Réunion du 6 septembre 2018 - Club EBIOS · Réunion du SC 27 à Wuhan Réunion plénière tenue...

Réunion du 6 septembre 2018

Normalisation de la sécurité de l’information

Réunion du SC 27 à Wuhan

Réunion plénière tenue à Wuhan (Chine) du 16 au 24 avril 2018. 21 représentants français présents, ce qui est une des plus fortes participations.

Prochaines réunions du SC 27 :

Norvège, technique, 1 au 5 octobre 2018 à Gjovik,

Israël, plénier, printemps 2019, probablement à Tel Aviv. Il est à noter que le lieu retenu initialement était la Corée du Sud. Finalement, comme pour la réunion prévue en Crète et qui s’est tenue à Berlin, le lieu a changé.

France, technique, automne 2019, Paris, dates à préciser. L’organisation n’est pas évidente et l’AFNOR cherche des sponsors.

2 P. Richy – F. Zamora

Normes du WG 1

IS 27001 : les questions posées lors de la réunion de Berlin

(SoA, Annexe A, Annexe SL) n’ont pas eu de réponse claire. On

s’oriente vers une révision dont les principes seront discutés à

Gjovik en octobre 2018.

IS 27002 : La révision commence suite aux décisions prises à

Berlin. Le rapporteur de la « Revision Design Specs » est

Sabrina Feng (UK). A Wuhan, Alia Fourati (FR) et Veronica

Marinelli (AR) sont approuvées co-éditrices. 4 thèmes de

mesures de sécurité sont retenus (Organisation, Personnel,

Physique, Technologique). La structure d’une mesure se

compose désormais de 6 champs (Thème, Texte du thème,

Mesure, Texte de la mesure, But (nouveau champ), Conseils).

Le calendrier envisagé aboutit à un FDIS en mars 2021.

3 P. Richy - F. Zamora

Normes du WG 1

IS 27005 (Information security risk management) : La nouvelle

version de l’ISO/IEC 27005 est parue en juillet 2018. Le

document résultant de la Study Period aura un statut de WD

pour la 4ème édition.

Une directive éditoriale de l’ISO, présentée à Wuhan, conduit à

des impacts dès l’édition de 2018 (parue) et s’applique aussi

dans la durée sur les révisions à venir des normes 27001,

27002, 27003, 27004, 27011 et 27014.

Un WD initial fin 2018 entraîne qu’il n’y aura pas de version

substantiellement nouvelle avant fin 2021 – début 2022.


Normes du WG 1

IS 27009 (Sector-specific application of ISO/IEC 27001 –

Requirements) porte sur l’extension du champ de la certification

27001. Une nouvelle version est parue, avec révision précoce.

Conformément au calendrier proposé à Berlin, le CD entre en

étape de vote à l’issue de la réunion de Wuhan.

On rappelle que le calendrier retenu fait aboutir le projet de

norme en avril 2020 (WD à Berlin, CD pour Wuhan, DIS en

avril 2019).


Normes du WG 1 IS 27014 (Governance of Information Security)

Le document est entré en révision à Berlin. Examen des

commentaires sur le WD1.

NWIP 27102 (Guidelines for cyberinsurance) : ce document est une

proposition britannique.

WD2 à Wuhan, il a été décidé de restructurer le document.

IWA 17 (International Workshop Agreement de la WLA – World Lottery

Association)

Le sujet était en débat depuis Berlin. La question était de savoir si cet

accord était supprimé, maintenu ou en révision. Il a été décidé de le

maintenir jusqu’à sa fin de vie en décembre 2020. Une Study Period est

lancée sur les suites à donner. François Zamora fait partie des

rapporteurs.


Normes du WG 1

NWIP 27101 (Cybersecurity Framework Development Guidelines)

Ce document vise à définir un cadre pour la cybersécurité en lien avec

27001 et 27032. Il est convenu d’ajouter une définition de

« cybersecurity framework » et de clarifier la relation entre un

« cybersecurity framework » et un ISMS.

François Zamora est co-éditeur, avec un Américain et un

Luxembourgeois

Par ailleurs, une Study Period sur « Cybersecurity overview and concepts »

aboutit à un NWIP pour un TS sur « Cybersecurity – overview and

concepts »


Normes du WG 2 Environ 15 National Bodies présents et 50 experts, soit une baisse assez nette par rapport à Berlin. Une seule représentante du NIST (Lily Chen) sur place, les autres intervenant par Skype.

