Livre Blanc - Annuaire 2015 Outils SMSI

Transcription

Livre Blanc - Annuaire 2015 Outils SMSI
Club 27001
ANNUAIRE 2015
OUTILS SMSI
Mars 2015
CLUB 27001
Site Internet : http://www.club-27001.fr
Adresse email: [email protected]
Club 27001
2015
Avant propos
L'association "Club 27001" rassemble des professionnels de la sécurité des systèmes
d'information, et s'intéresse plus particulièrement aux normes de la série ISO 27000.
A la demande de ses membres, l'association a entrepris dès 2012 d'identifier et d’analyser
des outils qui peuvent leur être utiles dans la conception et le maintien de leurs Systèmes de
Management de la Sécurité de l'Information (SMSI). Un groupe de travail Benchmark des
outils SMSI a donc été formé pour piloter ce projet.
En 2013, une première édition du Livre Blanc « Benchmark Outils SMSI » a été publiée et est
disponible à l’adresse : http://www.club-27001.fr/benchmark.html.
Une édition 2015 est en cours d’élaboration. A cette occasion, le groupe de travail a
constitué et contacté une liste d’éditeurs d’outils logiciels permettant de contribuer en tout
ou partie à la mise en œuvre et à l’exploitation d’un SMSI.
Cet annuaire regroupe l’ensemble des informations administratives fournies par les éditeurs
sous leur seule responsabilité. Il s’agit bien entendu d’une aide à l’identification d’une
solution logicielle et en aucun cas de l’engagement du Club 27001 vis-à-vis de l’un ou l’autre
des éditeurs mentionnés. Cet annuaire ne saurait être considéré comme exhaustif et pourra
faire l’objet de compléments, notamment de nouveaux éditeurs souhaitant répondre à notre
questionnaire et communiquer auprès de la communauté du Club 27001.
N’hésitez pas à nous contacter ([email protected]) pour nous soumettre vos
suggestions et remarques.
Enfin, je tiens à remercier l’ensemble des éditeurs ayant répondu favorablement à nos
questions ainsi que les membres de l’association soutenant cette initiative.
Florence Le Goff, animatrice du Groupe de Travail
Thomas Lebouc, initiateur et animateur du Groupe de Travail
La loi française du 11 mars 1957 n'autorisant, aux termes des alinéas 2 et 3 de l'article 41, d'une part, que les "copies
strictement réservées à l'usage privé du copiste et non destinées à une utilisation collective" et, d'autre part, que les
analyses et les courtes citations dans un but d'exemple , "toute reproduction intégrale, ou partielle, faite sans le
consentement du club 27001, est illicite" (alinéa 1er de l'article 40).En cas de besoin du texte, à des fins personnelles ou
commerciales ainsi que de toute information contenue dans le site web, nous vous invitons à prendre contact avec le club
27001 au préalable.
Annuaire - Outils SMSI – Mars 2015
Page 3
2015
Club 27001
I. Editeurs Identifiés
Solution
STREAM
Score PDCA ISM
EBIOS 2010
ISMart
Entropy
Bwise GRC
Callio-Secura
Mehari
RVR
DPCIA
Easy2comply
SGSI
Front GRC
RSA Archer eGRC
Enablon RM
EGERIE Risk Manager
Gesttic Or
OpenPages
DCM Manager
Brainwave
IsoVision
Kleverware IAG
FENCE
MEGA
MetricStream GRC
Modulo
ISOSystemPlus
JKT9000
Optimiso
Blue Suite
ManageISMS
Profisse
RealISMS
In4Risk
Self-Expert
Verinice
RSSI-Pilote
Editeur
Nationalité
Acuityrm
Ageris
ANSSI
Biznet
BSI
Bwise
Callio technologie
Clusif
DEVOTEAM
DPCIA
DynaSec Itd
ECIJA
eFront
EMC-RSA
Enablon
Fidens
Gesttic
IBM
ID Nouvelles
Identity GRC
IsoVision
Kleverware
MDAL
MEGA suite
MetricStream
Modulo
Netcomm
Noweco
Optimiso Group
Oxial
Paladion
PROFIS S.A.S
Realiso Corp
Sagenti
SE-Conseil
Sernet
Siva
Grande Bretagne
France
France
Turquie
Grande Bretagne
Pays-Bas
Canada
France
France
France
Israel
Espagne
France
Etats-Unis
France
France
Espagne
Etats-Unis
France
France
Canada
France
France
France
Etats-Unis
Etats-Unis
Etats-Unis
Allemagne
Suisse
Suisse
Inde
France
Etats-Unis
Canada
France
Allemagne
France
Participation à cet Annuaire
Page 5
Page 9
Page 13
Page 17
N’a pas répondu à ce jour
N’a pas répondu à ce jour
N’a pas répondu à ce jour
Page 21
Page 25
N’a pas répondu à ce jour
N’a pas souhaité participer
Page 29
Page 33
N’a pas répondu à ce jour
N’a pas souhaité participer
Page 37
N’a pas répondu à ce jour
Page 41
Page 45
N’a pas répondu à ce jour
N’a pas souhaité participer
Page 49
Page 53
N’a pas répondu à ce jour
N’a pas souhaité participer
N’a pas répondu à ce jour
N’a pas répondu à ce jour
N’a pas répondu à ce jour
Page 57
N’a pas répondu à ce jour
N’a pas répondu à ce jour
N’a pas répondu à ce jour
N’a pas répondu à ce jour
N’a pas répondu à ce jour
N’a pas répondu à ce jour
Page 61
N’a pas répondu à ce jour
II. Questionnaires administratifs
Les informations publiées ici ont été fournies par les éditeurs.
Annuaire - Outils SMSI – Mars 2015
Page 4
Club 27001
2015
STREAM Acuityrm
Annuaire - Outils SMSI – Mars 2015
Page 5
Club 27001
2015
Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information
utilisables dans le cadre des normes ISO 2700X
Contact
o
o
o
o
Nom et fonction du répondant
Adresse de contact Mail
Adresse postale de contact
Date de la réponse
Simon Marvell, Partenaire
[email protected]
Liberty House, 222 Regent Street, London, W1B 5TR
17 Octobre 2014
J'autorise la publication de ces informations sur le site internet
"oui"
du club 27001 (www.club-27001.fr) (oui/non)
1.
o
o
o
o
o
Administratif
Nom de l’éditeur
Si rattachement à un groupe, préciser
Nom et version de l'outil
Date de la première version de l’outil (nombre de versions)
Langue(s) outil
Les questions suivantes concernent uniquement l'activité d'éditeur
d'outil SMSI :
o Nombre d'employés
o Chiffre d’affaire annuel (€)
o Année de création de l'activité
o Représentation commerciale en France / effectif
o Représentation technique en France / effectif
o Localisation du support
o Langues du support
Acuity RM
STREAM Integrated Risk Manager, V3 + ISO 27001 Application
2013 (9 parutions)
Anglais
Francais, Allemand, Russe, Espagnol
6
1.000.000
2005
Angleterre et Inde
Anglais
Accompagnement au déploiement / intégration : équipe spécialisée
éditeur, ou partenariats...
Deux équipes ou partenaires fournisseur dédié. La mise en œuvre est simple et rapide et peut être pris en charge à
distance via des réunions en ligne.
Références actives de l'éditeur d'outil SMSI :
o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la
référence)
o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la
référence)
o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la
référence)
Depuis 2008 / ISO 27001 Compliance Manager, Risk Manager & Events Manager / UK Department for Education large Government Department / UK
Depuis 2009 / ISO 27001 Compliance Manager, Risk Manager & Events Manager / Fujitsu Services - large Managed
Services provider / UK
Depuis 2009 / ISO 27001 Compliance Manager, Risk Manager & Events Manager / NHS in Wales - large Health
Services provider / UK
o
2.
o
o
o
o
3.
o
o
o
o
o
Principales références et présences en France
Financier
Modalité de définition du coût (forfait, par site, par utilisateur…)
Prix public (activation, licence…)
Coût récurrent annuel (maintenance, hébergement…)
Devis type pour 10 utilisateurs, 3 sites, formation inclue
Plateforme technique
Pré-requis techniques
Mode ASP (oui / non), si oui lieu d'hébergement
Langage de développement
Client lourd / client léger
Outil mono ou multi-utilisateurs
4. Condition de test ou de maquettage
o Modalités / coût d’une démonstration
o Modalités / coût d’un test chez le client
o Données de test incluses dans la démonstration (oui / non)
Annuaire - Outils SMSI – Mars 2015
Simple Utilisateur (SU) édition gratuite - ISO 27001 Application 250£ mais cela requiert d'avoir la licence payante de
STREAM. Il existe une edition Mutli Utilisateurs et le prix est basé sur le nombre d'utlisateur.
SU 295£ - 2.495£ par an. Veuillez nous contacter si vous souhaitez des prix pour la version Mutli Utilisateurs.
Le support est en option pour une licence perpetuelle. Pour une licence annuelle le support est inclu.
Plusieurs options sont disponibles - Veuillez nous contacter.
Windows 98 / 2000 / XP / Vista / 7 /8. MS SQL Server 2005 / 8 / 12
Oui, en Angleterre
.NET, C
Client léger, navigateur et l'accès mobile (iPad, iPhone, Android) via une solution de virtualisation
Les deux.
Démonstration en vidéos et téléchargements gratuits sur notre site internet.
STREAM simple utilisateur (SU) edition gratuite du logiciel STREAM. ISO 27001 application pour STREAM SU coute
Oui
Page 6
2015
Club 27001
5.
Grandes fonctionnalités et données
veuillez répondre ci-dessous pour chaque rubrique à la question
"votre produit aide-t-il à …? "
"votre produit aide-t-il à …?"
en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme "non")
Oui / Non
o Définition et partage de la Politique SMSI
o Définition et partage de l'Organisation et des Responsabilités
o Gestion de la cartographie des processus
o Gestion de la cartographie des actifs (primordiaux et supports)
Hyperliens vers des documents de politique
Construire une hiérarchie de l'entreprise, en attribuer la propriété à des risques, des contrôles,
Définir les processus et lien avec les ressources, la hiérarchie de l'entreprise, attribuer la
Classes d'actifs flexibles permetant aux actifs destinés à être définies et cartographiées -
"oui"
ISO 27005 - identification des risques (par l'utilisateur et / ou pré-rempli sur la base des
relations actifs / classes d'actifs / risque). Impact sur les entreprises et l'évaluation de la
probabilité contre A, I, C. Contrôles liés par l'utilisateur et / ou pré-remplie basée sur les
relations actifs / classes d'actifs / contrôle. Évaluation des risques résiduels sur la base de la
LFI, l'évaluation de la probabilité et de l'importance et de la performance des contrôles
d'atténuation.
SOA disponible sous forme de rapport et aussi une exportation vers MS Excel
o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s),
identification des risques, critères proposés (DICP…), évaluation,
risques résiduels)
o Création d'une DDA/SOA (liste des mesures de sécurité)
"oui"
Oui / Non
o Gestion du Plan de traitement des risques (Sélection des mesures
de sécurité, plan d'action, acteur, planning et suivi des actions)
Commentaire / explication
"oui"
"oui"
"oui"
"oui"
"oui"
Oui / Non
Commentaire / explication
Plan de traitement des risques disponibles en rapport avec une série de rapports à l'appui.
Vaste module de gestion des mesures pour élever, suivre et rendre compte des actions.
Commentaire / explication
Enregistrer, suivre et rapport sur les incidents et les quasi-accidents. Attribuer la propriété des
événements et faire des actions.
La page d'accueil fournit un tableau de bord personnalisé des informations essentielles sur :
l'état de risque, l'état de conformité, l'état des événements, horaires des évaluations,
approbations et les actions.
Nom et heure enregistrés sur la création / modification des éléments importants de l'utilisateur.
Processus d'approbation pris en charge.
Flux de travail avec cession de propriété, les dates et les alertes se font par email.
o Gestion des Incidents
o Génération d'Indicateurs (conformité, efficacité, avancement)
o Gestion des audits et contrôles des processus, des normes
(conformité) et des mesures de sécurité (efficacité)
o Planification d'actions périodiques (réunion, contrôle à réaliser…)
Oui / Non
·
Documentation
o Gestion documentaire (création, consultation, mise à jour de la
documentation de référence, accessibilité, versionning)
o Gestion des enregistrements (suivi, preuves)
Oui / Non
· Données & base de connaissance :
o Modèles types (PSMSI, enregistrements types,...)
Oui / Non
o Gestion des Workflows
Annuaire - Outils SMSI – Mars 2015
Commentaire / explication
Extention des rapports de déclaration de l'applicabilité et de traitement des risques.
Les rapports standard pour le Top 10 des risques, l'état de contrôle, les incidents et les
accidents évités de justesse, les tendances historiques, les approbations et les actions.
ISO 27001, ISO 27002 et un large éventail d'autres données de référence y compris les propres
normes de contrôle des utilisateurs et des listes de risque.
o Référentiels types (ISO 27001, ISO 27002).
Workflows
Commentaire / explication
Hyperliens vers les documents pertinents, tels que les politiques, les procédures, les preuves,
les rapports d'audit etc
Envoi d'emails afin d'effectuer le suivi des actions relatives aux documents.
o Rapports types (rapport d’audit…)
·
Commentaire / explication
Vaste module de gestion des mesures pour élever, suivre et rendre compte des actions posées
contre les risques, les contrôles, les incidents et les accidents évités de justesse.
o Gestion d'un plan d'amélioration (actions préventives, correctives
et d’amélioration)
Oui / Non
Commentaire / explication
Calendrier des actifs et des approbations, e-mail d'alerte sur la répartition des rappels de
calendrier régulier pour les évaluations à venir et en retard, les approbations et les actions.
Page 7
Club 27001
Annuaire - Outils SMSI – Mars 2015
2015
Page 8
Club 27001
2015
Score PDCA ISM Ageris
Annuaire - Outils SMSI – Mars 2015
Page 9
Club 27001
2015
Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information
utilisables dans le cadre des normes ISO 2700X
Contact
o
o
o
o
Nom et fonction du répondant
Adresse de contact Mail
Adresse postale de contact
Date de la réponse
M. Thierry RAMARD
[email protected]
16 rue de Pont-à-Mousson - 57000 METZ
30-juil-14
J'autorise la publication de ces informations sur le site internet du club
"oui"
27001 (www.club-27001.fr) (oui/non)
1.
o
o
o
o
o
Administratif
Nom de l’éditeur
Si rattachement à un groupe, préciser
Nom et version de l'outil
Date de la première version de l’outil (nombre de versions)
Langue(s) outil
Les questions suivantes concernent uniquement l'activité d'éditeur d'outil
SMSI :
o Nombre d'employés
o Chiffre d’affaire annuel (€)
o Année de création de l'activité
o Représentation commerciale en France / effectif
o Représentation technique en France / effectif
o Localisation du support
o Langues du support
AGERIS Software
AGERIS GROUP
Score Compliance 2014
2005
Français
4
150 000 €
2008
2
2
France
Français
Accompagnement au déploiement / intégration : équipe spécialisée éditeur,
ou partenariats...
