Club Livre BLANC BENCHMARK DES OUTILS SMSI

Transcription

1 Club Livre BLANC BENCHMARK DES OUTILS SMSI 1 ère édition - Novembre 2013 CLUB Site Internet Adresse mail club-27001@club fr

2 La loi française du 11 mars 1957 n'autorisant, aux termes des alinéas 2 et 3 de l'article 41, d'une part, que les "copies strictement réservées à l'usage privé du copiste et non destinées à une utilisation collective" et, d'autre part, que les analyses et les courtes citations dans un but d'exemple, "toute reproduction intégrale, ou partielle, faite sans le consentement du Club 27001, est illicite" (alinéa 1er de l'article 40). En cas de besoin du texte, à des fins personnelles ou commerciales ainsi que de toute information contenue dans le site web, nous vous invitons à prendre contact avec le Club au préalable.

3 Avant propos L'association "Club 27001" rassemble de nombreux professionnels de la Sécurité des Systèmes d Information impliqués dans les travaux et dans la mise en œuvre des normes de la série ISO Forte de cette expertise, l'association a entrepris l analyse d outils pouvant être utiles dans la conception et le maintien d un Système de Management de la Sécurité de l'information (SMSI). Un groupe de travail (GT) Benchmark des outils SMSI a été constitué en avril 2012 pour prendre en charge et piloter ce projet. Ce premier livre blanc, dans son contenu, apporte les éléments d analyse et le point de vue du Club sur un panel d outils étudiés, enrichis des retours d expérience des membres du GT, des auditions et des échanges avec les éditeurs de solution. Dans ce guide, vous trouverez également des éléments d aide à la définition de vos besoins. Cela au travers des questionnaires et des outils étudiés dans leurs versions actuelles qui vous permettront de faire votre propre analyse en toute objectivité. Cette première édition ne saurait être considérée comme exhaustive. Elle fera, nous l espérons, l objet de nouvelles versions avec l aide de vous tous, désireux de rejoindre ce projet. C est avec une grande fierté que nous vous livrons cette édition Nous espérons qu elle vous permettra de faire le bon choix, en connaissance de cause et en fonction de vos besoins. Cette initiative vous intéresse? N hésitez pas à nous rejoindre pour la version Livre Blanc - Benchmark des outils SMSI Version 1 Page 3

4 Remerciements Le Club tient à remercier toutes les personnes ayant participé au groupe de travail Benchmark des outils SMSI et permis la rédaction de ce livre blanc. Les animateurs du groupe de travail : Emmanuel JOULAIN Thales Florence LE GOFF Solucom Thomas LEBOUC Thales Les contributeurs : Michel BERTEAU Indépendant Loïc BOBET CGI Business Consulting Romain BOTTAN Cassidian Thierry CHENU Dassault Aviation Marc DEHEINZELIN Altran Cédric DI-CESARE SCASSI Conseil Marc DOVERO CG13 Eric DOYEN Humanis Nicole FORCE Orasys Emmanuel GARNIER Systalians David GUENEZAN Thales Fahim HASNAOUI Webhelp Niki IOANNIDOU GAMBIER RICOH France Stéphane JOURDAIN Cheops Guillaume LE GALIARD CGI Business Consulting Wiame MEZIANE Elron Stéphane MICHALOWSKI Indépendant Joris PEGLI SRC-Solution Emmanuel PETIT CGI Business Consulting Didier RENAULD MiaXys Martin VERON ESR Consulting Hervé YSNEL CGI Business Consulting L ensemble des éditeurs ayant contribué à la réalisation de ce livre blanc. Livre Blanc - Benchmark des outils SMSI Version 1 Page 4

5 Sommaire I. INTRODUCTION... 6 II. MANAGEMENT DE LA SECURITE DE L INFORMATION... 9 III. LE BENCHMARK Principes, travaux et limites de l étude Organisation Méthode d analyse L analyse préliminaire - Questionnaire adressé aux éditeurs L analyse technique - Questionnaire technique Fiche synthèse produit IV. LE PANEL D OUTILS Les outils identifiés Les outils testés dans cette édition V. RESULTATS D ANALYSE Archer egrc EMC-RSA BlueSuite Oxial Front GRC EFRONT OpenPages IBM RVR Systems Devoteam Entropy BSI Optimiso Optimiso Group SA DPCIA DPCIA VI. CONCLUSION Avantages et freins à la mise en place d un outil pour le SMSI Synthèse des analyses Les lignes directrices pour 3 profils types A l heure du choix VII. ET DEMAIN, LE GT BENCHMARK DES OUTILS SMSI? Livre Blanc - Benchmark des outils SMSI Version 1 Page 5