IS 18032 (Prime number generation)

En cours de révision, texte en CD édité par N. Gajcowski (US) non présent.

A Berlin, le texte a été laissé en CD et un appel à contributions sur des suggestions de fond a été lancé. A Wuhan, le texte entre en « preliminary » CD2. Accord pour une meilleure vérification des algorithmes spécifiés. Consensus pour passer en CD2.

IS 18033 (Encryption algorithms)

Part 6 Homomorphic Encryption

Vote DIS en cours.


Normes du WG 2

IS 29192 (Lightweight cryptography)

Part 2 Block ciphers (Simon/Speck)

Il s’est agi du projet le plus clivant actuellement au WG2. Objectif :

inclusion des blockciphers Simon et Speck par les US. Les éditeurs sont

Louis Wingers et Doug Shors de la NSA.

De fortes tensions à Berlin, particulièrement entre USA et Israël, ont

conduit lors de la réunion de Wuhan à un abandon de Simon & Speck

après un vote en WG 2 (8 contre, 4 pour et 4 abstentions) suivi d’un

vote définitif en plénier.

Mais, liaison avec SC 31/WG 4 (Automatic identification and data capture

Techniques – WG 4 Radio communications – Secrétariat ANSI) : Simon

et Speck sont en FDIS chez eux.


Normes du WG 2

Standing Document 8 Post Quantum cryptography

Il fait suite à une Study Period, Lily Chen reste éditrice. Il n’y a pas eu

de session d’édition à Wuhan. Un draft est prévu pour août.

Par ailleurs, l’inclusion de Skinny (publié depuis seulement 2 ans) et de

Deoxys-BC dans la 29192 (Lightweight cryptography) pose la question

d’intégrer les « tweakable blockciphers » dans cette catégorie. Cela

conduit aussi à créer une nouvelle partie dans la 18033 (Encryption

algorithms) pour cette catégorie.


Normes du WG 3

Très forte affluence, plus de 50 délégués : un record, dont

France (7 délégués). Travail de coordination impressionnant

de Fiona Pattinson.

IS 15408 (Evaluation criteria for IT security - version norme

des Critères Communs)

Part 1 - Introduction and general model,

Part 2 Security functional components,

Part 3 Security assurance components,

Part 4 Framework for the specification of evaluation,

Part 5 Pre-defined packages of security requirements.

Passage en CD1 ou en WD3 ? Finalement, passage en CD mais des

ajustements essentiels restent nécessaires.


Normes du WG 4

IS 20547 Big Data reference architecture Part 4 Security and

privacy

Standard portant sur les écosystèmes

IS 27030 Guidelines for security and privacy in Internet of Things

(IoT)

NWI approuvé.

IS 27031 (Guidelines for ICT readiness for business continuity) est

entrée en révision.

La révision a été lancée à Berlin. Finalement, Brian Cusack (NZ) est

éditeurs et les 2 co-éditeurs sont Alain De Greve (BE) et Thierry

Maxime (FR). Seul ce dernier était présent à Wuhan. Le passage en

WD2 est validé.


Normes du WG 4

Une dizaine de Study Periods sont en cours au WG4,

notamment :

Study Period on IoT security and privacy domotics

12 mois, éditeurs Qiu Q, Luc Poulin, Mahmoud Gaddar, lien avec SC 41.

Study Period on Big Data security capability maturity model

Study Period lancée pour 12 mois, dont les rapporteurs sont Kepeng Li

(CN) et Luc Poulin (CA). Une discussion commune serait souhaitable

entre WG4 et WG5.

Study Period on Guidelines for Security in IoT

Terminée.

Noter les interactions réelles ou potentielles avec le WG 5


Compléments TC 292 TC 292 Security and resilience – Créé en 2014 – 29 normes – 46 pays - Asa Kyrk Gere – Suède – 6 GE

GE1 (continuité et résilience) IS 22301 BCMS – Exigences - CD2 IS 22313 BCMS – Bonnes pratiques - WD NWIP 22370 Résilience urbaine CEN TC 391 TS 17091Crisis management Traductions souhaitées : 22300, 22301, 22313, 22318, 22330, 22331