Références actives de l'éditeur d'outil SMSI :
o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) Conseil Général de Seine Maritime / 2008 - à ce jour / Suite logicielle Score / 4500 employés / France
o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) Banque PICTET / 2008 - à ce jour / Score Compliance / 300 employés / Suisse
o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) Banque Postale / 2011 - à ce jour / Score Compliance / 10 000 employés / Maroc
o
Principales références et présences en France
Communauté Urbaine de Strasbourg, Adisseo, CH Ajaccio, IBO
2.
o
o
o
o
Financier
Modalité de définition du coût (forfait, par site, par utilisateur…)
Prix public (activation, licence…)
Coût récurrent annuel (maintenance, hébergement…)
Devis type pour 10 utilisateurs, 3 sites, formation inclue
par utilisateur
3 000 €
600 €
9 000 € HT
3.
o
o
o
o
o
Plateforme technique
Pré-requis techniques
Mode ASP (oui / non), si oui lieu d'hébergement
Langage de développement
Client lourd / client léger
Outil mono ou multi-utilisateurs
Office 2010 minimum
Non
Solution basé sur Excel
client lourd ou léger
Outil mono ou multi utilisateur
4. Condition de test ou de maquettage
o Modalités / coût d’une démonstration
o Modalités / coût d’un test chez le client
o Données de test inclues dans la démonstration (oui / non)
Annuaire - Outils SMSI – Mars 2015
Démonstrations gratuites
A définir avec le client
oui
Page 10
2015
Club 27001
5.
Grandes fonctionnalités et données
"votre produit aide-t-il à …?"
veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à …? "
en l'expliquant brièvement
Oui / Non
"oui"
o Définition et partage de la Politique SMSI
"oui"
o Définition et partage de l'Organisation et des Responsabilités
Score Compliance permet de cartographier les processus au travers d'une FRP (Fiche de
Renseignement des Processus). Cette FRP inclut une analyse des risques basée sur la norme ISO
27005 ainsi que la synthèse d'une analyse des besoins de sécurité.
"oui"
A travers des FRP (cf. ci-dessus), l'utilisateur peut référencer les actifs supports et les classifier selon
leur contribution à la réalisation du processus concerné (actif primodial) et les enjeux de sécurité
(DICP).
"oui"
Un module dédié à l'appréciation des risques est proposé. Il est basé sur la norme ISO 27005. ce
module inclut une série d'évènements liés l'usage des SI mais également des événements de toute nature
qui pourraient porter préjudicie à l'entreprise (plus de 40 évènements). L'appréciation des risques est
basée sur l'analyse de la gravité et de la vraisemblance des évènements qui peuvent impacter la
disponibilité, l'intégrité, la confidentialité ou la traçabilité des informations et des SI. Une cartographie
Score Compliance permet la génération de la DDA/SOA : Les données issues d'un diagnostic ISO
27002 sont automatiquement intégrées dans la version de travail qui peut ensuite être complétée
manuellement.
o Gestion de la cartographie des actifs (primordiaux et supports)
"oui"
o Création d'une DDA/SOA (liste des mesures de sécurité)
Oui / Non
o Gestion du Plan de traitement des risques (Sélection des mesures de
sécurité, plan d'action, acteur, planning et suivi des actions)
o Gestion des Incidents
"oui"
Commentaire / explication
"oui"
Un module est dédié à la gestion des incidents et vise à concervé un historique à destination de
la Direction Générale.
Score Compliance intègre un module dédié aux tableaux de bord. Les indicateurs sont basés
sur la norme NF ISO 27001 : 2013, la norme NF ISO 27002 : 2013, les règles d'hygiène de
l'ANSSI, les directives de la PSSI. L'utilisateur a la possibilité de personnaliser ses indicateurs.
"oui"
"oui"
o Gestion des audits et contrôles des processus, des normes (conformité) et
des mesures de sécurité (efficacité)
"oui"
o Planification d'actions périodiques (réunion, contrôle à réaliser…)
Oui / Non
·
Documentation
o Gestion documentaire (création, consultation, mise à jour de la
documentation de référence, accessibilité, versionning)
"oui"
Oui / Non
"oui"
"oui"
o Gestion des enregistrements (suivi, preuves)
·
Données & base de connaissance :
Commentaire / explication
Score Compliance permet le stockage de tous les documents du SMSI au travers de fonctions
simples accessibles à l'utilisateur.
Score Compliance permet le stockage de tous les documents y compris les compte rendu de
révisions du SMSI au travers de fonctions simples accessibles à l'utilisateur.
Commentaire / explication
Score Compliance intègre de nombreux modèles permettant à l'utilisateur de mettre en œuvre
son SMSI. Sont notamment inclus : des modèles de Politiques de sécurité, charte utilisateur,
des questionnaire d'analyse des enjeux et de BIA, des modèles de tableaux de bord, des fiches
de renseignement (FRP, FRT, FTMO).
"oui"
Score Compliance génére automatiquement des rapports .doc et .ppt sur certains modules
notamment d'audit (ISO 27001, ISO 27002, DDA, etc.)
- Norme NF ISO 27001 : 2013 - outil de diagnostic informatisé
- Norme NF ISO 27002 : 2013 - outil de diagnostic informatisé
- Norme NF iSO 27005 : 2011 - outil d'apprécaition des risques informatisé
- Règles d'hygiène de l'informatique de l'ANSSI - outil de diagnostic informatisé
- Guide de maturité de l'ANSSI - Outil de diagnostic Informatisé
- RGS 2.0 - outil de diagnostic informatisé
- Guide GISSIP - outil de constitution de dossier de sécurité informatisé
o Référentiels types (ISO 27001, ISO 27002).
Annuaire - Outils SMSI – Mars 2015
Commentaire / explication
Score Compliance permet la gestion du plan d'amélioration au travers des modules de suivi
annuels (configurable par l'utilisateur). Les indicateurs permettent de vérifier l'amélioration
continue de la sécurité au travers des tableaux de bord générés automatiquement.
"oui"
"oui"
·
Workflows
o Gestion des Workflows
Score Compliance intègre différents modules qui permettent de mesurer la conformité et
l'efficacité des dispositifs et des processus du SMSI (audit NF ISO 27001 : 2013; audit NF ISO
27002 : 2013, audit loi "informatique et libertés", audit sensibilisation des utilisateurs, audit du
PCA / PRA, audit PCI-DSS, audit Mehari, etc.)
Un module est dédié à la planification des actions périodiques. De base les actions périodiques
de base (revue de direction, réunion de pilotage, audit de conformité, audit technique, …) sont
personnalisable par l'utilisateur et son programmable sur 5 ans.
Oui / Non
o Modèles types (PSMSI, enregistrements types,...)
o Rapports types (rapport d’audit…)
Commentaire / explication
Score Compliance permet la gestion du plan de traitement des risques au travers de la
selection de mesures de sécurité basé sur les bonnes pratiques émises par les autorités
compétentes. Il permet la définition et le suivi du plan d'actions SSI.
Oui / Non
o Génération d'Indicateurs (conformité, efficacité, avancement)
o Gestion d'un plan d'amélioration (actions préventives, correctives et
d’amélioration)
Commentaire / explication
4 modèles de politique sont disponibles dans le logiciel Score Compliance :
- Politique à destination des PME / PMI
- Politique à destination des collectivités locales
- Politique à destination des établissements de santé
En complément à ces documents, il est également disponibles, des modèles de chartes (utilisateurs,
informaticiens, IRP, Tiers) ainsi que des documents permettant de formaliser un plan d'actions.
Ces modèles de documents sont personnalisables et diffusables au travers des outils internes de
l'entreprise habituellement utilisée.
Un exemple de modèle organisationnel ainsi que la définition de rôles et responsabilités sont disponibles
dans un document de référence. La diffusion de l'organisation reste à la charge de l'entreprise qui
utilisera les moyens internes habituellement utilisés pour partager l'information (mail, intranet, etc.)
"oui"
o Gestion de la cartographie des processus
o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s),
identification des risques, critères proposés (DICP…), évaluation, risques
résiduels)
(à défaut d'explication la réponse sera considérée comme "non")
Oui / Non
Commentaire / explication
"non"
Page 11
Club 27001
Annuaire - Outils SMSI – Mars 2015
2015
Page 12
2015
Club 27001
EBIOS 2010
Annuaire - Outils SMSI – Mars 2015
ANSSI
Page 13
Club 27001
2015
Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information
utilisables dans le cadre des normes ISO 2700X
Contact
o Nom et fonction du répondant
Desroches Vincent, Bureau Maîtrise des Risques et Réglementation (ANSSI)
o Adresse de contact Mail
[email protected]
o Adresse postale de contact
o Date de la réponse
Secrétariat Général de la Défense et de la Sécurité NationaleAgence Nationale de la Sécurité des Systèmes d'Information51 b
25/02/15
J'autorise la publication de ces informations sur le site internet
"oui"
du club 27001 (www.club-27001.fr) (oui/non)
1.
o
o
o
o
o
Administratif
Nom de l’éditeur
Si rattachement à un groupe, préciser
Nom et version de l'outil
Date de la première version de l’outil (nombre de versions)
Langue(s) outil
ANSSI
Sans objet
EBIOS 2010 version 1.04 air du 17/12/2012
1.0 du 13/10/2011
Français, anglais
Les questions suivantes concernent uniquement l'activité d'éditeur
d'outil SMSI :
o Nombre d'employés
o Chiffre d’affaire annuel (€)
o Année de création de l'activité
o Représentation commerciale en France / effectif
o Représentation technique en France / effectif
o Localisation du support
o Langues du support
Sans objet
Sans objet
Sans objet
Sans objet
Sans objet
Néant. Pas de support à proprement parler, mais recueil possible des avis et retours utilisateurs via une adresse mail de conta
Néant (pas de support)
Accompagnement au déploiement / intégration : équipe spécialisée
éditeur, ou partenariats...
Néant
Références actives de l'éditeur d'outil SMSI :
o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la
référence)
o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la
référence)
o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la
référence)
o
2.
Principales références et présences en France
Sans objet
Sans objet
Sans objet
Paris
Financier
o
o
o
o
Modalité de définition du coût (forfait, par site, par utilisateur…)
Prix public (activation, licence…)
Coût récurrent annuel (maintenance, hébergement…)
Devis type pour 10 utilisateurs, 3 sites, formation inclue
Sans objet
Gratuit (logiciel open source en téléchargement gratuit sur la plateforme adullact.net)
Produit non maintenu depuis version 1.04
Sans objet
3.
o
o
o
o
o
Plateforme technique
Pré-requis techniques
Mode ASP (oui / non), si oui lieu d'hébergement
Langage de développement
Client lourd / client léger
Outil mono ou multi-utilisateurs
Poste isolé de toute connexion internet et équipé d'un système d'exploitation Microsoft Windows ou Apple Mac OS.
Non
AIR, xml
Client lourd
Mono-utilisateur
4. Condition de test ou de maquettage
o Modalités / coût d’une démonstration
o Modalités / coût d’un test chez le client
o Données de test incluses dans la démonstration (oui / non)
Annuaire - Outils SMSI – Mars 2015
Néant
Néant
Néant
Page 14
2015
Club 27001
5.
Grandes fonctionnalités et données
veuillez répondre ci-dessous pour chaque rubrique à la question
"votre produit aide-t-il à …? "
"votre produit aide-t-il à …?"
en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme "non")
o Définition et partage de la Politique SMSI
o Définition et partage de l'Organisation et des Responsabilités
o Gestion de la cartographie des processus
o Gestion de la cartographie des actifs (primordiaux et supports)
Oui / Non
Commentaire / explication
"oui"
"oui"
"non"
"oui"
L'outil contribue à définir la Politique SMSI au travers de l'identification des objectifs de sécurité
L'outil contribue à définir l'organisation, les rôles et responsabilités des différents domaines du
"oui"
C'est l'objet principal de l'outil, qui implémente la méthode EBIOS 2010. Il permet de construire
un référentiel des risques/menaces SSI pesant sur l'ensemble des biens supports du SI/site (et
in fine sur les biens essentiels), et met en évidence les risques résiduels jugés acceptables ou
tolérables sous contrôle. Il permet enfin de définir les objectifs de sécurité qui conditionnent la
mise en place et la gestion du SMSI.
L'outil contribue à créer une DDA/SOA car il aboutit en sortie à une liste d'objectifs/mesures de
sécurité.
o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s),
identification des risques, critères proposés (DICP…), évaluation,
risques résiduels)
o Création d'une DDA/SOA (liste des mesures de sécurité)
"oui"
Oui / Non
o Gestion du Plan de traitement des risques (Sélection des mesures
de sécurité, plan d'action, acteur, planning et suivi des actions)
"oui"
Oui / Non
o Gestion des Incidents
o Génération d'Indicateurs (conformité, efficacité, avancement)
o Gestion des audits et contrôles des processus, des normes
(conformité) et des mesures de sécurité (efficacité)
Ce n'est pas le rôle principal de l'outil, mais il inclut l'identification des actifs du SI/site concerné.
Commentaire / explication
Définition du plan mais pas de gestion : l'outil contribue, au travers de l'identification des
objectifs/mesures de sécurité, à générer le Plan de traitement des risques ; toutefois, il ne gère
pas la partie plan d'action / acteur / suivi des actions.
Commentaire / explication
"non"
"non"
"non"
"non"
o Planification d'actions périodiques (réunion, contrôle à réaliser…)
Oui / Non
o Gestion d'un plan d'amélioration (actions préventives, correctives
et d’amélioration)
"oui"
·
Documentation
o Gestion documentaire (création, consultation, mise à jour de la
documentation de référence, accessibilité, versionning)
o Gestion des enregistrements (suivi, preuves)
Oui / Non
· Données & base de connaissance :
o Modèles types (PSMSI, enregistrements types,...)
o Rapports types (rapport d’audit…)
o Référentiels types (ISO 27001, ISO 27002).
Oui / Non
·
Workflows
o Gestion des Workflows
Oui / Non
6.
"oui"
Commentaire / explication
Définition du plan mais pas de gestion.
Commentaire / explication
Edition de livrables formatés possible selon paramétrage utilisateur (ex : FEROS).
"non"
"oui"
"non"
"oui"
Commentaire / explication
L'outil intègre la base de connaissance de menaces EBIOS 2010.
L'outil intègre la liste de mesures de sécurité de l'ISO 27002.
Commentaire / explication
"non"
Description libre de la solution par l’éditeur
------------->
Le logiciel EBIOS 2010 est une application opérationnelle, simple et ergonomique qui permet d'appliquer complètement la méthode de gestion des risques de sécurité des systèmes
d'information EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité).
La solution AIR Flex a été choisie car elle répond à cet objectif en permettant la mise en œuvre d'une application simple mais riche.
Pour mémoire, la méthode EBIOS permet d'identifier, caractériser et traiter les risques d'un système d'information d'un organisme et de ses interfaces avec des entités externes (ex : réseau de
partenaires). Elle fournit tous les éléments nécessaires à la communication au sein de l'organisme et vis-à-vis de ses partenaires, ainsi qu'à la validation du traitement des risques. Elle constitue
de ce fait un outil complet de gestion des risques SSI/Cyber.
Pour plus de détails, veuillez vous reporter au site Internet de l'ANSSI (www.ssi.gouv.fr) ou sur la plateforme https://adullact.net/.