6 Éric Doyen, Président du Club I. Introduction A l heure où la Sécurité des Systèmes d Information devient de plus en plus prégnante et une quasi exigence pour les entreprises et administrations, la mise en place d un SMSI est un élément déterminant qui permet de cadrer et d améliorer les activités relatives à la Sécurité des Systèmes d Information et plus généralement à la Sécurité de l Information. Depuis quelques années, de nombreuses organisations se lancent dans des démarches SMSI. Un constat : encore à ce jour la mise en œuvre d un SMSI est souvent bâtie sur des outils bureautiques hétérogènes, difficilement maintenables et à faible interopérabilité. Suffisants ou insuffisants? C est le dilemme que le groupe de travail a tenté de lever à travers cette initiative et ces travaux. Ces outils peuvent être limités, voire insuffisants, pour gérer de manière pérenne, des SMSI de plus en plus complexes. Très, trop souvent, les organisations remontent une véritable difficulté pour déterminer quels sont les outils nécessaires (analyse des risques, gestion documentaire, gestion des incidents ) tenant compte des besoins et des contraintes liés à des outils déjà présents (SMQ, GED ). Pour apporter une réponse à ces questions, le Club représenté par le GT «Benchmark des outils SMSI» est très heureux de partager avec la communauté ce premier livre blanc. Emmanuel Garnier, Vice-Président du Club 27001, se joint à moi pour remercier l ensemble des contributeurs et auteurs de ce livre blanc, et plus particulièrement les animateurs Florence, Thomas et Emmanuel pour nous avoir convaincu et pour avoir mené à bien cette première édition. Eric Doyen, 22 novembre 2013 Livre Blanc - Benchmark des outils SMSI Version 1 Page 6

7 Thomas Lebouc, initiateur et animateur du Groupe de Travail Cette initiative est d abord le fruit d un constat partagé avec plusieurs membres du Club : Comment se fait-il que les entreprises, comme les cabinets de conseil, soient si peu outillés de logiciels pour la mise en place et la maintenance des SMSI? Depuis plusieurs années, d autres activités ont bénéficié d un outillage logiciel professionnel mais pas ou peu utilisé dans nos activités SMSI : la gestion des risques d entreprises (cf. cahier technique de l AMRAE : «panorama SIGR»), le contrôle permanent et autres activités d audit métier dans les banques par exemple, les systèmes de management de la qualité notamment dans la modélisation des processus et la gestion du référentiel documentaire, ou, plus proches de notre cœur d expertise, la gestion de crise, la continuité d activité et les audits de vulnérabilités. Au cœur de ces préoccupations - Risques, Qualité, Sécurité les Systèmes de Management de la Sécurité de l Information seraient des parents pauvres ou oubliés? La réponse est clairement «Non», il existe de très nombreux outils couvrant des besoins et spécificités extrêmement étendus. Nous avons donc proposé au Club de lancer ce chantier d analyse du marché des outils SMSI avec les objectifs suivants : Obtenir une vue d ensemble des solutions du marché permettant aussi bien la mise en œuvre que l exploitation d un SMSI. Vous trouverez ici des outils issus du monde de la gestion des risques, de la qualité et de la sécurité des systèmes d information, Identifier et organiser les fonctionnalités utiles pour un SMSI, qu elles soient en conformité avec la normalisation ou qu elles apportent une aide opérationnelle. Vous trouverez ici les exigences génériques à adapter à vos besoins et contraintes pour construire votre propre cahier des charges, Partager nos travaux au fur et à mesure et faire appel à la collaboration de tous au travers du Site Internet, de nos réunions de travail et aujourd hui de ce Livre Blanc. Vous trouverez ici et sur le site les principaux résultats et questionnaires que nous avons construits pour y aboutir. Nous serions ravis de partager vos réactions et suggestions pour l améliorer. Je tiens à remercier l ensemble des membres de l association ayant soutenu cette initiative, particulièrement Hervé Schauer, Emmanuel Garnier et Eric Doyen. Je salue la persévérance de tous ceux qui ont contribué avec bonne humeur à cet effort de recherche et de formalisation. C est l ambition du Club que de partager avec ses membres et la communauté le fruit de ses travaux ; j invite toutes les bonnes volontés à nous rejoindre pour promouvoir ce premier «Livre Blanc Benchmark Outils SMSI» et travailler dès aujourd hui à sa prochaine édition. Thomas Lebouc, 22 novembre 2013 Livre Blanc - Benchmark des outils SMSI Version 1 Page 7

