LIVRE BLANC L'APPORT DES NORMES DANS LE DOMAINE INFORMATIQUE ET DE LA SECURITE INFORMATIQUE << ETUDE >>

Transcription

1 LIVRE BLANC L'APPORT DES NORMES DANS LE DOMAINE INFORMATIQUE ET DE LA SECURITE INFORMATIQUE << ETUDE >> Par Michel ANDRE Septembre 2005

2 TABLE DES MATIERES 1. LES ACTEURS ET STRUCTURES DE FONCTIONNEMENT DEFINITIONS LES OBJECTIFS DE LA NORMALISATION LES STRUCTURES ET MODES DE FONCTIONNEMENT LA CERTIFICATION LES NORMES, OUTILS DIDACTIQUES QUELQUES NORMES INTERESSANTES... 7 ISO/IEC 7498:1988 Information processing systems - Open Systems Interconnection... 7 ISO/IEC 9126 Génie du logiciel -- Qualité des produits... 7 ISO/IEC Progiciels Exigences de qualité et de tests... 7 ISO/IEC Guide du management de la sécurité informatique... 7 ISO/IEC Critères d'évaluation de la sécurité informatique (Critères communs)... 8 ISO/IEC Guide on the production of protection profiles... 8 ISO/IEC Information security management Code of practice for information security management (en "early revision")... 8 ISO/IEC Sécurité des réseaux (WD)... 9 ISO/IEC Gestion des incidents de sécurité (WD)... 9 ISO/IEC Méthodologie pour l'évaluation de la sécurité informatique. 9 Par Michel ANDRE Page 2 of 9 septembre 2005

3 1. LES ACTEURS ET STRUCTURES DE FONCTIONNEMENT 1.1. Définitions ISO L' ISO (Organisation Internationale de Normalisation ou Intenational Organisation for Standardization) est une fédération mondiale d'organismes nationaux de normalisation de quelque 140 pays, à raison d'un organisme par pays. L'ISO, en dehors de son secrétariat central à Genève, n'existe donc que par les structures nationales existant dans chaque pays adhérent à l'omc. Norme (ISO) Les normes sont des accords documentés contenant des spécifications techniques ou autres critères précis destinés à être utilisés systématiquement en tant que règles, lignes directrices ou définitions de caractéristiques pour assurer que des matériaux, produits, processus et services sont aptes à leur emploi. Les normes sont aussi définies de manière plus succincte : Une norme est un document de référence basée sur consensus couvrant un large intérêt industriel et basée sur un processus volontaire. Norme (Union Européenne).."la spécification technique approuvée par un organisme reconnu à l'activité normative pour application répétée ou continue, dont l'observation n'est pas obligatoire " (87/95/CEE: Décision du Conseil du 22 décembre 1986 relative à la normalisation dans le domaine des technologies de l'information et des télécommunications, ) La certification La certification est l'assurance écrite d'un organisme certificateur indépendant et impartial qui atteste que votre produit ou service est conforme à des exigences fixées par un référentiel. (AFNOR) 1.2. Les objectifs de la normalisation L'existence de normes non harmonisées pour des technologies semblables, dans des pays ou des régions différents, peut contribuer à ce que l'on appelle des " obstacles techniques au commerce ". Les industries tournées vers l'exportation ont depuis longtemps senti la nécessité de s'accorder sur des normes mondiales pour aider à rationaliser le processus des échanges internationaux. C'est cet objectif, justement, qui a présidé à la création de l'iso. Sur le plan international, les principaux objectifs sont : Avancée de la libéralisation du commerce dans le monde Interpénétration des secteurs industriels Systèmes de communication à l'échelle mondiale Normes mondiales pour les technologies naissantes Pays en développement Par Michel ANDRE Page 3 of 9 septembre 2005

