Les pierres angulaires de la sécurité de l’information : les normes et les recommendations
En suivant le principe « varietas delectat », nous ouvrons une fenêtre sur la sécurité de l’information, nous donnons un aperçu du statu quo des pays les plus développés (Américains, Anglais, Allemands...) pour savoir quelles sont leurs soucis et préoccupations quand il s’agit de la sécurité de l’information. Cet interêt ne s’explique pas seulement par la curiosité : aujourd’hui, en tant que membres de l’UE, leurs problèmes sont également les nôtres.
Dans ce qui suit, nous considérons comme un axiome le fait que les problèmes de la sécurité de l’information sont des problèmes mondiaux, et qu’ils sont étroitement liés aux défis de la société de l’information. Nous voyons qu’à cause de la nouveauté des problèmes à résoudre et du développement spectaculaire de la société de l’information, la législation et l’application des lois sont parfois insatisfaisantes. Cependant, il est clair que dans le monde entier, il est fait de grands efforts pour imposer les lois adéquates et pour les harmoniser internationalement. Les organisations internationales – telles que l’UE ou l’OCDE – publient de nombreuses directives et recommendations pour aider les états à résoudre leurs problèmes.
Autant d’explication doit suffire comme introduction avant de voir en particulier, quels sont les normes de sécurité de l’information les plus largement acceptés dans le monde actuel.
BS 7799-1 (ISO/IEC 17799:2000)
Outre la Common Criteria (ISO/IEC 15408:1999), la norme BS 7799 publiée par l’Institut Britannique de Normalisation (BSI – British Standard Institute) est l’autre norme acceptée et reconnue internationalement.
La différence essentielle entre la BS 7799-1 (Code of practice for Information Security Management – Code de bonne pratique pour la gestion de la sécurité de l’information) et les recommendations de sécurité informatique précédentes est qu’elle déduit les exigences et actions de sécurité de l’objectif et de la stratégie de la société. Le précédent aspect, orienté sur le produit avec la définition des processus d’évaluation, de certification et de qualification, a été remplacé par une approche qui se focalise sur la sécurité de l’information au niveau des organisations. Au lieu de prescrire des exigences, la norme BS 7799 propose un système d’aspects d’organisation et de règlementation qui est nécessaire pour une sécurité informatique totale, similairement à ce que ISO 9000 fait dans le domaine du contrôle de qualité.
BS 7799-2
Concernant la structure et le contenu de la norme BS 7799, publiée en 1995, beaucoup qui ont essayé de l’appliquer ont senti que les directives ne répondaient pas à leurs expectations. En 1998, la norme BS 7799-2, intitulée « Spécification pour les systèmes de gestion de la sécurité de l’information » (Specification for Information Security Management Systems) a été publiée comme supplément à la première partie.
La deuxième partie de la BS 7799 est actuellement une norme britannique, mais elle est déjà appliquée par plusieurs pays européens (p.ex. Norvège et Suisse) et aussi par des institutions financières internationales.
La deuxième partie de la BS 7799 définit des exigences surtout pour la direction des organisations concernant l’introduction du Système de gestion de la sécurité de l’information (ISMS – Information Security Management System) et son système de documentation. De plus, elle recommande des actions au niveau organisationnel pour la sécurité informatique, fondées sur une analyse globale des risques.
ISO 9000-3
De tous les aspects de la normalisation, le développement et la maintanance des logiciels est le domaine le plus difficile à gérer. Le processus diffère considérablement des processus similaires des autres produits industriels. Puisqu’il s’agit d’un domaine technologique qui évolue très rapidement, il est nécessaire de fournir des directives complémentaires à tout système de qualité qui comprend des logiciels.
La nature du développement de logiciels implique que certaines activités soient uniquement liées à quelques phases du développement, tandis que d’autres sont applicables tout au long du processus. La structure des règlementations de la norme 9000-3 reflète les différences mentionnées. Cette norme n’est pas convenable à la structure de la norme ISO 9001, et pour cela, elle a été pourvue de renvois qui permettent de faire référence à ISO 9001.
ITIL (BS 15000:2000)
La méthodologie ITIL (IT Infrastructure Library) a été développée par les experts de la CCTA (Central Computing and Telecommunications Agency - Agence Centrale d’Informatique et de Télécommunications) pour donner un support de bonne qualité et rentable aux services de sécurité informatique. ITIL décrit la réalisation des fonctions de gestion de service dans leur cycle de vie : conception, introduction, opération et introduction de nouveaux services.
ITIL est une documentation cohérente et détaillée, qui contient les procédures et les meilleures pratiques acceptées par l’industrie dans le domaine de la gestion des services des TI. De nos jours, sur la base des directives de la littérature spécialisée, toute une philosophie ITIL a été élaborée, qui propose des directives adéquates pour assurer la sécurité des services des TI.