8 Livre Blanc - Benchmark des outils SMSI Version 1 Page 8

9 II. Management de la sécurité de l information La gestion de la sécurité de l information est un domaine central pour l'entreprise. Il est donc utile de structurer cette activité qui concerne l'ensemble des services (logistique, production, prospective et bureaux d études, informatique décisionnelle, finance, marketing/vente ) de l organisation. Il reste néanmoins que chaque service a, et doit conserver, la responsabilité de la sécurité de l information dont elle est propriétaire. Le management de la sécurité est donc une activité support cherchant à apporter aux services la capacité de standardisation, de mutualisation, et de ré-utilisation des ressources nécessaires pour pour atteindre les objectifs de sécurité décrits au niveau de la stratégie d'entreprise. La mise en œuvre du Système de Management de la Sécurité de l Information (assurée par la mise en œuvre de mesures adaptées, regroupant les règles, les processus, les procédures, les structures organisationnelles, les fonctions matérielles et logicielles) est dans ce cadre, assimilable au processus support de la sécurité de l information de l'entreprise. En synthèse, un SMSI est un ensemble organisé de composants qui permettent à une organisation : d'établir une politique et des objectifs en matière de sécurité de l'information, de définir le processus de mise en œuvre de la politique, de déterminer les objectifs à atteindre et les contrôler. Le SMSI est établi, documenté, mis en œuvre et entretenu. Son efficacité est mesurée par rapport aux objectifs de sécurité de l'organisation, c est au travers de ce mesurage qu il est permis d'améliorer le SMSI en permanence. L encadrement normatif de ce système de gestion repose sur la norme ISO/IEC dont la première version est parue en 2005 vient d etre mise à jour et publiée en cette fin d année Le SMSI reprend les concepts classiques aux systèmes de gestion : approche par processus, gestion des risques, amélioration continue (méthode dite PDCA (Plan Do Check Act)), points de contrôle. Gestion des incidents Gestion de la continuité d'activité Conformité Plan Sécurité de l Information Politique de Sécurité Do Organisation de la Sécurité Gestion des actifs Acquisition, développement & maintenance des SI Contrôle d'accès Act Exploitation et gestion des communications Check Sécurité physique & environnementale Sécurité liée aux ressources humaines Livre Blanc - Benchmark des outils SMSI Version 1 Page 9

10 La norme ISO 27001, s appuie sur un système de certification organisé au niveau international ; avec comme avantages : Pour les entreprises, o Possibilité de concourir sur des marchés où elle est positionnée comme une exigence o Avantage concurrentiel lié au certificat de conformité o Limitation de la responsabilité du dirigeant, notamment dans certaines affaires, renversement de la charge de la preuve Pour les clients, o Garantie par un tiers o Simplification des appels d offres En complément de l ISO 27001, d autres normes de la famille 2700x sont utiles dans le cadre de la mise en place et la gestion d un SMSI : Normes ISO 27000:2012 ISO 27002:2005 ISO 27003:2010 ISO 27004:2009 ISO 27005:2011 ISO 27007:2011 Description Définitions et vocabulaire liés aux normes de la famille ISO 2700x Code de bonne pratique pour le management de la sécurité de l'information. Elle propose 133 mesures de sécurité permettant de traiter les risques Description des différentes phases permettant le déploiement d un système de Management tel que décrit dans la norme ISO Description des mécanismes de conception et de mesure des indicateurs de suivi du SMSI Processus de gestion des risques liés à la sécurité de l information. Elle propose une méthodologie d appréciation et de traitement des risques Guide pour l'audit de Systèmes de Management de la Sécurité de l'information Livre Blanc - Benchmark des outils SMSI Version 1 Page 10

