réunion du 23 mai -club 27001club-27001.fr/attachments/article/141/réunion club 27001... ·...
TRANSCRIPT
Mai 2013
Réunion du 23 mai - Club 27001
Benchmark des outils SMSI
Florence LE GOFF - SolucomEmmanuel JOULAIN - THALES
2 /2 / Agenda
1. Historique et motivation du groupe de travail
2. Apports et freins pour l’outillage d’une démarche 27001
3. Les outils identifiés et testés
4. L’analyse
5. Première synthèse
6. Débat / Questions : échanges
Club 27001 – Mai 2013
3 /3 /
HISTORIQUE ET MOTIVATION DU GROUPE DE TRAVAIL
1
4 /4 / Historique et motivation de la démarche
Club 27001 – Mai 2013
� Problématiques rencontrées
De nombreuses entreprises se lancent dans des démar ches SMSI
� En utilisant des outils bureautiques hétérogènes …
� … étant limités fonctionnellement, difficile à maintenir et à faible interopérabilité
� … et apparaissant insuffisants pour gérer de manière pérenne des SMSI complexes au sein d’autres systèmes de management
Ces entreprises n’ont pas de visibilité sur les outi ls du marché qui leur permettraient de faciliter l’exploitation de leur SMSI
� Difficulté pour déterminer quels sont les modules nécessaires (analyse des risques, gestion documentaire, gestion des incidents…)
� … en tenant compte de leurs besoins, leurs contraintes et les outils existants (SMQ, GED…) au sein de leur organisation
� Finalité du groupe de travail « Benchmark outils SMSI » : Apporter un éclairage sur ces problématiques
� Pas un comparatif… mais une liste des produits du marché et un avis sur chacun
� Un choix restant à faire par l’entreprise
• en fonction de ses besoins et attentes• et à l’aide des résultats apportés par le groupe de travail
5 /5 / Objectifs
Club 27001 – Mai 2013
6 /6 /
40 inscrits
Organisation du Groupe de Travail
Club 27001 – Mai 2013
Comité de Pilotage
Comitétechnique
88 1717
25 personnes actives25 personnes activesCréation de 2 mailing-lists
• E. DOYEN (Humanis)• E. GARNIER (Systalians -
Reunica)• T. LEBOUC (Thales)• D. GUENEZAN (Thales)• T. CHENU (Dassault)• S. MICHALOWSKI (Indépendant)• M. BERTEAU (Indépendant)• H. Ysnel (CGI Business
Consulting)
• E. JOULAIN (Thales)• F. LE GOFF (Solucom)• M. VERON (ESR Consulting)• N. IOANNIDOU – GAMBIER
(RICOH France)• G. LE GALIARD (CGI Business
Consulting)• D. RENAULD (MiaXys)• F. HASNAOUI (Webhelp)• E. PETIT (CGI Business
Consulting)
• M. DEHEINZELIN (Altran)• M. DOVERO (CG13)• S. JOURDAIN (Cheops)• C. DI-CESARE (SCASSI Conseil)• R. BOTTAN (Cassidian)• W. MEZIANE (Elron)• J. PEGLI• L. BOBET (CGI Business
Consulting)• N FORCE (Orasys)
Acteurs
7 /7 / Organisation du Groupe de Travail
• Définition de la note de fonctionnement du groupe
• Identification des grandes thématiques du questionnaire
• Validation du questionnaire d’analyse • Affectation des outils aux analystes• Gestion de la communication • Rédaction du livre blanc
• Définition du questionnaire d’analyse préliminaire
• Définition du questionnaire d’analyse technique
• Echange avec les éditeurs • Test des produits• Rédaction d’une synthèse d’analyse• Présentation des analyses
Club 27001 – Mai 2013
Comité de Pilotage
Comitétechnique
88 1717
25 personnes actives25 personnes actives
Rôle et responsabilités du COPIL Rôle et responsabilités du COTECH
8 /8 /
APPORTS ET FREINS POUR L’OUTILLAGE D ’UNE DÉMARCHE 27001
2
9 /9 / Travaux du GT – 2012/2013
Club 27001 – Mai 2013
Janv.Fév.
Mars
Avr.
Mai
JuinAoût
Sept.
Oct.
Nov.
Déc..
Juil.
