Deming est un outil Open Source (GPL 3.0) de gestion de Système de Management de la Sécurité de l'Information (SMSI). Conçu par un responsable de la sécurité des systèmes d'information (RSSI) pour des RSSI, il couvre la gestion des contrôles, le registre des risques, la gestion des exceptions et des plans d'action. Largement adopté par la communauté, il se distingue par sa simplicité d'utilisation et de mise en œuvre.
Indépendant du référentiel
C'est l'une des forces de Deming : il ne présuppose aucun cadre normatif particulier. Il est livré avec une dizaine de référentiels prêts à l'emploi — ISO 27001 (2013, 2022, 2023 en allemand), ISO 22301, DORA, NIS2 (FR/EN/DE), HDS, PCI-DSS v4, NIST SP 800-53 Rev.5, MPA Best Practices — et permet d'en importer de nouveaux via un simple fichier Excel, sans développement.
Fonctionnalités
Deming propose une gestion centralisée des contrôles avec planification, assignation de responsables et rappels, un registre des risques avec scoring configurable (ISO 27005, BSI 200-3 et autres formules), un module de gestion des exceptions avec workflow d'approbation, ainsi que des tableaux de bord et des rapports de pilotage pour les revues de direction.
Technique
L'application est développée en PHP/Laravel, avec MariaDB/MySQL comme base de données principale (PostgreSQL et SQLite également supportés). Le déploiement se fait en quelques commandes via Docker Compose, ou manuellement sur Debian/Ubuntu grâce aux guides fournis dans le dépôt.
Aller plus loin
- Site du projet (1010 clics)
- Dépôt GitHub (287 clics)
- Documentation (118 clics)
# simple fichier Excel ?
Posté par BAud (site web personnel) . Évalué à 2 (+5/-5).
Depuis quand Excel fonctionne sous Linux ? C'est nouveau ?
Un document tableur format ODF/ODS (ou autre), voire seulement CSV ne convient pas ?
C'est ballot de l'avoir appelé Deming comme la roue, cela ne va pas faciliter les recherches d'utiliser un homonyme :/ PDCA a aussi été détourné, histoire de compléter ?
Pour le tag GRC apposé à la dépêche, c'est pour Gestion de la Relation Client ? (le plus « classique » dans un Système d'Information)
Note : ce serait pas mal de répondre aux questions de la précédente dépêche ;-)
[^] # Re: simple fichier Excel ?
Posté par didierb . Évalué à 8 (+7/-0).
Sur Excel/ODS/CSV : le format XLSX a été retenu pour l'import des référentiels car il permet de structurer plusieurs feuilles, d'y inclure des métadonnées et des listes de validation en un seul fichier, ce qui simplifie la distribution des référentiels. Cela dit, l'idée d'un import ODS est une suggestion pertinente — n'hésite pas à ouvrir une issue sur GitHub, les contributions sont les bienvenues !
Sur le nom : le choix de « Deming » est effectivement un clin d'œil assumé à la roue de Deming et au cycle PDCA — planifier, mettre en œuvre, vérifier, améliorer — qui est précisément la colonne vertébrale d'un SMSI selon ISO 27001. C'est un homonyme voulu, pas subi 😄. Pour les recherches, « Deming SMSI » ou « Deming ISMS » lève l'ambiguïté assez rapidement.
Sur le tag GRC : il s'agit bien ici de Governance, Risk & Compliance, acception très répandue dans le monde de la cybersécurité et du management des risques. La cohabitation avec la Gestion de la Relation Client est en effet source de confusion, mais c'est malheureusement un faux-ami bien installé dans les deux communautés.
Sur les questions de la dépêche précédente : tu as tout à fait raison de le signaler, je vais y répondre sans tarder !
[^] # Re: simple fichier Excel ?
Posté par BAud (site web personnel) . Évalué à 4 (+3/-1).
tu comprendras que sur LinuxFr.org cela fait un peu tache :D
ya pire avec MDM mais ce n'est pas une raison de ne pas se démarquer : SMSI est un peu mieux de ce point de vue (même si Governance, Risk & Security se traduit plutôt par Gouvernance, Risque et Conformité qui a — pour une fois — l'avantage de partager les même initiales pour ne pas confondre avec CRM :p)
[^] # Re: simple fichier Excel ?
Posté par Ysabeau 🧶 (courriel, site web personnel, Mastodon) . Évalué à 5 (+6/-4).
Le format ODS aurait suffit, il permet de faire ce que fait le format XLSX, mais en moins compliqué.
Sinon, le format Excel ça n'existe pas, c'est XLSX. Et il faut perdre l'habitude de donner de marques, là, écrire "un fichier au format XLSX" plutôt que de donner le nom de la marque du tableur de MsOffice. Même si le choix de ce format est étonnant.
Je n’ai aucun avis sur systemd
[^] # Re: simple fichier Excel ?
Posté par Ant . Évalué à 1 (+4/-4).
