Certifier la conformité aux autorisations uniques de la CNIL

2.5.2 Qu'est ce qui fait un bon référentiel normatif? Si l'on se réfère aux textes présentés ci-dessus, un bon référentiel normatif :

- décrit clairement les règles à respecter,

- construit ces règles de façon telle à ce qu'elles soient facilement vérifiables/auditables par un organisme tiers.

Deux éléments doivent y concourir :

- des règles de formes visant à rendre le référentiel compréhensible et sans ambiguïtés.

- des protocoles de tests/vérification qui doivent permettre à des tiers de vérifier la conformité. Ces protocoles doivent contenir à minima les points à vérifier et si cela s'avère possible la manière de les vérifier et les valeurs (la métrique) à respecter pour être conforme.

Pour illustrer ces exigences, nous évoquerons trois référentiels dans le domaine des technologies de l'information qui nous paraissent contenir des éléments intéressants pour notre sujet:

- La norme ISO/IEC 15408:2005 dit de Critères Communs

- Le référentiel de gestion du risque du Secrétariat Général de la Défense Nationale (SGDN) - Les normes de la série ISO/CEI 27000

Les normes ISO/IEC 15408-1:2005 et ISO/IEC 15408-2:2005 dite de critères Communs (CC)⁸⁰ proposent une synthèse des critères à respecter en matière de sécurité des systèmes d'information à partir des prescriptions d'origines européennes et Nord américaines.

L'accord CCRA (Common Criteria Recognition Arrangement) a permis la reconnaissance mutuelle de la certification accordée en matière de sécurité des équipements dans 5 puis 7 pays : Allemagne, Australie et Nouvelle-Zélande, Canada, Etats-Unis, France, Grande-Bretagne.

Le chapitre 9 de la partie II - «Exigences fonctionnelles de sécurité» du référentiel ISO 15408-1:2005 précise les attentes en matière de protection de la vie privée. Y sont successivement traités les exigences :

79 Loi n° 94-442 du 3 juin 1994 modifiant le code de la consommation en ce qui concerne la certification des produits industriels et des services et la commercialisation de certains produits JORF n°128 du 4 juin 1994 page 8072 http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=69AEA119338B95C829ADD00EC8849D93.tpdjo02v3? cidTexte=JORFTEXT000000713621&categorieLien=id

80 Le texte des normes ISO/IEC 15408-1:2005 et ISO/IEC 15408-2:2005 sont en libre accès sur le site de l'ANSSI http:// www.ssi.gouv.fr/site article135.html

- en terme d'anonymat (9.1), - de pseudonymat (9.2),

- d'impossibilité d'établir un lien entre des données à caractère personnel (9.3)

- et de non-observabilité (9.4)

Pour ce qui est de l'anonymat, la norme indique son exigence minimale sous forme de transcription d'un logigramme :

« La TSF doit garantir que [affectation : ensemble d'utilisateurs ou de sujets] sont incapables de déterminer le véritable

nom de l'utilisateur associé à [affectation : liste de sujets, d'opérations ou d'objets] La TSF doit fournir [affectation :
liste de services] à [affectation : liste de sujets] sans solliciter une quelconque référence au véritable nom de l'utilisateur».

Elle précise également le point de contrôle à effectuer pour s'assurer d'atteindre et de maintenir l'objectif ci dessus : « Les actions suivantes doivent être auditables (...) a) Minimal : l'appel du mécanisme d'anonymat.»

Elle n'apporte en revanche pas plus de précisions quant à la manière dont le mécanisme d'anonymat doit être audité ni sur le mécanisme (logicielle ou matérielle) qui doit permettre au système d'assurer l'anonymat.

Cette démarche est évidemment volontaire. Elle correspond aux recommandations de l'ISO qui précise dans le point 4.2 de la directive ISO/CEI partie 2 que : «Chaque fois que possible, les exigences de la norme devront être exprimées en termes de performance plutôt qu'en termes de conception ou de caractéristiques descriptives. »

La relation étroite entre objectifs et points de contrôle est également en partie à la base de la démarche retenue dans le référentiel de gestion des risques mise au point en 1995 par l'Agence Nationale de Sécurité des Systèmes d'Information (ANSSI anciennement DCSSI) pour le compte du Secrétariat Général de la Défense Nationale (SGDN) dont elle dépend.

Fondée sur la méthode d'audit des systèmes d'information EBIOS® (Expression des Besoins et Identification des Objectifs de Sécurité), ce référentiel est structuré autour de 5 modules dans chacun desquels les risques sont analysés et décrits selon le formalisme suivant :

Avantages Liste des principaux avantages apportés par la mise en oeuvre de l'activité.

Parties prenantes Liste des compétences (savoir, savoir-faire, niveau de responsabilité...) requises pour

réaliser l'activité et exemples de personnes ou de fonctions capables de les exercer.

Données d'entrée Liste des informations d'entrée, nécessaires à la mise en oeuvre de l'activité.

Actions types Liste des actions de l'activité.

Données produites Liste des informations de sortie, produites par les actions de l'activité.

Communication Liste des principales idées pour obtenir de l'information (techniques à employer) et la

restituer (présentation des résultats, représentations graphiques...).