GT BENCHMARK
Rapport paroutil analysé
Rec
herc
he
outi l
s
Synthèse et support
de présentation
Support séminaire
Questionnaire technique
Questionnaire préliminaire
Liste des outils à analyser
Analyse & sélection
Test d
es o
utils
Test des outils
Définition questionnaire
préliminaire Liste des outils
et éditeurs
Livre Blanc
Définition questionnaire
technique
Réd
actio
n Li
vre
Bla
nc
Comité de Pilotage (6)
Comité technique (6)
Lancement du GT
Séminaire annuel Club 27001
2013
2012
10 /10 / Apports vs. freins
Club 27001 – Mai 2013
Conformité� Facilité le respect des normes et
réglementation� Mapping entre référentiel
Partage � Publication de la politique de sécuritédes SI et autres règlements internes
Exploitation � Diminution du temps de gestion et des budgets de fonctionnement
Organisation� Gestion décentralisée des plans
d’actions� Workflow et gestion des tâches
Délégation � Collecte et consolidation des résultats d’audit et des indicateurs
� Outils peu connus des RSSI� Peu de références établies en France
� Coût de mise en œuvre important et ROI difficile à calculer
� Assistance pouvant doubler le budget
� Outil « usine à gaz » si projet trop ambitieux ne répondant pas à des besoins opérationnels pratiques
� Pas d’exigence ou de recommandation dans les référentiels sur l’outillage
� Peur d’une perte d’autonomie et de souplesse liée au format de l’outil
Marché
Complexité
Budget
Exigences
Flexibilité
APPORTS FREINS
« Penser large, implémenter petit » pour des résultats rapides [RSA]
« Il n’y a pas d’outil miracle ’’ Wizzard SMSI’’» [Club 27001]
� Quelques verbatim issus de nos échanges avec les éd iteurs :
11 /11 /
LES OUTILS IDENTIFIÉS ET TESTÉS
3
12 /12 / Listes de outils
� Les membres du groupe de travail ont identifié un pa nel de 33 outils, àpriori capable d’offrir des fonctionnalités permett ant la mise en œuvre ou l’exploitation d’un SMSI :
Club 27001 – Mai 2013
33 outils 33 outils Liste
disponible sur l
e site
Intern
et du C
lub 27
001
11 nationalités
11 nationalités
13 /13 / Les outils (1/4)
Solution Entreprise NationalitéRéponse
questionnaire préliminaire
Origine du produit
BlueSuite Oxial Suisse Oui GRC
Brainwave Identity GRC France Oui GRC
Bwise GRC Bwise Pays-Bas Oui GRC
Callio-Secura Callio technologie Canada Non SSI
DPCIA DPCIA France Oui SSI
Easy2comply DynaSec ltd. Israël Oui SSI
EBIOS 2010 ANSSI France Non SSI
EnablonRM Enablon Etats-Unis Non GRC
Club 27001 – Mai 2013
14 /14 / Les outils (2/4)
Solution Entreprise NationalitéRéponse
questionnaire préliminaire
Origine du produit
Entropy BSI Grande
BretagneOui SM
FIDENS EGERIE
Risk ManagerFidens France Oui SSI
Front GRC efront France Oui GRC
Gesttic Or Gesttic Espagne Non SSI
In4Risk Sagenti Canada Non SSI
ISMart Biznet Turquies Oui SSI
ISOSystemPlus Netcomm Etats-Unis Oui SSI
IsoVision IsoVision Canada Non SM
Club 27001 – Mai 2013
15 /15 / Les outils (3/4)
Solution Entreprise NationalitéRéponse
questionnaire préliminaire
Origine du produit
JKT9000 Noweco Allemagne Non SM
Kleverware IAG Kleverware France Oui SSI
ManageISMS Paladion Inde Oui SSI
MEGA MEGA suite France Non SM
MetricStream GRC MetricStream Etats-Unis Non GRC
OpenPages IBM Etats-Unis Oui GRC
Optimiso Optimiso Group SA Suisse Oui SM
Profisse PROFIS S.A.S France Oui SSI
Club 27001 – Mai 2013
16 /16 / Les outils (4/4)
Solution Entreprise NationalitéRéponse
questionnaire préliminaire
Origine du produit
RealISMS Realiso Corp Etats-Unis Non SSI
RSA Archer eGRC EMC-RSA Etats-Unis Oui GRC
RSSI-Pilote Siva France Non SSI
RVR DEVOTEAM France Oui GRC
Score PDCA ISM Ageris France Oui SSI
Self-Expert SE-Conseil France Oui SSI
SGSI ECIJA Espagne Non SSI
STREAM AcuityrmGrande
BretagneOui GRC
Verinice Sernet Allemagne Non SSI
Club 27001 – Mai 2013
17 /17 / Les outils
Club 27001 – Mai 2013
� Dans un premier temps, 10 outils ont été testés :
� BlueSuite
� EFRONT
� RSA ARCHER
� OpenPages
� RVR Systems
� Stream
� Entropy
� Optimiso
� Self Expert
� DPCIA
GRC
SM
SSI
18 /18 /
L’ANALYSE4
19 /19 / Démarche
ANALYSE PRÉLIMINAIRE
Questionnaire àcompléter
Questionnaire complété
Éditeur X
Synthèse de l’analyse
Éditeur X
ANALYSE TECHNIQUE
Membre GT A
Membre GT B
Outil X
Questionnaire BX complété
Questionnaire AX complété
Questionnaire X consolidé
Membre GT
Membre GT
Diffusion du questionnaire
Analyse de la réponseComplétion du questionnaire
Analyse et rapport unitaire Consolidation du rapport
Formalisation de la synthèse
Club 27001 – Mai 2013
Questionnaire préliminaire
Questionnaire technique
Fiche de synthèse
20 /20 / Étape 1 - Questionnaire d’analyse préliminaire
Club 27001 – Mai 2013