Annuaire - Outils SMSI – Mars 2015
Page 15
Club 27001
Annuaire - Outils SMSI – Mars 2015
2015
Page 16
2015
Club 27001
ISMart
Annuaire - Outils SMSI – Mars 2015
Biznet
Page 17
Club 27001
2015
Description of a software product for IS Security Management
Contact
o
o
o
o
Responder name and quality
Contact email address
Contact address
Response Date
Neşe Sayarı Managing Director
[email protected]
Biznet AS ODTU Teknokent Ikizler Binasi 06800 Ankara Turkey
I hereby authorize "club 27001" to publish on their web site the
"oui"
information provided in this document (www.club-27001.fr)
(Yes/No)
1.
o
o
o
o
o
Administrative
Company name
In case of group attachment, specify
Product Name and release
Product creation year (number of releases)
Product languages
BIZNET BILISIM
none
ISMart V2011
2005, 4 major releases
Turkish, English
Following question are only about editing activities of ISMS Software
Tools
o Number of employees
o Annual Revenue (€)
o Company creation year
o Customer location in France / # employees
o Technical location in France / # employees
o Location of customer support
o Support language
3
250 K USD
2000
none
none
Ankara and Istanbul /,Turkey
Turkish, English
Implementation support / integration: dedicated vendor team, or
partners…
we have dedicated vendor team
Active references of ISMS Tools company:
o Ref. 1 (Year / Deployed Modules / customer size / reference
country)
o Ref. 2 (Year / Deployed Modules / customer size / reference
country)
o Ref. 3 (Year / Deployed Modules / customer size / reference
country)
o Main references in France
Turkcell (Largest GSM operator in Turkey)
Turkish Central Bank
Akbank (Major bank in Turkey)
_
2.
o
o
o
o
Financial
Cost Definition modality (package, by site, by user…)
Public Price (activation, license,...)
Annual recurring cost ( maintenance, hosting ...)
Standard Costs for 10 users, 3 sites, training included
Modules seperately purchased to achieve required functionality. Modules listed on "Description" page line13.
Basic module is Risk Management and it is essential. The cost is 8000 USD.
Annual recurring cost for Risk Management Module is 2000 USD.
The maximum configuration costs 52000 USD. #of users is not a cost parameter. For each site add 25%.
3.
o
o
o
o
o
Technical Platform
Technical requirements
ASP (YES / NO), if yes hosting location
Development language
Thick client / thin client
Single or multi user tool
Dual Core 3+Ghz, 4+Gb Ram, 70+ Gb Hard disk, Windows XP/7/8/Server 2003/2008 / Redhat, Fedora,Centos 6+ etc. Linux
Yes. Currently only in Turkey but can be extended.
Java
n/a
Multi user web application.
4. Test or benchmark
o Conditions / demonstration cost
o Conditions / cost of a customer test
o Test Data included in demonstration (yes / no)
Annuaire - Outils SMSI – Mars 2015
A remote user can reach the demo server in Turkey and have a free demo for one week. Onsite demonstration possible 1250
not understood.
Yes
Page 18
2015
Club 27001
5.
Main functions and Data
please answer the question "does your product help with …? "
"Does your product help with …?"
and briefly explain how
Comment / justification
Yes / No
o
o
o
o
Defining and sharing the ISMS Policy
Defining and sharing the Organisation and Responsibilities
Process Mapping Management
Asset Mapping Management (primary and support)
o Conducting a risk analysis (method (s) used, risk identification,
proposed criteria (AIC ...), evaluation, residual risks)
o Creating SOA (list of security controls)
o Management of Risk treatment Plan (selection of security controls,
actions plan, actors, schedule, action follow up)
o Incidents Management
"yes"
"yes"
"yes"
"yes"
"yes"
"yes"
There is a field to write and share the policy on the home page.
Organization tree can be defined. Ownerships related with assets assigned easily.
Proccesses can be defined and assets can be related to those perocesses.
Asset mapping can be defined in terms of category, group and relation hiearchy.
Risk are related with" threats to" or "vulnerabilities of"assets.Risk values calculated as a
function of asset value, probability and impact of threats. Predefined asset categories, threat
categories
threats
help
through
management
process.
SoA can beand
created
and
exported
asrisk
excel
file.
Yes / No
Comment / justification
"yes"
Risk treatment plan can prepared (selection of security controls, action plans, actors, schedule,
action follow up)
Yes / No
Comment / justification
"yes"
"yes"
Events (Incident) can be defined, reported, forwarded.
Dashboard for monitoring risk distribution, and assets is available. For conformity and efficiency
reports can be generated.
Audits can be defined in terms of related security controls.
"yes"
Meetings can be planned.
o Generation of indicators/dashboard (compliance, efficiency)
o Management of audits and checks on processes, standards
(compliance) and security controls (efficiency)
o Recurring work planification (meetings, checks…)
Yes / No
o Management of improvement plan (preventive action, corrective
and improvement)
(if no explanation, the answer will be considered "No")
"yes"
Comment / justification
Preventive and corrective plans can be defined and reported.
·
Documentation
o Documentation Management(creation, consultation, reference
documentation update, accessibility, versionning)
o Records management (follow up, records)
Yes / No
· Data and knowledge base:
o Forms models (ISMS policy, records...)
Yes / No
Comment / justification
"yes"
"yes"
ISMS Policy, free format
Risk Report, S.O.A Report, Asset Inventory, Asset Search, Threat Report, Asset - Control
Report, Risk Treatment Plan Report, Assets By Owners, Assets By Values, Assets by Additional
Fields, Risks By Threat Categories, Risks By Values, Risks By Control Categories, Risk Level
Distribution, Risk Matrix, Number Of Risks Above/Below Acceptable Risk Level By
Organizations, Bulk Asset/Risk/Control/Action Report, All Actions Grouped By Statuses, All
Actions Grouped By Statuses With Deadlines In Selected Period, All Actions Grouped By
Statuses With Deadlines In Selected Period, Having Selected Statuses, Actions Grouped By
Deadlines With Deadlines In Selected Period, Having Selected Statuses, Actions Grouped By
Organizations Of Assignees, Actions By Assignees, Report Templates, Scheduled Reports,
Asset Comparison Report, Risk Comparison Report, Risk Trends Report, Executive Risk
Report, New/Modified Assets, New/Modified Risks, New/Modified Risk-Controls, New/Modified
Actions, Risk Transfer Requests, Risk Acceptance Requests
ISO 27001 Standart controls are predefined. Users can define their own control data.
o Report models (audit report, …)
o Referential data (ISO 27001, ISO 27002).
·
Workflows
o Workflows Management
6.
"yes"
"yes"
"yes"
Comment / justification
Links can be defined for pre-prepared documents, and can be classified in terms of types.
Versioning is also supported.
Risk Managment data can be saved manulay or Data Snapshot can be saved for
Yes / No
"yes"
Comment / justification
Workflows can be defined and executed.
Software description by editor (feel free to summarize as you wish)
------------->
ISMart is not only a guide to significantly reduce time and effort for achieving ISO 27001 certification but is also a useful tool to manage daily security related operation by planing actions and
monitoring their status.
ISMart allows all employees to participate information security management processes as their roles require, within the access rights granted to them. Or the entire ISMS process can be
managed by a few individuals if preffered. ISMArt can be used both as a quick compliance tool or a detailed compliance and security management platform.
ISMart has a built-in document management system. It allows users to generate policy documents or store documents related to security processes. Documents stored by ISMArt can be
associated with assets, risks, controls, actions and so on. On the other hand, if the enterprise has an existing document management system, isms documentation is not necessarily stored in
ISMart but only links to the actual document store are stored in ISMArt.
Change history for all critical information such as asset information and attributes, risk levels, selected controls, risk treatment actions etc are kept in the system and changes can be traced to
monitor all processes.
Provides lots of predefined items like default controls for risks, predefined control statements, threats/vulnerabilities, asset categories etc which may be used for rapid ISMS formation and
management.
General:
Multiuser java web application
Scalable from smallest organizations with a few users to large enterprises with thousands of users
Works on standard software and hardware platforms
Can be easily integrated with existing corporate active directory structure
Functional Components (Modules to be seperately purchased)
1. Risk Management, 2. Document Management, 3. Workflow, 4. Organisation Integration,5. Internal Audit, 6. Event Management,
7. Snapshot Recording and History Recording, 8. Policy Generator, 9. Hierarchical Assets 10. Addtional Group Companies
Annuaire - Outils SMSI – Mars 2015
Page 19
Club 27001
Annuaire - Outils SMSI – Mars 2015
2015
Page 20
2015
Club 27001
Mehari
Annuaire - Outils SMSI – Mars 2015
Clusif
Page 21
Club 27001
2015
Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information
utilisables dans le cadre des normes ISO 2700X
Contact
o
o
o
o
Nom et fonction du répondant
Adresse de contact Mail
Adresse postale de contact
Date de la réponse
Roule Jean-Louis membre du Clusif
[email protected]
25 rue Guillaume Lambert 78700-Conflans Ste Honorine
01/08/14
J'autorise la publication de ces informations sur le site internet
"oui"
du club 27001 (www.club-27001.fr) (oui/non)
1.
o
o
o
o
o
Administratif
Nom de l’éditeur
Si rattachement à un groupe, préciser
Nom et version de l'outil
Date de la première version de l’outil (nombre de versions)
Langue(s) outil
Les questions suivantes concernent uniquement l'activité d'éditeur
d'outil SMSI :
o Nombre d'employés
o Chiffre d’affaire annuel (€)
o Année de création de l'activité
o Représentation commerciale en France / effectif
o Représentation technique en France / effectif
o Localisation du support
o Langues du support
Accompagnement au déploiement / intégration : équipe spécialisée
éditeur, ou partenariats...
CLUSIF
association à but non lucratif
MEHARI 2010 (édition 2-14, 30-mars-2012)
1997 (environ 10 depuis l'origine)
Français, Anglais, Farsi (Iran)
association sans but lucratif, environ 600 membres agissant bénévolement
N/A
1996
[email protected]
France (Paris), Canada (Québec)
Français, Anglais
Mise à disposition gratuite par téléchargement en mode logiciel libre sans accompagnement commercial,
La base de connaissance a été chargée plus de 38 000 fois vers plus de 170 Pays, environ 20 000 fois en France
Références actives de l'éditeur d'outil SMSI :
o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la
référence)
Mehari étant diffusé en Mode Open Source, il n'y a pas de référencement clients effectué ni de force marketing ou
commerciale. L'appropriation de la méthode par les organismes utilisateurs finaux est aisée et encouragée.
o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la
référence)
o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la
référence)
o
2.
Principales références et présences en France
il existe des formations avec certification de compétence, en cours de validation par l'ANSI (USA), sur 3 jours,
éventuellement associées à une formation certifiante ISO 27005.
Financier
o
o
o
o
Modalité de définition du coût (forfait, par site, par utilisateur…)
Prix public (activation, licence…)
Coût récurrent annuel (maintenance, hébergement…)
Devis type pour 10 utilisateurs, 3 sites, formation inclue
3.
o
o
o
o
Plateforme technique
Pré-requis techniques
Mode ASP (oui / non), si oui lieu d'hébergement
Langage de développement
Client lourd / client léger
o Outil mono ou multi-utilisateurs
4. Condition de test ou de maquettage
o Modalités / coût d’une démonstration
o Modalités / coût d’un test chez le client
o Données de test incluses dans la démonstration (oui / non)
Annuaire - Outils SMSI – Mars 2015
la méthode est gratuite et abondammant documentée avec des traductions en plus de 15 langues de certains
documents. L'appropriation de la méthode est aisée.
0
0
beaucoup d'utilisateurs utilisent drectement la documentation et le forum pour leurs éventuelles questions
utilisation d'un fichier tableur (Excel, Libre Office) préparé (formules incluses) et protégé, sous Windows ou OS/X
Multi utilisateur en s'appuyant sur les possibilités offertes par les tableurs:
voir aussi avec les versions récentes d'Office
Gratuit, possibilité de déterminer le périmètre et l'objet de chaque étude
Gratuit avec support par les développeurs de la méthode
Page 22
2015
Club 27001
5.
Grandes fonctionnalités et données
veuillez répondre ci-dessous pour chaque rubrique à la question
"votre produit aide-t-il à …? "
"votre produit aide-t-il à …?"
en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme "non")
o Définition et partage de la Politique SMSI
o Définition et partage de l'Organisation et des Responsabilités
o Gestion de la cartographie des processus
Oui / Non
Commentaire / explication
"oui"
"oui"
En s'appuyant sur les plans d'action et les liens avec ISO 27001 et la DdA
L'équipe d'analyse de risque peut distribuer le travail entre l'analyse des enjeux (ou BIA),
l'analyse des mesures de sécurité en place et l'analyse de risque elle même, etc.
Cette cartographie fait l'objet de l'analyse des enjeux se traduisant par les feuilles T1 à T3.
Chaque processus « métier » ou transverse du périmètre choisi est analysé.
Les actifs de support (associés aux actifs primaires de type services, données et processus de
management) sont répertoriés processus par processus, en D, I, C et E (efficacité dans le
respect des lois et réglementations) avec un niveau de classification (de1 à 4).
Ces niveaux déterminent l'impact maximum des scénarios de risque considérés par la méthode.
"oui"
"oui"
o Gestion de la cartographie des actifs (primordiaux et supports)
"oui"
o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s),
identification des risques, critères proposés (DICP…), évaluation,
risques résiduels)
"oui"
o Création d'une DDA/SOA (liste des mesures de sécurité)
o Gestion du Plan de traitement des risques (Sélection des mesures
de sécurité, plan d'action, acteur, planning et suivi des actions)
Mehari étant une méthodologie d'analyse et de management des risques, cet élément y est
central. La méthode considère 800 scénarios caractérisés par un événement initial (menace et
conditions de sa réalisation), l'actif atteint (en D, I ou C) et en tenant compte de l'exposition de
l'entité (potentialité). La gravité maximale de chaque scénario peut ainsi être déterminée
simplement conformément aux principes de ISO 27005 (et donc ISO 31000). Les mesures de
sécurité en place ou planifiées sont associées aux scénarios et le risque résiduel est
simplement déterminé par les algorithmes de la méthode.
La feuille Score ISO, donne une valeur (scoring) pour chaque ''control objective'' de ISO 27001
et indique les mesures de sécurité pouvant permettre d'améliorer ce scoring. De plus il est
possible d'indiquer et de justifier si cet ''objective'' est à inclure ou pas dans la DdA
Oui / Non
Commentaire / explication
"oui"
La sélection optimale des mesures de sécurité est proposée dans les feuilles de planification
des projets de réduction de risque. Il est ainsi possible de déterminer la réduction des risques à
plusieurs échéances.
Oui / Non
o Gestion des Incidents
o Génération d'Indicateurs (conformité, efficacité, avancement)
o Gestion des audits et contrôles des processus, des normes
(conformité) et des mesures de sécurité (efficacité)
"oui"
"oui"
"non"
o Planification d'actions périodiques (réunion, contrôle à réaliser…)
Commentaire / explication
appui fort sur les capacités de surveillance et d'analyse des événements, journaux et traces
Indicateurs pour conformité (ISO 27001/2), efficacité, robustesse et mise sous contrôle des
services de sécurité, avancement des projets d'amélioration
ciblage par processus métier des risques et des mesures additionnelles à développer.
Visibilité des niveaux initial, courant et futurs de risque
La logique de toute démarche d'amélioration continue (et de qualité) inscrit cette nécessaire
planification
Oui / Non
o Gestion d'un plan d'amélioration (actions préventives, correctives
et d’amélioration)
·
Documentation
o Gestion documentaire (création, consultation, mise à jour de la
documentation de référence, accessibilité, versionning)
"oui"
Commentaire / explication
prise en compte des divers types de mesures (prévention, dissuasion, confinement, palliation)
existantes et des plans d'améliioration à réaliser
Oui / Non
"oui"
Commentaire / explication
Toute la documentation est en ligne (Français et Anglais)
pas de gestion mais contrôle de leur existence dans tous les domaines et services de sécurité
o Gestion des enregistrements (suivi, preuves)
· Données & base de connaissance :
o Modèles types (PSMSI, enregistrements types,...)
