Club 27001 ANNUAIRE 2015 OUTILS SMSI Mars 2015 CLUB 27001 Site Internet : http://www.club-27001.fr Adresse email: club-27001@club-27001.fr
Avant propos L'association "Club 27001" rassemble des professionnels de la sécurité des systèmes d'information, et s'intéresse plus particulièrement aux normes de la série ISO 27000. A la demande de ses membres, l'association a entrepris dès 2012 d'identifier et d analyser des outils qui peuvent leur être utiles dans la conception et le maintien de leurs Systèmes de Management de la Sécurité de l'information (SMSI). Un groupe de travail Benchmark des outils SMSI a donc été formé pour piloter ce projet. En 2013, une première édition du Livre Blanc «Benchmark Outils SMSI» a été publiée et est disponible à l adresse : http://www.club-27001.fr/benchmark.html. Une édition 2015 est en cours d élaboration. A cette occasion, le groupe de travail a constitué et contacté une liste d éditeurs d outils logiciels permettant de contribuer en tout ou partie à la mise en œuvre et à l exploitation d un SMSI. Cet annuaire regroupe l ensemble des informations administratives fournies par les éditeurs sous leur seule responsabilité. Il s agit bien entendu d une aide à l identification d une solution logicielle et en aucun cas de l engagement du Club 27001 vis-à-vis de l un ou l autre des éditeurs mentionnés. Cet annuaire ne saurait être considéré comme exhaustif et pourra faire l objet de compléments, notamment de nouveaux éditeurs souhaitant répondre à notre questionnaire et communiquer auprès de la communauté du Club 27001. N hésitez pas à nous contacter (benchmark@club-27001.fr) pour nous soumettre vos suggestions et remarques. Enfin, je tiens à remercier l ensemble des éditeurs ayant répondu favorablement à nos questions ainsi que les membres de l association soutenant cette initiative. Florence Le Goff, animatrice du Groupe de Travail Thomas Lebouc, initiateur et animateur du Groupe de Travail La loi française du 11 mars 1957 n'autorisant, aux termes des alinéas 2 et 3 de l'article 41, d'une part, que les "copies strictement réservées à l'usage privé du copiste et non destinées à une utilisation collective" et, d'autre part, que les analyses et les courtes citations dans un but d'exemple, "toute reproduction intégrale, ou partielle, faite sans le consentement du club 27001, est illicite" (alinéa 1er de l'article 40).En cas de besoin du texte, à des fins personnelles ou commerciales ainsi que de toute information contenue dans le site web, nous vous invitons à prendre contact avec le club 27001 au préalable. Annuaire - Outils SMSI Mars 2015 Page 3
I. Editeurs Identifiés Solution Editeur Nationalité Participation à cet Annuaire STREAM Acuityrm Grande Bretagne Page 5 Score PDCA ISM Ageris France Page 9 EBIOS 2010 ANSSI France Page 13 ISMart Biznet Turquie Page 17 Entropy BSI Grande Bretagne N a pas répondu à ce jour Bwise GRC Bwise Pays-Bas N a pas répondu à ce jour Callio-Secura Callio technologie Canada N a pas répondu à ce jour Mehari Clusif France Page 21 RVR DEVOTEAM France Page 25 DPCIA DPCIA France N a pas répondu à ce jour Easy2comply DynaSec Itd Israel N a pas souhaité participer SGSI ECIJA Espagne Page 29 Front GRC efront France Page 33 RSA Archer egrc EMC-RSA Etats-Unis N a pas répondu à ce jour Enablon RM Enablon France N a pas souhaité participer EGERIE Risk Manager Fidens France Page 37 Gesttic Or Gesttic Espagne N a pas répondu à ce jour OpenPages IBM Etats-Unis Page 41 DCM Manager ID Nouvelles France Page 45 Brainwave Identity GRC France N a pas répondu à ce jour IsoVision IsoVision Canada N a pas souhaité participer Kleverware IAG Kleverware France Page 49 FENCE MDAL France Page 53 MEGA MEGA suite France N a pas répondu à ce jour MetricStream GRC MetricStream Etats-Unis N a pas souhaité participer Modulo Modulo Etats-Unis N a pas répondu à ce jour ISOSystemPlus Netcomm Etats-Unis N a pas répondu à ce jour JKT9000 Noweco Allemagne N a pas répondu à ce jour Optimiso Optimiso Group Suisse Page 57 Blue Suite Oxial Suisse N a pas répondu à ce jour ManageISMS Paladion Inde N a pas répondu à ce jour Profisse PROFIS S.A.S France N a pas répondu à ce jour RealISMS Realiso Corp Etats-Unis N a pas répondu à ce jour In4Risk Sagenti Canada N a pas répondu à ce jour Self-Expert SE-Conseil France N a pas répondu à ce jour Verinice Sernet Allemagne Page 61 RSSI-Pilote Siva France N a pas répondu à ce jour II. Questionnaires administratifs Les informations publiées ici ont été fournies par les éditeurs. Annuaire - Outils SMSI Mars 2015 Page 4
STREAM Acuityrm Annuaire - Outils SMSI Mars 2015 Page 5
Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o Nom et fonction du répondant o Adresse de contact Mail o Adresse postale de contact o Date de la réponse J'autorise la publication de ces informations sur le site internet du club 27001 (www.club-27001.fr) (oui/non) 1. Administratif o Nom de l éditeur Acuity RM o Si rattachement à un groupe, préciser o Nom et version de l'outil o Date de la première version de l outil (nombre de versions) STREAM Integrated Risk Manager, V3 + ISO 27001 Application 2013 (9 parutions) o Langue(s) outil Anglais Francais, Allemand, Russe, Espagnol Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d affaire annuel ( ) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support Simon Marvell, Partenaire simon.marvell@acuityrm.com Liberty House, 222 Regent Street, London, W1B 5TR 17 Octobre 2014 6 1.000.000 2005 Angleterre et Inde Anglais Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) o Principales références et présences en France Deux équipes ou partenaires fournisseur dédié. La mise en œuvre est simple et rapide et peut être pris en charge à distance via des réunions en ligne. Depuis 2008 / ISO 27001 Compliance Manager, Risk Manager & Events Manager / UK Department for Education - large Government Department / UK Depuis 2009 / ISO 27001 Compliance Manager, Risk Manager & Events Manager / Fujitsu Services - large Managed Services provider / UK Depuis 2009 / ISO 27001 Compliance Manager, Risk Manager & Events Manager / NHS in Wales - large Health Services provider / UK 2. Financier o Modalité de définition du coût (forfait, par site, par utilisateur ) o Prix public (activation, licence ) o Coût récurrent annuel (maintenance, hébergement ) o Devis type pour 10 utilisateurs, 3 sites, formation inclue 3. Plateforme technique o Pré-requis techniques o Mode ASP (oui / non), si oui lieu d'hébergement o Langage de développement o Client lourd / client léger o Outil mono ou multi-utilisateurs 4. Condition de test ou de maquettage o Modalités / coût d une démonstration o Modalités / coût d un test chez le client o Données de test incluses dans la démonstration (oui / non) Simple Utilisateur (SU) édition gratuite - ISO 27001 Application 250 mais cela requiert d'avoir la licence payante de STREAM. Il existe une edition Mutli Utilisateurs et le prix est basé sur le nombre d'utlisateur. SU 295-2.495 par an. Veuillez nous contacter si vous souhaitez des prix pour la version Mutli Utilisateurs. Le support est en option pour une licence perpetuelle. Pour une licence annuelle le support est inclu. Plusieurs options sont disponibles - Veuillez nous contacter. Windows 98 / 2000 / XP / Vista / 7 /8. MS SQL Server 2005 / 8 / 12 Oui, en Angleterre.NET, C Client léger, navigateur et l'accès mobile (ipad, iphone, Android) via une solution de virtualisation Les deux. Démonstration en vidéos et téléchargements gratuits sur notre site internet. STREAM simple utilisateur (SU) edition gratuite du logiciel STREAM. ISO 27001 application pour STREAM SU coute Oui Annuaire - Outils SMSI Mars 2015 Page 6
5. Grandes fonctionnalités et données "votre produit aide-t-il à?" veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à? " en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme ) o Définition et partage de la Politique SMSI Hyperliens vers des documents de politique o Définition et partage de l'organisation et des Responsabilités Construire une hiérarchie de l'entreprise, en attribuer la propriété à des risques, des contrôles, o Gestion de la cartographie des processus Définir les processus et lien avec les ressources, la hiérarchie de l'entreprise, attribuer la o Gestion de la cartographie des actifs (primordiaux et supports) Classes d'actifs flexibles permetant aux actifs destinés à être définies et cartographiées - ISO 27005 - identification des risques (par l'utilisateur et / ou pré-rempli sur la base des relations actifs / classes d'actifs / risque). Impact sur les entreprises et l'évaluation de la o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), probabilité contre A, I, C. Contrôles liés par l'utilisateur et / ou pré-remplie basée sur les identification des risques, critères proposés (DICP ), évaluation, relations actifs / classes d'actifs / contrôle. Évaluation des risques résiduels sur la base de la risques résiduels) LFI, l'évaluation de la probabilité et de l'importance et de la performance des contrôles d'atténuation. o Création d'une DDA/SOA (liste des mesures de sécurité) SOA disponible sous forme de rapport et aussi une exportation vers MS Excel o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) Plan de traitement des risques disponibles en rapport avec une série de rapports à l'appui. Vaste module de gestion des mesures pour élever, suivre et rendre compte des actions. o Gestion des Incidents o Génération d'indicateurs (conformité, efficacité, avancement) o Gestion des audits et contrôles des processus, des normes (conformité) et des mesures de sécurité (efficacité) o Planification d'actions périodiques (réunion, contrôle à réaliser ) o Gestion d'un plan d'amélioration (actions préventives, correctives et d amélioration) Enregistrer, suivre et rapport sur les incidents et les quasi-accidents. Attribuer la propriété des événements et faire des actions. La page d'accueil fournit un tableau de bord personnalisé des informations essentielles sur : l'état de risque, l'état de conformité, l'état des événements, horaires des évaluations, approbations et les actions. Nom et heure enregistrés sur la création / modification des éléments importants de l'utilisateur. Processus d'approbation pris en charge. Flux de travail avec cession de propriété, les dates et les alertes se font par email. Vaste module de gestion des mesures pour élever, suivre et rendre compte des actions posées contre les risques, les contrôles, les incidents et les accidents évités de justesse. Documentation o Gestion documentaire (création, consultation, mise à jour de la documentation de référence, accessibilité, versionning) Hyperliens vers les documents pertinents, tels que les politiques, les procédures, les preuves, les rapports d'audit etc o Gestion des enregistrements (suivi, preuves) Envoi d'emails afin d'effectuer le suivi des actions relatives aux documents. Données & base de connaissance : o Modèles types (PSMSI, enregistrements types,...) Extention des rapports de déclaration de l'applicabilité et de traitement des risques. Les rapports standard pour le Top 10 des risques, l'état de contrôle, les incidents et les o Rapports types (rapport d audit ) accidents évités de justesse, les tendances historiques, les approbations et les actions. ISO 27001, ISO 27002 et un large éventail d'autres données de référence y compris les propres o Référentiels types (ISO 27001, ISO 27002). normes de contrôle des utilisateurs et des listes de risque. Workflows Calendrier des actifs et des approbations, e-mail d'alerte sur la répartition des rappels de o Gestion des Workflows calendrier régulier pour les évaluations à venir et en retard, les approbations et les actions. Annuaire - Outils SMSI Mars 2015 Page 7
Annuaire - Outils SMSI Mars 2015 Page 8
Score PDCA ISM Ageris Annuaire - Outils SMSI Mars 2015 Page 9
Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o Nom et fonction du répondant o Adresse de contact Mail o Adresse postale de contact o Date de la réponse J'autorise la publication de ces informations sur le site internet du club 27001 (www.club-27001.fr) (oui/non) M. Thierry RAMARD thierry.ramard@ageris-group.com 16 rue de Pont-à-Mousson - 57000 METZ 30-juil-14 1. Administratif o Nom de l éditeur o Si rattachement à un groupe, préciser o Nom et version de l'outil o Date de la première version de l outil (nombre de versions) o Langue(s) outil Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d affaire annuel ( ) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support AGERIS Software AGERIS GROUP Score Compliance 2014 2005 Français 4 150 000 2008 2 2 France Français Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) Conseil Général de Seine Maritime / 2008 - à ce jour / Suite logicielle Score / 4500 employés / France o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) Banque PICTET / 2008 - à ce jour / Score Compliance / 300 employés / Suisse o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) Banque Postale / 2011 - à ce jour / Score Compliance / 10 000 employés / Maroc o Principales références et présences en France Communauté Urbaine de Strasbourg, Adisseo, CH Ajaccio, IBO 2. Financier o Modalité de définition du coût (forfait, par site, par utilisateur ) o Prix public (activation, licence ) o Coût récurrent annuel (maintenance, hébergement ) o Devis type pour 10 utilisateurs, 3 sites, formation inclue 3. Plateforme technique o Pré-requis techniques o Mode ASP (oui / non), si oui lieu d'hébergement o Langage de développement o Client lourd / client léger o Outil mono ou multi-utilisateurs 4. Condition de test ou de maquettage o Modalités / coût d une démonstration o Modalités / coût d un test chez le client o Données de test inclues dans la démonstration (oui / non) par utilisateur 3 000 600 9 000 HT Office 2010 minimum Non Solution basé sur Excel client lourd ou léger Outil mono ou multi utilisateur Démonstrations gratuites A définir avec le client oui Annuaire - Outils SMSI Mars 2015 Page 10
