En novembre 2009 j’annonçais, sur LinuxFr.org, la publication de l’application EvalSMSI.
Initialement EvalSMSI était une application Web, sous licence GPLv3, développée en PHP/MySQL, permettant de réaliser l’évaluation d’un Système de Management de la Sécurité de l’Information (SMSI) selon la famile des normes ISO2700x.
Ces dix dernières années EvalSMSI a continué à évoluer pour devenir un logiciel open source d’autoévaluation et d’audit multi-référentiels. Il permet à une entité de mettre en place et de suivre son SMSI à partir de sa propre politique de sécurité du système d’information (PSSI) ou d’un autre référentiel de son choix.
Plusieurs référentiels sont proposés par défaut :
- un généré à partir du guide d’hygiène de l’ANSSI ;
- le SecNumCloud de l’ANSSI ;
- un basé sur la version 2005 de la norme ISO27001.
Ses principales fonctionnalités sont :
- application multi-référentiels ;
- déroulement d’auto-évaluations et d’audits interne ou externe ;
- suivi des évaluations et audits sur plusieurs années ;
- génération de graphes ;
- mise à disposition d’un tableau de bord pour les auditeurs ;
- génération automatique de rapports ;
- support d'aide détaillé par type d'utilisateurs ;
- export des référentiels et évaluations aux formats Word, PDF et Excel…
L'application peut-être déployée sur sa propre infrastructure LAMP ou via Docker en lançant la commande 'docker run -d -p 443:10443 archoad/evalsmsi' et en se connectant sur l’URL https://127.0.0.1.
Aller plus loin
- Annonce initiale de la publication de EvalSMSI (449 clics)
- Code source sur GitLab (525 clics)
- Docker Hub (192 clics)
# Cible de l'application
Posté par Dring . Évalué à 4.
Hello,
Est-ce que quelqu'un est en mesure d'expliquer plus avant ce que ça couvre exactement ? Le projet a l'air super intéressant, mais comme ça, j'ai du mal à me rendre compte quels aspects sont pris en compte. La doc sur GitLab est spartiate.
La sécurité est devenu un sujet tellement large, entre les aspects purement techniques, authentification, gestion des autorisations, de l'annuaire, de la redondance/résilience, de la gestion des données (qui souvent a maintenant sa propre gouvernance), des tests applicatifs, infra, de pénétration, de l'outillage, etc.
Et puis, fondamentalement, une applicaption LAMP qui installe tout en local par défaut (que ce soit sur un poste de travail ou un conteneur), ça me fait un peu peur. Il y a une société qui propose du conseil et du support derrière ?
[^] # Re: Cible de l'application
Posté par Ant . Évalué à 2. Dernière modification le 13 janvier 2021 à 11:42.
Eh bien, sans avoir essayé l'outil, ISO27001 est une norme qui précise l'ensemble des exigences pour la mise en oeuvre d'un smsi (système de management de la sécurité de l'information. En gros cette norme précise tout ce qu'il est nécessaire de faire pour bien gérer la sécurité d'un SI, de A à Z : périmètre à établir, management, mesures de sécurité, surveillance, documentation, personnel, contrôle permanent, etc…
Il y a un nombre conséquent de critères qui sont définis et si tous les critères énoncés par iso27001 sont remplis, la société peut demander la certification iso 27001 de son SI par un cabinet accrédité. Cette certification est un gage de qualité de la sécurité mise en oeuvre pour la société qui la détient et est exigée dans certains domaines, d'où l'évaluation SMSI proposée ici, qui permet j'imagine de savoir où on en est par rapport aux exigences de ISO 27001.
Par exemple, pour être certifié HDS (hébergeur de données de santé), il faut entre autres être conforme à 27001.
[^] # Re: Cible de l'application
Posté par Michel DUBOIS (site web personnel) . Évalué à 1.
Bonjour,
En fait, dans nos organisations, on a tous de multiples fichiers excel pour traiter les sujets de conformité aux textes réglementaires et autres politiques SSI… EvalSMSI a pour objet de remplacer ces fichiers excel.
