Livre Blanc - Annuaire 2015 Outils SMSI
Transcription
Livre Blanc - Annuaire 2015 Outils SMSI
Club 27001 ANNUAIRE 2015 OUTILS SMSI Mars 2015 CLUB 27001 Site Internet : http://www.club-27001.fr Adresse email: [email protected] Club 27001 2015 Avant propos L'association "Club 27001" rassemble des professionnels de la sécurité des systèmes d'information, et s'intéresse plus particulièrement aux normes de la série ISO 27000. A la demande de ses membres, l'association a entrepris dès 2012 d'identifier et d’analyser des outils qui peuvent leur être utiles dans la conception et le maintien de leurs Systèmes de Management de la Sécurité de l'Information (SMSI). Un groupe de travail Benchmark des outils SMSI a donc été formé pour piloter ce projet. En 2013, une première édition du Livre Blanc « Benchmark Outils SMSI » a été publiée et est disponible à l’adresse : http://www.club-27001.fr/benchmark.html. Une édition 2015 est en cours d’élaboration. A cette occasion, le groupe de travail a constitué et contacté une liste d’éditeurs d’outils logiciels permettant de contribuer en tout ou partie à la mise en œuvre et à l’exploitation d’un SMSI. Cet annuaire regroupe l’ensemble des informations administratives fournies par les éditeurs sous leur seule responsabilité. Il s’agit bien entendu d’une aide à l’identification d’une solution logicielle et en aucun cas de l’engagement du Club 27001 vis-à-vis de l’un ou l’autre des éditeurs mentionnés. Cet annuaire ne saurait être considéré comme exhaustif et pourra faire l’objet de compléments, notamment de nouveaux éditeurs souhaitant répondre à notre questionnaire et communiquer auprès de la communauté du Club 27001. N’hésitez pas à nous contacter ([email protected]) pour nous soumettre vos suggestions et remarques. Enfin, je tiens à remercier l’ensemble des éditeurs ayant répondu favorablement à nos questions ainsi que les membres de l’association soutenant cette initiative. Florence Le Goff, animatrice du Groupe de Travail Thomas Lebouc, initiateur et animateur du Groupe de Travail La loi française du 11 mars 1957 n'autorisant, aux termes des alinéas 2 et 3 de l'article 41, d'une part, que les "copies strictement réservées à l'usage privé du copiste et non destinées à une utilisation collective" et, d'autre part, que les analyses et les courtes citations dans un but d'exemple , "toute reproduction intégrale, ou partielle, faite sans le consentement du club 27001, est illicite" (alinéa 1er de l'article 40).En cas de besoin du texte, à des fins personnelles ou commerciales ainsi que de toute information contenue dans le site web, nous vous invitons à prendre contact avec le club 27001 au préalable. Annuaire - Outils SMSI – Mars 2015 Page 3 2015 Club 27001 I. Editeurs Identifiés Solution STREAM Score PDCA ISM EBIOS 2010 ISMart Entropy Bwise GRC Callio-Secura Mehari RVR DPCIA Easy2comply SGSI Front GRC RSA Archer eGRC Enablon RM EGERIE Risk Manager Gesttic Or OpenPages DCM Manager Brainwave IsoVision Kleverware IAG FENCE MEGA MetricStream GRC Modulo ISOSystemPlus JKT9000 Optimiso Blue Suite ManageISMS Profisse RealISMS In4Risk Self-Expert Verinice RSSI-Pilote Editeur Nationalité Acuityrm Ageris ANSSI Biznet BSI Bwise Callio technologie Clusif DEVOTEAM DPCIA DynaSec Itd ECIJA eFront EMC-RSA Enablon Fidens Gesttic IBM ID Nouvelles Identity GRC IsoVision Kleverware MDAL MEGA suite MetricStream Modulo Netcomm Noweco Optimiso Group Oxial Paladion PROFIS S.A.S Realiso Corp Sagenti SE-Conseil Sernet Siva Grande Bretagne France France Turquie Grande Bretagne Pays-Bas Canada France France France Israel Espagne France Etats-Unis France France Espagne Etats-Unis France France Canada France France France Etats-Unis Etats-Unis Etats-Unis Allemagne Suisse Suisse Inde France Etats-Unis Canada France Allemagne France Participation à cet Annuaire Page 5 Page 9 Page 13 Page 17 N’a pas répondu à ce jour N’a pas répondu à ce jour N’a pas répondu à ce jour Page 21 Page 25 N’a pas répondu à ce jour N’a pas souhaité participer Page 29 Page 33 N’a pas répondu à ce jour N’a pas souhaité participer Page 37 N’a pas répondu à ce jour Page 41 Page 45 N’a pas répondu à ce jour N’a pas souhaité participer Page 49 Page 53 N’a pas répondu à ce jour N’a pas souhaité participer N’a pas répondu à ce jour N’a pas répondu à ce jour N’a pas répondu à ce jour Page 57 N’a pas répondu à ce jour N’a pas répondu à ce jour N’a pas répondu à ce jour N’a pas répondu à ce jour N’a pas répondu à ce jour N’a pas répondu à ce jour Page 61 N’a pas répondu à ce jour II. Questionnaires administratifs Les informations publiées ici ont été fournies par les éditeurs. Annuaire - Outils SMSI – Mars 2015 Page 4 Club 27001 2015 STREAM Acuityrm Annuaire - Outils SMSI – Mars 2015 Page 5 Club 27001 2015 Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o o o o Nom et fonction du répondant Adresse de contact Mail Adresse postale de contact Date de la réponse Simon Marvell, Partenaire [email protected] Liberty House, 222 Regent Street, London, W1B 5TR 17 Octobre 2014 J'autorise la publication de ces informations sur le site internet "oui" du club 27001 (www.club-27001.fr) (oui/non) 1. o o o o o Administratif Nom de l’éditeur Si rattachement à un groupe, préciser Nom et version de l'outil Date de la première version de l’outil (nombre de versions) Langue(s) outil Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d’affaire annuel (€) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support Acuity RM STREAM Integrated Risk Manager, V3 + ISO 27001 Application 2013 (9 parutions) Anglais Francais, Allemand, Russe, Espagnol 6 1.000.000 2005 Angleterre et Inde Anglais Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... Deux équipes ou partenaires fournisseur dédié. La mise en œuvre est simple et rapide et peut être pris en charge à distance via des réunions en ligne. Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) Depuis 2008 / ISO 27001 Compliance Manager, Risk Manager & Events Manager / UK Department for Education large Government Department / UK Depuis 2009 / ISO 27001 Compliance Manager, Risk Manager & Events Manager / Fujitsu Services - large Managed Services provider / UK Depuis 2009 / ISO 27001 Compliance Manager, Risk Manager & Events Manager / NHS in Wales - large Health Services provider / UK o 2. o o o o 3. o o o o o Principales références et présences en France Financier Modalité de définition du coût (forfait, par site, par utilisateur…) Prix public (activation, licence…) Coût récurrent annuel (maintenance, hébergement…) Devis type pour 10 utilisateurs, 3 sites, formation inclue Plateforme technique Pré-requis techniques Mode ASP (oui / non), si oui lieu d'hébergement Langage de développement Client lourd / client léger Outil mono ou multi-utilisateurs 4. Condition de test ou de maquettage o Modalités / coût d’une démonstration o Modalités / coût d’un test chez le client o Données de test incluses dans la démonstration (oui / non) Annuaire - Outils SMSI – Mars 2015 Simple Utilisateur (SU) édition gratuite - ISO 27001 Application 250£ mais cela requiert d'avoir la licence payante de STREAM. Il existe une edition Mutli Utilisateurs et le prix est basé sur le nombre d'utlisateur. SU 295£ - 2.495£ par an. Veuillez nous contacter si vous souhaitez des prix pour la version Mutli Utilisateurs. Le support est en option pour une licence perpetuelle. Pour une licence annuelle le support est inclu. Plusieurs options sont disponibles - Veuillez nous contacter. Windows 98 / 2000 / XP / Vista / 7 /8. MS SQL Server 2005 / 8 / 12 Oui, en Angleterre .NET, C Client léger, navigateur et l'accès mobile (iPad, iPhone, Android) via une solution de virtualisation Les deux. Démonstration en vidéos et téléchargements gratuits sur notre site internet. STREAM simple utilisateur (SU) edition gratuite du logiciel STREAM. ISO 27001 application pour STREAM SU coute Oui Page 6 2015 Club 27001 5. Grandes fonctionnalités et données veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à …? " "votre produit aide-t-il à …?" en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme "non") Oui / Non o Définition et partage de la Politique SMSI o Définition et partage de l'Organisation et des Responsabilités o Gestion de la cartographie des processus o Gestion de la cartographie des actifs (primordiaux et supports) Hyperliens vers des documents de politique Construire une hiérarchie de l'entreprise, en attribuer la propriété à des risques, des contrôles, Définir les processus et lien avec les ressources, la hiérarchie de l'entreprise, attribuer la Classes d'actifs flexibles permetant aux actifs destinés à être définies et cartographiées - "oui" ISO 27005 - identification des risques (par l'utilisateur et / ou pré-rempli sur la base des relations actifs / classes d'actifs / risque). Impact sur les entreprises et l'évaluation de la probabilité contre A, I, C. Contrôles liés par l'utilisateur et / ou pré-remplie basée sur les relations actifs / classes d'actifs / contrôle. Évaluation des risques résiduels sur la base de la LFI, l'évaluation de la probabilité et de l'importance et de la performance des contrôles d'atténuation. SOA disponible sous forme de rapport et aussi une exportation vers MS Excel o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), identification des risques, critères proposés (DICP…), évaluation, risques résiduels) o Création d'une DDA/SOA (liste des mesures de sécurité) "oui" Oui / Non o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) Commentaire / explication "oui" "oui" "oui" "oui" "oui" Oui / Non Commentaire / explication Plan de traitement des risques disponibles en rapport avec une série de rapports à l'appui. Vaste module de gestion des mesures pour élever, suivre et rendre compte des actions. Commentaire / explication Enregistrer, suivre et rapport sur les incidents et les quasi-accidents. Attribuer la propriété des événements et faire des actions. La page d'accueil fournit un tableau de bord personnalisé des informations essentielles sur : l'état de risque, l'état de conformité, l'état des événements, horaires des évaluations, approbations et les actions. Nom et heure enregistrés sur la création / modification des éléments importants de l'utilisateur. Processus d'approbation pris en charge. Flux de travail avec cession de propriété, les dates et les alertes se font par email. o Gestion des Incidents o Génération d'Indicateurs (conformité, efficacité, avancement) o Gestion des audits et contrôles des processus, des normes (conformité) et des mesures de sécurité (efficacité) o Planification d'actions périodiques (réunion, contrôle à réaliser…) Oui / Non · Documentation o Gestion documentaire (création, consultation, mise à jour de la documentation de référence, accessibilité, versionning) o Gestion des enregistrements (suivi, preuves) Oui / Non · Données & base de connaissance : o Modèles types (PSMSI, enregistrements types,...) Oui / Non o Gestion des Workflows Annuaire - Outils SMSI – Mars 2015 Commentaire / explication Extention des rapports de déclaration de l'applicabilité et de traitement des risques. Les rapports standard pour le Top 10 des risques, l'état de contrôle, les incidents et les accidents évités de justesse, les tendances historiques, les approbations et les actions. ISO 27001, ISO 27002 et un large éventail d'autres données de référence y compris les propres normes de contrôle des utilisateurs et des listes de risque. o Référentiels types (ISO 27001, ISO 27002). Workflows Commentaire / explication Hyperliens vers les documents pertinents, tels que les politiques, les procédures, les preuves, les rapports d'audit etc Envoi d'emails afin d'effectuer le suivi des actions relatives aux documents. o Rapports types (rapport d’audit…) · Commentaire / explication Vaste module de gestion des mesures pour élever, suivre et rendre compte des actions posées contre les risques, les contrôles, les incidents et les accidents évités de justesse. o Gestion d'un plan d'amélioration (actions préventives, correctives et d’amélioration) Oui / Non Commentaire / explication Calendrier des actifs et des approbations, e-mail d'alerte sur la répartition des rappels de calendrier régulier pour les évaluations à venir et en retard, les approbations et les actions. Page 7 Club 27001 Annuaire - Outils SMSI – Mars 2015 2015 Page 8 Club 27001 2015 Score PDCA ISM Ageris Annuaire - Outils SMSI – Mars 2015 Page 9 Club 27001 2015 Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o o o o Nom et fonction du répondant Adresse de contact Mail Adresse postale de contact Date de la réponse M. Thierry RAMARD [email protected] 16 rue de Pont-à-Mousson - 57000 METZ 30-juil-14 J'autorise la publication de ces informations sur le site internet du club "oui" 27001 (www.club-27001.fr) (oui/non) 1. o o o o o Administratif Nom de l’éditeur Si rattachement à un groupe, préciser Nom et version de l'outil Date de la première version de l’outil (nombre de versions) Langue(s) outil Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d’affaire annuel (€) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support AGERIS Software AGERIS GROUP Score Compliance 2014 2005 Français 4 150 000 € 2008 2 2 France Français Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) Conseil Général de Seine Maritime / 2008 - à ce jour / Suite logicielle Score / 4500 employés / France o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) Banque PICTET / 2008 - à ce jour / Score Compliance / 300 employés / Suisse o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) Banque Postale / 2011 - à ce jour / Score Compliance / 10 000 employés / Maroc o Principales références et présences en France Communauté Urbaine de Strasbourg, Adisseo, CH Ajaccio, IBO 2. o o o o Financier Modalité de définition du coût (forfait, par site, par utilisateur…) Prix public (activation, licence…) Coût récurrent annuel (maintenance, hébergement…) Devis type pour 10 utilisateurs, 3 sites, formation inclue par utilisateur 3 000 € 600 € 9 000 € HT 3. o o o o o Plateforme technique Pré-requis techniques Mode ASP (oui / non), si oui lieu d'hébergement Langage de développement Client lourd / client léger Outil mono ou multi-utilisateurs Office 2010 minimum Non Solution basé sur Excel client lourd ou léger Outil mono ou multi utilisateur 4. Condition de test ou de maquettage o Modalités / coût d’une démonstration o Modalités / coût d’un test chez le client o Données de test inclues dans la démonstration (oui / non) Annuaire - Outils SMSI – Mars 2015 Démonstrations gratuites A définir avec le client oui Page 10 2015 Club 27001 5. Grandes fonctionnalités et données "votre produit aide-t-il à …?" veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à …? " en l'expliquant brièvement Oui / Non "oui" o Définition et partage de la Politique SMSI "oui" o Définition et partage de l'Organisation et des Responsabilités Score Compliance permet de cartographier les processus au travers d'une FRP (Fiche de Renseignement des Processus). Cette FRP inclut une analyse des risques basée sur la norme ISO 27005 ainsi que la synthèse d'une analyse des besoins de sécurité. "oui" A travers des FRP (cf. ci-dessus), l'utilisateur peut référencer les actifs supports et les classifier selon leur contribution à la réalisation du processus concerné (actif primodial) et les enjeux de sécurité (DICP). "oui" Un module dédié à l'appréciation des risques est proposé. Il est basé sur la norme ISO 27005. ce module inclut une série d'évènements liés l'usage des SI mais également des événements de toute nature qui pourraient porter préjudicie à l'entreprise (plus de 40 évènements). L'appréciation des risques est basée sur l'analyse de la gravité et de la vraisemblance des évènements qui peuvent impacter la disponibilité, l'intégrité, la confidentialité ou la traçabilité des informations et des SI. Une cartographie Score Compliance permet la génération de la DDA/SOA : Les données issues d'un diagnostic ISO 27002 sont automatiquement intégrées dans la version de travail qui peut ensuite être complétée manuellement. o Gestion de la cartographie des actifs (primordiaux et supports) "oui" o Création d'une DDA/SOA (liste des mesures de sécurité) Oui / Non o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) o Gestion des Incidents "oui" Commentaire / explication "oui" Un module est dédié à la gestion des incidents et vise à concervé un historique à destination de la Direction Générale. Score Compliance intègre un module dédié aux tableaux de bord. Les indicateurs sont basés sur la norme NF ISO 27001 : 2013, la norme NF ISO 27002 : 2013, les règles d'hygiène de l'ANSSI, les directives de la PSSI. L'utilisateur a la possibilité de personnaliser ses indicateurs. "oui" "oui" o Gestion des audits et contrôles des processus, des normes (conformité) et des mesures de sécurité (efficacité) "oui" o Planification d'actions périodiques (réunion, contrôle à réaliser…) Oui / Non · Documentation o Gestion documentaire (création, consultation, mise à jour de la documentation de référence, accessibilité, versionning) "oui" Oui / Non "oui" "oui" o Gestion des enregistrements (suivi, preuves) · Données & base de connaissance : Commentaire / explication Score Compliance permet le stockage de tous les documents du SMSI au travers de fonctions simples accessibles à l'utilisateur. Score Compliance permet le stockage de tous les documents y compris les compte rendu de révisions du SMSI au travers de fonctions simples accessibles à l'utilisateur. Commentaire / explication Score Compliance intègre de nombreux modèles permettant à l'utilisateur de mettre en œuvre son SMSI. Sont notamment inclus : des modèles de Politiques de sécurité, charte utilisateur, des questionnaire d'analyse des enjeux et de BIA, des modèles de tableaux de bord, des fiches de renseignement (FRP, FRT, FTMO). "oui" Score Compliance génére automatiquement des rapports .doc et .ppt sur certains modules notamment d'audit (ISO 27001, ISO 27002, DDA, etc.) - Norme NF ISO 27001 : 2013 - outil de diagnostic informatisé - Norme NF ISO 27002 : 2013 - outil de diagnostic informatisé - Norme NF iSO 27005 : 2011 - outil d'apprécaition des risques informatisé - Règles d'hygiène de l'informatique de l'ANSSI - outil de diagnostic informatisé - Guide de maturité de l'ANSSI - Outil de diagnostic Informatisé - RGS 2.0 - outil de diagnostic informatisé - Guide GISSIP - outil de constitution de dossier de sécurité informatisé o Référentiels types (ISO 27001, ISO 27002). Annuaire - Outils SMSI – Mars 2015 Commentaire / explication Score Compliance permet la gestion du plan d'amélioration au travers des modules de suivi annuels (configurable par l'utilisateur). Les indicateurs permettent de vérifier l'amélioration continue de la sécurité au travers des tableaux de bord générés automatiquement. "oui" "oui" · Workflows o Gestion des Workflows Score Compliance intègre différents modules qui permettent de mesurer la conformité et l'efficacité des dispositifs et des processus du SMSI (audit NF ISO 27001 : 2013; audit NF ISO 27002 : 2013, audit loi "informatique et libertés", audit sensibilisation des utilisateurs, audit du PCA / PRA, audit PCI-DSS, audit Mehari, etc.) Un module est dédié à la planification des actions périodiques. De base les actions périodiques de base (revue de direction, réunion de pilotage, audit de conformité, audit technique, …) sont personnalisable par l'utilisateur et son programmable sur 5 ans. Oui / Non o Modèles types (PSMSI, enregistrements types,...) o Rapports types (rapport d’audit…) Commentaire / explication Score Compliance permet la gestion du plan de traitement des risques au travers de la selection de mesures de sécurité basé sur les bonnes pratiques émises par les autorités compétentes. Il permet la définition et le suivi du plan d'actions SSI. Oui / Non o Génération d'Indicateurs (conformité, efficacité, avancement) o Gestion d'un plan d'amélioration (actions préventives, correctives et d’amélioration) Commentaire / explication 4 modèles de politique sont disponibles dans le logiciel Score Compliance : - Politique à destination des PME / PMI - Politique à destination des collectivités locales - Politique à destination des établissements de santé En complément à ces documents, il est également disponibles, des modèles de chartes (utilisateurs, informaticiens, IRP, Tiers) ainsi que des documents permettant de formaliser un plan d'actions. Ces modèles de documents sont personnalisables et diffusables au travers des outils internes de l'entreprise habituellement utilisée. Un exemple de modèle organisationnel ainsi que la définition de rôles et responsabilités sont disponibles dans un document de référence. La diffusion de l'organisation reste à la charge de l'entreprise qui utilisera les moyens internes habituellement utilisés pour partager l'information (mail, intranet, etc.) "oui" o Gestion de la cartographie des processus o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), identification des risques, critères proposés (DICP…), évaluation, risques résiduels) (à défaut d'explication la réponse sera considérée comme "non") Oui / Non Commentaire / explication "non" Page 11 Club 27001 Annuaire - Outils SMSI – Mars 2015 2015 Page 12 2015 Club 27001 EBIOS 2010 Annuaire - Outils SMSI – Mars 2015 ANSSI Page 13 Club 27001 2015 Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o Nom et fonction du répondant Desroches Vincent, Bureau Maîtrise des Risques et Réglementation (ANSSI) o Adresse de contact Mail [email protected] o Adresse postale de contact o Date de la réponse Secrétariat Général de la Défense et de la Sécurité NationaleAgence Nationale de la Sécurité des Systèmes d'Information51 b 25/02/15 J'autorise la publication de ces informations sur le site internet "oui" du club 27001 (www.club-27001.fr) (oui/non) 1. o o o o o Administratif Nom de l’éditeur Si rattachement à un groupe, préciser Nom et version de l'outil Date de la première version de l’outil (nombre de versions) Langue(s) outil ANSSI Sans objet EBIOS 2010 version 1.04 air du 17/12/2012 1.0 du 13/10/2011 Français, anglais Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d’affaire annuel (€) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support Sans objet Sans objet Sans objet Sans objet Sans objet Néant. Pas de support à proprement parler, mais recueil possible des avis et retours utilisateurs via une adresse mail de conta Néant (pas de support) Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... Néant Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) o 2. Principales références et présences en France Sans objet Sans objet Sans objet Paris Financier o o o o Modalité de définition du coût (forfait, par site, par utilisateur…) Prix public (activation, licence…) Coût récurrent annuel (maintenance, hébergement…) Devis type pour 10 utilisateurs, 3 sites, formation inclue Sans objet Gratuit (logiciel open source en téléchargement gratuit sur la plateforme adullact.net) Produit non maintenu depuis version 1.04 Sans objet 3. o o o o o Plateforme technique Pré-requis techniques Mode ASP (oui / non), si oui lieu d'hébergement Langage de développement Client lourd / client léger Outil mono ou multi-utilisateurs Poste isolé de toute connexion internet et équipé d'un système d'exploitation Microsoft Windows ou Apple Mac OS. Non AIR, xml Client lourd Mono-utilisateur 4. Condition de test ou de maquettage o Modalités / coût d’une démonstration o Modalités / coût d’un test chez le client o Données de test incluses dans la démonstration (oui / non) Annuaire - Outils SMSI – Mars 2015 Néant Néant Néant Page 14 2015 Club 27001 5. Grandes fonctionnalités et données veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à …? " "votre produit aide-t-il à …?" en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme "non") o Définition et partage de la Politique SMSI o Définition et partage de l'Organisation et des Responsabilités o Gestion de la cartographie des processus o Gestion de la cartographie des actifs (primordiaux et supports) Oui / Non Commentaire / explication "oui" "oui" "non" "oui" L'outil contribue à définir la Politique SMSI au travers de l'identification des objectifs de sécurité L'outil contribue à définir l'organisation, les rôles et responsabilités des différents domaines du "oui" C'est l'objet principal de l'outil, qui implémente la méthode EBIOS 2010. Il permet de construire un référentiel des risques/menaces SSI pesant sur l'ensemble des biens supports du SI/site (et in fine sur les biens essentiels), et met en évidence les risques résiduels jugés acceptables ou tolérables sous contrôle. Il permet enfin de définir les objectifs de sécurité qui conditionnent la mise en place et la gestion du SMSI. L'outil contribue à créer une DDA/SOA car il aboutit en sortie à une liste d'objectifs/mesures de sécurité. o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), identification des risques, critères proposés (DICP…), évaluation, risques résiduels) o Création d'une DDA/SOA (liste des mesures de sécurité) "oui" Oui / Non o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) "oui" Oui / Non o Gestion des Incidents o Génération d'Indicateurs (conformité, efficacité, avancement) o Gestion des audits et contrôles des processus, des normes (conformité) et des mesures de sécurité (efficacité) Ce n'est pas le rôle principal de l'outil, mais il inclut l'identification des actifs du SI/site concerné. Commentaire / explication Définition du plan mais pas de gestion : l'outil contribue, au travers de l'identification des objectifs/mesures de sécurité, à générer le Plan de traitement des risques ; toutefois, il ne gère pas la partie plan d'action / acteur / suivi des actions. Commentaire / explication "non" "non" "non" "non" o Planification d'actions périodiques (réunion, contrôle à réaliser…) Oui / Non o Gestion d'un plan d'amélioration (actions préventives, correctives et d’amélioration) "oui" · Documentation o Gestion documentaire (création, consultation, mise à jour de la documentation de référence, accessibilité, versionning) o Gestion des enregistrements (suivi, preuves) Oui / Non · Données & base de connaissance : o Modèles types (PSMSI, enregistrements types,...) o Rapports types (rapport d’audit…) o Référentiels types (ISO 27001, ISO 27002). Oui / Non · Workflows o Gestion des Workflows Oui / Non 6. "oui" Commentaire / explication Définition du plan mais pas de gestion. Commentaire / explication Edition de livrables formatés possible selon paramétrage utilisateur (ex : FEROS). "non" "oui" "non" "oui" Commentaire / explication L'outil intègre la base de connaissance de menaces EBIOS 2010. L'outil intègre la liste de mesures de sécurité de l'ISO 27002. Commentaire / explication "non" Description libre de la solution par l’éditeur -------------> Le logiciel EBIOS 2010 est une application opérationnelle, simple et ergonomique qui permet d'appliquer complètement la méthode de gestion des risques de sécurité des systèmes d'information EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité). La solution AIR Flex a été choisie car elle répond à cet objectif en permettant la mise en œuvre d'une application simple mais riche. Pour mémoire, la méthode EBIOS permet d'identifier, caractériser et traiter les risques d'un système d'information d'un organisme et de ses interfaces avec des entités externes (ex : réseau de partenaires). Elle fournit tous les éléments nécessaires à la communication au sein de l'organisme et vis-à-vis de ses partenaires, ainsi qu'à la validation du traitement des risques. Elle constitue de ce fait un outil complet de gestion des risques SSI/Cyber. Pour plus de détails, veuillez vous reporter au site Internet de l'ANSSI (www.ssi.gouv.fr) ou sur la plateforme https://adullact.net/. Annuaire - Outils SMSI – Mars 2015 Page 15 Club 27001 Annuaire - Outils SMSI – Mars 2015 2015 Page 16 2015 Club 27001 ISMart Annuaire - Outils SMSI – Mars 2015 Biznet Page 17 Club 27001 2015 Description of a software product for IS Security Management Contact o o o o Responder name and quality Contact email address Contact address Response Date Neşe Sayarı Managing Director [email protected] Biznet AS ODTU Teknokent Ikizler Binasi 06800 Ankara Turkey I hereby authorize "club 27001" to publish on their web site the "oui" information provided in this document (www.club-27001.fr) (Yes/No) 1. o o o o o Administrative Company name In case of group attachment, specify Product Name and release Product creation year (number of releases) Product languages BIZNET BILISIM none ISMart V2011 2005, 4 major releases Turkish, English Following question are only about editing activities of ISMS Software Tools o Number of employees o Annual Revenue (€) o Company creation year o Customer location in France / # employees o Technical location in France / # employees o Location of customer support o Support language 3 250 K USD 2000 none none Ankara and Istanbul /,Turkey Turkish, English Implementation support / integration: dedicated vendor team, or partners… we have dedicated vendor team Active references of ISMS Tools company: o Ref. 1 (Year / Deployed Modules / customer size / reference country) o Ref. 2 (Year / Deployed Modules / customer size / reference country) o Ref. 3 (Year / Deployed Modules / customer size / reference country) o Main references in France Turkcell (Largest GSM operator in Turkey) Turkish Central Bank Akbank (Major bank in Turkey) _ 2. o o o o Financial Cost Definition modality (package, by site, by user…) Public Price (activation, license,...) Annual recurring cost ( maintenance, hosting ...) Standard Costs for 10 users, 3 sites, training included Modules seperately purchased to achieve required functionality. Modules listed on "Description" page line13. Basic module is Risk Management and it is essential. The cost is 8000 USD. Annual recurring cost for Risk Management Module is 2000 USD. The maximum configuration costs 52000 USD. #of users is not a cost parameter. For each site add 25%. 