www.ecoreseau.fr
n°8
S& I
TRATÉGIE NNOVATION NUMÉRIQUE Expertises



Normes

Editorial


par Jean-Louis Pascon 
Quand trop de réflexion 

N devient sclérosant...
Consultant chez Hénon Conseil


No u v e a u x d é v e l o p p e m e n t s d e l a s é r i e I S O / I E C 2 7 0 0 0 s u r 
ous n’avons toujours pas d’identité nu- 
mérique légitime – même pas au travers 
de la carte nationale d’identité électro-
la sécurité de l’information
nique –, alors que techniquement tout est prêt. 
L Le projet IDéNum est toujours en cours de réa- 
lisation. Et voilà qu’on nous annonce une ré- 
flexion quant à la mise en place d’une solution 
d’identité numérique dans le cadre du plan Cy- 
bersécurité, l’un des 34 plans de reconquête de 
’année 2013 a été marquée par la dans les autres normes de la série 27000, cours de définition) pour en savoir plus sur 
la Nouvelle France industrielle soutenus par le publication, fin septembre, des en particulier dans celles qui vont entrer en ces extensions.
ministère du Redressement productif. L’équipe nouvelles versions de la norme révision prochainement : 27003 (Lignes
projet du plan Cybersécurité rassemble des ac- ISO/IEC 27001 (Technologies de l’infor- directrices pour la mise en œuvre du sys- L’ISO/IEC 27037 (Guidelines for identifi-
teurs étatiques, industriels et représentants d’uti- mation-Techniques de sécurité-Systèmes tème de management de la sécurité de l’in- cation, collection, acquisition and preser- 
lisateurs ; il a pour mission, dans un premier de management de la sécurité de l’infor- formation), 27004 (Management de la vation of digital evidence) a un titre 
temps, de présenter une feuille de route pour fin mation-Exigences) et de la norme sécurité de l’information-Mesurage), complexe. Elle traite du « forensic » (qu’il 
mars 2014 dont l’objectif est d’identifier les le- ISO/IEC 27002 (Technologies de l’infor- 27005 (Gestion des risques liés à la sécu- est possible de traduire par « informatique 
viers permettant à l’industrie de la cybersécurité légale » ou « investigation numérique lé- 
de se développer en France.
mation-Techniques de sécurité-Code de rité de l’information) ou qui vont être dé- 
Plus précisément le sujet de l’identité numérique bonne pratique pour le management de la veloppées dans les années à venir : 27009 gale ») et des précautions à prendre dans 
concerne la présentation de l’action 12 : « mettre sécurité de l’information). Ces deux (The Use and Application of ISO/IEC la gestion des données, particulièrement 
en place une solution d’identité numérique en normes constituent, avec l’ISO/IEC 27005 27001 for Sector/Service-Specific Third- celles à valeur de preuve. Elle a donné 
lien avec les enjeux nationaux et européens », (Technologies de l’information-Tech- Party Accredited Certifications), 27017 naissance à trois autres normes en cours de 
avec en particulier la création d’une spécifica- niques de sécurité-Gestion des risques liés (Code of practice for information security développement, fortement orientées par ce 
tion commune pour gérer l’identification et l’au- à la sécurité de l’information) le noyau controls for cloud computing services concept « d’informatique légale ».
thentification électronique.
normatif de la gestion de la sécurité de sys- based on ISO/IEC 27002), 27018 (Code of 
(*)tèmes d’information.
practice for PII protection in public cloud L’ISO/IEC 27050 est un projet de norme 
acting as PII processors), 27036 (Informa- sur le eDiscovery (Découverte électro- On y apprend ainsi, comme s’il s’agissait d’une 
Une analyse de la nouvelle version de tion security for supplier relationshipsnique), destiné à la recherche d’informa- grande nouveauté, que la définition de l’identité 
)...
tions en format électronique dans les 
l’ISO 27001 montre peu de changements litiges civils ou les enquêtes gouvernemen- numérique pourrait correspondre au cumul de 
fondamentaux par rapport à l’ancienne. Parmi les normes qui vont entrer en révi- trois grandes fonctions permettant l’utilisation 
Pour l’essentiel, cette norme a été adaptée sion, une des plus importante est tales. Dans les faits, il s’agit de la transpo- d’un service de confiance en ligne afin de rece- 
afin d’être conforme à la nouvelle annexe l’ISO/IEC 27005 qui traite de la gestion du sition en norme internationale des voir une information, un droit ou contrat en 
des directives de l’ISO portant sur les risque en sécurité de l’information. Cette procédures judiciaires saxonnes.
ligne. Le but étant de créer un cadre de confiance 
normes de management. Cela a conduit nouvelle version devra en particulier inté- mutuelle dans les échanges dématérialisés.
principalement à une réorganisation des grer l’extension de la gestion de nouveaux En conclusion, la grande famille des Ces trois grandes fonctions sont : 
chapitres de la norme.
risques comme ceux liés au Cloud Com- normes ISO 27000 ne fait que se rajeunir L’identification électronique qui permet aux 
puting, à la « privacy » (vie privée) et aux et s’agrandir pour couvrir des domaines de prestataires de services en ligne de répondre à la 
Pour l’ISO/IEC 27002, ce qui est le plus données personnelles.
plus en plus nombreux et précis, tout en question « Qui veut accéder à mon service ? ». 
visible est une réduction du volume, 120 homogénéisant son noyau central (27001, L’authentification électronique qui permet aux 
pages au lieu de 130 précédemment (!), L’ISO/IEC 27009 aura aussi un rôle signi- 27002 et 27005), en s’alignant sur les au- prestataires de services en ligne de répondre à la 
tres normes de management de l’ISO, pour question « Ai-je confiance dans l’identité de la 
avec une diminution des mesures dans la ficatif dans les années qui viennent. Cette personne ? ». Le prestataire de service pouvant 
même proportion et une légère augmenta- norme vise à élargir le champ de la certifi- mieux assurer la sécurité des données et alors décider du droit d’accès de la personne à 
tion du nombre de chapitres. Cela signifie cation ISO/IEC 27001, notamment au des documents.
son service.
que, pour l’essentiel, les mesures complé- Cloud Computing et la « privacy ». Il fau- La signature électronique qui permet aux pres- 
mentaires sont, ou seront, à rechercher
dra attendre sa parution (la norme est en
Il ne reste plus qu’à les mettre en œuvre.
tataires de services en ligne de répondre à la 
question « Qui signe et à quoi s’engage-t-il ? ».