Oui / Non
"oui"
o Rapports types (rapport d’audit…)
"oui"
Commentaire / explication
???
pas de formalisation mais collecte et conservation des résultats des audits des services de
sécurité, y compris existence des variantes
ouverture possible si besoin à tous autres types de référentiels (PCI/DSS,PCA, CNIL, Bâle III, ..)
o Référentiels types (ISO 27001, ISO 27002).
·
Workflows
o Gestion des Workflows
Annuaire - Outils SMSI – Mars 2015
Oui / Non
Commentaire / explication
???
Page 23
Club 27001
Annuaire - Outils SMSI – Mars 2015
2015
Page 24
Club 27001
RVR
Annuaire - Outils SMSI – Mars 2015
2015
DEVOTEAM
Page 25
Club 27001
2015
Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information
utilisables dans le cadre des normes ISO 2700X
Contact
o
o
o
o
Nom et fonction du répondant
Adresse de contact Mail
Adresse postale de contact
Date de la réponse
Paul CHEGARAY, Directeur Produit RVR PARAD
[email protected]
73 rue Anatole France 92300 Levallois Perret
08/09/2014
J'autorise la publication de ces informations sur le site internet
"oui"
du club 27001 (www.club-27001.fr) (oui/non)
1.
o
o
o
o
o
Administratif
Nom de l’éditeur
Si rattachement à un groupe, préciser
Nom et version de l'outil
Date de la première version de l’outil (nombre de versions)
Langue(s) outil
DEVOTEAM
Groupe Devoteam
Solution RVR Advanced v4.0
2007
Français / Anglais / d'autres langues possibles avec effort de traduction assuré par le client
Les questions suivantes concernent uniquement l'activité d'éditeur
d'outil SMSI :
o Nombre d'employés
o Chiffre d’affaire annuel (€)
o Année de création de l'activité
o Représentation commerciale en France / effectif
o Représentation technique en France / effectif
o Localisation du support
o Langues du support
Groupe : 4000 personnes / Activité logiciel SMSI : 30 personnes
Groupe : ~500M€ / Activité logiciel SMSI : n.c.
2002
Oui
Oui
Levallois-Perret (France)
Français / Anglais
Accompagnement au déploiement / intégration : équipe spécialisée
éditeur, ou partenariats...
Devoteam accompagne ses clients dans l'intégration et le déploiement de sa solution RVR PARAD.
Devoteam collabore également régulièrement avec des cabinets de conseil qui assurent auprès de ses clients la
Références actives de l'éditeur d'outil SMSI :
o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la
référence)
o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la
référence)
o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la
référence)
o
2.
o
o
o
o
3.
o
o
o
o
o
Principales références et présences en France
Nous consulter
Nous consulter
Nous consulter
Nous consulter
Financier
Modalité de définition du coût (forfait, par site, par utilisateur…)
Prix public (activation, licence…)
Coût récurrent annuel (maintenance, hébergement…)
Devis type pour 10 utilisateurs, 3 sites, formation inclue
La licence comprend une licence serveur et une licence par nb d'utilisateurs déclarés
Acquisition de la licence et service d'intégration de la solution
Maintenance annuelle après la période de garantie
Nous consulter
Plateforme technique
Pré-requis techniques
Mode ASP (oui / non), si oui lieu d'hébergement
Langage de développement
Client lourd / client léger
Outil mono ou multi-utilisateurs
4. Condition de test ou de maquettage
o Modalités / coût d’une démonstration
o Modalités / coût d’un test chez le client
o Données de test inclues dans la démonstration (oui / non)
Annuaire - Outils SMSI – Mars 2015
L'application fonctionne principalement avec une base de données (Oracle, SQL Server) et un serveur d'application
(Tomcat, Websphere).
Aucune installation spécifique requise sur le poste client (à part un navigateur web Internet Explorer ou Firefox)
Un mode ASP est possible : hébergement par Devoteam ou un partenaire hébergeur
Java
Client léger : aucune installation spécifique sur le poste client (à part un navigateur web)
Multi-utilisateurs
Sur rendez-vous / gratuit
Nous consulter
Oui, quelques données de tests peuvent être insérées dans la démonstration.
Page 26
2015
Club 27001
5.
Grandes fonctionnalités et données
"votre produit aide-t-il à …?"
veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à …? "
en l'expliquant brièvement
Commentaire / explication
Oui / Non
o Définition et partage de la Politique SMSI
o Définition et partage de l'Organisation et des Responsabilités
o Gestion de la cartographie des processus
o Gestion de la cartographie des actifs (primordiaux et supports)
o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s),
identification des risques, critères proposés (DICP…), évaluation,
risques résiduels)
o Création d'une DDA/SOA (liste des mesures de sécurité)
"oui"
"oui"
"oui"
"oui"
"oui"
Gestion de politiques
Gestion de l'organisation et des utilisateurs
Administration d'un référentiel de processus
Administration d'un référentiel d'actifs
Définition des scénarios de risques ; Bibliothèque de menaces et vulnérabilités ; évaluation
DCIP ; évaluation des risques (ex : impact x probabilité x maîtrise)
"oui"
Pour chaque risque, il est possible de définir des actions de maîtrise (ou mesures de sécurité)
Oui / Non
o Gestion du Plan de traitement des risques (Sélection des mesures
de sécurité, plan d'action, acteur, planning et suivi des actions)
o Gestion des Incidents
o Génération d'Indicateurs (conformité, efficacité, avancement)
o Gestion des audits et contrôles des processus, des normes
(conformité) et des mesures de sécurité (efficacité)
(à défaut d'explication la réponse sera considérée comme "non")
"oui"
Commentaire / explication
Pour chaque risque, il est possible de définir des actions de maîtrise (ou mesures de sécurité),
des plans d'actions avec responsable, date de début / de fin…
Oui / Non
Commentaire / explication
"oui"
"oui"
L'application intègre une base incidents et pertes
Des indicateurs de conformité, d'avancement peuvent être générés dans les rapports (ex : suivi
de plans d'actions, suivi d'audits, suivi de recommandations…)
L'application comporte un module Audit intégré pour la gestion des missions d'audit. Des autoévaluations des contrôles peuvent également être lancées pour évaluation de la conformité.
L'application permet de gérer des contrôles "continus" (tâches à fréquence régulière à exécuter.
"oui"
"oui"
o Planification d'actions périodiques (réunion, contrôle à réaliser…)
o Gestion d'un plan d'amélioration (actions préventives, correctives
et d’amélioration)
Oui / Non
Commentaire / explication
"oui"
L'application permet de gérer des plans d'actions en lien avec les objets avec responsable, date
d'échéance, statut, budget, actions…
·
Documentation
o Gestion documentaire (création, consultation, mise à jour de la
documentation de référence, accessibilité, versionning)
o Gestion des enregistrements (suivi, preuves)
Oui / Non
· Données & base de connaissance :
o Modèles types (PSMSI, enregistrements types,...)
o Rapports types (rapport d’audit…)
o Référentiels types (ISO 27001, ISO 27002).
Oui / Non
·
Oui / Non
Workflows
Possibilité d'attacher des documents sur tous les objets de l'application.
"oui"
Toute modification est tracée
"oui"
"oui"
"oui"
"oui"
o Gestion des Workflows
6.
Commentaire / explication
"oui"
Commentaire / explication
Des modèles peuvent être fournis
Des rapports types sont proposés
Devoteam peut fournir des contenus types
Commentaire / explication
L'application intègre un moteur de workflow (jBPM) qui permet de configurer des workflow sur
les différents objets.
Description libre de la solution par l’éditeur
------------->
L'application RVR PARAD, développée au sein du Groupe Devoteam (www.devoteam.com), est une application web dédiée à la "GRC" (Gouvernance, Risque, Conformité) et au PCA (gestion de
Plan de Continuité d'Activité).
L'application RVR est une application modulaire qui couvre, de manière intégére, les domaines fonctionnels suivants :
- Gestion des Risques (notamment dans une approche ISO 27.000)
- Gestion du Contrôle interne
- Gestion de l'Audit
- Gestion des Incidents
- Gestion de la Continuité d'Activité
L'application RVR présente en outre les atouts suivants :
- Facile d'utilisation : intuitive, elle nécessite peu de formation.
- Facile de déploiement : elle ne requiert aucune installation sur le poste client.
- Flexible : très configurable, elle permet de s'adapter au contexte du client.
- Sécurisée : elle répond à des standards élevés de sécurité (tests d'intrusion...).
- Ouverte : développée sur des technologies standards facilitant son intégration dans le SI du client.
Annuaire - Outils SMSI – Mars 2015
Page 27
Club 27001
Annuaire - Outils SMSI – Mars 2015
2015
Page 28
2015
Club 27001
SGSI
Annuaire - Outils SMSI – Mars 2015
ECIJA
Page 29
Club 27001
2015
Description of a software product for Information Security Management
Contact
o
o
o
o
Respondent name and quality
Contact email address
Contact address
Response Date
Alonso Hurtado
[email protected]
Torre de Cristal. Pº de la Castellana, 259C. 28046 Madrid.
08 April 2014
I hereby authorize "club 27001" to publish on their web site the
"YES"
information provided in this document (www.club-27001.fr)
(Yes/No)
1. Administrative
o Company name
o In case of group attachment, please specify
o Product Name and release
o Product creation year (number of releases)
o Product languages
ECIJA
Information Security - ISMS
2005
Multi-language. Spanish, Catalonian, English, French, Portuguese
The following questions are only about publishing activities of ISMS
Software Tools
o Number of employees
o Annual Revenue (€)
o Company creation year
o Customer location in France / # employees
o Technical location in France / # employees
o Location of customer support
o Support language
175
Eur. 28.7 M.
1997
N/A
N/A
Madrid
English
Implementation support / integration: dedicated vendor team, or
partners…
dedicated vendor team
Active references of ISMS Tools company:
o Ref. 1 (Year / Deployed Modules / customer size / reference
country)
o Ref. 2 (Year / Deployed Modules / customer size / reference
country)
o Ref. 3 (Year / Deployed Modules / customer size / reference
country)
o Main references in France
Orange
2. Financial
o Pricing model (package, by site, by user…)
o Public price (activation, license,...)
o Annual recurring costs (maintenance, hosting ...)
o Standard costs for 10 users, 3 sites, training included
Package
License
Maintenance
3. Technical Platform
o Technical requirements
o Application Service Provider (YES / NO), if yes hosting location
o Development language
o Thick client / thin client
o Single or multi user tool
Yes, Spain
English
4. Test or benchmark
o Conditions / demonstration cost
o Conditions / cost of a customer test
o Test Data included in demonstration (yes / no)
Annuaire - Outils SMSI – Mars 2015
Multi user tool
Yes
Page 30
2015
Club 27001
5.
Main functions and Data
please answer the question "does your product help with …? "
"Does your product help with …?"
and briefly explain how
Yes / No
o
o
o
o
Defining and sharing the ISMS Policy
Defining and sharing the Organisation and Responsibilities
Process Mapping Management
Asset Mapping Management (primary and support)
o Risk analysis: method(s) used, risk identification, proposed
criteria (AIC...), risk evaluation, residual risks.
o SOA generation (list of security controls)
"yes"
Comment / justification
"yes"
"yes"
"yes"
"oui"
Yes / No
o Management of improvement plan (preventive, corrective and
improvement actions)
"yes"
·
Documentation
o Documentation Management(creation, consultation, reference
document update, accessibility, versioning)
o Records management (follow up, audit trail and evidence)
Yes / No
· Data and knowledge base:
o Document and record templates (ISMS policy, records...)
o Report templates (audit report, …)
o Referenced documents (ISO 27001, ISO 27002).
Yes / No
·
Workflows
o Workflows Management
Yes / No
6.
Comment / justification
"yes"
Yes / No
o Incidents Management
o Generation of indicators/dashboard (compliance, efficiency)
o Management of audits and checks on processes, standards
(compliance) and security controls (efficiency)
o Recurring work planification (meetings, checks…)
Comment / justification
"yes"
"yes"
"yes"
"yes"
"yes"
Yes / No
o Management of Risk Treatment Plan (selection of security
controls, actions plan, actors, schedule, action follow up)
(if no explanation, the answer will be considered "No")
Comment / justification
Comment / justification
"yes"
"yes"
Comment / justification
"yes"
"yes"
"yes"
Comment / justification
"yes"
Vendor's description of the software (feel free to summarize as you wish)
------------->
What ECIJA ISMS is?
ECIJA ISMS is one part of the global solution called ECIJA Compliance Suite.
ECIJA ISMS is the solution for the implementation, management & maintenance of the Information Security Management System that is based on the directive ISO 27001.
ECIJA ISMS is the leader software in number of projects in the market. We have done more than 50% of the projects of implementation ISO 27001 with ECIJA ISMS in Spain.
ECIJA ISMS allows the integral management of the directive & achieves the complete cycle of the standard, from the initial phases & the planning of the projects to the maintenance &
continual improvement (through the risks analysis, control panel, procedures implementation, etc.). These functionalities are included in our main three solutions:
ECIJA Compliance Suite platform, AGR Module - Risks Analysis & Management and SGSI Processes. Main funtionalities: Diferential Analysis
Asset inventory
Risk analysis and Risk management
Configuration of the security dimensions
Cofi guration of Methodologies for Risks calculation
Module of dependencies among assets
SOA (Statement of Applicability)
International Audit
Annuaire - Outils SMSI – Mars 2015
Page 31
Club 27001
Annuaire - Outils SMSI – Mars 2015
2015
Page 32
Club 27001
2015
Front GRC eFront
Annuaire - Outils SMSI – Mars 2015
Page 33
Club 27001
2015
Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information
utilisables dans le cadre des normes ISO 2700X
Contact
o
o
o
o
Nom et fonction du répondant
Adresse de contact Mail
Adresse postale de contact
Date de la réponse
JAVARY Olivier
[email protected]
2/4 rue Louis David 75116 PARIS
19-mars-15
J'autorise la publication de ces informations sur le site internet "oui"
du club 27001 (www.club-27001.fr) (oui/non)
1.
o
o
o
o
o
Administratif
Nom de l’éditeur
Si rattachement à un groupe, préciser
Nom et version de l'outil
Date de la première version de l’outil (nombre de versions)
Langue(s) outil
eFront
FrontGRC 7.0 et FrontERM 7.0
FrontGRC 1.0 2004
Français et Anglais
Les questions suivantes concernent uniquement l'activité d'éditeur
d'outil SMSI :
o Nombre d'employés
o Chiffre d’affaire annuel (€)
o Année de création de l'activité
o Représentation commerciale en France / effectif
o Représentation technique en France / effectif
o Localisation du support
o Langues du support
601
75.4 M€
1999
oui / 50 personnes
oui / 25 personnes
Paris
Français et Anglais
Accompagnement au déploiement / intégration : équipe spécialisée
éditeur, ou partenariats...