3. o o o o o Technical Platform Technical requirements ASP (YES / NO), if yes hosting location Development language Thick client / thin client Single or multi user tool Dual Core 3+Ghz, 4+Gb Ram, 70+ Gb Hard disk, Windows XP/7/8/Server 2003/2008 / Redhat, Fedora,Centos 6+ etc. Linux Yes. Currently only in Turkey but can be extended. Java n/a Multi user web application. 4. Test or benchmark o Conditions / demonstration cost o Conditions / cost of a customer test o Test Data included in demonstration (yes / no) Annuaire - Outils SMSI – Mars 2015 A remote user can reach the demo server in Turkey and have a free demo for one week. Onsite demonstration possible 1250 not understood. Yes Page 18 2015 Club 27001 5. Main functions and Data please answer the question "does your product help with …? " "Does your product help with …?" and briefly explain how Comment / justification Yes / No o o o o Defining and sharing the ISMS Policy Defining and sharing the Organisation and Responsibilities Process Mapping Management Asset Mapping Management (primary and support) o Conducting a risk analysis (method (s) used, risk identification, proposed criteria (AIC ...), evaluation, residual risks) o Creating SOA (list of security controls) o Management of Risk treatment Plan (selection of security controls, actions plan, actors, schedule, action follow up) o Incidents Management "yes" "yes" "yes" "yes" "yes" "yes" There is a field to write and share the policy on the home page. Organization tree can be defined. Ownerships related with assets assigned easily. Proccesses can be defined and assets can be related to those perocesses. Asset mapping can be defined in terms of category, group and relation hiearchy. Risk are related with" threats to" or "vulnerabilities of"assets.Risk values calculated as a function of asset value, probability and impact of threats. Predefined asset categories, threat categories threats help through management process. SoA can beand created and exported asrisk excel file. Yes / No Comment / justification "yes" Risk treatment plan can prepared (selection of security controls, action plans, actors, schedule, action follow up) Yes / No Comment / justification "yes" "yes" Events (Incident) can be defined, reported, forwarded. Dashboard for monitoring risk distribution, and assets is available. For conformity and efficiency reports can be generated. Audits can be defined in terms of related security controls. "yes" Meetings can be planned. o Generation of indicators/dashboard (compliance, efficiency) o Management of audits and checks on processes, standards (compliance) and security controls (efficiency) o Recurring work planification (meetings, checks…) Yes / No o Management of improvement plan (preventive action, corrective and improvement) (if no explanation, the answer will be considered "No") "yes" Comment / justification Preventive and corrective plans can be defined and reported. · Documentation o Documentation Management(creation, consultation, reference documentation update, accessibility, versionning) o Records management (follow up, records) Yes / No · Data and knowledge base: o Forms models (ISMS policy, records...) Yes / No Comment / justification "yes" "yes" ISMS Policy, free format Risk Report, S.O.A Report, Asset Inventory, Asset Search, Threat Report, Asset - Control Report, Risk Treatment Plan Report, Assets By Owners, Assets By Values, Assets by Additional Fields, Risks By Threat Categories, Risks By Values, Risks By Control Categories, Risk Level Distribution, Risk Matrix, Number Of Risks Above/Below Acceptable Risk Level By Organizations, Bulk Asset/Risk/Control/Action Report, All Actions Grouped By Statuses, All Actions Grouped By Statuses With Deadlines In Selected Period, All Actions Grouped By Statuses With Deadlines In Selected Period, Having Selected Statuses, Actions Grouped By Deadlines With Deadlines In Selected Period, Having Selected Statuses, Actions Grouped By Organizations Of Assignees, Actions By Assignees, Report Templates, Scheduled Reports, Asset Comparison Report, Risk Comparison Report, Risk Trends Report, Executive Risk Report, New/Modified Assets, New/Modified Risks, New/Modified Risk-Controls, New/Modified Actions, Risk Transfer Requests, Risk Acceptance Requests ISO 27001 Standart controls are predefined. Users can define their own control data. o Report models (audit report, …) o Referential data (ISO 27001, ISO 27002). · Workflows o Workflows Management 6. "yes" "yes" "yes" Comment / justification Links can be defined for pre-prepared documents, and can be classified in terms of types. Versioning is also supported. Risk Managment data can be saved manulay or Data Snapshot can be saved for Yes / No "yes" Comment / justification Workflows can be defined and executed. Software description by editor (feel free to summarize as you wish) -------------> ISMart is not only a guide to significantly reduce time and effort for achieving ISO 27001 certification but is also a useful tool to manage daily security related operation by planing actions and monitoring their status. ISMart allows all employees to participate information security management processes as their roles require, within the access rights granted to them. Or the entire ISMS process can be managed by a few individuals if preffered. ISMArt can be used both as a quick compliance tool or a detailed compliance and security management platform. ISMart has a built-in document management system. It allows users to generate policy documents or store documents related to security processes. Documents stored by ISMArt can be associated with assets, risks, controls, actions and so on. On the other hand, if the enterprise has an existing document management system, isms documentation is not necessarily stored in ISMart but only links to the actual document store are stored in ISMArt. Change history for all critical information such as asset information and attributes, risk levels, selected controls, risk treatment actions etc are kept in the system and changes can be traced to monitor all processes. Provides lots of predefined items like default controls for risks, predefined control statements, threats/vulnerabilities, asset categories etc which may be used for rapid ISMS formation and management. General: Multiuser java web application Scalable from smallest organizations with a few users to large enterprises with thousands of users Works on standard software and hardware platforms Can be easily integrated with existing corporate active directory structure Functional Components (Modules to be seperately purchased) 1. Risk Management, 2. Document Management, 3. Workflow, 4. Organisation Integration,5. Internal Audit, 6. Event Management, 7. Snapshot Recording and History Recording, 8. Policy Generator, 9. Hierarchical Assets 10. Addtional Group Companies Annuaire - Outils SMSI – Mars 2015 Page 19 Club 27001 Annuaire - Outils SMSI – Mars 2015 2015 Page 20 2015 Club 27001 Mehari Annuaire - Outils SMSI – Mars 2015 Clusif Page 21 Club 27001 2015 Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o o o o Nom et fonction du répondant Adresse de contact Mail Adresse postale de contact Date de la réponse Roule Jean-Louis membre du Clusif [email protected] 25 rue Guillaume Lambert 78700-Conflans Ste Honorine 01/08/14 J'autorise la publication de ces informations sur le site internet "oui" du club 27001 (www.club-27001.fr) (oui/non) 1. o o o o o Administratif Nom de l’éditeur Si rattachement à un groupe, préciser Nom et version de l'outil Date de la première version de l’outil (nombre de versions) Langue(s) outil Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d’affaire annuel (€) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... CLUSIF association à but non lucratif MEHARI 2010 (édition 2-14, 30-mars-2012) 1997 (environ 10 depuis l'origine) Français, Anglais, Farsi (Iran) association sans but lucratif, environ 600 membres agissant bénévolement N/A 1996 [email protected] France (Paris), Canada (Québec) Français, Anglais Mise à disposition gratuite par téléchargement en mode logiciel libre sans accompagnement commercial, La base de connaissance a été chargée plus de 38 000 fois vers plus de 170 Pays, environ 20 000 fois en France Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) Mehari étant diffusé en Mode Open Source, il n'y a pas de référencement clients effectué ni de force marketing ou commerciale. L'appropriation de la méthode par les organismes utilisateurs finaux est aisée et encouragée. o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) o 2. Principales références et présences en France il existe des formations avec certification de compétence, en cours de validation par l'ANSI (USA), sur 3 jours, éventuellement associées à une formation certifiante ISO 27005. Financier o o o o Modalité de définition du coût (forfait, par site, par utilisateur…) Prix public (activation, licence…) Coût récurrent annuel (maintenance, hébergement…) Devis type pour 10 utilisateurs, 3 sites, formation inclue 3. o o o o Plateforme technique Pré-requis techniques Mode ASP (oui / non), si oui lieu d'hébergement Langage de développement Client lourd / client léger o Outil mono ou multi-utilisateurs 4. Condition de test ou de maquettage o Modalités / coût d’une démonstration o Modalités / coût d’un test chez le client o Données de test incluses dans la démonstration (oui / non) Annuaire - Outils SMSI – Mars 2015 la méthode est gratuite et abondammant documentée avec des traductions en plus de 15 langues de certains documents. L'appropriation de la méthode est aisée. 0 0 beaucoup d'utilisateurs utilisent drectement la documentation et le forum pour leurs éventuelles questions utilisation d'un fichier tableur (Excel, Libre Office) préparé (formules incluses) et protégé, sous Windows ou OS/X Multi utilisateur en s'appuyant sur les possibilités offertes par les tableurs: voir aussi avec les versions récentes d'Office Gratuit, possibilité de déterminer le périmètre et l'objet de chaque étude Gratuit avec support par les développeurs de la méthode Page 22 2015 Club 27001 5. Grandes fonctionnalités et données veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à …? " "votre produit aide-t-il à …?" en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme "non") o Définition et partage de la Politique SMSI o Définition et partage de l'Organisation et des Responsabilités o Gestion de la cartographie des processus Oui / Non Commentaire / explication "oui" "oui" En s'appuyant sur les plans d'action et les liens avec ISO 27001 et la DdA L'équipe d'analyse de risque peut distribuer le travail entre l'analyse des enjeux (ou BIA), l'analyse des mesures de sécurité en place et l'analyse de risque elle même, etc. Cette cartographie fait l'objet de l'analyse des enjeux se traduisant par les feuilles T1 à T3. Chaque processus « métier » ou transverse du périmètre choisi est analysé. Les actifs de support (associés aux actifs primaires de type services, données et processus de management) sont répertoriés processus par processus, en D, I, C et E (efficacité dans le respect des lois et réglementations) avec un niveau de classification (de1 à 4). Ces niveaux déterminent l'impact maximum des scénarios de risque considérés par la méthode. "oui" "oui" o Gestion de la cartographie des actifs (primordiaux et supports) "oui" o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), identification des risques, critères proposés (DICP…), évaluation, risques résiduels) "oui" o Création d'une DDA/SOA (liste des mesures de sécurité) o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) Mehari étant une méthodologie d'analyse et de management des risques, cet élément y est central. La méthode considère 800 scénarios caractérisés par un événement initial (menace et conditions de sa réalisation), l'actif atteint (en D, I ou C) et en tenant compte de l'exposition de l'entité (potentialité). La gravité maximale de chaque scénario peut ainsi être déterminée simplement conformément aux principes de ISO 27005 (et donc ISO 31000). Les mesures de sécurité en place ou planifiées sont associées aux scénarios et le risque résiduel est simplement déterminé par les algorithmes de la méthode. La feuille Score ISO, donne une valeur (scoring) pour chaque ''control objective'' de ISO 27001 et indique les mesures de sécurité pouvant permettre d'améliorer ce scoring. De plus il est possible d'indiquer et de justifier si cet ''objective'' est à inclure ou pas dans la DdA Oui / Non Commentaire / explication "oui" La sélection optimale des mesures de sécurité est proposée dans les feuilles de planification des projets de réduction de risque. Il est ainsi possible de déterminer la réduction des risques à plusieurs échéances. Oui / Non o Gestion des Incidents o Génération d'Indicateurs (conformité, efficacité, avancement) o Gestion des audits et contrôles des processus, des normes (conformité) et des mesures de sécurité (efficacité) "oui" "oui" "non" o Planification d'actions périodiques (réunion, contrôle à réaliser…) Commentaire / explication appui fort sur les capacités de surveillance et d'analyse des événements, journaux et traces Indicateurs pour conformité (ISO 27001/2), efficacité, robustesse et mise sous contrôle des services de sécurité, avancement des projets d'amélioration ciblage par processus métier des risques et des mesures additionnelles à développer. Visibilité des niveaux initial, courant et futurs de risque La logique de toute démarche d'amélioration continue (et de qualité) inscrit cette nécessaire planification Oui / Non o Gestion d'un plan d'amélioration (actions préventives, correctives et d’amélioration) · Documentation o Gestion documentaire (création, consultation, mise à jour de la documentation de référence, accessibilité, versionning) "oui" Commentaire / explication prise en compte des divers types de mesures (prévention, dissuasion, confinement, palliation) existantes et des plans d'améliioration à réaliser Oui / Non "oui" Commentaire / explication Toute la documentation