BENCHMARK OUTILS SMSI

Novembre 2012

CLUB 27001
Site internet : http://www.club-27001.fr
Adresse email: [email protected].

La loi française du 11 mars 1957 n'autorisant, aux termes des alinéas 2 et 3 de l'article 41, d'une part, que les "copies strictement réservées à l'usage privé du copiste et non
destinées à une utilisation collective" et, d'autre part, que les analyses et les courtes citations dans un but d'exemple , "toute reproduction intégrale, ou partielle, faite sans le
consentement de l'auteur ou de ses ayants droit ou ayants cause, est illicite" (alinéa 1er de l'article 40).

En cas de besoin du texte, à des fins personnelles ou commerciales ainsi que de toute information contenue dans le site web, nous vous invitons à prendre contact avec
l'auteur au préalable.
30/11/2012 CLUB 27001
" Benchmark d'outils SMSI "

Questionnaire pour l'analyse technique des outils de management de la sécurité de l'information utilisables dans le
cadre des normes ISO 2700X

Introduction

L'objectif de ce questionnaire d'analyse technique est de permettre aux RSSI ou Responsables SMSI de se poser les bonnes questions, afin
de choisir un outil SMSI en fonction de leurs besoins et contraintes internes.

Le questionnaire est construit selon les exigences de la norme ISO 27001:2005, mais également selon des fonctionnalités identifiées comme
nécessaires pour la construction et l'exploitation d'un Système de Management de la Sécurité de l'Information.

Contributeurs

Le Club 27001 remercie les personnes du comité technique du Groupe de Travail "benchmark outils SMSI" qui ont contribué à la
formalisation de ce questionnaire technique :

Contributeur Rôle dans le GT Entité

Thomas Lebouc Animateur du Groupe de Travail THALES
Emmanuel Joulain Animateur du Comité technique THALES
Niki Ioannidou-Gambier Contributeur RICOH France
Guillaume Le Galliard Contributeur Logica Business Consulting
Florence Le Goff Contributeur SOLUCOM
Didier Renauld Contributeur MIAXYS
Martin Veron Contributeur ESR Consulting

Nous remercions également les personnes ayant participé à la relecture de ce questionnaire technique.

Contributeurs Club 27001 - Questionnaire technique outils SMSI -V1.xls 2/ 8

30/11/2012 CLUB 27001
" Benchmark d'outils SMSI "

Questionnaire pour l'analyse technique des outils de management de la sécurité de l'information

utilisables dans le cadre des normes ISO 2700X

Liste des thématiques adressées : Notation utilisée :

Analyse de risques 1 Ne répond pas à l'exigence
Audit & conformité 2 Répond partiellement à l'exigence
Tableau de bord et indicateurs 3 Répond globalement à l'exigence
Couverture de la norme
Processus / Workflow / Organisation 4 Répond parfaitement à l'exigence
Gestion documentaire n/a Non applicable, exigence non testée
Suivi des actions et des événements
Sécurité des SI
Coût / complexité
Ergonomie
Analyse de l'outil Environnement technique & Sécurité
Adaptabilité / Interopérabilité
Intégration autres référentiels
Test / acquisition / exploitation

Thématiques Questions Commentaire / réponse PDCA Point de la norme ISO 27001 Notation

Existe-t-il un module d'analyse des risques et une description associée ?

PLAN 4.2.1.c 4.3.1.d 5.1.f
Sur la base d’EBIOS, 27005, CRAMM etc.…

L’outil contient-il par défaut des bases de connaissances pour l’analyse des risques ? Scénarios
de risques, liste d'actifs, de menaces, de vulnérabilités, de mesures de sécurité…)

Existe-t-il une fonctionnalité permettant de faire l'identification des risques ?

