LIVRE BLANC

L'APPORT DES NORMES

DANS LE DOMAINE INFORMATIQUE
ET DE LA SECURITE INFORMATIQUE

<< ETUDE >>

Par Michel ANDRE

Septembre 2005
 Overview Normes ISO – IT Information Technology & IT Security

TABLE DES MATIERES

1. LES ACTEURS ET STRUCTURES DE FONCTIONNEMENT ............................... 3

1.1. DEFINITIONS ................................................................................................... 3
1.2. LES OBJECTIFS DE LA NORMALISATION ............................................................. 3
1.3. LES STRUCTURES ET MODES DE FONCTIONNEMENT ........................................... 4
1.4. LA CERTIFICATION .......................................................................................... 5
2. LES NORMES, OUTILS DIDACTIQUES................................................................ 6

3. QUELQUES NORMES INTERESSANTES ............................................................ 7

ISO/IEC 7498:1988 Information processing systems - Open Systems
Interconnection................................................................................................... 7
ISO/IEC 9126 Génie du logiciel -- Qualité des produits.................................. 7
ISO/IEC 12119 Progiciels – Exigences de qualité et de tests ......................... 7
ISO/IEC 13335 Guide du management de la sécurité informatique ............... 7
ISO/IEC 15408 Critères d'évaluation de la sécurité informatique (Critères
communs) ........................................................................................................... 8
ISO/IEC 15446 Guide on the production of protection profiles ...................... 8
ISO/IEC 17799 Information security management — Code of practice for
information security management (en "early revision") ................................. 8
ISO/IEC 18028 Sécurité des réseaux (WD) ...................................................... 9
ISO/IEC 18044 Gestion des incidents de sécurité (WD) .................................. 9
ISO/IEC 18045 Méthodologie pour l'évaluation de la sécurité informatique . 9

Par Michel ANDRE Page 2 of 9 septembre 2005

 Overview Normes ISO – IT Information Technology & IT Security

1. LES ACTEURS ET STRUCTURES DE FONCTIONNEMENT

1.1. Définitions

ISO
L' ISO (Organisation Internationale de Normalisation ou Intenational Organisation for
Standardization) est une fédération mondiale d'organismes nationaux de
normalisation de quelque 140 pays, à raison d'un organisme par pays.
L'ISO, en dehors de son secrétariat central à Genève, n'existe donc que par les
structures nationales existant dans chaque pays adhérent à l'OMC.

Norme (ISO)
Les normes sont des accords documentés contenant des spécifications techniques
ou autres critères précis destinés à être utilisés systématiquement en tant que règles,
lignes directrices ou définitions de caractéristiques pour assurer que des matériaux,
produits, processus et services sont aptes à leur emploi.
Les normes sont aussi définies de manière plus succincte :
Une norme est un document de référence basée sur consensus couvrant un large
intérêt industriel et basée sur un processus volontaire.

Norme (Union Européenne)

.."la spécification technique approuvée par un organisme reconnu à l'activité
normative pour application répétée ou continue, dont l'observation n'est pas
obligatoire…"
(87/95/CEE: Décision du Conseil du 22 décembre 1986 relative à la normalisation
dans le domaine des technologies de l'information et des télécommunications,
http://europa.eu.int/eur-lex/fr/lif/dat/1987/fr_387D0095.html )

La certification
La certification est l'assurance écrite d'un organisme certificateur indépendant et
impartial qui atteste que votre produit ou service est conforme à des exigences fixées
par un référentiel. (AFNOR)

1.2. Les objectifs de la normalisation

L'existence de normes non harmonisées pour des technologies semblables, dans
des pays ou des régions différents, peut contribuer à ce que l'on appelle des "
obstacles techniques au commerce ". Les industries tournées vers l'exportation ont
depuis longtemps senti la nécessité de s'accorder sur des normes mondiales pour
aider à rationaliser le processus des échanges internationaux. C'est cet objectif,
justement, qui a présidé à la création de l'ISO.

Sur le plan international, les principaux objectifs sont :

Avancée de la libéralisation du commerce dans le monde
Interpénétration des secteurs industriels
Systèmes de communication à l'échelle mondiale
Normes mondiales pour les technologies naissantes
Pays en développement

Par Michel ANDRE Page 3 of 9 septembre 2005

 Overview Normes ISO – IT Information Technology & IT Security

Le but est de faciliter le commerce, les échanges et le transfert des technologies en

renforçant:
la qualité et la fiabilité des produits à des coûts raisonnables,
la santé, la sécurité et la protection de l'environnement ainsi que la
diminution des déchets,
la compatibilité et l'interopérabilité des biens et des services,
la simplification en vue d'une capacité d'utilisation accrue,
la réduction du nombre de modèles, la production de séries plus grandes et,
par conséquent, la réduction des coûts,
l'efficacité en matière de distribution et la facilité de la maintenance.