11 Principes, travaux et limites de l étude III. Le benchmark Les membres du benchmark ont réalisé les différentes analyses des outils en respectant les principes suivants : La vision utilisateur : Avoir un point de vue de client final et non pas d expert dans le domaine de la SSI et du SMSI ou d éditeur de solutions. L'indépendance : Être neutre dans l établissement des critères de comparaison. Indiquer clairement les avis des testeurs. Réaliser les tests et l analyse sans intervention des éditeurs. S assurer que les membres du GT sont bénévoles auprès du Club et ne sont pas liés aux éditeurs testés. La collégialité : Tester chaque produit parallèlement par plusieurs testeurs. Valider les fiches en comité technique avec des critères partagés. Les travaux se sont répartis, comme suit sur près de 18 mois, afin de constituer les questionnaires d analyse puis les analyses et enfin la rédaction de ce livre blanc. Figure 1 - Synoptique des travaux réalisés Livre Blanc - Benchmark des outils SMSI Version 1 Page 11

12 Organisation Les travaux du groupe de travail ont débuté en avril Ce premier mois d activité a été entièrement consacré à la recherche et l inventaire des produits disponibles sur le marché pour assurer la mise en œuvre et l exploitation d un SMSI. En parallèle et pour mener à bien les travaux du groupe de travail, deux comités ont été créés : un comité de pilotage et un comité technique. Figure 2 - Organisation du Groupe de Travail Les comités de pilotage et technique ont défini un questionnaire d analyse préliminaire destiné aux éditeurs et permettant de recueillir auprès d eux des informations : d ordre administratif (taille de l entreprise, références commerciales, lieu d implantation, langue(s) de l outil ), d ordre financier (coût d acquisition, coût de mise en œuvre et de maintenance ), d ordre technique (description de la plate-forme, nombre d utilisateurs ), et d ordre fonctionnel (fonctionnalités couvertes par l outil). Le questionnaire d analyse préliminaire a également permis de définir les conditions financières ainsi que les prérequis techniques à la réalisation d un test des produits identifiés. Livre Blanc - Benchmark des outils SMSI Version 1 Page 12

13 Méthode d analyse L analyse puis les tests des outils réalisés par les membres du comité technique, en collaboration avec les éditeurs, se sont déroulés sur une période de quatre mois. L analyse préliminaire - Questionnaire adressé aux éditeurs Figure 3 - Déroulement de l'analyse préliminaire La liste des outils retenus est présentée au chapitre suivant. L analyse technique - Questionnaire technique Figure 4 - Déroulement du test des outils Livre Blanc - Benchmark des outils SMSI Version 1 Page 13

14 Le cœur de l analyse est le questionnaire technique créé par les membres du comité technique. Il comporte plus d une centaine de questions. Ce questionnaire, construit selon les exigences de la norme ISO 27001:2005, a deux objectifs principaux : fournir aux testeurs un cadre commun pour analyser les outils et ainsi obtenir des résultats homogènes, permettre aux RSSI ou responsables de SMSI de se poser les bonnes questions, afin de choisir un outil de SMSI en fonction de leurs besoins et de leurs contraintes internes. Chiffres clés 101 questions couvre 100% des points de la norme ISO 27001:2005 répartition PDCA : PLAN 15 - DO 19 - CHECK 9 - ACT 5 Le questionnaire aborde les thématiques suivantes, réparties en deux catégories : Couverture de la norme Analyse des risques Audit Tableau de bord et indicateurs Processus / workflow / organisation Gestion documentaire Suivi des actions / événements Analyse de l outil Ergonomie Environnement technique & sécurité Test, acquisition et exploitation Adaptabilité / interopérabilité Intégration d autres référentiels Sécurité des SI Les membres du groupe de travail ont réalisés par ailleurs leurs tests sur les huits produits sélectionnés selon la configuration mise à disposition par l éditeur : une plate-forme de démonstration WEB ; un poste avec l outil installé et fourni par l éditeur ; Des réunions d échange et de travail avec les éditeurs se sont tenues tout au long des tests. Ces tests se sont réalisés dans les limites suivantes : Environ une journée de test par outil Pas de formation à l outil Des versions non configurées en fonction d un contexte client Livre Blanc - Benchmark des outils SMSI Version 1 Page 14

