1

Audit et Sécuritédes Systèmes d'Information

Journée DCSSI-AFNOR 27/03/2003

La normalisation au service de la sécurité de l'information

En route vers une culture de la sécurité ?

Lionel VodzislawskyPrésident de la CNSSIlionel_vodzislawsky@ernst-young.fr

Journée DCSSI-AFNOR 27/03/20032

Vers une culture de la sécurité…Vers une culture de la sécurité…Lignes directrices de l'OCDE de 07/2002

• Lignes directrices régissant la sécurité des systèmes et réseauxd'information, vers une culture de la sécurité

• Définition de 9 principes liés au management de la sécurité de l'information

– Sensibilisation– Responsabilité– Réaction– Ethique– Démocratie– Evaluation des risques– Conception et mise en œuvre de la sécurité– Gestion de la sécurité– Réévaluation

Journée DCSSI-AFNOR 27/03/20033

Vers une culture de la sécurité…Vers une culture de la sécurité…Résolution du Conseil de l'UE du 18/02/2003

• Résolution relative à une approche européenne axée sur une culture de la sécurité des réseaux et de l'information

– Prend en compte les lignes directrices de l'OCDE• Invite les Etats Membres

– A promouvoir la sécurité– A offrir un enseignement et une formation adaptés– A prendre des mesures pour éviter et faire face aux incidents– A encourager les coopérations et partenariats pour la fourniture de produits et

services sûrs– A promouvoir la mise au point de normes reconnues

• Invite les entreprises et les utilisateurs– A prendre en compte la gestion globale des risques en matière de sécurité– A entamer un dialogue avec les gouvernements pour le développement d'une

culture de la sécurité

Journée DCSSI-AFNOR 27/03/20034

National Strategy to Secure CyberspaceNational Strategy to Secure Cyberspace"The cornerstone of America’s cyberspace security strategy is and will remain a public-private partnership. The federal governmentinvites the creation of, and participation in, public-private partnerships to implement this strategy. Only by acting together can we build a more secure future in cyberspace."Février 2003

Stratégie autour de 5 priorités• National Cyberspace Security Response System• National Cyberspace Security Threat and Vulnerability Reduction Program• National Cyberspace Security Awareness and Training Program• Securing Governments' Cyberspace• National Security and International Cyberspace Security Cooperation

Journée DCSSI-AFNOR 27/03/20035

Développement d'une culture de la sécurité en FranceDéveloppement d'une culture de la sécurité en FranceEn France, encore plus que dans d'autres pays, des partenariats public-privé sont indispensables

• Poids de l'Etat dans l'activité économique• Taille du marché

L'AFNOR peut et doit jouer un rôle majeur dans le développement d'une telle culture

• Mise à disposition d'outils adaptés– Méthodologies, mécanismes, critères, bonnes pratiques

• Forum d'échange public-privé• Information et formation

Journée DCSSI-AFNOR 27/03/20036

L'organisation de la normalisation en SSIL'organisation de la normalisation en SSI

ISO IEC AFNOR

International France

JTC1

SC27

WG1WG2WG3

CGTI

CN SSI

GE1-2GE3

Journée DCSSI-AFNOR 27/03/20037

La CN SSI / DomaineLa CN SSI / DomaineDomaine large

• Des algorithmes de cryptographie à l'organisation et au management de la sécuritéMiroir du JTC1/SC27Forum d'information et de suivi d'autres travaux

• Clusif, AFAI, FNTC• EESSI, CEN, ETSI, IETF

! Elaboration et défense des positions françaises à l'ISO (SC27 et WG)• Devenir proactif et pas seulement réactif

! Rôle transversal de coordination! Elaboration de normes, rapports techniques, référentiels, etc., en fonctiondes besoins

• Portés à l'international lorsque nécessaire

Journée DCSSI-AFNOR 27/03/20038

La CN SSI / DispositifLa CN SSI / DispositifPrésidence "par intérim" pendant 3 ans

2 GE• Besoins généraux/méthodes et Techniques/mécanismes de sécurité• Critères d'évaluation de la sécurité

Un Groupe Conseil• Président / Vice-président (alternance), animateurs des GE, AFNOR

Des groupes ad'hoc• Qualité de la confiance (2002)• Preuves électroniques (2003)

Journée DCSSI-AFNOR 27/03/20039

La CN SSI / DispositifLa CN SSI / DispositifLiaisons autres CG/CN

• CG Banque (CN2, CN6)• CG CSA• GE SSI Santé

Actions de promotion et de formation• Programme de travail 2002-2003• Journée signature électronique, Journée DCSSI• Stage SSI, Dires d'Expert MSI

Journée DCSSI-AFNOR 27/03/200310

ConclusionConclusionL'efficacité de la CN SSI ne dépend QUE de l'implication de ses acteurs

• Entreprises privées (fournisseurs de produits et de services, utilisateurs (RSSI), etc.)

• Pouvoirs publics (DCSSI, Ministère de l'Industrie, …)• AFNOR

Sur un certain nombre de sujets clés, c'est dans les mois qui viennent que des orientations importantes vont être arrêtés

• Management de la sécurité de l'information• Critères d'évaluation de solutions cryptographiques, biométriques, etc.• Preuves électroniques

! Le Groupe Conseil est à votre disposition pour répondre à vos questions et orienter les travaux vers vos attentes