Les inconvénients assumés d'un ISMS open source
La confiance se construit en nommant les inconvénients, pas en les dissimulant.
L'argumentaire contre notre propre modèle
Nous développons des logiciels de conformité open source : nous avons donc une raison d'être honnêtes sur leurs points faibles. Nommer les inconvénients, c'est ainsi que la confiance se mérite.
Voici les quatre qui comptent, et ce que nous faisons pour chacun.
Si vous hébergez vous-même, vous assumez la charge d'exploitation : mises à jour, sauvegardes, disponibilité et sécurité du serveur. De nombreuses entreprises du Mittelstand n'ont pas la capacité disponible pour cela.
Notre réponse : une option hébergée supprime la charge d'exploitation, tandis que l'auto-hébergement reste disponible pour celles qui veulent le contrôle total des données.
L'open source est rarement assorti d'un contrat de support d'entreprise. Le support communautaire varie en rapidité, et l'offre gratuite est par nature au mieux de l'effort.
Notre réponse : des paliers de support et d'hébergement payants existent pour les équipes qui ont besoin d'un temps de réponse garanti, et nous disons clairement que l'offre gratuite n'est pas un SLA.
Un SaaS américain bien financé disposera souvent de davantage d'intégrations certifiées et de plus de finitions. Certaines fonctionnalités qui demandent du temps de développement relèvent de l'offre premium plutôt que de l'offre gratuite.
Notre réponse : pour la plupart des entreprises du Mittelstand, le goulet d'étranglement sous NIS 2 est la structure et une piste d'audit propre, pas le nombre d'intégrations. C'est ce besoin que nous servons en priorité.
L'open source est un outil, pas un consultant. Il structure le travail et consigne les preuves, mais les questions d'appréciation restent les vôtres : déterminer si un risque est acceptable, si une mesure est proportionnée au titre de l'article 21(1) NIS 2.
Cela vaut pour tout outil, ouvert ou fermé. Aucun logiciel ne vous décharge de l'obligation que le § 30 BSIG impose à l'entité.
Questions fréquentes
La version gratuite est-elle vraiment gratuite, ou est-ce un essai ?
Elle est gratuite à l'usage, ce n'est pas un essai limité dans le temps. Nous prévoyons de financer le projet par la formation, l'hébergement et des offres partenaires plutôt que par des licences par utilisateur.
Que se passe-t-il si le projet est abandonné ?
Comme le code est ouvert (AGPL), vous le conservez et pouvez l'héberger vous-même ou le forker. Vous n'êtes pas laissé sur le carreau comme cela peut arriver lorsqu'un fournisseur fermé cesse son activité.
Ai-je besoin de personnel informatique pour l'exploiter ?
Uniquement si vous hébergez vous-même. L'option hébergée supprime la charge d'exploitation ; l'auto-hébergement est là pour les équipes qui veulent le contrôle total.
Est-il prêt pour l'audit dès le départ ?
Il produit la structure et la piste d'audit qu'un auditeur attend. Vous prenez et documentez toujours les décisions de fond.
L'open source présente-t-il davantage de risques pour des données de conformité sensibles ?
Un code ouvert ne signifie pas des données ouvertes. Les données résident là où vous les hébergez ; avec un hébergement dans l'UE ou un auto-hébergement, elles peuvent rester entièrement sous votre contrôle.