Jean-ierre Lacombe Animateur Afnor CN SSI GE1-2 anorama de l avancement des travaux normatifs en matière de SSI Nouveaux thèmes de prospection www.fidens.fr jean-pierre.lacombe@fidens.fr
Travaux normatifs en matière de SSI! GE1 «Besoins généraux et méthodes» " Code de bonne pratique " Système de gestion de la sécurité de l information " Gestion de la sécurité / Gestion des risques " Sécurité réseau! GE2 «Techniques et mécanismes de sécurité»! GE3 «Critères d évaluation» " Critères communs " Security requirements for crypto modules " Security assessment of operational system
GE1 : ISO 17799 Fast track BS BS 7799 7799 ISO ISO 17799 17799 art art 1 ISO 17799 : Code de bonne pratique pour la gestion de la sécurité Recommandations pour mieux gérer la sécurité de l information Base commune de références, reconnue.mais pas une base de certification
GE1 : ISO 17799! ISO 17799 : base d élaboration de lignes directrices " olitique de sécurité " Organisation " Classification et contrôle des actifs " Sécurité du personnel " Sécurité physique, sécurité de l environnement " Gestion des communications et des opérations " Contrôle des accès " Développement et maintenance des systèmes " Gestion de la continuité des activités de l entreprise " Conformité Intérêts : #check list # comparaison des pratiques des entreprises
GE1 : ISMS ISMS Nouveau sujet de travail : Information Security Management System BS BS 7799-2 7799-2 Quèsaco? «ISO guide 72» Management System : système pour établir la politique et les objectifs, et pour atteindre ces objectifs (organisation, processus et ressources, méthode d évaluation de l atteinte des objectifs)
GE1 : ISMS! BS 7799-2 «IS Management art 2 : Specification for IS Management systems» " Objectif : Juger de la capacité des organisations à répondre aux besoins de sécurité " Identifie l ensemble des actions à réaliser sur chaque phase " Modèle DCA " lan : établir les objectifs conformément aux risques / exigences (correspondances objectifs / lignes directrices ISO 17799) " Do : implémenter et opérer les fonctionnalités et procédures " Check : gérer les incidents, les erreurs, auditer " Act : faire évoluer la politique et les moyens conformément aux besoins
GE1 : des GMITS à MICTS Rapport technique : Guidelines for the management of IT Security (13335) GMITS GMITS art art 1 à art art 5 MICTS MICTS art art 1 et et art art 2 GMITS GMITS art art 4 à art art 5 Standard International : Management of Information and Communications Technology Security art 1 : Concept and Models art 2 : Techniques for Information and Communications Technology Security risks
MICTS artie 2 High level risk assessment vs Detailed risk assessment Eléments sensibles Caractéristiques Menaces Vraisemblance Vulnérabilité des entités Faisabilité des menaces Impact Risques à retenir en priorité
GE1 : Sécurité réseau! Sécurité réseau (rapports techniques) Concepts / Besoins de sécurité / Techniques / Orientations en terme de solutions et de configuration " Security communications between networks using security gateways " Guidelines for the implementation, operation and management of Intrusion Detection Systems " Information security incident management " Securing remote access Base en terme de mode opératoire et de fonctionnalités pour les projets présentés ce matin Base de la partie «do» dans ISMS?
GE1 : Supports de ISMS ISMS ISO 17799 Bonnes pratiques IT Network security MICTS art 1 Concepts MICTS art 2 Analyse de Risques
GE2 : Techniques et mécanismes de sécurité! Sujets en révision "Non répudiation, authentification, modes opératoires des algorithmes de chiffrement,! Nouveaux sujets " Normalisation des algorithmes de chiffrement "Techniques asymétriques " Techniques symétriques (block cipher, stream cipher) " Générateur de pseudo alea et nombres premiers " Services d horodatage "Signature
Nouveaux thèmes nationaux! Thèmes de prospection français " En cours : reuve électronique "A venir : $ olitique d horodatage "Besoin important (archivage, preuve électronique, ) "Base ETSI % olitique de certification?
Un constat! Vers une reconnaissance des standards de sécurité "Critères communs, " ISO 17799, ISMS, Analyse de risques "Module cryptologique, " Techniques de chiffrement "reuve électronique "olitique d horodatage, Standard spécialisé à impact limité (outils) Standard répondant à des besoins du marché