5. Grandes fonctionnalités et données "votre produit aide-t-il à?" veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à? " en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme ) o Définition et partage de la Politique SMSI o Définition et partage de l'organisation et des Responsabilités 4 modèles de politique sont disponibles dans le logiciel Score Compliance : - Politique à destination des PME / PMI - Politique à destination des collectivités locales - Politique à destination des établissements de santé En complément à ces documents, il est également disponibles, des modèles de chartes (utilisateurs, informaticiens, IRP, Tiers) ainsi que des documents permettant de formaliser un plan d'actions. Ces modèles de documents sont personnalisables et diffusables au travers des outils internes de l'entreprise habituellement utilisée. Un exemple de modèle organisationnel ainsi que la définition de rôles et responsabilités sont disponibles dans un document de référence. La diffusion de l'organisation reste à la charge de l'entreprise qui utilisera les moyens internes habituellement utilisés pour partager l'information (mail, intranet, etc.) o Gestion de la cartographie des processus o Gestion de la cartographie des actifs (primordiaux et supports) o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), identification des risques, critères proposés (DICP ), évaluation, risques résiduels) o Création d'une DDA/SOA (liste des mesures de sécurité) Score Compliance permet de cartographier les processus au travers d'une FRP (Fiche de Renseignement des Processus). Cette FRP inclut une analyse des risques basée sur la norme ISO 27005 ainsi que la synthèse d'une analyse des besoins de sécurité. A travers des FRP (cf. ci-dessus), l'utilisateur peut référencer les actifs supports et les classifier selon leur contribution à la réalisation du processus concerné (actif primodial) et les enjeux de sécurité (DICP). Un module dédié à l'appréciation des risques est proposé. Il est basé sur la norme ISO 27005. ce module inclut une série d'évènements liés l'usage des SI mais également des événements de toute nature qui pourraient porter préjudicie à l'entreprise (plus de 40 évènements). L'appréciation des risques est basée sur l'analyse de la gravité et de la vraisemblance des évènements qui peuvent impacter la disponibilité, l'intégrité, la confidentialité ou la traçabilité des informations et des SI. Une cartographie Score Compliance permet la génération de la DDA/SOA : Les données issues d'un diagnostic ISO 27002 sont automatiquement intégrées dans la version de travail qui peut ensuite être complétée manuellement. o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) Score Compliance permet la gestion du plan de traitement des risques au travers de la selection de mesures de sécurité basé sur les bonnes pratiques émises par les autorités compétentes. Il permet la définition et le suivi du plan d'actions SSI. o Gestion des Incidents o Génération d'indicateurs (conformité, efficacité, avancement) Un module est dédié à la gestion des incidents et vise à concervé un historique à destination de la Direction Générale. Score Compliance intègre un module dédié aux tableaux de bord. Les indicateurs sont basés sur la norme NF ISO 27001 : 2013, la norme NF ISO 27002 : 2013, les règles d'hygiène de l'anssi, les directives de la PSSI. L'utilisateur a la possibilité de personnaliser ses indicateurs. o Gestion des audits et contrôles des processus, des normes (conformité) et des mesures de sécurité (efficacité) o Planification d'actions périodiques (réunion, contrôle à réaliser ) Score Compliance intègre différents modules qui permettent de mesurer la conformité et l'efficacité des dispositifs et des processus du SMSI (audit NF ISO 27001 : 2013; audit NF ISO 27002 : 2013, audit loi "informatique et libertés", audit sensibilisation des utilisateurs, audit du PCA / PRA, audit PCI-DSS, audit Mehari, etc.) Un module est dédié à la planification des actions périodiques. De base les actions périodiques de base (revue de direction, réunion de pilotage, audit de conformité, audit technique, ) sont personnalisable par l'utilisateur et son programmable sur 5 ans. o Gestion d'un plan d'amélioration (actions préventives, correctives et d amélioration) Score Compliance permet la gestion du plan d'amélioration au travers des modules de suivi annuels (configurable par l'utilisateur). Les indicateurs permettent de vérifier l'amélioration continue de la sécurité au travers des tableaux de bord générés automatiquement. Documentation o Gestion documentaire (création, consultation, mise à jour de la documentation de référence, accessibilité, versionning) Score Compliance permet le stockage de tous les documents du SMSI au travers de fonctions simples accessibles à l'utilisateur. o Gestion des enregistrements (suivi, preuves) Score Compliance permet le stockage de tous les documents y compris les compte rendu de révisions du SMSI au travers de fonctions simples accessibles à l'utilisateur. Données & base de connaissance : Score Compliance intègre de nombreux modèles permettant à l'utilisateur de mettre en œuvre son SMSI. Sont notamment inclus : des modèles de Politiques de sécurité, charte utilisateur, o Modèles types (PSMSI, enregistrements types,...) des questionnaire d'analyse des enjeux et de BIA, des modèles de tableaux de bord, des fiches de renseignement (FRP, FRT, FTMO). o Rapports types (rapport d audit ) o Référentiels types (ISO 27001, ISO 27002). Score Compliance génére automatiquement des rapports.doc et.ppt sur certains modules notamment d'audit (ISO 27001, ISO 27002, DDA, etc.) - Norme NF ISO 27001 : 2013 - outil de diagnostic informatisé - Norme NF ISO 27002 : 2013 - outil de diagnostic informatisé - Norme NF iso 27005 : 2011 - outil d'apprécaition des risques informatisé - Règles d'hygiène de l'informatique de l'anssi - outil de diagnostic informatisé - Guide de maturité de l'anssi - Outil de diagnostic Informatisé - RGS 2.0 - outil de diagnostic informatisé - Guide GISSIP - outil de constitution de dossier de sécurité informatisé Workflows o Gestion des Workflows Annuaire - Outils SMSI Mars 2015 Page 11
Annuaire - Outils SMSI Mars 2015 Page 12
EBIOS 2010 ANSSI Annuaire - Outils SMSI Mars 2015 Page 13
Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o Nom et fonction du répondant o Adresse de contact Mail o Adresse postale de contact o Date de la réponse J'autorise la publication de ces informations sur le site internet du club 27001 (www.club-27001.fr) (oui/non) 1. Administratif o Nom de l éditeur o Si rattachement à un groupe, préciser o Nom et version de l'outil o Date de la première version de l outil (nombre de versions) o Langue(s) outil Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d affaire annuel ( ) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) o Principales références et présences en France Desroches Vincent, Bureau Maîtrise des Risques et Réglementation (ANSSI) vincent.desroches@ssi.gouv.fr Secrétariat Général de la Défense et de la Sécurité NationaleAgence Nationale de la Sécurité des Systèmes d'information51 b 25/02/15 ANSSI Sans objet EBIOS 2010 version 1.04 air du 17/12/2012 1.0 du 13/10/2011 Français, anglais Sans objet Sans objet Sans objet Sans objet Sans objet Néant. Pas de support à proprement parler, mais recueil possible des avis et retours utilisateurs via une adresse mail de conta Néant (pas de support) Néant Sans objet Sans objet Sans objet Paris 2. Financier o Modalité de définition du coût (forfait, par site, par utilisateur ) o Prix public (activation, licence ) o Coût récurrent annuel (maintenance, hébergement ) o Devis type pour 10 utilisateurs, 3 sites, formation inclue 3. Plateforme technique o Pré-requis techniques o Mode ASP (oui / non), si oui lieu d'hébergement o Langage de développement o Client lourd / client léger o Outil mono ou multi-utilisateurs 4. Condition de test ou de maquettage o Modalités / coût d une démonstration o Modalités / coût d un test chez le client o Données de test incluses dans la démonstration (oui / non) Sans objet Gratuit (logiciel open source en téléchargement gratuit sur la plateforme adullact.net) Produit non maintenu depuis version 1.04 Sans objet Poste isolé de toute connexion internet et équipé d'un système d'exploitation Microsoft Windows ou Apple Mac OS. Non AIR, xml Client lourd Mono-utilisateur Néant Néant Néant Annuaire - Outils SMSI Mars 2015 Page 14
5. Grandes fonctionnalités et données "votre produit aide-t-il à?" o Définition et partage de la Politique SMSI L'outil contribue à définir la Politique SMSI au travers de l'identification des objectifs de sécurité o Définition et partage de l'organisation et des Responsabilités L'outil contribue à définir l'organisation, les rôles et responsabilités des différents domaines du o Gestion de la cartographie des processus o Gestion de la cartographie des actifs (primordiaux et supports) Ce n'est pas le rôle principal de l'outil, mais il inclut l'identification des actifs du SI/site concerné. o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), identification des risques, critères proposés (DICP ), évaluation, risques résiduels) C'est l'objet principal de l'outil, qui implémente la méthode EBIOS 2010. Il permet de construire un référentiel des risques/menaces SSI pesant sur l'ensemble des biens supports du SI/site (et in fine sur les biens essentiels), et met en évidence les risques résiduels jugés acceptables ou tolérables sous contrôle. Il permet enfin de définir les objectifs de sécurité qui conditionnent la mise en place et la gestion du SMSI. o Création d'une DDA/SOA (liste des mesures de sécurité) L'outil contribue à créer une DDA/SOA car il aboutit en sortie à une liste d'objectifs/mesures de sécurité. o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à? " en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme ) Définition du plan mais pas de gestion : l'outil contribue, au travers de l'identification des objectifs/mesures de sécurité, à générer le Plan de traitement des risques ; toutefois, il ne gère pas la partie plan d'action / acteur / suivi des actions. o Gestion des Incidents o Génération d'indicateurs (conformité, efficacité, avancement) o Gestion des audits et contrôles des processus, des normes (conformité) et des mesures de sécurité (efficacité) o Planification d'actions périodiques (réunion, contrôle à réaliser ) o Gestion d'un plan d'amélioration (actions préventives, correctives et d amélioration) Définition du plan mais pas de gestion. Documentation o Gestion documentaire (création, consultation, mise à jour de la Edition de livrables formatés possible selon paramétrage utilisateur (ex : FEROS). documentation de référence, accessibilité, versionning) o Gestion des enregistrements (suivi, preuves) Données & base de connaissance : o Modèles types (PSMSI, enregistrements types,...) L'outil intègre la base de connaissance de menaces EBIOS 2010. o Rapports types (rapport d audit ) o Référentiels types (ISO 27001, ISO 27002). L'outil intègre la liste de mesures de sécurité de l'iso 27002. Workflows o Gestion des Workflows 6. Description libre de la solution par l éditeur -------------> Le logiciel EBIOS 2010 est une application opérationnelle, simple et ergonomique qui permet d'appliquer complètement la méthode de gestion des risques de sécurité des systèmes d'information EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité). La solution AIR Flex a été choisie car elle répond à cet objectif en permettant la mise en œuvre d'une application simple mais riche. Pour mémoire, la méthode EBIOS permet d'identifier, caractériser et traiter les risques d'un système d'information d'un organisme et de ses interfaces avec des entités externes (ex : réseau de partenaires). Elle fournit tous les éléments nécessaires à la communication au sein de l'organisme et vis-à-vis de ses partenaires, ainsi qu'à la validation du traitement des risques. Elle constitue de ce fait un outil complet de gestion des risques SSI/Cyber. Pour plus de détails, veuillez vous reporter au site Internet de l'anssi (www.ssi.gouv.fr) ou sur la plateforme https://adullact.net/. Annuaire - Outils SMSI Mars 2015 Page 15
Annuaire - Outils SMSI Mars 2015 Page 16
ISMart Biznet Annuaire - Outils SMSI Mars 2015 Page 17