4 Le but est de faciliter le commerce, les échanges et le transfert des technologies en renforçant: la qualité et la fiabilité des produits à des coûts raisonnables, la santé, la sécurité et la protection de l'environnement ainsi que la diminution des déchets, la compatibilité et l'interopérabilité des biens et des services, la simplification en vue d'une capacité d'utilisation accrue, la réduction du nombre de modèles, la production de séries plus grandes et, par conséquent, la réduction des coûts, l'efficacité en matière de distribution et la facilité de la maintenance. L'Europe a défini des objectifs complémentaires, notamment : Priorité économique Infrastructure Globale de la Société de l'information Aspects environnementaux et sociétaux Sécurité ("security and safety") Participation intensive des utilisateurs et des consommateurs (pour le secteur informatique, l'etsi a publié un rapport intéressant : "Consumer Requirements In Standards" : ) Les télécommunications (Global Information Society) et la sécurité des télécommunications. Le développement des systèmes d'information. La santé et le secteur médical; amélioration du cadre de vie des handicapés. Le commerce électronique. Cette politique relative aux normes informatiques s'insère dans le cadre de la politique générale de l'union Européenne. Quelques axes de cette politique européenne qui président à la politique de normalisation : La politique de l'environnement. Les PME comme base du tissu économique européen. La richesse multi-culturelle en tant que valeur européenne (Sommet de Corfou, Rapport Bangemann, Résolutions du Conseil, Directives et Recommandations diverses, plus particulièrement la Résolution du Conseil du 28 octobre 1999 sur le rôle de la normalisation en Europe ) 1.3. Les structures et modes de fonctionnement Pour le suivi des normes ISO relatives à la qualité et à la sécurité informatique, les principaux travaux à prendre en considération relèvent de quelques sous-comités du JTC1: SC 6 Téléinformatique SC 7 Ingénierie du logiciel et du système SC 11 Support magnétique flexible pour l'échange de données numériques SC 17 Identification des cartes et des personnes SC 25 Interconnexion des appareils de traitement de l'information SC 27 Techniques de sécurité des technologies de l'information Par Michel ANDRE Page 4 of 9 septembre 2005

5 SC 29 Codage du son, de l'image, de l'information multimédia et hypermédia SC 32 Gestion et échange de données 1.4. La certification La certification est souvent définie comme une attestation de conformité à une norme (publiée ou spécifique à une entité quelconque). Les processus de certification ISO sont gérés dans le cadre du CASCO - Comité pour l'évaluation de la conformité ( ). Ce comité publie guides et règles devant prévaloir dans les processus de certification. On notera que le JTC1 a sélectionné les normes guides ou candidates à des processus de certification. Les principales normes concernées par la certification sont : ISO/IEC 9126 IT- Génie du logiciel - Qualité des produits ISO/IEC IT- Open Systems Interconnection Conformance testing methodology and framework ISO/IEC TR IT- Interpretation of accreditation requirements ISO/IEC , "Software engineering Software measurement Functional size measurement Part 2: Conformity evaluation of software size measurement methods to ISO/IEC :1998" ISO/IEC IT - Software product evaluation ISO/IEC IT Security Evaluation Criteria ISO/IEC IT - A Framework for IT Security Assurance ISO/IEC IT - Software process assessment ISO/IEC IT Security Evaluation Methodology NB. Cette liste reprend des normes complètement ou partiellement publiées ainsi que des projets en préparation. Les processus de certification ne portent pas toujours sur toutes les parties des normes citées. En Europe, les processus de certification sont coordonnés par l'eotc (European Organisation for Conformity Assessment, anciennement European Organization for Testing and Certification, ) et par l'emas (European Eco-Management and Audit Scheme, ). L'EOTC se concentre surtout sur la "Nouvelle Approche", couvrant plus de 20 normes techniques dont la conformité est rendue obligatoire par des Directives Européennes; ces normes relèvent essentiellement de la protection physique des personnes. Par Michel ANDRE Page 5 of 9 septembre 2005

