La France accueille, du 14 au 18 octobre, les réunions des groupes de travail de l'Iso/IEC/JTC 1/SC 27 Sécurité de l'information, cybersécurité et protection de la vie privée. Plus de 300 experts sont attendus à Paris pour avancer sur les sujets de cette structure particulièrement productive, qui traite d'enjeux cruciaux dans un environnement marqué par des innovations technologiques continues, la mise en place de réglementations et une prise de conscience accrue des risques.
L'évolution rapide des technologies de l'information, des réseaux de communication et d'Internet ont pour contrepartie l'aggravation des risques liés à la manipulation, au stockage et à la transmission des données. Les enjeux liés à la cybersécurité portent autant sur les aspects génériques de la sécurité des systèmes d'information que sur des sujets applicatifs (cloud computing, objets connectés, informatique industrielle, plateformes numériques, sécurité des réseaux d'énergie...). Des TPE aux grands groupes industriels en passant par les banques ou les services de l'Etat, la sécurité des systèmes d'information, des données, de l'identité et des transactions est capitale. Il est primordial que les utilisateurs puissent avoir confiance dans les systèmes qu'ils utilisent. Une confiance qui peut être démontrée grâce à la mise en œuvre de politiques de sécurité opérationnelles et efficientes au sein des entreprises, et à l'adoption de référentiels normalisés. Protéger les données échangées et stockées et l'ensemble des systèmes d'information et de communication, c'est l'objectif du SC 27 Sécurité de l'information, cybersécurité et protection de la vie privée, à présidence et secrétariat allemands, au regard duquel la commission française miroir est particulièrement active et impliquée, qu'il s'agisse de la proposition de nouveaux sujets, de la rédaction de documents ou de l'importance des délégations qui participent aux réunions internationales. Car les enjeux sont cruciaux : « La cybersécurité cristallise de véritables questions de fond, qui renvoient tant à la défense des expertises françaises qu'aux notions même de sécurité et de souveraineté nationales », relève Frédéric Solbes, chef de projet à Afnor Normalisation. Le président de la commission française miroir, François Zamora, veut d'ailleurs « impulser une feuille de route pour les travaux au sein de la commission nationale, communiquer et rassembler toutes les parties prenantes autour d'une vision commune de la cybersécurité dans les différents segments industriels et dans ses différentes composantes ».
La composition du SC 27
Le SC 27 Sécurité de l'information, cybersécurité et protection de la vie privée comporte cinq groupes de travail :
- WG 1 Système de management de la sécurité de l'information (SMSI) ;
- WG 2 Cryptographie et mécanisme de sécurité ;
- WG 3 Évaluation de la sécurité, essais et spécifications ;
- WG 4 Contrôles et services de sécurité ;
- WG 5 Gestion d'identité et technologies de domaine privé - biométrie.
Il s'est également doté de différents groupes d'étude : sécurité des données ; concepts et terminologie ; confiance.
Assurer la confiance
« Ce qui est nouveau, en termes d'évolution du monde numérique, c'est le rôle majeur joué par le cloud, relève Bernard Ourghanlian, directeur technique et sécurité de Microsoft France. De plus, à l'échelle de l'Europe, il y a la volonté de la Commission européenne, à travers l'utilisation de normes et standards, de promouvoir certaines valeurs, les droits des citoyens, des valeurs qui touchent à l'éthique, notamment dans le cadre du règlement général sur la protection des données (RGPD). »
Du côté du cloud, « si on considère que la mise en œuvre d'une telle architecture de traitement fait passer dans les mains de prestataires de services un certain nombre de responsabilités quant aux données confiées par les clients, il est vital d'asseoir la confiance, illustre Bernard Ourghanlian. On peut l'établir sur un triptyque qui consiste à s'imposer de manière volontaire l'adhésion à un certain nombre de normes et standards (Iso 27001 pour la sécurité, Iso 27018 pour la vie privée par exemple) ; à faire vérifier la conformité des services que l'on opère par rapport à ces normes par des tiers auditeurs ; et à donner accès à la publication des rapports d'audits produits par ces auditeurs. »
Normes et standards constituent un élément clé de la stratégie d'une entreprise comme Microsoft, bardée de certifications de conformité : « C'est une garantie de répondre aux préoccupations des politiques et aux besoins de nos clients quant à la confiance des services qu'on opère », résume Bernard Ourghanlian. Aux côtés des entreprises, amenées à défendre leur compétitivité sur le marché mondial, un certain nombre d'acteurs publics sont impliqués dans ces travaux : « Pour l'Agence nationale de la sécurité des systèmes d'information (Anssi), il est important de travailler avec tout l'écosystème, partenaires industriels, académiques, régaliens et citoyens, indique Philippe Magnobosco, chargé de mission normalisation à l'Agence. La sécurité et la confiance numériques ont besoin d'une action publique déterminée », où la normalisation a toute sa place : « C'est un outil légitime pour susciter des synergies et coconstruire la sécurité numérique. »
Sécurité et protection de la vie privée
« Les normes Iso ont une très grande légitimité dans le domaine de la sécurité informatique », abonde Paul Houzé, responsable normalisation de Microsoft France. On ne présente plus la famille phare des Iso/IEC 27000 Systèmes de management de sécurité de l'information et son plus célèbre élément, la norme Iso/IEC 27001, qui expose les exigences relatives aux systèmes de management de la sécurité de l'information (SMSI). Un SMSI désigne l'approche systémique par laquelle une organisation veille à la sécurité des informations sensibles. Construit selon un processus de management du risque, il englobe les personnes, les processus et les systèmes de TI.