GE 4 (fraude et anti-contrefaçon) IS 22381 Guidelines for establishing interoperability among object identification systems Notion de CEV – Cachet Electronique Visible IS 22382 Guidelines…for excise tax stamps Notion de CEV GE 5 (Services de sécurité) PWI 23110 Management de la sûreté Australie/France

Par ailleurs, révision et transposition de l’IS 2800x (Supply chain) issue du TC 68 (Transport maritime)


Compléments SC 41 JTC 1 SC 41 Internet of Things and related technologies – Créé en 2017 – 17 normes – 25 pays – Géré avec (par) la CEI – Corée du Sud – François Coallier – GE 3, 4 et 5

GE3 IoT Architecture IS 20924 Vocabulary IS 30141 IoT Reference architecture IS 30147 Methodology for implementing and maintaining Trustworthiness of IoT systems and services GE 4 IoT Interoperability IS 28123 Interoperability for IoT systems – P1 Framework, P2 Transport interoperability, P3 Semantic interoperability GE 5 IoT Applications IS 30142 Underwater acoustic sensor network – Network management system – Overview and requirements (30143 – Application profiles) IS 30144 Wireless sensor network system supporting electrical power substation Noter aussi AG 6 (Advisory Group 6) et plusieurs Ad Hoc Groups dont 7 (SG on Wearables), 14 (Business plan) et 18 (SG on Integration of IoT and Blockchain)


Compléments SC 42 JTC 1 SC 42 Artificial intelligence – Créé en 2017 – 2 normes –

20 pays – ANSI (USA) – Mme Heather Benko – 3 SG, 1WG

SG 1 Computational approaches and charasteristics of artificial

intelligence systems

SG 2 Trustworthiness

SG 3 Use cases and applications

WG 3 Foundational standards

Le domaine « Big Data », antérieurement au WG 9 du JTC 1, a été attribué

au SC 42.


Compléments TC 307

TC 307 Blockchain and distributed ledger technologies – Créé en 2017 – 10 normes – 37 pays – Australie – Craig Dunn – 3 SG – 4 WG

SG 2 Use cases SG 6 Governance of blockchain and distributed ledger systems SG 7 Interoperability of blockchain and distributed ledger systems

WG 1 Foundations WG 2 Security, privacy and identity WG 3 Smart contracts and their applications WG 4 Joint TC 307 and SC 27 WG


Compléments TC 309

TC 309 Governance of organizations – Créé en 2016 – 2

normes – 47 pays – BSI (UK) – Mike Hennigan

WG 1 Guidance for the governance of organizations

WG 2 Anti-bribery management systems (ISO 37001:2016)

WG 3 Whistleblowing


Compléments JTC 13 CEN/CLC/JTC 13 Cybersecurity and data protection – Créé en 2018 – Allemagne – Walter Fumy – 6 WG WG 1 Chair advisory group (Jean-Pierre Quémard) WG 2 Cybersecurity managtement systems WG 3 Security evaluation and assessment (Candidature Philippe Magnabosco ANSSI) WG 4 Cybersecurity services WG 5 Data protection, Privacy and Identity Management WG 6 Product security (candidature Mahmoud Ghaddar)

Le JTC 13 a, entre autres, pour mission de reprendre au niveau européen des normes de la famille ISO/IEC 270xx. Sa structure est d’ailleurs en grande partie analogue à celle du SC 27. Le WG 2 du SC 27 (crypto) n’est pas repris dans le JTC 13.


Compléments PC 317

ISO PC 317 - Consumer protection : privacy by design for

consumer goods and services – créé en 2018 – BSI (UK) - 1

norme

NP 23485 – Consumer protection – privacy by design for

consumer goods and services

Un ISO PC est une structure transitoire permettant d’établir un

document normatif. Selon le cas, ce document peut ensuite être

affecté à un TC existant, entraîner la création d’un nouveau TC ou

même ne pas avoir de suite.


Merci

P. Richy - F. Zamora 21

Annexe

P. Richy - F. Zamora[at]club-ebios.org 22

Source : ISO/IEC directives - Supplement JTC12017

P. Richy - F. Zamora[at]club-ebios.org 23 Source : ISO/IEC directives - Supplement JTC12017

Réunion du 6 septembre 2018 - Club EBIOS · Réunion du SC 27 à Wuhan Réunion plénière tenue...

Documents

Transcript of Réunion du 6 septembre 2018 - Club EBIOS · Réunion du SC 27 à Wuhan Réunion plénière tenue...