Surveillance et revue Liste des points de contrôle pour vérifier la qualité de la réalisation de l'activité et la tenue à

jour des informations résultantes.»

Objectif But et description de l'activité

De la même manière que la norme ISO/CEI 15 408-1, le référentiel du SGDN définit pour chaque processus un objectif et une série de points de contrôle visant à évaluer le degré de complétude de cet objectif.

Une «métrique», c'est à dire une échelle de valeur doit être préalablement définie afin de mesurer, de classer et de comparer les résultats obtenus; permettant au final de construire l'évaluation des risques et d'en piloter l'évolution.

La série des normes ISO 27000:2009 que nous avons déjà évoquées plus haut dans le cadre de l'élaboration du référentiel de certification suisse propose ce que l'on pourrait qualifier comme un «écosystème» référentiel complet.

Les normes ISO 27000:2009 et suivantes couvrent en effet l'ensemble du cycle de qualité totale définit selon les critères de la roue de Deming (PDCA) sur lequel le référentiel se fonde et ce depuis la création jusqu'à la certification.

49

Nom

Contenu

Commentaires

50

ISO/CEI 27000:2009

Information technology - Security techniques - Information security management systems - Overview and vocabulary

ISO/CEI 27001:2005

Information technology -- Security techniques -- Information security management systems -Requirements

ISO/CEI 27002:2005

Information technology -- Security techniques - Code of practice for information security management

ISO/CEI 27003:2010

Information technology - Security techniques - Information security management system implementation guidance

ISO/CEI 27004:2009

Information technology -- Security techniques -- Information security management -- Measurement

ISO/CEI 27005:2008

Information technology -- Security techniques -- Information security risk management

ISO/CEI 27006:2007

Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems

ISO/CEI CD 27007

Information technology -- Security techniques -- Guidelines for Information Security Management Systems auditing

Accréditation des évaluateurs Cette norme définit les exigences que doivent

respecter les évaluateurs pour être accréditer.

Audit du SMSI Cette norme définit une méthodologie d'audit

d'un SMSI. Elle n'est pas encore publiée. Elle est actuellement en cours délaboration au stade de 2ème CD.

Vocabulaire et définitions

Système de Management des Système d'Information (SMSI)

Mesures de sécurité Cette norme définit

- 39 objectifs de sécurité

- 133 mesures de sécurité

Gestion du risque Cette norme définit une méthodologie pour

l'appréciation et le traitement des risques dans un SMSI

Implémentation Cette norme définit les modalités de mise en

oeuvre d'un SMSI

Indicateurs du SMSI Cette norme définit les indicateurs, les rôles et

responsabilités dans le cadre de l'exploitation d'un SMSI

Définit les exigences générales attendues d'un SMSI

51

Parmi les 39 objectifs et les 133 mesures de sécurité définis par le référentiel ISO/CEI 27002:2005 figure le point 15.1.4 de la norme est consacré à la «protection des données et confidentialité des informations relatives à la vie privée».

Ce point 15.1.4 définit que le SMSI devra poursuivre l'objectif de «garantir la protection et la confidentialité des données teles que l'exigent la législation ou les réglementations applicables, et les clauses contractueles le cas échéant».

Le point 15.1.4 définit également les mesures à mettre en oeuvre en vue d'atteindre cet objectif. Il indique «qu'il convient d'élaborer et de mettre en oeuvre la protection des données de l'organisme et une politique de confidentialité. (..) que cette politique soit connue de toutes les personnes impliquées dans le traitement des informations relatives à la vie privée.... La meileure façon de mettre en place une telle structure est de désigner un responsable, par exemple un administrateur de la sécurité des données; il convient que cet administrateur conseile les responsables, utilisateurs et prestataires de services sur leurs responsabilités individueles et les procédures spécifiques qu'il convient de respecter.

Il convient que la responsabilité afférente à la gestion des informations relatives à la vie privée et au maintien de la sensibilisation aux principes de protection des données prenne en compte la législation et les réglementations applicables.

Il convient de prendre les mesures techniques et organisationneles appropriées pour protéger les informations relatives à la vie privée».

Ces mesures de sécurité peuvent ensuite faire l'objet d'une évaluation (dans le sens de « mesurage ») continue ou circonstancielle dans le cadre d'une procédure de pilotage du SMSI décrit dans la norme ISO/CEI 27004:2009 ou bien encore dans le cadre d'une procédure de certification basé sur ce référentiel ISO/CEI 27002:2005.

L'intérêt (et le succès) de la série ISO 27000:2009 tient nous l'avons déjà dit en grande partie au caractère complet et «intégré» du référentiel. Celui-ci propose en effet un cadre pour la gestion de la sécurité des systèmes d'information (ISO 27001). Il apporte les outils pour le mettre en oeuvre (ISO/CEI 27002:2005), le piloter (ISO/CEI 27004:2009) et l'évaluer (ISO/CEI 27005:2008).

C'est d'ailleurs cette démarche «d'intégration verticale» que l'ISO essaie de dupliquer, nous l'avons déjà dit, dans le domaine de la protection des données à caractère personnel avec l'élaboration de la série des normes ISO 29 000.