L'Europe a défini des objectifs complémentaires, notamment :

Priorité économique
Infrastructure Globale de la Société de l'Information
Aspects environnementaux et sociétaux
Sécurité ("security and safety")
Participation intensive des utilisateurs et des consommateurs (pour le
secteur informatique, l'ETSI a publié un rapport intéressant : "Consumer
Requirements In Standards" :
http://www.ict.etsi.fr/activities/consumers/INDEX.htm )
Les télécommunications (Global Information Society) et la sécurité des
télécommunications.
Le développement des systèmes d'information.
La santé et le secteur médical; amélioration du cadre de vie des
handicapés.
Le commerce électronique.

Cette politique relative aux normes informatiques s'insère dans le cadre de la

politique générale de l'Union Européenne. Quelques axes de cette politique
européenne qui président à la politique de normalisation :
La politique de l'environnement.
Les PME comme base du tissu économique européen.
La richesse multi-culturelle en tant que valeur européenne
(Sommet de Corfou, Rapport Bangemann, Résolutions du Conseil, Directives et
Recommandations diverses, plus particulièrement la Résolution du Conseil du 28
octobre 1999 sur le rôle de la normalisation en Europe
http://europa.eu.int/eur-lex/fr/lif/dat/2000/fr_300Y0519_01.html )

1.3. Les structures et modes de fonctionnement

Pour le suivi des normes ISO relatives à la qualité et à la sécurité informatique, les
principaux travaux à prendre en considération relèvent de quelques sous-comités du
JTC1:
SC 6 Téléinformatique
SC 7 Ingénierie du logiciel et du système
SC 11 Support magnétique flexible pour l'échange de données numériques
SC 17 Identification des cartes et des personnes
SC 25 Interconnexion des appareils de traitement de l'information
SC 27 Techniques de sécurité des technologies de l'information

Par Michel ANDRE Page 4 of 9 septembre 2005

 Overview Normes ISO – IT Information Technology & IT Security

SC 29 Codage du son, de l'image, de l'information multimédia et

hypermédia
SC 32 Gestion et échange de données

1.4. La certification
La certification est souvent définie comme une attestation de conformité à une norme
(publiée ou spécifique à une entité quelconque).

Les processus de certification ISO sont gérés dans le cadre du CASCO - Comité
pour l'évaluation de la conformité
(http://www.iso.ch/iso/fr/aboutiso/isostructure/CASCO.html ). Ce comité publie guides
et règles devant prévaloir dans les processus de certification.

On notera que le JTC1 a sélectionné les normes guides ou candidates à des

processus de certification.
Les principales normes concernées par la certification sont :
ISO/IEC 9126 – IT- Génie du logiciel - Qualité des produits
ISO/IEC 9646 - IT- Open Systems Interconnection – Conformance testing
methodology and framework
ISO/IEC TR 13233 - IT- Interpretation of accreditation requirements
ISO/IEC 14143-2, "Software engineering — Software measurement —
Functional size measurement — Part 2: Conformity evaluation of software
size measurement methods to ISO/IEC 14143-1:1998"
ISO/IEC 14598 - IT - Software product evaluation
ISO/IEC 15408 – IT – Security Evaluation Criteria
ISO/IEC 15443 – IT - A Framework for IT Security Assurance
ISO/IEC 15504 - IT - Software process assessment
ISO/IEC 18045 – IT – Security Evaluation Methodology

NB. Cette liste reprend des normes complètement ou partiellement publiées ainsi
que des projets en préparation. Les processus de certification ne portent pas
toujours sur toutes les parties des normes citées.

En Europe, les processus de certification sont coordonnés par l'EOTC (European

Organisation for Conformity Assessment, anciennement European Organization for
Testing and Certification, www.eotc.be ) et par l'EMAS (European Eco-Management
and Audit Scheme, http://europa.eu.int/comm/environment/emas/ ). L'EOTC se
concentre surtout sur la "Nouvelle Approche", couvrant plus de 20 normes
techniques dont la conformité est rendue obligatoire par des Directives Européennes;
ces normes relèvent essentiellement de la protection physique des personnes.

