Livre Blanc - Benchmark outils SMSI

Livre Blanc - Benchmark outils SMSI

-

Documents
28 pages
Lire
Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

Description

Ce premier livre blanc, dans son contenu, apporte les éléments d'analyse et le point de ... Benchmark des outils SMSI et permis la rédaction de ce livre blanc. 2013

Sujets

Informations

Publié par
Nombre de visites sur la page 143
Langue Français
Signaler un problème
 
 b 27001
Livre BLANC BENCHMARK DES OUTILS SMSI  1èreédition - Novembre 2013      CLUB 27001 Site Internethttp://www.club-27001.fr Adresse mailclub-27001@club-27001.fr  
                       La loi française du 11 mars 1957 n'autorisant, aux termes des alinéas 2 et 3 de l'article 41, d'une part, que les "copies strictement réservées à l'usage privé du copiste et non destinées à une utilisation collective" et, d'autre part, que les analyses et les courtes citations dans un but d'exemple, "toute reproduction intégrale, ou partielle, faite sans le consentement du Club 27001, est illicite" (alinéa 1er de l'article 40). En cas de besoin du texte, à des fins personnelles ou commerciales ainsi que de toute information contenue dans le site web, nous vous invitons à prendre contact avec le Club 27001 au préalable.  
 
 
Avant propos
 L'association "Club 27001" rassemble de nombreux professionnels de la Sécurité des Systèmes d’Information impliqués dans les travaux et dans la mise en œuvre des normes de la série ISO 27000.
Forte de cette expertise, l'association a entrepris l’analyse d’outils pouvant être utiles dans la conception et le maintien d’un Système de Management de la Sécurité de l'Information (SMSI). Un groupe de travail (GT)Benchmark des outils SMSIa été constitué en avril 2012 pour prendre en charge et piloter ce projet.
Ce premier livre blanc, dans son contenu, apporte les éléments d’analyse et le point de vue du Club 27001 sur un panel d’outils étudiés, enrichis des retours d’expérience des membres du GT, des auditions et des échanges avec les éditeurs de solution.
Dans ce guide, vous trouverez également des éléments d’aide à la définition de vos besoins. Cela au travers des questionnaires et des outils étudiés dans leurs versions actuelles qui vous permettront de faire votre propre analyse en toute objectivité.
Cette première édition ne saurait être considérée comme exhaustive. Elle fera, nous l’espérons, l’objet de nouvelles versions avec l’aide de vous tous, désireux de rejoindre ce projet.
C’est avec une grande fierté que nous vous livrons cette édition 2013. Nous espérons qu’elle vous permettra de faire le bon choix, en connaissance de cause et en fonction de vos besoins.
Cette initiative vous intéresse ? N’hésitez pas à nous rejoindre pour la version 2014.
 
 
Indépendant CGI Business Consulting Cassidian Dassault Aviation Altran SCASSI Conseil CG13 Humanis Orasys Systalians Thales
Remerciements Le Club 27001 tient à remercier toutes les personnes ayant participé au groupe de travail Benchmark des outils SMSIet permis la rédaction de ce livre blanc.  Les animateurs du groupe de travail : EmmanuelJOULAIN Thales FlorenceLE GOFFSolucom ThomasLEBOUCThales   Les contributeurs : MichelBERTEAU LoïcBOBET RomainBOTTAN ThierryCHENU MarcDEHEINZELIN CédricDI-CESARE MarcDOVERO EricDOYEN NicoleFORCE EmmanuelGARNIER DavidGUENEZAN FahimHASNAOUI NikiIOANNIDOU – GAMBIER  StéphaneJOURDAIN GuillaumeLE GALIARD WiameMEZIANE StéphaneMICHALOWSKI JorisPEGLI EmmanuelPETIT DidierRENAULD MartinVERON HervéYSNEL   L’ensemble des éditeurs ayant contribué à la réalisation de ce livre blanc.   
Webhelp RICOH France Cheops CGI Business Consulting Elron Indépendant SRC-Solution CGI Business Consulting MiaXys ESR Consulting CGI Business Consulting
 