15 Sur la base de ce questionnaire, chaque outil sélectionné par le Groupe de Travail a été analysé par deux testeurs. Chaque testeur a évalué les différentes fonctionnalités, selon l échelle suivante : Evaluation Description 1 Ne répond pas à l'exigence 2 Répond partiellement à l'exigence 3 Répond globalement à l'exigence 4 Répond parfaitement à l'exigence N/A Non applicable, aucune évaluation n est demandée Figure 5 - Echelle d évaluation des fonctionnalités Cette évaluation est donnée à titre indicatif, elle est à mettre en liaison avec les commentaires qualitatifs rédigés par les différents testeurs Livre Blanc - Benchmark des outils SMSI Version 1 Page 15

16 Fiche synthèse produit Une fois le produit évalué, chaque binome de test a formalisé une fiche de synthèse partagée avec l éditeur et présentée aux membres du comité technique et du comité de pilotage : Un tableau présentant le détail des analyses, c est à dire : les points forts et points faibles par thématique Une fiche de synthèse Ainsi, pour chaque outil analysé, une fiche de synthèse contenant les éléments suivants a été rédigée : Une carte d identité de l outil (l éditeur, la nationalité, la langue, le site internet, la personne à contacter et son adresse ) Une fourchette budgétaire (si communiquée par l éditeur) Les radars issus du questionnaire technique : o Radar de la couverture de la norme o Radar d analyse de l outil Les points forts et points faibles L avis du «Club 27001» o Contexte idéal d utilisation o Maturité nécessaire - Prérequis Le détail des différentes thématiques abordées Le choix de l outil reste à faire par l organisation en fonction de ses besoins, ses contraintes, son existant en termes d outillage et ses attentes. Livre Blanc - Benchmark des outils SMSI Version 1 Page 16

17 Modèle de fiche synthèse produit Outil X Éditeur Éditeur X Nationalité XXX Langue outil Français, Anglais, Allemand, Espagnol Support Français, Anglais Installation Sur site et/ou hébergé (ASP) Site Internet Contact Prénom Nom contact@editeur.com Devis type pour 10 utilisateurs, 3 sites formation incluse Couverture de la norme 0k 20k 50k 100k 150k + NC Analyse de l'outil Analyse de risques Ergonomie Suivi des actions et des événements Audit & conformité Test / acquisition / exploitation Environnement technique & Sécurité Gestion documentaire Tableau de bord et indicateurs Processus / Workflow / Organisation Intégration autres référentiels Adaptabilité / Interopérabilité Points forts Points faibles Synthèse des principaux points forts de l outil Explication de l évaluation, notamment en rapport avec les 11 thématiques illustrées dans les rosaces ci-dessus. Synthèse des principaux points faibles de l outil Explication de l évaluation, notamment en rapport avec les 11 thématiques illustrées dans les rosaces ci-dessus. Avis du Club Valeurs ajoutées dans le cadre d un SMSI Commentaires des membres du groupe de travail concernant l outil analysé : o Contexte d utilisation (mise en œuvre ou exploitation d un SMSI) o Niveau de maturité nécessaire o Périmètre d utilisation o Autres Livre Blanc - Benchmark des outils SMSI Version 1 Page 17

18 Thématiques détaillées d analyse Thématiques Analyse de risques Audit & conformité Tableau de bord et indicateurs Processus / Workflow / Organisation Gestion Documentaire Suivi des actions et des événements Thématiques Ergonomie Environnement technique & Sécurité Adaptabilité / Interopérabilité Intégration autres référentiels Test / acquisition / exploitation Description Plan de traitement des risques, déclaration d applicabilité, identification des actifs (primordiaux / supports), des menaces, et/ou des vulnérabilités Plan de contrôle et audit interne, programme d audit, gestion des charges, rapport de conformité Intégration d indicateurs et tableaux de bord permettant d avoir une vue rapide sur le fonctionnement du SMSI, plan de collecte des indicateurs, historisation des valeurs Système de Management (Organisation du SMSI, modélisation de la cartographie des processus, compétences, communication, revue de direction etc.) Gestion de la documentation (lier des documents à des objets de l outil, gestion des versions des documents, gestion du cycle de vie etc.) Centralisation des événements issus d autres processus du SMSI (résultat d audit, décision de la Direction etc.) et plan d actions Intuitivité, facilité d utilisation, moteur de recherche efficace, réduction des erreurs de manipulation, personnalisation de l interface utilisateur Gestion des droits d accès, gestion des profils, sécurité des données, traçabilité des activités, plateforme technique Personnalisation des critères de l outil (exemple niveau DIC), possibilité d import et export de données, interfaçage avec des outils tiers (messagerie, GED ), possibilité d évolution du périmètre du SMSI Capacité de l outil à s interfacer / échanger avec d autres systèmes de management afin de mutualiser des éléments comme la revue de direction, les audits etc. Modularité d acquisition, programme de formation (utilisateur / administrateur fonctionnel et technique), disponibilité de l éditeur pour réaliser au mieux le test de l outil Thématique complémentaire Sécurité des SI Fonctionnalités utiles aux acteurs de la Sécurité Exemple : reporting opérationnel (malware, gestion des correctifs, audits des journaux d événements, gestion des contrats, PCA etc.) Livre Blanc - Benchmark des outils SMSI Version 1 Page 18

