Présentation de Bruno Guay de Chez Nurun Services Conseils dans le cadre du Colloque québécois de la sécurité de l'information (CQSI) 2011.

1. Dans les coulisses des normes ISO Bruno Guay 17 octobre 2011

2. Plan de la présentation Introduction Les normes, pourquoi? Une norme, c’est quoi? Les normes, c’est qui? Le processus ISO, c’est quoi? Être membre de ISO, c’est quoi? Être rédacteur d’une norme ISO, c’est quoi?

3. Introduction Nairobi, Kenya, 10 au 14 octobre 2011 11e rencontre du comité ISO/IEC JTC1/SC27 200+ délégués de 46 pays 5 déléguéscanadiens Qui sontces gens? Pourquoisont-ilsici?

4. Introduction

5. Les normes, pourquoi?

6. Les normes, pourquoi? Les normes sont une réponse à un besoin exprimé par l’industrie pour: Permettre l’interopérabilité Faciliter la communication Faciliter la démonstration Faciliter la certification Améliorer l’efficacité et l’efficience Simplifier l’acceptation Réduire la maintenance

7. Les normes, c’est quoi?

8. Les normes, c’est quoi? Unenormeest: un document qui fournit des lignes directrices sur les processus, les produits, les résultats; réaliste; vérifiable; acceptable pour toutes les parties; établie par voie de consensus entre experts du domaine; approuvée par un organisme de normalisation reconnu.

9. Les normes, c’est quoi? Quelquesexemples de Normes en sécurité de l’informationpubliées par ISO/IEC JTC1/SC27 ISO/IEC 27001: Systèmes de management de la sécurité de l'information -- Exigences ISO/IEC 27002: Code de bonne pratique pour le management de la sécurité de l'information ISO/IEC 27005: Gestion des risques liés à la sécurité de l'information (remplaceISO/IEC 13335) ISO/IEC 27031: Lignes directrices pour mise en état des technologies de la communication et de l'information pour continuité des affaires ISO/IEC 27033: Sécurité de réseau

10. Les normes, c’est quoi? Quelquesexemples de Normes en sécurité de l’information en rédaction par ISO/IEC JTC1/SC27 ISO/IEC 27032: Lignes directrices pour la cybersécurité ISO/IEC 27034: Sécurité des applications ISO/IEC 24760: Cadre pour la gestion de l'identité ISO/IEC 29100: Cadre du domaineprivé (A privacy framework) ISO/IEC 29115: Cadre d'assurance de l'authentification d'entité ISO/IEC 29146: Cadre pour gestiond'accès ISO/IEC 29147: Divulgation de vulnérabilité

11. Les normes, c’est qui?

12. Les normes, c’est qui? ISO IEC JISC CEN COPANT IEEE UPU ETSI BNQ BSI ANSI SCC ITU NIST IETF SAE DIN CENELEC W3C

13. Les normes, c’est qui? ISO IEC JTC 1 SC 27 WG 1 WG 2 WG 4 WG 3 WG 5

14. Les normes, c’est qui? ISO/IEC JTC1/SC27 Techniques de sécurité des technologies de l'information WG 1 Systèmes de management de la sécurité de l'information WG 2 Cryptographie et mécanismes de sécurité WG 3 Critères d'évaluation de la sécurité WG 4 Contrôles et services de sécurité WG 5 Gestion d'identité et technologies de domaine privé

15. Les normes, c’est qui? ISO/IEC JTC1/SC27 46 pays votants 200+ experts 5 groupes de travail 97 normespubliées 2 rencontres/an 1 plénière/an

16. Les normes, c’est qui? J’aimon opinion et mon expertise personnelle 200 délégués 600 chapeaux! Je représentemon pays Je défends les intérêts de monbailleur de fonds

17. Le processus ISO, c’est quoi?

18. Le processus ISO, c’est quoi?

19. Le processus ISO, c’est quoi? 19

20. Le processus ISO, c’est quoi? Exemple: l’infonuagique (cloud computing) En octobre 2010, SC27 lance l’étapepréliminaire pour unenormesur la sécurité et la PRP dansl’infonuagique L’étuded’opportunitéestconfiée aux groupes de travail 1, 4 et 5 (gouvernance, contrôles et PRP) Les déléguéssontinvités à soumettre suggestions et matériel On lance aussil’invitation à des groupesexternes: SC38, ISACA, NIST et ITU-T 3 responsables (rapporteurs) sontdésignés pour recevoir les contributions et produire un rapport avant la prochainerencontre

21. Le processus ISO, c’est quoi? 21

22. Le processus ISO, c’est quoi? 22 Liaison statement to ITU-T FG Cloud on Identity Management, Privacy Technology, and Biometrics ISO/IEC JTC 1/SC 27/WG 5 would like to thank ITU-T FG Cloud for their continued interest in the work of ISO/IEC JTC 1/SC 27/WG 5. ISO/IEC JTC 1/SC 27/WG 5 would like to inform the ITU-T Focus Group Cloud Computing about the output of our WG 1, WG 4 and WG 5 Study Period on “Cloud computing security and privacy”. This Study Period recommended text for a WG 5 New Work Item Proposal (NWIP) for Cloud data protection controls. The proposed New Work Item is considered to be built based on the ISO/IEC 27000 series and is intended to establish commonly accepted data protection control objectives, controls, and guidelines for implementing controls to meet the requirements identified by a risk assessment. In particular, it will provide guidelines based on ISO/IEC 27001, taking also into consideration the regulatory requirements for data protection which may be applicable within the context of the organization's information security risk environment(s). ISO/IEC JTC 1/SC 27/WG 5 also acknowledges receipt of the ITU-T Deliverable on "Cloud Security" that will be studied in ITU-T with collaboration with related SDOs.