est en ligne (Français et Anglais) pas de gestion mais contrôle de leur existence dans tous les domaines et services de sécurité o Gestion des enregistrements (suivi, preuves) · Données & base de connaissance : o Modèles types (PSMSI, enregistrements types,...) Oui / Non "oui" o Rapports types (rapport d’audit…) "oui" Commentaire / explication ??? pas de formalisation mais collecte et conservation des résultats des audits des services de sécurité, y compris existence des variantes ouverture possible si besoin à tous autres types de référentiels (PCI/DSS,PCA, CNIL, Bâle III, ..) o Référentiels types (ISO 27001, ISO 27002). · Workflows o Gestion des Workflows Annuaire - Outils SMSI – Mars 2015 Oui / Non Commentaire / explication ??? Page 23 Club 27001 Annuaire - Outils SMSI – Mars 2015 2015 Page 24 Club 27001 RVR Annuaire - Outils SMSI – Mars 2015 2015 DEVOTEAM Page 25 Club 27001 2015 Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o o o o Nom et fonction du répondant Adresse de contact Mail Adresse postale de contact Date de la réponse Paul CHEGARAY, Directeur Produit RVR PARAD [email protected] 73 rue Anatole France 92300 Levallois Perret 08/09/2014 J'autorise la publication de ces informations sur le site internet "oui" du club 27001 (www.club-27001.fr) (oui/non) 1. o o o o o Administratif Nom de l’éditeur Si rattachement à un groupe, préciser Nom et version de l'outil Date de la première version de l’outil (nombre de versions) Langue(s) outil DEVOTEAM Groupe Devoteam Solution RVR Advanced v4.0 2007 Français / Anglais / d'autres langues possibles avec effort de traduction assuré par le client Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d’affaire annuel (€) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support Groupe : 4000 personnes / Activité logiciel SMSI : 30 personnes Groupe : ~500M€ / Activité logiciel SMSI : n.c. 2002 Oui Oui Levallois-Perret (France) Français / Anglais Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... Devoteam accompagne ses clients dans l'intégration et le déploiement de sa solution RVR PARAD. Devoteam collabore également régulièrement avec des cabinets de conseil qui assurent auprès de ses clients la Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) o 2. o o o o 3. o o o o o Principales références et présences en France Nous consulter Nous consulter Nous consulter Nous consulter Financier Modalité de définition du coût (forfait, par site, par utilisateur…) Prix public (activation, licence…) Coût récurrent annuel (maintenance, hébergement…) Devis type pour 10 utilisateurs, 3 sites, formation inclue La licence comprend une licence serveur et une licence par nb d'utilisateurs déclarés Acquisition de la licence et service d'intégration de la solution Maintenance annuelle après la période de garantie Nous consulter Plateforme technique Pré-requis techniques Mode ASP (oui / non), si oui lieu d'hébergement Langage de développement Client lourd / client léger Outil mono ou multi-utilisateurs 4. Condition de test ou de maquettage o Modalités / coût d’une démonstration o Modalités / coût d’un test chez le client o Données de test inclues dans la démonstration (oui / non) Annuaire - Outils SMSI – Mars 2015 L'application fonctionne principalement avec une base de données (Oracle, SQL Server) et un serveur d'application (Tomcat, Websphere). Aucune installation spécifique requise sur le poste client (à part un navigateur web Internet Explorer ou Firefox) Un mode ASP est possible : hébergement par Devoteam ou un partenaire hébergeur Java Client léger : aucune installation spécifique sur le poste client (à part un navigateur web) Multi-utilisateurs Sur rendez-vous / gratuit Nous consulter Oui, quelques données de tests peuvent être insérées dans la démonstration. Page 26 2015 Club 27001 5. Grandes fonctionnalités et données "votre produit aide-t-il à …?" veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à …? " en l'expliquant brièvement Commentaire / explication Oui / Non o Définition et partage de la Politique SMSI o Définition et partage de l'Organisation et des Responsabilités o Gestion de la cartographie des processus o Gestion de la cartographie des actifs (primordiaux et supports) o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), identification des risques, critères proposés (DICP…), évaluation, risques résiduels) o Création d'une DDA/SOA (liste des mesures de sécurité) "oui" "oui" "oui" "oui" "oui" Gestion de politiques Gestion de l'organisation et des utilisateurs Administration d'un référentiel de processus Administration d'un référentiel d'actifs Définition des scénarios de risques ; Bibliothèque de menaces et vulnérabilités ; évaluation DCIP ; évaluation des risques (ex : impact x probabilité x maîtrise) "oui" Pour chaque risque, il est possible de définir des actions de maîtrise (ou mesures de sécurité) Oui / Non o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) o Gestion des Incidents o Génération d'Indicateurs (conformité, efficacité, avancement) o Gestion des audits et contrôles des processus, des normes (conformité) et des mesures de sécurité (efficacité) (à défaut d'explication la réponse sera considérée comme "non") "oui" Commentaire / explication Pour chaque risque, il est possible de définir des actions de maîtrise (ou mesures de sécurité), des plans d'actions avec responsable, date de début / de fin… Oui / Non Commentaire / explication "oui" "oui" L'application intègre une base incidents et pertes Des indicateurs de conformité, d'avancement peuvent être générés dans les rapports (ex : suivi de plans d'actions, suivi d'audits, suivi de recommandations…) L'application comporte un module Audit intégré pour la gestion des missions d'audit. Des autoévaluations des contrôles peuvent également être lancées pour évaluation de la conformité. L'application permet de gérer des contrôles "continus" (tâches à fréquence régulière à exécuter. "oui" "oui" o Planification d'actions périodiques (réunion, contrôle à réaliser…) o Gestion d'un plan d'amélioration (actions préventives, correctives et d’amélioration) Oui / Non Commentaire / explication "oui" L'application permet de gérer des plans d'actions en lien avec les objets avec responsable, date d'échéance, statut, budget, actions… · Documentation o Gestion documentaire (création, consultation, mise à jour de la documentation de référence, accessibilité, versionning) o Gestion des enregistrements (suivi, preuves) Oui / Non · Données & base de connaissance : o Modèles types (PSMSI, enregistrements types,...) o Rapports types (rapport d’audit…) o Référentiels types (ISO 27001, ISO 27002). Oui / Non · Oui / Non Workflows Possibilité d'attacher des documents sur tous les objets de l'application. "oui" Toute modification est tracée "oui" "oui" "oui" "oui" o Gestion des Workflows 6. Commentaire / explication "oui" Commentaire / explication Des modèles peuvent être fournis Des rapports types sont proposés Devoteam peut fournir des contenus types Commentaire / explication L'application intègre un moteur de workflow (jBPM) qui permet de configurer des workflow sur les différents objets. Description libre de la solution par l’éditeur -------------> L'application RVR PARAD, développée au sein du Groupe Devoteam (www.devoteam.com), est une application web dédiée à la "GRC" (Gouvernance, Risque, Conformité) et au PCA (gestion de Plan de Continuité d'Activité). L'application RVR est une application modulaire qui couvre, de manière intégére, les domaines fonctionnels suivants : - Gestion des Risques (notamment dans une approche ISO 27.000) - Gestion du Contrôle interne - Gestion de l'Audit - Gestion des Incidents - Gestion de la Continuité d'Activité L'application RVR présente en outre les atouts suivants : - Facile d'utilisation : intuitive, elle nécessite peu de formation. - Facile de déploiement : elle ne requiert aucune installation sur le poste client. - Flexible : très configurable, elle permet de s'adapter au contexte du client. - Sécurisée : elle répond à des standards élevés de sécurité (tests d'intrusion...). - Ouverte : développée sur des technologies standards facilitant son intégration dans le SI du client. Annuaire - Outils SMSI – Mars 2015 Page 27 Club 27001 Annuaire - Outils SMSI – Mars 2015 2015 Page 28 2015 Club 27001 SGSI Annuaire - Outils SMSI – Mars 2015 ECIJA Page 29 Club 27001 2015 Description of a software product for Information Security Management Contact o o o o Respondent name and quality Contact email address Contact address Response Date Alonso Hurtado [email protected] Torre de Cristal. Pº de la Castellana, 259C. 28046 Madrid. 08 April 2014 I hereby authorize "club 27001" to publish on their web site the "YES" information provided in this document (www.club-27001.fr) (Yes/No) 1. Administrative o Company name o In case of group attachment, please specify o Product Name and release o Product creation year (number of releases) o Product languages ECIJA Information Security - ISMS 2005 Multi-language. Spanish, Catalonian, English, French, Portuguese The following questions are only about publishing activities of ISMS Software Tools o Number of employees o Annual Revenue (€) o Company creation year o Customer location in France / # employees o Technical location in France / # employees o Location of customer support o Support language 175 Eur. 28.7 M. 1997 N/A N/A Madrid English Implementation support / integration: dedicated vendor team, or partners… dedicated vendor team Active references of ISMS Tools company: o Ref. 1 (Year / Deployed Modules / customer size / reference country) o Ref. 2 (Year / Deployed Modules / customer size / reference country) o Ref. 3 (Year / Deployed Modules / customer size / reference country) o Main references in France Orange 2. Financial o Pricing model (package, by site, by user…) o Public price (activation, license,...) o Annual recurring costs (maintenance, hosting ...) o Standard costs for 10 users, 3 sites, training included Package License Maintenance 3. Technical Platform o Technical requirements o Application Service Provider (YES / NO), if yes hosting location o Development language o Thick client / thin client o Single or multi user tool Yes, Spain English 4. Test or benchmark o Conditions / demonstration cost o Conditions / cost of a customer test o Test Data included in demonstration (yes / no) Annuaire - Outils SMSI – Mars 2015 Multi user tool Yes Page 30 2015 Club 27001 5. Main functions and Data please answer the question "does your product help with …? " "Does your product help with …?" and briefly explain how Yes / No o o o o Defining and sharing the ISMS Policy Defining and sharing the Organisation and Responsibilities Process Mapping Management Asset Mapping Management (primary and support) o Risk analysis: method(s) used, risk identification, proposed criteria (AIC...), risk evaluation, residual risks. o SOA generation (list of security controls) "yes" Comment / justification "yes" "yes" "yes" "oui" Yes / No o Management of improvement plan (preventive, corrective and improvement actions) "yes" · Documentation o Documentation Management(creation, consultation, reference document update, accessibility, versioning) o Records management (follow up, audit trail and evidence) Yes / No · Data and knowledge base: o Document and record templates (ISMS policy, records...) o Report templates (audit report, …) o Referenced documents (ISO 27001, ISO 27002). Yes / No · Workflows o Workflows Management Yes / No 6. Comment / justification "yes" Yes / No o Incidents Management o Generation of indicators/dashboard (compliance, efficiency) o Management of audits and checks on processes, standards (compliance) and security controls (efficiency) o Recurring work planification (meetings, checks…) Comment / justification "yes" "yes" "yes" "yes" "yes" Yes / No o Management of Risk Treatment Plan (selection of security controls, actions plan, actors, schedule, action follow up) (if no explanation, the answer will be considered "No") Comment / justification Comment / justification "yes" "yes" Comment / justification "yes" "yes" "yes" Comment / justification "yes" Vendor's description of the software (feel free to summarize as you wish) -------------> What ECIJA ISMS is? ECIJA ISMS is one part of the global solution called ECIJA Compliance Suite. ECIJA ISMS is the solution for the implementation, management & maintenance of the Information Security Management System that is based on the directive ISO 27001. ECIJA ISMS is the leader software in number of projects in the market. We have done more than 50% of the projects of implementation ISO 27001 with ECIJA ISMS in Spain. ECIJA ISMS allows the integral management of the directive & achieves the complete cycle of the standard, from the initial phases & the planning of the projects to the maintenance & continual improvement (through the risks analysis, control panel, procedures implementation, etc.). These functionalities are included in our main three solutions: ECIJA Compliance Suite platform, AGR Module - Risks Analysis & Management and SGSI Processes. Main funtionalities: Diferential Analysis Asset inventory Risk analysis and Risk management Configuration of the security dimensions Cofi guration of Methodologies for Risks calculation Module of dependencies among assets SOA (Statement of Applicability) International Audit Annuaire - Outils SMSI – Mars 2015 Page 31 Club 27001 Annuaire - Outils SMSI – Mars 2015 2015 Page 32 Club 27001 2015 Front GRC eFront Annuaire - Outils SMSI – Mars 2015 Page 33 Club 27001 2015 Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o o o o Nom et fonction du répondant Adresse de contact Mail Adresse postale de contact Date de la réponse JAVARY Olivier [email protected] 2/4 rue Louis David 75116 PARIS 19-mars-15 J'autorise la publication de ces informations sur le site internet "oui" du club 27001 (www.club-27001.fr) (oui/non) 1. o o o o o Administratif Nom de l’éditeur Si rattachement à un groupe, préciser Nom et version de l'outil Date de la première version de l’outil (nombre de versions) Langue(s) outil eFront FrontGRC 7.0 et FrontERM 7.0 FrontGRC 1.0 2004 Français et Anglais Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d’affaire annuel (€) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support 601 75.4 M€ 1999 oui / 50 personnes oui / 25 personnes Paris Français et Anglais Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... Editeur et partenaires : BearingPoint, CGI, EY, KPMG, Deloitte Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) o Principales références et présences en France Banque de France - FrontGRC Risk Control Audit - 5000 employés, France Reunica / Systalians - FrontGRC