6 2. LES NORMES, OUTILS DIDACTIQUES Une large citation du bulletin de l'iso nous semble résumer tout l'intérêt pour l'enseignement (ISO Bulletin - April 2001, ) : The use of standards as education tools by Paul Makin, Chairman of ISO/TC 199, Safety of machinery ( ) This is to promote the use of standards as an integral part of the educational process. Consider the current situation. Books are still the basis of every educational course - whatever the level or type of course. Every discipline has a core of books - written by experts eminent in that topic - that are an essential part of the learning process. Consider the situation if we were able to gather together all of the best experts in a topic and get them to write the definitive book on the subject. This book would be a best-seller and its sales, high. But of course the cost would be out of the reach of any one publisher, and it is unlikely that such eminent experts would subsume their individual status. But surely that is exactly what we do when we assemble in the Working Group and write a standard. The published standard contains the distilled wisdom of the world's best experts. Therefore, we have a unique product which logically would be extremely useful in educational establishments devoted to technical subjects in the world. But the real situation is that most educational establishments - particularly those teaching vocational and advanced subjects - do not use them and, worse still, most do not realize their potential. This is as much a problem in the developed countries - which should not have any excuse - as the developing countries. ( ). Par Michel ANDRE Page 6 of 9 septembre 2005

7 3. QUELQUES NORMES INTERESSANTES ISO/IEC 7498:1988 Information processing systems - Open Systems Interconnection Cette norme définit le modèle OSI, base d'élaboration des interconnexions des systèmes informatiques. Le modèle repose sur 7 "couches" permettant de classifier les normes assurant la compatibilité des communications entre systèmes informatiques. La couche 7 est la couche applicative; les 6 autres couches sont essentiellement techniques et s'adressent essentiellement aux constructeurs et développeurs de systèmes de communication. ISO/IEC 9126 Génie du logiciel -- Qualité des produits Cette norme est la base de toute l'évaluation des logiciels. La partie 1, publiée EN 2001, reprend les définitions et les modèles de qualité des logiciels. Les autres parties, en préparation, décrivent les aspects de la qualité (qualités internes, externes et en utilisation) pour différentes caractéristiques (portabilité, maintenabilité, fonctionnalité, fiabilité, tolérance aux fautes, etc.) en précisant les métriques et méthodes d'évaluation. Depuis la parution de la partie 1 et au vu des projets pour les autres parties, il semble difficile de parler de certification de logiciel sans prendre cette norme comme référence essentielle. Pour suivre l'élaboration de cette norme, un nouveau groupe de travail a été créé dans le cadre de l'ibn, le 29 novembre Ce groupe de travail est ouvert à toutes entreprises, institutions ou personnes physiques intéressées, sous réserve de répondre aux conditions et règles de l'iso et de l'ibn. ISO/IEC Progiciels Exigences de qualité et de tests Un guide un peu ancien mais pratique pour tous ceux qui veulent acquérir des logiciels, une aide pour l'élaboration des appels d'offres et ensuite pour pouvoir comparer objectivement les produits présentés. Cette norme doit faire l'objet d'une prochaine révision. ISO/IEC Guide du management de la sécurité informatique Ce rapport technique en 5 parties est destiné au "Senior Management". Il est souvent considéré comme une des meilleures normes pour la sécurité informatique. C'est le premier ouvrage à consulter pour qui veut s'intéresser à la sécurité informatique : définitions et concepts de base, informations sur l'organisation à prévoir dans toute entreprise, plusieurs approches de gestion du risque, guide de choix des mesures de protection selon les circonstances et l'environnement, etc. A titre d'exemple citons la définition de la confidentialité : Propriété d une information de ne pas être disponible ou d être refusée à tous processus, personnes ou entités non autorisés. Cette définition est intéressante car elle associe le caractère confidentiel à l'information elle-même et non à des mesures de sécurité. Bien plus, elle suggère de définir de manière positive les entités autorisées, à l'exclusion de toutes autres. Cette approche représente une sensible amélioration par rapport à la notion traditionnelle de "secret". Par Michel ANDRE Page 7 of 9 septembre 2005

