Intervenant régulièrement pour la mise en place de systèmes de management de la sécurité de l’information, j’ai commencé comme tout le monde par me faire un tableur pour l’analyse de risques, permettant d’articuler les événements redoutés, les scénarios de survenue et les mesures de traitement.
Et comme tout le monde, je me suis vite retrouvé confronté à la pauvreté de l’information qu’on peut saisir dans un tel tableur et au problème de chaînage avec les procédures et les preuves. Passe encore quand on est en train de faire l’analyse pour la première fois, avec tous les tenants et aboutissants en tête, mais lorsqu’on y revient quelques mois plus tard cela relève de l’archéologie.
Il existe certes quelques bons outils commerciaux de support d’un SMSI, mais il est difficile d’attaquer une intervention auprès d’un nouveau client en lui expliquant qu’il va devoir souscrire à un service dont il n’imagine pas encore l’utilité.
Ma solution a finalement été d’inverser la perspective. Plutôt que d’essayer d’intégrer des informations textuelles riches, mais non structurées dans des cases ou des champs toujours trop petits, j’ai utilisé une extension à DokuWiki qui permet d’intégrer et de requêter quelques données structurées dans des pages de documentation.
J’y ai ajouté quelques lignes de développement avec une extension spécifique pour avoir la représentation graphique traditionnelle de la matrice des risques.
Je suis satisfait du résultat. De manière très souple, on peut ainsi au sein d’un site documentaire unique sous DokuWiki décrire les risques, scénarios et mesures, les lier à toutes les informations documentées du système de management, procédures ou enregistrements, produire le plan de traitement ou la déclaration d’applicabilité, chaîner les référentiels de certification avec les éléments de preuve, etc. Et évidemment, on conserve tous les bénéfices d’un Wiki pour le travail collaboratif et le partage des informations.
Restent en dehors la gestion des configurations (CMDB) et des demandes et incidents, pour lesquels ma référence reste l’excellent outil iTop de Combodo.
Un site exemple en lecture seule, peu garni mais suffisamment pour se faire une idée, peut être visité ICI.
Comme DokuWiki, les extensions utilisées sont en code source ouvert. L’installation complète d’un serveur selon cette procédure prend moins de deux heures.
La méthode est transposable à tous les systèmes fondés sur une analyse de risques, notamment les études d’impact sur la vie privée.
Si cela peut vous aider, servez-vous et faites-moi vos retours d’expérience.