Introduction aux référentiels de sécurité informatique

1. Introduction à la notion de référentiels de sécurité informatique

Dans le domaine de la cybersécurité, les référentiels (ou « standards » / « normes ») jouent un rôle fondamental. Ils sont conçus pour :

• Fournir un cadre permettant d'évaluer et de renforcer la sécurité des systèmes d'information ;
• Normaliser les bonnes pratiques et les concepts clés ;
• Faciliter la mise en conformité avec les exigences légales ou règlementaires (RGPD, lois sectorielles, ...) ;
• Faciliter les échanges de bonnes pratiques entre les pays, les secteurs et les entreprises.

Ces référentiels peuvent émaner d'organismes gouvernementaux, d'agences spécialisées ou d'organismes de normalisation privés.

Nous allons explorer les plus importants dans ce cours.

---

2. L'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information - France)

2.1 Rôle et mission

L'ANSSI est l'autorité nationale en matière de sécurité et de défense des systèmes d'information en France. Placée sous l'autorité du Secrétariat général de la défense et de la sécurité nationale (SGDSN), elle a pour mission de :

• Définir la stratégie de l'État en matière de cybersécurité ;
• Protéger les systèmes d'information gouvernementaux et ceux des opérateurs d'importance vitale (OIV) ;
• Élaborer des règles, guides et référentiels pour renforcer la sécurité numérique ;
• Accompagner les organismes publics et privés sur les questions liées à la cybersécurité ;
• Superviser la certification et la qualification de produits et de prestataires de sécurité (CSPN, PASSI, etc.).

2.2 Principaux référentiels et guides

• RGS (Référentiel Général de Sécurité) : défini par l'ANSSI pour encadrer la sécurité des échanges électroniques dans l'Administration. Il précise les niveaux de sécurité (Base, Renforcé, etc.) ainsi que les exigences minimales pour les solutions mises en œuvre (certificats, authentification, signature, etc.).
• Guides techniques : l'ANSSI publie de nombreux guides (configuration, détection d'intrusions, bonnes pratiques, sécurisation des postes de travail, du cloud, etc.) souvent considérés comme des références en France.
• Certification CSPN (Certification de Sécurité de Premier Niveau) : offre un premier niveau de confiance pour des produits de sécurité (pare-feu, antivirus, etc.).
• Qualification PASSI : qualification des Prestataires d'Audit de la Sécurité des Systèmes d'Information.

2.3 Influence et spécificités

• L'ANSSI est la référence nationale en France, fortement adossée aux normes internationales, mais avec un accent sur la souveraineté numérique et la protection des intérêts vitaux de la Nation.
• Les référentiels de l'ANSSI sont souvent utilisés comme base par les administrations françaises et par de nombreuses entreprises soumises à des contraintes fortes de sécurité.

---

3. Le NIST (National Institute of Standards and Technology - États-Unis)

3.1 Rôle et mission

Le NIST est une agence du Département du Commerce des États-Unis. Bien qu'il ne se consacre pas uniquement à la cybersécurité (il couvre la métrologie, les standards de mesure, etc.), il est très influent dans l'élaboration de standards et de cadres de référence pour la sécurité des systèmes d'information.

3.2 Principaux référentiels et publications

• NIST Cybersecurity Framework (CSF) : cadre de référence largement adopté, orienté sur la gestion des risques. Il s'articule autour de cinq fonctions : Identifier, Protéger, Détecter, Répondre, Rétablir.
• Série NIST Special Publications (SP) 800 :
  • SP 800-53 : catalogue de contrôles de sécurité pour les systèmes d'information.
  • SP 800-37 : guide pour la gestion du risque et l'autorisation d'opérer.
  • SP 800-171 : exigences pour protéger l'information sensible (CUI) au sein des sous-traitants du gouvernement fédéral.
  • Et bien d'autres (SP 800-61 pour la gestion des incidents, SP 800-63 pour l'authentification numérique, etc.).
• FIPS (Federal Information Processing Standards) : normes fédérales concernant le traitement de l'information (ex. FIPS 140-2/3 pour la validation des modules cryptographiques).

3.3 Influence et spécificités

• Le cadre NIST est très largement utilisé aux États-Unis par les agences gouvernementales et les entreprises sous-traitantes du gouvernement, mais aussi par le secteur privé au sens large (IT, finance, santé, etc.).
• Les documents du NIST sont accessibles gratuitement, régulièrement mis à jour, et leur approche « framework » est considérée comme un standard de fait au niveau mondial.

---

4. ISO (Organisation Internationale de Normalisation)

4.1 Rôle et mission

L'ISO (International Organization for Standardization), basée à Genève, est une organisation non gouvernementale composée d'organismes nationaux de normalisation de plus de 160 pays. Sa mission est d'élaborer et de promouvoir des normes internationales dans de nombreux domaines (qualité, environnement, sécurité, etc.).

