Dans la continuité d’un précédent billet sur ce même sujet, je vous propose une rapide présentation du monde de la normalisation appliquée à la sécurité des systèmes d’information.
Qu’est-ce qu’une norme ?
Le concept de norme renvoie à un ensemble de bonnes pratiques, d’exigences ou de recommandations obligatoires ou non. Ces normes seront nationales, européennes ou internationales.
Une norme peut être élaborée par différentes entités mais de façon consensuelle. Un groupe international, une PME, un cabinet d’étude, une association, un pays : toutes ces organisations peuvent, dans le cadre d’une démarche volontaire, participer à la création, à l’amélioration ou à la suppression d’une norme.
L’ISO est l’Organisation Internationale de Normalisation. C’est à travers ses actions que des standards ou des normes nationales pourront devenir internationales. Cette organisation non gouvernementale a été créée en 1947 et son secrétariat central est situé à Genève. Au niveau national, on retrouve des organismes de normalisation dans chaque pays. Par exemple, on retrouve l’AFNOR en France, la DIN en Allemagne ou encore la BSI au Royaume Uni. Ils existent également d’autres instances internationales de normalisation comme l’ETSI (pour les protocoles de communication), l’IEEE (qui travaille notamment sur les protocoles de réseaux comme le WiFi).
L’ISO est organisé en plusieurs centaines de comités techniques (Technical Committees ou TC), eux mêmes divisés en sous-comités (Subcommittes ou SC). Ces sous-comités sont composés de plusieurs groupes de travail (Working Groups ou WG).
La sécurité des systèmes d’information ne déroge pas à la règle et dispose (comme Cédric l’a indiqué dans un précédent article) de nombreuses normes qui vont cadrer et standardiser des processus, des systèmes de management ou les bonnes pratiques du secteur.
L’essor des nouvelles technologies de l’information a créé de nouveaux risques et a obligé les entreprises et les institutions publiques à mettre en œuvre des politiques et des techniques pour sécuriser leurs activités vis-à-vis de leur forte dépendance aux systèmes d’information. La sécurité doit inspirer confiance aux employés, dirigeants, clients, partenaires et fournisseurs pour assurer la pérennité et le développement de l’organisation.
L’élaboration d’une norme en SSI
La sécurité des systèmes d’information est traitée par l’ISO au sein d’un comité technique « spécial » géré en collaboration avec l’IEC (International Electrotechnical Commission). Ce comité, le JTC 1 (pour Joint Technical Committee), traite exclusivement des technologies de l’information. Il est divisé en 17 sous-comités. Le SC27 est le sous-comité dédié aux techniques de sécurité des systèmes d’information. Tous les 6 mois, le SC27 se réunit en séance plénière pour centraliser les travaux de chaque pays.
Le SC27 est composé de 5 groupes de travail :
- Le WG1 s’intéresse aux « exigences, services de sécurité et directives ». C’est ce groupe de travail qui a travaillé sur les normes ISO/IEC 2700x (dont ISO/IEC 27001, 27002, 27005…).
- Le WG2 gère les normes traitant des techniques et mécanismes de sécurité, comme par exemple l’ISO/IEC 18033 relative aux algorithmes de chiffrement.
- Le WG3 traite des critères d’évaluation de la sécurité. La plus célèbre de ces normes est l’ISO/IEC 15408 plus généralement appelée « Critères Communs ».
- Le WG4 travaille sur les contrôles et services de sécurité. On peut citer notamment la norme ISO/IEC 18044 traitant de la gestion d’incidents de sécurité de l’information.
- Le WG5 participe aux travaux sur les problématiques de gestion d’identité et technologies de domaine privé. La norme ISO/IEC 24760 traite notamment de la biométrie, de l’identité et de la vie privée.
En France, le GCSSI (Groupe de Coordination « Sécurité des systèmes d’information ») qui dépend de l’AFNOR pilote les contributions françaises aux travaux de normalisation internationaux liés à la sécurité des systèmes d’information. Le GCSSI a notamment travaillé sur la traduction française des normes ISO 27000 et 27005 et participe activement à de nombreux nouveaux projets de normes.
La création ou la modification d’une norme suit ensuite un processus lui-même normalisé par une procédure stricte.
Source :
Aujourd’hui, en recherchant des documents clairs me permettant de faire le tri de façon simple dans les différents principaux référentiels disponibles pour assurer la sécurité de son système d’information, j’ai eu envie de vous écrire un billet passant en revue ces différents référentiels et de vous faire partager les documents que je juge intéressant.
- Les « classiques » :
- MEHARI, éditée par le CLUSIF, dans sa dernière version 2010 qui a pour avantage de pouvoir s’inscrire dans une démarche ISO 27001 et qui est totalement gratuite et open source.
- EBIOS, créée par l’ANSSI, également dans sa dernière version 2010, et dont nous en avions déjà fait sa présentation sur ce blog.