ITSEC
La première version de ITSEC (Information Technology Security Evaluation Criteria – Critères d’évaluation de la sécurité des technologies de l’informaiton) a été élaborée en 1990 par l’Angleterre, la France, les Pays-Bas et l’Allemagne en commun, en tant qu’équivalent européen de TCSEC. La version 1.2 de ITSEC a été publiée pour une utilisation expérimentale au sein de la Communauté Européenne en 1991. Concernant ses principes et ses exigences, la ITSEC est fondamentalement identique à TCSEC. Pourtant, outre les classes de sécurité interpétées de la même manière que dans TCSEC, la ITSEC détermine également des classes de sécurité pour les types pertinents de systèmes informatiques, en leur imposant des fonctions de base de la TCSEC, mais dans chaque cas, elle met en reflief uniquement les exigences qui caractérisent le système donné (les fonctions de base des systèmes informatiques fiables, classes de fonctionalité, mécanismes de protection, critères de qualification et étapes de qualification).
TCSEC
Le Ministère de la Défense des Etats-Unis a publié en décembre 1985 la norme Trusted Computer System Evaluation Criteria (Critères d’évaluation de la fiabilité des systèmes informatiques), qui permet de qualifier les systèmes informatiques par rapport aux aspects de sécurité. L’utilisation de cette norme dans les systèmes informatiques de la défense et du gouvernement est toujours obligatoire aux Etats-Unis.
La TCSEC classifie les systèmes informatiques en quatre groupes, en qualifiant l’effectivité du contrôle de sécurité incorporé dans les systèmes de traitement d’informations à base de niveaux de protection de différente puissance. Actuellement, les classes D, C1, C2, B1, B2, B3 et A1 sont appliquées, où D représente le point minimal, et A le point maximal de protection individuelle prouvée. La classification requiert une qualification dans quatre domaines : stratégie de sécurité, possibilité de suivi, garanties et documentation.
COBIT 3
Outre les normes Common Criteria et BS 7799, la COBIT (Control Objectives for Information and Related Technology – Objectifs de contrôle de l’information et des technologies associées), élaborée par la ISACA (Information Systems Audit and Control Association – Association d’Audit et de Contrôle de Systèmes d’Information) est la troisième norme internationale, à la base de laquelle le développement et la sécurité des systèmes des TI peuvenr être menés à bien.
La COBIT est un recueuil d’objectifs de contrôle des TI acceptés internationalement, qui est applicable globalement et reconnu dans le domaine du contrôle de la sécurité informatique.
Pendant l’élaboration de la COBIT, les aspects de trois groupes professionnels ont été pris en considération :
Elle aide les cadres supérieurs à gérer les risques de l’environnement informatique toujours changeant, et à évaluer les alternatives d’investissement pour l’établissement de contrôle.
Pour les utilisateurs, elle assure le contrôle et la sécurité des services des TI.
Pour les contrôleurs de systèmes d’informations, elle fournit une base homogène permettant la qualification de contrôles internes, ainsi que des avis et des recommandations destinés à la direction.
Common Criteria 2.1 (ISO/IEC 15408:1999)
La version 1.2 de ITSEC a été publiée pour une utilisation expérimentale au sein de l’UE en 1991. Cependant, avec le support de l’UE et des gouvernements canadien et américain, l’avant-projet des CC (Common Criteria – Critères Communs) a été élaboré, qui a eu pour objectif d’harmoniser le contenu et les différences techniques des recommendations antérieures.
La version 2.0 de Common Criteria est parue en 1998. Le document CC 2.0 a été également publié par ISO/IEC, avec un contenu identique, sous le nom ”Common Criteria for Information Technology Security Evaluation, version 2.0”.
Les caractéristiques principales de la norme CC sont les suivantes :
• Elle définit des exigences uniques, indépendantes du mode de réalisation.
• Elle fournit une méthode d’évaluation unique pour l’évaluation et la certification de systèmes et de produits informatiques en matière de sécurité informatique.
• Elle impose une classification des exigences relatives aux systèmes de sécurité informatique dans des catégories de plusieurs niveaux.
• Elle peut être apppliquée au niveau hardware et logiciel.
• Les produits peuvent être choisis d’une façon flexible, car les exigences ne sont pas spécifiques aux hardware ou logiciels.
• Il est possible de définir la fonctionalité de sécurité, c’est-à-dire le profil de protection, qui est classifiable indépendamment dans l’un des sept niveaux d’évaluation de sécurité (Evaluation Assurance Level – EAL), décrits dans les CC.
Imprimer version