Editeur et partenaires : BearingPoint, CGI, EY, KPMG, Deloitte
Références actives de l'éditeur d'outil SMSI :
o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la
référence)
o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la
référence)
o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la
référence)
o
Principales références et présences en France
Banque de France - FrontGRC Risk Control Audit - 5000 employés, France
Reunica / Systalians - FrontGRC Risk Control PCA, 6000 employés, France
BNPP Mercator - FrontERM Risk, 3000 utilisateurs dans le monde
Sur la gestion des risques en générale plus de 50 clients en France : BDF, BNPP, SG, Generali, Groupama, MNH, MAIF
2. Financier
o Modalité de définition du coût (forfait, par site, par utilisateur…)
par module et par utilisateur nommé
o Prix public (activation, licence…)
o Coût récurrent annuel (maintenance, hébergement…)
o Devis type pour 10 utilisateurs, 3 sites, formation inclue
environ de 80 k€ à 200 k€
20% annuel du prix d'achats des licences, incluant support téléphonique et nouvelles versions
100 k€ de licence; formation 10k€; projet selon le besoins entre 50k€ et 150k€
3.
o
o
o
o
o
Serveur Windows
oui, chez Verizon (Paris, Lille et mondial selon le niveau de service demandé)
Microsoft Visual Basic et Visual C#
Client full web
Mulit utiisateur
Plateforme technique
Pré-requis techniques
Mode ASP (oui / non), si oui lieu d'hébergement
Langage de développement
Client lourd / client léger
Outil mono ou multi-utilisateurs
4. Condition de test ou de maquettage
o Modalités / coût d’une démonstration
o Modalités / coût d’un test chez le client
o Données de test inclues dans la démonstration (oui / non)
Annuaire - Outils SMSI – Mars 2015
Gratuit
A définir
A définir
Page 34
2015
Club 27001
5.
Grandes fonctionnalités et données
"votre produit aide-t-il à …?"
veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à …? "
en l'expliquant brièvement
Oui / Non
(à défaut d'explication la réponse sera considérée comme "non")
Commentaire / explication
o Définition et partage de la Politique SMSI
"oui"
Module de gestion électronique de document. Capacité de modéliser une conformité
réglementaire à l'aide du module FrontCompliance
o Définition et partage de l'Organisation et des Responsabilités
"oui"
Fonctionnalité d'administration des utilisateurs, profils, droits d'accès et modélisation de
l'organisation.
o Gestion de la cartographie des processus
"oui"
Cartographie des processus et modélisation graphique (Process modeling)
o Gestion de la cartographie des actifs (primordiaux et supports)
"oui"
Oui, notion d'application dans la solution FrontBCP
o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s),
identification des risques, critères proposés (DICP…), évaluation,
risques résiduels)
"oui"
FrontGRC probabilité, impacts
FrontERM indicateur d'évaluation des risques paramétrables
o Création d'une DDA/SOA (liste des mesures de sécurité)
"oui"
Plan Do Check Act. Declaration d'applicabilité. Référentiel des 133 mesures, des risques
associés. FrontGRC Compliance permet d'intégrer le référentiel de conformité
Oui / Non
o Gestion du Plan de traitement des risques (Sélection des mesures
de sécurité, plan d'action, acteur, planning et suivi des actions)
"oui"
Commentaire / explication
Notion de dispositif de maitrise des risques et gestion des plans d'actions
Oui / Non
Commentaire / explication
o Gestion des Incidents
o Génération d'Indicateurs (conformité, efficacité, avancement)
"oui"
"oui"
Module incident, workflow de validation, import/export, estimation des impacts
Outil, à l'aide de l'objet indicateur
o Gestion des audits et contrôles des processus, des normes
(conformité) et des mesures de sécurité (efficacité)
"oui"
Gestion du plan d'audit.
"oui"
Les actions périodiques sont des audits. La solution gère des audit sur pièces ou sur place.
o Planification d'actions périodiques (réunion, contrôle à réaliser…)
Oui / Non
o Gestion d'un plan d'amélioration (actions préventives, correctives
et d’amélioration)
"oui"
·
Documentation
o Gestion documentaire (création, consultation, mise à jour de la
documentation de référence, accessibilité, versionning)
o Gestion des enregistrements (suivi, preuves)
Oui / Non
· Données & base de connaissance :
o Modèles types (PSMSI, enregistrements types,...)
o Rapports types (rapport d’audit…)
o Référentiels types (ISO 27001, ISO 27002).
Oui / Non
·
Workflows
o Gestion des Workflows
Oui / Non
6.
Commentaire / explication
Gestion des plans d'actions
Commentaire / explication
"oui"
Module de gestion électronique document
"oui"
Le referentiel gere l'ensemble des enregistrements des objets et des pièces jointes associés
"non"
"non"
"non"
"oui"
Commentaire / explication
Exemple ce rapport d'audit
Commentaire / explication
Moteur de worflow sur chacun des objets, statuts paramétrables
Description libre de la solution par l’éditeur
------------->
FrontGRC est une suite logicielle complète de Gouvernance, gestion des Risque et Conformité. Elle permet la conformité Bale 2, Solvabilité 2, LSF et SOX dans les entreprises fortement
réglementées. Elles inclut les solutions FrontGRC Risk, Control, Audit et Plan de Continuité d'Activité.
FrontERM est une solution de gestion globale des risques. Elle offre une plate forme globale de collecte des indicateurs clés de risques, de modélisation de formules de calcul et d'agrégation de
risque et une importante capacité de restitution sous forme de tableau de bord dynamique multi dimensionnel.
Annuaire - Outils SMSI – Mars 2015
Page 35
Club 27001
Annuaire - Outils SMSI – Mars 2015
2015
Page 36
Club 27001
2015
EGERIE RiskManager Fidens
Annuaire - Outils SMSI – Mars 2015
Page 37
Club 27001
2015
Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information
utilisables dans le cadre des normes ISO 2700X
Contact
o
o
o
o
Nom et fonction du répondant
Adresse de contact Mail
Adresse postale de contact
Date de la réponse
Larroumets Jean - Chef de produit EGERIE RiskManager et Directeur-Associé Fidens
[email protected]
Fidens - 9 rue Richard Andrieu 83000 Toulon
01/09/2014 mise à jour mars 2015
J'autorise la publication de ces informations sur le site internet
"oui"
du club 27001 (www.club-27001.fr) (oui/non)
1.
o
o
o
o
o
Administratif
Nom de l’éditeur
Si rattachement à un groupe, préciser
Nom et version de l'outil
Date de la première version de l’outil (nombre de versions)
Langue(s) outil
Fidens
Egerie Risk Manager 1.7
V1.7 (7ème sous-version)
Français / Anglais
Les questions suivantes concernent uniquement l'activité d'éditeur
d'outil SMSI :
o Nombre d'employés
o Chiffre d’affaire annuel (€)
o Année de création de l'activité
o Représentation commerciale en France / effectif
o Représentation technique en France / effectif
o Localisation du support
o Langues du support
7 personnes
300 000
2011
2 commerciaux
5 personnes
Toulon (France)
Français / Anglais
Accompagnement au déploiement / intégration : équipe spécialisée
éditeur, ou partenariats...
Nous offrons des prestations d'accompagnement à la prise en main, l'intégration et la reprise de l'existant
Références actives de l'éditeur d'outil SMSI :
o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la
référence)
o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la
référence)
o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la
référence)
o
2.
Principales références et présences en France
Groupe Orange (2012 / Version entreprise illimitée / 172 000 personnes / France et international)
Grand groupe bancaire français (2014 / Version entreprise illimitée / 10 000 personnes / France et international)
Morpho Groupe Safran (2013 / 10 utilisateurs / 62 500 personnes / France et international)
Orange, Safran, FDJ, Groupe Mirion, APHP, APHM, ARS, DGA, CG83, INRIA, ALTRAN, Aéroport de Paris, BNF, ...
Financier
o
o
o
o
Modalité de définition du coût (forfait, par site, par utilisateur…)
Prix public (activation, licence…)
Coût récurrent annuel (maintenance, hébergement…)
Devis type pour 10 utilisateurs, 3 sites, formation inclue
Par utilisateur
Prix en entrée de gamme : 1000 € HT pour un droit d'usage d'un an pour 1 module en mode SaaS
Droit d'usage annuel incluant la maintenance, le support est en plus
19 800 € HT (droit d'usage annuel) intègre un transfert de compétence et assistance à l'intégration d'une journée
3.
o
o
o
o
o
Plateforme technique
Pré-requis techniques
Mode ASP (oui / non), si oui lieu d'hébergement
Langage de développement
Client lourd / client léger
Outil mono ou multi-utilisateurs
Aucun en mode ASP (SaaS) / installation sur un serveur Linux en mode hébergement sur site client / doc et pré-requis fournis
Deux types d'hébergement sont proposés : installation sur site client ou en mode le SaaS hébergeur français certifié 27001)
PHP / HTML 5
Client léger (navigateur web supportant HTML 5)
Multi-utilisateurs
4. Condition de test ou de maquettage
o Modalités / coût d’une démonstration
o Modalités / coût d’un test chez le client
o Données de test incluses dans la démonstration (oui / non)
Annuaire - Outils SMSI – Mars 2015
Gratuit - démonstration par un de nos experts (et version de démo en ligne : http://www.egerie-software.com)
Gratuit en mode SaaS (sinon voir avec le service commercial de EGERIE)
Oui
Page 38
2015
Club 27001
5.
Grandes fonctionnalités et données
veuillez répondre ci-dessous pour chaque rubrique à la question
"votre produit aide-t-il à …? "
"votre produit aide-t-il à …?"
en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme "non")
Commentaire / explication
Oui / Non
o Définition et partage de la Politique SMSI
o Définition et partage de l'Organisation et des Responsabilités
o Gestion de la cartographie des processus
o Gestion de la cartographie des actifs (primordiaux et supports)
o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s),
identification des risques, critères proposés (DICP…), évaluation,
risques résiduels)
o Création d'une DDA/SOA (liste des mesures de sécurité)
"non"
"non"
"non"
"oui"
Un module "EGERIE Lead Implementer" est en cours de développement pour répondre à ces
Différents profils sont gérés dans le logiciels
Un module "EGERIE Lead Implementer" est en cours de développement pour répondre à ces
Oui - Une interface est dédiée à l'enregistrement et la gestion des deux catégories d'actifs
"oui"
Fonction centrale du logiciel
"oui"
Le logiciel permet de constituer automatiquement la Déclaration d'Applicabilité (DDA/SOA)
Oui / Non
"oui"
o Gestion du Plan de traitement des risques (Sélection des mesures
de sécurité, plan d'action, acteur, planning et suivi des actions)
Oui / Non
"oui"
o Gestion des Incidents
o Génération d'Indicateurs (conformité, efficacité, avancement)
o Gestion des audits et contrôles des processus, des normes
(conformité) et des mesures de sécurité (efficacité)
"oui"
"oui"
"non"
o Planification d'actions périodiques (réunion, contrôle à réaliser…)
Oui / Non
o Gestion d'un plan d'amélioration (actions préventives, correctives
et d’amélioration)
"oui"
Commentaire / explication
La logiciel permet de sélectionner sur la base d'un système d'aide à la décision les mesures de
sécurité à mettre en œuvre. Il fournit le listing des mesures à implémenter dans le plan de
traitement. Le statut de ces mesures est actualisé lors des différentes itérations de chaque
analyse de risques.
Commentaire / explication
indirectement => Les incidents étant des risques avérés. Certains clients utilisent le logiciel
pour mesurer l'impact de l'incident et enregistrer les incidents.
Efficacité / suivi des risques et mesures
indirectement => L'interface de gestion des mesures de sécurité dans le logiciel peut être
utilisée pour enregistrer les résultats d'audit de conformité à tous types de normes.
Un module "EGERIE Lead Implementer" est en cours de développement pour répondre à ces
besoins.
Commentaire / explication
Le logiciel permet le suivi des actions inscrites aux plans de traitement.
·
Documentation
o Gestion documentaire (création, consultation, mise à jour de la
documentation de référence, accessibilité, versionning)
o Gestion des enregistrements (suivi, preuves)
Oui / Non
·
Oui / Non
Commentaire / explication
"oui"
Référentiels de Mesures, Référentiels de normes et de nombreux autres référentiels (scénarios,
vulnérabilités, mesures, échelles, …)
Rapport d'analyse de risque
Le logiciel permet l'injection de tous type de référentiels normatifs à la demande des clients.
Nativement le logiciel est livré avec les référentiels suivant : ISO27002:2005 (fr/en),
ISO27002:2013 (fr/en), PSSI-E (fr), PCIDSS (fr)
Données & base de connaissance :
o Modèles types (PSMSI, enregistrements types,...)
o Rapports types (rapport d’audit…)
Génération de rapports d'analyse de risques uniquement
"non"
Génération de rapports d'analyse de risques uniquement
"oui"
"oui"
o Référentiels types (ISO 27001, ISO 27002).
·
Workflows
Oui / Non
"non"
o Gestion des Workflows
6.
Commentaire / explication
"non"
Commentaire / explication
Un module "EGERIE Lead Implementer" est en cours de développement pour répondre à ces
besoins.
Description libre de la solution par l’éditeur
------------->
EGERIE RiskManager est la solution française de référence pour la gestion des cyber-risques et de pilotage de la cybersécurité par les risques.
EGERIE RiskManager permet notamment la mise en conformité vis-à-vis des réglementations et normes ISO27001, ISO27002, ISO27005, PCI-DSS, RGS, …
Cette solution aide à l’identification et à l'évaluation des risques, ainsi qu'à la gestion des dispositifs de leur maîtrise par la mise en place de simulations et d’indicateurs.
La démarche peut être à la fois pilotée depuis les organes centraux de l’entreprise (top-down) mais également depuis/avec ses bases opérationnelles (Bottom-up) en permettant notamment
l’administration déléguée d’analyses et référentiels. Solution « 100% client-léger », la solution est accessible, via un simple navigateur Internet, à l'ensemble des utilisateurs de toutes les entités
mondiales d’une organisation, en fonction de leurs droits d'accès et de leur langue.
EGERIE RiskManager consolide la cartographie versionnée et historisée des cyber-risques sur l’ensemble des systèmes de l’organisme et permet d’accéer à une vision globale des risques.
Principaux modules fonctionnels couverts par le logiciel :
Cartographie des risques : Modélisation de l'organisation et des systèmes en processus et actifs, identification et évaluation des cyber-risques associés, éléments de maîtrise et cartographie.
Des référentiels de systèmes, de risques, de mesures sont proposés nativement et sont complètement configurables et personnalisables.
Appréciation automaique des risques : Collecte et qualification des éléments constitutifs du scénario de risque, évaluation des impacts, association avec la cartographie des processus,
fonctions avancées de caractérisation. Le logiciel calcule automatiquement ainsi le niveau de risque brut, actuel et programmé selon la vraisemblance, l’impact et la complétude des éléments
de maîtrises de risques
Suivi des mesures et plan de traitement : Définition des mesures de sécurité suivi des actions de sécurisation ; structuration des mesures de sécurité et plans d'actions, réalisation d’état des
lieux vis à vis des normes du domaine : iso27002, PCI-DCSS, RGS, CSSF …
Annuaire - Outils SMSI – Mars 2015
Page 39
Club 27001
Annuaire - Outils SMSI – Mars 2015
2015
Page 40
2015
Club 27001
OpenPages
Annuaire - Outils SMSI – Mars 2015
IBM
Page 41
Club 27001
2015
Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information
utilisables dans le cadre des normes ISO 2700X
Contact
o
o
o
o
Nom et fonction du répondant
Adresse de contact Mail
Adresse postale de contact
Date de la réponse
Goissen Matthieu
[email protected]
17 avenue de l'Europe, Bois Colombes
01-sept-14
J'autorise la publication de ces informations sur le site internet
"non"
du club 27001 (www.club-27001.fr) (oui/non)
1.
o
o
o
o
o
Administratif
Nom de l’éditeur
Si rattachement à un groupe, préciser
Nom et version de l'outil
Date de la première version de l’outil (nombre de versions)
Langue(s) outil
IBM
IBM
OpenPages V7.0.0
2003, 10 versions majeures
Anglais, espagnol, allemand, français, italien, japonais, portugais brésilien, chinois simplifié et chinois traditionnel
Les questions suivantes concernent uniquement l'activité d'éditeur
d'outil SMSI :
o Nombre d'employés
o Chiffre d’affaire annuel (€)
o Année de création de l'activité
o Représentation commerciale en France / effectif
o Représentation technique en France / effectif
o Localisation du support
o Langues du support
de l'ordre de 150
n/c
2003
1
5
Support 1er niveau en France
Français pour le premier niveau
Accompagnement au déploiement / intégration : équipe spécialisée
éditeur, ou partenariats...