23. Le processus ISO, c’est quoi? Exemple: cloud computing (suite) En avril 2011, SC27 décidequ’ilestopportun de produireunetellenorme et de continuer l’étude d’opportunité sur les détails du projet En octobre 2011, SC27 décide de proposer troisprojets et désigne des éditeurs qui doiventpréparer un premier avant-projet (preliminary working draft) Les pays membres de SC27 doivent se prononcer par vote avant la prochainerencontre Si le vote estpositif, le travail en comitéscommencera à la prochainerencontre à l’étapepréparatoire

24. Le processus ISO, c’est quoi? 24

25. Être membre de ISO, c’est quoi?

26. Être membre de ISO, c’est quoi? Êtreinvité en tantqu’expert par son organisme national Au Canada c’est le Conseilcanadien des normes Participer aux rencontresnationales 4 rencontres par année à Ottawa (outéléconférence) Participer aux discussions en lignenationales et internationales Listes de courriels, forums, Skype Lire et commenter des normes en rédaction

27. Être membre de ISO, c’est quoi?

28. Être membre de ISO, c’est quoi?

29. Être membre de ISO, c’est quoi? Participer aux rencontresinternationales 5 jours en octobre , 7 jours en avril/mai L’hôteest un pays membredont la candidature estapprouvée Organisée par un comité de bénévoles qui doit: trouver des fonds (parrains, annonceurs) et organiser la logistique (locaux, hébergement, transport, pauses, réseau, électricité…) Dernière au Canada: 2003 à Québec Le CCN nous reconnaîtcommedéléguéofficiel du Canada sans statutdiplomatique

30. Être membre de ISO, c’est quoi?

31. Être membre de ISO, c’est quoi? Participer aux rencontres internationales Coût: 20 joursd’absence + avion, hôtel, repas Chaque délégué doit financer son voyage de sapoche, ou par son employeur, ou par une association ou groupe d’intérêt Le Canada ne fournit que l’assurance (vie, médicale, enlèvement) en voyage Présence accrue et influence croissante des géants de l’industrie pas grave pour les normes sur les vis et les boulons préoccupant pour les normes sur la sécurité et la PRP

32. Être membre de ISO, c’est quoi? Les rencontres internationales sont essentielles Ateliers de travail On y façonne les normes en discutant du contenu et des commentaires Plénières de groupes de travail On y valide les recommandationsdes groupes de travail On y prend les décisions pour lecontenu des normes Plénières de SC27 On y approuve les recommandations des groupes de travail On y prend les décisions pour la gestion du cycle de vie des normes

33. Être membre de ISO, c’est quoi? Les rencontres internationales sont essentielles Rencontres de délégation On y décide la stratégie nationale Réseautage d’experts On y retrouve un bagaged’expertiseimpressionnant Politique, conciliabules, magouilles On prend plus de décisionsdansles corridors quedans les auditoriums Un évènement social officiel Qui détermine la réputation du pays hôte! (et parfois, celle des délégués..)

34. Être membre de ISO, c’est quoi?

35. Être membre de ISO, c’est quoi?

36. Être membre de ISO, c’est quoi? Défis et avantages

37. Être membre de ISO, c’est quoi? Défis Absences prolongées – il faut gérer le travail qui s’accumule, les perceptions Inconfort – ex: 36 heures de vol, 12 heures de décalage Problèmes logistiques – réservations, électricité, internet, volcans, tsunamis Enjeux culturels – langue, coutumes, lois différentes C’est un crime de photographier un soldat au Kenya Risques pour la santé – eau, nourriture, maladies tropicales Milieux hostiles – instabilité politique, économique et sociale

38. Être membre de ISO, c’est quoi? Avantages Réseautage avec des experts internationaux Formation – vision élargie, expériencevariée Êtresénior ne veut pas dire faire la même chose pendant 20 ans Bonification du CV personnel et d’entreprise Liens d’amitié avec des gens de provenances diverses Voyages – occasion de sortir des sentiersbattus Économie – bonne occasion pour des vacanceséloignées! Pour la firme, c’est l’occasion d’être un acteurplutôtqu’unspectateur démontrerqu’elleestprête à investirdans la croissance et la maturité du domaine

39. Être rédacteur d’une norme ISO, c’est quoi?

40. Être rédacteur d’une norme ISO, c’est quoi? Rédiger le document Le déposeravantl’échéance Recevoir les commentaires Traiter les commentaires Présider les ateliers de travail Intégrer les commentairesdansune nouvelle version du document Recommencer pour chaqueitérationtous les 6 mois 200 à 300 heures par année

41. En conclusion Les normesélaborées par le SC27 sontd’une importance croissante pour la sécurité de l’information Ellessont de plus en plus reconnuesdansl’industrie Cesnormessont le résultat d’un consensus entre experts internationaux Ces experts effectuent un travail énorme en coulisses Pour le bien de tous, davantage de partenairesdoivents’impliquerdans le processus