PLAN 4.2.1.d
Saisir ou générer une liste de scénarios de risques

L'outil permet-il d'intégrer une liste d’actifs (primordiaux / supports), de menaces, et/ou de
vulnérabilités ? Saisir ou importer une liste existante
Existe-t-il une fonctionnalité permettant de faire une évaluation des risques identifiés ?
Evaluation de l'i mpact, de la vraisemblance, de la gravité (croisement Impact & Vraisemblance) PLAN 4.2.1.e
Calcul automatique ou manuel
Les critères et échelles de base de l'évaluation des risques sont-ils personnalisables ? Critères
DIC, niveau, Impact, potentialité, gravité ou autres
L'outil permet-il de sélectionner les choix de traitement des risques évalués ?
PLAN 4.2.1.f
Accepter / Partager / Réduire / Refuser
Analyse des risques
L'outil permet-il de définir ou sélectionner les objectifs de sécurité (thèmes ISO 27002) et des
PLAN 4.2.1.g
mesures de sécurité pour les rattacher aux risques ?
L’outil permet-il d'intégrer des référentiels de mesures de sécurité ?
Saisir ou importer ISO 27002, NIST, RGS etc.
L'outil permet-il d'établir le calcul du risque résiduel ?
PLAN 4.2.1.h
Calcul automatique ou manuel
L’outil permet-il de générer un rapport d'analyse / appréciation des risques utilisable pour une
présentation des résultats à la Direction Générale et obtenir son approbation pour mettre en PLAN 4.2.1.i 7.2 4.3.1.e 5.1.b 7.2.e
œuvre et exploiter le SMSI ?

Questionnaire technique Club 27001 - Questionnaire technique outils SMSI -V1.xls 3/ 8

Analyse des risques

30/11/2012 CLUB 27001

" Benchmark d'outils SMSI "

Thématiques Questions Commentaire / réponse PDCA Point de la norme ISO 27001 Notation

L'outil permet-il d'établir / de générer une Déclaration d'Applicabilité (DdA) basée sur l'ISO 27002
PLAN 4.2.1.j 4.3.1.i
? Listes des objectifs, sélection, justification d'exclusion
Est-il possible de générer un plan de traitement des risques ?
DO 4.2.2.a 4.2.2.b 4.2.2.c 4.3.1.f
Plan d’action, planning, budget, priorité, responsable…

Est-il possible d'importer un plan de traitement des risques externe à l'outil ?

L'outil permet-il de garder un historique des précédentes analyses des risques? (réexamen de
CHECK 4.2.3.d
l'AdR)

L'outil permet-il d’identifier les points de contrôles du SMSI ?

Identification de contrôles sur des activités du SMSI, des politiques ou des mesures, procédure de PLAN 4.2.2.d 4.3.1.c 4.3.1.g
réalisation et les objectifs et résultats attendus du contrôle
L'outil permet-il de planifier la réalisation de plan de contrôles ?
PLAN 5.1.e 4.2.3.a 4.2.3.b 4.2.3.c
Fréquence de réalisation, affectation à un porteur, suivi des charges

L'outil permet-il de suivre la réalisation du plan de contrôles et des écarts constatés par rapport
aux objectifs ? Avancement du plan de contrôle, questionnaire des points de contrôles à réaliser, CHECK 4.2.3.a 4.2.3.b 4.2.3.c 7.2 7.2
Analyse des risques Fiche de résultats, valorisation d'un contrôle à l'aide d'indicateurs, définition de seuil...

Suite à la réalisation d'un contrôle, est-il possible de suivre le traitement des écarts constatés?
ACT 4.2.4.b
Liaison entre des non conformités et des plans d'actions ?
L'outil permet-il de définir un programme d'audits internes du SMSI ? Identification et priorisation
de périmètre à auditer : activités du SMSI, des politiques ou des mesures, date de réalisation, PLAN 6 6.a 6.b 4.2.3.e 5.1.e
Audit & conformité affectation à un auditeur, suivi des charges.
L'outil permet-il d'intégrer et de mettre à disposition une procédure d'audit ? Intégration d'une
PLAN 4.3.1.g 6
pièce jointe
L'outil permet-il de suivre la réalisation des audits internes et des résultats associés? Avancement
CHECK 5.1.g 6.c 6.d 7.2.a 7.2.f 7.2.i
d'un audit interne, résultats (recommandations), évaluation de la conformité…

L'outil permet-il d'intégrer / importer des rapports d'audits ?

Est-il possible de définir et personnaliser les niveaux de criticité des écarts (remarque, mineur,
majeur) ?
Suite à un audit, est-il possible de suivre le traitement des écarts constatés?
ACT 6 4.2.4.b
Liaison entre des non conformités et/ou recommandations à des plans d'actions
L'outil permet-il de générer des rapports de conformité / efficacité utilisable pour les comité d'audit
et la Revue de Direction du SMSI ? Synthèse des résultats issus des méthodes d'évaluation CHECK 7.2.a 7.2.f 7.2.i
(contrôles, audits…)

L'outil permet-il la gestion d'indicateurs et de tableaux de bord ? DO 4.2.2.d 4.2.2.h

L’outil contient-il par défaut une liste d’indicateurs et tableaux de bord ?

