Hettange-Grande / Sœtrich

Quel est l’outil de gestion du risque le plus utilisé en entreprise ? Il semble que ce soit Microsoft Excel ou ses cousins bureautiques ! Pourtant la satisfaction n’est pas toujours au rendez-vous. Heureusement, les membres du Club des responsables informatiques du Grand Ouest ont repéré quelques outils des gestion du risque un peu plus évolués.

Le septième forum Sécurité & Management de l’information, organisé par le CRI’Ouest (Club des responsables informatiques du Grand Ouest), avait pour thème les outils utiles au RSSI. Si SecurityVibes y était invité en tant que solution de veille, c’est surtout la gestion du risque qui a tenu le haut du pavé lors des présentations. Et pour cause : le pilotage de la sécurité par le risque – quand on ne parle pas carrément de GRC – est effectivement devenu le crédo de la profession.

Mais un crédo à la recherche d’outils, alors ! Car, certes, le mini-sondage organisé au préalable par le CRI’Ouest donne Microsoft Excel comme outil incontournable sur tous les fronts : qu’il s’agisse de suivre l’évolution de son SMSI, de réaliser les analyses de risque, de compiler des indicateurs de sécurité pour le reporting ou de suivre l’implémentation des mesures de sécurité, c’est Excel (assisté parfois de Word) qui s’y colle le plus souvent. Mais pour autant l’outil n’est pas franchement acclamé, et il s’agirait plutôt en réalité d’un pi aller. « Les outils spécialisés existent bien, mais ils sont souvent trop complexes, peu souples et surtout il faut trouver le temps de les maîtriser !« , résume un intervenant.

Au crédit d’Excel et ses macros, il est bien entendu possible de réaliser des outils « relativement bien automatisés« , comme le note un participant. Mais des solutions dédiées permettront, notamment, d’intégrer plus simplement les méthodes d’analyses de risque à la démarche, de gérer plusieurs sites simultanément ou encore d’exporter les rapports à loisir et en de multiples formats.

Alors pour ceux qui sont prêts à consacrer un peu de temps à découvrir un outil plus spécialisé que le bon vieux tableur, le CRI’Ouest a identifié trois outils libres destinés à accompagner la démarche de gestion du risque dans l’entreprise.

EBIOS Security Risk Manager
Une application conçue par Alexandre Lauga, consultant SSI chez Orange Consulting. L’outil est développé en C#, pour environnements Windows. ESR Manager s’appuie sur EBIOS v2 pour réaliser une appréciation des risques de l’entreprise (mise à jour prévue vers EBIOS 2010). Et si l’auteur concède qu’il est parfaitement possible de réaliser une telle étude à l’aide de macros Excel et d’une bonne dose d’huile de coude, son outil présente tout de même de sacré atouts : les calculs sont réalisés en mémoire vive, les mises à jour des niveaux de risques sont immédiats et il est largement plus convivial qu’un classeur Excel maison ou que l’outil EBIOS officiel (interface soignée, export des rapports mis en forme et support du français et de l’anglais par exemple). Il propose en outre également une version simplifiée d’EBIOS basée sur des retours terrains.
> télécharger EBIOS Security Risk Manager

C’SAM
Un portail collaboratif bâti sur Microsoft Sharepoint et proposé librement par la société Capaciti. C’SAM est destiné au suivi de la politique de sécurité, à la présentation des tableaux de bord et à la gestion documentaire de la SSI. L’ensemble se présente comme un intranet personnalisable orienté SSI, qui bénéficie des fonctions collaboratives propres à Microsoft Sharepoint. C’est à ce titre plus un template qu’un produit fini (Capaciti propose d’ailleurs si nécessaire des prestations de mise en service et de lancement du SMSI en s’appuyant sur la solution).
> télécharger C’SAM

evalSMSI
Une solution libre en ligne bâtie sur le couple PHP / MySQL par Michel Dubois, RSSI au Service de Santé des Armées et doctorant à l’ESIEA. L’outil permet à des responsables sécurité de sites distants (filiales, bureaux) de s’auto-évaluer selon les points de la norme ISO 27001. Le questionnaire est réalisé en ligne, automatisé, personnalisable à loisir par l’administrateur et il peut être rempli en plusieurs séances par le responsable local. Une partie administrateur permet entre autre de regrouper les sites selon les besoins organisationnels de l’entreprise, et d’accéder bien entendu aux graphes des résultats. Parallèlement, un accès « auditeur » permet ensuite, pour chaque entité ayant complété son questionnaire, une évaluation sur site par l’auditeur externe. evalSMSI offre ensuite la comparaison entre l’auto-évaluation et le rapport de l’auditeur, ainsi que foison de graphiques et de rapports ad-hoc.
> télécharger evalSMSI

ESR Manager et evalSMSI constituent de précieuses alternatives à Microsoft Excel pour l’analyse de risque. C’SAM, qui n’est certes pas tout à fait concurrent d’Excel, facilitera quant à lui la mise en place d’un « squelette » de gestion collaborative du SMSI une fois ce dernier mis en place.

:Source: