Etat des études
européennes sur la Sécurité des Systèmes
d'Information
Etat des études
européennes sur la Sécurité des Systèmes
d'Information
Aujourd'hui beaucoup d'études effectuées sur le sujet parlent des I.T.S.E.C.. Qu'en est-il des I.T.S.E.C. ? Quelles relations existent entre les I.T.S.E.C. et la vie quotidienne?
Définissons d'abord les ITSEC.
Information Technology Security Evaluation Criteria est une partie d'une démarche commune développée par la C.E.E. dans le cadre d'un plan d'actions global baptisé INFOSEC. Les objectifs définis pour la démarche INFOSEC sont de fournir une sécurité pratique et effective pour l'information (dans ses représentations notamment électroniques) pour tous les usagers, les administrations et la communauté économique sans compromettre les intérêts du public le plus large.
Ce, en s'appuyant sur une démarche globale, et en liaison avec les organismes de standardisation ISO, CCITT, ODP1 (sans oublier les recommandations des organismes :OTAN, GOSIP UK/US...).Et sachant, de plus, que 2% des services utilisables en l'an 2000.. sont disponibles à ce jour...
Le schéma ci-après résume l'ambition de ce programme.
Mais beaucoup de tâches restent à faire pour arriver à ce schéma idéal d'appréciation...Il convient :
- de définir un "squelette" stratégique pour la Sécurité des Systèmes d'Information- d'identifier les acteurs (utilisateurs et fournisseurs),
- déterminer des solutions standards immédiatement applicables,
- développer la standardisation, les évaluations et la certification,
- développer des solutions opérationnelles et/ou technologiques
- d'assurer une vision prospective des problèmes....
Parmi les principes de base, il faut retenir que ce n'est pas un travail Européen mais une approche permettant de poser un travail universel,les installations qui recevront l'outil devront être identifiées préalablement et qu'une évaluation ne peut se faire que si les conditions d'utilisation sont parfaitement définies.....tel que démontré dans ce diagramme:
Pour arriver à ce chemin idéal, un certain nombre de tâches sont en cours de réalisation. Un document récent INFOSEC '93 édité par la CEE clarifie les principales lignes d'actions adoptées en Mars 1992 (décision 92/242/EEC)...
1° Développement d'un cadre stratégique pour la Sécurité des Systèmes d'Information,2° Définition des besoins des acteurs de la Sécurité des Systèmes d'Information,
3° Détermination de solutions intermédiaires,
4° Développement des "outils organisationnels",
5° Développement des outils techniques et opérationnels,
6° Suivi de l'évolution de la Sécurité des Systèmes d'Information.
Et, présente parmi les travaux réalisés, et à venir, patronnés par la CEE un "livre vert"présentant des orientations générales d'une "politique Sécurité" que nous allons vous faire découvrir. Le "Green book on the Security of Information Systems" constitue, à mes yeux un ensemble pratique d'ORIENTATIONS qui nous seront applicables dans les années à venir.
Examinons le de plus près .....
Commençons par regarder son organisation
Par l'Expression des besoins, il faut entendre toutes les demandes qui concernent les objectifs de sécurité, le code de déontologie, la signature numérique et la protections des communications privées
Fournitures (Tierce partie de confiance, Evaluation, Recherche) définit les relations avec les fournisseurs
Responsabilités traite des problèmes liés aux Lois et aux Assurances
Voyons plus en détail ce que contiennent chaque chapitre.
Généralités
1° Globalisation des aspects économiques et de la mouvance- Révision de la vision concernant le nouvel environnement, les challenges et les exigences de la Sécurité des Systèmes d'Information dans le cadre d'une globalisation,- Adaptation des différentes politiques et règles
2° Marché Intérieur de la CEE
- Vérification qu'il n'existe pas (ou qu'il ne se crée pas) des limitations dans une application européenne de principes de Sécurité des Systèmes d'Information (Formation, règles et lois)- Détermination de solutions applicables dans toutes la CEE et présentant une base préférentielle au niveau international.
3° Protection des communications et droits des Personnes
- Définition d'une approche commune pour définir les droits, les responsabilités et les devoirs des citoyens et des industriels d'une part et ceux des "autorités" d'autre part... En tenant compte des implications définies par le diagramme suivant.
4° Reconnaissance et acceptation de l'identification biométrique- Clarification des limites de la biométrie (vie privée, propriété des "images",...)- Développement d'une classification agréée
- Développement d'un approche commune définissant les droits/devoirs de tous les acteurs utilisant la biométrie.
5° Droits de l'homme et Ergonomie des systèmes
- Revoir les différentes pratiques pour créer des "standards"pour chaque opération- Etudier un environnement réglementaire pour la mise en place d'environnements sûrs pour les travaux dangereux (Liaison avec la "SAFETY")
6° Management et gestion des protections
- Renforcement des moyens de définition du domaine de Sécurité des Systèmes d'Information- Définition des interfaces pour les utilisateurs
- Définition des règles d'enregistrement et des procédures pour les suivi des transactions
7° Définition d'un tronc commun entre la sécurité commerciale et celle relevant de l'état
- Mise en place de prescriptions communes aux entreprises, citoyens et administrations pour protéger les informations et leur traitement- Définition de règles communes pour la gestion des informations. C'est à dire création d'un certain Parallélisme entre la protection du secret de défense (par exemple : CD, SD,...) et la Sécurité des Systèmes d'Information des entreprises
8° Renforcement de la sécurité et des lois sur une échelle internationale
- Définir une loi effective, universelle pour identifier, piéger, intercepter et lister les incidents ou crimes en prévoyant les outils adaptés (au besoin avec des aides externes sûres)- Décourager les solutions locales
9° Identification du coût de la Sécurité des Systèmes d'Information
- Développement d'un "coût de la Sécurité des Systèmes d'Information" selon les utilisateurs- Définition de l'importance de l'informatique dans les affaires
- Développement de règles de base pouvant impliquer des conséquences financières (vis à vis des assureurs, chambres de commerces,...)
