Dans les coulisses des normes ISO

1,700 views

Published on

Présentation de Bruno Guay de Chez Nurun Services Conseils dans le cadre du Colloque québécois de la sécurité de l'information (CQSI) 2011.

Published in: Technology
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,700
On SlideShare
0
From Embeds
0
Number of Embeds
10
Actions
Shares
0
Downloads
79
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Dans les coulisses des normes ISO

  1. 1. Dans les coulisses des normes ISO<br />Bruno Guay<br />17 octobre 2011<br />
  2. 2. Plan de la présentation<br />Introduction<br />Les normes, pourquoi?<br />Une norme, c’est quoi?<br />Les normes, c’est qui?<br />Le processus ISO, c’est quoi?<br />Être membre de ISO, c’est quoi?<br />Être rédacteur d’une norme ISO, c’est quoi?<br />
  3. 3. Introduction<br />Nairobi, Kenya, 10 au 14 octobre 2011<br />11e rencontre du comité ISO/IEC JTC1/SC27<br />200+ délégués de 46 pays<br />5 déléguéscanadiens<br />Qui sontces gens?<br />Pourquoisont-ilsici?<br />
  4. 4. Introduction<br />
  5. 5. Les normes, pourquoi?<br />
  6. 6. Les normes, pourquoi?<br />Les normes sont une réponse à un besoin exprimé par l’industrie pour:<br />Permettre l’interopérabilité<br />Faciliter la communication<br />Faciliter la démonstration<br />Faciliter la certification<br />Améliorer l’efficacité et l’efficience<br />Simplifier l’acceptation<br />Réduire la maintenance<br />
  7. 7. Les normes, c’est quoi?<br />
  8. 8. Les normes, c’est quoi?<br />Unenormeest:<br />un document qui fournit des lignes directrices sur les processus, les produits, les résultats;<br />réaliste;<br />vérifiable;<br />acceptable pour toutes les parties;<br />établie par voie de consensus entre experts du domaine;<br />approuvée par un organisme de normalisation reconnu.<br />
  9. 9. Les normes, c’est quoi?<br />Quelquesexemples de Normes en sécurité de l’informationpubliées par ISO/IEC JTC1/SC27<br />ISO/IEC 27001: Systèmes de management de la sécurité de l'information -- Exigences <br />ISO/IEC 27002: Code de bonne pratique pour le management de la sécurité de l'information <br />ISO/IEC 27005: Gestion des risques liés à la sécurité de l'information (remplaceISO/IEC 13335)<br />ISO/IEC 27031: Lignes directrices pour mise en état des technologies de la communication et de l'information pour continuité des affaires <br />ISO/IEC 27033: Sécurité de réseau<br />
  10. 10. Les normes, c’est quoi?<br />Quelquesexemples de Normes en sécurité de l’information en rédaction par ISO/IEC JTC1/SC27<br />ISO/IEC 27032: Lignes directrices pour la cybersécurité<br />ISO/IEC 27034: Sécurité des applications<br />ISO/IEC 24760: Cadre pour la gestion de l'identité<br />ISO/IEC 29100: Cadre du domaineprivé (A privacy framework)<br />ISO/IEC 29115: Cadre d'assurance de l'authentification d'entité <br />ISO/IEC 29146: Cadre pour gestiond'accès<br />ISO/IEC 29147: Divulgation de vulnérabilité<br />
  11. 11. Les normes, c’est qui?<br />
  12. 12. Les normes, c’est qui?<br />ISO<br />IEC<br />JISC<br />CEN<br />COPANT<br />IEEE<br />UPU<br />ETSI<br />BNQ<br />BSI<br />ANSI<br />SCC<br />ITU<br />NIST<br />IETF<br />SAE<br />DIN<br />CENELEC<br />W3C<br />
  13. 13. Les normes, c’est qui?<br />ISO<br />IEC<br />JTC 1<br />SC 27<br />WG 1<br />WG 2<br />WG 4<br />WG 3<br />WG 5<br />
  14. 14. Les normes, c’est qui?<br />ISO/IEC JTC1/SC27 Techniques de sécurité des technologies de l'information<br />WG 1 Systèmes de management de la sécurité de l'information <br />WG 2 Cryptographie et mécanismes de sécurité <br />WG 3 Critères d'évaluation de la sécurité <br />WG 4 Contrôles et services de sécurité <br />WG 5 Gestion d'identité et technologies de domaine privé<br />
  15. 15. Les normes, c’est qui?<br />ISO/IEC JTC1/SC27<br />46 pays votants<br />200+ experts<br />5 groupes de travail<br />97 normespubliées<br />2 rencontres/an<br />1 plénière/an<br />
  16. 16. Les normes, c’est qui?<br />J’aimon opinion et mon expertise personnelle<br />200 délégués<br />600 chapeaux!<br />Je représentemon pays<br />Je défends les intérêts de monbailleur de fonds<br />
  17. 17. Le processus ISO, c’est quoi?<br />
  18. 18. Le processus ISO, c’est quoi?<br />
  19. 19. Le processus ISO, c’est quoi?<br />19<br />
  20. 20. Le processus ISO, c’est quoi?<br />Exemple: l’infonuagique (cloud computing)<br />En octobre 2010, SC27 lance l’étapepréliminaire pour unenormesur la sécurité et la PRP dansl’infonuagique<br />L’étuded’opportunitéestconfiée aux groupes de travail 1, 4 et 5 (gouvernance, contrôles et PRP)<br />Les déléguéssontinvités à soumettre suggestions et matériel<br />On lance aussil’invitation à des groupesexternes: SC38, ISACA, NIST et ITU-T<br />3 responsables (rapporteurs) sontdésignés pour recevoir les contributions et produire un rapport avant la prochainerencontre<br />
  21. 21. Le processus ISO, c’est quoi?<br />21<br />
  22. 22. Le processus ISO, c’est quoi?<br />22<br />Liaison statement to ITU-T FG Cloud on Identity Management, Privacy Technology, and Biometrics <br />ISO/IEC JTC 1/SC 27/WG 5 would like to thank ITU-T FG Cloud for their continued interest in the work of ISO/IEC JTC 1/SC 27/WG 5. <br />ISO/IEC JTC 1/SC 27/WG 5 would like to inform the ITU-T Focus Group Cloud Computing about the output of our WG 1, WG 4 and WG 5 Study Period on “Cloud computing security and privacy”. This Study Period recommended text for a WG 5 New Work Item Proposal (NWIP) for Cloud data protection controls. The proposed New Work Item is considered to be built based on the ISO/IEC 27000 series and is intended to establish commonly accepted data protection control objectives, controls, and guidelines for implementing controls to meet the requirements identified by a risk assessment. In particular, it will provide guidelines based on ISO/IEC 27001, taking also into consideration the regulatory requirements for data protection which may be applicable within the context of the organization's information security risk environment(s). <br />ISO/IEC JTC 1/SC 27/WG 5 also acknowledges receipt of the ITU-T Deliverable on "Cloud Security" that will be studied in ITU-T with collaboration with related SDOs. <br />
  23. 23. Le processus ISO, c’est quoi?<br />Exemple: cloud computing (suite)<br />En avril 2011, SC27 décidequ’ilestopportun de produireunetellenorme et de continuer l’étude d’opportunité sur les détails du projet<br />En octobre 2011, SC27 décide de proposer troisprojets et désigne des éditeurs qui doiventpréparer un premier avant-projet (preliminary working draft)<br />Les pays membres de SC27 doivent se prononcer par vote avant la prochainerencontre<br />Si le vote estpositif, le travail en comitéscommencera à la prochainerencontre à l’étapepréparatoire<br />
  24. 24. Le processus ISO, c’est quoi?<br />24<br />
  25. 25. Être membre de ISO, c’est quoi?<br />
  26. 26. Être membre de ISO, c’est quoi?<br />Êtreinvité en tantqu’expert par son organisme national<br />Au Canada c’est le Conseilcanadien des normes<br />Participer aux rencontresnationales<br />4 rencontres par année à Ottawa (outéléconférence)<br />Participer aux discussions en lignenationales et internationales<br />Listes de courriels, forums, Skype<br />Lire et commenter des normes en rédaction<br />
  27. 27. Être membre de ISO, c’est quoi?<br />
  28. 28. Être membre de ISO, c’est quoi?<br />
  29. 29. Être membre de ISO, c’est quoi?<br />Participer aux rencontresinternationales<br />5 jours en octobre , 7 jours en avril/mai<br />L’hôteest un pays membredont la candidature estapprouvée<br />Organisée par un comité de bénévoles qui doit:<br />trouver des fonds (parrains, annonceurs) et<br />organiser la logistique (locaux, hébergement, transport, pauses, réseau, électricité…)<br />Dernière au Canada: 2003 à Québec<br />Le CCN nous reconnaîtcommedéléguéofficiel du Canada<br />sans statutdiplomatique<br />