Par Michel ANDRE Page 5 of 9 septembre 2005

 Overview Normes ISO – IT Information Technology & IT Security

2. LES NORMES, OUTILS DIDACTIQUES

Une large citation du bulletin de l'ISO nous semble résumer tout l'intérêt pour
l'enseignement (ISO Bulletin - April 2001,
http://www.iso.ch/iso/en/commcentre/isobulletin/comment/2001/April2001.html ) :
The use of standards as education tools
by Paul Makin, Chairman of ISO/TC 199, Safety of machinery
(…) This is to promote the use of standards as an integral part of the educational
process. Consider the current situation. Books are still the basis of every educational
course - whatever the level or type of course. Every discipline has a core of books -
written by experts eminent in that topic - that are an essential part of the learning
process. Consider the situation if we were able to gather together all of the best
experts in a topic and get them to write the definitive book on the subject. This book
would be a best-seller and its sales, high.

But of course the cost would be out of the reach of any one publisher, and it is
unlikely that such eminent experts would subsume their individual status. But surely
that is exactly what we do when we assemble in the Working Group and write a
standard. The published standard contains the distilled wisdom of the world's best
experts.

Therefore, we have a unique product which logically would be extremely useful in

educational establishments devoted to technical subjects in the world. But the real
situation is that most educational establishments - particularly those teaching
vocational and advanced subjects - do not use them and, worse still, most do not
realize their potential. This is as much a problem in the developed countries - which
should not have any excuse - as the developing countries. (…).

Par Michel ANDRE Page 6 of 9 septembre 2005

 Overview Normes ISO – IT Information Technology & IT Security

3. QUELQUES NORMES INTERESSANTES

ISO/IEC 7498:1988 Information processing systems - Open Systems
Interconnection
Cette norme définit le modèle OSI, base d'élaboration des interconnexions des
systèmes informatiques. Le modèle repose sur 7 "couches" permettant de
classifier les normes assurant la compatibilité des communications entre
systèmes informatiques. La couche 7 est la couche applicative; les 6 autres
couches sont essentiellement techniques et s'adressent essentiellement aux
constructeurs et développeurs de systèmes de communication.

ISO/IEC 9126 Génie du logiciel -- Qualité des produits

Cette norme est la base de toute l'évaluation des logiciels. La partie 1, publiée
EN 2001, reprend les définitions et les modèles de qualité des logiciels.
Les autres parties, en préparation, décrivent les aspects de la qualité (qualités
internes, externes et en utilisation) pour différentes caractéristiques
(portabilité, maintenabilité, fonctionnalité, fiabilité, tolérance aux fautes, etc.)
en précisant les métriques et méthodes d'évaluation.
Depuis la parution de la partie 1 et au vu des projets pour les autres parties, il
semble difficile de parler de certification de logiciel sans prendre cette norme
comme référence essentielle.
Pour suivre l'élaboration de cette norme, un nouveau groupe de travail a été
créé dans le cadre de l'IBN, le 29 novembre 2001. Ce groupe de travail est
ouvert à toutes entreprises, institutions ou personnes physiques intéressées,
sous réserve de répondre aux conditions et règles de l'ISO et de l'IBN.

ISO/IEC 12119 Progiciels – Exigences de qualité et de tests

Un guide un peu ancien mais pratique pour tous ceux qui veulent acquérir des
logiciels, une aide pour l'élaboration des appels d'offres et ensuite pour
pouvoir comparer objectivement les produits présentés. Cette norme doit faire
l'objet d'une prochaine révision.

ISO/IEC 13335 Guide du management de la sécurité informatique

Ce rapport technique en 5 parties est destiné au "Senior Management". Il est
souvent considéré comme une des meilleures normes pour la sécurité
informatique. C'est le premier ouvrage à consulter pour qui veut s'intéresser à
la sécurité informatique : définitions et concepts de base, informations sur
l'organisation à prévoir dans toute entreprise, plusieurs approches de gestion
du risque, guide de choix des mesures de protection selon les circonstances
et l'environnement, etc.

A titre d'exemple citons la définition de la confidentialité :

Propriété d’une information de ne pas être disponible ou d’être refusée à tous
processus, personnes ou entités non autorisés.
Cette définition est intéressante car elle associe le caractère confidentiel à
l'information elle-même et non à des mesures de sécurité. Bien plus, elle
suggère de définir de manière positive les entités autorisées, à l'exclusion de
toutes autres. Cette approche représente une sensible amélioration par
rapport à la notion traditionnelle de "secret".

