Bâtir une politique de
sécurité qui soit vraiment globale et
cohérente est probablement l'une des tâches
les plus complexes incombant aux responsables de la
sécurité dans l'entreprise. Or, une fois
celle-ci établie, et une fois les personnes,
systèmes et procédures en place, que peut-on
faire pour couvrir les frais d'un désastre informatique
du à une quelconque malveillance ? Généralement,
les compagnies d'assurance refusent de garantir les
risques autres que matériels. Et pour cause :
sur quels critères peuvent-elles s'appuyer afin
de juger si le client a mis en oeuvre intelligemment
toutes les mesures de protection, physiques et logiques,
qui sont à sa disposition ?
Dans notre article de janvier "les
risques informatiques immatériels peuvent-ils être couverts
par les assureurs ?", le courtier Marsh a déclaré
avoir développé sa méthodologie
d'évaluation Net-Scoring (Cahier
n°10 au format PDF).
Adoptée
par des assureurs comme Axa ou Ace-Europe, celle-ci
fait la part belle à l'audit, décliné
en trois volets. Mais dans le monde de l'assurance,
ces initiatives unilatérales sont encore rares
et Marsh fait ici figure de pionnier. Pour établir
cette méthodologie, le courtier s'est appuyé
sur les travaux du Clusif
(club de la sécurité des systèmes
d'information français), notamment le questionnaire
Marion et la démarche Mehari. Mais ces méthodes
d'analyse des risques ne constituent pas un label quant
au niveau de sécurité réel dans
l'entreprise. En tant qu'outils, elles permettent juste
d'en dresser l'évaluation.
Certifier les partenaires dans
le cadre du b-to-b
En réponse
à ce besoin des entreprises d'assurer leurs systèmes
d'informations contre les risques, est née une
volonté d'établir des standards stricts
quant à la façon dont on peut juger au
premier abord du niveau réel de la sécurité
dans une organisation. Or, cette démarche va
au delà des relations entre l'entreprise et son
assureur.
"Dans le cadre du commerce b-to-b, les systèmes
des entreprises sont ouverts les uns aux autres",
explique Stéphane Geyres, directeur de la ligne
de services Politique et Stratégie de Sécurité
au sein du département Audit et Sécurité"
des Systèmes chez Ernst & Young.
"Si le système d'informations du fournisseur
est rempli de failles de sécurité, l'attaquant
peut s'en servir pour rentrer dans le celui de l'entreprise
même s'il ne comporte pas ces failles. Par conséquent,
quelle confiance doit-elle accorder à ses partenaires
? Une façon de résoudre le problème
est de leur demander de se positionner en leur réclamant
une certification. En ce qui concerne les assureurs,
ils rentrent dans la même logique."
17799
pour la sécurité globale, 15408 pour les
outils
Du
point de vue de l'assureur, donc, cette approche est
fondamentale pour disposer d'un référentiel
de critères en vue de déterminer si l'entreprise
peut souscrire une police car elle a tout mis en oeuvre
pour se protéger. Or, dans le paysage assez touffu
des normes, deux nouvelles spécifications ISO
(International Organization for Standardization) sont
apparues ces dernières années. L'une d'elles,
la première ci-dessous, est encore considérée
comme émergente.
Tout d'abord, ISO
17799 est en fait la déclinaison internationale
depuis fin 2000 de la BS 7799 inventée par la
British Standards Association. Elle répond précisément
au besoin que l'on vient de décrire, en constituant
un label de confiance pour la sécurité
globale de l'entreprise, tout comme ISO 9000 représente
une garantie de la qualité. Cette norme serait
la première et la seule initiative du genre.
De son côté, ISO
15408 en est déjà à la
v.2 depuis 1998, et permet de certifier les niveaux
de défense procurés par les composantes
de sécurité des systèmes d'informations.
Née en 1996, celle-ci a été rebaptisée
"Common Criteria" ou Critères Communs.
Elle découle d'une convergence progressive entre
les normes de feu l'Orange Book de la NSA, et notamment
celles de l'ITSEC en Europe qui sont elles-mêmes
issues de la fusion entre les critères français,
allemands et britanniques. Par ailleurs, l'on y retrouve
une participation du Canada, et le Japon serait également
en partie impliqué.
"Ces deux normes sont complémentaires",
précise Stéphane Geyres. "Avec ISO
17799, l'entreprise peut démontrer son savoir-faire
en maîtrise de sa sécurité d'un
point de vue global : physique, logique, humaine, juridique...
Dans le cadre d'une certification 17799, on peut lui
demander de montrer que les outils qu'elle a mis en
oeuvre, par exemple les firewalls ou les cartes à
puce (pour l'authentification) sont certifiés
ISO 15408."
Quid de l'ISO 17799 en France
?
Si
vis-à-vis des Critères Communs, la France
entretient une présence active de par sa participation
historique au standard européen ITSEC refondu
dans ISO 15408, il n'en
est rien concernant ISO 17799. Cette dernière
rassemble autour d'elle des organisations de 19 pays
à l'intérieur de son International
User Group. Parmi ceux-ci, la Grande-Bretagne bien
sûr, mais aussi l'Allemagne, la Suisse, la Suède,
la Pologne, le Japon, le Brésil, l'Australie
et l'Afrique du Sud. Parmi les grands absents : les
Etats-Unis, le Canada... et la France.
"Aujourd'hui, ISO 17799 vient combler un manque
et ne rencontre pas de concurrence, en tout cas pas
en France", indique Stéphane Geyres. Mais
pourquoi l'Hexagone bouderait-il une telle opportunité
? "La raison est politique, puisque cette norme
est d'origine britannique. Je ne pense pas que cela
soit aujourd'hui un problème, mais plutôt
une réalité. Les besoins du marché
et le positionnement de la norme font que les questions
politiques devraient s'évanouir."
A l'heure actuelle, deux approches peuvent être
déployées par les assureurs dans les 19
pays concernés à l'heure actuelle par
ISO 17799. La première consiste à constater
que l'entreprise est certifiée et à définir
une police d'assurance à partir de là.
Mais "cette norme ne couvre pas tout et parfois
les assureurs devront déployer une démarche
au cas par cas" précise Stéphane
Geyres. La deuxième approche, dite interventionniste,
consiste à utiliser des méthodes pour
effectuer une analyse des risques. C'est le parti pris
de Marsh France, dans un pays où finalement seule
cette possibilité est offerte à l'heure
actuelle.
Quel que soit le biais, européen ou non, par
lequel ISO 17799 pourrait pénétrer la
France, une problématique reste en suspens, posée
par le directeur d'activité chez Ernst &
Young. "La vraie question est de savoir si cette
norme correspondra réellement aux attentes du
marché". Selon certains experts, après
le tournant de 2001, cette norme devrait constituer
l'un des chantiers majeurs pour l'année en cours.
|