Le document traite des normes ISO dans le contexte de la sécurité de l'information, en expliquant leur importance pour l'interopérabilité et l'efficacité des processus industriels. Il décrit également le processus de création des normes ISO, le rôle des membres et des experts, ainsi que les défis et avantages liés à leur participation. Enfin, il souligne le besoin croissant d'une plus grande implication des partenaires dans l'élaboration de ces normes critiques.

1. Dans les coulisses des normes ISOBruno Guay17 octobre 2011

2. Plan de la présentationIntroductionLes normes, pourquoi?Une norme, c’est quoi?Les normes, c’est qui?Le processus ISO, c’est quoi?Être membre de ISO, c’est quoi?Être rédacteur d’une norme ISO, c’est quoi?

3. IntroductionNairobi, Kenya, 10 au 14 octobre 201111e rencontre du comité ISO/IEC JTC1/SC27200+ délégués de 46 pays5 déléguéscanadiensQui sontces gens?Pourquoisont-ilsici?

4. Introduction

5. Les normes, pourquoi?

6. Les normes, pourquoi?Les normes sont une réponse à un besoin exprimé par l’industrie pour:Permettre l’interopérabilitéFaciliter la communicationFaciliter la démonstrationFaciliter la certificationAméliorer l’efficacité et l’efficienceSimplifier l’acceptationRéduire la maintenance

7. Les normes, c’est quoi?

8. Les normes, c’est quoi?Unenormeest:un document qui fournit des lignes directrices sur les processus, les produits, les résultats;réaliste;vérifiable;acceptable pour toutes les parties;établie par voie de consensus entre experts du domaine;approuvée par un organisme de normalisation reconnu.

9. Les normes, c’est quoi?Quelquesexemples de Normes en sécurité de l’informationpubliées par ISO/IEC JTC1/SC27ISO/IEC 27001: Systèmes de management de la sécurité de l'information -- Exigences ISO/IEC 27002: Code de bonne pratique pour le management de la sécurité de l'information ISO/IEC 27005: Gestion des risques liés à la sécurité de l'information (remplaceISO/IEC 13335)ISO/IEC 27031: Lignes directrices pour mise en état des technologies de la communication et de l'information pour continuité des affaires ISO/IEC 27033: Sécurité de réseau

10. Les normes, c’est quoi?Quelquesexemples de Normes en sécurité de l’information en rédaction par ISO/IEC JTC1/SC27ISO/IEC 27032: Lignes directrices pour la cybersécuritéISO/IEC 27034: Sécurité des applicationsISO/IEC 24760: Cadre pour la gestion de l'identitéISO/IEC 29100: Cadre du domaineprivé (A privacy framework)ISO/IEC 29115: Cadre d'assurance de l'authentification d'entité ISO/IEC 29146: Cadre pour gestiond'accèsISO/IEC 29147: Divulgation de vulnérabilité

11. Les normes, c’est qui?

12. Les normes, c’est qui?ISOIECJISCCENCOPANTIEEEUPUETSIBNQBSIANSISCCITUNISTIETFSAEDINCENELECW3C

13. Les normes, c’est qui?ISOIECJTC 1SC 27WG 1WG 2WG 4WG 3WG 5

14. Les normes, c’est qui?ISO/IEC JTC1/SC27 Techniques de sécurité des technologies de l'informationWG 1 Systèmes de management de la sécurité de l'information WG 2 Cryptographie et mécanismes de sécurité WG 3 Critères d'évaluation de la sécurité WG 4 Contrôles et services de sécurité WG 5 Gestion d'identité et technologies de domaine privé

15. Les normes, c’est qui?ISO/IEC JTC1/SC2746 pays votants200+ experts5 groupes de travail97 normespubliées2 rencontres/an1 plénière/an

16. Les normes, c’est qui?J’aimon opinion et mon expertise personnelle200 délégués600 chapeaux!Je représentemon paysJe défends les intérêts de monbailleur de fonds

17. Le processus ISO, c’est quoi?

18. Le processus ISO, c’est quoi?

19. Le processus ISO, c’est quoi?19

20. Le processus ISO, c’est quoi?Exemple: l’infonuagique (cloud computing)En octobre 2010, SC27 lance l’étapepréliminaire pour unenormesur la sécurité et la PRP dansl’infonuagiqueL’étuded’opportunitéestconfiée aux groupes de travail 1, 4 et 5 (gouvernance, contrôles et PRP)Les déléguéssontinvités à soumettre suggestions et matérielOn lance aussil’invitation à des groupesexternes: SC38, ISACA, NIST et ITU-T3 responsables (rapporteurs) sontdésignés pour recevoir les contributions et produire un rapport avant la prochainerencontre

21. Le processus ISO, c’est quoi?21

22. Le processus ISO, c’est quoi?22Liaison statement to ITU-T FG Cloud on Identity Management, Privacy Technology, and Biometrics ISO/IEC JTC 1/SC 27/WG 5 would like to thank ITU-T FG Cloud for their continued interest in the work of ISO/IEC JTC 1/SC 27/WG 5. ISO/IEC JTC 1/SC 27/WG 5 would like to inform the ITU-T Focus Group Cloud Computing about the output of our WG 1, WG 4 and WG 5 Study Period on “Cloud computing security and privacy”. This Study Period recommended text for a WG 5 New Work Item Proposal (NWIP) for Cloud data protection controls. The proposed New Work Item is considered to be built based on the ISO/IEC 27000 series and is intended to establish commonly accepted data protection control objectives, controls, and guidelines for implementing controls to meet the requirements identified by a risk assessment. In particular, it will provide guidelines based on ISO/IEC 27001, taking also into consideration the regulatory requirements for data protection which may be applicable within the context of the organization's information security risk environment(s). ISO/IEC JTC 1/SC 27/WG 5 also acknowledges receipt of the ITU-T Deliverable on "Cloud Security" that will be studied in ITU-T with collaboration with related SDOs.

