Normalisation et Sécurité des Systèmes d'Information

Dans la continuité d'un précédent billet sur ce même sujet, je vous propose une rapide présentation du monde de la normalisation appliquée à la sécurité des systèmes d'information.

Qu'est-ce qu'une norme ?

Le concept de norme renvoie à un ensemble de bonnes pratiques, d'exigences ou de recommandations obligatoires ou non. Ces normes seront nationales, européennes ou internationales.

Une norme peut être élaborée par différentes entités mais de façon consensuelle. Un groupe international, une PME, un cabinet d'étude, une association, un pays : toutes ces organisations peuvent, dans le cadre d'une démarche volontaire, participer à la création, à l'amélioration ou à la suppression d'une norme.

L'ISO est l'Organisation Internationale de Normalisation. C'est à travers ses actions que des standards ou des normes nationales pourront devenir internationales. Cette organisation non gouvernementale a été créée en 1947 et son secrétariat central est situé à Genève. Au niveau national, on retrouve des organismes de normalisation dans chaque pays. Par exemple, on retrouve l'AFNOR en France, la DIN en Allemagne ou encore la BSI au Royaume Uni. Ils existent également d'autres instances internationales de normalisation comme l'ETSI (pour les protocoles de communication), l'IEEE (qui travaille notamment sur les protocoles de réseaux comme le WiFi).

L'ISO est organisé en plusieurs centaines de comités techniques (Technical Committees ou TC), eux mêmes divisés en sous-comités (Subcommittes ou SC). Ces sous-comités sont composés de plusieurs groupes de travail (Working Groups ou WG).

La sécurité des systèmes d'information ne déroge pas à la règle et dispose (comme Cédric l'a indiqué dans un précédent article) de nombreuses normes qui vont cadrer et standardiser des processus, des systèmes de management ou les bonnes pratiques du secteur.

L'essor des nouvelles technologies de l'information a créé de nouveaux risques et a obligé les entreprises et les institutions publiques à mettre en œuvre des politiques et des techniques pour sécuriser leurs activités vis-à-vis de leur forte dépendance aux systèmes d'information. La sécurité doit inspirer confiance aux employés, dirigeants, clients, partenaires et fournisseurs pour assurer la pérennité et le développement de l'organisation.

L'élaboration d'une norme en SSI

La sécurité des systèmes d'information est traitée par l'ISO au sein d'un comité technique "spécial" géré en collaboration avec l'IEC (International Electrotechnical Commission). Ce comité, le JTC 1 (pour Joint Technical Committee), traite exclusivement des technologies de l'information. Il est divisé en 17 sous-comités. Le SC27 est le sous-comité dédié aux techniques de sécurité des systèmes d'information. Tous les 6 mois, le SC27 se réunit en séance plénière pour centraliser les travaux de chaque pays.

Le SC27 est composé de 5 groupes de travail :

  • Le WG1 s'intéresse aux "exigences, services de sécurité et directives". C'est ce groupe de travail qui a travaillé sur les normes ISO/IEC 2700x (dont ISO/IEC 27001, 27002, 27005...).
  • Le WG2 gère les normes traitant des techniques et mécanismes de sécurité, comme par exemple l'ISO/IEC 18033 relative aux algorithmes de chiffrement.
  • Le WG3 traite des critères d'évaluation de la sécurité. La plus célèbre de ces normes est l'ISO/IEC 15408 plus généralement appelée "Critères Communs".
  • Le WG4 travaille sur les contrôles et services de sécurité. On peut citer notamment la norme  ISO/IEC 18044 traitant de la gestion d'incidents de sécurité de l'information.
  • Le WG5 participe aux travaux sur les problématiques de gestion d'identité et technologies de domaine privé. La norme ISO/IEC 24760 traite notamment de la biométrie, de l'identité et de la vie privée.

En France, le GCSSI (Groupe de Coordination "Sécurité des systèmes d'information") qui dépend de l'AFNOR pilote les contributions françaises aux travaux de normalisation internationaux liés à la sécurité des systèmes d'information. Le GCSSI a notamment travaillé sur la traduction française des normes ISO 27000 et 27005 et participe activement à de nombreux nouveaux projets de normes.

La création ou la modification d'une norme suit ensuite un processus lui-même normalisé par une procédure stricte.

Source :

One thought to “Normalisation et Sécurité des Systèmes d'Information”

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

This site uses Akismet to reduce spam. Learn how your comment data is processed.