Risk Control PCA, 6000 employés, France BNPP Mercator - FrontERM Risk, 3000 utilisateurs dans le monde Sur la gestion des risques en générale plus de 50 clients en France : BDF, BNPP, SG, Generali, Groupama, MNH, MAIF 2. Financier o Modalité de définition du coût (forfait, par site, par utilisateur…) par module et par utilisateur nommé o Prix public (activation, licence…) o Coût récurrent annuel (maintenance, hébergement…) o Devis type pour 10 utilisateurs, 3 sites, formation inclue environ de 80 k€ à 200 k€ 20% annuel du prix d'achats des licences, incluant support téléphonique et nouvelles versions 100 k€ de licence; formation 10k€; projet selon le besoins entre 50k€ et 150k€ 3. o o o o o Serveur Windows oui, chez Verizon (Paris, Lille et mondial selon le niveau de service demandé) Microsoft Visual Basic et Visual C# Client full web Mulit utiisateur Plateforme technique Pré-requis techniques Mode ASP (oui / non), si oui lieu d'hébergement Langage de développement Client lourd / client léger Outil mono ou multi-utilisateurs 4. Condition de test ou de maquettage o Modalités / coût d’une démonstration o Modalités / coût d’un test chez le client o Données de test inclues dans la démonstration (oui / non) Annuaire - Outils SMSI – Mars 2015 Gratuit A définir A définir Page 34 2015 Club 27001 5. Grandes fonctionnalités et données "votre produit aide-t-il à …?" veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à …? " en l'expliquant brièvement Oui / Non (à défaut d'explication la réponse sera considérée comme "non") Commentaire / explication o Définition et partage de la Politique SMSI "oui" Module de gestion électronique de document. Capacité de modéliser une conformité réglementaire à l'aide du module FrontCompliance o Définition et partage de l'Organisation et des Responsabilités "oui" Fonctionnalité d'administration des utilisateurs, profils, droits d'accès et modélisation de l'organisation. o Gestion de la cartographie des processus "oui" Cartographie des processus et modélisation graphique (Process modeling) o Gestion de la cartographie des actifs (primordiaux et supports) "oui" Oui, notion d'application dans la solution FrontBCP o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), identification des risques, critères proposés (DICP…), évaluation, risques résiduels) "oui" FrontGRC probabilité, impacts FrontERM indicateur d'évaluation des risques paramétrables o Création d'une DDA/SOA (liste des mesures de sécurité) "oui" Plan Do Check Act. Declaration d'applicabilité. Référentiel des 133 mesures, des risques associés. FrontGRC Compliance permet d'intégrer le référentiel de conformité Oui / Non o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) "oui" Commentaire / explication Notion de dispositif de maitrise des risques et gestion des plans d'actions Oui / Non Commentaire / explication o Gestion des Incidents o Génération d'Indicateurs (conformité, efficacité, avancement) "oui" "oui" Module incident, workflow de validation, import/export, estimation des impacts Outil, à l'aide de l'objet indicateur o Gestion des audits et contrôles des processus, des normes (conformité) et des mesures de sécurité (efficacité) "oui" Gestion du plan d'audit. "oui" Les actions périodiques sont des audits. La solution gère des audit sur pièces ou sur place. o Planification d'actions périodiques (réunion, contrôle à réaliser…) Oui / Non o Gestion d'un plan d'amélioration (actions préventives, correctives et d’amélioration) "oui" · Documentation o Gestion documentaire (création, consultation, mise à jour de la documentation de référence, accessibilité, versionning) o Gestion des enregistrements (suivi, preuves) Oui / Non · Données & base de connaissance : o Modèles types (PSMSI, enregistrements types,...) o Rapports types (rapport d’audit…) o Référentiels types (ISO 27001, ISO 27002). Oui / Non · Workflows o Gestion des Workflows Oui / Non 6. Commentaire / explication Gestion des plans d'actions Commentaire / explication "oui" Module de gestion électronique document "oui" Le referentiel gere l'ensemble des enregistrements des objets et des pièces jointes associés "non" "non" "non" "oui" Commentaire / explication Exemple ce rapport d'audit Commentaire / explication Moteur de worflow sur chacun des objets, statuts paramétrables Description libre de la solution par l’éditeur -------------> FrontGRC est une suite logicielle complète de Gouvernance, gestion des Risque et Conformité. Elle permet la conformité Bale 2, Solvabilité 2, LSF et SOX dans les entreprises fortement réglementées. Elles inclut les solutions FrontGRC Risk, Control, Audit et Plan de Continuité d'Activité. FrontERM est une solution de gestion globale des risques. Elle offre une plate forme globale de collecte des indicateurs clés de risques, de modélisation de formules de calcul et d'agrégation de risque et une importante capacité de restitution sous forme de tableau de bord dynamique multi dimensionnel. Annuaire - Outils SMSI – Mars 2015 Page 35 Club 27001 Annuaire - Outils SMSI – Mars 2015 2015 Page 36 Club 27001 2015 EGERIE RiskManager Fidens Annuaire - Outils SMSI – Mars 2015 Page 37 Club 27001 2015 Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o o o o Nom et fonction du répondant Adresse de contact Mail Adresse postale de contact Date de la réponse Larroumets Jean - Chef de produit EGERIE RiskManager et Directeur-Associé Fidens [email protected] Fidens - 9 rue Richard Andrieu 83000 Toulon 01/09/2014 mise à jour mars 2015 J'autorise la publication de ces informations sur le site internet "oui" du club 27001 (www.club-27001.fr) (oui/non) 1. o o o o o Administratif Nom de l’éditeur Si rattachement à un groupe, préciser Nom et version de l'outil Date de la première version de l’outil (nombre de versions) Langue(s) outil Fidens Egerie Risk Manager 1.7 V1.7 (7ème sous-version) Français / Anglais Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d’affaire annuel (€) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support 7 personnes 300 000 2011 2 commerciaux 5 personnes Toulon (France) Français / Anglais Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... Nous offrons des prestations d'accompagnement à la prise en main, l'intégration et la reprise de l'existant Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) o 2. Principales références et présences en France Groupe Orange (2012 / Version entreprise illimitée / 172 000 personnes / France et international) Grand groupe bancaire français (2014 / Version entreprise illimitée / 10 000 personnes / France et international) Morpho Groupe Safran (2013 / 10 utilisateurs / 62 500 personnes / France et international) Orange, Safran, FDJ, Groupe Mirion, APHP, APHM, ARS, DGA, CG83, INRIA, ALTRAN, Aéroport de Paris, BNF, ... Financier o o o o Modalité de définition du coût (forfait, par site, par utilisateur…) Prix public (activation, licence…) Coût récurrent annuel (maintenance, hébergement…) Devis type pour 10 utilisateurs, 3 sites, formation inclue Par utilisateur Prix en entrée de gamme : 1000 € HT pour un droit d'usage d'un an pour 1 module en mode SaaS Droit d'usage annuel incluant la maintenance, le support est en plus 19 800 € HT (droit d'usage annuel) intègre un transfert de compétence et assistance à l'intégration d'une journée 3. o o o o o Plateforme technique Pré-requis techniques Mode ASP (oui / non), si oui lieu d'hébergement Langage de développement Client lourd / client léger Outil mono ou multi-utilisateurs Aucun en mode ASP (SaaS) / installation sur un serveur Linux en mode hébergement sur site client / doc et pré-requis fournis Deux types d'hébergement sont proposés : installation sur site client ou en mode le SaaS hébergeur français certifié 27001) PHP / HTML 5 Client léger (navigateur web supportant HTML 5) Multi-utilisateurs 4. Condition de test ou de maquettage o Modalités / coût d’une démonstration o Modalités / coût d’un test chez le client o Données de test incluses dans la démonstration (oui / non) Annuaire - Outils SMSI – Mars 2015 Gratuit - démonstration par un de nos experts (et version de démo en ligne : http://www.egerie-software.com) Gratuit en mode SaaS (sinon voir avec le service commercial de EGERIE) Oui Page 38 2015 Club 27001 5. Grandes fonctionnalités et données veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à …? " "votre produit aide-t-il à …?" en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme "non") Commentaire / explication Oui / Non o Définition et partage de la Politique SMSI o Définition et partage de l'Organisation et des Responsabilités o Gestion de la cartographie des processus o Gestion de la cartographie des actifs (primordiaux et supports) o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), identification des risques, critères proposés (DICP…), évaluation, risques résiduels) o Création d'une DDA/SOA (liste des mesures de sécurité) "non" "non" "non" "oui" Un module "EGERIE Lead Implementer" est en cours de développement pour répondre à ces Différents profils sont gérés dans le logiciels Un module "EGERIE Lead Implementer" est en cours de développement pour répondre à ces Oui - Une interface est dédiée à l'enregistrement et la gestion des deux catégories d'actifs "oui" Fonction centrale du logiciel "oui" Le logiciel permet de constituer automatiquement la Déclaration d'Applicabilité (DDA/SOA) Oui / Non "oui" o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) Oui / Non "oui" o Gestion des Incidents o Génération d'Indicateurs (conformité, efficacité, avancement) o Gestion des audits et contrôles des processus, des normes (conformité) et des mesures de sécurité (efficacité) "oui" "oui" "non" o Planification d'actions périodiques (réunion, contrôle à réaliser…) Oui / Non o Gestion d'un plan d'amélioration (actions préventives, correctives et d’amélioration) "oui" Commentaire / explication La logiciel permet de sélectionner sur la base d'un système d'aide à la décision les mesures de sécurité à mettre en œuvre. Il fournit le listing des mesures à implémenter dans le plan de traitement. Le statut de ces mesures est actualisé lors des différentes itérations de chaque analyse de risques. Commentaire / explication indirectement => Les incidents étant des risques avérés. Certains clients utilisent le logiciel pour mesurer l'impact de l'incident et enregistrer les incidents. Efficacité / suivi des risques et mesures indirectement => L'interface de gestion des mesures de sécurité dans le logiciel peut être utilisée pour enregistrer les résultats d'audit de conformité à tous types de normes. Un module "EGERIE Lead Implementer" est en cours de développement pour répondre à ces besoins. Commentaire / explication Le logiciel permet le suivi des actions inscrites aux plans de traitement. · Documentation o Gestion documentaire (création, consultation, mise à jour de la documentation de référence, accessibilité, versionning) o Gestion des enregistrements (suivi, preuves) Oui / Non · Oui / Non Commentaire / explication "oui" Référentiels de Mesures, Référentiels de normes et de nombreux autres référentiels (scénarios, vulnérabilités, mesures, échelles, …) Rapport d'analyse de risque Le logiciel permet l'injection de tous type de référentiels normatifs à la demande des clients. Nativement le logiciel est livré avec les référentiels suivant : ISO27002:2005 (fr/en), ISO27002:2013 (fr/en), PSSI-E (fr), PCIDSS (fr) Données & base de connaissance : o Modèles types (PSMSI, enregistrements types,...) o Rapports types (rapport d’audit…) Génération de rapports d'analyse de risques uniquement "non" Génération de rapports d'analyse de risques uniquement "oui" "oui" o Référentiels types (ISO 27001, ISO 27002). · Workflows Oui / Non "non" o Gestion des Workflows 6. Commentaire / explication "non" Commentaire / explication Un module "EGERIE Lead Implementer" est en cours de développement pour répondre à ces besoins. Description libre de la solution par l’éditeur -------------> EGERIE RiskManager est la solution française de référence pour la gestion des cyber-risques et de pilotage de la cybersécurité par les risques. EGERIE RiskManager permet notamment la mise en conformité vis-à-vis des réglementations et normes ISO27001, ISO27002, ISO27005, PCI-DSS, RGS, … Cette solution aide à l’identification et à l'évaluation des risques, ainsi qu'à la gestion des dispositifs de leur maîtrise par la mise en place de simulations et d’indicateurs. La démarche peut être à la fois pilotée depuis les organes centraux de l’entreprise (top-down) mais également depuis/avec ses bases opérationnelles (Bottom-up) en permettant notamment l’administration déléguée d’analyses et référentiels. Solution « 100% client-léger », la solution est accessible, via un simple navigateur Internet, à l'ensemble des utilisateurs de toutes les entités mondiales d’une organisation, en fonction de leurs droits d'accès et de leur langue. EGERIE RiskManager consolide la cartographie versionnée et historisée des cyber-risques sur l’ensemble des systèmes de l’organisme et permet d’accéer à une vision globale des risques. Principaux modules fonctionnels couverts par le logiciel : Cartographie des risques : Modélisation de l'organisation et des systèmes en processus et actifs, identification et évaluation des cyber-risques associés, éléments de maîtrise et cartographie. Des référentiels de systèmes, de risques, de mesures sont proposés nativement et sont complètement configurables et personnalisables. Appréciation automaique des risques : Collecte et qualification des éléments constitutifs du scénario de risque, évaluation des impacts, association avec la cartographie des processus, fonctions avancées de caractérisation. Le logiciel calcule automatiquement ainsi le niveau de risque brut, actuel et programmé selon la vraisemblance, l’impact et la complétude des éléments de maîtrises de risques Suivi des mesures et plan de traitement : Définition des mesures de sécurité suivi des actions de sécurisation ; structuration des mesures de sécurité et plans d'actions, réalisation d’état des lieux vis à vis des normes du domaine : iso27002, PCI-DCSS, RGS, CSSF … Annuaire - Outils SMSI – Mars 2015 Page 39 Club 27001 Annuaire - Outils SMSI – Mars 2015 2015 Page 40 2015 Club 27001 OpenPages Annuaire - Outils SMSI – Mars 2015 IBM Page 41 Club 27001 2015 Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o o o o Nom et fonction du répondant Adresse de contact Mail Adresse postale de contact Date de la réponse Goissen Matthieu [email protected] 17 avenue de l'Europe, Bois Colombes 01-sept-14 J'autorise la publication de ces informations sur le site internet "non" du club 27001 (www.club-27001.fr) (oui/non) 1. o o o o o Administratif Nom de l’éditeur Si rattachement à un groupe, préciser Nom et version de l'outil Date de la première version de l’outil (nombre de versions) Langue(s) outil IBM IBM OpenPages V7.0.0 2003, 10 versions majeures Anglais, espagnol, allemand, français, italien, japonais, portugais brésilien, chinois simplifié et chinois traditionnel Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d’affaire annuel (€) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support de l'ordre de 150 n/c 2003 1 5 Support 1er niveau en France Français pour le premier niveau Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... 