Son essor a été foudroyant, dans le contexte de la globalisation des réseaux d’information. Or cette menace bien réelle n’est pas perçue comme elle le devrait. Au contraire, elle continue encore parfois de donner l’image inoffensive d’un phénomène virtuel, qui relèverait de la fiction.
Le Conseil fédéral a néanmoins pris conscience de la gravité de la situation et agi à deux reprises pour faire face aux vastes besoins présents dans ce secteur. Il a créé d’abord le Service national de coordination de la lutte contre la criminalité sur Internet (SCOCI) 1, ensuite la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) 2. Ces structures adaptées et efficaces visent à protéger dûment la société suisse des menaces susmentionnées. Il Manquait néanmoins encore une analyse approfondie du niveau de protection en place et de la menace encourue par l’économie nationale. D’autres pays procèdent depuis longtemps à de telles études. Aux Etats-Unis par exemple, le CSI/FBI publie un rapport annuel intitulé Computer Crime and Security Survey3. La dernière édition de ce rapport révèle notamment, documents à l’appui, que plus de la moitié des entreprises américaines interrogées ont subi une attaque informatique en 2005, et même que 95 % d’entre elles ont été victimes de défiguration de site.
Plus révélateur encore, les coûts par attaque informatique ont explosé entre 2004 et 2005, passant de 51 000 à près de 300 000 US dollars en moyenne.
De telles données n’ont pas pour seule fonction de sensibiliser la population. Elles permettent de surcroît aux entreprises sondées d’établir des comparaisons, de resituer les incidents dans leur contexte, de mieux juger de l’efficacité des mesures déjà adoptées et en dernier lieu d’identifier leurs propres besoins d’agir. La réalisation de l’étude suisse a été confiée au Centre de recherche sur la politique de sécurité de l’EPF de Zurich4.
S’ils confirment les tendances déjà connues, les résultats obtenus ont également livré des faits insoupçonnés auparavant. Les experts apprécieront sans aucun doute le rapport qui suit. Et comme il est conçu dans un langage accessible, il intéressera quiconque s’occupe de sécurité de l’information – un paramètre auquel nul ne pourra plus se soustraire à long terme.
Au cours des vingt dernières années les normes liées à la sécurité de l’information ont évolué ou ont été remplacées. Ces changements rendent difficile une bonne compréhension du sujet. Un rappel historique de l’évolution de ces normes permet de clarifier la situation normative en matière de sécurité de l’information. Au début des années 90, de grandes entreprises britanniques se concertent pour établir des mesures visant à sécuriser leurs échanges commerciaux en ligne. Le résultat de cette collaboration servit de référence en la matière pour d’autres entreprises qui souhaitaient mettre en œuvre ces mesures. Cette initiative privée fut appuyée par le Département des Transports et de l’Industrie britannique qui supervisa la rédaction au format du BSI, d’une première version de projet de norme de gestion de la sécurité de l’information. En 1991, un projet de «best practices» code de bonnes pratiques, préconise la formalisation d’une politique de sécurité de l’information. Cette politique de sécurité doit intégrer au minimum huit points «stratégique et opérationnel» ainsi qu’une mise à jour régulière de la politique. En 1995, le BSI publie la norme BS7799 qui intègre dix chapitres réunissant plus de 100 mesures détaillées de sécurité de l’information, potentiellement applicables selon l’organisme concerné. En 1998, la norme BS7799 change de numérotation et devient la norme BS7799-1. Elle est complétée par la norme BS7799-2 qui précise les exigences auxquelles doit répondre un organisme pour mettre en place une politique de sécurité de l’information. Cette nouvelle norme est fondée sur une approche de la maîtrise des risques et sur le principe du management de la sécurité de l’information. En 2000, la norme BS7799-1, devient la norme de référence internationale pour les organismes souhaitant renforcer leur sécurité de l’information. Après avoir suivi un processus de concertation au niveau international et quelques ajouts, l’ISO lui attribue un nouveau nom, ISO/IEC 17799: 2000. En 2002, le BSI fait évoluer la norme BS7799-2 en s’inspirant des normes ISO 9001 :2000 et ISO 14001: 1996. La norme adopte définitivement une approche de management de la sécurité de l’information. En 2005, l’ISO/CEI adopte la norme BS7799-2 sous la référence ISO/CEI 27001: 2005 en y apportant quelques modifications pour se rapprocher le plus possible du principe de «système de management » développé par les normes ISO 9001 et ISO14001. L’ISO/IEC 27001: 2005 spécifie les exigences pour la mise en place d’un SMSI (Système de Management de la Sécurité de l’Information). En 2007, dans un souci de clarification, l’ISO renomme la norme ISO/IEC 17799 :2005 en changeant sa numérotation pour ISO/IEC 27002. La norme se greffe à la famille des normes ISO/IEC 2700x toujours en développement. Aujourd’hui les organismes disposent de deux normes qui se sont imposées comme référence des SMSI, l’ISO/CEI 27001 :2005 qui décrit les exigences pour la mise en place d'un Système de Management de la Sécurité de l’Information et l’ISO/CEI 27002 qui regroupe un ensemble de bonnes pratiques «best practices» pour la gestion de la sécurité de l'information. Le tableau ci-après reprend cet historique
L’ISO est le fruit d’une collaboration entre différents organismes de normalisation nationaux. Au début du 20ème siècle, L’American Institute of Electrical Engineer (Aujourd’hui appelé Institute of Electrical and Electronics Engineers ou IEEE) invite quatre autres instituts professionnels pour constituer une première organisation nationale, l’AESC (American Engineering Standards Committee) qui aura pour objectif de publier des standards industriels communs avant de prendre le nom d’ASA (American Standards Association) et d’établir des procédures standardisées pour la production militaire pendant la seconde guerre mondiale. En 1947, l’ASA, le BSI (British Standards Institute), l’AFNOR (Association Française de Normalisation) et les organisations de normalisation de 22 autres pays fondent l’Organisation Internationale de Normalisation (ISO). A ce jour, l’ISO regroupe 157 pays membres, et coopère avec les autres organismes de normalisation comme le CEN (Comité européen de normalisation) ou la Commission Electronique Internationale (CEI). En 1987, l’ISO et le CEI créent le Joint Technical Committee (JTC1) pour la normalisation des Technologies de l’Information (TI). Le JTC1 allie les compétences de l’ISO en matière de langage de programmation et codage de l’information avec celles du CEI qui traitent du matériel tel que les microprocesseurs. Le JTC1 est composé de plusieurs comités techniques (SC) qui traitent de sujets tels que la biométrie, la téléinformatique, les interfaces utilisateurs ou encore les techniques de sécurité de l’information relatives aux normes de la série ISO/CEI 2700x
.
Si vous voulez faire des commentaires sur ce que vous voyez ci-dessus et si vous voulez nous envoyer une note, vous pouvez mettre ici et nous vous répondrons le plus rapidement possible. Votre avis nous concerne merci de votre attention