Références SSI dans l’élaboration d’une PSSI
Ce chapitre présente les principaux référentiels, normes, lois, codes d’éthique et lignes directrices à considérer dans l’élaboration d’une politique de sécurité des systèmes d’information (PSSI).
1. Critères Communs (ISO/IEC 15408)
- Norme internationale d’évaluation de sécurité pour produits et systèmes.
- Trois acteurs : commanditaire, développeur, évaluateur.
- Concepts clés : cible de sécurité, exigences fonctionnelles (ex. FIA, FDP, FCS), exigences d’assurance (ADV, ATE, AVA…).
┌──────────────┐ ┌────────────┐ ┌──────────────┐
| Commanditaire| --> | Développeur| --> | Évaluateur |
└──────────────┘ └────────────┘ └──────────────┘
- Objectif : garantir qu’un système répond à ses objectifs de sécurité.
2. Lignes directrices de l’OCDE
Sécurité des SI & Cryptographie : 9 principes fondamentaux (2002) + directives cryptographiques (1997).
| Principe | Description |
|---|---|
| Sensibilisation | Tous les acteurs doivent être informés des risques |
| Responsabilité | Chaque acteur est responsable de la SSI |
| Réaction | Réagir rapidement et collectivement |
| Éthique | Respect des intérêts légitimes |
| Démocratie | Respect des valeurs démocratiques |
| Évaluation des risques | Approche continue |
| Conception sécurisée | La sécurité dès la conception |
| Gestion globale | Stratégie SSI centralisée |
| Réévaluation | Revue régulière des politiques |
Info
En cryptographie : droit au choix, confiance, cadre légal, respect vie privée.
3. Codes d’éthique IT
- AFIN (France), CLUSIF : codes spécifiques aux professionnels SSI.
- Exemples étrangers : ACM, IEEE, BCS, CIPS, SAGE, etc.
- Thèmes : confidentialité, compétence, impartialité, responsabilité, usage légitime.
4. Références juridiques (extraits du Code pénal, lois, décrets)
- Protection des personnes : vie privée, secret pro, correspondance, données.
- Atteintes aux biens : vol, escroquerie, sabotage, détérioration de SI.
- Cybersécurité nationale : terrorisme, trahison, défense nationale.
- Propriété intellectuelle : droit d’auteur, bases de données.
- Signature électronique : loi 2000-230, décrets associés.
- Cryptologie : lois 90-1170, 96-659, décrets 98-101 à 2002-1073…
5. Références complémentaires
- CNIL : RGPD, recommandations, cybersurveillance, vie privée.
- Conseil de l’Europe : convention cybercriminalité, recommandations sur données personnelles.
- ONU : principes sur la régulation des fichiers informatisés.
Tip
Astuce pédagogique : Ces références doivent nourrir la légitimité de votre PSSI. Intégrez-les dans vos annexes ou plan d’action pour soutenir vos choix SSI.