Exemple de cas d'usage
Vous venez de déployer une nouvelle PSSI pour votre établissement et vous voulez évaluer son taux d'adoption et le niveau de conformité des entités de votre établissement. EvalSMSI vous permet de conduire cette campagne d'analyse en suivant les étapes suivantes:
TGFib3Igb21uaWEgdmluY2l0IGltcHJvYnVz
# Super intéressant
Posté par Ant . Évalué à 1.
ça à l'air très intéressant, bien que la doc manque apparemment (tu ne pourras pas certifier ISO27001 ton logiciel ! ;-))
Je ne connaissais pas, je m'en vais l'essayer de ce pas.
Je suis confronté à ce type de problématique et évidemment j'ai une pléthore de fichiers excel différents, pas toujours très pratiques.
Merci !
[^] # Re: Super intéressant
Posté par Michel DUBOIS (site web personnel) . Évalué à 1.
Effectivement la doc sur le Gitlab est assez spartiate. Une doc plus complète est intégrée dans l'application.
TGFib3Igb21uaWEgdmluY2l0IGltcHJvYnVz
[^] # Re: Super intéressant
Posté par Ant . Évalué à 1.
Est-ce qu'il est possible de rajouter d'autres référentiels ? et pourquoi 27001 n'apparait pas dans la liste proposée ?
Est-ce un choix délibéré ?
Merci
[^] # Re: Super intéressant
Posté par Michel DUBOIS (site web personnel) . Évalué à 1.
Oui, il est possible de rajouter d'autres référentiels.
En fait c'est ISO27002 et il apparaît dans la liste ;-)
TGFib3Igb21uaWEgdmluY2l0IGltcHJvYnVz
[^] # Re: Super intéressant
Posté par Ant . Évalué à 1.
Je l'ai essayé, cela marche bien. Le format des rapports est intéressant. Il manque peut-être la description des preuves attendues pour justifier les réponses (ou alors je n'ai pas bien compris).
Sacré boulot, chapeau !
Et comment fait-on pour rajouter un référentiel ? (je pense à HDS, mais cela peut être une autre norme)
Merci
# Intéressant mais...
Posté par Doug Le Tough (site web personnel) . Évalué à 2.
L'outil semble intéressant mais il mériterait d'être "database agnostique" ou tout au moins de supporter d'autres types de base (typiquement et a minima, Postgres).
Le couplage avec MySQL me semble clairement un frein à l'adoption,y compris si le logiciel est fourni sous forme d'image Docker.
Mes deux centimes.
# GitLab repository en berne
Posté par Dring . Évalué à 1. Dernière modification le 15 janvier 2021 à 07:42.
En voulant aller jeter un oeil complémentaire au repo GitLab aujourd'hui, je remarque qu'il y a une erreur qui empêche de voir le contenu.
[^] # Re: GitLab repository en berne
Posté par Michel DUBOIS (site web personnel) . Évalué à 1.
Je viens de contrôler le repository, il est fonctionnel
gitlab
En alternative l'application est également sur github:
github
TGFib3Igb21uaWEgdmluY2l0IGltcHJvYnVz
[^] # Re: GitLab repository en berne
Posté par Dring . Évalué à 2.
Merci !
Le GitHub marche bien, mais le GitLab fait toujours une erreur :
Peut-être parce que je n'ai pas de compte sur GitLab ?
# [1] Merci, [2] Dockerfile ? Docker-compose ?!
Posté par reed . Évalué à 0.
Salut,
Merci pour ton appli, elle est vraiment inspirante !
C'est possible que tu partages ton Dockerfile pour qu'on puisse éventuellement changer 2/3 trucs. Je pense notamment aux docker-compose avec base dédiée.
Pour le moment, je rencontre pas mal de problème :
* Le docker ne se lance qu'en mode interactif, sinon il plante (problème de démarrage de Mysql apparement)
* Idem si je passe par un docker-compose.
Mais une fois lancée, on peu découvrir ton appli :) Mais c'est pas pérenne !
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.