Mai 2013

Réunion du 23 mai - Club 27001

Benchmark des outils SMSI

Florence LE GOFF - SolucomEmmanuel JOULAIN - THALES

2 /2 / Agenda

1. Historique et motivation du groupe de travail

2. Apports et freins pour l’outillage d’une démarche 27001

3. Les outils identifiés et testés

4. L’analyse

5. Première synthèse

6. Débat / Questions : échanges

Club 27001 – Mai 2013

3 /3 /

HISTORIQUE ET MOTIVATION DU GROUPE DE TRAVAIL

1

4 /4 / Historique et motivation de la démarche

Club 27001 – Mai 2013

� Problématiques rencontrées

De nombreuses entreprises se lancent dans des démar ches SMSI

� En utilisant des outils bureautiques hétérogènes …

� … étant limités fonctionnellement, difficile à maintenir et à faible interopérabilité

� … et apparaissant insuffisants pour gérer de manière pérenne des SMSI complexes au sein d’autres systèmes de management

Ces entreprises n’ont pas de visibilité sur les outi ls du marché qui leur permettraient de faciliter l’exploitation de leur SMSI

� Difficulté pour déterminer quels sont les modules nécessaires (analyse des risques, gestion documentaire, gestion des incidents…)

� … en tenant compte de leurs besoins, leurs contraintes et les outils existants (SMQ, GED…) au sein de leur organisation

� Finalité du groupe de travail « Benchmark outils SMSI » : Apporter un éclairage sur ces problématiques

� Pas un comparatif… mais une liste des produits du marché et un avis sur chacun

� Un choix restant à faire par l’entreprise

• en fonction de ses besoins et attentes• et à l’aide des résultats apportés par le groupe de travail

5 /5 / Objectifs

Club 27001 – Mai 2013

6 /6 /

40 inscrits

Organisation du Groupe de Travail

Club 27001 – Mai 2013

Comité de Pilotage

Comitétechnique

88 1717

25 personnes actives25 personnes activesCréation de 2 mailing-lists

• E. DOYEN (Humanis)• E. GARNIER (Systalians -

Reunica)• T. LEBOUC (Thales)• D. GUENEZAN (Thales)• T. CHENU (Dassault)• S. MICHALOWSKI (Indépendant)• M. BERTEAU (Indépendant)• H. Ysnel (CGI Business

Consulting)

• E. JOULAIN (Thales)• F. LE GOFF (Solucom)• M. VERON (ESR Consulting)• N. IOANNIDOU – GAMBIER

(RICOH France)• G. LE GALIARD (CGI Business

Consulting)• D. RENAULD (MiaXys)• F. HASNAOUI (Webhelp)• E. PETIT (CGI Business

Consulting)

• M. DEHEINZELIN (Altran)• M. DOVERO (CG13)• S. JOURDAIN (Cheops)• C. DI-CESARE (SCASSI Conseil)• R. BOTTAN (Cassidian)• W. MEZIANE (Elron)• J. PEGLI• L. BOBET (CGI Business

Consulting)• N FORCE (Orasys)

Acteurs

7 /7 / Organisation du Groupe de Travail

• Définition de la note de fonctionnement du groupe

• Identification des grandes thématiques du questionnaire

• Validation du questionnaire d’analyse • Affectation des outils aux analystes• Gestion de la communication • Rédaction du livre blanc

• Définition du questionnaire d’analyse préliminaire

• Définition du questionnaire d’analyse technique

• Echange avec les éditeurs • Test des produits• Rédaction d’une synthèse d’analyse• Présentation des analyses

Club 27001 – Mai 2013

Comité de Pilotage

Comitétechnique

88 1717

25 personnes actives25 personnes actives

Rôle et responsabilités du COPIL Rôle et responsabilités du COTECH

8 /8 /

APPORTS ET FREINS POUR L’OUTILLAGE D ’UNE DÉMARCHE 27001

2

9 /9 / Travaux du GT – 2012/2013

Club 27001 – Mai 2013

Janv.Fév.

Mars

Avr.

Mai

JuinAoût

Sept.

Oct.

Nov.

Déc..

Juil.

GT BENCHMARK

Rapport paroutil analysé

Rec

herc

he

outi l

s

Synthèse et support

de présentation

Support séminaire

Questionnaire technique

Questionnaire préliminaire

Liste des outils à analyser

Analyse & sélection

Test d

es o

utils

Test des outils

Définition questionnaire

préliminaire Liste des outils

et éditeurs

Livre Blanc

Définition questionnaire

technique

Réd

actio

n Li

vre

Bla

nc

Comité de Pilotage (6)

Comité technique (6)

Lancement du GT

Séminaire annuel Club 27001

2013

2012

10 /10 / Apports vs. freins

Club 27001 – Mai 2013

Conformité� Facilité le respect des normes et

réglementation� Mapping entre référentiel

Partage � Publication de la politique de sécuritédes SI et autres règlements internes