Description of a software product for IS Security Management Contact o Responder name and quality o Contact email address o Contact address o Response Date I hereby authorize "club 27001" to publish on their web site the information provided in this document (www.club-27001.fr) (Yes/No) Neşe Sayarı Managing Director nsayari@biznet.com.tr Biznet AS ODTU Teknokent Ikizler Binasi 06800 Ankara Turkey 1. Administrative o Company name o In case of group attachment, specify o Product Name and release o Product creation year (number of releases) o Product languages Following question are only about editing activities of ISMS Software Tools o Number of employees o Annual Revenue ( ) o Company creation year o Customer location in France / # employees o Technical location in France / # employees o Location of customer support o Support language Implementation support / integration: dedicated vendor team, or partners BIZNET BILISIM none ISMart V2011 2005, 4 major releases Turkish, English 3 250 K USD 2000 none none Ankara and Istanbul /,Turkey Turkish, English we have dedicated vendor team Active references of ISMS Tools company: o Ref. 1 (Year / Deployed Modules / customer size / reference country) o Ref. 2 (Year / Deployed Modules / customer size / reference country) o Ref. 3 (Year / Deployed Modules / customer size / reference country) o Main references in France 2. Financial o Cost Definition modality (package, by site, by user ) o Public Price (activation, license,...) o Annual recurring cost ( maintenance, hosting...) o Standard Costs for 10 users, 3 sites, training included 3. Technical Platform o Technical requirements o ASP (YES / NO), if yes hosting location o Development language o Thick client / thin client o Single or multi user tool 4. Test or benchmark o Conditions / demonstration cost o Conditions / cost of a customer test o Test Data included in demonstration (yes / no) Turkcell (Largest GSM operator in Turkey) Turkish Central Bank Akbank (Major bank in Turkey) _ Modules seperately purchased to achieve required functionality. Modules listed on "Description" page line13. Basic module is Risk Management and it is essential. The cost is 8000 USD. Annual recurring cost for Risk Management Module is 2000 USD. The maximum configuration costs 52000 USD. #of users is not a cost parameter. For each site add 25%. Dual Core 3+Ghz, 4+Gb Ram, 70+ Gb Hard disk, Windows XP/7/8/Server 2003/2008 / Redhat, Fedora,Centos 6+ etc. Linux Yes. Currently only in Turkey but can be extended. Java n/a Multi user web application. A remote user can reach the demo server in Turkey and have a free demo for one week. Onsite demonstration possible 1250 not understood. Yes Annuaire - Outils SMSI Mars 2015 Page 18
5. Main functions and Data "Does your product help with?" please answer the question "does your product help with? " and briefly explain how (if no explanation, the answer will be considered "No") Yes / No Comment / justification o Defining and sharing the ISMS Policy "yes" There is a field to write and share the policy on the home page. o Defining and sharing the Organisation and Responsibilities "yes" Organization tree can be defined. Ownerships related with assets assigned easily. o Process Mapping Management "yes" Proccesses can be defined and assets can be related to those perocesses. o Asset Mapping Management (primary and support) "yes" Asset mapping can be defined in terms of category, group and relation hiearchy. o Conducting a risk analysis (method (s) used, risk identification, proposed criteria (AIC...), evaluation, residual risks) o Creating SOA (list of security controls) "yes" "yes" Risk are related with" threats to" or "vulnerabilities of"assets.risk values calculated as a function of asset value, probability and impact of threats. Predefined asset categories, threat categories SoA can be and created threats and help exported through as risk excel management file. process. o Management of Risk treatment Plan (selection of security controls, actions plan, actors, schedule, action follow up) Yes / No "yes" Comment / justification Risk treatment plan can prepared (selection of security controls, action plans, actors, schedule, action follow up) Yes / No Comment / justification o Incidents Management "yes" Events (Incident) can be defined, reported, forwarded. o Generation of indicators/dashboard (compliance, efficiency) Dashboard for monitoring risk distribution, and assets is available. For conformity and efficiency reports can be generated. o Management of audits and checks on processes, standards "yes" Audits can be defined in terms of related security controls. (compliance) and security controls (efficiency) o Recurring work planification (meetings, checks ) "yes" Meetings can be planned. o Management of improvement plan (preventive action, corrective and improvement) Yes / No "yes" Comment / justification Preventive and corrective plans can be defined and reported. Documentation Yes / No Comment / justification o Documentation Management(creation, consultation, reference documentation update, accessibility, versionning) "yes" Links can be defined for pre-prepared documents, and can be classified in terms of types. Versioning is also supported. o Records management (follow up, records) "yes" Risk Managment data can be saved manulay or Data Snapshot can be saved for Data and knowledge base: Yes / No Comment / justification o Forms models (ISMS policy, records...) "yes" ISMS Policy, free format o Report models (audit report, ) "yes" Risk Report, S.O.A Report, Asset Inventory, Asset Search, Threat Report, Asset - Control Report, Risk Treatment Plan Report, Assets By Owners, Assets By Values, Assets by Additional Fields, Risks By Threat Categories, Risks By Values, Risks By Control Categories, Risk Level Distribution, Risk Matrix, Number Of Risks Above/Below Acceptable Risk Level By Organizations, Bulk Asset/Risk/Control/Action Report, All Actions Grouped By Statuses, All Actions Grouped By Statuses With Deadlines In Selected Period, All Actions Grouped By Statuses With Deadlines In Selected Period, Having Selected Statuses, Actions Grouped By Deadlines With Deadlines In Selected Period, Having Selected Statuses, Actions Grouped By Organizations Of Assignees, Actions By Assignees, Report Templates, Scheduled Reports, Asset Comparison Report, Risk Comparison Report, Risk Trends Report, Executive Risk Report, New/Modified Assets, New/Modified Risks, New/Modified Risk-Controls, New/Modified Actions, Risk Transfer Requests, Risk Acceptance Requests o Referential data (ISO 27001, ISO 27002). "yes" ISO 27001 Standart controls are predefined. Users can define their own control data. Workflows Yes / No Comment / justification o Workflows Management "yes" Workflows can be defined and executed. 6. Software description by editor (feel free to summarize as you wish) -------------> ISMart is not only a guide to significantly reduce time and effort for achieving ISO 27001 certification but is also a useful tool to manage daily security related operation by planing actions and monitoring their status. ISMart allows all employees to participate information security management processes as their roles require, within the access rights granted to them. Or the entire ISMS process can be managed by a few individuals if preffered. ISMArt can be used both as a quick compliance tool or a detailed compliance and security management platform. ISMart has a built-in document management system. It allows users to generate policy documents or store documents related to security processes. Documents stored by ISMArt can be associated with assets, risks, controls, actions and so on. On the other hand, if the enterprise has an existing document management system, isms documentation is not necessarily stored in ISMart but only links to the actual document store are stored in ISMArt. Change history for all critical information such as asset information and attributes, risk levels, selected controls, risk treatment actions etc are kept in the system and changes can be traced to monitor all processes. Provides lots of predefined items like default controls for risks, predefined control statements, threats/vulnerabilities, asset categories etc which may be used for rapid ISMS formation and management. General: Multiuser java web application Scalable from smallest organizations with a few users to large enterprises with thousands of users Works on standard software and hardware platforms Can be easily integrated with existing corporate active directory structure Functional Components (Modules to be seperately purchased) 1. Risk Management, 2. Document Management, 3. Workflow, 4. Organisation Integration,5. Internal Audit, 6. Event Management, 7. Snapshot Recording and History Recording, 8. Policy Generator, 9. Hierarchical Assets 10. Addtional Group Companies Annuaire - Outils SMSI Mars 2015 Page 19
Annuaire - Outils SMSI Mars 2015 Page 20
Mehari Clusif Annuaire - Outils SMSI Mars 2015 Page 21
Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o Nom et fonction du répondant o Adresse de contact Mail o Adresse postale de contact o Date de la réponse J'autorise la publication de ces informations sur le site internet du club 27001 (www.club-27001.fr) (oui/non) 1. Administratif o Nom de l éditeur o Si rattachement à un groupe, préciser o Nom et version de l'outil o Date de la première version de l outil (nombre de versions) o Langue(s) outil Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d affaire annuel ( ) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... Roule Jean-Louis membre du Clusif jean-louis.roule@orange.fr 25 rue Guillaume Lambert 78700-Conflans Ste Honorine 01/08/14 CLUSIF association à but non lucratif MEHARI 2010 (édition 2-14, 30-mars-2012) 1997 (environ 10 depuis l'origine) Français, Anglais, Farsi (Iran) association sans but lucratif, environ 600 membres agissant bénévolement N/A 1996 mehari@clusif.asso.fr France (Paris), Canada (Québec) Français, Anglais Mise à disposition gratuite par téléchargement en mode logiciel libre sans accompagnement commercial, La base de connaissance a été chargée plus de 38 000 fois vers plus de 170 Pays, environ 20 000 fois en France Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) o Principales références et présences en France 2. Financier o Modalité de définition du coût (forfait, par site, par utilisateur ) o Prix public (activation, licence ) o Coût récurrent annuel (maintenance, hébergement ) o Devis type pour 10 utilisateurs, 3 sites, formation inclue 3. Plateforme technique o Pré-requis techniques o Mode ASP (oui / non), si oui lieu d'hébergement o Langage de développement o Client lourd / client léger o Outil mono ou multi-utilisateurs 4. Condition de test ou de maquettage o Modalités / coût d une démonstration o Modalités / coût d un test chez le client o Données de test incluses dans la démonstration (oui / non) Mehari étant diffusé en Mode Open Source, il n'y a pas de référencement clients effectué ni de force marketing ou commerciale. L'appropriation de la méthode par les organismes utilisateurs finaux est aisée et encouragée. il existe des formations avec certification de compétence, en cours de validation par l'ansi (USA), sur 3 jours, éventuellement associées à une formation certifiante ISO 27005. la méthode est gratuite et abondammant documentée avec des traductions en plus de 15 langues de certains documents. L'appropriation de la méthode est aisée. 0 0 beaucoup d'utilisateurs utilisent drectement la documentation et le forum pour leurs éventuelles questions utilisation d'un fichier tableur (Excel, Libre Office) préparé (formules incluses) et protégé, sous Windows ou OS/X Multi utilisateur en s'appuyant sur les possibilités offertes par les tableurs: voir aussi avec les versions récentes d'office Gratuit, possibilité de déterminer le périmètre et l'objet de chaque étude Gratuit avec support par les développeurs de la méthode Annuaire - Outils SMSI Mars 2015 Page 22
5. Grandes fonctionnalités et données "votre produit aide-t-il à?" o Définition et partage de la Politique SMSI En s'appuyant sur les plans d'action et les liens avec ISO 27001 et la DdA o Définition et partage de l'organisation et des Responsabilités L'équipe d'analyse de risque peut distribuer le travail entre l'analyse des enjeux (ou BIA), l'analyse des mesures de sécurité en place et l'analyse de risque elle même, etc. o Gestion de la cartographie des processus Cette cartographie fait l'objet de l'analyse des enjeux se traduisant par les feuilles T1 à T3. Chaque processus «métier» ou transverse du périmètre choisi est analysé. Les actifs de support (associés aux actifs primaires de type services, données et processus de management) sont répertoriés processus par processus, en D, I, C et E (efficacité dans le o Gestion de la cartographie des actifs (primordiaux et supports) respect des lois et réglementations) avec un niveau de classification (de1 à 4). Ces niveaux déterminent l'impact maximum des scénarios de risque considérés par la méthode. o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), identification des risques, critères proposés (DICP ), évaluation, risques résiduels) o Création d'une DDA/SOA (liste des mesures de sécurité) veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à? " en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme ) Mehari étant une méthodologie d'analyse et de management des risques, cet élément y est central. La méthode considère 800 scénarios caractérisés par un événement initial (menace et conditions de sa réalisation), l'actif atteint (en D, I ou C) et en tenant compte de l'exposition de l'entité (potentialité). La gravité maximale de chaque scénario peut ainsi être déterminée simplement conformément aux principes de ISO 27005 (et donc ISO 31000). Les mesures de sécurité en place ou planifiées sont associées aux scénarios et le risque résiduel est simplement déterminé par les algorithmes de la méthode. La feuille Score ISO, donne une valeur (scoring) pour chaque ''control objective'' de ISO 27001 et indique les mesures de sécurité pouvant permettre d'améliorer ce scoring. De plus il est possible d'indiquer et de justifier si cet ''objective'' est à inclure ou pas dans la DdA o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) o Gestion des Incidents o Génération d'indicateurs (conformité, efficacité, avancement) o Gestion des audits et contrôles des processus, des normes (conformité) et des mesures de sécurité (efficacité) o Planification d'actions périodiques (réunion, contrôle à réaliser ) o Gestion d'un plan d'amélioration (actions préventives, correctives et d amélioration) La sélection optimale des mesures de sécurité est proposée dans les feuilles de planification des projets de réduction de risque. Il est ainsi possible de déterminer la réduction des risques à plusieurs échéances. appui fort sur les capacités de surveillance et d'analyse des événements, journaux et traces Indicateurs pour conformité (ISO 27001/2), efficacité, robustesse et mise sous contrôle des services de sécurité, avancement des projets d'amélioration ciblage par processus métier des risques et des mesures additionnelles à développer. Visibilité des niveaux initial, courant et futurs de risque La logique de toute démarche d'amélioration continue (et de qualité) inscrit cette nécessaire planification prise en compte des divers types de mesures (prévention, dissuasion, confinement, palliation) existantes et des plans d'améliioration à réaliser Documentation o Gestion documentaire (création, consultation, mise à jour de la Toute la documentation est en ligne (Français et Anglais) documentation de référence, accessibilité, versionning) pas de gestion mais contrôle de leur existence dans tous les domaines et services de sécurité o Gestion des enregistrements (suivi, preuves) Données & base de connaissance : o Modèles types (PSMSI, enregistrements types,...)??? pas de formalisation mais collecte et conservation des résultats des audits des services de o Rapports types (rapport d audit ) sécurité, y compris existence des variantes ouverture possible si besoin à tous autres types de référentiels (PCI/DSS,PCA, CNIL, Bâle III,..) o Référentiels types (ISO 27001, ISO 27002). Workflows o Gestion des Workflows??? Annuaire - Outils SMSI Mars 2015 Page 23
Annuaire - Outils SMSI Mars 2015 Page 24
RVR DEVOTEAM Annuaire - Outils SMSI Mars 2015 Page 25
Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o Nom et fonction du répondant o Adresse de contact Mail o Adresse postale de contact o Date de la réponse J'autorise la publication de ces informations sur le site internet du club 27001 (www.club-27001.fr) (oui/non) 1. Administratif o Nom de l éditeur o Si rattachement à un groupe, préciser o Nom et version de l'outil o Date de la première version de l outil (nombre de versions) o Langue(s) outil Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d affaire annuel ( ) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) o Principales références et présences en France Paul CHEGARAY, Directeur Produit RVR PARAD paul.chegaray@devoteam.com 73 rue Anatole France 92300 Levallois Perret 08/09/2014 DEVOTEAM Groupe Devoteam Solution RVR Advanced v4.0 2007 Français / Anglais / d'autres langues possibles avec effort de traduction assuré par le client Groupe : 4000 personnes / Activité logiciel SMSI : 30 personnes Groupe : ~500M / Activité logiciel SMSI : n.c. 2002 Oui Oui Levallois-Perret (France) Français / Anglais Devoteam accompagne ses clients dans l'intégration et le déploiement de sa solution RVR PARAD. Devoteam collabore également régulièrement avec des cabinets de conseil qui assurent auprès de ses clients la Nous consulter Nous consulter Nous consulter Nous consulter 2. Financier o Modalité de définition du coût (forfait, par site, par utilisateur ) o Prix public (activation, licence ) o Coût récurrent annuel (maintenance, hébergement ) o Devis type pour 10 utilisateurs, 3 sites, formation inclue La licence comprend une licence serveur et une licence par nb d'utilisateurs déclarés Acquisition de la licence et service d'intégration de la solution Maintenance annuelle après la période de garantie Nous consulter 3. Plateforme technique o Pré-requis techniques o Mode ASP (oui / non), si oui lieu d'hébergement o Langage de développement o Client lourd / client léger o Outil mono ou multi-utilisateurs 4. Condition de test ou de maquettage o Modalités / coût d une démonstration o Modalités / coût d un test chez le client o Données de test inclues dans la démonstration (oui / non) L'application fonctionne principalement avec une base de données (Oracle, SQL Server) et un serveur d'application (Tomcat, Websphere). Aucune installation spécifique requise sur le poste client (à part un navigateur web Internet Explorer ou Firefox) Un mode ASP est possible : hébergement par Devoteam ou un partenaire hébergeur Java Client léger : aucune installation spécifique sur le poste client (à part un navigateur web) Multi-utilisateurs Sur rendez-vous / gratuit Nous consulter Oui, quelques données de tests peuvent être insérées dans la démonstration. Annuaire - Outils SMSI Mars 2015 Page 26
5. Grandes fonctionnalités et données "votre produit aide-t-il à?" veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à? " en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme ) o Définition et partage de la Politique SMSI Gestion de politiques o Définition et partage de l'organisation et des Responsabilités Gestion de l'organisation et des utilisateurs o Gestion de la cartographie des processus Administration d'un référentiel de processus o Gestion de la cartographie des actifs (primordiaux et supports) Administration d'un référentiel d'actifs o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), identification des risques, critères proposés (DICP ), évaluation, Définition des scénarios de risques ; Bibliothèque de menaces et vulnérabilités ; évaluation DCIP ; évaluation des risques (ex : impact x probabilité x maîtrise) risques résiduels) o Création d'une DDA/SOA (liste des mesures de sécurité) Pour chaque risque, il est possible de définir des actions de maîtrise (ou mesures de sécurité) o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) Pour chaque risque, il est possible de définir des actions de maîtrise (ou mesures de sécurité), des plans d'actions avec responsable, date de début / de fin o Gestion des Incidents L'application intègre une base incidents et pertes o Génération d'indicateurs (conformité, efficacité, avancement) Des indicateurs de conformité, d'avancement peuvent être générés dans les rapports (ex : suivi de plans d'actions, suivi d'audits, suivi de recommandations ) o Gestion des audits et contrôles des processus, des normes (conformité) et des mesures de sécurité (efficacité) L'application comporte un module Audit intégré pour la gestion des missions d'audit. Des autoévaluations des contrôles peuvent également être lancées pour évaluation de la conformité. L'application permet de gérer des contrôles "continus" (tâches à fréquence régulière à exécuter. o Planification d'actions périodiques (réunion, contrôle à réaliser ) o Gestion d'un plan d'amélioration (actions préventives, correctives et d amélioration) L'application permet de gérer des plans d'actions en lien avec les objets avec responsable, date d'échéance, statut, budget, actions Documentation o Gestion documentaire (création, consultation, mise à jour de la Possibilité d'attacher des documents sur tous les objets de l'application. documentation de référence, accessibilité, versionning) o Gestion des enregistrements (suivi, preuves) Toute modification est tracée Données & base de connaissance : o Modèles types (PSMSI, enregistrements types,...) Des modèles peuvent être fournis o Rapports types (rapport d audit ) Des rapports types sont proposés o Référentiels types (ISO 27001, ISO 27002). Devoteam peut fournir des contenus types Workflows L'application intègre un moteur de workflow (jbpm) qui permet de configurer des workflow sur o Gestion des Workflows les différents objets. 6. Description libre de la solution par l éditeur -------------> L'application RVR PARAD, développée au sein du Groupe Devoteam (www.devoteam.com), est une application web dédiée à la "GRC" (Gouvernance, Risque, Conformité) et au PCA (gestion de Plan de Continuité d'activité). L'application RVR est une application modulaire qui couvre, de manière intégére, les domaines fonctionnels suivants : - Gestion des Risques (notamment dans une approche ISO 27.000) - Gestion du Contrôle interne - Gestion de l'audit - Gestion des Incidents - Gestion de la Continuité d'activité L'application RVR présente en outre les atouts suivants : - Facile d'utilisation : intuitive, elle nécessite peu de formation. - Facile de déploiement : elle ne requiert aucune installation sur le poste client. - Flexible : très configurable, elle permet de s'adapter au contexte du client. - Sécurisée : elle répond à des standards élevés de sécurité (tests d'intrusion...). - Ouverte : développée sur des technologies standards facilitant son intégration dans le SI du client. Annuaire - Outils SMSI Mars 2015 Page 27
Annuaire - Outils SMSI Mars 2015 Page 28
SGSI ECIJA Annuaire - Outils SMSI Mars 2015 Page 29
Description of a software product for Information Security Management Contact o Respondent name and quality o Contact email address o Contact address o Response Date I hereby authorize "club 27001" to publish on their web site the information provided in this document (www.club-27001.fr) (Yes/No) Alonso Hurtado alhurtado@ecija.com Torre de Cristal. Pº de la Castellana, 259C. 28046 Madrid. 08 April 2014 "YES" 1. Administrative o Company name o In case of group attachment, please specify o Product Name and release o Product creation year (number of releases) o Product languages The following questions are only about publishing activities of ISMS Software Tools o Number of employees o Annual Revenue ( ) o Company creation year o Customer location in France / # employees o Technical location in France / # employees o Location of customer support o Support language Implementation support / integration: dedicated vendor team, or partners Active references of ISMS Tools company: o Ref. 1 (Year / Deployed Modules / customer size / reference country) o Ref. 2 (Year / Deployed Modules / customer size / reference country) o Ref. 3 (Year / Deployed Modules / customer size / reference country) o Main references in France 2. Financial o Pricing model (package, by site, by user ) o Public price (activation, license,...) o Annual recurring costs (maintenance, hosting...) o Standard costs for 10 users, 3 sites, training included 3. Technical Platform o Technical requirements o Application Service Provider (YES / NO), if yes hosting location o Development language o Thick client / thin client o Single or multi user tool 4. Test or benchmark o Conditions / demonstration cost o Conditions / cost of a customer test o Test Data included in demonstration (yes / no) ECIJA Information Security - ISMS 2005 Multi-language. Spanish, Catalonian, English, French, Portuguese 175 Eur. 28.7 M. 1997 N/A N/A Madrid English dedicated vendor team Orange Package License Maintenance Yes, Spain English Multi user tool Yes Annuaire - Outils SMSI Mars 2015 Page 30
5. Main functions and Data "Does your product help with?" please answer the question "does your product help with? " and briefly explain how (if no explanation, the answer will be considered "No") o Defining and sharing the ISMS Policy o Defining and sharing the Organisation and Responsibilities o Process Mapping Management o Asset Mapping Management (primary and support) o Risk analysis: method(s) used, risk identification, proposed criteria (AIC...), risk evaluation, residual risks. o SOA generation (list of security controls) o Management of Risk Treatment Plan (selection of security controls, actions plan, actors, schedule, action follow up) o Incidents Management o Generation of indicators/dashboard (compliance, efficiency) o Management of audits and checks on processes, standards (compliance) and security controls (efficiency) o Recurring work planification (meetings, checks ) o Management of improvement plan (preventive, corrective and improvement actions) Yes / No "yes" "yes" "yes" "yes" "yes" "yes" Yes / No "yes" Yes / No "yes" "yes" "yes" Yes / No "yes" Comment / justification Comment / justification Comment / justification Comment / justification Documentation Yes / No Comment / justification o Documentation Management(creation, consultation, reference "yes" document update, accessibility, versioning) o Records management (follow up, audit trail and evidence) "yes" Data and knowledge base: Yes / No Comment / justification o Document and record templates (ISMS policy, records...) "yes" o Report templates (audit report, ) "yes" o Referenced documents (ISO 27001, ISO 27002). "yes" Workflows Yes / No Comment / justification o Workflows Management "yes" 6. Vendor's description of the software (feel free to summarize as you wish) -------------> What ECIJA ISMS is? ECIJA ISMS is one part of the global solution called ECIJA Compliance Suite. ECIJA ISMS is the solution for the implementation, management & maintenance of the Information Security Management System that is based on the directive ISO 27001. ECIJA ISMS is the leader software in number of projects in the market. We have done more than 50% of the projects of implementation ISO 27001 with ECIJA ISMS in Spain. ECIJA ISMS allows the integral management of the directive & achieves the complete cycle of the standard, from the initial phases & the planning of the projects to the maintenance & continual improvement (through the risks analysis, control panel, procedures implementation, etc.). These functionalities are included in our main three solutions: ECIJA Compliance Suite platform, AGR Module - Risks Analysis & Management and SGSI Processes. Main funtionalities: Diferential Analysis Asset inventory Risk analysis and Risk management Configuration of the security dimensions Cofi guration of Methodologies for Risks calculation Module of dependencies among assets SOA (Statement of Applicability) International Audit Annuaire - Outils SMSI Mars 2015 Page 31
Annuaire - Outils SMSI Mars 2015 Page 32
Front GRC efront Annuaire - Outils SMSI Mars 2015 Page 33
Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o Nom et fonction du répondant o Adresse de contact Mail o Adresse postale de contact o Date de la réponse J'autorise la publication de ces informations sur le site internet du club 27001 (www.club-27001.fr) (oui/non) 1. Administratif o Nom de l éditeur o Si rattachement à un groupe, préciser o Nom et version de l'outil o Date de la première version de l outil (nombre de versions) o Langue(s) outil Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d affaire annuel ( ) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) o Principales références et présences en France 2. Financier o Modalité de définition du coût (forfait, par site, par utilisateur ) JAVARY Olivier ojavary@efront.com 2/4 rue Louis David 75116 PARIS 19-mars-15 efront FrontGRC 7.0 et FrontERM 7.0 FrontGRC 1.0 2004 Français et Anglais 601 75.4 M 1999 oui / 50 personnes oui / 25 personnes Paris Français et Anglais Editeur et partenaires : BearingPoint, CGI, EY, KPMG, Deloitte Banque de France - FrontGRC Risk Control Audit - 5000 employés, France Reunica / Systalians - FrontGRC Risk Control PCA, 6000 employés, France BNPP Mercator - FrontERM Risk, 3000 utilisateurs dans le monde Sur la gestion des risques en générale plus de 50 clients en France : BDF, BNPP, SG, Generali, Groupama, MNH, MAIF par module et par utilisateur nommé o Prix public (activation, licence ) o Coût récurrent annuel (maintenance, hébergement ) o Devis type pour 10 utilisateurs, 3 sites, formation inclue 3. Plateforme technique o Pré-requis techniques o Mode ASP (oui / non), si oui lieu d'hébergement o Langage de développement o Client lourd / client léger o Outil mono ou multi-utilisateurs 4. Condition de test ou de maquettage o Modalités / coût d une démonstration o Modalités / coût d un test chez le client o Données de test inclues dans la démonstration (oui / non) environ de 80 k à 200 k 20% annuel du prix d'achats des licences, incluant support téléphonique et nouvelles versions 100 k de licence; formation 10k ; projet selon le besoins entre 50k et 150k Serveur Windows oui, chez Verizon (Paris, Lille et mondial selon le niveau de service demandé) Microsoft Visual Basic et Visual C# Client full web Mulit utiisateur Gratuit A définir A définir Annuaire - Outils SMSI Mars 2015 Page 34
5. Grandes fonctionnalités et données "votre produit aide-t-il à?" veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à? " en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme ) o Définition et partage de la Politique SMSI Module de gestion électronique de document. Capacité de modéliser une conformité réglementaire à l'aide du module FrontCompliance o Définition et partage de l'organisation et des Responsabilités Fonctionnalité d'administration des utilisateurs, profils, droits d'accès et modélisation de l'organisation. o Gestion de la cartographie des processus Cartographie des processus et modélisation graphique (Process modeling) o Gestion de la cartographie des actifs (primordiaux et supports) Oui, notion d'application dans la solution FrontBCP o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), identification des risques, critères proposés (DICP ), évaluation, risques résiduels) FrontGRC probabilité, impacts FrontERM indicateur d'évaluation des risques paramétrables o Création d'une DDA/SOA (liste des mesures de sécurité) Plan Do Check Act. Declaration d'applicabilité. Référentiel des 133 mesures, des risques associés. FrontGRC Compliance permet d'intégrer le référentiel de conformité o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) Notion de dispositif de maitrise des risques et gestion des plans d'actions o Gestion des Incidents Module incident, workflow de validation, import/export, estimation des impacts o Génération d'indicateurs (conformité, efficacité, avancement) Outil, à l'aide de l'objet indicateur o Gestion des audits et contrôles des processus, des normes (conformité) et des mesures de sécurité (efficacité) o Planification d'actions périodiques (réunion, contrôle à réaliser ) Gestion du plan d'audit. Les actions périodiques sont des audits. La solution gère des audit sur pièces ou sur place. o Gestion d'un plan d'amélioration (actions préventives, correctives et d amélioration) Gestion des plans d'actions Documentation o Gestion documentaire (création, consultation, mise à jour de la Module de gestion électronique document documentation de référence, accessibilité, versionning) o Gestion des enregistrements (suivi, preuves) Le referentiel gere l'ensemble des enregistrements des objets et des pièces jointes associés Données & base de connaissance : o Modèles types (PSMSI, enregistrements types,...) o Rapports types (rapport d audit ) Exemple ce rapport d'audit o Référentiels types (ISO 27001, ISO 27002). Workflows o Gestion des Workflows Moteur de worflow sur chacun des objets, statuts paramétrables 6. Description libre de la solution par l éditeur -------------> FrontGRC est une suite logicielle complète de Gouvernance, gestion des Risque et Conformité. Elle permet la conformité Bale 2, Solvabilité 2, LSF et SOX dans les entreprises fortement réglementées. Elles inclut les solutions FrontGRC Risk, Control, Audit et Plan de Continuité d'activité. FrontERM est une solution de gestion globale des risques. Elle offre une plate forme globale de collecte des indicateurs clés de risques, de modélisation de formules de calcul et d'agrégation de risque et une importante capacité de restitution sous forme de tableau de bord dynamique multi dimensionnel. Annuaire - Outils SMSI Mars 2015 Page 35
Annuaire - Outils SMSI Mars 2015 Page 36
EGERIE RiskManager Fidens Annuaire - Outils SMSI Mars 2015 Page 37
Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o Nom et fonction du répondant o Adresse de contact Mail o Adresse postale de contact o Date de la réponse J'autorise la publication de ces informations sur le site internet du club 27001 (www.club-27001.fr) (oui/non) Larroumets Jean - Chef de produit EGERIE RiskManager et Directeur-Associé Fidens jean.larroumets@fidens.fr Fidens - 9 rue Richard Andrieu 83000 Toulon 01/09/2014 mise à jour mars 2015 1. Administratif o Nom de l éditeur o Si rattachement à un groupe, préciser o Nom et version de l'outil o Date de la première version de l outil (nombre de versions) o Langue(s) outil Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d affaire annuel ( ) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) o Principales références et présences en France Fidens Egerie Risk Manager 1.7 V1.7 (7ème sous-version) Français / Anglais 7 personnes 300 000 2011 2 commerciaux 5 personnes Toulon (France) Français / Anglais Nous offrons des prestations d'accompagnement à la prise en main, l'intégration et la reprise de l'existant Groupe Orange (2012 / Version entreprise illimitée / 172 000 personnes / France et international) Grand groupe bancaire français (2014 / Version entreprise illimitée / 10 000 personnes / France et international) Morpho Groupe Safran (2013 / 10 utilisateurs / 62 500 personnes / France et international) Orange, Safran, FDJ, Groupe Mirion, APHP, APHM, ARS, DGA, CG83, INRIA, ALTRAN, Aéroport de Paris, BNF,... 2. Financier o Modalité de définition du coût (forfait, par site, par utilisateur ) o Prix public (activation, licence ) o Coût récurrent annuel (maintenance, hébergement ) o Devis type pour 10 utilisateurs, 3 sites, formation inclue 3. Plateforme technique o Pré-requis techniques o Mode ASP (oui / non), si oui lieu d'hébergement o Langage de développement o Client lourd / client léger o Outil mono ou multi-utilisateurs 4. Condition de test ou de maquettage o Modalités / coût d une démonstration o Modalités / coût d un test chez le client o Données de test incluses dans la démonstration (oui / non) Par utilisateur Prix en entrée de gamme : 1000 HT pour un droit d'usage d'un an pour 1 module en mode SaaS Droit d'usage annuel incluant la maintenance, le support est en plus 19 800 HT (droit d'usage annuel) intègre un transfert de compétence et assistance à l'intégration d'une journée Aucun en mode ASP (SaaS) / installation sur un serveur Linux en mode hébergement sur site client / doc et pré-requis fournis Deux types d'hébergement sont proposés : installation sur site client ou en mode le SaaS hébergeur français certifié 27001) PHP / HTML 5 Client léger (navigateur web supportant HTML 5) Multi-utilisateurs Gratuit - démonstration par un de nos experts (et version de démo en ligne : http://www.egerie-software.com) Gratuit en mode SaaS (sinon voir avec le service commercial de EGERIE) Oui Annuaire - Outils SMSI Mars 2015 Page 38
5. Grandes fonctionnalités et données "votre produit aide-t-il à?" veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à? " en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme ) o Définition et partage de la Politique SMSI Un module "EGERIE Lead Implementer" est en cours de développement pour répondre à ces o Définition et partage de l'organisation et des Responsabilités Différents profils sont gérés dans le logiciels o Gestion de la cartographie des processus Un module "EGERIE Lead Implementer" est en cours de développement pour répondre à ces o Gestion de la cartographie des actifs (primordiaux et supports) Oui - Une interface est dédiée à l'enregistrement et la gestion des deux catégories d'actifs o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), Fonction centrale du logiciel identification des risques, critères proposés (DICP ), évaluation, risques résiduels) o Création d'une DDA/SOA (liste des mesures de sécurité) Le logiciel permet de constituer automatiquement la Déclaration d'applicabilité (DDA/SOA) o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) La logiciel permet de sélectionner sur la base d'un système d'aide à la décision les mesures de sécurité à mettre en œuvre. Il fournit le listing des mesures à implémenter dans le plan de traitement. Le statut de ces mesures est actualisé lors des différentes itérations de chaque analyse de risques. indirectement => Les incidents étant des risques avérés. Certains clients utilisent le logiciel o Gestion des Incidents pour mesurer l'impact de l'incident et enregistrer les incidents. o Génération d'indicateurs (conformité, efficacité, avancement) Efficacité / suivi des risques et mesures o Gestion des audits et contrôles des processus, des normes (conformité) et des mesures de sécurité (efficacité) indirectement => L'interface de gestion des mesures de sécurité dans le logiciel peut être utilisée pour enregistrer les résultats d'audit de conformité à tous types de normes. o Planification d'actions périodiques (réunion, contrôle à réaliser ) Un module "EGERIE Lead Implementer" est en cours de développement pour répondre à ces besoins. o Gestion d'un plan d'amélioration (actions préventives, correctives et d amélioration) Le logiciel permet le suivi des actions inscrites aux plans de traitement. Documentation o Gestion documentaire (création, consultation, mise à jour de la Génération de rapports d'analyse de risques uniquement documentation de référence, accessibilité, versionning) o Gestion des enregistrements (suivi, preuves) Génération de rapports d'analyse de risques uniquement Données & base de connaissance : Référentiels de Mesures, Référentiels de normes et de nombreux autres référentiels (scénarios, o Modèles types (PSMSI, enregistrements types,...) vulnérabilités, mesures, échelles, ) o Rapports types (rapport d audit ) Rapport d'analyse de risque o Référentiels types (ISO 27001, ISO 27002). Le logiciel permet l'injection de tous type de référentiels normatifs à la demande des clients. Nativement le logiciel est livré avec les référentiels suivant : ISO27002:2005 (fr/en), ISO27002:2013 (fr/en), PSSI-E (fr), PCIDSS (fr) Workflows Un module "EGERIE Lead Implementer" est en cours de développement pour répondre à ces o Gestion des Workflows besoins. 6. Description libre de la solution par l éditeur -------------> EGERIE RiskManager est la solution française de référence pour la gestion des cyber-risques et de pilotage de la cybersécurité par les risques. EGERIE RiskManager permet notamment la mise en conformité vis-à-vis des réglementations et normes ISO27001, ISO27002, ISO27005, PCI-DSS, RGS, Cette solution aide à l identification et à l'évaluation des risques, ainsi qu'à la gestion des dispositifs de leur maîtrise par la mise en place de simulations et d indicateurs. La démarche peut être à la fois pilotée depuis les organes centraux de l entreprise (top-down) mais également depuis/avec ses bases opérationnelles (Bottom-up) en permettant notamment l administration déléguée d analyses et référentiels. Solution «100% client-léger», la solution est accessible, via un simple navigateur Internet, à l'ensemble des utilisateurs de toutes les entités mondiales d une organisation, en fonction de leurs droits d'accès et de leur langue. EGERIE RiskManager consolide la cartographie versionnée et historisée des cyber-risques sur l ensemble des systèmes de l organisme et permet d accéer à une vision globale des risques. Principaux modules fonctionnels couverts par le logiciel : Cartographie des risques : Modélisation de l'organisation et des systèmes en processus et actifs, identification et évaluation des cyber-risques associés, éléments de maîtrise et cartographie. Des référentiels de systèmes, de risques, de mesures sont proposés nativement et sont complètement configurables et personnalisables. Appréciation automaique des risques : Collecte et qualification des éléments constitutifs du scénario de risque, évaluation des impacts, association avec la cartographie des processus, fonctions avancées de caractérisation. Le logiciel calcule automatiquement ainsi le niveau de risque brut, actuel et programmé selon la vraisemblance, l impact et la complétude des éléments de maîtrises de risques Suivi des mesures et plan de traitement : Définition des mesures de sécurité suivi des actions de sécurisation ; structuration des mesures de sécurité et plans d'actions, réalisation d état des lieux vis à vis des normes du domaine : iso27002, PCI-DCSS, RGS, CSSF Annuaire - Outils SMSI Mars 2015 Page 39
Annuaire - Outils SMSI Mars 2015 Page 40
OpenPages IBM Annuaire - Outils SMSI Mars 2015 Page 41
Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o Nom et fonction du répondant o Adresse de contact Mail o Adresse postale de contact o Date de la réponse J'autorise la publication de ces informations sur le site internet du club 27001 (www.club-27001.fr) (oui/non) Goissen Matthieu matthieu.goissen@fr.ibm.com 17 avenue de l'europe, Bois Colombes 01-sept-14 1. Administratif o Nom de l éditeur o Si rattachement à un groupe, préciser o Nom et version de l'outil o Date de la première version de l outil (nombre de versions) o Langue(s) outil Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d affaire annuel ( ) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) o Principales références et présences en France 2. Financier o Modalité de définition du coût (forfait, par site, par utilisateur ) o Prix public (activation, licence ) o Coût récurrent annuel (maintenance, hébergement ) o Devis type pour 10 utilisateurs, 3 sites, formation inclue IBM IBM OpenPages V7.0.0 2003, 10 versions majeures Anglais, espagnol, allemand, français, italien, japonais, portugais brésilien, chinois simplifié et chinois traditionnel de l'ordre de 150 n/c 2003 1 5 Support 1er niveau en France Français pour le premier niveau 8 SGCIB / 2012 / ITG (SMSI) / 3000 employés / France 2013 / UMG Groupe Intériale / ORM // France Williams / ITG (SMSI) / 2011 / 4000 employés / Etats Unis Allianz / ORM (collecte d'incidents) / 2009 / 118.000 employés / Allemagne SG CIB/ ALLIANZ / AVIVA / UMG Groupe Intériale Licence perpétuelle et software assurance avec acquition d'une plaforme puis des utilisateurs accédants aux modules nécessaires Licence perpétuelle intégrant la première année de software assurance Software assurance n/a nous travaillons sur des configurations plus importantes en nombre d'utilisateurs 3. Plateforme technique o Pré-requis techniques o Mode ASP (oui / non), si oui lieu d'hébergement o Langage de développement o Client lourd / client léger o Outil mono ou multi-utilisateurs 4. Condition de test ou de maquettage o Modalités / coût d une démonstration o Modalités / coût d un test chez le client o Données de test inclues dans la démonstration (oui / non) Webpshere/AIX/Oracle ou Weblogic/Windows/Oracle 'oui', nos laboratoires travaillent sur une version en mode SaaS Java Client léger Muti-utilisateurs Gratuit A voir fonction du dossier A voir fonction du dossier Annuaire - Outils SMSI Mars 2015 Page 42
5. Grandes fonctionnalités et données "votre produit aide-t-il à?" veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à? " en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme ) o Définition et partage de la Politique SMSI Référentiel de politiques et intégration avec le référentiel UCF (unified compliance framework) o Définition et partage de l'organisation et des Responsabilités L'outil permet la gestion des organisations avec des hierarchies multiples o Gestion de la cartographie des processus L'outil permet la gestion de la cartographie des processus et sous processus IT et métiers (sans o Gestion de la cartographie des actifs (primordiaux et supports) Cartographies des actifs (ressources) avec différentes informations de typage o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), identification des risques, critères proposés (DICP ), évaluation, L'outil peut supporter l'ensemble des méthodologies de marché : DICP, COBIT, Ebios, : risque, menaces, vulnérabilités, evaluation risque brut, moyens de maitrise, risque net, risques résiduels) o Création d'une DDA/SOA (liste des mesures de sécurité) La solution de reporting permet de générer tout type de rapport y compris word permettant de reprendre l'ensemble des informations de l'outil. o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) L'outil permet de définir et d'évaluer les moyens de maîtrise des risques et de suivre les plans d'actions et les écarts o Gestion des Incidents o Génération d'indicateurs (conformité, efficacité, avancement) o Gestion des audits et contrôles des processus, des normes (conformité) et des mesures de sécurité (efficacité) o Planification d'actions périodiques (réunion, contrôle à réaliser ) o Gestion d'un plan d'amélioration (actions préventives, correctives et d amélioration) L'outil traite l'ensemble du workflow d'analyse des incidents en permettant aussi bien l'analyse des causes que des liens L'application intégre un outil de reporting permettant d'agréger les informations (niveau de conformité, efficacité des moyens de maîtrise, avancement des plans d'actions). Par ailleurs, il est possible de définir et calculer des indicateurs de risques et/ou de performances à bases de données internes et importées. L'outil permet de gérer les tests de contrôles qui s'appliques sur les moyens de maîtrises qui sont eux même reliés à des processus, des normes, des ressources permettant d'évaluer l'efficacité des mesures de sécurité avec des analyses sur l'ensemble des ces axes. Nous pouvons le gérer au travers de deux axes : moyens de maitrise et/ou actions qui peuvent tous les deux être suivis dans le temps. Documentation o Gestion documentaire (création, consultation, mise à jour de la documentation de référence, accessibilité, versionning) o Gestion des enregistrements (suivi, preuves) L'outil intègre une gestion documentaire permettant de stocker, mettre à jour et à disposition des documents. La solution de reporting permet également de créer des documents qui pourront être stockés et possiblité de gérer des versions. A plusieurs niveaux : traçabilité des changements (audit trail), possiblité de gérer les versions et de naviguer entre les versions. Données & base de connaissance : La solution permet la gestion de templates dans des librairies afin de promouvoir la o Modèles types (PSMSI, enregistrements types,...) standardisation et intègre par ailleurs les templates d'information UCF. L'application contient 50 rapports standards et offre la capacité de modifier ou créer de o Rapports types (rapport d audit ) nouveaux rapports. l'intégration avec UCF (unified compliance framework) : plus de 400 lois indéxées avec des verticaux sectoriels (banques, pharmacie, energies, ), des standards organisationnels (ISO, o Référentiels types (ISO 27001, ISO 27002). COBIT, ITIL) et des lois des différents continents Workflows la solution intègre un outil de workflow permettant de modeliser aussi des workflow complexes. o Gestion des Workflows 6. Description libre de la solution par l éditeur -------------> IBM OpenPages IT Governance (ITG) est une solution de gouvernance informatique qui diminue la complexité de la gestion des risques informatiques en alignant les opérations de gestion sur les initiatives métier, la stratégie et les obligations de l'entreprise en matière de réglementation. Reposant sur une architecture centrale ouverte de services partagés, IBM OpenPages ITG permet aux entreprises de rester en conformité avec de nombreux cadres de meilleures pratiques (COSO, CoBit, ITIL et ISO) et réglementations, tout en gérant les risques et en gardant le contrôle interne de leur informatique, en fonction des processus métier pris en charge. IBM OpenPages ITG intègre de nombreux silos de gouvernance informatique afin d améliorer la transparence, l'aide à la décision, les performances métier et la valorisation. IBM OpenPages ITG permet aux entreprises internationales de : Surveiller et évaluer de manière centralisée l'efficacité globale de leurs investissements informatiques Adopter une approche de la gouvernance informatique reposant sur les meilleures pratiques Déployer une structure de contrôle des risques centrée sur les processus et les règles dans toute l'entreprise Faire bénéficier la direction d'une plus grande transparence dans les processus informatiques Rester agile et flexible afin de prendre en compte les changements technologiques et organisationnels Aligner les investissements informatiques sur les stratégies métier pour apporter aux clients, employés et partenaires des services et des résultats supérieurs tout en assurant une différenciation et un avantage concurrentiel durable sur le marché. IBM OpenPages ITG, qui fait partie intégrante de la plateforme IBM OpenPages GRC, est un bloc fonctionnel clé dans la mise en oeuvre d'une approche intégrée de la gestion des risques et de la conformité à l'échelle de l'entreprise. IBM OpenPages ITG offre une méthode basée sur des règles et des processus pour gérer les risques par le biais d'autoévaluations des dispositifs de contrôle, d'enquêtes utilisateur, d'un workflow automatisé et de tableaux de bord qui apportent à la direction la visibilité, le contrôle et l'aide à la décision nécessaires pour gérer les risques informatiques et optimiser les performances métier. Annuaire - Outils SMSI Mars 2015 Page 43
Annuaire - Outils SMSI Mars 2015 Page 44
DCM Manager ID Nouvelles Annuaire - Outils SMSI Mars 2015 Page 45
Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o Nom et fonction du répondant o Adresse de contact Mail o Adresse postale de contact o Date de la réponse J'autorise la publication de ces informations sur le site internet du club 27001 (www.club-27001.fr) (oui/non) 1. Administratif o Nom de l éditeur ID Nouvelles o Si rattachement à un groupe, préciser o Nom et version de l'outil o Date de la première version de l outil (nombre de versions) DCM-Manager 4.08 07/2011 (4 versions majeures) o Langue(s) outil Français Anglais Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d affaire annuel ( ) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... Abeillé Corinne Gérante abeille@id-nouvelles.fr 104 bis, rue René Coty 91330 YERRES 11/08/2014 6 500 à 700 K 1992 1 5 Yerres Français Accompagnement au déploiement réalisé par ID Nouvelles en propre ou via un intégrateur partenaire Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) o Principales références et présences en France 2011 Banque de France 20000 postes : audit de conformité, reporting (2000 destinataires), cartographie des risques + serve 2013 GIC 400 postes + 30 serveurs / Windows : audit de conformité + reporting 2014 TUI 1500 postes + 300 serveurs : audit de conformité + reporting + workflow + cartographie Banque de France 2. Financier o Modalité de définition du coût (forfait, par site, par utilisateur ) o Prix public (activation, licence ) o Coût récurrent annuel (maintenance, hébergement ) o Devis type pour 10 utilisateurs, 3 sites, formation inclue Indépendant du nombre d'équipements, du nombre d'utilisateurs 10 à 40 K / an + accompagnement et paramétrage 3. Plateforme technique o Pré-requis techniques o Mode ASP (oui / non), si oui lieu d'hébergement o Langage de développement o Client lourd / client léger o Outil mono ou multi-utilisateurs 4. Condition de test ou de maquettage o Modalités / coût d une démonstration o Modalités / coût d un test chez le client o Données de test incluses dans la démonstration (oui / non) SQL Server / IIS Non.Net framework 4 Admin / client lourd - Rapports / clients légers et aucun déploiement pour l'audit de conformité Multi utilisateurs VM de test avec des données factices Oui Annuaire - Outils SMSI Mars 2015 Page 46
5. Grandes fonctionnalités et données "votre produit aide-t-il à?" veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à? " en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme ) o Définition et partage de la Politique SMSI Définition des mesures techniques de sécurité issues de la PSSI o Définition et partage de l'organisation et des Responsabilités Pour chaque actif il existe un propriétaire, un gestionnaire/réalisateur et un contrôleur o Gestion de la cartographie des processus o Gestion de la cartographie des actifs (primordiaux et supports) Notion de parcs infomatiques utilisateur et de plates-formes métier avec cartographie des écarts par regroupement d'actif et niveau de criticité des actifs o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), Cotation des actifs par niveau de criticité DIC issue des analyses de risque existantes identification des risques, critères proposés (DICP ), évaluation, risques résiduels) o Création d'une DDA/SOA (liste des mesures de sécurité) Uniquement pour les mesures techniques o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) o Gestion des Incidents o Génération d'indicateurs (conformité, efficacité, avancement) Conformité par regroupement d'actif et niveau de criticité o Gestion des audits et contrôles des processus, des normes Efficacité des mesures de sécurité techniques et suivi des actions de remédiation (conformité) et des mesures de sécurité (efficacité) Audit continu quotidien o Planification d'actions périodiques (réunion, contrôle à réaliser ) o Gestion d'un plan d'amélioration (actions préventives, correctives et d amélioration) Suivi des actions dans le temps et de l'évolution du niveau de conformité aux objectifs de sécurité Documentation o Gestion documentaire (création, consultation, mise à jour de la Versionning du référentiel des mesures de sécurité technique documentation de référence, accessibilité, versionning) o Gestion des enregistrements (suivi, preuves) Association de la version du référentiel à chaque campagne d'audit et aux objectifs de sécurité attendus à la date d'audit et l'évolution dans le temps des objectifs est tracée Données & base de connaissance : o Modèles types (PSMSI, enregistrements types,...) Rapports dynamiques en ligne et rapports statiques envoyés périodiquement aux o Rapports types (rapport d audit ) correspondants de sécurité o Référentiels types (ISO 27001, ISO 27002). Chaque mesure technique implémentée peut être reliée à la mesure de l'iso 27002 couverte Workflows Pour la modification du référentiel, pour la gestion du changement des composants de sécurité o Gestion des Workflows et la mise en production automatique des procédures d'audit continu 6. Description libre de la solution par l éditeur -------------> DCM-Manager repose sur : - la gestion du référentiel des mesures techniques de sécurité (plusieurs centaines) déployées sur le SI - l'audit technique continu du SI - le reporting du niveau de conformité par rapport aux objectifs de sécurité - la gestion de l'amélioration et la gouvernance des risques induits par les écarts Le SI est regroupé par parc utilisateurs (postes), par plate-forme métier (serveurs), par zone réseau ainsi que par méta regroupement pour refléter l'organisation de l'entreprise Chaque regroupement dispose d'un niveau de criticité DIC Les objectifs sont déclinés par niveau de criticité Les écarts sont représentés par regroupement et par niveau de criticité Les rapports dynamiques permettent d'analyser les écarts par composant de sécurité ou d'un composant en fonction d'un autre DCM-Manager ne nécessite aucun déploiement sur les postes ou serveurs DCM-Manager ne nécessite aucun droit ni habilitation complémentaire sur les postes et serveurs par rapport aux droits déjà appliqués DCM-Manager n'envoie aucune informtation à l'extérieur de l'entreprise DCM-Manager a été conçu pour le RSSI pour challenger sa DSI et synthétiser à la direction générale le niveau de risque observé Annuaire - Outils SMSI Mars 2015 Page 47