En même temps, certes on est sur LinuxFr, mais ne soyons pas hypocrites : Excel est bien plus connu et reconnu que ODS, pour la plupart des utilisateurs. On peut vouloir utiliser Deming sans vouloir "faire le grand saut" et passer en "tout open source". Et pour ménager les susceptibilités, on peut dire que Libreoffice sait importer ou exporter le XLSX sans trop de problèmes, donc le débat n'a pas de sens.
Le but du logiciel n'est pas de "flatter" les tenants du libre, dont je fais partie je tiens à le préciser, mais d'être utile au plus grand nombre, il me semble.
[^] # Re: simple fichier Excel ?
Posté par BAud (site web personnel) . Évalué à 6 (+7/-3). Dernière modification le 13 mai 2026 à 14:21.
ne reconnaître qu'un produit au détriment de la fonction remplie : un tableur => cela va à l'encontre de la liberté de choix du produit, promeut un produit défaillant par nature car peu multi-plateforme (j'ose espérer que c'est à jour pour Mac OS/X tout de même ?). Et je ne parle pas de la publicité — pas forcément rémunérée, donc peu souhaitable — effectuée pour un produit au détriment des autres.
En outre cela enferme dans un format peu pensé pour l'interopérabilité : est-ce XLSX qui est utilisé ou XLS ? Là où ODF avec ODS promeut l'interopérabilité (même Excel sait l'écrire a priori)
[^] # Re: simple fichier Excel ?
Posté par Ant . Évalué à 3 (+3/-1).
Pardon, j'aurai dû dire "soyons objectifs", je ne voulais offenser personne. Mea culpa si c'est le cas.
Je ne dis pas qu'Excel est meilleur que les autres, ni même qu'il est bon, je dis juste qu'il est plus utilisé que les autres.
A titre professionnel, je fais du SMSI, sur mon poste je n'ai pas libreoffice et je ne peux même pas l'installer, comme la majorité des utilisateurs en entreprise en fait, donc ce n'est même pas un choix.
[^] # Re: simple fichier Excel ?
Posté par BAud (site web personnel) . Évalué à 2 (+5/-5).
pour être objectif, faut-il encore utiliser des termes non orientés : tableur me semble plus approprié pour de multiples raisons.
Tu noteras que c'est toi qui parle de LibreOffice (et maintenant, moi), je ne présage pas du prduit disponible sur ton poste, cela pourrait aussi être un NextCloud avec greffon Collabora ou même OnlyOffice (les deux gérant l'ODS).
parler d'un produit (quand bien même il t'est imposé), plutôt que de sa fonction est lui faire une publicité indue et c'est ton choix apparemment ? ;-)
[^] # Re: simple fichier Excel ?
Posté par Ant . Évalué à 3 (+4/-2).
Les produits microsoft (ou alors je n'ai pas le droit de leur faire de la publicité ?) n'ont pas besoin qu'on leur fasse de la publicité. Les produits que tu cites existent, ils sont quand même largement moins dominants qu'excel.
Par ailleurs, ce n'est pas parce qu'on en parle pas, que les choses n'existent pas.
Bref, la prédominance d'Excel dans les tableurs est un constat, pas un jugement de valeur de ma part, comme tu tiens à le faire croire. Là encore, pas d'offense, mais vouloir faire passer mes propos pour de la publicité, un manque d'honnêteté ou un parti pris, ce n'est pas très classe.
[^] # Re: simple fichier Excel ?
Posté par lejocelyn (site web personnel) . Évalué à 6 (+6/-2).
Oui mais non. Il s'agit de nommer correctement les choses.
Dans la dépêche:
puis en commentaire:
ODS n'est pas le même type d'objet qu'Excel: format de fichier vs. logiciel. Donc oui, Excel est bien plus connu que ODS, mais on peut également dire qu'Excel est bien plus connu que xlsx. Bien nommer les choses permet de clarifier le propos. Et c'est souvent une première étape pour faire comprendre que les choses peuvent fonctionner autrement. Comme quand les gens confondent Google et Internet/Navigateur/Page web/ mais par contre pas Instagram ou Facebook bizarrement.
Donc si même ici, dans un site où la plupart des gens ont des compétences techniques et une bonne compréhension de l'informatique et de ses enjeux on mélange des concepts aussi basiques, qui en plus sont important pour discuter des alternatives, ben on est pas sorti de l'auberge.
Oui ben en entretenant la confusion format/logiciel, on n'aide pas le schmilblick.
Quel rapport ? il s'agit de nommer correctement les choses. Par contre, je crois bien qu'en ne nommant pas correctement les choses, on gêne l'existence d'alternative.
[^] # Re: simple fichier Excel ?
Posté par cg . Évalué à 3 (+1/-0).
Il y a un faux ami bien plus vicieux dans le domaine : "control" qui se traduit par "mesure", et "measure" (ou "measurement") qui se traduit par "contrôle".
D'ailleurs ça un bout de temps que je n'ai pas regardé le code source de Deming, mais il me semble qu'au début du projet, c'était les termes "francisés" qui étaient utilisés, ce qui ne facilite pas la lecture :).
[^] # Re: simple fichier Excel ?
Posté par Psychofox (Mastodon) . Évalué à 4 (+2/-1).