4.2 Principales normes en sécurité de l'information

• ISO/CEI 27001 : la plus connue, spécifie les exigences pour mettre en place et maintenir un Système de Management de la Sécurité de l'Information (SMSI).
• ISO/CEI 27002 : code de bonnes pratiques pour les mesures de sécurité (parfois vu comme le guide pour implémenter 27001).
• ISO/CEI 27005 : guide pour la gestion des risques liés à la sécurité de l'information.
• ISO/CEI 27701 : extension pour la gestion de la protection de la vie privée (Privacy Information Management System).
• (Et de nombreuses autres normes connexes : 27017 pour le cloud, 27018 pour la protection des données à caractère personnel dans le cloud, etc.)

4.3 Influence et spécificités

• Les normes ISO (27001, 27002, etc.) sont internationalement reconnues et utilisées par des entreprises de toutes tailles pour structurer leur démarche de sécurité.
• L'ISO/CEI 27001 est certifiable : une entreprise peut être auditée et obtenir la certification si son SMSI est conforme aux exigences.
• Ces normes sont également utilisées comme base réglementaire dans certains appels d'offres ou dans les obligations de conformité (pas seulement en Europe, mais dans le monde entier).

---

5. ENISA (Agence de l'Union européenne pour la cybersécurité)

5.1 Rôle et mission

L'ENISA (European Union Agency for Cybersecurity) est l'agence de l'UE chargée de la cybersécurité. Sa mission est de :

• Renforcer les capacités de l'UE et de ses États membres en matière de cybersécurité ;
• Assister les États membres dans la mise en œuvre de la législation de l'UE (Directive NIS, Cybersecurity Act, etc.) ;
• Fournir des analyses, des conseils, des recommandations et des rapports sur les tendances et menaces cyber ;
• Faciliter la collaboration et l'échange d'informations au niveau européen.

5.2 Principales publications

• Rapports annuels sur l'état de la cybersécurité : analyse des menaces, tendances, et bonnes pratiques pour y faire face.
• Guidelines et best practices : l'ENISA produit régulièrement des guides (sur la sécurité cloud, l'IoT, la 5G, la cryptographie, etc.).
• Certification européenne : dans le cadre du "Cybersecurity Act" (2019), l'ENISA pilote l'élaboration de schémas de certification européens pour les produits TIC.

5.3 Influence et spécificités

• L'ENISA est au cœur de l'UE pour ce qui touche la cybersécurité. Ses analyses et ses directives servent souvent de base stratégique aux gouvernements européens.
• Elle collabore avec les agences nationales (ANSSI en France, BSI en Allemagne, etc.) et contribue à harmoniser les approches en matière de sécurité en Europe.

---

6. BSI (Bundesamt für Sicherheit in der Informationstechnik - Allemagne)

6.1 Rôle et mission

Le BSI est l'agence fédérale allemande de cybersécurité. Comme l'ANSSI en France, il :

• Protège les réseaux informatiques des institutions fédérales allemandes ;
• Élabore des standards, des guides et des certifications de sécurité ;
• Audit et accrédite les solutions de sécurité pour le gouvernement et les opérateurs critiques.

6.2 Principaux référentiels et guides

• IT-Grundschutz : l'équivalent allemand des bonnes pratiques de base. Il comprend un catalogue de mesures (IT-Grundschutz Catalogues) classées par domaines (infrastructure, organisation, applications, etc.).
• BSI-Standards (100, 200, etc.) : séries de normes décrivant la méthodologie de gestion des risques, le management de la sécurité, etc.

6.3 Influence et spécificités

• IT-Grundschutz est très reconnu en Allemagne et dans les pays germanophones. Il propose une approche méthodologique détaillée, similaire en esprit à ISO 27001, mais plus prescriptive sur certains points.
• Le BSI travaille en lien avec d'autres agences européennes (dont l'ENISA) et a une forte dimension opérationnelle (contrôle direct de l'administration fédérale).

---

7. Autres organismes et standards notables

7.1 PCI SSC (Payment Card Industry Security Standards Council)

• Organisme fondé par les grandes sociétés de cartes de crédit (Visa, MasterCard, American Express, etc.) pour sécuriser l'écosystème des paiements.
• PCI DSS (Payment Card Industry Data Security Standard) est un standard imposé aux commerçants, prestataires de services et banques pour protéger les données de carte bancaire.
• Il existe également d'autres programmes connexes (PA-DSS pour les applications de paiement, etc.).

