WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Certifier la conformité aux autorisations uniques de la CNIL


par Eric Lachaud
Institut Supérieure d'Electronique de Paris - Master management des données à caractère personnel 2010
  

précédent sommaire suivant

3. Quelle procédure pour évaluer la conformité aux Autorisations uniques ?

3.1 Quel périmètre ?

La notion de périmètre d'évaluation est une notion centrale dans la réussite d'une procédure d'audit. Il doit comprendre nous dit la norme CWA 15499-1165 du CEN :

- Un objet : c'est à dire la description du processus qui va être évalué,

- Un aspect: que va-t-on auditer ? La confidentialité, l'intégrité, la disponibilité ou l'auditabilité,

- Un ou plusieurs textes de référence. Par rapport à quel(s) référentiels l'audit va-t-il être mené ?

Le point 5.2 de la norme ISO/CEI 15408-1:2009 définit la notion de périmètre d'audit sous le vocable de «Target Of Evaluation» (TOE).

Le TOE nous dit la norme ISO/CEI 15408-1:2009 doit contenir la description précise des fonctionnalités du produit qui vont faire l'objet d'une évaluation166. Celui-ci constitue le périmètre de l'audit sur lequel les deux parties, auditeur et audité, sont appelés à s'engager avant le début de la procédure d'évaluation. Cette définition du périmètre d'évaluation doit être effectué de la même manière dans la cadre de l'audit de procédures. Nous l'avons vu plus haut avec la norme CWA 15499-1 au moment de la défnition de la « lettre de mission» comme le précise le point 2.01 de la norme167.

Il convient de s'interroger sur le périmètre de l'évaluation de la conformité aux Autorisations Uniques. Est-ce que les règles définies ci-dessus sont transposables au cas qui nous occupe ? Est-il envisageable qu'une partie seulement d'un produit ou d'une procédure puisse être évaluée ? Pourrait-il y avoir des périmètres obligatoires et d'autres facultatifs ? Quelle est le degré de liberté que l'on peut laisser aux évaluateurs en terme de définition de périmètre d'évaluation ?

Il nous semble que pour être valable l'audit de conformité devra traiter l'ensemble des points soulevés par une Autorisation unique. Il s'agit d'un tout indivisible.

Nous ne voyons pas comment il pourrait être possible de gérer une évaluation partielle. C'est à dire simplement sur certains points clés d'une Autorisation Unique. Autrement dit, soit la procédure ou le produit sont conformes à tous les points contenus dans l'autorisation unique, soit il ne sont pas conformes.

165 CWA 15499-1 p14

166 point 5.2 p 25

ISO/CEI 15408-1:2009 Technologies de l'information -- Techniques de sécurité -- Critères d'évaluation pour la sécurité TI -- Partie 1: Introduction et modèle général . La norme est en accès libre sur le site de l'ANSSI à cette adresse :

http://www.ssi.gouv.fr/site article135.html

167 voir p 77

87

Il nous semble qu'il faut considérer que le périmètre minimal se situe au niveau de l' Autorisation unique. L'évaluation de conformité ne peut pas s'effectuer en dessous de «cette unité».

En revanche, le périmètre pourrait être étendu à plusieurs Autorisations uniques dans le cadre d'une même évaluation.

On pourait aussi imaginer, nous l'avons déjà évoqué plus haut, que les organismes de certifications accrédités uniquement pour l'évaluation de certaines Autorisations ne soient pas en en mesure d'évaluer les autres. Ainsi, Les laboratoires pourrait prétendre à évaluer les Autorisations uniques consacrées aux produits et les organismes de certification celles consacrées aux procédures.

précédent sommaire suivant