  30. 30. Être membre de ISO, c’est quoi?<br />
  31. 31. Être membre de ISO, c’est quoi?<br />Participer aux rencontres internationales<br />Coût: 20 joursd’absence + avion, hôtel, repas<br />Chaque délégué doit financer son voyage<br />de sapoche, ou<br />par son employeur, ou<br />par une association ou groupe d’intérêt<br />Le Canada ne fournit que l’assurance (vie, médicale, enlèvement) en voyage<br />Présence accrue et influence croissante des géants de l’industrie<br />pas grave pour les normes sur les vis et les boulons<br />préoccupant pour les normes sur la sécurité et la PRP<br />
  32. 32. Être membre de ISO, c’est quoi?<br />Les rencontres internationales sont essentielles<br />Ateliers de travail<br />On y façonne les normes en discutant du contenu et des commentaires<br />Plénières de groupes de travail<br />On y valide les recommandationsdes groupes de travail<br />On y prend les décisions pour lecontenu des normes<br />Plénières de SC27<br />On y approuve les recommandations des groupes de travail<br />On y prend les décisions pour la gestion du cycle de vie des normes<br />
  33. 33. Être membre de ISO, c’est quoi?<br />Les rencontres internationales sont essentielles<br />Rencontres de délégation<br />On y décide la stratégie nationale<br />Réseautage d’experts<br />On y retrouve un bagaged’expertiseimpressionnant<br />Politique, conciliabules, magouilles<br />On prend plus de décisionsdansles corridors quedans les auditoriums<br />Un évènement social officiel<br />Qui détermine la réputation du pays hôte!<br />(et parfois, celle des délégués..)<br />
  34. 34. Être membre de ISO, c’est quoi?<br />
  35. 35. Être membre de ISO, c’est quoi?<br />
  36. 36. Être membre de ISO, c’est quoi?<br />Défis et avantages<br />
  37. 37. Être membre de ISO, c’est quoi?<br />Défis<br />Absences prolongées – il faut gérer le travail qui s’accumule, les perceptions<br />Inconfort – ex: 36 heures de vol, 12 heures de décalage<br />Problèmes logistiques – réservations, électricité, internet, volcans, tsunamis<br />Enjeux culturels – langue, coutumes, lois différentes<br />C’est un crime de photographier un soldat au Kenya<br />Risques pour la santé – eau, nourriture, maladies tropicales<br />Milieux hostiles – instabilité politique, économique et sociale<br />
  38. 38. Être membre de ISO, c’est quoi?<br />Avantages<br />Réseautage avec des experts internationaux<br />Formation – vision élargie, expériencevariée<br />Êtresénior ne veut pas dire faire la même chose pendant 20 ans<br />Bonification du CV personnel et d’entreprise<br />Liens d’amitié avec des gens de provenances diverses<br />Voyages – occasion de sortir des sentiersbattus<br />Économie – bonne occasion pour des vacanceséloignées!<br />Pour la firme, c’est<br />l’occasion d’être un acteurplutôtqu’unspectateur<br />démontrerqu’elleestprête à investirdans la croissance et la maturité du domaine<br />
  39. 39. Être rédacteur d’une norme ISO, c’est quoi?<br />
  40. 40. Être rédacteur d’une norme ISO, c’est quoi?<br />Rédiger le document<br />Le déposeravantl’échéance<br />Recevoir les commentaires<br />Traiter les commentaires<br />Présider les ateliers de travail<br />Intégrer les commentairesdansune nouvelle version du document<br />Recommencer pour chaqueitérationtous les 6 mois<br />200 à 300 heures par année<br />
  41. 41. En conclusion<br />Les normesélaborées par le SC27 sontd’une importance croissante pour la sécurité de l’information<br />Ellessont de plus en plus reconnuesdansl’industrie<br />Cesnormessont le résultat d’un consensus entre experts internationaux<br />Ces experts effectuent un travail énorme en coulisses<br />Pour le bien de tous, davantage de partenairesdoivents’impliquerdans le processus<br />

×