Compte rendu de la conférence sur la certification
Evénement de l’atelier sécurité du Forum ATENA
Jeudi 06 Décembre 2007
à Telecom Lille1 –école d’ingénieurs
Fabien BREVILLE & Haïkel AGREBI
Elèves-Ingénieurs de l’EPF-école d’ingénieurs
De13h30 à 19h00 nous avons suivi des interventions de professionnels dans le domaine de la certification des technologies et des personnes, la conformité et la certification des organisations. Ces présentations furent animées et cadencées par les coups de chouettes de l’association Forum ATENA qui avait les ailes gonflées du souffle des hautes technologies et des marchés émergeants qui montait de Télécom Lille1 – école d’ingénieurs où s’est tenu ce grand événement.
1/ Les intervenants « états de l’art »
Pascal Chour (DCSSI) est intervenu sur le thème de « La certification des technologies, les Critères Communs ».
Responsable du centre de certification de la Direction Centrale de la Sécurité des Systèmes d’information (DCSSI), il est en charge de la mise en œuvre du schéma français d’évaluation et de certification et participe également à ce titre aux travaux sur les accords de reconnaissance internationaux. Lors de sa présentation, M. Chour nous a exposé ses « retours d’expériences ». Les objectifs d’une évaluation, les motivations quant à l’obtention d’une certification (selon 3 approches :sécuritaire, marketing et réglementaire) sont des sujets qui ont été abordés.
François Zamora (Groupe France Telecom) est intervenu sur le thème de « La conformité et la certification des organisations, les normes ISO 27000 ».
Au sein de la Direction de la Sécurité du Groupe France Telecom, il participe notamment à la définition et à la mise en œuvre du système de management de la sécurité de l’information auprès des divisions opérationnelleset des fonctions support du groupe. M. Zamora est le 140e certifiéISO 27001 au LSTI.
François Zamora, nous a parlé de l’émergence des normes transverses au sein de la société française. Il a axé sa présentation sur la norme ISO 27002. Cette norme qui est un recueil des bonnes pratiques permettant de réduire les risques inhérents aux entreprises permet la construction d’un Framework imposant une approche organisationnelle. Elle consiste simplement en une cohérence dès la base sur ce qu’on cherche à protéger et sur ce qu’on cherche à partager.
Mauro Israel (Cyber Networks), La certification des personnes, CISSP, ISO 27001 lead auditor.
Expert en sécurité et Chief Security Officer de CYBERNETWORKS groupe NET2S, il est Certified Lead Auditor ISO/IEC 27001. Au travers de son expérience de terrain, M. Israel nous a présenté l’intérêt d’une certification individuelle tant pour un élève ingénieur, que pour une SSII, ou pour une grande entreprise. Une présentation de la série des ISO 27000 et en particulier de la norme ISO 27001 fut faite. Cette norme décrit comment mettre en place un Système de Management de la Sécurité de l’Information (SMSI). Le SMSI est destiné à choisir les mesures de sécurité afin d’assurer la protection des actifs d’une entreprise sur un périmètre défini. C’est le modèle de qualité PDCA (Plan Do Check Act) qui doit être suivi pour établir unSMSI.
Ces propos illustrés par des extraits du Petit Prince de Saint-Exupéry, nous ont permis de bien faire la différence entre un fait, une déduction et une inférence.
2/ Les interventions des sponsors qui nous ont présenté le côté pratique de la certification
Christian Damour (Responsable Centre Opérationnel SSI de SILICOMP-AQL) nous a présenté sa société.
SILICOMP-AQL, de part ses compétences en Critères Communs et son statut de CESTI (Centre d’Évaluation de la Sécurité des Technologies de l’Information) agréé par le COFRAC et par la DCSSI, est une société qui réalise les tests d’évaluation de la sécurité des systèmes d’information. Cette démarche comporte l’évaluation de la cible de sécurité et l’évaluation du produit. En outre, M. Damour nous a indiqué que SILICOMP-AQL fournit des formations et des assistances pour l’obtention des certifications.
David Dupré (Responsable Marketing d’ARKOON) nous a alors attirés au sein de la société ARKOON-Network Security.
M. Dupré nous a fait part du souci majeur d’ARKOON qui est d’établir une chaine de confiance dans la certification de ses produits, c’est-à-dire une garantie de reconnaissance internationale au travers d’une certification Critères Communs de niveau évolutif et non impactée par les vulnérabilités de l’environnement ou le passage à de nouvelles versions.
ARKOON est unconstructeur d’appliances de sécurité, certifiées Critères Communs niveau EAL2+ par l’organisme la DCSSI. Arkoon a mis en place des processus et des activités pour certifier et maintenir le certificat sur ses produits actuels et les nouvelles versions de ses produits.
