Introduction
Qu’est-ce que Deming ?
Deming est un outil Open Source conçu pour aider les RSSI à mettre en place et à maintenir leur système de management de la sécurité de l'information. Grâce à cette application, les RSSI peuvent facilement planifier et suivre la mise en œuvre des contrôles de sécurité et le cycle d'amélioration continue requis par la norme ISO 27001. L'application est conçue pour être facile à utiliser et à personnaliser, avec une interface utilisateur intuitive.
Deming offre des fonctionnalités telles que la gestion des mesures de sécurité, la planification des contrôles, la création des fiches de contrôle, l’enregistrement des preuves, le suivi des plans d’action ainsi que des tableaux de bord et des rapports de pilotage du SMSI pour aider les RSSI à suivre le maintient des mesures de sécurité de l'information.
L'application est conçue pour être compatible avec la norme ISO 27001:2022, en suivant les exigences spécifiques de la norme pour la planification, la mise en œuvre, la vérification et l'amélioration continue du système de management de la sécurité de l'information. Elle est également conçue pour aider les RSSI à préparer leur organisation aux audits de certification ISO 27001 en fournissant des rapports détaillés sur les contrôles de sécurité et la mesure de leur efficacité.
Cette application est publiée sous la licence GPL, permettant aux utilisateurs de l'utiliser, de la modifier et de la distribuer librement. Cette approche open source permet aux utilisateurs de contribuer au développement de l'application en soumettant des demandes de changement, des rapports de bogues ou des fonctionnalités supplémentaires.
Cette application de gestion de la sécurité de l'information est un outil puissant et personnalisable pour les RSSI qui cherchent à mettre en place et à maintenir un système de management de la sécurité de l'information conforme à la norme ISO 27001.
Avec son interface utilisateur intuitive, la possibilité de définir de nouveaux contrôles et sa compatibilité ISO 27001:2022, elle offre aux RSSI une grande flexibilité pour adapter l'application à leurs besoins spécifiques.
Pourquoi contrôler ?
Pour gérer la sécurité du système d’information il faut mettre en place un ensemble de mesures de sécurité et contrôler régulièrement que ces mesures sont effectives et efficaces. Ces contrôles réguliers permettent de garantir que les mesures de sécurité mises en place atteignent leurs objectifs de sécurité.
Les exigences de mesure de l’efficacité sont :
a) d’évaluer l'efficacité des contrôles;
b) d’évaluer l'efficacité du système de gestion de l'information;
c) de vérifier dans quelle mesure les exigences de sécurité identifiées ont été respectées;
d) de faciliter l’amélioration des performances de la sécurité de l’information par rapport aux objectifs;
e) de fournir des données pour la revue de la direction afin de faciliter la prise de décisions liées au SMSI;
f) de justifier les besoins d'amélioration du ISMS.
Evaluation des performances
La norme ISO 27001 au chapitre 9.1, impose d’évaluer les performances de sécurité de l’information, ainsi que l’efficacité du système de management de la sécurité de l’information.
Pour évaluer ces performances, il faut déterminer :
a) ce qu’il est nécessaire de surveiller et de mesurer, y compris les processus et les mesures de sécurité de l’information;
b) les méthodes de surveillance, de mesurage, d’analyse et d’évaluation, selon le cas, pour assurer la validité des résultats;
c) quand la surveillance et les mesures doivent être effectuées;
d) qui doit effectuer la surveillance et les mesures;
e) quand les résultats de la surveillance et des mesures doivent être analysés et évalués; et
f) qui doit analyser et évaluer ces résultats.
Deming permet de répondre à ces exigences et de conserver les informations documentées appropriées comme preuves des résultats de la surveillance et des mesures.
Definitions
Mesures de sécurité (en anglais « Control ») : ensemble de dispositions à mettre en œuvre. Ce sont les mesures à prendre pour mettre en œuvre la politique de sécurité.
Contrôle ou Mesurage (en anglais « Measurement ») : processus d’obtention relative à l’efficacité d’un SMSI et de mesures de sécurité, à l’aide d’une méthode d’évaluation, d’une fonction d’évaluation, d’un modèle analytique, et de critère de décisions [ISO/IEC 27004].
Indicateur : résultat de l’application d’un modèle analytique à une ou plusieurs variables en relation avec les critères de décision ou d’un besoin d’information [ISO/IEC 27004].
Attribut : propriété ou caractéristique d’un objet qui peut être distingué quantitativement ou qualitativement par des moyens humains ou automatiques [ISO/IEC 15939:2007].