7.2 CIS (Center for Internet Security)

• Organisme à but non lucratif qui publie notamment les CIS Controls (anciennement SANS Top 20) : une liste priorisée de mesures techniques pour renforcer la sécurité des systèmes.
• Publie aussi des benchmarks pour la configuration sécurisée de nombreux systèmes (Windows, Linux, serveurs Web, etc.).

7.3 SANS Institute

• Organisme de formation et de recherche en cybersécurité réputé.
• Publie divers top 20 / top 25 (vulnérabilités logicielles, etc.) et organise la SANS Internet Storm Center (centre de veille sur les cybermenaces).

7.4 ITU (International Telecommunication Union)

• Agence spécialisée de l'ONU pour les technologies de l'information et de la communication.
• Produit des recommandations dans le domaine de la cybersécurité, notamment la norme X.509 pour les certificats électroniques, ou encore des rapports et directives globales (Global Cybersecurity Agenda, etc.).

---

8. Synthèse : comment ces référentiels s'articulent-ils ?

• Cadres nationaux : ANSSI (France), BSI (Allemagne), NIST (États-Unis), etc.
  • Adaptés au contexte local (lois, règlementations, besoins sectoriels).
  • Prescriptifs pour les services gouvernementaux et, souvent, pour les opérateurs d'importance vitale.
• Cadres internationaux : ISO (normes 27000), ENISA (orientations UE), ITU, etc.
  • Vocation de convergence des bonnes pratiques à l'échelle mondiale ou régionale (UE).
  • Souvent utilisés comme référentiels de certification (ISO/CEI 27001 notamment).
• Standards sectoriels ou spécialisés : PCI DSS (paiement), CIS Controls (checklists de configuration), FIPS (cryptographie américaine), etc.
  • Exigences très spécifiques à un secteur ou un usage (cartes de crédit, cryptographie, configuration système).

En pratique, les organisations peuvent être amenées à combiner plusieurs référentiels (par exemple ISO 27001 + NIST CSF + PCI DSS) afin de :

• Respecter les obligations réglementaires / contractuelles ;
• Obtenir une certification reconnue (ex : ISO 27001) ;
• S'aligner sur des bonnes pratiques complètes et reconnues au niveau mondial (ex : NIST CSF).

---

9. Conclusion et bonnes pratiques de mise en place

9.1 Pourquoi se référer à ces organismes ?

• Crédibilité et confiance : utiliser des référentiels reconnus rassure les partenaires, clients, autorités de tutelle.
• Alignement sur les standards internationaux : facilite l'interopérabilité et l'échange d'informations.
• Cadre méthodologique : évite de "réinventer la roue" et profite du retour d'expérience mondial.

9.2 Bonnes pratiques pour s'appuyer sur ces référentiels

• Analyser le contexte et les enjeux de sécurité de l'organisation (taille, secteur, contraintes réglementaires).
• Choisir un référentiel de base (ex. ISO 27001, NIST CSF, etc.) en fonction des exigences de conformité et du niveau de détail souhaité.
• Adapter et compléter : il peut être judicieux d'enrichir son référentiel principal par des guides techniques (ANSSI, CIS, etc.) ou des normes sectorielles (ex. PCI DSS).
• Former et sensibiliser le personnel : un référentiel n'a de sens que s'il est compris et appliqué.
• Mettre en place une gouvernance : définir des rôles et responsabilités clairs (RSSI, comité de pilotage, etc.).
• Auditer et améliorer en continu : la cybersécurité est un cycle, non un projet ponctuel. L'évaluation régulière (audits internes/externes) permet de progresser.

---

Récapitulatif

• ANSSI (France) : référentiel national (RGS, guides, CSPN, PASSI), souveraineté et protection des administrations et OIV.
• NIST (États-Unis) : Cybersecurity Framework, séries SP 800, standard de fait mondial, approche par le risque.
• ISO : Normes internationales (ISO 27001, 27002...), certifiables, larges domaines de gouvernance, alignement mondial.
• ENISA (UE) : coordination européenne, directive NIS, guides, certifications européennes.
• BSI (Allemagne) : IT-Grundschutz, normes BSI, forte approche méthodologique.
• PCI SSC : standard PCI DSS pour la sécurisation des données de cartes de paiement.
• CIS : CIS Controls, benchmarks de configuration, référentiels pratiques.
• SANS : formation et bonnes pratiques (Top 25 vulnérabilités, Internet Storm Center).
• ITU : cadre ONU pour les télécommunications, normes comme X.509.

Chaque organisation ou norme répond à des besoins spécifiques (gouvernance générale, sectoriel, technique, etc.). En pratique, les entreprises et organismes combinent souvent plusieurs référentiels pour assurer une couverture complète de leurs enjeux cyber.

---