Un nouvel outil open source de gestion de système de management de la sécurité de l'information (SMSI) fait son apparition dans le paysage de la cybersécurité. Baptisé Deming, ce logiciel a été conçu par un responsable de la sécurité des systèmes d'information (RSSI) à destination de ses pairs. Publié sous licence GPL 3.0, il se veut simple d'utilisation et de déploiement.
Indépendance vis-à-vis des référentiels
L'une des caractéristiques majeures de Deming est son absence de lien avec un cadre normatif particulier. L'outil est livré avec une dizaine de référentiels prêts à l'emploi : ISO 27001 (versions 2013, 2022 et 2023 en allemand), ISO 22301, DORA, NIS2 (en français, anglais et allemand), HDS, PCI-DSS v4, NIST SP 800-53 Rev.5 et MPA Best Practices. Il permet également d'importer de nouveaux référentiels à partir d'un simple fichier Excel, sans nécessiter de développement spécifique. Cette souplesse le rend adapté à différents contextes réglementaires et sectoriels.
Fonctionnalités clés
Deming centralise plusieurs modules essentiels pour la gestion de la sécurité de l'information :
- Un module de gestion des contrôles avec planification, assignation de responsables et système de rappels.
- Un registre des risques intégrant un scoring configurable selon les méthodes ISO 27005, BSI 200-3 ou d'autres formules.
- Un module de gestion des exceptions, assorti d'un workflow d'approbation.
- Des tableaux de bord et des rapports de pilotage, destinés aux revues de direction.
Ces fonctionnalités couvrent l'ensemble du cycle PDCA (Plan-Do-Check-Act), colonne vertébrale d'un SMSI selon la norme ISO 27001.
Aspects techniques
L'application est développée en PHP avec le framework Laravel. La base de données principale est MariaDB ou MySQL, mais PostgreSQL et SQLite sont également supportés. Le déploiement peut s'effectuer en quelques commandes via Docker Compose, ou manuellement sur Debian ou Ubuntu à l'aide des guides fournis dans le dépôt.
Choix du nom et homonymie
Le nom « Deming » est un clin d'œil assumé à la roue de Deming (ou cycle PDCA). L'auteur précise que ce choix est volontaire et que l'homonymie avec le statisticien W. Edwards Deming n'est pas subie. Pour les recherches, il suggère d'utiliser les termes « Deming SMSI » ou « Deming ISMS ». Ce nom s'inscrit dans la logique du cycle planifier-mettre en œuvre-vérifier-améliorer, qui est au cœur de la norme ISO 27001.
Format d'import et confusion sur le terme GRC
L'utilisation du format XLSX pour l'import des référentiels a suscité des interrogations de la part de la communauté, certains regrettant l'absence de support pour le format ODS (Open Document Spreadsheet). L'auteur explique que le format XLSX a été retenu car il permet de structurer plusieurs feuilles, d'inclure des métadonnées et des listes de validation en un seul fichier, ce qui simplifie la distribution des référentiels. Il précise qu'une suggestion d'import ODS est pertinente et invite les utilisateurs à ouvrir une demande sur le dépôt GitHub.
Par ailleurs, l'étiquette « GRC » accolée à l'outil peut prêter à confusion : dans le domaine de la cybersécurité, elle désigne Governance, Risk & Compliance, tandis que dans les systèmes d'information classiques, elle évoque davantage la Gestion de la Relation Client. L'auteur reconnaît ce faux-ami, bien établi dans les deux communautés.
Adoption communautaire
Selon les informations disponibles, Deming bénéficie d'une large adoption au sein de la communauté des RSSI. Son dépôt GitHub et sa documentation sont accessibles, et le projet encourage les contributions. L'outil se positionne comme une alternative open source aux solutions propriétaires de gestion de SMSI, avec une approche pragmatique centrée sur les besoins des professionnels de la sécurité.
