L'ISO mène la vie dure au standard d'évaluation système BS-7799

C’est la fin d’un long combat de plusieurs années. Le British Standards Institute, l’incarnation outre-Manche de l’Afnor, renonce à soumettre à l’ISO son standard fétiche BS-7799. Celui-ci a pour particularité d’encadrer l’évaluation d’un système d’information en prenant aussi en compte les aspects organisationnels. Il est le fruit de travaux engagés en 1995 par le Département de l’industrie britannique.En France, la Direction centrale de la sécurité des systèmes d’information (DCSSI) s’y est intéressée de très près. Son objectif : pousser au mariage entre, d’une part, l’approche d’évaluation d’un système, incarnée par le BS-7799 et, d’autre part, les Critères communs (CC ?” norme ISO 15408), dédiés à l’évaluation de la sécurité d’un produit. Pour ce faire, elle a tenté de traduire le BS-7799 dans son schéma directeur. L’été dernier, elle est allée jusqu’à certifier la première évaluation CC d’un système. En l’occurrence, celle-ci a porté sur une chaîne de fabrication de cartes à puce d’un constructeur japonais. Le niveau de sécurité atteint, EAL 1+, se situe en bas de l’échelle de graduation des CC.

Seule la première partie du BS-7799 a été retenue

Parallèlement, le BS-7799 n’a cessé d’essuyer les plâtres. L’ISO a rejeté en bloc la seconde partie de ce standard, consacrée aux modalités de son implémentation. Elle n’en a retenu que la première, qui a finalement pu être transposée, en fin 2000, dans la norme ISO 17799. Mais ce vote positif a été obtenu à l’arraché et fait l’objet d’une révision immédiate, alors qu’en principe, celle-ci n’intervient qu’après cinq ans. De plus, cette première partie n’est qu’un guide technique, à l’aune duquel il n’est pas possible de se mesurer.Du côté du Communications-Electronics Security Group, homologue britannique de la DCSSI, on semble accepter que les frontières soient maintenant clairement démarquées. L’évaluation d’un système ne peut pas, selon Robin Pizer, son responsable certification, être rattachée à une évaluation sur la base des CC. Et de rappeler que ces derniers, qui font appel aux méthodes formelles, sont conçus en priorité pour l’évaluation technique de spécifications et de fonctions de sécurité d’un logiciel ou d’un matériel. Alors que le BS 7799 demeure une démarche ad hoc d’audit devant être, éventuellement, utilisée parallèlement aux CC.

Vers une redistribution des cartes des Cesti ?

La défaite définitive du standard BS-7799 aura-t-elle un impact sur les candidatures à l’agrément du Centre d’évaluation de la sécurité des systèmes d’information (Cesti) ? Ces entités, certifiées par la Direction centrale de sécurité des systèmes d’information, maîtrisent la réalisation d’évaluations aux Critères communs (CC). Or, certaines d’entre elles, à l’instar de la division eLabel, du cabinet d’audit Ernst & Young ?” dont la candidature Cesti est en cours d’agrément provisoire ?”, se spécialisent dans l’évaluation de systèmes. Sachant que, dans tous les cas de figure, le principal chantier qui attend les Cesti en matière de CC concerne lévaluation de la sécurité des logiciels et des supports de signature électronique.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Samuel Cadogan