des SMSI complexes au sein d’autres
systèmes de management
Ces entreprises n’ont pas de visibilité sur les outils du marché qui leur permettraient de faciliter
l’exploitation de leur SMSI
Difficulté pour déterminer quels sont les modules nécessaires (analyse des risques, gestion documentaire,
gestion des incidents…)
… en tenant compte de leurs besoins, leurs contraintes et les outils existants (SMQ, GED…) au sein de leur
organisation
Introduction par le président du Club27001 : Éric Doyen
Finalité du groupe de travail « Benchmark outils SMSI » :
Apporter un éclairage sur ces problématiques
Pas un comparatif… mais une liste des produits du marché et un avis sur chacun
Un choix restant à faire par l’entreprise
• en fonction de ses besoins et attentes
• et à l’aide des résultats apportés par le groupe de travail
5 /5 / Objectifs
Club 27001 – Avril 2013
Identifier et lister les fonctionnalités utiles
pour un SMSI
Avoir une vue d’ensemble des
solutions du marché permettant la mise en œuvre et l’exploitation
d’un SMSI
Permettre aux futurs acquéreurs de choisir un outil en fonction de
leurs besoins et
contraintes
Publier un rapport d’analyse public et
animer une conférence de présentation des
résultats
6 /6 /
40 inscrits
Organisation du Groupe de Travail
Club 27001 – Avril 2013
Comité de
Pilotage
Comité
technique
8 17
25 personnes activesCréation de 2
mailing-lists
• E. DOYEN (Humanis)
• E. GARNIER (Systalians -
Reunica)
• T. LEBOUC (Thales)
• D. GUENEZAN (Thales)
• T. CHENU (Dassault)
• S. MICHALOWSKI (Indépendant)
• M. BERTEAU (Indépendant)
• H. Ysnel (CGI Business
Consulting)
• E. JOULAIN (Thales)
• F. LE GOFF (Solucom)
• M. VERON (ESR Consulting)
• N. IOANNIDOU – GAMBIER
(RICOH France)
• G. LE GALIARD (CGI Business
Consulting)
• D. RENAULD (MiaXys)
• F. HASNAOUI (Webhelp)
• E. PETIT (CGI Business
Consulting)
• M. DEHEINZELIN (Altran)
• M. DOVERO (CG13)
• S. JOURDAIN (Cheops)
• C. DI-CESARE (SCASSI Conseil)
• R. BOTTAN (Cassidian)
• W. MEZIANE (Elron)
• J. PEGLI
• L. BOBET (CGI Business
Consulting)
• N FORCE (Orasys)
Acteurs
7 /7 / Organisation du Groupe de Travail
• Définition de la note de fonctionnement
du groupe
• Identification des grandes thématiques
du questionnaire
• Validation du questionnaire d’analyse
• Affectation des outils aux analystes
• Gestion de la communication
• Rédaction du livre blanc
• Définition du questionnaire d’analyse
préliminaire
• Définition du questionnaire d’analyse
technique
• Echange avec les éditeurs
• Test des produits
• Rédaction d’une synthèse d’analyse
• Présentation des analyses
Club 27001 – Avril 2013
Comité de
Pilotage
Comité
technique
8 17
25 personnes actives
Rôle et responsabilités du COPIL Rôle et responsabilités du COTECH
8 /8 /
APPORTS ET FREINS POUR
L’OUTILLAGE D’UNE
DÉMARCHE 27001
2
9 /9 / Travaux du GT – 2012/2013
Club 27001 – Avril 2013
Janv.Fév.
Mars
Avr.
Mai
JuinAoût
Sept.
Oct.
Nov.
Déc..
Juil.
