Affichage des contenus web Affichage des contenus web

Dossiers de l'heure 2002 [Archives]

Affichage des contenus web Affichage des contenus web

2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 20022000 | 1999

Éditeur de capitaux Éditeur de capitaux

Techniques de sécurité des technologies de l'information

2002-07-08

Techniques de sécurité des technologies de l'information - Rôle du Comité consultatif canadien sur la sécurité des technologies de l'information (CCC/STI) ISO/CEI JTC 1/SC 27

par Alice Sturgeon
présidente du CCC/STI

Au chapitre de la sécurité des systèmes STI (de technologie de l'information), la demande va croissant dans les sphères de l'interopérabilité universelle, du commerce électronique, du commerce tout court et des transactions de tout ordre. Le commerce international et régional s'appuie sur la normalisation pour favoriser la compétitivité dans certains secteurs d'activité, fusionner les différents systèmes de réglementation et régimes juridiques nationaux et inciter au recours à des solutions novatrices pour éliminer les obstacles au commerce. Certains secteurs de l'économie, parmi lesquels la finance, les soins de santé, l'application des lois, l'énergie, les ressources et, bien sûr, le gouvernement lui-même, sont à la recherche de méthodes susceptibles de faire avancer le commerce sans cesser d'en garantir la sécurité et la protection de la vie privée. Et c'est par le biais de la normalisation internationale que pourra être assurée à l'échelle de la planète la sécurité électronique.

Le Conseil canadien des normes (CCN) favorise ce recours par le biais des activités de son Comité consultatif canadien sur la sécurité des technologies de l'information qui, faisant partie du Système national de normes, représente officiellement le Canada dans ce domaine dans le contexte de la normalisation. Le CCC/STI se compose d'une trentaine de professionnels spécialisés en sécurité des technologies de l'information (STI), qui mettent bénévolement leurs compétences au service de la normalisation nationale et internationale. On lui a confié un double mandat qui le charge, d'une part, de conseiller l'Association canadienne de normalisation (organisme canadien d'élaboration de normes spécialisé dans le domaine des normes de sécurité des TI), de l'autre, de participer à l'élaboration des normes internationales sur les TI en qualité d'experts représentant le Canada au Sous-comité 27 du Comité technique mixte 1 de l'ISO/CEI sur les technologies de l'information.

Les organisations telles que l'Organisation mondiale du commerce (OMC), l'Organisation de coopération et de développement économiques (OCDE) et l'Organisation des Nations Unies (ONU) sont souvent associées aux activités de normalisation en général et à celles de l'ISO en particulier. Quant aux unions régionales telles que l'Union européenne, elles ont parfois recours aux normes internationales pour obtenir une meilleure uniformité au sein de leurs membres. Ces diverses organisations ont la même consigne : se consacrer encore davantage aux travaux de normalisation, accélérer la production de normes et apporter une solution à un plus grand nombre de problèmes. La sécurité et la protection de la vie privée font partie des priorités de premier ordre compte tenu de leur rôle dans l'avancement des communications électroniques.

Lorsque d'autres forums d'élaboration de normes liées à l'industrie, tels que le Groupe Internet Engineering Task Force (IETF), parviennent au consensus, les normes qu'ils élaborent sont soumises à l'ISO/CEI qui en assure la complétude et la publication. Le succès de l'ISO/CEI et celui de la normalisation internationale dépendent en général de la participation active et constante d'organismes nationaux, dont font partie les sous-comités qui comprennent à leur tour des personnes mettant à contribution leur service, leur temps, leur énergie et leurs compétences. Ces bénévoles reçoivent le soutien de leurs organisations et des autres commanditaires dans la réalisation de ces importants travaux.

Il faut, cela est clair, harmoniser les normes à l'échelle du monde. Il est également clair que le Canada doit apporter une participation active s'il veut pouvoir exprimer ses propres besoins. Une pénurie des normes harmonisées risque de constituer un obstacle tant au commerce électronique qu'au recours des autres pays du monde à la technologie et aux services du Canada. Élaborant peu de normes dans leurs frontières, nombre de pays du tiers monde doivent utiliser des normes internationales pour accéder au marché mondial. Au sein de la communauté internationale, le CCC/STI est à présent crédible et respecté pour le dévouement, l'intégrité et la compétence dont ses membres font preuve. Conscient de l'importance des travaux dont il est responsable, ce comité ne se lasse pas de mettre tout en ?uvre pour obtenir à tout prix l'aide financière des intéressés, c'est-à-dire, en gros, toutes les organisations canadiennes des secteurs public et privé désireuses de commercer dans un contexte national et international où règnent sécurité et harmonie.

Dans ses fonctions liées aux normes nationales, le CCC/STI se montre actif dans la réalisation du projet du gouvernement fédéral mené par Industrie Canada, qui consiste à établir un cadre de travail d'authentification visant à assurer au Canada la sécurité du commerce électronique. Ses représentants participent en outre au Cyber Security Forum de l'Association canadienne de la technologie de l'information (ACTI). Il est à l'origine de la publication d'une norme canadienne portant sur la gestion de la sécurité des TI. Il répond aux besoins des Canadiens et tient compte des intérêts qui sont les leurs. Les organisations canadiennes sont nombreuses à avoir recours aux normes ISO. Bell Canada a, par exemple, utilisé les normes élaborées par l'ISO/CEI JTC 1/SC 27 pour aligner sa politique en matière de sécurité sur la norme internationale ISO/CEI 17799:2000, intitulée Information Technology -- Code of practice for information security management. Une autre société canadienne du nom de EWA-Canada Ltd. offre un service indépendant d'évaluation des produits de sécurité des TI et a consacré une grande partie de ses ressources à la mise sur pied d'un laboratoire d'évaluation dans lequel opèrent plusieurs experts certifiés dans ce domaine. Ces travaux sont réalisés conformément à la norme élaborée par le JTC 1/SC 27, intitulée ISO/IEC 15408, Information Technology - Evaluation criteria for IT security. La société EWA-Canada Ltd. utilise en outre couramment des normes relatives à d'autres domaines mises au point par le JTC 1/SC 27 de l'ISO/CEI.