La norme Iso/IEC 27001, dans la dernière version date de 2013, est entrée en révision, tout comme la norme Iso/IEC 27002, qui fournit des lignes directrices en matière d'exigences organisationnelles et des bonnes pratiques de management.
La future Iso 27101 fournira des lignes directrices sur le développement d'un cadre de cybersécurité. « L'élaboration d'un guide en support à la création d'un cadre applicatif (ensemble de composants qui permettent de créer le squelette d'une application) fait pleinement sens, considère Frédéric Solbes. De surcroît, ce document se propose de définir des mots-clés, dont le terme cybersécurité... qui fait toujours débat. »
Les sujets portant sur la gestion d'identité et la protection des données personnelles mobilisent les experts. « Les questions liées à la vie privée entretiennent une relation de proximité complexe et délicate avec la sécurité des systèmes d'information », souligne Frédéric Solbes. Ainsi, la norme Iso 27552, prochainement publiée, porte sur les exigences spécifiques à la gestion de la protection de la vie privée dans le cadre d'un système de management de la sécurité de l'information.
« Nous investissons depuis près de dix ans sur l'aspect vie privée, pour augmenter et compléter les normes de sécurité », corrobore Paul Houzé, citant la norme Iso 27018 sur la protection des informations personnelles identifiables dans le cloud, dont un des objectifs était de servir de soutien à la directive européenne de 1995 sur la protection des données. « Avec la norme Iso 27552, on est dans la même démarche de construction d'un outil de confiance en soutien à la réglementation RGPD, précise-t-il. La différence, c'est qu'il s'agit d'une norme d'exigences, certifiante au même titre que la norme Iso 27001. » Autre nouveauté, la réglementation prévoit un mécanisme de certification. « On espère que la norme Iso 27552 pourra jouer un rôle important dans la certification prévue au sens de l'article 42 du RGPD, ajoute Bernard Ourghanlian. Cette norme internationale étend potentiellement au-delà des frontières européennes l'intérêt du RGPD et les engagements en matière de respect de la vie privée. »
« Historiquement, la proposition de norme a été portée par la France, avec le soutien de la Cnil, puis de pays européens, Royaume-Uni, Allemagne, Suède, Italie... », rappelle Paul Houzé. Les Européens ont contribué à l'écriture de la norme avec le règlement en tête. « L'idée était de dessiner un outil qui soit efficace pour répondre au RGPD et suffisamment flexible pour servir d'outil de transfert de données entre responsables et sous-traitants en et hors Europe, sous des régimes réglementaires différents. » Les régulateurs contribuent d'ailleurs aux travaux du SC 27 par l'intermédiaire d'une liaison avec le Comité européen de la protection des données (EDPB).
En Europe
À l'échelon européen, le Cen/Cenelec/ JTC 13 Cybersécurité et protection des données a vu le jour fin 2017. Objectifs : reprendre en normes européennes (EN) les normes pertinentes du SC 27, adapter des normes du SC 27 aux besoins européens, faire de ces normes des supports utiles à l'application de la directive Sécurité des réseaux et des systèmes d'information (NIS), du règlement Identification électronique et services de confiance pour les transactions électroniques (elDAS) ainsi que du règlement général sur la protection des données (RGPD) et du nouveau règlement Cybersecurity Act. De manière pragmatique, le Cen/Cenelec/JTC 13 s'est structuré en différents working groups miroirs de ceux du SC 27.