Quand agira-t-on ? Depuis 2009 notre carte na- B U L L E T I N D ’ A B O N N E M E N T
tionale d’identité électronique est prête et nous 
en sommes encore à raisonner, à rechercher, à 
proposer des pistes de réflexion sur le sujet de 
l’identité numérique. Concrètement les citoyens r
a
à compléter et à retourner
avec votre règlement par chèque
T
Eque nous sommes ne disposent d’aucune sécu- Je m’abonne à
l’adresse suivante :
à l’ordre de à l
EN
Rrité numérique délivrée par l’Etat alors que la LMedia
M
08grande majorité de nos proches voisins en béné- ❏ 1 an (10 numéros) : 35,90 €
Service Ab
b
onnement EcoRéseau
E
Dficie. Dommage, car cela favorise les échanges ❏ 2 ans (20 numéros) : 68,90 €
N
B
numériques dans les pays en question. En atten- d
e
e
201-203, rue d
Vaugirard - 75015 Paris
N
dant, grâce à l’eIDAS d’étendre ces échanges au O
niveau européen. Saura-t-on enfin réagir ou doit- ❏ Madame ❏ Mademoiselle ❏ Monsieur
B
on s’attendre à être totalement débordé de tous A
côtés à force de réfléchir et de rechercher des so- Société :
Code postal : D’
lutions parfaites qui n’existent pas ?
 
Nom :
Ville :
N
TI
Jean-Marc Rietsch
Prénom :
Tél :
E
(*) Rappelons que la proposition de règlement eIDAS (élec- L
tronique identification et authentification services) émise en Adresse :
E-mail :
L
juin 2012 et en cours de discussion, décrit le cadre juridique U
visant à renforcer la confiance dans l’utilisation des transac- Délai de réception moyen du premier numéro : 6 semaines environ. DOM-TOM et étranger : nous consulter (abonnement@lmedia.fr). Les informations ci-contre sont indispensables à l’installation de votre abonnement. A défaut, votre abonnement ne pourra pas B
tions électroniques en Europe, et notamment dans le cadre du marché intérieur des services en ligne.
Par notre intermédiaire, vous pouvez être amenés à recevoir des propositions de partenaires commerciaux d’EcoRéseau. Si vous ne
le souhaitez pas, cochez la case ci-contre. ❏
être mis en place.
Conformément à la loi Informatique & Libertés du 6 janvier 1978, le droit d’accès et la rectification des données concernant 
les abonnés peut s’exercer auprès du service abonnement d’EcoRéseau. Sauf opposition expresse, les données peuvent être 
communiqués à des organismes extérieures, notamment à des fifins commerciales.
M2014
44 ARS