23. Le processus ISO, c’est quoi?Exemple: cloud computing (suite)En avril 2011, SC27 décidequ’ilestopportun de produireunetellenorme et de continuer l’étude d’opportunité sur les détails du projetEn octobre 2011, SC27 décide de proposer troisprojets et désigne des éditeurs qui doiventpréparer un premier avant-projet (preliminary working draft)Les pays membres de SC27 doivent se prononcer par vote avant la prochainerencontreSi le vote estpositif, le travail en comitéscommencera à la prochainerencontre à l’étapepréparatoire

24. Le processus ISO, c’est quoi?24

25. Être membre de ISO, c’est quoi?

26. Être membre de ISO, c’est quoi?Êtreinvité en tantqu’expert par son organisme nationalAu Canada c’est le Conseilcanadien des normesParticiper aux rencontresnationales4 rencontres par année à Ottawa (outéléconférence)Participer aux discussions en lignenationales et internationalesListes de courriels, forums, SkypeLire et commenter des normes en rédaction

27. Être membre de ISO, c’est quoi?

28. Être membre de ISO, c’est quoi?

29. Être membre de ISO, c’est quoi?Participer aux rencontresinternationales5 jours en octobre , 7 jours en avril/maiL’hôteest un pays membredont la candidature estapprouvéeOrganisée par un comité de bénévoles qui doit:trouver des fonds (parrains, annonceurs) etorganiser la logistique (locaux, hébergement, transport, pauses, réseau, électricité…)Dernière au Canada: 2003 à QuébecLe CCN nous reconnaîtcommedéléguéofficiel du Canadasans statutdiplomatique

30. Être membre de ISO, c’est quoi?

31. Être membre de ISO, c’est quoi?Participer aux rencontres internationalesCoût: 20 joursd’absence + avion, hôtel, repasChaque délégué doit financer son voyagede sapoche, oupar son employeur, oupar une association ou groupe d’intérêtLe Canada ne fournit que l’assurance (vie, médicale, enlèvement) en voyagePrésence accrue et influence croissante des géants de l’industriepas grave pour les normes sur les vis et les boulonspréoccupant pour les normes sur la sécurité et la PRP

32. Être membre de ISO, c’est quoi?Les rencontres internationales sont essentiellesAteliers de travailOn y façonne les normes en discutant du contenu et des commentairesPlénières de groupes de travailOn y valide les recommandationsdes groupes de travailOn y prend les décisions pour lecontenu des normesPlénières de SC27On y approuve les recommandations des groupes de travailOn y prend les décisions pour la gestion du cycle de vie des normes

33. Être membre de ISO, c’est quoi?Les rencontres internationales sont essentiellesRencontres de délégationOn y décide la stratégie nationaleRéseautage d’expertsOn y retrouve un bagaged’expertiseimpressionnantPolitique, conciliabules, magouillesOn prend plus de décisionsdansles corridors quedans les auditoriumsUn évènement social officielQui détermine la réputation du pays hôte!(et parfois, celle des délégués..)

34. Être membre de ISO, c’est quoi?

35. Être membre de ISO, c’est quoi?

36. Être membre de ISO, c’est quoi?Défis et avantages

37. Être membre de ISO, c’est quoi?DéfisAbsences prolongées – il faut gérer le travail qui s’accumule, les perceptionsInconfort – ex: 36 heures de vol, 12 heures de décalageProblèmes logistiques – réservations, électricité, internet, volcans, tsunamisEnjeux culturels – langue, coutumes, lois différentesC’est un crime de photographier un soldat au KenyaRisques pour la santé – eau, nourriture, maladies tropicalesMilieux hostiles – instabilité politique, économique et sociale

38. Être membre de ISO, c’est quoi?AvantagesRéseautage avec des experts internationauxFormation – vision élargie, expériencevariéeÊtresénior ne veut pas dire faire la même chose pendant 20 ansBonification du CV personnel et d’entrepriseLiens d’amitié avec des gens de provenances diversesVoyages – occasion de sortir des sentiersbattusÉconomie – bonne occasion pour des vacanceséloignées!Pour la firme, c’estl’occasion d’être un acteurplutôtqu’unspectateurdémontrerqu’elleestprête à investirdans la croissance et la maturité du domaine

39. Être rédacteur d’une norme ISO, c’est quoi?

40. Être rédacteur d’une norme ISO, c’est quoi?Rédiger le documentLe déposeravantl’échéanceRecevoir les commentairesTraiter les commentairesPrésider les ateliers de travailIntégrer les commentairesdansune nouvelle version du documentRecommencer pour chaqueitérationtous les 6 mois200 à 300 heures par année

41. En conclusionLes normesélaborées par le SC27 sontd’une importance croissante pour la sécurité de l’informationEllessont de plus en plus reconnuesdansl’industrieCesnormessont le résultat d’un consensus entre experts internationauxCes experts effectuent un travail énorme en coulissesPour le bien de tous, davantage de partenairesdoivents’impliquerdans le processus