8 Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) o 2. o o o o 3. o o o o o Principales références et présences en France SGCIB / 2012 / ITG (SMSI) / 3000 employés / France 2013 / UMG Groupe Intériale / ORM // France Williams / ITG (SMSI) / 2011 / 4000 employés / Etats Unis Allianz / ORM (collecte d'incidents) / 2009 / 118.000 employés / Allemagne SG CIB/ ALLIANZ / AVIVA / UMG Groupe Intériale Financier Modalité de définition du coût (forfait, par site, par utilisateur…) Prix public (activation, licence…) Coût récurrent annuel (maintenance, hébergement…) Devis type pour 10 utilisateurs, 3 sites, formation inclue Licence perpétuelle et software assurance avec acquition d'une plaforme puis des utilisateurs accédants aux modules nécessaires Licence perpétuelle intégrant la première année de software assurance Software assurance n/a nous travaillons sur des configurations plus importantes en nombre d'utilisateurs Plateforme technique Pré-requis techniques Mode ASP (oui / non), si oui lieu d'hébergement Langage de développement Client lourd / client léger Outil mono ou multi-utilisateurs 4. Condition de test ou de maquettage o Modalités / coût d’une démonstration o Modalités / coût d’un test chez le client o Données de test inclues dans la démonstration (oui / non) Annuaire - Outils SMSI – Mars 2015 Webpshere/AIX/Oracle ou Weblogic/Windows/Oracle 'oui', nos laboratoires travaillent sur une version en mode SaaS Java Client léger Muti-utilisateurs Gratuit A voir fonction du dossier A voir fonction du dossier Page 42 2015 Club 27001 5. Grandes fonctionnalités et données "votre produit aide-t-il à …?" veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à …? " en l'expliquant brièvement o Définition et partage de la Politique SMSI o Définition et partage de l'Organisation et des Responsabilités o Gestion de la cartographie des processus o Gestion de la cartographie des actifs (primordiaux et supports) o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), identification des risques, critères proposés (DICP…), évaluation, risques résiduels) o Création d'une DDA/SOA (liste des mesures de sécurité) Oui / Non Commentaire / explication "oui" "oui" "oui" "oui" "oui" Référentiel de politiques et intégration avec le référentiel UCF (unified compliance framework) L'outil permet la gestion des organisations avec des hierarchies multiples L'outil permet la gestion de la cartographie des processus et sous processus IT et métiers (sans Cartographies des actifs (ressources) avec différentes informations de typage L'outil peut supporter l'ensemble des méthodologies de marché : DICP, COBIT, Ebios, … : risque, menaces, vulnérabilités, evaluation risque brut, moyens de maitrise, risque net, … "oui" La solution de reporting permet de générer tout type de rapport y compris word permettant de reprendre l'ensemble des informations de l'outil. Oui / Non o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) (à défaut d'explication la réponse sera considérée comme "non") "oui" Commentaire / explication L'outil permet de définir et d'évaluer les moyens de maîtrise des risques et de suivre les plans d'actions et les écarts Oui / Non Commentaire / explication "oui" L'outil traite l'ensemble du workflow d'analyse des incidents en permettant aussi bien l'analyse des causes que des liens L'application intégre un outil de reporting permettant d'agréger les informations (niveau de conformité, efficacité des moyens de maîtrise, avancement des plans d'actions). Par ailleurs, il est possible de définir et calculer des indicateurs de risques et/ou de performances à bases de données internes et importées. L'outil permet de gérer les tests de contrôles qui s'appliques sur les moyens de maîtrises qui sont eux même reliés à des processus, des normes, des ressources … permettant d'évaluer l'efficacité des mesures de sécurité avec des analyses sur l'ensemble des ces axes. o Gestion des Incidents "oui" o Génération d'Indicateurs (conformité, efficacité, avancement) "oui" o Gestion des audits et contrôles des processus, des normes (conformité) et des mesures de sécurité (efficacité) o Planification d'actions périodiques (réunion, contrôle à réaliser…) "oui" Oui / Non o Gestion d'un plan d'amélioration (actions préventives, correctives et d’amélioration) · Documentation "oui" Oui / Non Commentaire / explication "oui" L'outil intègre une gestion documentaire permettant de stocker, mettre à jour et à disposition des documents. La solution de reporting permet également de créer des documents qui pourront être stockés et possiblité de gérer des versions. A plusieurs niveaux : traçabilité des changements (audit trail), possiblité de gérer les versions et de naviguer entre les versions. o Gestion documentaire (création, consultation, mise à jour de la documentation de référence, accessibilité, versionning) "oui" o Gestion des enregistrements (suivi, preuves) · Données & base de connaissance : Oui / Non "oui" o Modèles types (PSMSI, enregistrements types,...) "oui" o Rapports types (rapport d’audit…) "oui" o Référentiels types (ISO 27001, ISO 27002). · Workflows Commentaire / explication Nous pouvons le gérer au travers de deux axes : moyens de maitrise et/ou actions qui peuvent tous les deux être suivis dans le temps. Oui / Non "oui" Commentaire / explication La solution permet la gestion de templates dans des librairies afin de promouvoir la standardisation et intègre par ailleurs les templates d'information UCF. L'application contient 50 rapports standards et offre la capacité de modifier ou créer de nouveaux rapports. l'intégration avec UCF (unified compliance framework) : plus de 400 lois indéxées avec des verticaux sectoriels (banques, pharmacie, energies, …), des standards organisationnels (ISO, COBIT, ITIL) et des lois des différents continents Commentaire / explication la solution intègre un outil de workflow permettant de modeliser aussi des workflow complexes. o Gestion des Workflows 6. Description libre de la solution par l’éditeur -------------> IBM OpenPages IT Governance (ITG) est une solution de gouvernance informatique qui diminue la complexité de la gestion des risques informatiques en alignant les opérations de gestion sur les initiatives métier, la stratégie et les obligations de l'entreprise en matière de réglementation. Reposant sur une architecture centrale ouverte de services partagés, IBM OpenPages ITG permet aux entreprises de rester en conformité avec de nombreux cadres de meilleures pratiques (COSO, CoBit, ITIL et ISO) et réglementations, tout en gérant les risques et en gardant le contrôle interne de leur informatique, en fonction des processus métier pris en charge. IBM OpenPages ITG intègre de nombreux silos de gouvernance informatique afin d’améliorer la transparence, l'aide à la décision, les performances métier et la valorisation. IBM OpenPages ITG permet aux entreprises internationales de : • Surveiller et évaluer de manière centralisée l'efficacité globale de leurs investissements informatiques • Adopter une approche de la gouvernance informatique reposant sur les meilleures pratiques • Déployer une structure de contrôle des risques centrée sur les processus et les règles dans toute l'entreprise • Faire bénéficier la direction d'une plus grande transparence dans les processus informatiques • Rester agile et flexible afin de prendre en compte les changements technologiques et organisationnels • Aligner les investissements informatiques sur les stratégies métier pour apporter aux clients, employés et partenaires des services et des résultats supérieurs tout en assurant une différenciation et un avantage concurrentiel durable sur le marché. IBM OpenPages ITG, qui fait partie intégrante de la plateforme IBM OpenPages GRC, est un bloc fonctionnel clé dans la mise en oeuvre d'une approche intégrée de la gestion des risques et de la conformité à l'échelle de l'entreprise. IBM OpenPages ITG offre une méthode basée sur des règles et des processus pour gérer les risques par le biais d'autoévaluations des dispositifs de contrôle, d'enquêtes utilisateur, d'un workflow automatisé et de tableaux de bord qui apportent à la direction la visibilité, le contrôle et l'aide à la décision nécessaires pour gérer les risques informatiques et optimiser les performances métier. Annuaire - Outils SMSI – Mars 2015 Page 43 Club 27001 Annuaire - Outils SMSI – Mars 2015 2015 Page 44 2015 Club 27001 DCM Manager Annuaire - Outils SMSI – Mars 2015 ID Nouvelles Page 45 Club 27001 2015 Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o o o o Nom et fonction du répondant Adresse de contact Mail Adresse postale de contact Date de la réponse Abeillé Corinne Gérante [email protected] 104 bis, rue René Coty 91330 YERRES 11/08/2014 J'autorise la publication de ces informations sur le site internet "oui" du club 27001 (www.club-27001.fr) (oui/non) 1. o o o o o Administratif Nom de l’éditeur Si rattachement à un groupe, préciser Nom et version de l'outil Date de la première version de l’outil (nombre de versions) Langue(s) outil ID Nouvelles DCM-Manager 4.08 07/2011 (4 versions majeures) Français Anglais Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d’affaire annuel (€) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support 6 500 à 700 K€ 1992 1 5 Yerres Français Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... Accompagnement au déploiement réalisé par ID Nouvelles en propre ou via un intégrateur partenaire Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) o 2. Principales références et présences en France 2011 Banque de France 20000 postes : audit de conformité, reporting (2000 destinataires), cartographie des risques + serve 2013 GIC 400 postes + 30 serveurs / Windows : audit de conformité + reporting 2014 TUI 1500 postes + 300 serveurs : audit de conformité + reporting + workflow + cartographie Banque de France Financier o o o o Modalité de définition du coût (forfait, par site, par utilisateur…) Prix public (activation, licence…) Coût récurrent annuel (maintenance, hébergement…) Devis type pour 10 utilisateurs, 3 sites, formation inclue 3. o o o o o Plateforme technique Pré-requis techniques Mode ASP (oui / non), si oui lieu d'hébergement Langage de développement Client lourd / client léger Outil mono ou multi-utilisateurs 4. Condition de test ou de maquettage o Modalités / coût d’une démonstration o Modalités / coût d’un test chez le client o Données de test incluses dans la démonstration (oui / non) Annuaire - Outils SMSI – Mars 2015 Indépendant du nombre d'équipements, du nombre d'utilisateurs 10 à 40 K€ / an + accompagnement et paramétrage SQL Server / IIS Non .Net framework 4 Admin / client lourd - Rapports / clients légers et aucun déploiement pour l'audit de conformité Multi utilisateurs VM de test avec des données factices Oui Page 46 2015 Club 27001 5. Grandes fonctionnalités et données veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à …? " "votre produit aide-t-il à …?" en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme "non") Commentaire / explication Oui / Non o Définition et partage de la Politique SMSI o Définition et partage de l'Organisation et des Responsabilités o Gestion de la cartographie des processus o Gestion de la cartographie des actifs (primordiaux et supports) o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), identification des risques, critères proposés (DICP…), évaluation, risques résiduels) o Création d'une DDA/SOA (liste des mesures de sécurité) "oui" "oui" "non" "oui" Définition des mesures techniques de sécurité issues de la PSSI Pour chaque actif il existe un propriétaire, un gestionnaire/réalisateur et un contrôleur "oui" Notion de parcs infomatiques utilisateur et de plates-formes métier avec cartographie des écarts par regroupement d'actif et niveau de criticité des actifs Cotation des actifs par niveau de criticité DIC issue des analyses de risque existantes "oui" Uniquement pour les mesures techniques Oui / Non Commentaire / explication Oui / Non Commentaire / explication o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) o Gestion des Incidents o Génération d'Indicateurs (conformité, efficacité, avancement) o Gestion des audits et contrôles des processus, des normes (conformité) et des mesures de sécurité (efficacité) "non" "oui" "oui" Conformité par regroupement d'actif et niveau de criticité Efficacité des mesures de sécurité techniques et suivi des actions de remédiation "oui" Audit continu quotidien o Planification d'actions périodiques (réunion, contrôle à réaliser…) Oui / Non o Gestion d'un plan d'amélioration (actions préventives, correctives et d’amélioration) · Documentation o Gestion documentaire (création, consultation, mise à jour de la documentation de référence, accessibilité, versionning) "oui" Oui / Non Versionning du référentiel des mesures de sécurité technique "oui" Association de la version du référentiel à chaque campagne d'audit et aux objectifs de sécurité attendus à la date d'audit et l'évolution dans le temps des objectifs est tracée Oui / Non "oui" o Rapports types (rapport d’audit…) o Référentiels types (ISO 27001, ISO 27002). · Workflows "oui" Commentaire / explication Rapports dynamiques en ligne et rapports statiques envoyés périodiquement aux correspondants de sécurité Chaque mesure technique implémentée peut être reliée à la mesure de l'ISO 27002 couverte Oui / Non "oui" o Gestion des Workflows 6. Commentaire / explication "oui" o Gestion des enregistrements (suivi, preuves) · Données & base de connaissance : o Modèles types (PSMSI, enregistrements types,...) Commentaire / explication Suivi des actions dans le temps et de l'évolution du niveau de conformité aux objectifs de sécurité Commentaire / explication Pour la modification du référentiel, pour la gestion du changement des composants de sécurité et la mise en production automatique des procédures d'audit continu Description libre de la solution par l’éditeur -------------> DCM-Manager repose sur : - la gestion du référentiel des mesures techniques de sécurité (plusieurs centaines) déployées sur le SI - l'audit technique