19 Les outils identifiés IV. Le panel d outils Les membres du groupe de travail ont identifié un panel de 33 outils, a priori capables d offrir des fonctionnalités permettant la mise en œuvre et/ou l exploitation d un SMSI. Trois catégories d outils se sont détachées : Outils «Système de Management» : Leur origine ou destination est la gestion d un Système de Management sans champ d application spécifique. Ces outils peuvent aussi bien s appliquer à des Systèmes de Management de la Qualité, de la Sécurité Ils sont souvent issus du monde de la Qualité. Outils «Gouvernance, Risques, Conformité» : Leur champ d application est la Gestion des Risques d Entreprise. Ces outils peuvent donc s appliquer à plusieurs types de risques, y compris les risques liés à l information et aux Systèmes d information. Outils «Sécurité des Systèmes d Information» : Directement issus du monde opérationnel de la SSI, ils se sont adaptés aux évolutions normatives et élargis à la Sécurité de l Information. Ces 33 outils se répartissent comme suit : 5 outils dans la catégorie : Système de Management (SM) 10 outils dans la catégorie : Gouvernance / Risque / Conformité (GRC) 18 outils dans la catégorie : Sécurité des SI (SSI) Figure 6 - Répartition de outils identifiés par catégories et pays d origine des éditeurs Livre Blanc - Benchmark des outils SMSI Version 1 Page 19

20 Ci-après la liste des outils identifiés par les membres du GT : Solution Entreprise Nationalité Origine du produit Archer egrc EMC-RSA Etats-Unis GRC BlueSuite Oxial Suisse GRC Brainwave Identity GRC France GRC Bwise GRC Bwise Pays-Bas GRC Callio-Secura Callio technologie Canada SSI DPCIA DPCIA France SSI Easy2comply DynaSec ltd. Israël SSI EBIOS 2010 ANSSI France SSI EnablonRM Enablon Etats-Unis GRC Entropy BSI Grande Bretagne SM FIDENS EGERIE Risk Manager Fidens France SSI Front GRC efront France GRC Gesttic Or Gesttic Espagne SSI In4Risk Sagenti Canada SSI ISMart Biznet Turquie SSI ISOSystemPlus Netcomm Etats-Unis SSI IsoVision IsoVision Canada SM JKT9000 Noweco Allemagne SM Kleverware IAG Kleverware France SSI ManageISMS Paladion Inde SSI MEGA MEGA suite France SM MetricStream GRC MetricStream Etats-Unis GRC OpenPages IBM Etats-Unis GRC Optimiso Optimiso Group SA Suisse SM Profisse PROFIS S.A.S France SSI Livre Blanc - Benchmark des outils SMSI Version 1 Page 20

21 Solution Entreprise Nationalité Origine du produit RealISMS Realiso Corp Etats-Unis SSI RSSI-Pilote Siva France SSI RVR DEVOTEAM France GRC Score PDCA ISM Ageris France SSI Self-Expert SE-Conseil France SSI SGSI ECIJA Espagne SSI STREAM Acuityrm Grande Bretagne GRC Verinice Sernet Allemagne SSI Livre Blanc - Benchmark des outils SMSI Version 1 Page 21