Les indicateurs et tableaux de bord sont-ils personnalisables? Utilisation de modèle de tableau

de bord existant, échelle et représentation graphique ?
L'outil fournit-il un tableau de bord de suivi des événements de sécurité, de l'efficacité des
CHECK 6.b
processus du SMSI , du plan d’action, et du niveau de risques, etc.?

Tableau de bord et
indicateurs
Questionnaire technique Club 27001 - Questionnaire technique outils SMSI -V1.xls 4/ 8
30/11/2012 CLUB 27001
" Benchmark d'outils SMSI "

Thématiques Questions Commentaire / réponse PDCA Point de la norme ISO 27001 Notation

L'outil fournit-il un tableau de bord de suivi du niveau de conformité par rapport à la norme, aux
CHECK 6.a
objectifs, à l'ISO 27001 et/ou DDA ?
Tableau de bord et
indicateurs Permet-il l'automatisation de la collecte des indicateurs ? En particulier, peut-il être interconnecté
avec d'autres outils externes (outil de gestion des incidents, outils de surveillance de la sécurité...)
?
Intégration avec les outils de gestion d'incidents, possibilité de définition d'un workflow de
remontée d'indicateurs, relance automatique des responsables de la remontée d'indicateurs...
L’outil permet-il de générer un rapport utilisable pour la Revue de Direction du SMSI ? Vision
consolidée de l'évolution des indicateurs (évènements de sécurité, mesures d'efficacité, ACT 7.2.f 7.2.d
conformité etc.)

L'outil permet-il de garder un historique des précédents indicateurs ?

Existe-t-il une fonctionnalité permettant de planifier la collecte d’indicateurs ?

Worflow ou planning de collecte

Est-il possible de définir la politique du SMSI dans l'outil ?

PLAN 4.1 4.2.1.a 4.3.1.a 4.3.1.b 5.1 5.1.a 5.1.b
Cadrage de la politique dans l'outil ou attachement d'un document
Analyse des risques
Est-il possible de modéliser une cartographie des processus du SMSI et procédures associées ? PLAN 4.2.1.b 4.3.1.c

Est-il possible de décrire l'organisation, les rôles et responsabilités autour du SMSI (RACI) ? PLAN 5.2.1 4.2.2.g 5.1.c 5.1.e

Existe-t-il un moteur de workflow permettant de cadrer les échanges / actions / validation…? DO 4.2.2.f

Processus / Workflow / Existe-t-il un centre de notifications / gestion des tâches / opérations du SMSI ?
Organisation / Permet-il de réaliser des rappels automatiques, des alertes

Existe-t-il une fonctionnalité de gestion des formations (planning / compétences) ?

DO 4.2.2.e 5.2.2.a 5.2.2.b 5.2.2.c 5.2.2.d 5.2.2 5.1.d
Rattachement des preuves de formations ou feuille de présence

Existe-t-il une fonctionnalité de gestion de la communication / sensibilisation ?

DO 4.2.2.e 5.2.2
Intranet de communication / module de questionnaire en ligne

L’outil permet-il l’échange d’information avec les parties intéressés du SMSI (clients, partenaires,
CHECK 7.2.b 4.2.4.c
acteurs du SMSI) ? Remontée d’information, questionnaire, intranet / extranet de communication

Existe-t-il une fonctionnalité de gestion de préparation et gestion de la revue de Direction ?

ACT 7.1 7.2 7.3 4.2.3.f 5.1.h
Planning des revues, check-list des données entrantes et données sortantes

Existe-t-il une fonctionnalité de gestion documentaire ?

DO 4.3.1 4.3.2.d 4.3.2.h
Centralisation et mise à disposition de la documentation du SMSI

Existe-t-il un workflow associé à la gestion documentaire (approbation, vérification….) ? DO 4.3.2.a

Est-il possible de gérer le cycle de revue des documents ?