continu du SI - le reporting du niveau de conformité par rapport aux objectifs de sécurité - la gestion de l'amélioration et la gouvernance des risques induits par les écarts Le SI est regroupé par parc utilisateurs (postes), par plate-forme métier (serveurs), par zone réseau ainsi que par méta regroupement pour refléter l'organisation de l'entreprise Chaque regroupement dispose d'un niveau de criticité DIC Les objectifs sont déclinés par niveau de criticité Les écarts sont représentés par regroupement et par niveau de criticité Les rapports dynamiques permettent d'analyser les écarts par composant de sécurité ou d'un composant en fonction d'un autre DCM-Manager ne nécessite aucun déploiement sur les postes ou serveurs DCM-Manager ne nécessite aucun droit ni habilitation complémentaire sur les postes et serveurs par rapport aux droits déjà appliqués DCM-Manager n'envoie aucune informtation à l'extérieur de l'entreprise DCM-Manager a été conçu pour le RSSI pour challenger sa DSI et synthétiser à la direction générale le niveau de risque observé Annuaire - Outils SMSI – Mars 2015 Page 47 Club 27001 Annuaire - Outils SMSI – Mars 2015 2015 Page 48 Club 27001 2015 Kleverware IAG Kleverware Annuaire - Outils SMSI – Mars 2015 Page 49 Club 27001 2015 Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o o o o Nom et fonction du répondant Adresse de contact Mail Adresse postale de contact Date de la réponse Bertrand Augé - Directeur Commercial [email protected] 4, allée des Garays - 91120 Palaiseau 26/08/2014 J'autorise la publication de ces informations sur le site internet "oui" du club 27001 (www.club-27001.fr) (oui/non) 1. o o o o o Administratif Nom de l’éditeur Si rattachement à un groupe, préciser Nom et version de l'outil Date de la première version de l’outil (nombre de versions) Langue(s) outil Kleverware Kleverware IAG 14.4 - 2 possibilités: "Quick Stard" ou "Enterprise" 2006 français Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d’affaire annuel (€) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support 7 non communiqué 2005 2 2 France français / anglais Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... Oui, plusieurs intégrateurs en France ou à l'étranger Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) o 2. Principales références et présences en France N/A N/A N/A Allianz, AXA, Crédit Agricole, Generali, SmaBtp, PMU, Icade (Caise des dépôts)… Financier o o o o Modalité de définition du coût (forfait, par site, par utilisateur…) Prix public (activation, licence…) Coût récurrent annuel (maintenance, hébergement…) Devis type pour 10 utilisateurs, 3 sites, formation inclue Version "Quick Start" à l'utilisateur, version "Enterprise" au nombre d'Identités intégrées à partir de 30K > plusieurs centaines. 20% du prix Selon nombre d'Identités 3. o o o o o Plateforme technique Pré-requis techniques Mode ASP (oui / non), si oui lieu d'hébergement Langage de développement Client lourd / client léger Outil mono ou multi-utilisateurs Non .Net les 2 Les 2 4. Condition de test ou de maquettage o Modalités / coût d’une démonstration o Modalités / coût d’un test chez le client o Données de test incluses dans la démonstration (oui / non) Annuaire - Outils SMSI – Mars 2015 Gratuit sur "Quick Start" Au temps passé oui Page 50 2015 Club 27001 5. Grandes fonctionnalités et données veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à …? " "votre produit aide-t-il à …?" en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme "non") Commentaire / explication Oui / Non o Définition et partage de la Politique SMSI o Définition et partage de l'Organisation et des Responsabilités o Gestion de la cartographie des processus o Gestion de la cartographie des actifs (primordiaux et supports) o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), identification des risques, critères proposés (DICP…), évaluation, risques résiduels) o Création d'une DDA/SOA (liste des mesures de sécurité) "non" "non" "non" "oui" "non" "non" Oui / Non o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) Commentaire / explication "non" Oui / Non o Gestion des Incidents o Génération d'Indicateurs (conformité, efficacité, avancement) o Gestion des audits et contrôles des processus, des normes (conformité) et des mesures de sécurité (efficacité) Commentaire / explication "oui" "oui" Sur les campagnes de recertification Sur un périmétre de la PSSI "oui" Pour les Identités et les droits o Planification d'actions périodiques (réunion, contrôle à réaliser…) Oui / Non o Gestion d'un plan d'amélioration (actions préventives, correctives et d’amélioration) "oui" · Documentation o Gestion documentaire (création, consultation, mise à jour de la documentation de référence, accessibilité, versionning) o Gestion des enregistrements (suivi, preuves) Oui / Non · Données & base de connaissance : o Modèles types (PSMSI, enregistrements types,...) o Rapports types (rapport d’audit…) o Référentiels types (ISO 27001, ISO 27002). Oui / Non · Workflows o Gestion des Workflows Oui / Non 6. Commentaire / explication Pour les Identités et les droits Commentaire / explication "oui" "oui" Commentaire / explication "non" "oui" "non" "oui" Commentaire / explication Sur les campagnes de recertificaation des comptes. Description libre de la solution par l’éditeur -------------> Il est aujourd'hui crucial de pouvoir détecter et anticiper les risques potentiels qui pèsent sur le Système d'Information. Votre entreprise est confrontée à des mutations permanentes auxquelles plusieurs départements (RH, IT, Métier…) doivent s’adapter : • Vie de l’entreprise (Nécessité de fournir un accès au SI aux clients, partenaires, fournisseurs…) • Cycle de vie de l’utilisateur (Arrivée d’utilisateurs, changements de postes, départs…) Tenir compte de ces mutations est un enjeu majeur pour assurer la sécurité de votre SI. Cela vous évite d’être confronté à des risques opérationnels tels que : le cumul de droits, les habilitations de certains utilisateurs type ‘administrateur’ et l’accès non autorisé de certains utilisateurs à des données stratégiques… Pour optimiser la sécurité de votre SI et en assurer la conformité avec les normes et les réglementations relatives à la gouvernance d’entreprise, vous devez pouvoir répondre à tout moment à la question : « Qui a droit à Quoi et Comment et Pourquoi? ». Kleverware IAG (Identity & Access Governance) est utilisée dans le cadre de projet réglementaire, normatif, fonctionnel, technique tels que : Bâle III, SOX, Solvency II, CRBF, RGS, LSF, ISO 27xxx, Création de référentiels, Contrôle Permanent, Audit, Gestion des habilitations, Création ou Refonte de Profils Métier,... Notre solution sont utilisées par de Grands Comptes, dont plusieurs entités du Groupe BPCE (Bred, I-BP, GCE Technologies…), SMA BTP, plusieurs entités du Groupe Crédit Agricole (Crédit Agricole sa, Silca, Crédit Agricole Consumer Finance…), AXA, La Banque Postale, PMU, AG2R La Mondiale, Icade ... Kleverware est lauréate de Scientipôle Initiative, PM’UP, elle est membre d’OSEO Excellence, Partner de Microsoft / ISV Software Solution. Annuaire - Outils SMSI – Mars 2015 Page 51 Club 27001 Annuaire - Outils SMSI – Mars 2015 2015 Page 52 Club 27001 2015 FENCE MDAL Annuaire - Outils SMSI – Mars 2015 Page 53 Club 27001 2015 Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o o o o Nom et fonction du répondant Adresse de contact Mail Adresse postale de contact Date de la réponse MAZZA, consultant sécurité et responsable du logiciel FENCE [email protected] Société MDAL 11 bd Deodat de Severac Bâtiment Gamma 31770 Colomiers 01-août-14 J'autorise la publication de ces informations sur le site internet "oui" du club 27001 (www.club-27001.fr) (oui/non) 1. o o o o o Administratif Nom de l’éditeur Si rattachement à un groupe, préciser Nom et version de l'outil Date de la première version de l’outil (nombre de versions) Langue(s) outil MDAL FENCE V1 Janvier 2013 2 versions Anglais, Français (gère le multilingue) Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d’affaire annuel (€) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support 4 110 000 euros 2011 4 4 France Français, Anglais Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... Equipe de 3 consultants MDAL Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) o 2. Principales références et présences en France 2014/Module d'analyse de risques/15 000 employés/France 2013/Module d'analyse de risques/30 intervenants Airbus Helicopters/Programme SESAR (Single European Sky ATM Research) Financier o o o o Modalité de définition du coût (forfait, par site, par utilisateur…) Prix public (activation, licence…) Coût récurrent annuel (maintenance, hébergement…) Devis type pour 10 utilisateurs, 3 sites, formation inclue A négocier selon options A négocier selon options A négocier selon options prix indicatif de 25 000 euros en achat 3. o o o o o Plateforme technique Pré-requis techniques Mode ASP (oui / non), si oui lieu d'hébergement Langage de développement Client lourd / client léger Outil mono ou multi-utilisateurs Mode ASP possible : hébergement à déterminer selon les besoins du client. Ruby on rails Navigateur Web Multi-utilisateurs 4. Condition de test ou de maquettage o Modalités / coût d’une démonstration o Modalités / coût d’un test chez le client o Données de test incluses dans la démonstration (oui / non) Annuaire - Outils SMSI – Mars 2015 Gratuit A négocier. Oui Page 54 2015 Club 27001 5. Grandes fonctionnalités et données veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à …? " "votre produit aide-t-il à …?" en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme "non") Oui / Non o Définition et partage de la Politique SMSI o Définition et partage de l'Organisation et des Responsabilités o Gestion de la cartographie des processus o Gestion de la cartographie des actifs (primordiaux et supports) "non" "non" "non" "oui" "oui" o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), identification des risques, critères proposés (DICP…), évaluation, risques résiduels) Commentaire / explication Identification des actifs primaires et des actifs de support associés. Caractérisation des actifs (type, descritpion et responsabilité) Démarche compatible avec la norme iso 27005. Gestion de domaines communs de sécurité et projets. Etablissement de contexte de sécurité. Evaluation des risques : impact (critères de sécurité gérés : disponibilité, confidentialité et intégrité.) et potentialité Gestion d'un catalogue de menaces, vulnérabilités. Génération automatique des scénarios de menace. Tableaux de bord. o Création d'une DDA/SOA (liste des mesures de sécurité) Oui / Non o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) "oui" Oui / Non o Gestion des Incidents o Génération d'Indicateurs (conformité, efficacité, avancement) o Gestion des audits et contrôles des processus, des normes (conformité) et des mesures de sécurité (efficacité) "non" "oui" "non" Commentaire / explication Seule la sélection des contrôles et mesures de sécurité est gérée. Commentaire / explication Une page Dashboard customisable présente un ensemble d'indicateurs. "non" o Planification d'actions périodiques (réunion, contrôle à réaliser…) Oui / Non o Gestion d'un plan d'amélioration (actions préventives, correctives et d’amélioration) · Documentation o Gestion documentaire (création, consultation, mise à jour de la documentation de référence, accessibilité, versionning) o Gestion des enregistrements (suivi, preuves) Oui / Non · Données & base de connaissance : o Modèles types (PSMSI, enregistrements types,...) o Rapports types (rapport d’audit…) o Référentiels types (ISO 27001, ISO 27002). Oui / Non · Workflows o Gestion des Workflows Oui / Non 6. Commentaire / explication "non" Commentaire / explication "non" "non" Commentaire / explication "non" "non" "oui" Commentaire / explication "non" Description libre de la solution par l’éditeur -------------> FENCE est un outil de gestion de risques compatible iso 27005. Il permet d'établir un contexte de sécurité, d'identifier les actifs primaires et de support, d'évaluer les impacts et la potentialité, d'évaluer les niveaux de risques. Enfin Fence permet de traiter les risques en proposant des listes de contrôles et mesures de sécurité. FENCE gère les catalogues de menaces, vulnérabilité, scénarios de menace générique, types d'assets et liste de contrôles et mesures de sécurité dans une base de connaissance. L'utilisateur peut mettre à jour et créer autant de bases de connaissances qu'il souhaite en fonction des besoins. Fence à travers la notion de domaine permet de capitaliser sur les activités d'analyses de risques déjà menées en partageant les contextes de sécurité et les assets en commun. L'utilisateur peut ainsi ré-utiliser des contextes de sécurité et actifs qui ont déjà été créés. Le domaine offre alors une vue consolidée des différents projets. FENCE offre des fonctionnalités d'export pour une restitution externe au logiciel. Il offre également des tableaux de bord et indicateurs pour assurer le suivi des activités de gestion de risques. Annuaire - Outils SMSI – Mars 2015 Page 55 Club 27001 Annuaire - Outils SMSI – Mars 2015 2015 Page 56 Club 27001 2015 Optimiso Annuaire - Outils SMSI – Mars 2015 Page 57 Club 27001 2015 Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o o o o Nom et fonction du répondant Adresse de contact Mail Adresse postale de contact Date de la réponse BOUVIER Christophe, Directeur Commercial [email protected] 13 avenue Victor Hugo, 69160 TASSIN LA DEMI LUNE 19/03/2015 J'autorise la publication de ces informations sur le site internet "oui" du club 27001 (www.club-27001.fr) (oui/non) 1. o o o o o Administratif Nom de l’éditeur Si rattachement à un groupe, préciser Nom et version de l'outil Date de la première version de l’outil (nombre de versions) Langue(s) outil Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d’affaire annuel (€) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... Optimiso Group SA Optimiso, version 9.29 1995 Français, Anglais, Allemand 15 confidentiel 2005 M. Christophe Bouvier, 2 personnes Genève et Lyon Français, Anglais, Allemand Une équipe de consultants accompagne les clients dans la mise en œuvre des solutions et également pour apporter du conseil Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) Client dans le domaine financier (nom confidentiel) 2011 Process Modelor, Document Manager, Human Resources Manager, Risk Manager, Control Safety and Security Manager, Incident & Improvement Manager, Compliance Manager, Infrastructure & Asset Manager, Departement & Unit Manager, Role & Function Manager, Web Share Navigator 200 collaborateurs Suisse Client dans le domaine financier (nom confidentiel) 2009 Process Modelor, Document Manager, Human Resources Manager, Risk Manager, Control Safety and Security Manager, Incident & Improvement Manager, Compliance Manager, Infrastructure & Asset Manager, Departement & Unit Manager, Role & Function Manager, Web Share Navigator 20 collaborateurs Suisse o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) o Principales références et présences en France 2. Financier o Modalité de définition du coût (forfait, par site, par utilisateur…) o Prix public (activation, licence…) o Coût récurrent annuel (maintenance, hébergement…) o Devis type pour 10 utilisateurs, 3 sites, formation inclue 3. o o o o o Mutuelles, Industries, Universités, Collectivités Modules acquis, nombre d'administrateurs et nombre de collaborateurs de l'entreprise de 5'000.