Dans ses attributions liées aux normes internationales, le CCC/STI contribue à l'élaboration des normes internationales et à la rédaction des rapports techniques sur les divers aspects de sécurité des TI. Il se montre actif dans les trois domaines particuliers présentés ci-dessous dont s'occupe le Sous-comité 27 (SC 27), Techniques de sécurité des TI, du Comité technique mixte 1 (JTC 1) de l'ISO/CEI sur les technologies de l'information (TI) :

Lignes directrices générales régissant la gestion de la sécurité des TI

Le CCC/STI a dirigé la préparation de deux ouvrages précurseurs dans ce domaine, par le biais du Groupe travail 1 du SC 27 (SC 27/WG 1), Exigences, services de sécurité et directives, dont le premier est le rapport technique ISO/CEI TR 13335, Lignes directrices pour la gestion de la sécurité des technologies de l'information (TI), qui comporte cinq parties. Ce rapport a été présenté il y a plus de dix ans. Ses cinq parties ont été publiées et révisées dans le cadre de la mise à jour en règle de ses lignes directrices à l'intention des organisations des secteurs public et privé. Le deuxième de ces ouvrages importants est la norme ISO/CEI 17799:2000, beaucoup plus récente, intitulée Technologies de l'information -- Code de pratique pour la gestion de sécurité d'information. Cette norme a été publiée pour la première fois en décembre 2000. Toutefois, le Canada l'a renvoyée au comité pour révision, et cela, pour faire en sorte qu'elle puisse être pertinente et soit vraiment utile aux utilisateurs.

Cryptographie

Depuis des années, le CCC/STI dirige les travaux d'élaboration de spécifications hautement techniques qui contribuent à assurer à l'échelle mondiale l'établissement et l'utilisation conformes d'algorithmes et de mécanismes cryptographiques. Le CCC/STI est, par exemple, le premier à avoir publié le projet de norme 18031, intitulé Random number generation (comme mécanisme de sécurité des données limitant l'accès à ces dernières).

Garantie de sécurité

Les transactions électroniques dépendent de la confiance qu'inspirent aux utilisateurs les systèmes des TI. Le SC 27/WG 3 élabore et évalue la méthodologie et les mécanismes servant à garantir leur sécurité. Certains, généralement acceptés, comme ceux présentés dans le projet de norme ISO/CEI 15408, Information Technology -- Evaluation criteria for IT security, prévoient le recours aux systèmes des TI dans tous les secteurs des affaires et des communications. Le Canada est reconnu comme étant un leader dans le domaine des méthodes qui garantissent la sécurité. C'est le CCC/STI qui publie actuellement le projet de Rapport technique TR 15443, intitulé Parts 1 and 3: A framework for IT security assurance.

Le CCC/STI se livre, dans ce contexte, à des activités associées à celles d'autres sous-comités intimement liées à la sécurité. L'ISO/CEI JTC 1 a, par exemple, approuvé récemment la formation d'un nouveau sous-comité, le SC 37, chargé des questions de biométrie. Les aspects sécurité de ce domaine intéressent le SC 27, en particulier le CCC/STI, dans le cadre d'efforts visant à doter le Canada d'une industrie dans ce secteur qui soit à la fois dynamique et prospère. Le rôle de la biométrie est, en gros, de cerner les questions se rapportant à l'authentification et à la protection de la vie privée, questions que le SC 27 s'emploie à solutionner. Le Comité participera donc aux travaux du nouveau sous-comité et de son comité canadien parallèle. Il s'intéresse en outre aux travaux du JTC 1/SC 17, qui portent sur l'Identification des cartes et des personnes (cartes à puce), et à ceux du CCC/SC 17 et demeure en relation étroite avec ce dernier. Par ailleurs, il rend compte de ses travaux au sein du JTC 1/SC 25/WG 1 sur la sécurité des Systèmes électroniques domestiques.

Ce qui précède a pour propos de mettre en évidence les efforts consacrés par les membres bénévoles du CCC/STI à ces travaux d'intérêt. Outre les activités de normalisation, ces derniers se livrent à certaines tâches administratives utiles dans la gestion du comité. Le Conseil canadien des normes (CCN) en accomplit, de son côté, une bonne partie : les tâches liées au vote national et à la diffusion des projets de norme et des rapports techniques, et gère le site Web interactif du Comité (CCC/STI).

Le JTC 1/SC 27 se réunit deux fois par an, et ce sont les organismes nationaux participants qui, tour à tour, accueillent ces réunions. Le Canada en a été l'hôte en octobre 1994. Pour s'acquitter de ses obligations internationales, le CCC/STI, soutenu par le CCN, compte accueillir la réunion internationale prévue en avril 2003. Pour obtenir des fonds et l'aide de parrains et de commanditaires, ses membres contactent en ce moment les divers intéressés de la communauté à qui profitent les résultats de ces travaux de normalisation internationale.

Retour
Affichage des contenus web Affichage des contenus web

Autre renseignements :

CONSENSUS, la revue canadienne de normalisation publiée par le CCN, traite d'un éventail de sujets liés aux normes et examine l'incidence de ces dernières sur l'industrie, le gouvernement et le consommateur.