Exploitation � Diminution du temps de gestion et des budgets de fonctionnement

Organisation� Gestion décentralisée des plans

d’actions� Workflow et gestion des tâches

Délégation � Collecte et consolidation des résultats d’audit et des indicateurs

� Outils peu connus des RSSI� Peu de références établies en France

� Coût de mise en œuvre important et ROI difficile à calculer

� Assistance pouvant doubler le budget

� Outil « usine à gaz » si projet trop ambitieux ne répondant pas à des besoins opérationnels pratiques

� Pas d’exigence ou de recommandation dans les référentiels sur l’outillage

� Peur d’une perte d’autonomie et de souplesse liée au format de l’outil

Marché

Complexité

Budget

Exigences

Flexibilité

APPORTS FREINS

« Penser large, implémenter petit » pour des résultats rapides [RSA]

« Il n’y a pas d’outil miracle ’’ Wizzard SMSI’’» [Club 27001]

� Quelques verbatim issus de nos échanges avec les éd iteurs :

11 /11 /

LES OUTILS IDENTIFIÉS ET TESTÉS

3

12 /12 / Listes de outils

� Les membres du groupe de travail ont identifié un pa nel de 33 outils, àpriori capable d’offrir des fonctionnalités permett ant la mise en œuvre ou l’exploitation d’un SMSI :

Club 27001 – Mai 2013

33 outils 33 outils Liste

disponible sur l

e site

Intern

et du C

lub 27

001

11 nationalités

11 nationalités

13 /13 / Les outils (1/4)

Solution Entreprise NationalitéRéponse

questionnaire préliminaire

Origine du produit

BlueSuite Oxial Suisse Oui GRC

Brainwave Identity GRC France Oui GRC

Bwise GRC Bwise Pays-Bas Oui GRC

Callio-Secura Callio technologie Canada Non SSI

DPCIA DPCIA France Oui SSI

Easy2comply DynaSec ltd. Israël Oui SSI

EBIOS 2010 ANSSI France Non SSI

EnablonRM Enablon Etats-Unis Non GRC

Club 27001 – Mai 2013

14 /14 / Les outils (2/4)

Solution Entreprise NationalitéRéponse

questionnaire préliminaire

Origine du produit

Entropy BSI Grande

BretagneOui SM

FIDENS EGERIE

Risk ManagerFidens France Oui SSI

Front GRC efront France Oui GRC

Gesttic Or Gesttic Espagne Non SSI

In4Risk Sagenti Canada Non SSI

ISMart Biznet Turquies Oui SSI

ISOSystemPlus Netcomm Etats-Unis Oui SSI

IsoVision IsoVision Canada Non SM

Club 27001 – Mai 2013

15 /15 / Les outils (3/4)

Solution Entreprise NationalitéRéponse

questionnaire préliminaire

Origine du produit

JKT9000 Noweco Allemagne Non SM

Kleverware IAG Kleverware France Oui SSI

ManageISMS Paladion Inde Oui SSI

MEGA MEGA suite France Non SM

MetricStream GRC MetricStream Etats-Unis Non GRC

OpenPages IBM Etats-Unis Oui GRC

Optimiso Optimiso Group SA Suisse Oui SM

Profisse PROFIS S.A.S France Oui SSI

Club 27001 – Mai 2013

16 /16 / Les outils (4/4)

Solution Entreprise NationalitéRéponse

questionnaire préliminaire

Origine du produit

RealISMS Realiso Corp Etats-Unis Non SSI

RSA Archer eGRC EMC-RSA Etats-Unis Oui GRC

RSSI-Pilote Siva France Non SSI

RVR DEVOTEAM France Oui GRC

Score PDCA ISM Ageris France Oui SSI

Self-Expert SE-Conseil France Oui SSI

SGSI ECIJA Espagne Non SSI

STREAM AcuityrmGrande

BretagneOui GRC

Verinice Sernet Allemagne Non SSI

Club 27001 – Mai 2013

17 /17 / Les outils

Club 27001 – Mai 2013

� Dans un premier temps, 10 outils ont été testés :

