Bâtir une politique de sécurité qui soit vraiment globale et cohérente est probablement l'une des tâches les plus complexes incombant aux responsables de la sécurité dans l'entreprise. Or, une fois celle-ci établie, et une fois les personnes, systèmes et procédures en place, que peut-on faire pour couvrir les frais d'un désastre informatique du à une quelconque malveillance ? Généralement, les compagnies d'assurance refusent de garantir les risques autres que matériels. Et pour cause : sur quels critères peuvent-elles s'appuyer afin de juger si le client a mis en oeuvre intelligemment toutes les mesures de protection, physiques et logiques, qui sont à sa disposition ?

Dans notre article de janvier "les risques informatiques immatériels peuvent-ils être couverts par les assureurs ?", le courtier Marsh a déclaré avoir développé sa méthodologie d'évaluation Net-Scoring (Cahier n°10 au format PDF). Adoptée par des assureurs comme Axa ou Ace-Europe, celle-ci fait la part belle à l'audit, décliné en trois volets. Mais dans le monde de l'assurance, ces initiatives unilatérales sont encore rares et Marsh fait ici figure de pionnier. Pour établir cette méthodologie, le courtier s'est appuyé sur les travaux du Clusif (club de la sécurité des systèmes d'information français), notamment le questionnaire Marion et la démarche Mehari. Mais ces méthodes d'analyse des risques ne constituent pas un label quant au niveau de sécurité réel dans l'entreprise. En tant qu'outils, elles permettent juste d'en dresser l'évaluation.

Certifier les partenaires dans le cadre du b-to-b
En réponse à ce besoin des entreprises d'assurer leurs systèmes d'informations contre les risques, est née une volonté d'établir des standards stricts quant à la façon dont on peut juger au premier abord du niveau réel de la sécurité dans une organisation. Or, cette démarche va au delà des relations entre l'entreprise et son assureur.

"Dans le cadre du commerce b-to-b, les systèmes des entreprises sont ouverts les uns aux autres", explique Stéphane Geyres, directeur de la ligne de services Politique et Stratégie de Sécurité au sein du département Audit et Sécurité" des Systèmes chez Ernst & Young. "Si le système d'informations du fournisseur est rempli de failles de sécurité, l'attaquant peut s'en servir pour rentrer dans le celui de l'entreprise même s'il ne comporte pas ces failles. Par conséquent, quelle confiance doit-elle accorder à ses partenaires ? Une façon de résoudre le problème est de leur demander de se positionner en leur réclamant une certification. En ce qui concerne les assureurs, ils rentrent dans la même logique."

17799 pour la sécurité globale, 15408 pour les outils
Du point de vue de l'assureur, donc, cette approche est fondamentale pour disposer d'un référentiel de critères en vue de déterminer si l'entreprise peut souscrire une police car elle a tout mis en oeuvre pour se protéger. Or, dans le paysage assez touffu des normes, deux nouvelles spécifications ISO (International Organization for Standardization) sont apparues ces dernières années. L'une d'elles, la première ci-dessous, est encore considérée comme émergente.

Tout d'abord, ISO 17799 est en fait la déclinaison internationale depuis fin 2000 de la BS 7799 inventée par la British Standards Association. Elle répond précisément au besoin que l'on vient de décrire, en constituant un label de confiance pour la sécurité globale de l'entreprise, tout comme ISO 9000 représente une garantie de la qualité. Cette norme serait la première et la seule initiative du genre.

De son côté, ISO 15408 en est déjà à la v.2 depuis 1998, et permet de certifier les niveaux de défense procurés par les composantes de sécurité des systèmes d'informations. Née en 1996, celle-ci a été rebaptisée "Common Criteria" ou Critères Communs. Elle découle d'une convergence progressive entre les normes de feu l'Orange Book de la NSA, et notamment celles de l'ITSEC en Europe qui sont elles-mêmes issues de la fusion entre les critères français, allemands et britanniques. Par ailleurs, l'on y retrouve une participation du Canada, et le Japon serait également en partie impliqué.

"Ces deux normes sont complémentaires", précise Stéphane Geyres. "Avec ISO 17799, l'entreprise peut démontrer son savoir-faire en maîtrise de sa sécurité d'un point de vue global : physique, logique, humaine, juridique... Dans le cadre d'une certification 17799, on peut lui demander de montrer que les outils qu'elle a mis en oeuvre, par exemple les firewalls ou les cartes à puce (pour l'authentification) sont certifiés ISO 15408."

Quid de l'ISO 17799 en France ?
Si vis-à-vis des Critères Communs, la France entretient une présence active de par sa participation historique au standard européen ITSEC refondu dans ISO 15408, il n'en est rien concernant ISO 17799. Cette dernière rassemble autour d'elle des organisations de 19 pays à l'intérieur de son International User Group. Parmi ceux-ci, la Grande-Bretagne bien sûr, mais aussi l'Allemagne, la Suisse, la Suède, la Pologne, le Japon, le Brésil, l'Australie et l'Afrique du Sud. Parmi les grands absents : les Etats-Unis, le Canada... et la France.

"Aujourd'hui, ISO 17799 vient combler un manque et ne rencontre pas de concurrence, en tout cas pas en France", indique Stéphane Geyres. Mais pourquoi l'Hexagone bouderait-il une telle opportunité ? "La raison est politique, puisque cette norme est d'origine britannique. Je ne pense pas que cela soit aujourd'hui un problème, mais plutôt une réalité. Les besoins du marché et le positionnement de la norme font que les questions politiques devraient s'évanouir."

A l'heure actuelle, deux approches peuvent être déployées par les assureurs dans les 19 pays concernés à l'heure actuelle par ISO 17799. La première consiste à constater que l'entreprise est certifiée et à définir une police d'assurance à partir de là. Mais "cette norme ne couvre pas tout et parfois les assureurs devront déployer une démarche au cas par cas" précise Stéphane Geyres. La deuxième approche, dite interventionniste, consiste à utiliser des méthodes pour effectuer une analyse des risques. C'est le parti pris de Marsh France, dans un pays où finalement seule cette possibilité est offerte à l'heure actuelle.

Quel que soit le biais, européen ou non, par lequel ISO 17799 pourrait pénétrer la France, une problématique reste en suspens, posée par le directeur d'activité chez Ernst & Young. "La vraie question est de savoir si cette norme correspondra réellement aux attentes du marché". Selon certains experts, après le tournant de 2001, cette norme devrait constituer l'un des chantiers majeurs pour l'année en cours.