21 /21 / Étape 2 - Questionnaire d’analyse technique
� Couverture de la norme
� Analyse des risques
� Audit
� Tableau de bord et indicateurs
� Processus / workflow / organisation
� Gestion documentaire
� Suivi des actions / événements � Analyse de l’outil
� Ergonomie
� Environnement technique & sécurité
� Test, acquisition et exploitation
� Adaptabilité / interopérabilité
� Intégration autres référentiels
Club 27001 – Mai 2013
101 questions
Couvre 100% des points de la norme ISO 27001:2005
Répartition PDCA :PLAN 15 - DO 19 - CHECK 9 - ACT 5
Echelle d’analyse de 1 à 4
Disponible sur le site
Internet du Club 27001
22 /22 / Étape 3 - Analyse des outils
Club 27001 – Mai 2013
� Les outils ont été testés par les membres bénévoles du groupe de travail, selon les conditions et les limites suiv antes :
23 /23 / Étape 4 - Synthèse par outil
Club 27001 – Mai 2013
� Pour chaque outil analysé, une fiche de synthèse con tenant les éléments suivants sera publiée :
� Carte d’identité de l’outil (l’éditeur, la nationalité, la langue, le site internet, la personne à contacter et son adresse email)
� Une fourchette budgétaire (si communiquée par l’éditeur)
� Les radars issus du questionnaire technique :
� Radar de la couverture de la norme
� Radar d’analyse de l’outil
� Des remarques générales sur l’outil :
� Points forts et points faibles
� L’avis du club 27001
� Contexte idéal d’utilisation
� Maturité nécessaire - Prérequis
� Les points forts et points faibles des différentes thématiques abordées
24 /24 / Exemple de fiche de synthèse
Club 27001 – Mai 2013
25 /25 /
PREMIÈRE SYNTHÈSE5
26 /26 / Synthèse – Constats (1/2)
� Le marché actuel des outils couvre un large panel > de besoins
� Périmètre de SMSI varié : petit ou grand périmètre, mono ou multi-sites…
� Installation sur site ou hébergé
� Outil complet (toutes les fonctionnalités) ou outil avec fonctionnalités limitées àvos besoins facile à mettre œuvre
> et de coûts� Acquisition des licences unitaires ou modulaires
� Accompagnement à la mise en œuvre et au paramétrage
� Maintenance de l’application
� Certains outils initialement prévus pour d’autres p érimètres (SM ou GRC) peuvent répondre à de nombreuses attentes liées au SMSI
� Renseignez vous si votre entreprise dispose déjà d’un de ses outils ou envisage d’en acquérir un :
���� Mutualisez pour diminuer les coûts !
Club 27001 – Mai 2013
27 /27 / Synthèse – Constats (2/2)
� Les outils ne font pas tout…� Aucun produit ne permet de garantir la certification ISO 27001:2005
� Les outils ne permettent pas de faire le SMSI à votre place
Club 27001 – Mai 2013
� … mais peuvent apporter beaucoup…� Il n’y a pas d’outil parfait, mais des outils qui peuvent
� vous aider à déployer ou exploiter votre SMSI
� et compléter un existant
� … selon votre maturité dans le domaine !� Les objectifs et enjeux doivent être définis
� Les moyens et les méthodologies permettant de les atteindre aussi
28 /28 / Le bilan à aujourd’hui
� Un travail important qui a permis d’établir :
� Une démarche de test au sein du Club avec un premier retour d’expérience
� Une liste d’outils offrant un panel large de recherche
� Un questionnaire d’analyse préliminaire
� Objectif : présentation de la société et des grandes fonctionnalités de chaque outil
� Élaboré et partagé par les membres du COTECH et du COPIL
� Validé et éprouvé auprès des éditeurs
� Un questionnaire d’analyse technique
� Objectif : étude précise des fonctionnalités de l’outil suivant des points d’exigences des l’ISO 27001
� Questionnaire pouvant servir de base pour un appel d’offres
� Élaboré et partagé par les membres du COTECH et du COPIL
� Ces livrables sont publiés sur le site du Club 2700 1 !
Club 27001 – Mai 2013
http://www.club-27001.fr/benchmark.html
29 /29 / Et maintenant ?
� Les résultats seront publiés sous forme d’un livre blanc
� Après dernière relecture et validation de la part des éditeurs
� Objectif Eté 2013
� Le GT s’est inscrit dans une démarche d’amélioratio n continue
� Un premier retour d’expérience concluant ayant permis de lancer la démarche au sein du Club et fournir de premiers résultats
� Des questionnaires et livrables élaborés et publiés sur le site du Club 27001 pourront être améliorés lors du prochain cycle
� Un nouveau cycle est en marche
� Un nouveau cycle d’analyse sera lancé suite à la publication du Livre Blanc 2013
� Les questionnaires seront mis à jour en fonction des retours d’expérience et des éventuelles mises à jour des référentiels ISO 2700x
� De nouveaux outils seront ajoutés et testés
Club 27001 – Mai 2013
Rejoignez-nous [email protected]