- Les « ISO » :
- ISO/IEC 27000:2009 : Technologies de l’information — Techniques de sécurité — Systèmes de management de la sécurité de l’information — Vue d’ensemble et vocabulaire
- ISO/IEC 27001:2005 : Technologies de l’information — Techniques de sécurité — Systèmes de management de la sécurité de l’information — Exigences
- ISO/IEC 27002:2005 : Technologies de l’information — Techniques de sécurité — Code de bonne pratique pour le management de la sécurité de l’information
- ISO/IEC 27003:2010 : Technologies de l’information — Techniques de sécurité — Lignes directrices pour la mise en oeuvre du système de management de la sécurité de l’information
- ISO/IEC 27004:2009 : Technologies de l’information — Techniques de sécurité — Management de la sécurité de l’information — Mesurage
- ISO/IEC 27005:2008 : Technologies de l’information — Techniques de sécurité — Gestion des risques en sécurité de l’information
- ISO/IEC 27006:2007 : Technologies de l’information — Techniques de sécurité — Exigences pour les organismes procédant à l’audit et à la certification des systèmes de management de la sécurité de l’information
- ISO 27799:2008 : Informatique de santé — Management de la sécurité de l’information relative à la santé en utilisant l’ISO/CEI 27002
- ISO/IEC 27011:2008 : Technologies de l’information — Techniques de sécurité — Lignes directrices du management de la sécurité de l’information pour les organismes de télécommunications sur la base de l’ISO/CEI 27002
- Les approches conventionnelles :
- OCTAVE ET OCTAVE -S : publiée par l’université américaine Carnegie Mellon , qui héberge le centre de coordination des CERT mondiaux.
- CRAMM : créée par Siemens en Anglettre et compatible avec la norme BS7799.
- Les approches spécifiques :
- ITBPM : créée par le BSI, analogue allemand de notre ANSSI, qui possède une approche par module assez intéressante
- SSE-CMM/ISO 21827 : fonctionne en utilisant le concept de l’approche processus.
- Les disparues :
- MARION, développée par le CLUSIF, elle a été abandonnée au profit de MEHARI
- MELISA, développée par la DGA et abandonnée.
Comme nous pouvons le voir, il existe une multitude de référentiels permettant d’aider une entité a améliorer la sécurité de son système d’information (et nous n’avons listé ici que les plus courantes).
Il n’existe pas de méthode miracle, le choix de cette dernière dépend de vos objectifs, de vos actifs à protéger et de votre organisation.
Dans les prochains billets, je tenterai de détailler les éléments distinctifs de ces méthodes pour vous aider à faire ce choix. En attendant, les liens ci-dessous vous permettrons d’approfondir un certain nombre de méthodes.
Sources / Pour en savoir plus :
- MEHARI 2010 sur le Club de la Sécurité de l’Information Français (CLUSIF)
- Normes de sécurité : les méthodes d’analyse des risques
- OCTAVE
- Etude comparée de référentiels et méthodes utilisées en sécurité informatique (PDF)
C’est en rentrant vendredi soir de ma première réunion à l’AFNOR que j’ai eu l’idée de ce billet consacré à la normalisation. Ce domaine reste encore très obscur aux communs des mortels mais aussi aux professionnels de la sécurité qui ne sont pas tous sensibilisés aux différentes normes qui s’intéressent à la SSI.
J’ai donc pu participer vendredi après midi, en tant qu’observateur, á une réunion plénière du GCSSI (Groupe de Coordination « Sécurité des systèmes d’information ») qui dépend de l’AFNOR, l’organisme officiel français de normalisation. Ce groupe de pilotage va apporter une contribution française directe aux travaux de normalisation internationaux liés à la sécurité des systèmes d’information. Le GCSSI a notamment travaillé sur la traduction des normes ISO 27000 et 27005 et participe activement à de nombreux nouveaux projets de normes. Tous ces travaux s’inscrivent dans le cadre officiel des 5 Working Groups (WG1 à WG5) du Sous-Comité 27 (SC27) « Techniques de sécurité des technologies de l’information » de l’ISO/JTC 1 (un comité joint entre l’ISO, organisation internationale de normalisation et l’IEC, organisme international de normalisation spécialisé dans les domaines de l’électricité et de l’électronique notamment).
Il est vrai que nous sommes peut être plus concernés par les démarches de mise en place ou de certification de système de management conforme à différentes normes. Mais passer de l’autre coté du miroir en travaillant à l’élaboration de ces normes peut se révéler stratégique pour faire écouter aux organisations internationales nos intérêts nationaux en plus d’être professionnellement enrichissant. Faire progresser la profession reste également une très bonne source de motivation. Si vous êtes intéressés pour intégrer le GCSSI, je vous renvoie vers cette page du site de l’AFNOR qui le présente plus en détails. Vous pouvez également me contacter directement si vous souhaitez les coordonnées du responsable du projet à l’AFNOR. Pour information, la prochaine réunion aura lieu fin novembre.
Je reviendrais dans un prochain billet plus en détails sur les normes et notamment celles qui régissent le domaine de la sécurité des systèmes d’information.