Perrine DILIGENT (Directeur desactivités en France de la société BYWARD récemment certifiée ISO/IEC 27001) elle-même certifiée Lead Auditor ISO 27001, nous a ensuite transportés au seinde ces normes. Cette société constituée de consultants tous certifiés Lead Auditor ISO 27001, réalise des études sur les écarts entre le Système de Management de la Sécurité du Système d’Information (SMSI) de l’entreprise et cequi est spécifié dans la norme ISO 27001. BYWARD propose des formations certifiantes ISO/IEC 27001. BYWARD est en effet un organisme qui propose desformations ISO27001 en partenariat avec LSTI, qui a validé le contenu de la formation que BYWARD propose.
Dominique MEURISSE (Executive vice-Président de NETASQ) nous a amenés dans les coulisses de sa société. Netasq axe son action sur trois segments de marché : la sécurité unifiée, la détection des vulnérabilités et le management des risques. Elle se distingue notamment par ses formations certifiantes ainsi que ses UTMs certifiés EAL 2+ (Unified Threat Management). Ses UTM ne sont pas seulement certifiés Critères Communs, mais est aussi EU Restreint et NATO certified.
M. Meurisse nous a fait part de quelques-uns uns de ses regrets tels la vision US : EAL 4 c’est mieux que EAL 2 (alors qu’ils n’ont pas les mêmes approches des Critères Communs), que 33% desRSSI préfèrent se protéger que de protéger leur entreprise
3/ La table ronde
Pour conclure ces interventions sur la certification, nous avons eu droit à des échanges d’opinion parfois très passionnés mais ne dérogeant à aucun moment aux règles de la bienséance. Armelle Trotin, Présidente de LSTI, et Paul Richy, vice-Président du groupe de coordination de la sécurité à l’AFNOR, se sont joints à la table des intervenants.
En voici quelques extraits que nous avons sélectionnés pour vous :
Question
Peut-on imposer auxéditeurs de se faire certifier au niveau minimum des Profils deProtection ?
Ebauche de réponse
Cette question soulevée par un ancien élève de Télécom Lille1 a suscité un débat très poussé, car en effet, ce qui en est très largement ressorti est que de nos jours, les Profils de Protection – qui sont une cible de sécurité minimale pour la certification d’un produit tel qu’un firewall – ne sont pas obligatoires, chacun des éditeurs pouvant décider de faire certifier la partie du logiciel qu’il souhaite, surtout dans les pays étrangers tels que les Etats-Unis où les niveaux de certification EAL4+ fleurissent malgré le fait que les cibles de sécurité choisies ne correspondent pas vraiment à la fonction première du produit à certifier – caricaturalement, la certification sera axée sur le côté organisation du Firewall plutôt que sur sa fonctionnalité de filtrage en tant qu’interface entre un Intranet et les protocoles d’échanges à surveiller.
Question
Si le début de la certification se passe à un moment « t » dans la vie d’un produit, d’une organisation, etc. et qu’elle se termine à un moment « t’ », qu’est-ce qui garantira l’utilisateur que la version certifiée a tenu compte des évolutions intervenues entre t et t’ ?
Ebauche de réponse
La réponse ne se fit pas attendre par les intervenants qui insistèrent sur le fait qu’une assurance existait à ce niveau : on l’appelle Assurance Certification.
Cette assurance garantit que tout produit ou organisation certifié et qui propose une nouvelle version au public aura au préalable été testé par la société. Deux cas de figures sont alors à envisager :
- Impact Mineur sur la nouvelle version: un certificat de maintien au niveau de certification acquis par la version soumise aux tests.
- Impact Majeur sur la nouvelle version: le produit ne conserve pas son degré de certification et devra être réévalué.
Il existe des sites internet d’où l’on peut accéder aisément aux informations importantes qui concernent la plupart des certifications obtenues : niveau de certification, version certifiée, cible de sécurité, rapport d’évaluation etc…
Deux sites sont à noter :
Question
La ligne Maginot aurait-elle été certifiée ?
Ebauche de réponse
Certainement qu’en 1939 la ligne aurait obtenu la certification ISO 9001 et ISO 14001, mais la certification ISO 27001 n’aurait pas été obtenue de nos jours…
Question
Certification, qualification, homologation quelles sont les différences ?
Ebauche de réponse
Ces trois notions sont trop souvent mélangées. La discussion animée a cherché à les clarifier et en apprécier les complémentarités.
Retenons entre autre que la certification correspond à l’ISO 27000 et la qualification se rapproche de l’ISO 9000. Les définitions gagneront à être explicitées ultérieurement par Forum ATENA.
Et bien d’autres débats ont animé cette table ronde…
A noter que Research In Motion (RIM), le constructeur des BlackBerry, nous faisant ainsi partager sa joie d’avoir obtenu la certification Critères Communs EAL2+ pour ses produits, au Canada, a permis à une personne présente dans la salle, et tirée au sort, de repartir avec un BlackBerry. De plus, deux autres personnes tirées au sort ont gagné un livre "La sécurité à l’usage des PME et des TPE", ouvrage collectif dont plusieurs des auteurs étaient dans l’amphi.
Pour toute information supplémentaire, vous pouvez vous référer aux diaporamas que les divers intervenants ont eu l’amabilité de fournir.
Haïkel AGREBI & Fabien BREVILLE