Par Michel ANDRE Page 7 of 9 septembre 2005

 Overview Normes ISO – IT Information Technology & IT Security

Les premières parties de ce rapport sont anciennes et arrivent à échéance

pour leur révision périodique :
La gestion du risque (différentes approches à combiner)
La protection de la vie privée ou, plus précisément, la protection des
données personnelles
La construction des polices et des procédures de sécurité

ISO/IEC 15408 Critères d'évaluation de la sécurité informatique (Critères

communs)
Cette norme relativement technique est fondamentale dans l'élaboration de la
sécurité.
Elle est issue d'un travail commun de convergence entre des travaux
antérieurs ("Orange Book" du Département de la Défense américaine, ITSEC
et ITSEM patronnés par les Communautés Européennes, le livre blanc de la
sécurité, etc.). C'est la raison pour laquelle elle est communément appelée
"Critères Communs".
C'est une liste de critères précis de sécurité permettant des échelles de
mesure. Ces mesures sont caractérisées de manière à permettre une
évaluation objective et reproductible, quelque soit l'auditeur. Pour en faciliter
l'utilisation, des niveaux de sécurité sont définis avec le niveau minimal pour
chacun des critères. De plus, des listes d'exigences de sécurité, publiés sous
le nom de profils de protection, permettent de définir très facilement et
rapidement un niveau de sécurité pour des composants informatiques ou pour
des systèmes.
L'utilisation efficace de cette norme exige une formation de base et doit être
complétée par une connaissance de base des normes associées ISO/IEC
15446 Guide on the production of protection profiles and security targets et
18045 Méthodologie d'évaluation de la sécurité informatique.
Les travaux d'élaboration ont été financés par des fonds propres et est en
distribution libre. Le texte et diverses explications peuvent être téléchargés
depuis www.commoncriteria.org

ISO/IEC 15446 Guide on the production of protection profiles

Cette norme, d'audience restreinte, s'adresse aux spécialistes de sécurité
désireux de rédiger et d'enregistrer un profile de protection basé sur la norme
ISO 15408.
Par contre, les profils déjà enregistrés peuvent servir de cadre pour des
spécifications de sécurité. Quelques profils types sont directement
téléchargeables depuis le site des "Critères Communs"
www.commoncriteria.org .

ISO/IEC 17799 Information security management — Code of practice for

information security management (en "early revision")
La norme BS7799-1 n'est pas sans intérêt; en voici quelques éléments positifs
et négatifs :
La partie 1 est une bonne initiation à la sécurité. Les responsables de
l'informatique y trouvent une guidance simple pour l'élaboration de la
sécurité.

Par Michel ANDRE Page 8 of 9 septembre 2005

 Overview Normes ISO – IT Information Technology & IT Security

Les définitions sont faibles et contradictoires. On se reportera donc aux

définitions plus rigoureuses des normes ISO 7498 et 13335.
L'ISO 17799 est un modèle basé sur les processus. Elle ne donne pas une
garantie suffisante quant à la bonne sécurité des produits et résultats des
traitements. Les spécialistes en sécurité abandonnent la 17799 lorsqu'ils
maîtrisent l'ISO 15408.
La partie 2, seule utile pour les processus de certification tels qu'appliqués
en Angleterre, a été abandonnée par l'ISO, notamment parce que non
conforme aux exigences des modèles de certification.
Les auditeurs informatiques, non spécialisés en sécurité informatique y
trouvent une excellente structure pour leur rapport d'audit.
Malheureusement pour eux, la structure de l'ISO 17799 va être modifiée.
La norme ne tient pas suffisamment compte du rôle des utilisateurs de
l'informatique pour définir les exigences de sécurité et assurer la gestion de
cette sécurité.
Elle n'est pas applicable strictement, notamment en regard de la loi belge
sur la protection de la vie privée.
La norme en "early revision" n'a plus le statut de norme internationale (IS).
Toute association du concept de certification BS 7799-2 avec l'ISO est donc
une utilisation abusive du nom de l'ISO.

ISO/IEC 18028 Sécurité des réseaux (WD)

Cette norme en projet a pour audience les responsables systèmes et de
réseaux. Elle se veut être une guidance dans l'élaboration des architectures
sécurisées. Elle vise aussi à faciliter les tâches d'élaboration des polices de
sécurité des réseaux.

ISO/IEC 18044 Gestion des incidents de sécurité (WD)

Ce projet encore peu élaboré vise à aider les institutions à se construire une
structure de maîtrise et de réaction aux incidents de sécurité. Elle approche
des processus qui touchent à tous les organes de l'entreprise concernés par
l'informatique.

ISO/IEC 18045 Méthodologie pour l'évaluation de la sécurité informatique

Cette norme prévue pour une prochaine publication s'adresse aux auditeurs.

Par Michel ANDRE Page 9 of 9 septembre 2005