10° Reconnaissance du Crime informatique
- Définition d'une éducation de base- Développement d'une éthique
- Clarification des responsabilités de tous les acteurs
11° Sécuriser les environnements critiques
- Développement d'une approche commune- Développement d'une méthodologie commune d'analyse de risques
- Développement d'un approche commune de conduite de projet (de la conception à la gestion des changements et d'évaluation
12° Systèmes cachés
- Développement d'outils (méthodes de test, certification) permettant de garantir l'utilisation de tels systèmes- Définition d'exigences permettant de lutter contre des détournements d'usage
Expression des besoins
1° Agrément d'exigences de sécurité pour les entreprisesDéveloppement d'une taxonomie et d'une liste des exigences de base réellement applicables aux entreprises...
2° Agrément d'exigences de sécurité pour les personnes- Développement d'une liste de profils standards afin d'aider à identifier les familles d'utilisateurs3° Objectifs de sécurité pour les entreprises
4° Spécificités sectorielles
- Développement d'un ensemble de règles adapté à différents secteurs (finance, commerce,médical, télécoms, administrations,...)5° Méthodologies de sécurité
- Développement de critères d'évaluation et de guides applicables pour sélectionner des exigences- HARMONISER et standardiser une approche internationale
- Intégrer toutes les composantes de la sécurité
6° Domaines de sécurité
- Génération des guides pour la création, le management et le contrôle des domaines de sécurité- Développement d'une architecture commune pour les relations inter-domaines
- Développement des l'agrément des acteurs avec les instances gouvernementales
7° Labellisation des informations
- Définition d'une règle pour labelliser les informations8° Contrôles d'accès
- Travaux sur les contrôles d'accès, les droits individuels ,sur les signatures, les principes légaux applicables, le développement des signatures numériques, l'usage de clés, la reconnaissance par tous les acteurs et la sécurité des informations stockées.9° Développement de la protection de la vie privée
- Proposition d'une architecture utilisable par les entreprises et agréée par les services de sécurité des pays.- Définition de contrats types pour les services nécessitant une confidentialité certaine
- Information des acteurs sur les pertes potentielles
10° Incitations à l'acquisition de solutions évaluées
- Adoption rapide de critères communs- Agrément d'une méthode d'évaluation reconnue
- Mutuelles reconnaissances.
11° Définition des règles d'achat de systèmes évalués
- Identification de catégories d'application- Alignement des différentes législations
12° Evaluation de la valeur des informations
- Définition des classes d'information- Définition des règles de propriété
- Développement d'un guide pour les propriétaires
- Développement de méthodes et de procédures pour établir la valeur de l'information
Recommandations aux fournisseurs
1° Tierces Parties dignes de confiance- Définition des rôles des tierces parties, principes des opérations avec les Tierces Parties dignes de confiance (T.T.P.), reconnaissance et audit des Tierces Parties dignes de confiance, Utilisation des noms et des "lettres de créance", gestion des clés, management des services gérant les noms et les "lettres de créance",services légaux, estampillation des documents et transaction sur les documents négociables.2° Evaluation des solutions
- Exigences perçues pour des solutions de confiance , harmonisation internationale et reconnaissance mutuelle, déclarations des vendeurs, évaluation des applications et des services de communication, gestion d'un réseau sûr, modification des "évalués" et réévaluation, obligation de correction des produits évalués et rationalisation des évaluations.3° Changements technologiques
Responsabilités
1° Squelette pour une loi internationale concernant la Sécurité des Systèmes d'Information2° Responsabilisation Propriétaire et Utilisateurs
3° Assurances
4° Guide de formation
5° Indicateurs
Malheureusement, les travaux effectués à ce jour n'ont pas permis la finalisation de quelques points. En conclusion, il ressort alors clairement que le diagramme de la page 1 permet de positionner les différents objectifs poursuivis par le Green Book
Ces études, menées depuis 1990, démontrent une convergence avec les réflexions qui animent notre Institut.
Les divers points évoqués permettent de resituer dans un contexte applicatif les éléments constitutifs de l'hyperespace :
La base de données européenne entre bien dans l'élément "Statistique".
La méthode (d'analyse de risque) est bien un nouveau modèle à appliquer dans le cadre Epistémique.
Les aspects légaux entrent, parmi d'autres, dans le cadre Déontologique.
Le choix de références est situé en Axiologique.
Et la démarche s'applique en fonction des Finalités de l'organisme qui désire procéder à une évaluation de sa Sécurité des Systèmes d'Information....
Gérard BOUGET
GBT Conseils