22 Les outils testés dans cette édition Face au nombre important d outils identifiés et pour respecter les principes fixés pour l analyse (vision utilisateur, indépendance et collégialité), le GT a sélectionné une liste réduite d outil à tester dans cette première édition. Ce choix a été réalisé en fonction des critères suivants : Ressources disponibles au sein du GT : 15 testeurs se sont rendus disponibles, soit une sélection cible de 7 à 10 outils Réactivité des éditeurs concernant l analyse préliminaire : les éditeurs ayant répondu au lancement des tests Couverture fonctionnelle : les outils ayant une couverture fonctionnelle large pour répondre aux besoins du plus grand nombre Expérience utilisateur : les outils pour lesquels les membres du GT avaient une expérience utilisateur préalable. Dans la première version de ce livre blanc, sont présentés les résultats des 8 premiers outils analysés entre octobre 2012 et janvier 2013 par les membres du GT : Archer egrc EMC-RSA BlueSuite Oxial Front GRC EFRONT OpenPages IBM RVR Systems Devoteam Entropy BSI Optimiso Optimiso Group SA DPCIA DPCIA Figure 7 - Logos des éditeurs des outils testés Livre Blanc - Benchmark des outils SMSI Version 1 Page 22

23 V. Résultats d analyse Vous trouverez ici les différentes fiches de synthèse de chacun des 8 outils testés avec : Une carte d identité de l outil Une fourchette budgétaire (si communiquée par l éditeur) Les radars issus du questionnaire technique : Les points forts et points faibles L avis du «Club 27001» Le détail des différentes thématiques abordées Figure 8 - Modèle de fiche de synthèse Livre Blanc - Benchmark des outils SMSI Version 1 Page 23

24 I. VI. Conclusion Avantages et freins à la mise en place d un outil pour le SMSI Nul besoin de rappeler qu un bon management de la sécurité de l Information rend les activités de sécurisation plus performantes et moins coûteuses. Les normes ISO sont un modèle à suivre, et permettent le partage des concepts et du vocabulaire, et en conséquence la cohérence des processus par rapport à des objectifs. Un outil SMSI facilite cette approche en simplifiant la collecte et le partage des informations, depuis l analyse des risques jusqu à la gestion des activités (workflow) relatives aux divers contrôles. Il facilite également la restitution de ces informations sous des formes variées (extraits, alertes, indicateurs, etc.) pour la gestion courante ou pour des campagnes d audit. L adoption d un outil SMSI présente des avantages, mais suscite aussi quelques réticences : Avantages Freins Conformité Facilite le respect des normes et règlementations Mapping entre référentiels Marché Outils peu connus des RSSI Peu de références établies en France Partage Publication de la politique de sécurité des SI et autres règlements internes Complexité Outil «usine à gaz» si projet trop ambitieux ne répondant pas à des besoins opérationnels pratiques Exploitation Diminution du temps de gestion et des budgets de fonctionnement Budget Coût de mise en œuvre important et ROI difficile à calculer Assistance pouvant doubler le budget Organisation Gestion décentralisée des plans d actions Exigences Pas d exigence ou de recommandation dans les référentiels sur l outillage Délégation Collecte et consolidation des résultats d audit et des indicateurs Flexibilité Peur d une perte d autonomie et de souplesse liée au format de l outil Livre Blanc - Benchmark des outils SMSI Version 1 Page 57

25 Synthèse des analyses Les outils ne font pas tout Les outils ne permettent pas de construire et gérer un SMSI à votre place. Aucun produit ne permet de garantir la certification ISO 27001:2005. mais peuvent apporter beaucoup Il n y a pas d outil parfait, mais des outils qui peuvent : Vous aider à déployer ou exploiter votre SMSI. Et compléter un existant. selon votre maturité dans le domaine! Les objectifs et enjeux de votre SMSI doivent être clairement définis. Les moyens et les méthodologies permettant de les atteindre aussi. Les lignes directrices pour 3 profils types Sur la base des 8 produits analysés et le partage des retours d expérience des membre du groupe de travail, 3 profils d organisation se sont dégagés. A chaque profil peut correspondre un panel d outils adaptés. Profil 1 : Organisations utilisant largement des méthodologies et des outils pour leur management des SI, en sécurité ou autre Certains outils initialement prévus pour d autres périmètres (SM ou GRC) peuvent répondre à de nombreuses attentes liées au SMSI : gestion des risques, suivi de la conformité, suivi de plan d actions Si votre organisation dispose déjà d outils de management, l outil SMSI devra s intégrer dans votre environnement existant. Si les attentes fonctionnelles avec d autres services sont proches, vous aurez donc intérêt à mutualiser un même outil pour diminuer les coûts! Archer egrc Front GRC OpenPages RVR Systems Profil 2 : Organisations appliquant des méthodologies SSI sans outillage en particulier Les organisations concernées devront trouver des outils souples afin de s adapter aux méthologies existantes et éprouvées. Les attentes de l outil SMSI sont de permettre d acquérir une vue d ensemble de vos différents processus, en facilitant le partage des informations et le suivi transverse des actions, au service d objectifs de sécurité documentés. La concentration des informations doivent permettre de faciliter les choix d organisation et les audits éventuels. Entropy BlueSuite Livre Blanc - Benchmark des outils SMSI Version 1 Page 58