 
I. 
II. III. 
 Sommaire
INTRODUCTION........................................................................................................................................ 6 
MANAGEMENT DE LA SECURITE DE L’INFORMATION............................................................................... 9 LE BENCHMARK ..................................................................................................................................... 11 
Principes, travaux et limites de l’étude......................................................................................................... 11 Organisation ................................................................................................................................................. 12 Méthode d’analyse ....................................................................................................................................... 13 L’analyse préliminaire - Questionnaire adressé aux éditeurs ....................................................................... 13 L’analyse technique - Questionnaire technique............................................................................................ 13 Fiche synthèse produit.................................................................................................................................. 16 IV. LE PANEL D’OUTILS ............................................................................................................................ 19 Les outils identifiés ....................................................................................................................................... 19 Les outils testés dans cette édition ............................................................................................................... 22 V. RESULTATS D’ANALYSE .......................................................................................................................... 23 Archer eGRC – EMC-RSA ............................................................................................................................... 25 BlueSuite – Oxial........................................................................................................................................... 29 Front GRC – EFRONT..................................................................................................................................... 33 OpenPages – IBM ......................................................................................................................................... 37 RVR Systems – Devoteam ............................................................................................................................. 41 Entropy – BSI ................................................................................................................................................ 45 Optimiso – Optimiso Group SA ..................................................................................................................... 49 DPCIA – DPCIA .............................................................................................................................................. 53 VI. CONCLUSION ..................................................................................................................................... 57 Avantages et freins à la mise en place d’un outil pour le SMSI .................................................................... 57 Synthèse des analyses .................................................................................................................................. 58 Les lignes directrices pour 3 profils types ..................................................................................................... 58 A l’heure du choix ......................................................................................................................................... 59 VII. ET DEMAIN, LE GT BENCHMARK DES OUTILS SMSI ? .......................................................................... 60   
 
I. 
Introduction 
 Éric Doyen, Président du Club 27001  A l’heure où la Sécurité des Systèmes d’Information devient de plus en plus prégnante et une quasi exigence pour les entreprises et administrations, la mise en place d’un SMSI est un élément déterminant qui permet de cadrer et d’améliorer les activités relatives à la Sécurité des Systèmes d’Information et plus généralement à la Sécurité de l’Information.
Depuis quelques années, de nombreuses organisations se lancent dans des démarches SMSI. Un constat : encore à ce jour la mise en œuvre d’un SMSI est souvent bâtie sur des outils bureautiques hétérogènes, difficilement maintenables et à faible interopérabilité.
Suffisants ou insuffisants ? C’est le dilemme que le groupe de travail a tenté de lever à travers cette initiative et ces travaux.
Ces outils peuvent être limités, voire insuffisants, pour gérer de manière pérenne, des SMSI de plus en plus complexes. Très, trop souvent, les organisations remontent une véritable difficulté pour déterminer quels sont les outils nécessaires (analyse des risques, gestion documentaire, gestion des incidents…) tenant compte des besoins et des contraintes liés à des outils déjà présents (SMQ, GED…).
Pour apporter une réponse à ces questions, le Club 27001 représenté par le GT «Benchmark des outils SMSI »est très heureux de partager avec la communauté ce premier livre blanc.
Emmanuel Garnier, Vice-Président du Club 27001, se joint à moi pour remercier l’ensemble des contributeurs et auteurs de ce livre blanc, et plus particulièrement les animateurs Florence, Thomas et Emmanuel pour nous avoir convaincu et pour avoir mené à bien cette première édition.
Eric Doyen, 22 novembre 2013
 
Thomas Lebouc, initiateur et animateur du Groupe de Travail 
Cette initiative est d’abord le fruit d’un constat partagé avec plusieurs membres du Club 27001 : Comment se fait-il que les entreprises, comme les cabinets de conseil, soient si peu outillés de logiciels pour la mise en place et la maintenance des SMSI ? 
Depuis plusieurs années, d’autres activités ont bénéficié d’un outillage logiciel professionnel mais pas ou peu utilisé dans nos activités SMSI :
· la gestion des risques d’entreprises (cf. cahier technique de l’AMRAE : « panorama SIGR »), le contrôle permanent et autres activités d’audit métier dans les banques par exemple,
· les systèmes de management de la qualité notamment dans la modélisation des processus et la gestion du référentiel documentaire,
· la gestion de crise, la continuité d’activité et lesou, plus proches de notre cœur d’expertise, audits de vulnérabilités.
Au cœur de ces préoccupations - Risques, Qualité, Sécurité – les Systèmes de Management de la Sécurité de l’Information seraient des parents pauvres ou oubliés ? La réponse est clairement « Non », il existe de très nombreux outils couvrant des besoins et spécificités extrêmement étendus.
Nous avons donc proposé au Club 27001 de lancer ce chantier d’analyse du marché des outils SMSI avec les objectifs suivants :
· Obtenir une vue d’ensembledes solutions du marché permettant aussi bien la mise en œuvre que l’exploitation d’un SMSI. Vous trouverez ici des outils issus du monde de la gestion des risques, de la qualité et de la sécurité des systèmes d’information,
· Identifier et organiser les fonctionnalités utilespour un SMSI, qu’elles soient en conformité avec la normalisation ou qu’elles apportent une aide opérationnelle. Vous trouverez ici les exigences génériques à adapter à vos besoins et contraintes pour construire votre propre cahier des charges, 
· Partager nos travauxau fur et à mesure et faire appel à la collaboration de tous au travers du Site Internet, de nos réunions de travail et aujourd’hui de ce Livre Blanc.  Vous trouverez ici et sur le site http://www.club-27001.fr/benchmark.html les principaux résultats et questionnaires que nous avons construits pour y aboutir. 
Nous serions ravis de partager vos réactions et suggestions pour l’améliorer.
Je tiens à remercier l’ensemble des membres de l’association ayant soutenu cette initiative, particulièrement Hervé Schauer, Emmanuel Garnier et Eric Doyen. Je salue la persévérance de tous ceux qui ont contribué avec bonne humeur à cet effort de recherche et de formalisation.
C’est l’ambition du Club 27001 que de partager avec ses membres et la communauté le fruit de ses travaux ; j’invite toutes les bonnes volontés à nous rejoindre pour promouvoir ce premier « Livre Blanc Benchmark Outils SMSI » et travailler dès aujourd’hui à sa prochaine édition.  Thomas Lebouc, 22 novembre 2013
 
 
 
II. 
Management de la sécurité de l’information
La gestion de la sécurité de l’information est undomaine centralpour l'entreprise.
Il est donc utile de structurer cette activité qui concerne l'ensemble des services (logistique, production, prospective et bureaux d’études, informatique décisionnelle, finance, marketing/vente…) de l’organisation. Il reste néanmoins que chaque service a, et doit conserver, la responsabilité de la sécurité de l’information dont elle est propriétaire.
Lemanagement de la sécurité est donc une activité support cherchant à apporter aux services la capacité de standardisation, de mutualisation, et de ré-utilisation des ressources nécessaires pour pour atteindre les objectifs de sécurité décrits au niveau de la stratégie d'entreprise.
La mise en œuvre du Système de Management de la Sécurité de l’Information (assurée par la mise en œuvre de mesures adaptées, regroupant les règles, les processus, les procédures, les structures organisationnelles, les fonctions matérielles et logicielles) est dans ce cadre, assimilable auprocessus support de la sécurité de l’informationde l'entreprise.
En synthèse, un SMSI est un ensemble organisé de composants qui permettent à une organisation :
· et des objectifs en matière de sécurité de l'information,d'établir une politique · de définir le processus de mise en œuvre de la politique, · les objectifs à atteindre et les contrôler.de déterminer
Le SMSI est établi, documenté, mis en œuvre et entretenu. Son efficacité est mesurée par rapport aux objectifs de sécurité de l'organisation, c’est au travers de ce mesurage qu’il est permis d'améliorer le SMSI en permanence.
L’encadrement normatif ce système de gestion repose sur la norme deISO/IEC 27001 dont la première version est parue en 2005 vient d’etre mise à jour et publiée en cette fin d’année 2013.
Le SMSI reprend les concepts classiques aux systèmes de gestion : approche par processus, gestion des risques, amélioration continue (méthode ditePDCA (Plan Do Check Act)), points de contrôle.  
Pl
Ac
Sécurité de lInformation
o
eck
 
 
 La norme ISO 27001, s’appuie sur un système de certification organisé au niveau international ; avec comme avantages:
·  Pour les entreprises, o Possibilité de concourir sur des marchés où elle est positionnée comme une exigence o Avantage concurrentiel lié au certificat de conformité o Limitation de la responsabilité du dirigeant, notamment dans certaines affaires, renversement de la charge de la preuve ·  Pour les clients, o Garantie par un tiers o Simplification des appels d’offres
En complément de l’ISO 27001, d’autres normes de la famille 2700x sont utiles dans le cadre de la mise en place et la gestion d’un SMSI :
ISO 27000:2012
ISO 27002:2005
ISO 27003:2010
ISO 27004:2009 ISO 27005:2011
ISO 27007:2011
 
 
 
 
 
 
 
 
 
 
Définitions et vocabulaire liés aux normes de la famille ISO 2700x
Code de bonne pratique pour le management de la sécurité de l'information. Elle propose 133 mesures de sécurité permettant de traiter les risques Description des différentes phases permettant le déploiement d’un système de Management tel que décrit dans la norme ISO 27001
Description des mécanismes de conception et de mesure des indicateurs de suivi du SMSI Processus de gestion des risques liés à la sécurité de l’information. Elle propose une méthodologie d’appréciation et de traitement des risques Guide pour l'audit de Systèmes de Management de la Sécurité de l'Information 
 
 
III. 
Le benchmark
Principes, travaux et limites de l’étude Les membres du benchmark ont réalisé les différentes analyses des outils en respectant les principes suivants : · La vision utilisateur: Avoir un point de vue de client final et non pas d’expert dans le domaine de la SSI et du SMSI ou d’éditeur de solutions. · epdnnaec'Lniéd :neutre dans l’établissement des critères de comparaison. Indiquer Être clairement les avis des testeurs. Réaliser les tests et l’analyse sans intervention des éditeurs. S’assurer que les membres du GT sont bénévoles auprès du Club 27001 et ne sont pas liés aux éditeurs testés. · La collégialité: Tester chaque produit parallèlement par plusieurs testeurs. Valider les fiches en comité technique avec des critères partagés.  Les travaux se sont répartis, comme suit sur près de 18 mois, afin de constituer les questionnaires d’analyse puis les analyses et enfin la rédaction de ce livre blanc.  
 
 
Figure 1 - Synoptique des travaux réalisés