GT
BENCHMARK
Rapport par
outil analysé
Support
séminaireQuestionnaire
technique
Questionnaire
préliminaire
Liste des outils
à analyser
Liste des outils
et éditeurs
Livre Blanc
Comité de Pilotage (6)
Comité technique (6)
Lancement du GT
Séminaire annuel Club 27001
2013
10 /10 / Apports vs. freins
Club 27001 – Avril 2013
Conformité Facilité le respect des normes et
réglementation
Mapping entre référentiel
Partage Publication de la politique de sécurité
des SI et autres règlements internes
Exploitation Diminution du temps de gestion et des
budgets de fonctionnement
Organisation Gestion décentralisée des plans
d’actions
Workflow et gestion des tâches
Délégation Collecte et consolidation des résultats
d’audit et des indicateurs
Outils peu connus des RSSI
Peu de références établies en France
Coût de mise en œuvre important et
ROI difficile à calculer
Assistance pouvant doubler le budget
Outil « usine à gaz » si projet trop
ambitieux ne répondant pas à des
besoins opérationnels pratiques
Pas d’exigence ou de recommandation
dans les référentiels sur l’outillage
Peur d’une perte d’autonomie et de
souplesse liée au format de l’outil
Marché
Complexité
Budget
Exigences
Flexibilité
APPORTS FREINS
« Penser large, implémenter petit » pour des résultats rapides [RSA]
« Il n’y a pas d’outil miracle ’’ Wizzard SMSI’’» [Club 27001]
Quelques verbatim issus de nos échanges avec les éditeurs :
11 /11 /
LES OUTILS IDENTIFIÉS ET
TESTÉS
3
12 /12 / Listes de outils
Les membres du groupe de travail ont identifié un panel de 33 outils, à
priori capable d’offrir des fonctionnalités permettant la mise en œuvre
ou l’exploitation d’un SMSI :
Club 27001 – Avril 2013
5 outils Système de Management (SM)
10 outils Gouvernance / Risque / Conformité (GRC)
18 outils Gestion des risques / Sécurité des SI (SSI)
33 outils
11 nationalités
13 /13 / Les outils (1/4)
Solution Entreprise Nationalité
Réponse
questionnaire
préliminaire
Origine du
produit
BlueSuite Oxial Suisse Oui GRC
Brainwave Identity GRC France Oui GRC
Bwise GRC Bwise Pays-Bas Oui GRC
Callio-Secura Callio technologie Canada Non SSI
DPCIA DPCIA France Oui SSI
Easy2comply DynaSec ltd. Israël Oui SSI
EBIOS 2010 ANSSI France Non SSI
EnablonRM Enablon Etats-Unis Non GRC
Club 27001 – Avril 2013
14 /14 / Les outils (2/4)
Solution Entreprise Nationalité
Réponse
questionnaire
préliminaire
Origine du
produit
Entropy BSI GrandeBretagne
Oui SM
FIDENS EGERIE Risk Manager
Fidens France Oui SSI
Front GRC efront France Oui GRC
Gesttic Or Gesttic Espagne Non SSI
In4Risk Sagenti Canada Non SSI
ISMart Biznet Turquies Oui SSI
ISOSystemPlus Netcomm Etats-Unis Oui SSI
IsoVision IsoVision Canada Non SM
Club 27001 – Avril 2013
15 /15 / Les outils (3/4)
Solution Entreprise Nationalité
Réponse
questionnaire
préliminaire
Origine du
produit
JKT9000 Noweco Allemagne Non SM
Kleverware IAG Kleverware France Oui SSI
ManageISMS Paladion Inde Oui SSI
MEGA MEGA suite France Non SM
MetricStream GRC MetricStream Etats-Unis Non GRC
OpenPages IBM Etats-Unis Oui GRC
Optimiso Optimiso Group SA Suisse Oui SM
Profisse PROFIS S.A.S France Oui SSI
Club 27001 – Avril 2013
16 /16 / Les outils (4/4)
Solution Entreprise Nationalité
Réponse
questionnaire
préliminaire
Origine du
produit
RealISMS Realiso Corp Etats-Unis Non SSI
RSA Archer eGRC EMC-RSA Etats-Unis Oui GRC
RSSI-Pilote Siva France Non SSI
RVR DEVOTEAM France Oui GRC
Score PDCA ISM Ageris France Oui SSI
Self-Expert SE-Conseil France Oui SSI
SGSI ECIJA Espagne Non SSI
STREAM Acuityrm GrandeBretagne
Oui GRC
Verinice Sernet Allemagne Non SSI
Club 27001 – Avril 2013
17 /17 / Les outils
Club 27001 – Avril 2013
Dans un premier temps, 10 outils ont été testés :
BlueSuite
EFRONT
RSA ARCHER
OpenPages
RVR Systems
Stream
Entropy
Optimiso
Self Expert
DPCIA
GRC
SM
SSI
18 /18 /
L’ANALYSE
4
19 /19 / Démarche
ANALYSE
PRÉLIMINAIRE
Questionnaire à
compléter
Questionnaire
complété
Éditeur X
Synthèse
de l’analyse
Éditeur X
ANALYSE
TECHNIQUE
Membre GT A
Membre GT B
Outil X
Questionnaire BX
complété
Questionnaire AX
complété
Questionnaire X
consolidé
Membre
GT
Membre
GT
Diffusion du
questionnaireAnalyse de la réponse
Complétion du
questionnaire
Analyse et rapport unitaireConsolidation du
rapportFormalisation de la
synthèse
Club 27001 – Avril 2013
Questionnaire
préliminaire
Questionnaire
technique
Fiche de synthèse
20 /20 / Étape 1 - Questionnaire d’analyse préliminaire
Club 27001 – Avril 2013
Administratif• Description de l’entreprise, références , implantation, support, langue(s) outil
Financier• Prix d’achat, maintenance annuelle, coût de mise en œuvre, adaptation
Plateforme technique • Pré-requis techniques, langage de développement, client léger / client lourd,
mono ou multi-utilisateurs
Condition de test ou de maquettage• Modalité / coût, démonstration, données inclues