DO 4.3.2.b 4.3.2.i
Gestion documentaire Alerte de mise à jour en cas de fin de vie

Questionnaire technique Club 27001 - Questionnaire technique outils SMSI -V1.xls 5/ 8

30/11/2012 CLUB 27001
" Benchmark d'outils SMSI "

Thématiques Questions Commentaire / réponse PDCA Point de la norme ISO 27001 Notation
Gestion documentaire
Est-il possible de gérer l'identification (nom de code / origine document) et le versionning des
DO 4.3.2.c 4.3.2.e 4.3.2.g 4.3.2.j
documents ?

Existe-t-il une gestion des droits d'accès à la documentation en fonction des habilitations ? DO 4.3.2.f
Est-il possible de lier un enregistrement à un processus ou une action du SMSI ?
CR de revue de Direction, preuve de l'implication de la Direction, preuve d'une formation, rapport DO 4.3.3 4.3.1.h
d'audit etc.

Existe t-il un module permettant de créer et centraliser les événements liés au SMSI ? Problèmes,
demande d'amélioration, audit externe, analyse des risques, résultat d’audit, retour de parties DO 8.1 4.2.3.g 4.2.3.h
intéressées, décision de la Direction

Est-il possible d'identifier / taguer la source de l'événement ? Revue de direction, revue de

DO 8.2.a 8.2.b 8.3.a
processus, audit internet et externe…) dans le module afin de pouvoir les trier par la suite

Est-il possible de lier l'événement à un processus ou une mesure de sécurité du SMSI ? DO 8.2.a 8.2.b 8.3.a

Est-il possible d'instruire le choix de prendre en compte ou non une action pour que l'événement
ne se reproduise ou éviter son apparition (accepté, refusé, ) et identifier la personne responsable DO 8.2.c 8.3.b
Analyse des risques ?
Est-il possible de lier une action (dont préventive ou corrective ou d'amélioration) à un événement
DO 8.2.d 8.3.c 4.2.4.b 7.2.c
validé ?
Suivi des actions / Est-il possible d'inclure l'action identifiée dans le plan d'action en gardant la source (incident,
évènements revue de direction, revue de processus, audit…) et son type (préventive ou corrective ou DO 8.2.d 8.3.c 8.3 g 7.2.d
d'amélioration) ?

Est-il possible de lier une action d'amélioration présente dans le plan d'action à des risques
DO 4.2.4.d 8.3 8.2
identifiés afin de recalculer le risque résiduel ?

Est-il possible de lier à l'action une preuve de la mise en place (PV de recette - validation dans
DO 8.2.e 8.3.d
l'outil…) ? (Pièce jointe…)

Est-il possible d'inclure une étape de vérification des actions terminées ? Description des
contrôles à réaliser, l’évaluation de l’efficacité de l’action, leur fréquence, leur responsable ou lien CHECK 8.2.f 8.3.e
vers la fonctionnalité de gestion des contrôles

Est-il possible de suivre l'avancement des actions d'amélioration dans le plan d'action ? CHECK 4.2.4.a

L’outil permet-il de générer un rapport utilisable pour la Revue de Direction du SMSI ?

ACT 7.2.d
Vision consolidée de la gestion des événements, l'avancement…

Thématiques Questions Réponses PDCA Point de la norme ISO 27001 Notation

Sécurité des SI L’outil propose t-il des fonctionnalités utiles au responsable aux acteurs de la Sécurité (RSSI,
responsable sécurité physique, gestion des déclarations CNIL) ? Reporting opérationnel n/a
(malware, gestion des correctifs, audits des journaux d’évènements etc.)

Coût / complexité

Questionnaire technique Club 27001 - Questionnaire technique outils SMSI -V1.xls 6/ 8

30/11/2012 CLUB 27001
" Benchmark d'outils SMSI "

Thématiques Questions Commentaire / réponse PDCA Point de la norme ISO 27001 Notation

Les éléments de coût d'acquisition et de maintenance (reprendre estimation questionnaire

Coût / complexité préliminaire), de temps d'administration, d'exploitation, la taille minimal du projet, etc. seront
n/a
évaluées par les analystes, mais aucune note ne sera communiquée dans le rapport. Ces
informations permettront de compléter le commentaire.

L'outil est-il globalement attrayant (incitant l'utilisation, etc.) ?

L'utilisateur peut-il accéder au contenu souhaité en un nombre limité de clic ?

Existe-t-il un moteur de recherche efficace ?

L'outil vous parait-il simple d'utilisation sans formation ?