- à 50'000.-€ selon les modalités ci-dessus abonnement annuel de maintenance 16% du prix officiel de la licence environ 10'000.-€ Plateforme technique Pré-requis techniques Mode ASP (oui / non), si oui lieu d'hébergement Langage de développement Client lourd / client léger Outil mono ou multi-utilisateurs 4. Condition de test ou de maquettage o Modalités / coût d’une démonstration o Modalités / coût d’un test chez le client o Données de test inclues dans la démonstration (oui / non) Annuaire - Outils SMSI – Mars 2015 Windows XP / Vista / Seven minumum IE 7 ou Firefox 3.6 minimum Si installation standard: Microsoft MDAC / Windows DAC (installé par défaut sur les système Windows) Si installation SQL Server : SQL Server 2008 R2 Express Edition non C++, HTML et Javascript client lourd ET léger multi-utilisateurs Démonstration online gratuite, Démonstration sur site 300.-€ + déplacement de 300.- à 1'000.-€ oui Page 58 2015 Club 27001 5. Grandes fonctionnalités et données "votre produit aide-t-il à …?" veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à …? " en l'expliquant brièvement Commentaire / explication Oui / Non o Définition et partage de la Politique SMSI o Définition et partage de l'Organisation et des Responsabilités o Gestion de la cartographie des processus o Gestion de la cartographie des actifs (primordiaux et supports) o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), identification des risques, critères proposés (DICP…), évaluation, risques résiduels) o Création d'une DDA/SOA (liste des mesures de sécurité) "oui" "oui" "oui" "oui" Définition des actifs et liens de dépendance entre eux. "oui" Risques évalués sur une échelle à deux axes (probabilité et impact). Le nombre de niveaux étant personnalisables (ex: 5 niveaux d'impact, 5 niveaux de probabilité et 4 niveaux de risque). "oui" Par le module Compliance Manager dans lequel les 133 points de contrôles peuvent être identifiés. Pour chaque point de contrôle vous indiquez les mesures en place. Oui / Non o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) "oui" Commentaire / explication Avec un suivi des actions pour l'instant manuel. Oui / Non o Gestion des Incidents o Génération d'Indicateurs (conformité, efficacité, avancement) o Gestion des audits et contrôles des processus, des normes (conformité) et des mesures de sécurité (efficacité) (à défaut d'explication la réponse sera considérée comme "non") Commentaire / explication "oui" "oui" "non" à venir "oui" Module To Do Manager sorti en 2014 o Planification d'actions périodiques (réunion, contrôle à réaliser…) Oui / Non o Gestion d'un plan d'amélioration (actions préventives, correctives et d’amélioration) · Documentation o Gestion documentaire (création, consultation, mise à jour de la documentation de référence, accessibilité, versionning) o Gestion des enregistrements (suivi, preuves) Oui / Non · Données & base de connaissance : o Modèles types (PSMSI, enregistrements types,...) o Rapports types (rapport d’audit…) o Référentiels types (ISO 27001, ISO 27002). Oui / Non · Workflows o Gestion des Workflows Oui / Non 6. Commentaire / explication "oui" Commentaire / explication "oui" "oui" Commentaire / explication "non" "non" "oui" Commentaire / explication "non" Description libre de la solution par l’éditeur Le logiciel Optimiso permet de décrire, modéliser et communiquer l'organisation des entreprises. Il est notamment utilisé dans le cadre des SMSI pour la certification ISO 27001. Dans ce cadre il permet de : - modéliser, gérer et communiquer les processus et procédures de l'entreprises, - identifier les responsabilités de chacun, - gérer tous les documents relatifs au SMSI (règlements, instructions, formulaires, etc.) et les mettre en rapport avec les processus et procédures, les risques et les contrôles et les responsabilités, - identifier, gérer et catégoriser les actifs de l'entreprise, identifier les relations de dépendance entre les actifs et les lier aux autres éléments (responsabilités, entités, risques, contrôles, etc.), - identifier et évaluer les risques, - documenter les contrôles ou mesures de protection, - apporter la preuve de la protection des informations, - documenter et gérer les plans d'amélioration, - identifier l'ensemble des éléments ci-dessus dans le SOA, - etc. De plus, en 2014, nous avons sorti un nouveau module "To Do Manager" pour répondre aux objectifs suivants : - Suivi de la réalisation des contrôles - Suivi de la réévaluation des risques - Suivi de la révision des procédures - Suivi de la réalisation des actions d'améliorations Envoi d'emails permettant de rappeler les tâches à effectuer Le destinataire indique en retour si la tâche a été réalisée ou non et éventuellement son résultat L’expéditeur suit la réalisation des tâches Ce module est appelé à évoluer et d'autres fonctions viendront compléter le périmètre fonctionnel. Annuaire - Outils SMSI – Mars 2015 Page 59 Club 27001 Annuaire - Outils SMSI – Mars 2015 2015 Page 60 2015 Club 27001 Verinice Annuaire - Outils SMSI – Mars 2015 Sernet Page 61 Club 27001 2015 Description of a software product for Information Security Management Contact o o o o Respondent name and quality Contact email address Contact address Response Date Alexander Koderman, Product Owner [email protected] Alexander Koderman, SerNet GmbH, Torstr. 6, 10119 Berlin 2014-08-27 I hereby authorize "club 27001" to publish on their web site the "YES" information provided in this document (www.club-27001.fr) (Yes/No) 1. o o o o o Administrative Company name In case of group attachment, please specify Product Name and release Product creation year (number of releases) Product languages SerNet GmbH verinice 1.8 / verinice.PRO 1.8 2008 (25) English, German The following questions are only about publishing activities of ISMS Software Tools o Number of employees o Annual Revenue (€) o Company creation year o Customer location in France / # employees o Technical location in France / # employees o Location of customer support o Support language 60 1997 none none Germany (Berlin and Goettingen) English, German Implementation support / integration: dedicated vendor team, or partners… own Support Team plus Partners, see http://partner.verinice.org/partner/verinicepartner/ Active references of ISMS Tools company: o Ref. 1 (Year / Deployed Modules / customer size / reference country) o Ref. 2 (Year / Deployed Modules / customer size / reference country) o Ref. 3 (Year / Deployed Modules / customer size / reference country) o Main references in France Volkswagen, Germany (Automotive) EUROPEAN UNION - General Secretariat of the Council, Belgium (Public) Itron Inc, USA (Energy) none 2. o o o o Financial Pricing model (package, by site, by user…) Public price (activation, license,...) Annual recurring costs (maintenance, hosting ...) Standard costs for 10 users, 3 sites, training included annual subscription fee per server and per company / institution 3 400,00 € 3 400,00 € 3.400,00 €, plus training depending on pre-existing knowledge 3. o o o o o Technical Platform Technical requirements Application Service Provider (YES / NO), if yes hosting location Development language Thick client / thin client Single or multi user tool VMWare Player 3.0 / ESX 4.1 orVMWare Server 2.0.X / other Virtualization Environment or physical Server, min. 4GB RAM / Virtual Appliance English Rich client & Web Frontend for Workflow Activities Multi User / Multi Tenant (verinice.PRO) 4. Test or benchmark o Conditions / demonstration cost o Conditions / cost of a customer test o Test Data included in demonstration (yes / no) Annuaire - Outils SMSI – Mars 2015 Web-Demo available, fully functional Client available for free (Open Source) free client download free of charge yes Page 62 2015 Club 27001 5. Main functions and Data please answer the question "does your product help with …? " "Does your product help with …?" and briefly explain how Comment / justification Yes / No o o o o Defining and sharing the ISMS Policy Defining and sharing the Organisation and Responsibilities Process Mapping Management Asset Mapping Management (primary and support) o Risk analysis: method(s) used, risk identification, proposed criteria (AIC...), risk evaluation, residual risks. o SOA generation (list of security controls) o Management of Risk Treatment Plan (selection of security controls, actions plan, actors, schedule, action follow up) "yes" "yes" "yes" "yes" "yes" "yes" Documents can be managed inside the verinice database or as external references yes, personell can be defined and assigned to controls, assets and other objects in their yes, modelling of processes and their dependencies to assets yes, see above risk assessment and treatment acc. to ISO 27005, see our screencast: http://www.verinice.org/en/products/screencasts/ Yes, 27001 Annex A controls and additionally selected controls included in standard template Yes / No Comment / justification "yes" Selection and assignment of controls, web-based workflow engine to delegate tasks and follow up on them Yes / No o Incidents Management o Generation of indicators/dashboard (compliance, efficiency) o Management of audits and checks on processes, standards (compliance) and security controls (efficiency) o Recurring work planification (meetings, checks…) Comment / justification "yes" "no" "yes" incidents and responses can be created, assigned and reported generation of reports is possible, but no web-based dashboard audits are a special object with special workflows attached to them "oui" workflow engine allows creation of individually defined tasks for any object Yes / No o Management of improvement plan (preventive, corrective and improvement actions) · Documentation · Data and knowledge base: o Document and record templates (ISMS policy, records...) Comment / justification "yes" Yes / No "yes" o Documentation Management(creation, consultation, reference document update, accessibility, versioning) o Records management (follow up, audit trail and evidence) (if no explanation, the answer will be considered "No") "yes" Comment / justification documents can be attached to any object and also included in workflow tasks (i.e. „fill out this form“ or „implement this control and add screenshot as proof“) Attachments are timestamped and versioned. External URLs can be documented as well. Object types „Evidence“ and „Audit Action“ Yes / No Comment / justification "no" "yes" no templates are included in the product, there is just a list of mandatory documents standard report templates aree included, verinice.PRO includes a fully featured report designer "yes" official text can be licensed, otherwise we include our own implementation guidance with just the official chapter headings o Report templates (audit report, …) o Referenced documents (ISO 27001, ISO 27002). · Workflows o Workflows Management 6. Yes / No "yes" Comment / justification see our screencast: http://www.verinice.org/en/products/screencasts/ Vendor's description of the software (feel free to summarize as you wish) -------------> Verinice is a tool for managing information security. The software is provided under the GPLv3 license. As open source software, it is available for free in our download area. verinice.PRO adds multi user support, a workflow engine, report designer and much more. verinice.PRO is available as a yearly software subscription. Our website is http://verinice.org You can use verinice for: - establishing, maintaining and improving an ISMS based on ISO 27001 - assuring the compliance with standards such as ISO 27002, BSI IT-Baseline Security, VDA IS-Assessments and many more - performing risk analysis based on ISO 27005 - auditing, document management, report generation and much more verinice runs on Windows, Linux and Mac OS. Annuaire - Outils SMSI – Mars 2015 Page 63 Club 27001 Annuaire - Outils SMSI – Mars 2015 2015 Page 64 Club 27001 2015 III. Conclusion De nouveaux produits, de nouvelles fonctionnalités, quelques départs : • • • De nouveaux acteurs font leur apparition sur le marché français ou le testent. La majorité des produits propose de nouvelles fonctionnalités. Au moins 2 acteurs (Callio Secura et ISOSystemPlus) ne sont plus présents sur le marché. L’édition 2015 du Livre Blanc Benchmark des Outils SMSI : • Permettra de comparer ces solutions et notamment leurs apports vis-à-vis des nouvelles versions des normes. • Devra identifier les réelles avancées fonctionnelles améliorant l’aide à la conception et au maintien d’un SMSI. Un enquete en ligne - http://tinyurl.com/mvbmmnn - destinée aux RSSI est disponible, elle couvre : • Les usages de la norme ISO27001 dans les entreprises privées et organismes publiques • L’utilisation d’outils logiciels SMSI pour la mise en œuvre et l’exploitation des SMSI. Si vous utilisez ou connaissez d’autres outils absents de ce catalogue, votre retour d’expérience sera utile à la communauté du Club 27001. Si vous souhaitez nous en informer ou souhaitez apporter votre contribution en participant au benchmark : contactez nous ! [email protected] Annuaire - Outils SMSI – Mars 2015 Page 65 Club 27001 2015 Publication des résultats Vous serez prévenus dès parution du Livre blanc 2015. Les documents suivants sont deja disponibles en téléchargement sur le site Internet du Club 27001, rubrique « Benchmark outils SMSI » : • L’Annuaire 2015 • Le modèle de questionnaire administratif 2015 • Le modèle de questionnaire technique 2015 • • Le livre blanc (extraits) 2013 La présentation 2013 du séminaire annuel du Club 27001 (4 avril 2013) http://www.club-27001.fr/ Les documents suivants sont fournis sur demande aux membres du Club 27001 : • Le livre blanc (complet) 2013 • Les questionnaires préliminaires renseignés par les éditeurs 2013 • Les questionnaires techniques complétés par les membres du GT 2013 [email protected] Annuaire - Outils SMSI – Mars 2015 Page 66