Le cas des critères communs
Les critères communs sont un ensemble de normes (Iso 15408) internationalement reconnu dont l'objectif est d'évaluer de façon impartiale la sécurité des systèmes et des logiciels informatiques. Ce référentiel est né d'un partenariat entre le Canada, les États-Unis et l'Europe. Les utilisateurs de technologies de l'information peuvent utiliser des profils de protection pour spécifier les exigences fonctionnelles de sécurité attendues et les évaluateurs peuvent vérifier que les produits sont bien conformes au niveau d'assurance requis.
Le paysage évolue avec le règlement européen Cybersecurity Act et le positionnement central de l'Agence européenne chargée de la sécurité des réseaux et de l'information (Enisa). « Adopté définitivement le 7 juin 2019, le Cybersecurity Act comprend la définition d'un cadre européen de certification de cybersécurité », expose Philippe Magnabosco. Après avoir mis en place un système de gestion de la cybersécurité avec l'Iso/IEC 27001, une analyse de risque avec par exemple la méthode Ebios de l'Anssi, comment se protéger concrètement contre les menaces ? « La série Iso/lEC 15408 et 18045, dite critères communs de cybersécurité, reste centrale dans l'évaluation des produits qui permettent cette protection, répond Philippe Magnabosco. C'est aussi ce référentiel qui permet une reconnaissance internationale, dans le cadre d'accords de reconnaissance mutuelle, des certifications réalisées par l'Anssi et ses homologues. » De multiples réglementations de cybersécurité comportent une exigence - ou a minima une recommandation - de certification de sécurité, et côté produits, « l'expérience de plus de vingt ans en matière de certification via les critères communs en a fait un schéma internationalement reconnu, relève Philippe Magnabosco. Cela ne veut pas dire évidemment que cette série de normes est sans défaut, et l'enjeu de la révision en cours a été de s'atteler à les corriger, de s'ouvrir à d'autres façons d'utiliser ces critères communs, sans remettre en cause ce qui reste fondamental pour nous ». Ce travail donne des résultats probants, « par exemple en ce qui concerne la capacité d'évaluer un produit dont les composants ont différentes exigences d'assurance ». La vigilance a été de mise : « Ces travaux sont conduits dans un contexte général d'offensive anglo-saxonne visant à remettre en cause les niveaux d'évaluation en les tirant vers le bas », rappelle Frédéric Solbes. En réponse, une alliance menée par la France et l'Allemagne a œuvré en faveur d'un maintien réel de l'écart entre l'évaluation de haut niveau et l'évaluation de bas niveau.
Initialement composée de trois parties (introduction et modèle général ; composants fonctionnels de sécurité ; exigences d'assurance de sécurité), la norme Iso 15408 Critères d'évaluation pour la sécurité TI devrait en comporter cinq, avec l'élaboration, à l'initiative des experts français, d'un document chapeau destiné à expliciter la transition vers la nouvelle version des critères communs et fixant les grands principes d'évaluation. Que change le règlement européen sur la cybersécurité ? « À terme, le règlement 2019/881 va instaurer un cadre de reconnaissance a priori des certifications de cybersécurité, explique Philippe Magnabosco. Mais il s'agit aussi d'élargir la portée des certifications proposées sur le marché, en offrant la possibilité de nouveaux niveaux d'assurance par rapport à ceux en vigueur traditionnellement avec les critères communs. » II est ici question du niveau d'assurance « élémentaire » (objets grand public, non critiques, comme l'Internet des objets) ou du niveau « substantiel » (la catégorie intermédiaire, qui cible le risque médian, comme le cloud). Il sera également possible de certifier à l'échelle européenne des services de sécurité. « L'adoption du Cybersecurity Act permet à la fois d'encourager le recours à la certification et de reconnaître les certificats délivrés par un État membre dans toute l'UE, contribuant défait à renforcer la sécurité du marché unique numérique européen », conclut Philippe Magnabosco.
Dernière minute : la norme Iso 27552 est devenue Iso 27701.
Auteur : Marie-Claire BARTHET dans ENJEUX de l'AFNOR.