8
Références actives de l'éditeur d'outil SMSI :
o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la
référence)
o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la
référence)
o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la
référence)
o
2.
o
o
o
o
3.
o
o
o
o
o
Principales références et présences en France
SGCIB / 2012 / ITG (SMSI) / 3000 employés / France
2013 / UMG Groupe Intériale / ORM // France
Williams / ITG (SMSI) / 2011 / 4000 employés / Etats Unis
Allianz / ORM (collecte d'incidents) / 2009 / 118.000 employés / Allemagne
SG CIB/ ALLIANZ / AVIVA / UMG Groupe Intériale
Financier
Modalité de définition du coût (forfait, par site, par utilisateur…)
Prix public (activation, licence…)
Coût récurrent annuel (maintenance, hébergement…)
Devis type pour 10 utilisateurs, 3 sites, formation inclue
Licence perpétuelle et software assurance avec acquition d'une plaforme puis des utilisateurs accédants aux
modules nécessaires
Licence perpétuelle intégrant la première année de software assurance
Software assurance
n/a nous travaillons sur des configurations plus importantes en nombre d'utilisateurs
Plateforme technique
Pré-requis techniques
Mode ASP (oui / non), si oui lieu d'hébergement
Langage de développement
Client lourd / client léger
Outil mono ou multi-utilisateurs
4. Condition de test ou de maquettage
o Modalités / coût d’une démonstration
o Modalités / coût d’un test chez le client
o Données de test inclues dans la démonstration (oui / non)
Annuaire - Outils SMSI – Mars 2015
Webpshere/AIX/Oracle ou Weblogic/Windows/Oracle
'oui', nos laboratoires travaillent sur une version en mode SaaS
Java
Client léger
Muti-utilisateurs
Gratuit
A voir fonction du dossier
A voir fonction du dossier
Page 42
2015
Club 27001
5.
Grandes fonctionnalités et données
"votre produit aide-t-il à …?"
veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à …? "
en l'expliquant brièvement
o Définition et partage de la Politique SMSI
o Définition et partage de l'Organisation et des Responsabilités
o Gestion de la cartographie des processus
o Gestion de la cartographie des actifs (primordiaux et supports)
o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s),
identification des risques, critères proposés (DICP…), évaluation,
risques résiduels)
o Création d'une DDA/SOA (liste des mesures de sécurité)
Oui / Non
Commentaire / explication
"oui"
"oui"
"oui"
"oui"
"oui"
Référentiel de politiques et intégration avec le référentiel UCF (unified compliance framework)
L'outil permet la gestion des organisations avec des hierarchies multiples
L'outil permet la gestion de la cartographie des processus et sous processus IT et métiers (sans
Cartographies des actifs (ressources) avec différentes informations de typage
L'outil peut supporter l'ensemble des méthodologies de marché : DICP, COBIT, Ebios, … :
risque, menaces, vulnérabilités, evaluation risque brut, moyens de maitrise, risque net, …
"oui"
La solution de reporting permet de générer tout type de rapport y compris word permettant de
reprendre l'ensemble des informations de l'outil.
Oui / Non
o Gestion du Plan de traitement des risques (Sélection des mesures
de sécurité, plan d'action, acteur, planning et suivi des actions)
(à défaut d'explication la réponse sera considérée comme "non")
"oui"
Commentaire / explication
L'outil permet de définir et d'évaluer les moyens de maîtrise des risques et de suivre les plans
d'actions et les écarts
Oui / Non
Commentaire / explication
"oui"
L'outil traite l'ensemble du workflow d'analyse des incidents en permettant aussi bien l'analyse
des causes que des liens
L'application intégre un outil de reporting permettant d'agréger les informations (niveau de
conformité, efficacité des moyens de maîtrise, avancement des plans d'actions). Par ailleurs, il
est possible de définir et calculer des indicateurs de risques et/ou de performances à bases de
données internes et importées.
L'outil permet de gérer les tests de contrôles qui s'appliques sur les moyens de maîtrises qui
sont eux même reliés à des processus, des normes, des ressources … permettant d'évaluer
l'efficacité des mesures de sécurité avec des analyses sur l'ensemble des ces axes.
o Gestion des Incidents
"oui"
o Génération d'Indicateurs (conformité, efficacité, avancement)
"oui"
o Gestion des audits et contrôles des processus, des normes
(conformité) et des mesures de sécurité (efficacité)
o Planification d'actions périodiques (réunion, contrôle à réaliser…) "oui"
Oui / Non
o Gestion d'un plan d'amélioration (actions préventives, correctives
et d’amélioration)
·
Documentation
"oui"
Oui / Non
Commentaire / explication
"oui"
L'outil intègre une gestion documentaire permettant de stocker, mettre à jour et à disposition
des documents. La solution de reporting permet également de créer des documents qui
pourront être stockés et possiblité de gérer des versions.
A plusieurs niveaux : traçabilité des changements (audit trail), possiblité de gérer les versions et
de naviguer entre les versions.
o Gestion documentaire (création, consultation, mise à jour de la
documentation de référence, accessibilité, versionning)
"oui"
o Gestion des enregistrements (suivi, preuves)
·
Données & base de connaissance :
Oui / Non
"oui"
o Modèles types (PSMSI, enregistrements types,...)
"oui"
o Rapports types (rapport d’audit…)
"oui"
o Référentiels types (ISO 27001, ISO 27002).
·
Workflows
Commentaire / explication
Nous pouvons le gérer au travers de deux axes : moyens de maitrise et/ou actions qui peuvent
tous les deux être suivis dans le temps.
Oui / Non
"oui"
Commentaire / explication
La solution permet la gestion de templates dans des librairies afin de promouvoir la
standardisation et intègre par ailleurs les templates d'information UCF.
L'application contient 50 rapports standards et offre la capacité de modifier ou créer de
nouveaux rapports.
l'intégration avec UCF (unified compliance framework) : plus de 400 lois indéxées avec des
verticaux sectoriels (banques, pharmacie, energies, …), des standards organisationnels (ISO,
COBIT, ITIL) et des lois des différents continents
Commentaire / explication
la solution intègre un outil de workflow permettant de modeliser aussi des workflow complexes.
o Gestion des Workflows
6.
Description libre de la solution par l’éditeur
------------->
IBM OpenPages IT Governance (ITG) est une solution de gouvernance informatique qui diminue la complexité de la gestion
des risques informatiques en alignant les opérations de gestion sur les initiatives métier, la stratégie et les obligations de l'entreprise en matière de réglementation. Reposant sur une
architecture centrale ouverte de services partagés, IBM OpenPages ITG permet aux entreprises de rester en conformité avec de nombreux cadres de meilleures pratiques (COSO, CoBit, ITIL et
ISO) et réglementations, tout en gérant les risques et en gardant le contrôle interne de leur informatique, en fonction des processus métier pris en charge.
IBM OpenPages ITG intègre de nombreux silos de gouvernance informatique afin d’améliorer la transparence, l'aide à la décision, les performances métier et la valorisation.
IBM OpenPages ITG permet aux entreprises internationales de :
• Surveiller et évaluer de manière centralisée l'efficacité globale de leurs investissements informatiques
• Adopter une approche de la gouvernance informatique reposant sur les meilleures pratiques
• Déployer une structure de contrôle des risques centrée sur les processus et les règles dans toute l'entreprise
• Faire bénéficier la direction d'une plus grande transparence dans les processus informatiques
• Rester agile et flexible afin de prendre en compte les changements technologiques et organisationnels
• Aligner les investissements informatiques sur les stratégies métier pour apporter aux clients, employés et partenaires des services et des résultats supérieurs tout en assurant une
différenciation et un avantage concurrentiel durable sur le marché.
IBM OpenPages ITG, qui fait partie intégrante de la plateforme IBM OpenPages GRC, est un bloc fonctionnel clé
dans la mise en oeuvre d'une approche intégrée de la gestion des risques et de la conformité à l'échelle de l'entreprise.
IBM OpenPages ITG offre une méthode basée sur des règles et des processus pour gérer les risques par le biais d'autoévaluations
des dispositifs de contrôle, d'enquêtes utilisateur, d'un workflow automatisé et de tableaux de bord qui apportent
à la direction la visibilité, le contrôle et l'aide à la décision nécessaires pour gérer les risques informatiques et optimiser les performances métier.
Annuaire - Outils SMSI – Mars 2015
Page 43
Club 27001
Annuaire - Outils SMSI – Mars 2015
2015
Page 44
2015
Club 27001
DCM Manager
Annuaire - Outils SMSI – Mars 2015
ID Nouvelles
Page 45
Club 27001
2015
Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information
utilisables dans le cadre des normes ISO 2700X
Contact
o
o
o
o
Nom et fonction du répondant
Adresse de contact Mail
Adresse postale de contact
Date de la réponse
Abeillé Corinne Gérante
[email protected]
104 bis, rue René Coty 91330 YERRES
11/08/2014
J'autorise la publication de ces informations sur le site internet
"oui"
du club 27001 (www.club-27001.fr) (oui/non)
1.
o
o
o
o
o
Administratif
Nom de l’éditeur
Si rattachement à un groupe, préciser
Nom et version de l'outil
Date de la première version de l’outil (nombre de versions)
Langue(s) outil
ID Nouvelles
DCM-Manager 4.08
07/2011 (4 versions majeures)
Français Anglais
Les questions suivantes concernent uniquement l'activité d'éditeur
d'outil SMSI :
o Nombre d'employés
o Chiffre d’affaire annuel (€)
o Année de création de l'activité
o Représentation commerciale en France / effectif
o Représentation technique en France / effectif
o Localisation du support
o Langues du support
6
500 à 700 K€
1992
1
5
Yerres
Français
Accompagnement au déploiement / intégration : équipe spécialisée
éditeur, ou partenariats...
Accompagnement au déploiement réalisé par ID Nouvelles en propre ou via un intégrateur partenaire
Références actives de l'éditeur d'outil SMSI :
o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la
référence)
o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la
référence)
o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la
référence)
o
2.
Principales références et présences en France
2011 Banque de France 20000 postes : audit de conformité, reporting (2000 destinataires), cartographie des risques + serve
2013 GIC 400 postes + 30 serveurs / Windows : audit de conformité + reporting
2014 TUI 1500 postes + 300 serveurs : audit de conformité + reporting + workflow + cartographie
Banque de France
Financier
o
o
o
o
Modalité de définition du coût (forfait, par site, par utilisateur…)
Prix public (activation, licence…)
Coût récurrent annuel (maintenance, hébergement…)
Devis type pour 10 utilisateurs, 3 sites, formation inclue
3.
o
o
o
o
o
Plateforme technique
Pré-requis techniques
Mode ASP (oui / non), si oui lieu d'hébergement
Langage de développement
Client lourd / client léger
Outil mono ou multi-utilisateurs
4. Condition de test ou de maquettage
o Modalités / coût d’une démonstration
o Modalités / coût d’un test chez le client
o Données de test incluses dans la démonstration (oui / non)
Annuaire - Outils SMSI – Mars 2015
Indépendant du nombre d'équipements, du nombre d'utilisateurs
10 à 40 K€ / an + accompagnement et paramétrage
SQL Server / IIS
Non
.Net framework 4
Admin / client lourd - Rapports / clients légers et aucun déploiement pour l'audit de conformité
Multi utilisateurs
VM de test avec des données factices
Oui
Page 46
2015
Club 27001
5.
Grandes fonctionnalités et données
veuillez répondre ci-dessous pour chaque rubrique à la question
"votre produit aide-t-il à …? "
"votre produit aide-t-il à …?"
en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme "non")
Commentaire / explication
Oui / Non
o Définition et partage de la Politique SMSI
o Définition et partage de l'Organisation et des Responsabilités
o Gestion de la cartographie des processus
o Gestion de la cartographie des actifs (primordiaux et supports)
o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s),
identification des risques, critères proposés (DICP…), évaluation,
risques résiduels)
o Création d'une DDA/SOA (liste des mesures de sécurité)
"oui"
"oui"
"non"
"oui"
Définition des mesures techniques de sécurité issues de la PSSI
Pour chaque actif il existe un propriétaire, un gestionnaire/réalisateur et un contrôleur
"oui"
Notion de parcs infomatiques utilisateur et de plates-formes métier avec cartographie des écarts
par regroupement d'actif et niveau de criticité des actifs
Cotation des actifs par niveau de criticité DIC issue des analyses de risque existantes
"oui"
Uniquement pour les mesures techniques
Oui / Non
Commentaire / explication
Oui / Non
Commentaire / explication
o Gestion du Plan de traitement des risques (Sélection des mesures
de sécurité, plan d'action, acteur, planning et suivi des actions)
o Gestion des Incidents
o Génération d'Indicateurs (conformité, efficacité, avancement)
o Gestion des audits et contrôles des processus, des normes
(conformité) et des mesures de sécurité (efficacité)
"non"
"oui"
"oui"
Conformité par regroupement d'actif et niveau de criticité
Efficacité des mesures de sécurité techniques et suivi des actions de remédiation
"oui"
Audit continu quotidien
o Planification d'actions périodiques (réunion, contrôle à réaliser…)
Oui / Non
o Gestion d'un plan d'amélioration (actions préventives, correctives
et d’amélioration)
·
Documentation
o Gestion documentaire (création, consultation, mise à jour de la
documentation de référence, accessibilité, versionning)
"oui"
Oui / Non
Versionning du référentiel des mesures de sécurité technique
"oui"
Association de la version du référentiel à chaque campagne d'audit et aux objectifs de sécurité
attendus à la date d'audit et l'évolution dans le temps des objectifs est tracée
Oui / Non
"oui"
o Rapports types (rapport d’audit…)
o Référentiels types (ISO 27001, ISO 27002).
·
Workflows
"oui"
Commentaire / explication
Rapports dynamiques en ligne et rapports statiques envoyés périodiquement aux
correspondants de sécurité
Chaque mesure technique implémentée peut être reliée à la mesure de l'ISO 27002 couverte
Oui / Non
"oui"
o Gestion des Workflows
6.
Commentaire / explication
"oui"
o Gestion des enregistrements (suivi, preuves)
· Données & base de connaissance :
o Modèles types (PSMSI, enregistrements types,...)
