Deming est un outil Open Source (GPL 3.0) de gestion de Système de Management de la Sécurité de l'Information (SMSI). Conçu par un responsable de la sécurité des systèmes d'information (RSSI) pour des RSSI, il couvre la gestion des contrôles, le registre des risques, la gestion des exceptions et des plans d'action. Largement adopté par la communauté, il se distingue par sa simplicité d'utilisation et de mise en œuvre.
Indépendant du référentiel
C'est l'une des forces de Deming : il ne présuppose aucun cadre normatif particulier. Il est livré avec une dizaine de référentiels prêts à l'emploi — ISO 27001 (2013, 2022, 2023 en allemand), ISO 22301, DORA, NIS2 (FR/EN/DE), HDS, PCI-DSS v4, NIST SP 800-53 Rev.5, MPA Best Practices — et permet d'en importer de nouveaux via un simple fichier Excel, sans développement.
Fonctionnalités
Deming propose une gestion centralisée des contrôles avec planification, assignation de responsables et rappels, un registre des risques avec scoring configurable (ISO 27005, BSI 200-3 et autres formules), un module de gestion des exceptions avec workflow d'approbation, ainsi que des tableaux de bord et des rapports de pilotage pour les revues de direction.
Technique
L'application est développée en PHP/Laravel, avec MariaDB/MySQL comme base de données principale (PostgreSQL et SQLite également supportés). Le déploiement se fait en quelques commandes via Docker Compose, ou manuellement sur Debian/Ubuntu grâce aux guides fournis dans le dépôt.
Aller plus loin
- Site du projet (127 clics)
- Dépôt GitHub (30 clics)
- Documentation (12 clics)
# simple fichier Excel ?
Posté par BAud (site web personnel) . Évalué à 2 (+1/-1).
Depuis quand Excel fonctionne sous Linux ? C'est nouveau ?
Un document tableur format ODF/ODS (ou autre), voire seulement CSV ne convient pas ?
C'est ballot de l'avoir appelé Deming comme la roue, cela ne va pas faciliter les recherches d'utiliser un homonyme :/ PDCA a aussi été détourné, histoire de compléter ?
Pour le tag GRC apposé à la dépêche, c'est pour Gestion de la Relation Client ? (le plus « classique » dans un Système d'Information)
Note : ce serait pas mal de répondre aux questions de la précédente dépêche ;-)
[^] # Re: simple fichier Excel ?
Posté par didierb . Évalué à 2 (+1/-0).
Sur Excel/ODS/CSV : le format XLSX a été retenu pour l'import des référentiels car il permet de structurer plusieurs feuilles, d'y inclure des métadonnées et des listes de validation en un seul fichier, ce qui simplifie la distribution des référentiels. Cela dit, l'idée d'un import ODS est une suggestion pertinente — n'hésite pas à ouvrir une issue sur GitHub, les contributions sont les bienvenues !
Sur le nom : le choix de « Deming » est effectivement un clin d'œil assumé à la roue de Deming et au cycle PDCA — planifier, mettre en œuvre, vérifier, améliorer — qui est précisément la colonne vertébrale d'un SMSI selon ISO 27001. C'est un homonyme voulu, pas subi 😄. Pour les recherches, « Deming SMSI » ou « Deming ISMS » lève l'ambiguïté assez rapidement.
Sur le tag GRC : il s'agit bien ici de Governance, Risk & Compliance, acception très répandue dans le monde de la cybersécurité et du management des risques. La cohabitation avec la Gestion de la Relation Client est en effet source de confusion, mais c'est malheureusement un faux-ami bien installé dans les deux communautés.
Sur les questions de la dépêche précédente : tu as tout à fait raison de le signaler, je vais y répondre sans tarder !
[^] # Re: simple fichier Excel ?
Posté par BAud (site web personnel) . Évalué à 4 (+2/-0).
tu comprendras que sur LinuxFr.org cela fait un peu tache :D
ya pire avec MDM mais ce n'est pas une raison de ne pas se démarquer : SMSI est un peu mieux de ce point de vue (même si Governance, Risk & Security se traduit plutôt par Gouvernance, Risque et Conformité qui a — pour une fois — l'avantage de partager les même initiales pour ne pas confondre avec CRM :p)
[^] # Re: simple fichier Excel ?
Posté par Ysabeau 🧶 (courriel, site web personnel, Mastodon) . Évalué à 4 (+1/-0).
Le format ODS aurait suffit, il permet de faire ce que fait le format XLSX, mais en moins compliqué.
Sinon, le format Excel ça n'existe pas, c'est XLSX. Et il faut perdre l'habitude de donner de marques, là, écrire "un fichier au format XLSX" plutôt que de donner le nom de la marque du tableur de MsOffice. Même si le choix de ce format est étonnant.
Je n’ai aucun avis sur systemd
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.