Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Club 27001 LIVRE BLANC BENCHMARK DES OUTILS SMSI 1ère édition - Novembre 2013 C

Club 27001 LIVRE BLANC BENCHMARK DES OUTILS SMSI 1ère édition - Novembre 2013 CLUB 27001 Site Internet http://www.club-27001.fr Adresse mail club-27001@club-27001.fr La loi française du 11 mars 1957 n'autorisant, aux termes des alinéas 2 et 3 de l'article 41, d'une part, que les "copies strictement réservées à l'usage privé du copiste et non destinées à une utilisation collective" et, d'autre part, que les analyses et les courtes citations dans un but d'exemple, "toute reproduction intégrale, ou partielle, faite sans le consentement du Club 27001, est illicite" (alinéa 1er de l'article 40). En cas de besoin du texte, à des fins personnelles ou commerciales ainsi que de toute information contenue dans le site web, nous vous invitons à prendre contact avec le Club 27001 au préalable. Livre Blanc - Benchmark des outils SMSI – Version 1 Page 3 Club 27001 2013 Avant propos L'association "Club 27001" rassemble de nombreux professionnels de la Sécurité des Systèmes d’Information impliqués dans les travaux et dans la mise en œuvre des normes de la série ISO 27000. Forte de cette expertise, l'association a entrepris l’analyse d’outils pouvant être utiles dans la conception et le maintien d’un Système de Management de la Sécurité de l'Information (SMSI). Un groupe de travail (GT) Benchmark des outils SMSI a été constitué en avril 2012 pour prendre en charge et piloter ce projet. Ce premier livre blanc, dans son contenu, apporte les éléments d’analyse et le point de vue du Club 27001 sur un panel d’outils étudiés, enrichis des retours d’expérience des membres du GT, des auditions et des échanges avec les éditeurs de solution. Dans ce guide, vous trouverez également des éléments d’aide à la définition de vos besoins. Cela au travers des questionnaires et des outils étudiés dans leurs versions actuelles qui vous permettront de faire votre propre analyse en toute objectivité. Cette première édition ne saurait être considérée comme exhaustive. Elle fera, nous l’espérons, l’objet de nouvelles versions avec l’aide de vous tous, désireux de rejoindre ce projet. C’est avec une grande fierté que nous vous livrons cette édition 2013. Nous espérons qu’elle vous permettra de faire le bon choix, en connaissance de cause et en fonction de vos besoins. Cette initiative vous intéresse ? N’hésitez pas à nous rejoindre pour la version 2014. Livre Blanc - Benchmark des outils SMSI – Version 1 Page 4 Club 27001 2013 Remerciements Le Club 27001 tient à remercier toutes les personnes ayant participé au groupe de travail Benchmark des outils SMSI et permis la rédaction de ce livre blanc. Les animateurs du groupe de travail : Emmanuel JOULAIN Thales Florence LE GOFF Solucom Thomas LEBOUC Thales Les contributeurs : Michel BERTEAU Indépendant Loïc BOBET CGI Business Consulting Romain BOTTAN Cassidian Thierry CHENU Dassault Aviation Marc DEHEINZELIN Altran Cédric DI-CESARE SCASSI Conseil Marc DOVERO CG13 Eric DOYEN Humanis Nicole FORCE Orasys Emmanuel GARNIER Systalians David GUENEZAN Thales Fahim HASNAOUI Webhelp Niki IOANNIDOU – GAMBIER RICOH France Stéphane JOURDAIN Cheops Guillaume LE GALIARD CGI Business Consulting Wiame MEZIANE Elron Stéphane MICHALOWSKI Indépendant Joris PEGLI SRC-Solution Emmanuel PETIT CGI Business Consulting Didier RENAULD MiaXys Martin VERON ESR Consulting Hervé YSNEL CGI Business Consulting L’ensemble des éditeurs ayant contribué à la réalisation de ce livre blanc. Livre Blanc - Benchmark des outils SMSI – Version 1 Page 5 Club 27001 2013 Sommaire I. INTRODUCTION........................................................................................................................................ 6 II. MANAGEMENT DE LA SECURITE DE L’INFORMATION............................................................................... 9 III. LE BENCHMARK ..................................................................................................................................... 11 Principes, travaux et limites de l’étude ......................................................................................................... 11 Organisation ................................................................................................................................................. 12 Méthode d’analyse ....................................................................................................................................... 13 L’analyse préliminaire - Questionnaire adressé aux éditeurs ....................................................................... 13 L’analyse technique - Questionnaire technique ............................................................................................ 13 Fiche synthèse produit .................................................................................................................................. 16 IV. LE PANEL D’OUTILS ............................................................................................................................ 19 Les outils identifiés ....................................................................................................................................... 19 Les outils testés dans cette édition ............................................................................................................... 22 V. RESULTATS D’ANALYSE .......................................................................................................................... 23 Archer eGRC – EMC-RSA ............................................................................................................................... 25 BlueSuite – Oxial ........................................................................................................................................... 29 Front GRC – EFRONT ..................................................................................................................................... 33 OpenPages – IBM ......................................................................................................................................... 37 RVR Systems – Devoteam ............................................................................................................................. 