Ergonomie User-friendly, lisible
L'outil permet-il d'une part d'éviter ou de réduire les erreurs de manipulation, d'autre part de les
détecter lorsqu'elles surviennent ? Pop up d’alerte, demande de confirmation
Les utilisateurs ont-il les moyens pour personnaliser leur interface ?
Analyse des risques Personnalisation des menus, des couleurs, logo

L'ensemble des éléments de l'interface de l'outil permet-il la réduction de la charge liée au SMSI ?

L’interface d'administration de cet outil vous semble-t-elle simple ?

User-friendly, lisible

Quelles plateformes sont supportées par l'outil (OS, matériels, serveur d'application)? n/a

Sur quel type d'architecture l'outil est-il basé: Autonome (mono utilisateur) ou Client Serveur (multi
n/a
utilisateurs) ?

En cas d'architecture client/serveur: Est-ce un client "lourd", un client "léger", ou les 2 ? n/a

En quel langage l'outil est-il développé: JAVA/C++/PHP/RUBIS/Autre (préciser)? n/a

L'outil dispose-t-il d'un référentiel dédié, et si oui de quel type ?

n/a
Base SQL, Annuaire LDAP

L'outil supporte-t-il des extensions (plugins) et si oui dans quels langages? n/a
Environnement
technique & Sécurité Quels moyens d’authentification sont proposés ?
Login / mot de passe, politique de mots de passe
Est-il possible de créer sa propre gestion des habilitations et profils associés (utilisateur,
administrateur, auditeur…) ? Accès qu’à certaines fonctionnalités en fonction du profil

Est-il possible de configurer une procédure de sauvegarde des données de l'outil ?

Comment les données (référentiels, rapports, etc.) sont-elles protégées ? Intégrité/confidentialité

des données stockées dans l'outil

Questionnaire technique Club 27001 - Questionnaire technique outils SMSI -V1.xls 7/ 8

Environnement
technique & Sécurité
30/11/2012 CLUB 27001
" Benchmark d'outils SMSI "

Thématiques Questions Commentaire / réponse PDCA Point de la norme ISO 27001 Notation

Les accès et actions sur l'outil sont-ils tracés ?

Quels modes d'hébergement sont proposés?

n/a
Sur site, ASP, les deux

Localisations & langues du support technique ? n/a

Est-il possible de redimensionner à tout moment le périmètre du SMSI ?

Ajout d’un site physique, modification de l’organisation, modification du SI etc.

Quels sont les formats d'import / export de l'outil ?

n/a
XML, CSV, pdf, document de bureautique
Est-il possible d'interfacer l'outil avec une solution de PKI ou annuaire d’authentification ?
Gestion des accès, profils et habilitations
Adaptabilité / Est-il possible d'interfacer l'outil avec un logiciel de gestion de calendrier ?
Interopérabilité Alerte, planification des réunions

Analyse des risques Est-il possible d'interfacer l'outil avec un outil de courrier électronique ?

Est-il possible d'interfacer l'outil avec un outil de gestion de workflow ?

Est-il possible d'interfacer l'outil avec une solution externe de gestion documentaire ?

Est-il possible d’interfacer l’outil avec des outils de système de management en place ?
Système de management de la qualité, sécurité, environnement

Une bibliothèque de référentiels / lois / règlements est-elle disponible pour l'outil ? SOX, Bâle 2,
RGS, Solvency, COBIT
L'outil prend-il en compte automatiquement la publication des nouveaux référentiels et les mises à
jour ?
Intégration autres Est-il possible de créer et personnaliser son propre référentiel ?
référentiels PSSI, Charte, exigences contractuelles
L’outil permet-il de garder un historique des versions des exigences d’un référentiel et les liens
avec les contrôles ou mesures de sécurité associés ?
Est-il possible de mutualiser certaines activités du SMSI avec d’autres systèmes de management
? Revue de Direction, audit, risques, demandes des parties intéressées, fiches d’amélioration,
documentation

Les modalités de tests sont-elles facilités ?

Plateforme de test disponible, limitation en termes de fonctionnalité, données inclues

Test / acquisition / La solution est-elle proposée sous la forme de modules ou de package global ?
exploitation
Est-il possible d’acquérir l’outil de manière progressive ?
Acquisition de modules complémentaires en fonction des besoins

Existe-t-il un programme de formation (utilisateur / administrateur fonctionnel et technique ) à

l’outil ?

Questionnaire technique Club 27001 - Questionnaire technique outils SMSI -V1.xls 8/ 8