Commentaire / explication
Suivi des actions dans le temps et de l'évolution du niveau de conformité aux objectifs de
sécurité
Commentaire / explication
Pour la modification du référentiel, pour la gestion du changement des composants de sécurité
et la mise en production automatique des procédures d'audit continu
Description libre de la solution par l’éditeur
------------->
DCM-Manager repose sur :
- la gestion du référentiel des mesures techniques de sécurité (plusieurs centaines) déployées sur le SI
- l'audit technique continu du SI
- le reporting du niveau de conformité par rapport aux objectifs de sécurité
- la gestion de l'amélioration et la gouvernance des risques induits par les écarts
Le SI est regroupé par parc utilisateurs (postes), par plate-forme métier (serveurs), par zone réseau ainsi que par méta regroupement pour refléter l'organisation de
l'entreprise
Chaque regroupement dispose d'un niveau de criticité DIC
Les objectifs sont déclinés par niveau de criticité
Les écarts sont représentés par regroupement et par niveau de criticité
Les rapports dynamiques permettent d'analyser les écarts par composant de sécurité ou d'un composant en fonction d'un autre
DCM-Manager ne nécessite aucun déploiement sur les postes ou serveurs
DCM-Manager ne nécessite aucun droit ni habilitation complémentaire sur les postes et serveurs par rapport aux droits déjà appliqués
DCM-Manager n'envoie aucune informtation à l'extérieur de l'entreprise
DCM-Manager a été conçu pour le RSSI pour challenger sa DSI et synthétiser à la direction générale le niveau de risque observé
Annuaire - Outils SMSI – Mars 2015
Page 47
Club 27001
Annuaire - Outils SMSI – Mars 2015
2015
Page 48
Club 27001
2015
Kleverware IAG Kleverware
Annuaire - Outils SMSI – Mars 2015
Page 49
Club 27001
2015
Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information
utilisables dans le cadre des normes ISO 2700X
Contact
o
o
o
o
Nom et fonction du répondant
Adresse de contact Mail
Adresse postale de contact
Date de la réponse
Bertrand Augé - Directeur Commercial
[email protected]
4, allée des Garays - 91120 Palaiseau
26/08/2014
J'autorise la publication de ces informations sur le site internet
"oui"
du club 27001 (www.club-27001.fr) (oui/non)
1.
o
o
o
o
o
Administratif
Nom de l’éditeur
Si rattachement à un groupe, préciser
Nom et version de l'outil
Date de la première version de l’outil (nombre de versions)
Langue(s) outil
Kleverware
Kleverware IAG 14.4 - 2 possibilités: "Quick Stard" ou "Enterprise"
2006
français
Les questions suivantes concernent uniquement l'activité d'éditeur
d'outil SMSI :
o Nombre d'employés
o Chiffre d’affaire annuel (€)
o Année de création de l'activité
o Représentation commerciale en France / effectif
o Représentation technique en France / effectif
o Localisation du support
o Langues du support
7
non communiqué
2005
2
2
France
français / anglais
Accompagnement au déploiement / intégration : équipe spécialisée
éditeur, ou partenariats...
Oui, plusieurs intégrateurs en France ou à l'étranger
Références actives de l'éditeur d'outil SMSI :
o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la
référence)
o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la
référence)
o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la
référence)
o
2.
Principales références et présences en France
N/A
N/A
N/A
Allianz, AXA, Crédit Agricole, Generali, SmaBtp, PMU, Icade (Caise des dépôts)…
Financier
o
o
o
o
Modalité de définition du coût (forfait, par site, par utilisateur…)
Prix public (activation, licence…)
Coût récurrent annuel (maintenance, hébergement…)
Devis type pour 10 utilisateurs, 3 sites, formation inclue
Version "Quick Start" à l'utilisateur, version "Enterprise" au nombre d'Identités intégrées
à partir de 30K > plusieurs centaines.
20% du prix
Selon nombre d'Identités
3.
o
o
o
o
o
Plateforme technique
Pré-requis techniques
Mode ASP (oui / non), si oui lieu d'hébergement
Langage de développement
Client lourd / client léger
Outil mono ou multi-utilisateurs
Non
.Net
les 2
Les 2
4. Condition de test ou de maquettage
o Modalités / coût d’une démonstration
o Modalités / coût d’un test chez le client
o Données de test incluses dans la démonstration (oui / non)
Annuaire - Outils SMSI – Mars 2015
Gratuit sur "Quick Start"
Au temps passé
oui
Page 50
2015
Club 27001
5.
Grandes fonctionnalités et données
veuillez répondre ci-dessous pour chaque rubrique à la question
"votre produit aide-t-il à …? "
"votre produit aide-t-il à …?"
en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme "non")
Commentaire / explication
Oui / Non
o Définition et partage de la Politique SMSI
o Définition et partage de l'Organisation et des Responsabilités
o Gestion de la cartographie des processus
o Gestion de la cartographie des actifs (primordiaux et supports)
o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s),
identification des risques, critères proposés (DICP…), évaluation,
risques résiduels)
o Création d'une DDA/SOA (liste des mesures de sécurité)
"non"
"non"
"non"
"oui"
"non"
"non"
Oui / Non
o Gestion du Plan de traitement des risques (Sélection des mesures
de sécurité, plan d'action, acteur, planning et suivi des actions)
Commentaire / explication
"non"
Oui / Non
o Gestion des Incidents
o Génération d'Indicateurs (conformité, efficacité, avancement)
o Gestion des audits et contrôles des processus, des normes
(conformité) et des mesures de sécurité (efficacité)
Commentaire / explication
"oui"
"oui"
Sur les campagnes de recertification
Sur un périmétre de la PSSI
"oui"
Pour les Identités et les droits
o Planification d'actions périodiques (réunion, contrôle à réaliser…)
Oui / Non
o Gestion d'un plan d'amélioration (actions préventives, correctives
et d’amélioration)
"oui"
·
Documentation
o Gestion documentaire (création, consultation, mise à jour de la
documentation de référence, accessibilité, versionning)
o Gestion des enregistrements (suivi, preuves)
Oui / Non
·
Données & base de connaissance :
o Modèles types (PSMSI, enregistrements types,...)
o Rapports types (rapport d’audit…)
o Référentiels types (ISO 27001, ISO 27002).
Oui / Non
·
Workflows
o Gestion des Workflows
Oui / Non
6.
Commentaire / explication
Pour les Identités et les droits
Commentaire / explication
"oui"
"oui"
Commentaire / explication
"non"
"oui"
"non"
"oui"
Commentaire / explication
Sur les campagnes de recertificaation des comptes.
Description libre de la solution par l’éditeur
------------->
Il est aujourd'hui crucial de pouvoir détecter et anticiper les risques potentiels qui pèsent sur le Système d'Information.
Votre entreprise est confrontée à des mutations permanentes auxquelles plusieurs départements (RH, IT, Métier…) doivent s’adapter :
• Vie de l’entreprise (Nécessité de fournir un accès au SI aux clients, partenaires, fournisseurs…)
• Cycle de vie de l’utilisateur (Arrivée d’utilisateurs, changements de postes, départs…)
Tenir compte de ces mutations est un enjeu majeur pour assurer la sécurité de votre SI. Cela vous évite d’être confronté à des risques opérationnels tels que : le cumul de droits, les
habilitations de certains utilisateurs type ‘administrateur’ et l’accès non autorisé de certains utilisateurs à des données stratégiques…
Pour optimiser la sécurité de votre SI et en assurer la conformité avec les normes et les réglementations relatives à la gouvernance d’entreprise, vous devez pouvoir répondre à tout moment à
la question : « Qui a droit à Quoi et Comment et Pourquoi? ».
Kleverware IAG (Identity & Access Governance) est utilisée dans le cadre de projet réglementaire, normatif, fonctionnel, technique tels que :
Bâle III, SOX, Solvency II, CRBF, RGS, LSF, ISO 27xxx, Création de référentiels, Contrôle Permanent, Audit, Gestion des habilitations, Création ou Refonte de Profils Métier,...
Notre solution sont utilisées par de Grands Comptes, dont plusieurs entités du Groupe BPCE (Bred, I-BP, GCE Technologies…), SMA BTP, plusieurs entités du Groupe Crédit Agricole (Crédit
Agricole sa, Silca, Crédit Agricole Consumer Finance…), AXA, La Banque Postale, PMU, AG2R La Mondiale, Icade ...
Kleverware est lauréate de Scientipôle Initiative, PM’UP, elle est membre d’OSEO Excellence, Partner de Microsoft / ISV Software Solution.
Annuaire - Outils SMSI – Mars 2015
Page 51
Club 27001
Annuaire - Outils SMSI – Mars 2015
2015
Page 52
Club 27001
2015
FENCE MDAL
Annuaire - Outils SMSI – Mars 2015
Page 53
Club 27001
2015
Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information
utilisables dans le cadre des normes ISO 2700X
Contact
o
o
o
o
Nom et fonction du répondant
Adresse de contact Mail
Adresse postale de contact
Date de la réponse
MAZZA, consultant sécurité et responsable du logiciel FENCE
[email protected]
Société MDAL 11 bd Deodat de Severac Bâtiment Gamma 31770 Colomiers
01-août-14
J'autorise la publication de ces informations sur le site internet
"oui"
du club 27001 (www.club-27001.fr) (oui/non)
1.
o
o
o
o
o
Administratif
Nom de l’éditeur
Si rattachement à un groupe, préciser
Nom et version de l'outil
Date de la première version de l’outil (nombre de versions)
Langue(s) outil
MDAL
FENCE V1
Janvier 2013 2 versions
Anglais, Français (gère le multilingue)
Les questions suivantes concernent uniquement l'activité d'éditeur
d'outil SMSI :
o Nombre d'employés
o Chiffre d’affaire annuel (€)
o Année de création de l'activité
o Représentation commerciale en France / effectif
o Représentation technique en France / effectif
o Localisation du support
o Langues du support
4
110 000 euros
2011
4
4
France
Français, Anglais
Accompagnement au déploiement / intégration : équipe spécialisée
éditeur, ou partenariats...
Equipe de 3 consultants MDAL
Références actives de l'éditeur d'outil SMSI :
o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la
référence)
o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la
référence)
o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la
référence)
o
2.
Principales références et présences en France
2014/Module d'analyse de risques/15 000 employés/France
2013/Module d'analyse de risques/30 intervenants
Airbus Helicopters/Programme SESAR (Single European Sky ATM Research)
Financier
o
o
o
o
Modalité de définition du coût (forfait, par site, par utilisateur…)
Prix public (activation, licence…)
Coût récurrent annuel (maintenance, hébergement…)
Devis type pour 10 utilisateurs, 3 sites, formation inclue
A négocier selon options
A négocier selon options
A négocier selon options
prix indicatif de 25 000 euros en achat
3.
o
o
o
o
o
Plateforme technique
Pré-requis techniques
Mode ASP (oui / non), si oui lieu d'hébergement
Langage de développement
Client lourd / client léger
Outil mono ou multi-utilisateurs
Mode ASP possible : hébergement à déterminer selon les besoins du client.
Ruby on rails
Navigateur Web
Multi-utilisateurs
4. Condition de test ou de maquettage
o Modalités / coût d’une démonstration
o Modalités / coût d’un test chez le client
o Données de test incluses dans la démonstration (oui / non)
Annuaire - Outils SMSI – Mars 2015
Gratuit
A négocier.
Oui
Page 54
2015
Club 27001
5.
Grandes fonctionnalités et données
veuillez répondre ci-dessous pour chaque rubrique à la question
"votre produit aide-t-il à …? "
"votre produit aide-t-il à …?"
en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme "non")
Oui / Non
o Définition et partage de la Politique SMSI
o Définition et partage de l'Organisation et des Responsabilités
o Gestion de la cartographie des processus
o Gestion de la cartographie des actifs (primordiaux et supports)
"non"
"non"
"non"
"oui"
"oui"
o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s),
identification des risques, critères proposés (DICP…), évaluation,
risques résiduels)
Commentaire / explication
Identification des actifs primaires et des actifs de support associés. Caractérisation des actifs
(type, descritpion et responsabilité)
Démarche compatible avec la norme iso 27005. Gestion de domaines communs de sécurité et
projets. Etablissement de contexte de sécurité. Evaluation des risques : impact (critères de
sécurité gérés : disponibilité, confidentialité et intégrité.) et potentialité Gestion d'un catalogue
de menaces, vulnérabilités. Génération automatique des scénarios de menace. Tableaux de
bord.
o Création d'une DDA/SOA (liste des mesures de sécurité)
Oui / Non
o Gestion du Plan de traitement des risques (Sélection des mesures
de sécurité, plan d'action, acteur, planning et suivi des actions)
"oui"
Oui / Non
o Gestion des Incidents
o Génération d'Indicateurs (conformité, efficacité, avancement)
o Gestion des audits et contrôles des processus, des normes
(conformité) et des mesures de sécurité (efficacité)
"non"
"oui"
"non"
Commentaire / explication
Seule la sélection des contrôles et mesures de sécurité est gérée.
Commentaire / explication
Une page Dashboard customisable présente un ensemble d'indicateurs.
"non"
o Planification d'actions périodiques (réunion, contrôle à réaliser…)
Oui / Non
o Gestion d'un plan d'amélioration (actions préventives, correctives
et d’amélioration)
·
Documentation
o Gestion documentaire (création, consultation, mise à jour de la
documentation de référence, accessibilité, versionning)
o Gestion des enregistrements (suivi, preuves)
Oui / Non
· Données & base de connaissance :
o Modèles types (PSMSI, enregistrements types,...)
o Rapports types (rapport d’audit…)
o Référentiels types (ISO 27001, ISO 27002).
Oui / Non
·
Workflows
o Gestion des Workflows
Oui / Non
6.
Commentaire / explication
"non"
Commentaire / explication
"non"
"non"
Commentaire / explication
"non"
"non"
"oui"
Commentaire / explication
"non"
Description libre de la solution par l’éditeur
------------->
FENCE est un outil de gestion de risques compatible iso 27005.
Il permet d'établir un contexte de sécurité, d'identifier les actifs primaires et de support, d'évaluer les impacts et la potentialité, d'évaluer les niveaux de risques. Enfin Fence permet de traiter
les risques en proposant des listes de contrôles et mesures de sécurité.
FENCE gère les catalogues de menaces, vulnérabilité, scénarios de menace générique, types d'assets et liste de contrôles et mesures de sécurité dans une base de connaissance. L'utilisateur
peut mettre à jour et créer autant de bases de connaissances qu'il souhaite en fonction des besoins.
Fence à travers la notion de domaine permet de capitaliser sur les activités d'analyses de risques déjà menées en partageant les contextes de sécurité et les assets en commun. L'utilisateur
peut ainsi ré-utiliser des contextes de sécurité et actifs qui ont déjà été créés. Le domaine offre alors une vue consolidée des différents projets.
FENCE offre des fonctionnalités d'export pour une restitution externe au logiciel. Il offre également des tableaux de bord et indicateurs pour assurer le suivi des activités de gestion de risques.
Annuaire - Outils SMSI – Mars 2015
Page 55
Club 27001
Annuaire - Outils SMSI – Mars 2015
2015
Page 56
Club 27001
2015
Optimiso
Annuaire - Outils SMSI – Mars 2015
Page 57
Club 27001
2015
Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information
utilisables dans le cadre des normes ISO 2700X
Contact
o
o
o
o
Nom et fonction du répondant
Adresse de contact Mail
Adresse postale de contact
Date de la réponse
BOUVIER Christophe, Directeur Commercial
[email protected]
13 avenue Victor Hugo, 69160 TASSIN LA DEMI LUNE
19/03/2015
J'autorise la publication de ces informations sur le site internet
"oui"
du club 27001 (www.club-27001.fr) (oui/non)
1.
o
o
o
o
o
Administratif
Nom de l’éditeur
Si rattachement à un groupe, préciser
Nom et version de l'outil
Date de la première version de l’outil (nombre de versions)
Langue(s) outil
Les questions suivantes concernent uniquement l'activité d'éditeur
d'outil SMSI :
o Nombre d'employés
o Chiffre d’affaire annuel (€)
o Année de création de l'activité
o Représentation commerciale en France / effectif
o Représentation technique en France / effectif
o Localisation du support
o Langues du support
Accompagnement au déploiement / intégration : équipe spécialisée
éditeur, ou partenariats...