26 Profil 3 : Organisations démarrant la mise en place d un SMSI Des outils légers doivent permettre, avec un investissement financier limité, de concrétiser vos objectifs de sécurité, de documentrer vos processus, et dans tous les cas de partager le vocabulaire et les concepts de sécurité. Le choix d un outil simple d utilisation, permettant la mise en place efficace d une partie des processus clé d un SMSI semble ainsi plus adapté. Optimiso DPCIA A l heure du choix Le marché actuel des outils couvre un large panel de besoins et de coûts : Des besoins variés que vous devez spécifier Préoccupations relatives à la sécurité, ou à la gestion, ou aux risques, ou à la conformité, Périmètres de SMSI variés : petit ou grand périmètre, mono ou multi-sites, Outil complet contenant toutes les fonctionnalités, versus outil simple aux fonctionnalités limitées mais facile à mettre œuvre, Certaines fonctions spécifiques au SMSI sont rares (Déclaration D Applicabilité, revue de direction, indicateur SSI), Installation sur site ou hébergé. Des coûts visibles comme cachés à anticiper Acquisition des licences unitaires ou modulaires ; Customisation de l outil pour répondre aux besoins : Accompagnement à la mise en œuvre et au paramétrage ; Formations nécessaires ; Maintenance de l application. Le choix de votre outil doit donc se fonder sur vos principales attentes et l outillage existant au sein de votre entreprise. Livre Blanc - Benchmark des outils SMSI Version 1 Page 59

27 VII. Et demain, le GT Benchmark des outils SMSI? Le GT s est inscrit dans une démarche d amélioration continue : La première itération du GT a permis d acquérir un premier retour d expérience concluant en lançant la démarche au sein du Club Des questionnaires et livrables ont été élaborés et publiés sur le site du Club 27001, et pourront être améliorés lors du prochain cycle. Un nouveau cycle du GT est en marche : Une nouvelle itération de l analyse sera lancée suite à la publication du Livre Blanc Les questionnaires seront mis à jour en fonction des retours d expérience et des évolutions des référentiels ISO 2700x. De nouveaux outils seront ajoutés et testés. Afin de compléter les premiers résultats obtenus en 2013 sur un échantillonage restreint d outil, il apparait nécessaire de poursuivre ces travaux et d analyser de nouveaux outils. Il y en a encore 25 qui ont été identifiés, et certainement d autres viendront les compléter. Toute personne souhaitant venir renforcer l équipe du GT est ainsi la bienvenue. Si vous connaissez certains des outils proposés ou d autres intéressants à rajouter au panel, ou si vous souhaitez tout simplement apporter votre contribution en testant un ou deux outils de la liste : contactez nous! Livre Blanc - Benchmark des outils SMSI Version 1 Page 60

28 Publication des résultats Les documents suivants sont disponibles en téléchargement sur le site Internet du Club 27001, rubrique «Benchmark outils SMSI» : Le livre blanc (extraits) La liste des produits Le modèle de questionnaire préliminaire Le modèle de questionnaire technique La présentation des membres du GT lors du séminaire annuel du Club (4 avril 2013) Les documents suivants sont fournis sur demande aux membres du Club : Le livre blanc (complet) Les questionnaires préliminaires renseignés par les éditeurs Les questionnaires techniques complétés par les membres du GT benchmark@club fr Livre Blanc - Benchmark des outils SMSI Version 1 Page 62