8 Les premières parties de ce rapport sont anciennes et arrivent à échéance pour leur révision périodique : La gestion du risque (différentes approches à combiner) La protection de la vie privée ou, plus précisément, la protection des données personnelles La construction des polices et des procédures de sécurité ISO/IEC Critères d'évaluation de la sécurité informatique (Critères communs) Cette norme relativement technique est fondamentale dans l'élaboration de la sécurité. Elle est issue d'un travail commun de convergence entre des travaux antérieurs ("Orange Book" du Département de la Défense américaine, ITSEC et ITSEM patronnés par les Communautés Européennes, le livre blanc de la sécurité, etc.). C'est la raison pour laquelle elle est communément appelée "Critères Communs". C'est une liste de critères précis de sécurité permettant des échelles de mesure. Ces mesures sont caractérisées de manière à permettre une évaluation objective et reproductible, quelque soit l'auditeur. Pour en faciliter l'utilisation, des niveaux de sécurité sont définis avec le niveau minimal pour chacun des critères. De plus, des listes d'exigences de sécurité, publiés sous le nom de profils de protection, permettent de définir très facilement et rapidement un niveau de sécurité pour des composants informatiques ou pour des systèmes. L'utilisation efficace de cette norme exige une formation de base et doit être complétée par une connaissance de base des normes associées ISO/IEC Guide on the production of protection profiles and security targets et Méthodologie d'évaluation de la sécurité informatique. Les travaux d'élaboration ont été financés par des fonds propres et est en distribution libre. Le texte et diverses explications peuvent être téléchargés depuis ISO/IEC Guide on the production of protection profiles Cette norme, d'audience restreinte, s'adresse aux spécialistes de sécurité désireux de rédiger et d'enregistrer un profile de protection basé sur la norme ISO Par contre, les profils déjà enregistrés peuvent servir de cadre pour des spécifications de sécurité. Quelques profils types sont directement téléchargeables depuis le site des "Critères Communs" ISO/IEC Information security management Code of practice for information security management (en "early revision") La norme BS n'est pas sans intérêt; en voici quelques éléments positifs et négatifs : La partie 1 est une bonne initiation à la sécurité. Les responsables de l'informatique y trouvent une guidance simple pour l'élaboration de la sécurité. Par Michel ANDRE Page 8 of 9 septembre 2005

9 Les définitions sont faibles et contradictoires. On se reportera donc aux définitions plus rigoureuses des normes ISO 7498 et L'ISO est un modèle basé sur les processus. Elle ne donne pas une garantie suffisante quant à la bonne sécurité des produits et résultats des traitements. Les spécialistes en sécurité abandonnent la lorsqu'ils maîtrisent l'iso La partie 2, seule utile pour les processus de certification tels qu'appliqués en Angleterre, a été abandonnée par l'iso, notamment parce que non conforme aux exigences des modèles de certification. Les auditeurs informatiques, non spécialisés en sécurité informatique y trouvent une excellente structure pour leur rapport d'audit. Malheureusement pour eux, la structure de l'iso va être modifiée. La norme ne tient pas suffisamment compte du rôle des utilisateurs de l'informatique pour définir les exigences de sécurité et assurer la gestion de cette sécurité. Elle n'est pas applicable strictement, notamment en regard de la loi belge sur la protection de la vie privée. La norme en "early revision" n'a plus le statut de norme internationale (IS). Toute association du concept de certification BS avec l'iso est donc une utilisation abusive du nom de l'iso. ISO/IEC Sécurité des réseaux (WD) Cette norme en projet a pour audience les responsables systèmes et de réseaux. Elle se veut être une guidance dans l'élaboration des architectures sécurisées. Elle vise aussi à faciliter les tâches d'élaboration des polices de sécurité des réseaux. ISO/IEC Gestion des incidents de sécurité (WD) Ce projet encore peu élaboré vise à aider les institutions à se construire une structure de maîtrise et de réaction aux incidents de sécurité. Elle approche des processus qui touchent à tous les organes de l'entreprise concernés par l'informatique. ISO/IEC Méthodologie pour l'évaluation de la sécurité informatique Cette norme prévue pour une prochaine publication s'adresse aux auditeurs. Par Michel ANDRE Page 9 of 9 septembre 2005