Optimiso Group SA
Optimiso, version 9.29
1995
Français, Anglais, Allemand
15
confidentiel
2005
M. Christophe Bouvier, 2 personnes
Genève et Lyon
Français, Anglais, Allemand
Une équipe de consultants accompagne les clients dans la mise en œuvre des solutions et également pour apporter du conseil
Références actives de l'éditeur d'outil SMSI :
o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la
référence)
o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la
référence)
Client dans le domaine financier (nom confidentiel)
2011
Process Modelor, Document Manager, Human Resources Manager, Risk Manager, Control Safety and Security
Manager, Incident & Improvement Manager, Compliance Manager, Infrastructure & Asset Manager, Departement &
Unit Manager, Role & Function Manager, Web Share Navigator
200 collaborateurs
Suisse
Client dans le domaine financier (nom confidentiel)
2009
Process Modelor, Document Manager, Human Resources Manager, Risk Manager, Control Safety and Security
Manager, Incident & Improvement Manager, Compliance Manager, Infrastructure & Asset Manager, Departement &
Unit Manager, Role & Function Manager, Web Share Navigator
20 collaborateurs
Suisse
o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la
référence)
o
Principales références et présences en France
2. Financier
o Modalité de définition du coût (forfait, par site, par utilisateur…)
o Prix public (activation, licence…)
o Coût récurrent annuel (maintenance, hébergement…)
o Devis type pour 10 utilisateurs, 3 sites, formation inclue
3.
o
o
o
o
o
Mutuelles, Industries, Universités, Collectivités
Modules acquis, nombre d'administrateurs et nombre de collaborateurs de l'entreprise
de 5'000.- à 50'000.-€ selon les modalités ci-dessus
abonnement annuel de maintenance 16% du prix officiel de la licence
environ 10'000.-€
Plateforme technique
Pré-requis techniques
Mode ASP (oui / non), si oui lieu d'hébergement
Langage de développement
Client lourd / client léger
Outil mono ou multi-utilisateurs
4. Condition de test ou de maquettage
o Modalités / coût d’une démonstration
o Modalités / coût d’un test chez le client
o Données de test inclues dans la démonstration (oui / non)
Annuaire - Outils SMSI – Mars 2015
Windows XP / Vista / Seven minumum
IE 7 ou Firefox 3.6 minimum
Si installation standard: Microsoft MDAC / Windows DAC (installé par défaut sur les système Windows)
Si installation SQL Server : SQL Server 2008 R2 Express Edition
non
C++, HTML et Javascript
client lourd ET léger
multi-utilisateurs
Démonstration online gratuite, Démonstration sur site 300.-€ + déplacement
de 300.- à 1'000.-€
oui
Page 58
2015
Club 27001
5.
Grandes fonctionnalités et données
"votre produit aide-t-il à …?"
veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à …? "
en l'expliquant brièvement
Commentaire / explication
Oui / Non
o Définition et partage de la Politique SMSI
o Définition et partage de l'Organisation et des Responsabilités
o Gestion de la cartographie des processus
o Gestion de la cartographie des actifs (primordiaux et supports)
o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s),
identification des risques, critères proposés (DICP…), évaluation,
risques résiduels)
o Création d'une DDA/SOA (liste des mesures de sécurité)
"oui"
"oui"
"oui"
"oui"
Définition des actifs et liens de dépendance entre eux.
"oui"
Risques évalués sur une échelle à deux axes (probabilité et impact). Le nombre de niveaux
étant personnalisables (ex: 5 niveaux d'impact, 5 niveaux de probabilité et 4 niveaux de risque).
"oui"
Par le module Compliance Manager dans lequel les 133 points de contrôles peuvent être
identifiés. Pour chaque point de contrôle vous indiquez les mesures en place.
Oui / Non
o Gestion du Plan de traitement des risques (Sélection des mesures
de sécurité, plan d'action, acteur, planning et suivi des actions)
"oui"
Commentaire / explication
Avec un suivi des actions pour l'instant manuel.
Oui / Non
o Gestion des Incidents
o Génération d'Indicateurs (conformité, efficacité, avancement)
o Gestion des audits et contrôles des processus, des normes
(conformité) et des mesures de sécurité (efficacité)
(à défaut d'explication la réponse sera considérée comme "non")
Commentaire / explication
"oui"
"oui"
"non"
à venir
"oui"
Module To Do Manager sorti en 2014
o Planification d'actions périodiques (réunion, contrôle à réaliser…)
Oui / Non
o Gestion d'un plan d'amélioration (actions préventives, correctives
et d’amélioration)
·
Documentation
o Gestion documentaire (création, consultation, mise à jour de la
documentation de référence, accessibilité, versionning)
o Gestion des enregistrements (suivi, preuves)
Oui / Non
· Données & base de connaissance :
o Modèles types (PSMSI, enregistrements types,...)
o Rapports types (rapport d’audit…)
o Référentiels types (ISO 27001, ISO 27002).
Oui / Non
·
Workflows
o Gestion des Workflows
Oui / Non
6.
Commentaire / explication
"oui"
Commentaire / explication
"oui"
"oui"
Commentaire / explication
"non"
"non"
"oui"
Commentaire / explication
"non"
Description libre de la solution par l’éditeur
Le logiciel Optimiso permet de décrire, modéliser et communiquer l'organisation des entreprises.
Il est notamment utilisé dans le cadre des SMSI pour la certification ISO 27001.
Dans ce cadre il permet de :
- modéliser, gérer et communiquer les processus et procédures de l'entreprises,
- identifier les responsabilités de chacun,
- gérer tous les documents relatifs au SMSI (règlements, instructions, formulaires, etc.) et les mettre en rapport avec les processus et procédures, les risques et les contrôles et les
responsabilités,
- identifier, gérer et catégoriser les actifs de l'entreprise, identifier les relations de dépendance entre les actifs et les lier aux autres éléments (responsabilités, entités, risques, contrôles, etc.),
- identifier et évaluer les risques,
- documenter les contrôles ou mesures de protection,
- apporter la preuve de la protection des informations,
- documenter et gérer les plans d'amélioration,
- identifier l'ensemble des éléments ci-dessus dans le SOA,
- etc.
De plus, en 2014, nous avons sorti un nouveau module "To Do Manager" pour répondre aux objectifs suivants :
- Suivi de la réalisation des contrôles
- Suivi de la réévaluation des risques
- Suivi de la révision des procédures
- Suivi de la réalisation des actions d'améliorations
Envoi d'emails permettant de rappeler les tâches à effectuer
Le destinataire indique en retour si la tâche a été réalisée ou non et éventuellement son résultat
L’expéditeur suit la réalisation des tâches
Ce module est appelé à évoluer et d'autres fonctions viendront compléter le périmètre fonctionnel.
Annuaire - Outils SMSI – Mars 2015
Page 59
Club 27001
Annuaire - Outils SMSI – Mars 2015
2015
Page 60
2015
Club 27001
Verinice
Annuaire - Outils SMSI – Mars 2015
Sernet
Page 61
Club 27001
2015
Description of a software product for Information Security Management
Contact
o
o
o
o
Respondent name and quality
Contact email address
Contact address
Response Date
Alexander Koderman, Product Owner
[email protected]
Alexander Koderman, SerNet GmbH, Torstr. 6, 10119 Berlin
2014-08-27
I hereby authorize "club 27001" to publish on their web site the
"YES"
information provided in this document (www.club-27001.fr)
(Yes/No)
1.
o
o
o
o
o
Administrative
Company name
In case of group attachment, please specify
Product Name and release
Product creation year (number of releases)
Product languages
SerNet GmbH
verinice 1.8 / verinice.PRO 1.8
2008 (25)
English, German
The following questions are only about publishing activities of ISMS
Software Tools
o Number of employees
o Annual Revenue (€)
o Company creation year
o Customer location in France / # employees
o Technical location in France / # employees
o Location of customer support
o Support language
60
1997
none
none
Germany (Berlin and Goettingen)
English, German
Implementation support / integration: dedicated vendor team, or
partners…
own Support Team plus Partners, see http://partner.verinice.org/partner/verinicepartner/
Active references of ISMS Tools company:
o Ref. 1 (Year / Deployed Modules / customer size / reference
country)
o Ref. 2 (Year / Deployed Modules / customer size / reference
country)
o Ref. 3 (Year / Deployed Modules / customer size / reference
country)
o Main references in France
Volkswagen, Germany (Automotive)
EUROPEAN UNION - General Secretariat of the Council, Belgium (Public)
Itron Inc, USA (Energy)
none
2.
o
o
o
o
Financial
Pricing model (package, by site, by user…)
Public price (activation, license,...)
Annual recurring costs (maintenance, hosting ...)
Standard costs for 10 users, 3 sites, training included
annual subscription fee per server and per company / institution
3 400,00 €
3 400,00 €
3.400,00 €, plus training depending on pre-existing knowledge
3.
o
o
o
o
o
Technical Platform
Technical requirements
Application Service Provider (YES / NO), if yes hosting location
Development language
Thick client / thin client
Single or multi user tool
VMWare Player 3.0 / ESX 4.1 orVMWare Server 2.0.X / other Virtualization Environment or physical Server, min. 4GB RAM /
Virtual Appliance
English
Rich client & Web Frontend for Workflow Activities
Multi User / Multi Tenant (verinice.PRO)
4. Test or benchmark
o Conditions / demonstration cost
o Conditions / cost of a customer test
o Test Data included in demonstration (yes / no)
Annuaire - Outils SMSI – Mars 2015
Web-Demo available, fully functional Client available for free (Open Source)
free client download free of charge
yes
Page 62
2015
Club 27001
5.
Main functions and Data
please answer the question "does your product help with …? "
"Does your product help with …?"
and briefly explain how
Comment / justification
Yes / No
o
o
o
o
Defining and sharing the ISMS Policy
Defining and sharing the Organisation and Responsibilities
Process Mapping Management
Asset Mapping Management (primary and support)
o Risk analysis: method(s) used, risk identification, proposed
criteria (AIC...), risk evaluation, residual risks.
o SOA generation (list of security controls)
o Management of Risk Treatment Plan (selection of security
controls, actions plan, actors, schedule, action follow up)
"yes"
"yes"
"yes"
"yes"
"yes"
"yes"
Documents can be managed inside the verinice database or as external references
yes, personell can be defined and assigned to controls, assets and other objects in their
yes, modelling of processes and their dependencies to assets
yes, see above
risk assessment and treatment acc. to ISO 27005, see our screencast:
http://www.verinice.org/en/products/screencasts/
Yes, 27001 Annex A controls and additionally selected controls included in standard template
Yes / No
Comment / justification
"yes"
Selection and assignment of controls, web-based workflow engine to delegate tasks and follow
up on them
Yes / No
o Incidents Management
o Generation of indicators/dashboard (compliance, efficiency)
o Management of audits and checks on processes, standards
(compliance) and security controls (efficiency)
o Recurring work planification (meetings, checks…)
Comment / justification
"yes"
"no"
"yes"
incidents and responses can be created, assigned and reported
generation of reports is possible, but no web-based dashboard
audits are a special object with special workflows attached to them
"oui"
workflow engine allows creation of individually defined tasks for any object
Yes / No
o Management of improvement plan (preventive, corrective and
improvement actions)
·
Documentation
·
Data and knowledge base:
o Document and record templates (ISMS policy, records...)
Comment / justification
"yes"
Yes / No
"yes"
o Documentation Management(creation, consultation, reference
document update, accessibility, versioning)
o Records management (follow up, audit trail and evidence)
(if no explanation, the answer will be considered "No")
"yes"
Comment / justification
documents can be attached to any object and also included in workflow tasks (i.e. „fill out this
form“ or „implement this control and add screenshot as proof“) Attachments are timestamped
and versioned. External URLs can be documented as well.
Object types „Evidence“ and „Audit Action“
Yes / No
Comment / justification
"no"
"yes"
no templates are included in the product, there is just a list of mandatory documents
standard report templates aree included, verinice.PRO includes a fully featured report designer
"yes"
official text can be licensed, otherwise we include our own implementation guidance with just
the official chapter headings
o Report templates (audit report, …)
o Referenced documents (ISO 27001, ISO 27002).
·
Workflows
o Workflows Management
6.
Yes / No
"yes"
Comment / justification
see our screencast: http://www.verinice.org/en/products/screencasts/
Vendor's description of the software (feel free to summarize as you wish)
------------->
Verinice is a tool for managing information security. The software is provided under the GPLv3 license. As open source software, it is available for free in our download area.
verinice.PRO adds multi user support, a workflow engine, report designer and much more. verinice.PRO is available as a yearly software subscription.
Our website is http://verinice.org
You can use verinice for:
- establishing, maintaining and improving an ISMS based on ISO 27001
- assuring the compliance with standards such as ISO 27002, BSI IT-Baseline Security, VDA IS-Assessments and many more
- performing risk analysis based on ISO 27005
- auditing, document management, report generation and much more
verinice runs on Windows, Linux and Mac OS.
Annuaire - Outils SMSI – Mars 2015
Page 63
Club 27001
Annuaire - Outils SMSI – Mars 2015
2015
Page 64
Club 27001
2015
III. Conclusion
De nouveaux produits, de nouvelles fonctionnalités, quelques départs :
•
•
•
De nouveaux acteurs font leur apparition sur le marché français ou le testent.
La majorité des produits propose de nouvelles fonctionnalités.
Au moins 2 acteurs (Callio Secura et ISOSystemPlus) ne sont plus présents sur le marché.
L’édition 2015 du Livre Blanc Benchmark des Outils SMSI :
• Permettra de comparer ces solutions et notamment leurs apports vis-à-vis des nouvelles versions
des normes.
• Devra identifier les réelles avancées fonctionnelles améliorant l’aide à la conception et au
maintien d’un SMSI.
Un enquete en ligne - http://tinyurl.com/mvbmmnn - destinée aux RSSI est disponible, elle couvre :
• Les usages de la norme ISO27001 dans les entreprises privées et organismes publiques
• L’utilisation d’outils logiciels SMSI pour la mise en œuvre et l’exploitation des SMSI.
Si vous utilisez ou connaissez d’autres outils absents de ce catalogue, votre retour d’expérience sera
utile à la communauté du Club 27001. Si vous souhaitez nous en informer ou souhaitez apporter
votre contribution en participant au benchmark : contactez nous !
[email protected]
Annuaire - Outils SMSI – Mars 2015
Page 65
Club 27001
2015
Publication des résultats
Vous serez prévenus dès parution du Livre blanc 2015.
Les documents suivants sont deja disponibles en téléchargement sur le site Internet du Club
27001, rubrique « Benchmark outils SMSI » :
• L’Annuaire 2015
• Le modèle de questionnaire administratif 2015
• Le modèle de questionnaire technique 2015
•
•
Le livre blanc (extraits) 2013
La présentation 2013 du séminaire annuel du Club 27001 (4 avril 2013)
http://www.club-27001.fr/
Les documents suivants sont fournis sur demande aux membres du Club 27001 :
• Le livre blanc (complet) 2013
• Les questionnaires préliminaires renseignés par les éditeurs 2013
• Les questionnaires techniques complétés par les membres du GT 2013
[email protected]
Annuaire - Outils SMSI – Mars 2015
Page 66