1 La sécurité de l’information
Avertissement
Une version révisée de la norme internationale ISO/IEC 27002 est disponible depuis février 2022. Le nombre de mesures de sécurité de l’information énoncées passe de 114 à 93 (fusion de certaines mesures et création de 11 nouvelles), réparties dans 4 thèmes au lieu de 11 précédemment, et la présentation de ces mesures est enrichie de nouveaux attributs.
Un amendement de la norme internationale ISO/IEC 27001 est prévu en juillet 2022. Il se limitera à une adaptation de son annexe A pour une prise en compte de la révision de la norme ISO/IEC 27002.
Les normes françaises NF EN ISO/IEC 27002 et NF EN ISO/IEC 27001 seront impactées de la même manière vers septembre 2022.
Le présent article sera mis à jour après la publication de ces textes normatifs de 2022, en version ISO/IEC et en version NF par les organismes de normalisation respectifs.
-
1.1 L’évolution des besoins de sécurité
Tout porte à croire que les problèmes de sécurité de l’information sont nés avec la généralisation des réseaux ouverts tels qu’Internet. Ces derniers ont certes largement favorisé la prise de conscience, mais ils ne représentent qu’une partie de ce vaste domaine. En réalité, depuis que l’Homme manipule de l’information, il a toujours cherché à en assurer la protection :
– confidentialité des transmissions orales ;
– transmission des connaissances pour pérenniser le savoir ;
– copie manuelle de documents, pour en assurer la diffusion mais également la protection ;
– photocopie et archivage de dossiers ;
– utilisation d’armoires ignifugées et de coffres-forts, pour protéger les documents et en assurer la confidentialité ;
– utilisation de destructeurs manuels puis électriques pour détruire les papiers contenant des informations sensibles ;
– duplication de supports magnétiques pour sauvegarder le contenu des mémoires de stockage de masse ;
– chiffrement (ou cryptage) de communications téléphoniques confidentielles, notamment dans le domaine de la défense nationale ;
– numérisation et stockage de documents sur des supports optiques, etc.
Ce phénomène a été considérablement amplifié avec l’avènement de l’informatique, qui a augmenté la dépendance des organismes et offert de nouveaux outils aux espions, pirates, vandales et autres individus douteux cherchant à s’emparer d’un savoir-faire ou simplement à causer un préjudice. La sécurité informatique, plus que la sécurité de l’information, était alors uniquement une affaire de spécialistes et les utilisateurs n’avaient pas à intervenir d’une quelconque manière dans ce processus. L’ordinateur, appareil puissant et mystérieux, était entre les mains d’un cercle fermé de professionnels assurant son administration, son entretien et, naturellement, sa sécurité. Placé dans une salle équipée pour limiter les risques d’intrusion, climatisée et dotée d’un système d’alimentation électrique de secours, l’ordinateur était implicitement protégé contre de nombreux risques. Quant aux utilisateurs, équipés d’un terminal spartiate, ils n’avaient aucun moyen de nuire volontairement ou non à la bonne marche du système.
À partir de 1980, l’installation de postes de travail autonomes, les ordinateurs personnels, a décentralisé la gestion de l’information et dispersé le risque. Parallèlement, la multiplication des photocopieurs, l’arrivée de la télécopie et l’invention des supports de stockage amovibles et portables ont mis entre les mains d’un personnel non spécialiste de grandes quantités d’informations et des moyens de calcul performants. Il est dès lors devenu impossible de protéger chaque équipement de manière aussi fiable que l’ordinateur central et il a fallu donner des responsabilités supplémentaires aux utilisateurs, donc, dans certains domaines, un peu plus de pouvoir.
La mise en commun de ces moyens décentralisés de traitement de l’information à travers des réseaux locaux, de micro-ordinateurs dans un premier temps, puis multimédias (voix, images, données), a encore intensifié le problème. Aujourd’hui, ces réseaux locaux sont interconnectés à travers un maillage planétaire connu sous le nom d’Internet : une faille de sécurité, même sur un serveur informatique se trouvant à des milliers de kilomètres de vous, peut rapidement devenir un problème pour la protection de vos propres données. Le partage mondialisé des informations et de leurs moyens d’exploitation s’est accompagné d’une mondialisation des attaques. Et celles-ci sont de plus en plus sophistiquées, parfois même personnalisées : alors que les premiers virus, pour citer les plus connus de ces dispositifs nuisibles, tentaient d’attaquer immédiatement et avec un protocole identique toutes les machines se trouvant sur leur chemin, les nouveaux malwares savent passer inaperçus, attendre leur heure dans un coin discret de votre système d’information, collecter des données permettant de mieux comprendre son fonctionnement, puis lancer une attaque taillée sur mesure donc évidemment beaucoup plus dévastatrice. Les objectifs des attaquants ont également changé : la cyber-guerre, l’extorsion de fonds et le chantage ont le plus souvent remplacé l’exploit individuel d’un hacker en mal de reconnaissance.
Cependant, la sécurité de l’information ne se résume pas aux seuls problèmes informatiques et, pour réduire encore le périmètre, aux attaques menées à travers Internet ou les réseaux 4G ou 5G des opérateurs téléphoniques, même s’il est certain que ces nuisances font partie de la réalité quotidienne des utilisateurs, qu’il s’agisse d’entreprises ou de particuliers. Une relative et immédiate protection peut être apportée par l’installation de dispositifs techniques, logiciels et matériels, dont les plus connus sont les anti-virus et les firewalls, mais pour que ces dispositifs restent parfaitement opérationnels, ils doivent faire l’objet d’un suivi quotidien et s’insérer dans un ensemble plus vaste prenant en considération certains aspects complémentaires de première importance, tels que ceux liés aux ressources humaines de l’organisme.
Diverses études montrent qu’une grande partie des problèmes de sécurité de l’information viennent de l’intérieur de l’organisme et que les actes commis ne sont pas toujours délibérés, la négligence et la méconnaissance des risques étant également des facteurs importants. Les attaques menées de l’extérieur de l’organisme ne sont donc pas la cause de tous les sinistres.
Les aspects organisationnels, à travers la rédaction de procédures et de guides, pédagogiques, par une sensibilisation des utilisateurs et une formation adaptée aux outils utilisés, et juridiques, par l’élaboration de contrats et de chartes décrivant les responsabilités de chacun, constituent, à côté des dispositifs techniques, le cœur du système de gestion de la sécurité de l’information.
C’est ce constat qui a donné naissance à la norme ISO/IEC 17799, renommée ISO/IEC 27002 en 2005. Inspirée de la norme britannique BS 7799-1, elle est destinée à orienter la réflexion des entreprises ou des organismes publics souhaitant rédiger leur politique de sécurité de l’information et les procédures qui en découlent. De même que la série des normes ISO 9000 traite de la qualité, la famille de normes ISO 27000 a pour vocation de couvrir tous les aspects relatifs à la sécurité des informations et, au-delà, de proposer un label de confiance universel entre les organismes. Ces normes fournissent des recommandations et définissent des exigences de certification pour la gestion d’un système de sécurité de l’information, à l’usage des responsables de son initialisation, de sa mise en œuvre ou de sa maintenance.