Grandes fonctionnalités• Établissement, mise en œuvre, surveillance, amélioration, documentation, base
de connaissance
Description libre de la solution par l’éditeur
21 /21 / Étape 2 - Questionnaire d’analyse technique
Couverture de la norme
Analyse des risques
Audit
Tableau de bord et indicateurs
Processus / workflow / organisation
Gestion documentaire
Suivi des actions / événements Analyse de l’outil
Ergonomie
Environnement technique &
sécurité
Test, acquisition et exploitation
Adaptabilité / interopérabilité
Intégration autres référentiels
Club 27001 – Avril 2013
101 questions
Couvre 100% des points de la
norme ISO 27001:2005
Répartition PDCA :
PLAN 15 - DO 19 - CHECK 9 - ACT 5
Echelle d’analyse de 1 à 4
22 /22 / Étape 3 - Analyse des outils
Conditions de test
• Plateforme WEB
• Poste avec l’outil installé
• Réunion d’échange et de travail avec l’éditeur
Limites
• Environ une journée de test par outil
• Pas de formation à l’outil
• Des versions non configurées en fonction d’un contexte client
Club 27001 – Avril 2013
Les outils ont été testés par les membres bénévoles du groupe
de travail, selon les conditions et les limites suivantes :
23 /23 / Étape 4 - Synthèse par outil
Club 27001 – Avril 2013
Pour chaque outil analysé, une fiche de synthèse contenant les
éléments suivants sera publiée :
Carte d’identité de l’outil (l’éditeur, la nationalité, la langue, le site internet, la
personne à contacter et son adresse email)
Une fourchette budgétaire (si communiquée par l’éditeur)
Les radars issus du questionnaire technique :
Radar de la couverture de la norme
Radar d’analyse de l’outil
Des remarques générales sur l’outil :
Points forts et points faibles
L’avis du club 27001
Contexte idéal d’utilisation
Maturité nécessaire - Prérequis
Les points forts et points faibles des différentes thématiques abordées
24 /24 / Exemple de fiche de synthèse
Club 27001 – Avril 2013
25 /25 /
PREMIÈRE SYNTHÈSE
5
26 /26 / Synthèse – Constats (1/2)
Le marché actuel des outils couvre un large panel
> de besoins
Périmètre de SMSI varié : petit ou grand périmètre, mono ou multi-sites…
Installation sur site ou hébergé
Outil complet (toutes les fonctionnalités) ou outil avec fonctionnalités limitées à
vos besoins facile à mettre œuvre
> et de coûts
Acquisition des licences unitaires ou modulaires
Accompagnement à la mise en œuvre et au paramétrage
Maintenance de l’application
Certains outils initialement prévus pour d’autres périmètres (SM ou
GRC) peuvent répondre à de nombreuses attentes liées au SMSI
Renseignez vous si votre entreprise dispose déjà d’un de ses outils ou envisage
d’en acquérir un :
Mutualisez pour diminuer les coûts !
Club 27001 – Avril 2013
27 /27 / Synthèse – Constats (2/2)
Les outils ne font pas tout…
Aucun produit ne permet de garantir la certification ISO 27001:2005
Les outils ne permettent pas de faire le SMSI à votre place
Club 27001 – Avril 2013
… mais peuvent apporter beaucoup…
Il n’y a pas d’outil parfait, mais des outils qui peuvent
vous aider à déployer ou exploiter votre SMSI
et compléter un existant
… selon votre maturité dans le domaine !
Les objectifs et enjeux doivent être définis
Les moyens et les méthodologies permettant de
les atteindre aussi
28 /28 / Le bilan à aujourd’hui
Un travail important qui a permis d’établir :
Une démarche de test au sein du Club avec un premier retour d’expérience
Une liste d’outils offrant un panel large de recherche
Un questionnaire d’analyse préliminaire
Objectif : présentation de la société et des grandes fonctionnalités de chaque outil
Élaboré et partagé par les membres du COTECH et du COPIL
Validé et éprouvé auprès des éditeurs
Un questionnaire d’analyse technique
Objectif : étude précise des fonctionnalités de l’outil suivant des points
d’exigences des l’ISO 27001
Questionnaire pouvant servir de base pour un appel d’offres
Élaboré et partagé par les membres du COTECH et du COPIL
Ces livrables sont publiés sur le site du Club 27001 !
Club 27001 – Avril 2013
http://www.club-27001.fr/benchmark.html
29 /29 / Et maintenant ?
Les résultats seront publiés sous forme d’un livre blanc d’ici l’été 2013
Le GT s’est inscrit dans une démarche d’amélioration continue
Un premier retour d’expérience concluant ayant permis de lancer la démarche au
sein du Club et fournir de premiers résultats
Des questionnaires et livrables élaborés et publiés sur le site du Club 27001
pourront être améliorés lors du prochain cycle
Un nouveau cycle est en marche
Un nouveau cycle d’analyse sera lancé suite à la publication du Livre Blanc 2013
Les questionnaires seront mis à jour en fonction des retours d’expérience et des
éventuelles mises à jour des référentiels ISO 2700x
De nouveaux outils seront ajoutés et testés
Club 27001 – Avril 2013
Rejoignez-nous !