Publié le 09/12/2019, mis à jour le 21/10/2020 à 10:32 La France à la pointe des cyber-normes
Paris accueillait mi-octobre 2019 la réunion semestrielle du SC 27, l’instance internationale au sein de laquelle les professionnels élaborent les normes volontaires de la sécurité de l’information, de la cybersécurité et de la protection de la vie privée. Les acteurs français sont bien décidés à faire entendre leur voix.
Quel rapport entre les bouteilles de champagne, le ministère de l’Intérieur et la cybersécurité ? Les normes volontaires ! La traçabilité des bouteilles figure parmi les dernières réalisations concrètes issues des travaux français : mi-2019, les producteurs et le ministère se sont appuyés sur les nouveaux référentiels normatifs pour définir les spécifications techniques d’un certificat non falsifiable, invisible à l’œil nu et apposé sur les bouteilles. A chaque étape de la chaîne d’approvisionnement, les intervenants scannent ce minuscule dispositif imprimé, pour garantir la traçabilité du produit et éviter les contrefaçons. L’innovation fera bientôt l’objet d’une norme internationale.
« Aujourd’hui, la cybersécurité est partout, même là où on ne le soupçonne pas, résume François Zamora, directeur de la sécurité pour la division Europe d’Orange et président de la commission de normalisation française en charge de ces sujets, hébergée chez AFNOR. La France s’affiche comme un acteur majeur du sujet à l’international. Ainsi, c’est un expert français qui a identifié des failles dans une proposition russe pour une technique de cryptographie aux enjeux lourds, car susceptible d’être reprise dans protocole sécurisé ‘https’. L’équipe France a permis à la communauté internationale d’en prendre conscience et d’orienter les travaux pour préserver la robustesse du chiffrement normalisé à l’ISO, et par là-même sa crédibilité. » Le numérique et le duo sécurité-cybersécurité figurent d’ailleurs au centre des priorités de la nouvelle stratégie française de normalisation.
Commission AFNOR : un tour de table fourni
Preuve du leadership français sur ces questions, 320 experts venus de 38 pays se sont retrouvés à Paris du 14 au 18 octobre 2019, pour la réunion semestrielle du SC 27. Cette émanation conjointe de l’ISO, l’organisation internationale de normalisation basée à Genève, et de son alter ego pour les électro-technologies, l’IEC, est notamment à l’origine de la norme ISO/IEC 27001 sur le management de la sécurité de l’information. Moments stratégiques, les rencontres annuelles permettent d’accorder les violons et de chercher des consensus internationaux. Chaque pays dispose de sa propre commission de normalisation sur ce thème, et apporte sa contribution à l’échelon international.
En France, c’est Frédéric Solbes qui en est le secrétaire, au sein d’AFNOR. « Accueillir un tel événement n’a rien d’anodin, cela reflète le dynamisme français sur ces sujets, souligne le chef de projet. Notre commission est très active, affichant un tour de table solide composé d’industriels (Thalès, Orange, Schneider Electric, Airbus, Microsoft France, etc.), d’utilisateurs (BNP Paribas, RATP, EDF, FDJ, etc.) ou encore d’institutionnels (CNIL, ministère de l’Intérieur, ANSSI) pour prendre en compte le point de vue de l’ensemble des interlocuteurs concernés. »
Protection de la vie privée : l’ISO 27701 reprise en France
ISO 27001 a conquis de nombreuses entreprises et constitue désormais un prérequis pour accéder à certains marchés : si vous n’appliquez pas la norme, le donneur d’ordres ne vous sélectionnera pas. Fruit des travaux du SC 27, sa nouvelle extension ISO/IEC 27701, dédiée à la protection de la vie privée, s’annonce déjà comme un best-seller. Notez-le : elle sera en enquête publique dans l’Hexagone en septembre 2020, pour une publication prévue en avril 2021 dans la collection AFNOR. « Une vraie victoire pour la position française, apprécie Frédéric Solbes. La CNIL, Orange et Microsoft France ont œuvré pour faire retenir leur contribution technique, avec succès grâce à un travail de conviction auprès des autres pays. » Faire entendre sa voix via la normalisation est donc un enjeu stratégique pour les entreprises concernées !
Cet argument sera valable aussi pour les sujets de demain. François Zamora prend l’exemple de la ville intelligente, autre thématique-phare de la stratégie française de normalisation : « Les villes commencent à agréger des données sur le trafic ou l’environnement, explique-t-il. Ces informations ont vocation à être collectées, stockées, visualisées puis exploitées par les collectivités françaises grâce aux technologies d’aide à la décision s’appuyant sur le big data. Elles serviront de base à des modèles prédictifs sur la qualité de l’air, l’utilisation des bornes de recharge pour voitures électriques, l’efficacité énergétique des bâtiments ou encore l’éclairage public. Déjà mûres en Asie mais encore à l’état de prototypes en Europe, ces initiatives mettent en jeu des modèles d’architecture et de cybersécurité qui s’annoncent comme l’épine dorsale des smart cities. La sécurité et l’intégrité de ces données doivent se penser et s’expérimenter dès à présent. »
La cybersécurité au service des centrales nucléaires
Parmi les cibles-fétiches des cyberattaques, il y a les infrastructures énergétiques. L’un de ses sous-comités de la Commission électrotechnique internationale, IEC SC 45A, développe des normes spécifiques pour protéger les centrales nucléaires contre ce genre d’attaques. L’une de ces normes, IEC 62645, vise à définir des mesures programmatiques adéquates pour prévenir, détecter et réagir aux actes de malveillance commis par les cyberattaques sur les systèmes informatiques des centrales nucléaires. Sortie en 2014, elle a été actualisée en novembre 2019. Elle s’aligne sur les changements d’ISO/IEC 27001 et tient compte des évolutions techniques et des différentes pratiques nationales en matière de cyberprotection.
Le sous-comité de l’IEC a aussi mis à jour la norme IEC 62859, qui fournit un cadre pour gérer les interactions entre la sécurité et la cybersécurité pour les systèmes de centrales nucléaires. Elle établit des directives pour intégrer les dispositions relatives à la cybersécurité dans les architectures et les systèmes d’instrumentation et de contrôle-commande nucléaire. La norme permet d’éviter les conflits potentiels entre les dispositions relatives à la sécurité et à la cybersécurité, et a contrario, d’identifier et d’exploiter les synergies entre les deux. Elle adapte et complète les normes ISO/IEC 27001 et ISO/IEC 27002 au contexte nucléaire et est coordonnée avec la série de normes IEC 62443 sur la cybersécurité dans les processus d’automatisation et de contrôle industriels.
IEC 62645 et IEC 62859 ont été élaborées en tenant compte des principes et aspects fondamentaux de sécurité énoncés dans le code sur la sécurité des centrales nucléaires établi par l’Agence internationale pour l’énergie atomique.
© Getty Images/Hoxton/Martin Barraud