41 Entropy – BSI ................................................................................................................................................ 45 Optimiso – Optimiso Group SA ..................................................................................................................... 49 DPCIA – DPCIA .............................................................................................................................................. 53 VI. CONCLUSION ..................................................................................................................................... 57 Avantages et freins à la mise en place d’un outil pour le SMSI .................................................................... 57 Synthèse des analyses .................................................................................................................................. 58 Les lignes directrices pour 3 profils types ..................................................................................................... 58 A l’heure du choix ......................................................................................................................................... 59 VII. ET DEMAIN, LE GT BENCHMARK DES OUTILS SMSI ? .......................................................................... 60 Livre Blanc - Benchmark des outils SMSI – Version 1 Page 6 Club 27001 2013 I. Introduction Éric Doyen, Président du Club 27001 A l’heure où la Sécurité des Systèmes d’Information devient de plus en plus prégnante et une quasi exigence pour les entreprises et administrations, la mise en place d’un SMSI est un élément déterminant qui permet de cadrer et d’améliorer les activités relatives à la Sécurité des Systèmes d’Information et plus généralement à la Sécurité de l’Information. Depuis quelques années, de nombreuses organisations se lancent dans des démarches SMSI. Un constat : encore à ce jour la mise en œuvre d’un SMSI est souvent bâtie sur des outils bureautiques hétérogènes, difficilement maintenables et à faible interopérabilité. Suffisants ou insuffisants ? C’est le dilemme que le groupe de travail a tenté de lever à travers cette initiative et ces travaux. Ces outils peuvent être limités, voire insuffisants, pour gérer de manière pérenne, des SMSI de plus en plus complexes. Très, trop souvent, les organisations remontent une véritable difficulté pour déterminer quels sont les outils nécessaires (analyse des risques, gestion documentaire, gestion des incidents…) tenant compte des besoins et des contraintes liés à des outils déjà présents (SMQ, GED…). Pour apporter une réponse à ces questions, le Club 27001 représenté par le GT « Benchmark des outils SMSI » est très heureux de partager avec la communauté ce premier livre blanc. Emmanuel Garnier, Vice-Président du Club 27001, se joint à moi pour remercier l’ensemble des contributeurs et auteurs de ce livre blanc, et plus particulièrement les animateurs Florence, Thomas et Emmanuel pour nous avoir convaincu et pour avoir mené à bien cette première édition. Eric Doyen, 22 novembre 2013 Livre Blanc - Benchmark des outils SMSI – Version 1 Page 7 Club 27001 2013 Thomas Lebouc, initiateur et animateur du Groupe de Travail Cette initiative est d’abord le fruit d’un constat partagé avec plusieurs membres du Club 27001 : Comment se fait-il que les entreprises, comme les cabinets de conseil, soient si peu outillés de logiciels pour la mise en place et la maintenance des SMSI ? Depuis plusieurs années, d’autres activités ont bénéficié d’un outillage logiciel professionnel mais pas ou peu utilisé dans nos activités SMSI : • la gestion des risques d’entreprises (cf. cahier technique de l’AMRAE : « panorama SIGR »), le contrôle permanent et autres activités d’audit métier dans les banques par exemple, • les systèmes de management de la qualité notamment dans la modélisation des processus et la gestion du référentiel documentaire, • ou, plus proches de notre cœur d’expertise, la gestion de crise, la continuité d’activité et les audits de vulnérabilités. Au cœur de ces préoccupations - Risques, Qualité, Sécurité – les Systèmes de Management de la Sécurité de l’Information seraient des parents pauvres ou oubliés ? La réponse est clairement « Non », il existe de très nombreux outils couvrant des besoins et spécificités extrêmement étendus. Nous avons donc proposé au Club 27001 de lancer ce chantier d’analyse du marché des outils SMSI avec les objectifs suivants : • Obtenir une vue d’ensemble des solutions du marché permettant aussi bien la mise en œuvre que l’exploitation d’un SMSI. Vous trouverez ici des outils issus du monde de la gestion des risques, de la qualité et de la sécurité des systèmes d’information, • Identifier et organiser les fonctionnalités utiles pour un SMSI, qu’elles soient en conformité avec la normalisation ou qu’elles apportent une aide opérationnelle. Vous trouverez ici les exigences génériques à adapter à vos besoins et contraintes pour construire votre propre cahier des charges, • Partager nos travaux au fur et à mesure et faire appel à la collaboration de tous au travers du Site Internet, de nos réunions de travail et aujourd’hui de ce Livre Blanc. Vous trouverez ici et sur le site http://www.club-27001.fr/benchmark.html les principaux résultats et questionnaires que nous avons construits pour y aboutir. Nous serions ravis de partager vos réactions et suggestions pour l’améliorer. Je tiens à remercier l’ensemble des membres de l’association ayant soutenu cette initiative, particulièrement Hervé Schauer, Emmanuel Garnier et Eric Doyen. Je salue la persévérance de tous ceux qui ont contribué avec bonne humeur à cet effort de recherche et de formalisation. C’est l’ambition du Club 27001 que de partager avec ses membres et la communauté le fruit de ses travaux ; j’invite toutes les bonnes volontés à nous rejoindre pour promouvoir ce premier « Livre Blanc Benchmark Outils SMSI » et travailler dès aujourd’hui à sa prochaine édition. Thomas Lebouc, 22 novembre 2013 Livre Blanc - Benchmark des outils SMSI – Version 1 Page 8 Club 27001 2013 Livre Blanc - Benchmark des outils SMSI – Version 1 Page 9 Club 27001 2013 uploads/Litterature/ club-27001-livre-blanc-benchmark-outils-smsi-20131122-v1-0.pdf