Annuaire - Outils SMSI Mars 2015 Page 48
Kleverware IAG Kleverware Annuaire - Outils SMSI Mars 2015 Page 49
Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o Nom et fonction du répondant o Adresse de contact Mail o Adresse postale de contact o Date de la réponse J'autorise la publication de ces informations sur le site internet du club 27001 (www.club-27001.fr) (oui/non) Bertrand Augé - Directeur Commercial commercial@kleverware.com 4, allée des Garays - 91120 Palaiseau 26/08/2014 1. Administratif o Nom de l éditeur o Si rattachement à un groupe, préciser o Nom et version de l'outil o Date de la première version de l outil (nombre de versions) o Langue(s) outil Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d affaire annuel ( ) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) o Principales références et présences en France Kleverware Kleverware IAG 14.4-2 possibilités: "Quick Stard" ou "Enterprise" 2006 français 7 non communiqué 2005 2 2 France français / anglais Oui, plusieurs intégrateurs en France ou à l'étranger N/A N/A N/A Allianz, AXA, Crédit Agricole, Generali, SmaBtp, PMU, Icade (Caise des dépôts) 2. Financier o Modalité de définition du coût (forfait, par site, par utilisateur ) o Prix public (activation, licence ) o Coût récurrent annuel (maintenance, hébergement ) o Devis type pour 10 utilisateurs, 3 sites, formation inclue 3. Plateforme technique o Pré-requis techniques o Mode ASP (oui / non), si oui lieu d'hébergement o Langage de développement o Client lourd / client léger o Outil mono ou multi-utilisateurs 4. Condition de test ou de maquettage o Modalités / coût d une démonstration o Modalités / coût d un test chez le client o Données de test incluses dans la démonstration (oui / non) Version "Quick Start" à l'utilisateur, version "Enterprise" au nombre d'identités intégrées à partir de 30K > plusieurs centaines. 20% du prix Selon nombre d'identités Non.Net les 2 Les 2 Gratuit sur "Quick Start" Au temps passé oui Annuaire - Outils SMSI Mars 2015 Page 50
5. Grandes fonctionnalités et données "votre produit aide-t-il à?" o Définition et partage de la Politique SMSI o Définition et partage de l'organisation et des Responsabilités o Gestion de la cartographie des processus o Gestion de la cartographie des actifs (primordiaux et supports) o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), identification des risques, critères proposés (DICP ), évaluation, risques résiduels) o Création d'une DDA/SOA (liste des mesures de sécurité) o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à? " en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme ) o Gestion des Incidents o Génération d'indicateurs (conformité, efficacité, avancement) Sur les campagnes de recertification o Gestion des audits et contrôles des processus, des normes Sur un périmétre de la PSSI (conformité) et des mesures de sécurité (efficacité) Pour les Identités et les droits o Planification d'actions périodiques (réunion, contrôle à réaliser ) o Gestion d'un plan d'amélioration (actions préventives, correctives et d amélioration) Pour les Identités et les droits Documentation o Gestion documentaire (création, consultation, mise à jour de la documentation de référence, accessibilité, versionning) o Gestion des enregistrements (suivi, preuves) Données & base de connaissance : o Modèles types (PSMSI, enregistrements types,...) o Rapports types (rapport d audit ) o Référentiels types (ISO 27001, ISO 27002). Workflows o Gestion des Workflows Sur les campagnes de recertificaation des comptes. 6. Description libre de la solution par l éditeur -------------> Il est aujourd'hui crucial de pouvoir détecter et anticiper les risques potentiels qui pèsent sur le Système d'information. Votre entreprise est confrontée à des mutations permanentes auxquelles plusieurs départements (RH, IT, Métier ) doivent s adapter : Vie de l entreprise (Nécessité de fournir un accès au SI aux clients, partenaires, fournisseurs ) Cycle de vie de l utilisateur (Arrivée d utilisateurs, changements de postes, départs ) Tenir compte de ces mutations est un enjeu majeur pour assurer la sécurité de votre SI. Cela vous évite d être confronté à des risques opérationnels tels que : le cumul de droits, les habilitations de certains utilisateurs type administrateur et l accès non autorisé de certains utilisateurs à des données stratégiques Pour optimiser la sécurité de votre SI et en assurer la conformité avec les normes et les réglementations relatives à la gouvernance d entreprise, vous devez pouvoir répondre à tout moment à la question : «Qui a droit à Quoi et Comment et Pourquoi?». Kleverware IAG (Identity & Access Governance) est utilisée dans le cadre de projet réglementaire, normatif, fonctionnel, technique tels que : Bâle III, SOX, Solvency II, CRBF, RGS, LSF, ISO 27xxx, Création de référentiels, Contrôle Permanent, Audit, Gestion des habilitations, Création ou Refonte de Profils Métier,... Notre solution sont utilisées par de Grands Comptes, dont plusieurs entités du Groupe BPCE (Bred, I-BP, GCE Technologies ), SMA BTP, plusieurs entités du Groupe Crédit Agricole (Crédit Agricole sa, Silca, Crédit Agricole Consumer Finance ), AXA, La Banque Postale, PMU, AG2R La Mondiale, Icade... Kleverware est lauréate de Scientipôle Initiative, PM UP, elle est membre d OSEO Excellence, Partner de Microsoft / ISV Software Solution. Annuaire - Outils SMSI Mars 2015 Page 51
Annuaire - Outils SMSI Mars 2015 Page 52
FENCE MDAL Annuaire - Outils SMSI Mars 2015 Page 53
Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o Nom et fonction du répondant o Adresse de contact Mail o Adresse postale de contact o Date de la réponse J'autorise la publication de ces informations sur le site internet du club 27001 (www.club-27001.fr) (oui/non) MAZZA, consultant sécurité et responsable du logiciel FENCE lionel.mazza@mdal.fr Société MDAL 11 bd Deodat de Severac Bâtiment Gamma 31770 Colomiers 01-août-14 1. Administratif o Nom de l éditeur o Si rattachement à un groupe, préciser o Nom et version de l'outil o Date de la première version de l outil (nombre de versions) o Langue(s) outil Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d affaire annuel ( ) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) o Principales références et présences en France MDAL FENCE V1 Janvier 2013 2 versions Anglais, Français (gère le multilingue) 4 110 000 euros 2011 4 4 France Français, Anglais Equipe de 3 consultants MDAL 2014/Module d'analyse de risques/15 000 employés/france 2013/Module d'analyse de risques/30 intervenants Airbus Helicopters/Programme SESAR (Single European Sky ATM Research) 2. Financier o Modalité de définition du coût (forfait, par site, par utilisateur ) o Prix public (activation, licence ) o Coût récurrent annuel (maintenance, hébergement ) o Devis type pour 10 utilisateurs, 3 sites, formation inclue 3. Plateforme technique o Pré-requis techniques o Mode ASP (oui / non), si oui lieu d'hébergement o Langage de développement o Client lourd / client léger o Outil mono ou multi-utilisateurs 4. Condition de test ou de maquettage o Modalités / coût d une démonstration o Modalités / coût d un test chez le client o Données de test incluses dans la démonstration (oui / non) A négocier selon options A négocier selon options A négocier selon options prix indicatif de 25 000 euros en achat Mode ASP possible : hébergement à déterminer selon les besoins du client. Ruby on rails Navigateur Web Multi-utilisateurs Gratuit A négocier. Oui Annuaire - Outils SMSI Mars 2015 Page 54
5. Grandes fonctionnalités et données "votre produit aide-t-il à?" o Définition et partage de la Politique SMSI o Définition et partage de l'organisation et des Responsabilités o Gestion de la cartographie des processus o Gestion de la cartographie des actifs (primordiaux et supports) o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), identification des risques, critères proposés (DICP ), évaluation, risques résiduels) o Création d'une DDA/SOA (liste des mesures de sécurité) veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à? " en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme ) Identification des actifs primaires et des actifs de support associés. Caractérisation des actifs (type, descritpion et responsabilité) Démarche compatible avec la norme iso 27005. Gestion de domaines communs de sécurité et projets. Etablissement de contexte de sécurité. Evaluation des risques : impact (critères de sécurité gérés : disponibilité, confidentialité et intégrité.) et potentialité Gestion d'un catalogue de menaces, vulnérabilités. Génération automatique des scénarios de menace. Tableaux de bord. o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) Seule la sélection des contrôles et mesures de sécurité est gérée. o Gestion des Incidents o Génération d'indicateurs (conformité, efficacité, avancement) Une page Dashboard customisable présente un ensemble d'indicateurs. o Gestion des audits et contrôles des processus, des normes (conformité) et des mesures de sécurité (efficacité) o Planification d'actions périodiques (réunion, contrôle à réaliser ) o Gestion d'un plan d'amélioration (actions préventives, correctives et d amélioration) Documentation o Gestion documentaire (création, consultation, mise à jour de la documentation de référence, accessibilité, versionning) o Gestion des enregistrements (suivi, preuves) Données & base de connaissance : o Modèles types (PSMSI, enregistrements types,...) o Rapports types (rapport d audit ) o Référentiels types (ISO 27001, ISO 27002). Workflows o Gestion des Workflows 6. Description libre de la solution par l éditeur -------------> FENCE est un outil de gestion de risques compatible iso 27005. Il permet d'établir un contexte de sécurité, d'identifier les actifs primaires et de support, d'évaluer les impacts et la potentialité, d'évaluer les niveaux de risques. Enfin Fence permet de traiter les risques en proposant des listes de contrôles et mesures de sécurité. FENCE gère les catalogues de menaces, vulnérabilité, scénarios de menace générique, types d'assets et liste de contrôles et mesures de sécurité dans une base de connaissance. L'utilisateur peut mettre à jour et créer autant de bases de connaissances qu'il souhaite en fonction des besoins. Fence à travers la notion de domaine permet de capitaliser sur les activités d'analyses de risques déjà menées en partageant les contextes de sécurité et les assets en commun. L'utilisateur peut ainsi ré-utiliser des contextes de sécurité et actifs qui ont déjà été créés. Le domaine offre alors une vue consolidée des différents projets. FENCE offre des fonctionnalités d'export pour une restitution externe au logiciel. Il offre également des tableaux de bord et indicateurs pour assurer le suivi des activités de gestion de risques. Annuaire - Outils SMSI Mars 2015 Page 55
Annuaire - Outils SMSI Mars 2015 Page 56
Optimiso Annuaire - Outils SMSI Mars 2015 Page 57
Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o Nom et fonction du répondant o Adresse de contact Mail o Adresse postale de contact o Date de la réponse J'autorise la publication de ces informations sur le site internet du club 27001 (www.club-27001.fr) (oui/non) BOUVIER Christophe, Directeur Commercial christophe.bouvier@optimiso.com 13 avenue Victor Hugo, 69160 TASSIN LA DEMI LUNE 19/03/2015 1. Administratif o Nom de l éditeur o Si rattachement à un groupe, préciser o Nom et version de l'outil o Date de la première version de l outil (nombre de versions) o Langue(s) outil Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d affaire annuel ( ) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) o Principales références et présences en France 2. Financier o Modalité de définition du coût (forfait, par site, par utilisateur ) o Prix public (activation, licence ) o Coût récurrent annuel (maintenance, hébergement ) o Devis type pour 10 utilisateurs, 3 sites, formation inclue 3. Plateforme technique o Pré-requis techniques o Mode ASP (oui / non), si oui lieu d'hébergement o Langage de développement o Client lourd / client léger o Outil mono ou multi-utilisateurs 4. Condition de test ou de maquettage o Modalités / coût d une démonstration o Modalités / coût d un test chez le client o Données de test inclues dans la démonstration (oui / non) Optimiso Group SA Optimiso, version 9.29 1995 Français, Anglais, Allemand 15 confidentiel 2005 M. Christophe Bouvier, 2 personnes Genève et Lyon Français, Anglais, Allemand Une équipe de consultants accompagne les clients dans la mise en œuvre des solutions et également pour apporter du conseil Client dans le domaine financier (nom confidentiel) 2011 Process Modelor, Document Manager, Human Resources Manager, Risk Manager, Control Safety and Security Manager, Incident & Improvement Manager, Compliance Manager, Infrastructure & Asset Manager, Departement & Unit Manager, Role & Function Manager, Web Share Navigator 200 collaborateurs Suisse Client dans le domaine financier (nom confidentiel) 2009 Process Modelor, Document Manager, Human Resources Manager, Risk Manager, Control Safety and Security Manager, Incident & Improvement Manager, Compliance Manager, Infrastructure & Asset Manager, Departement & Unit Manager, Role & Function Manager, Web Share Navigator 20 collaborateurs Suisse Mutuelles, Industries, Universités, Collectivités Modules acquis, nombre d'administrateurs et nombre de collaborateurs de l'entreprise de 5'000.- à 50'000.- selon les modalités ci-dessus abonnement annuel de maintenance 16% du prix officiel de la licence environ 10'000.- Windows XP / Vista / Seven minumum IE 7 ou Firefox 3.6 minimum Si installation standard: Microsoft MDAC / Windows DAC (installé par défaut sur les système Windows) Si installation SQL Server : SQL Server 2008 R2 Express Edition non C++, HTML et Javascript client lourd ET léger multi-utilisateurs Démonstration online gratuite, Démonstration sur site 300.- + déplacement de 300.- à 1'000.- oui Annuaire - Outils SMSI Mars 2015 Page 58