Depuis qu'il existe sous forme d'appli web via abonnement à Office 365.
Sans être fan de Microsoft ni de Office, il fait admettre que ça fonctionne bien sous Linux et que ça a indirectement permis à pas mal d'entreprises à accepter que certains de leurs utilisateurs utilisent Linux.
# Pub interne
Posté par cg . Évalué à 3 (+1/-0).
je fais régulièrement un appel du pied à l'équipe qui gère le SMSI là ou je travaille, pour qu'elle regarde Deming. Pour l'instant ça n'a pas abouti, mais je vais continuer :).
# Conseil cosmétique subjectif
Posté par yinqi . Évalué à 3 (+2/-0).
Ce projet semble extrêmement abouti, sérieux, utile et professionnel, mais le logo de ce chien me fait m'exclamer : "My Dog!🤢" tellement je ne trouve peu attirant, peu esthétique, et même pas humoristique. Je sais, les goûts et les couleurs …
Peut-être quelqu'un pourra m'apprendre quelque chose en m'expliquant si c'est une référence culturelle à quelque chose comme un manga, animé, bd??? Et qu'est-ce que cette casquette et ces lunettes ? Merci de m'éduquer sur ce point mineur et pourtant image officielle du projet.
[^] # Re: Conseil cosmétique subjectif
Posté par Benoît Sibaud (site web personnel) . Évalué à 4 (+1/-0).
Un "dog" par Deming https://wolfsgallery.com/inventory/david-deming-rudy-is-loose-again
[^] # Re: Conseil cosmétique subjectif
Posté par cg . Évalué à 5 (+3/-0).
Deming est un outil de pilotage du SMSI… La casquette et les lunettes peuvent faire référence à un aviateur ou une aviatrice, ou un chauffeur/une chauffeuse de locomotive à vapeur.
Quand à l'air légèrement dépressif du chien, cela correspond bien aux personnes qui pilotent la sécurité et la conformité depuis plusieurs années, et qui ont pour devise la sécurité est un échec 😅.
ça aurait aussi pu être quelque chose comme ça, mais l'appli est en Laravel, pas en Rails :
[^] # Re: Conseil cosmétique subjectif
Posté par Psychofox (Mastodon) . Évalué à 4 (+1/-0). Dernière modification le 16 mai 2026 à 11:14.
Tout comme les emojis dans le readme, c'est pour t'indiquer que l'outil est vibecodé.
[^] # Re: Conseil cosmétique subjectif
Posté par didierb . Évalué à 2 (+1/-0).
Ah, permettez-moi de vous éclairer (c'est le chat qui parle) !
Ce chien n'est pas n'importe quel toutou : c'est le gardien du SMSI. Et comme tout bon gardien qui se respecte, il ne fait pas le tour du périmètre à pied comme les autres — il survole l'ensemble du système de management depuis les airs.
La casquette et les lunettes ? Ce sont des lunettes d'aviateur. Notre mascotte est un pilote. Pendant que les équipes ont la tête dans le guidon à traiter leurs non-conformités et leurs plans de traitement des risques, lui observe le SMSI d'en haut, avec la sérénité de celui qui a une vue à 360° sur toute l'organisation.
C'est une posture que tout bon RSSI reconnaîtra immédiatement.
Quant à la référence culturelle… disons que l'aviateur-chien le plus célèbre de la culture populaire est un certain Snoopy qui rêvait de combats aériens depuis le toit de sa niche. Ce logo est en réalité une déclaration d'intention : gérer un SMSI ISO 27001, c'est aussi un peu rêver en grand.
# Deming versus Mercator
Posté par Sytoka Modon (site web personnel) . Évalué à 4 (+2/-0).
NIS2 va être intégré dans Mercator.
Quelle différence entre les deux produits ? Faut-il mettre en place les deux ? A-ton des liens possible entre les deux pour éviter une certaine redondance ?
[^] # Re: Deming versus Mercator
Posté par didierb . Évalué à 2 (+1/-0).
Bonne question !
Voici comment les deux outils se complètent :
Mercator est un outil de cartographie du SI : il modélise les assets (applications, serveurs, réseaux, données…), leurs dépendances et leur exposition aux risques. Il répondra aux exigences NIS2 liées à l'inventaire et à la connaissance du SI (art. 21 – mesures de gestion des risques).
Deming est un outil de gestion de la conformité : il pilote les mesures de sécurité, les plans d'action, les audits et les indicateurs. Il couvre la partie gouvernance et suivi de la conformité, qui est aussi au cœur de NIS2.
Les deux sont complémentaires, pas redondants :
Des liens entre les deux sont clairement envisagés dans la roadmap : l'idée est que les actifs cartographiés dans Mercator puissent être référencés dans Deming, pour ancrer les mesures de conformité sur des assets réels plutôt que sur des abstractions.
Si NIS2 est ton objectif principal, les deux outils ensemble te donnent une couverture solide — mais tu peux très bien commencer par Mercator seul pour structurer ton inventaire, puis brancher Deming pour la partie conformité.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.