Gérer un système de management de la sécurité de l'information (SMSI) est une tâche terriblement chronophage, il faut définir des indicateurs, mesurer, planifier, conserver des preuves, faire des tableaux de bord et communiquer les résultats à la direction. La norme ISO 27001:2022 arrive à grand pas et il est temps de profiter de cette mise à jour de la norme pour mettre de l’ordre dans la gestion des SMSI en arrêtant de faire le suivi des contrôles et de générer des tableaux de bord dans des feuilles de calcul !
Deming est un outil Open Source distribué sous licence GPLv3 développé en PHP avec le framework Laravel. Il est conçu pour aider les RSSI à mettre en place et à maintenir un SMSI. Grâce à cette application, les RSSI peuvent facilement planifier et suivre la mise en œuvre des contrôles de sécurité et le cycle d'amélioration continue requis par la norme ISO 27001. L'application est conçue pour être facile à utiliser et à personnaliser, avec une interface utilisateur intuitive.
Deming offre des fonctionnalités telles que la gestion des mesures de sécurité, la planification des contrôles, la création des fiches de contrôle, l’enregistrement des preuves, le suivi des plans d’action ainsi que des tableaux de bord et des rapports de pilotage du SMSI pour aider les RSSI à suivre et à maintenir leur programme de sécurité de l'information. Cette gestion des contrôles doit permettre la mise en œuvre d’une sécurité adéquate et proportionnée. Cette approche est conforme aux recommandations de la norme ISO / IEC 27001, chapitre 9 qui traite de l’évaluation des performances.
Un ensemble de mesures de sécurité issues de la norme ISO 27002 est proposé avec l'outil qui couvre tous les domaines de sécurité de la norme : vérification des droits d'accès, protection contre les logiciels malveillants, gestion des incidents… Ces mesures peuvent être modifiées, complétées ou désactivées selon le domaine d'application du SMSI.
Aller plus loin
- La page GitHub du projet (2451 clics)
- Le manuel utilisateur (1044 clics)
- RUMP lors du SSTIC 2023 (480 clics)
# Évolution
Posté par fj1m83kz . Évalué à 2.
La solution a l air pas mal du tout pour planifier les différents contrôles (audit, revue de droits,…). Est-il prévu d intégrer l envoi des formulaires par mail ou l accès aux auditeurs pour remplir directement les formulaires ?
[^] # Re: Évolution
Posté par didierb . Évalué à 3.
L'outil va encore évoluer dans les mois et années à venir grâces aux excellentes idées d'amélioration proposées par les utilisateurs !
# interfaçage avec GLPI
Posté par kachek . Évalué à 2.
Est-il possible d'interagir avec GLPI (gestion de projet)? Pour gérer des tickets, envoyez des formulaires par email. ou l'accès aux auditeurs pour remplir directe des formulaires.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.