� BlueSuite

� EFRONT

� RSA ARCHER

� OpenPages

� RVR Systems

� Stream

� Entropy

� Optimiso

� Self Expert

� DPCIA

GRC

SM

SSI

18 /18 /

L’ANALYSE4

19 /19 / Démarche

ANALYSE PRÉLIMINAIRE

Questionnaire àcompléter

Questionnaire complété

Éditeur X

Synthèse de l’analyse

Éditeur X

ANALYSE TECHNIQUE

Membre GT A

Membre GT B

Outil X

Questionnaire BX complété

Questionnaire AX complété

Questionnaire X consolidé

Membre GT

Membre GT

Diffusion du questionnaire

Analyse de la réponseComplétion du questionnaire

Analyse et rapport unitaire Consolidation du rapport

Formalisation de la synthèse

Club 27001 – Mai 2013

Questionnaire préliminaire

Questionnaire technique

Fiche de synthèse

20 /20 / Étape 1 - Questionnaire d’analyse préliminaire

Club 27001 – Mai 2013

21 /21 / Étape 2 - Questionnaire d’analyse technique

� Couverture de la norme

� Analyse des risques

� Audit

� Tableau de bord et indicateurs

� Processus / workflow / organisation

� Gestion documentaire

� Suivi des actions / événements � Analyse de l’outil

� Ergonomie

� Environnement technique & sécurité

� Test, acquisition et exploitation

� Adaptabilité / interopérabilité

� Intégration autres référentiels

Club 27001 – Mai 2013

101 questions

Couvre 100% des points de la norme ISO 27001:2005

Répartition PDCA :PLAN 15 - DO 19 - CHECK 9 - ACT 5

Echelle d’analyse de 1 à 4

Disponible sur le site

Internet du Club 27001

22 /22 / Étape 3 - Analyse des outils

Club 27001 – Mai 2013

� Les outils ont été testés par les membres bénévoles du groupe de travail, selon les conditions et les limites suiv antes :

23 /23 / Étape 4 - Synthèse par outil

Club 27001 – Mai 2013

� Pour chaque outil analysé, une fiche de synthèse con tenant les éléments suivants sera publiée :

� Carte d’identité de l’outil (l’éditeur, la nationalité, la langue, le site internet, la personne à contacter et son adresse email)

� Une fourchette budgétaire (si communiquée par l’éditeur)

� Les radars issus du questionnaire technique :

� Radar de la couverture de la norme

� Radar d’analyse de l’outil

� Des remarques générales sur l’outil :

� Points forts et points faibles

� L’avis du club 27001

� Contexte idéal d’utilisation

� Maturité nécessaire - Prérequis

� Les points forts et points faibles des différentes thématiques abordées

24 /24 / Exemple de fiche de synthèse

Club 27001 – Mai 2013

25 /25 /

PREMIÈRE SYNTHÈSE5

26 /26 / Synthèse – Constats (1/2)

� Le marché actuel des outils couvre un large panel > de besoins

� Périmètre de SMSI varié : petit ou grand périmètre, mono ou multi-sites…

� Installation sur site ou hébergé

� Outil complet (toutes les fonctionnalités) ou outil avec fonctionnalités limitées àvos besoins facile à mettre œuvre

> et de coûts� Acquisition des licences unitaires ou modulaires

� Accompagnement à la mise en œuvre et au paramétrage

� Maintenance de l’application

� Certains outils initialement prévus pour d’autres p érimètres (SM ou GRC) peuvent répondre à de nombreuses attentes liées au SMSI

� Renseignez vous si votre entreprise dispose déjà d’un de ses outils ou envisage d’en acquérir un :

���� Mutualisez pour diminuer les coûts !

Club 27001 – Mai 2013

27 /27 / Synthèse – Constats (2/2)

� Les outils ne font pas tout…� Aucun produit ne permet de garantir la certification ISO 27001:2005

� Les outils ne permettent pas de faire le SMSI à votre place

Club 27001 – Mai 2013

� … mais peuvent apporter beaucoup…� Il n’y a pas d’outil parfait, mais des outils qui peuvent

� vous aider à déployer ou exploiter votre SMSI

� et compléter un existant

� … selon votre maturité dans le domaine !� Les objectifs et enjeux doivent être définis

� Les moyens et les méthodologies permettant de les atteindre aussi

28 /28 / Le bilan à aujourd’hui

� Un travail important qui a permis d’établir :

� Une démarche de test au sein du Club avec un premier retour d’expérience

� Une liste d’outils offrant un panel large de recherche

� Un questionnaire d’analyse préliminaire

� Objectif : présentation de la société et des grandes fonctionnalités de chaque outil

� Élaboré et partagé par les membres du COTECH et du COPIL

� Validé et éprouvé auprès des éditeurs

� Un questionnaire d’analyse technique

� Objectif : étude précise des fonctionnalités de l’outil suivant des points d’exigences des l’ISO 27001

� Questionnaire pouvant servir de base pour un appel d’offres

� Élaboré et partagé par les membres du COTECH et du COPIL

� Ces livrables sont publiés sur le site du Club 2700 1 !

Club 27001 – Mai 2013

http://www.club-27001.fr/benchmark.html

29 /29 / Et maintenant ?

� Les résultats seront publiés sous forme d’un livre blanc

� Après dernière relecture et validation de la part des éditeurs

� Objectif Eté 2013

� Le GT s’est inscrit dans une démarche d’amélioratio n continue

� Un premier retour d’expérience concluant ayant permis de lancer la démarche au sein du Club et fournir de premiers résultats

� Des questionnaires et livrables élaborés et publiés sur le site du Club 27001 pourront être améliorés lors du prochain cycle

� Un nouveau cycle est en marche

� Un nouveau cycle d’analyse sera lancé suite à la publication du Livre Blanc 2013

� Les questionnaires seront mis à jour en fonction des retours d’expérience et des éventuelles mises à jour des référentiels ISO 2700x

� De nouveaux outils seront ajoutés et testés

Club 27001 – Mai 2013

Rejoignez-nous !Benchmark@club-27001.fr