5. Grandes fonctionnalités et données "votre produit aide-t-il à?" veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à? " en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme ) o Définition et partage de la Politique SMSI o Définition et partage de l'organisation et des Responsabilités o Gestion de la cartographie des processus o Gestion de la cartographie des actifs (primordiaux et supports) Définition des actifs et liens de dépendance entre eux. o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), identification des risques, critères proposés (DICP ), évaluation, risques résiduels) o Création d'une DDA/SOA (liste des mesures de sécurité) Risques évalués sur une échelle à deux axes (probabilité et impact). Le nombre de niveaux étant personnalisables (ex: 5 niveaux d'impact, 5 niveaux de probabilité et 4 niveaux de risque). Par le module Compliance Manager dans lequel les 133 points de contrôles peuvent être identifiés. Pour chaque point de contrôle vous indiquez les mesures en place. o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) Avec un suivi des actions pour l'instant manuel. o Gestion des Incidents o Génération d'indicateurs (conformité, efficacité, avancement) à venir o Gestion des audits et contrôles des processus, des normes (conformité) et des mesures de sécurité (efficacité) Module To Do Manager sorti en 2014 o Planification d'actions périodiques (réunion, contrôle à réaliser ) o Gestion d'un plan d'amélioration (actions préventives, correctives et d amélioration) Documentation o Gestion documentaire (création, consultation, mise à jour de la documentation de référence, accessibilité, versionning) o Gestion des enregistrements (suivi, preuves) Données & base de connaissance : o Modèles types (PSMSI, enregistrements types,...) o Rapports types (rapport d audit ) o Référentiels types (ISO 27001, ISO 27002). Workflows o Gestion des Workflows 6. Description libre de la solution par l éditeur Le logiciel Optimiso permet de décrire, modéliser et communiquer l'organisation des entreprises. Il est notamment utilisé dans le cadre des SMSI pour la certification ISO 27001. Dans ce cadre il permet de : - modéliser, gérer et communiquer les processus et procédures de l'entreprises, - identifier les responsabilités de chacun, - gérer tous les documents relatifs au SMSI (règlements, instructions, formulaires, etc.) et les mettre en rapport avec les processus et procédures, les risques et les contrôles et les responsabilités, - identifier, gérer et catégoriser les actifs de l'entreprise, identifier les relations de dépendance entre les actifs et les lier aux autres éléments (responsabilités, entités, risques, contrôles, etc.), - identifier et évaluer les risques, - documenter les contrôles ou mesures de protection, - apporter la preuve de la protection des informations, - documenter et gérer les plans d'amélioration, - identifier l'ensemble des éléments ci-dessus dans le SOA, - etc. De plus, en 2014, nous avons sorti un nouveau module "To Do Manager" pour répondre aux objectifs suivants : - Suivi de la réalisation des contrôles - Suivi de la réévaluation des risques - Suivi de la révision des procédures - Suivi de la réalisation des actions d'améliorations Envoi d'emails permettant de rappeler les tâches à effectuer Le destinataire indique en retour si la tâche a été réalisée ou non et éventuellement son résultat L expéditeur suit la réalisation des tâches Ce module est appelé à évoluer et d'autres fonctions viendront compléter le périmètre fonctionnel. Annuaire - Outils SMSI Mars 2015 Page 59
Annuaire - Outils SMSI Mars 2015 Page 60
Verinice Sernet Annuaire - Outils SMSI Mars 2015 Page 61
Description of a software product for Information Security Management Contact o Respondent name and quality o Contact email address o Contact address o Response Date I hereby authorize "club 27001" to publish on their web site the information provided in this document (www.club-27001.fr) (Yes/No) Alexander Koderman, Product Owner verinice@sernet.de Alexander Koderman, SerNet GmbH, Torstr. 6, 10119 Berlin 2014-08-27 "YES" 1. Administrative o Company name o In case of group attachment, please specify o Product Name and release o Product creation year (number of releases) o Product languages The following questions are only about publishing activities of ISMS Software Tools o Number of employees o Annual Revenue ( ) o Company creation year o Customer location in France / # employees o Technical location in France / # employees o Location of customer support o Support language Implementation support / integration: dedicated vendor team, or partners Active references of ISMS Tools company: o Ref. 1 (Year / Deployed Modules / customer size / reference country) o Ref. 2 (Year / Deployed Modules / customer size / reference country) o Ref. 3 (Year / Deployed Modules / customer size / reference country) o Main references in France 2. Financial o Pricing model (package, by site, by user ) o Public price (activation, license,...) o Annual recurring costs (maintenance, hosting...) o Standard costs for 10 users, 3 sites, training included 3. Technical Platform o Technical requirements o Application Service Provider (YES / NO), if yes hosting location o Development language o Thick client / thin client o Single or multi user tool 4. Test or benchmark o Conditions / demonstration cost o Conditions / cost of a customer test o Test Data included in demonstration (yes / no) SerNet GmbH verinice 1.8 / verinice.pro 1.8 2008 (25) English, German 60-1997 none none Germany (Berlin and Goettingen) English, German own Support Team plus Partners, see http://partner.verinice.org/partner/verinicepartner/ Volkswagen, Germany (Automotive) EUROPEAN UNION - General Secretariat of the Council, Belgium (Public) Itron Inc, USA (Energy) none annual subscription fee per server and per company / institution 3 400,00 3 400,00 3.400,00, plus training depending on pre-existing knowledge VMWare Player 3.0 / ESX 4.1 orvmware Server 2.0.X / other Virtualization Environment or physical Server, min. 4GB RAM / Virtual Appliance English Rich client & Web Frontend for Workflow Activities Multi User / Multi Tenant (verinice.pro) Web-Demo available, fully functional Client available for free (Open Source) free client download free of charge yes Annuaire - Outils SMSI Mars 2015 Page 62
5. Main functions and Data "Does your product help with?" please answer the question "does your product help with? " and briefly explain how (if no explanation, the answer will be considered "No") Yes / No Comment / justification o Defining and sharing the ISMS Policy "yes" Documents can be managed inside the verinice database or as external references o Defining and sharing the Organisation and Responsibilities "yes" yes, personell can be defined and assigned to controls, assets and other objects in their o Process Mapping Management "yes" yes, modelling of processes and their dependencies to assets o Asset Mapping Management (primary and support) "yes" yes, see above o Risk analysis: method(s) used, risk identification, proposed criteria (AIC...), risk evaluation, residual risks. "yes" risk assessment and treatment acc. to ISO 27005, see our screencast: http://www.verinice.org/en/products/screencasts/ o SOA generation (list of security controls) "yes" Yes, 27001 Annex A controls and additionally selected controls included in standard template o Management of Risk Treatment Plan (selection of security controls, actions plan, actors, schedule, action follow up) Yes / No "yes" Comment / justification Selection and assignment of controls, web-based workflow engine to delegate tasks and follow up on them Yes / No Comment / justification o Incidents Management "yes" incidents and responses can be created, assigned and reported o Generation of indicators/dashboard (compliance, efficiency) "no" generation of reports is possible, but no web-based dashboard o Management of audits and checks on processes, standards "yes" audits are a special object with special workflows attached to them (compliance) and security controls (efficiency) o Recurring work planification (meetings, checks ) workflow engine allows creation of individually defined tasks for any object o Management of improvement plan (preventive, corrective and improvement actions) Yes / No "yes" Comment / justification Documentation Yes / No Comment / justification "yes" documents can be attached to any object and also included in workflow tasks (i.e. fill out this o Documentation Management(creation, consultation, reference document update, accessibility, versioning) form or implement this control and add screenshot as proof ) Attachments are timestamped and versioned. External URLs can be documented as well. o Records management (follow up, audit trail and evidence) "yes" Object types Evidence and Audit Action Data and knowledge base: Yes / No Comment / justification o Document and record templates (ISMS policy, records...) "no" no templates are included in the product, there is just a list of mandatory documents "yes" standard report templates aree included, verinice.pro includes a fully featured report designer o Report templates (audit report, ) o Referenced documents (ISO 27001, ISO 27002). "yes" official text can be licensed, otherwise we include our own implementation guidance with just the official chapter headings Workflows Yes / No Comment / justification o Workflows Management "yes" see our screencast: http://www.verinice.org/en/products/screencasts/ 6. Vendor's description of the software (feel free to summarize as you wish) -------------> Verinice is a tool for managing information security. The software is provided under the GPLv3 license. As open source software, it is available for free in our download area. verinice.pro adds multi user support, a workflow engine, report designer and much more. verinice.pro is available as a yearly software subscription. Our website is http://verinice.org You can use verinice for: - establishing, maintaining and improving an ISMS based on ISO 27001 - assuring the compliance with standards such as ISO 27002, BSI IT-Baseline Security, VDA IS-Assessments and many more - performing risk analysis based on ISO 27005 - auditing, document management, report generation and much more verinice runs on Windows, Linux and Mac OS. Annuaire - Outils SMSI Mars 2015 Page 63
Annuaire - Outils SMSI Mars 2015 Page 64
III. Conclusion De nouveaux produits, de nouvelles fonctionnalités, quelques départs : De nouveaux acteurs font leur apparition sur le marché français ou le testent. La majorité des produits propose de nouvelles fonctionnalités. Au moins 2 acteurs (Callio Secura et ISOSystemPlus) ne sont plus présents sur le marché. L édition 2015 du Livre Blanc Benchmark des Outils SMSI : Permettra de comparer ces solutions et notamment leurs apports vis-à-vis des nouvelles versions des normes. Devra identifier les réelles avancées fonctionnelles améliorant l aide à la conception et au maintien d un SMSI. Un enquete en ligne - http://tinyurl.com/mvbmmnn - destinée aux RSSI est disponible, elle couvre : Les usages de la norme ISO27001 dans les entreprises privées et organismes publiques L utilisation d outils logiciels SMSI pour la mise en œuvre et l exploitation des SMSI. Si vous utilisez ou connaissez d autres outils absents de ce catalogue, votre retour d expérience sera utile à la communauté du Club 27001. Si vous souhaitez nous en informer ou souhaitez apporter votre contribution en participant au benchmark : contactez nous! benchmark@club-27001.fr Annuaire - Outils SMSI Mars 2015 Page 65
Publication des résultats Vous serez prévenus dès parution du Livre blanc 2015. Les documents suivants sont deja disponibles en téléchargement sur le site Internet du Club 27001, rubrique «Benchmark outils SMSI» : L Annuaire 2015 Le modèle de questionnaire administratif 2015 Le modèle de questionnaire technique 2015 Le livre blanc (extraits) 2013 La présentation 2013 du séminaire annuel du Club 27001 (4 avril 2013) http://www.club-27001.fr/ Les documents suivants sont fournis sur demande aux membres du Club 27001 : Le livre blanc (complet) 2013 Les questionnaires préliminaires renseignés par les éditeurs 2013 Les questionnaires techniques complétés par les membres du GT 2013 benchmark@club-27001.fr Annuaire - Outils SMSI Mars 2015 Page 66