1
Audit et Sécuritédes Systèmes d'Information
Journée DCSSI-AFNOR 27/03/2003
La normalisation au service de la sécurité de l'information
En route vers une culture de la sécurité ?
Lionel VodzislawskyPrésident de la [email protected]
Journée DCSSI-AFNOR 27/03/20032
Vers une culture de la sécurité…Vers une culture de la sécurité…Lignes directrices de l'OCDE de 07/2002
• Lignes directrices régissant la sécurité des systèmes et réseauxd'information, vers une culture de la sécurité
• Définition de 9 principes liés au management de la sécurité de l'information
– Sensibilisation– Responsabilité– Réaction– Ethique– Démocratie– Evaluation des risques– Conception et mise en œuvre de la sécurité– Gestion de la sécurité– Réévaluation
Journée DCSSI-AFNOR 27/03/20033
Vers une culture de la sécurité…Vers une culture de la sécurité…Résolution du Conseil de l'UE du 18/02/2003
• Résolution relative à une approche européenne axée sur une culture de la sécurité des réseaux et de l'information
– Prend en compte les lignes directrices de l'OCDE• Invite les Etats Membres
– A promouvoir la sécurité– A offrir un enseignement et une formation adaptés– A prendre des mesures pour éviter et faire face aux incidents– A encourager les coopérations et partenariats pour la fourniture de produits et
services sûrs– A promouvoir la mise au point de normes reconnues
• Invite les entreprises et les utilisateurs– A prendre en compte la gestion globale des risques en matière de sécurité– A entamer un dialogue avec les gouvernements pour le développement d'une
culture de la sécurité
Journée DCSSI-AFNOR 27/03/20034
National Strategy to Secure CyberspaceNational Strategy to Secure Cyberspace"The cornerstone of America’s cyberspace security strategy is and will remain a public-private partnership. The federal governmentinvites the creation of, and participation in, public-private partnerships to implement this strategy. Only by acting together can we build a more secure future in cyberspace."Février 2003
Stratégie autour de 5 priorités• National Cyberspace Security Response System• National Cyberspace Security Threat and Vulnerability Reduction Program• National Cyberspace Security Awareness and Training Program• Securing Governments' Cyberspace• National Security and International Cyberspace Security Cooperation
Journée DCSSI-AFNOR 27/03/20035
Développement d'une culture de la sécurité en FranceDéveloppement d'une culture de la sécurité en FranceEn France, encore plus que dans d'autres pays, des partenariats public-privé sont indispensables
• Poids de l'Etat dans l'activité économique• Taille du marché
L'AFNOR peut et doit jouer un rôle majeur dans le développement d'une telle culture
• Mise à disposition d'outils adaptés– Méthodologies, mécanismes, critères, bonnes pratiques
• Forum d'échange public-privé• Information et formation
Journée DCSSI-AFNOR 27/03/20036
L'organisation de la normalisation en SSIL'organisation de la normalisation en SSI
ISO IEC AFNOR
International France
JTC1
SC27
WG1WG2WG3
CGTI
CN SSI
GE1-2GE3
Journée DCSSI-AFNOR 27/03/20037
La CN SSI / DomaineLa CN SSI / DomaineDomaine large
• Des algorithmes de cryptographie à l'organisation et au management de la sécuritéMiroir du JTC1/SC27Forum d'information et de suivi d'autres travaux
• Clusif, AFAI, FNTC• EESSI, CEN, ETSI, IETF
! Elaboration et défense des positions françaises à l'ISO (SC27 et WG)• Devenir proactif et pas seulement réactif
! Rôle transversal de coordination! Elaboration de normes, rapports techniques, référentiels, etc., en fonctiondes besoins
• Portés à l'international lorsque nécessaire
Journée DCSSI-AFNOR 27/03/20038
La CN SSI / DispositifLa CN SSI / DispositifPrésidence "par intérim" pendant 3 ans
2 GE• Besoins généraux/méthodes et Techniques/mécanismes de sécurité• Critères d'évaluation de la sécurité
Un Groupe Conseil• Président / Vice-président (alternance), animateurs des GE, AFNOR
Des groupes ad'hoc• Qualité de la confiance (2002)• Preuves électroniques (2003)
Journée DCSSI-AFNOR 27/03/20039
La CN SSI / DispositifLa CN SSI / DispositifLiaisons autres CG/CN
• CG Banque (CN2, CN6)• CG CSA• GE SSI Santé
Actions de promotion et de formation• Programme de travail 2002-2003• Journée signature électronique, Journée DCSSI• Stage SSI, Dires d'Expert MSI
Journée DCSSI-AFNOR 27/03/200310
ConclusionConclusionL'efficacité de la CN SSI ne dépend QUE de l'implication de ses acteurs
• Entreprises privées (fournisseurs de produits et de services, utilisateurs (RSSI), etc.)
• Pouvoirs publics (DCSSI, Ministère de l'Industrie, …)• AFNOR
Sur un certain nombre de sujets clés, c'est dans les mois qui viennent que des orientations importantes vont être arrêtés
• Management de la sécurité de l'information• Critères d'évaluation de solutions cryptographiques, biométriques, etc.• Preuves électroniques
! Le Groupe Conseil est à votre disposition pour répondre à vos questions et orienter les travaux vers vos attentes
Top Related