Mise à niveau de EvalSMSI

16
11
jan.
2021
Sécurité

En novembre 2009 j’annonçais, sur LinuxFr.org, la publication de l’application EvalSMSI.

Initialement EvalSMSI était une application Web, sous licence GPLv3, développée en PHP/MySQL, permettant de réaliser l’évaluation d’un Système de Management de la Sécurité de l’Information (SMSI) selon la famile des normes ISO2700x.

Ces dix dernières années EvalSMSI a continué à évoluer pour devenir un logiciel open source d’autoévaluation et d’audit multi-référentiels. Il permet à une entité de mettre en place et de suivre son SMSI à partir de sa propre politique de sécurité du système d’information (PSSI) ou d’un autre référentiel de son choix.

Plusieurs référentiels sont proposés par défaut :

Ses principales fonctionnalités sont :

  • application multi-référentiels ;
  • déroulement d’auto-évaluations et d’audits interne ou externe ;
  • suivi des évaluations et audits sur plusieurs années ;
  • génération de graphes ;
  • mise à disposition d’un tableau de bord pour les auditeurs ;
  • génération automatique de rapports ;
  • support d'aide détaillé par type d'utilisateurs ;
  • export des référentiels et évaluations aux formats Word, PDF et Excel…

L'application peut-être déployée sur sa propre infrastructure LAMP ou via Docker en lançant la commande 'docker run -d -p 443:10443 archoad/evalsmsi' et en se connectant sur l’URL https://127.0.0.1.

Aller plus loin

  • # Cible de l'application

    Posté par  . Évalué à 4 (+2/-0).

    Hello,

    Est-ce que quelqu'un est en mesure d'expliquer plus avant ce que ça couvre exactement ? Le projet a l'air super intéressant, mais comme ça, j'ai du mal à me rendre compte quels aspects sont pris en compte. La doc sur GitLab est spartiate.

    La sécurité est devenu un sujet tellement large, entre les aspects purement techniques, authentification, gestion des autorisations, de l'annuaire, de la redondance/résilience, de la gestion des données (qui souvent a maintenant sa propre gouvernance), des tests applicatifs, infra, de pénétration, de l'outillage, etc.

    Et puis, fondamentalement, une applicaption LAMP qui installe tout en local par défaut (que ce soit sur un poste de travail ou un conteneur), ça me fait un peu peur. Il y a une société qui propose du conseil et du support derrière ?

    • [^] # Re: Cible de l'application

      Posté par  . Évalué à 2 (+1/-0). Dernière modification le 13/01/21 à 11:42.

      Eh bien, sans avoir essayé l'outil, ISO27001 est une norme qui précise l'ensemble des exigences pour la mise en oeuvre d'un smsi (système de management de la sécurité de l'information. En gros cette norme précise tout ce qu'il est nécessaire de faire pour bien gérer la sécurité d'un SI, de A à Z : périmètre à établir, management, mesures de sécurité, surveillance, documentation, personnel, contrôle permanent, etc…

      Il y a un nombre conséquent de critères qui sont définis et si tous les critères énoncés par iso27001 sont remplis, la société peut demander la certification iso 27001 de son SI par un cabinet accrédité. Cette certification est un gage de qualité de la sécurité mise en oeuvre pour la société qui la détient et est exigée dans certains domaines, d'où l'évaluation SMSI proposée ici, qui permet j'imagine de savoir où on en est par rapport aux exigences de ISO 27001.
      Par exemple, pour être certifié HDS (hébergeur de données de santé), il faut entre autres être conforme à 27001.

    • [^] # Re: Cible de l'application

      Posté par  (site Web personnel) . Évalué à 1 (+1/-0).

      Bonjour,

      En fait, dans nos organisations, on a tous de multiples fichiers excel pour traiter les sujets de conformité aux textes réglementaires et autres politiques SSI… EvalSMSI a pour objet de remplacer ces fichiers excel.

      Exemple de cas d'usage

      Vous venez de déployer une nouvelle PSSI pour votre établissement et vous voulez évaluer son taux d'adoption et le niveau de conformité des entités de votre établissement. EvalSMSI vous permet de conduire cette campagne d'analyse en suivant les étapes suivantes:

      • autoévaluation de l'application des règles de la PSSI par les entités
      • le contrôle interne (ou l'audit) effectue un contrôle sur pièce et amende l'autoévaluation
      • un rapport d'audit et plan d'actions sont générés

      TGFib3Igb21uaWEgdmluY2l0IGltcHJvYnVz

  • # Super intéressant

    Posté par  . Évalué à 1 (+0/-0).

    ça à l'air très intéressant, bien que la doc manque apparemment (tu ne pourras pas certifier ISO27001 ton logiciel ! ;-))
    Je ne connaissais pas, je m'en vais l'essayer de ce pas.
    Je suis confronté à ce type de problématique et évidemment j'ai une pléthore de fichiers excel différents, pas toujours très pratiques.
    Merci !

    • [^] # Re: Super intéressant

      Posté par  (site Web personnel) . Évalué à 1 (+1/-0).

      Effectivement la doc sur le Gitlab est assez spartiate. Une doc plus complète est intégrée dans l'application.

      TGFib3Igb21uaWEgdmluY2l0IGltcHJvYnVz

      • [^] # Re: Super intéressant

        Posté par  . Évalué à 1 (+0/-0).

        Est-ce qu'il est possible de rajouter d'autres référentiels ? et pourquoi 27001 n'apparait pas dans la liste proposée ?
        Est-ce un choix délibéré ?
        Merci

        • [^] # Re: Super intéressant

          Posté par  (site Web personnel) . Évalué à 1 (+1/-0).

          Oui, il est possible de rajouter d'autres référentiels.

          En fait c'est ISO27002 et il apparaît dans la liste ;-)

          TGFib3Igb21uaWEgdmluY2l0IGltcHJvYnVz

          • [^] # Re: Super intéressant

            Posté par  . Évalué à 1 (+0/-0).

            Je l'ai essayé, cela marche bien. Le format des rapports est intéressant. Il manque peut-être la description des preuves attendues pour justifier les réponses (ou alors je n'ai pas bien compris).
            Sacré boulot, chapeau !
            Et comment fait-on pour rajouter un référentiel ? (je pense à HDS, mais cela peut être une autre norme)
            Merci

  • # Intéressant mais...

    Posté par  (site Web personnel) . Évalué à 2 (+1/-0).

    L'outil semble intéressant mais il mériterait d'être "database agnostique" ou tout au moins de supporter d'autres types de base (typiquement et a minima, Postgres).

    Le couplage avec MySQL me semble clairement un frein à l'adoption,y compris si le logiciel est fourni sous forme d'image Docker.

    Mes deux centimes.

  • # GitLab repository en berne

    Posté par  . Évalué à 1 (+0/-1). Dernière modification le 15/01/21 à 07:42.

    En voulant aller jeter un oeil complémentaire au repo GitLab aujourd'hui, je remarque qu'il y a une erreur qui empêche de voir le contenu.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.