Limiter la recherche à:
réinitialiser

Structure informatique de la Confédération : Comment atteindre des exigences minimales de sécurité

Nouveautés dans la protection informatique de base 5.0
Auteur: Benedict Simlinger
Contact: George von Büren
Le respect des exigences de l'IT-Grundschutz (IT-GS) est notamment obligatoire pour tous les objets de protection informatique de la Confédération dans le cadre de la procédure de sécurité. Celle-ci garantit que l'infrastructure informatique de la Confédération répond de manière cohérente aux exigences minimales de sécurité ou comment celles-ci peuvent être atteintes. La version 5.0 de la protection informatique de base est valable à partir du 1er mars 2022 et remplace ainsi la version précédente IKT-GS 4.6. Fondamentalement, la nouvelle version poursuit le même objectif, mais a été adaptée par endroits. Ces adaptations sont expliquées dans le blog de manière pratique afin de permettre aux responsables d'application dans l'entreprise, aux responsables SIPD (qui prennent en charge les aspects de la sécurité de l'information et de la protection des données dans un projet) et aux chefs de projet* dans le cadre de projets HERMES de se familiariser sans problème avec la version 5.0 de la protection informatique de base.


Structural adjustments
Figure 1 : Comparaison des articulations de la protection de base version 4.6 et 5.0
Figure 1 : Comparaison des articulations de la protection de base version 4.6 et 5.0
L'ancien IT-Grundschutz était basé sur la norme ISO 27002:2013 en termes de contenu et de structure. Le nouvel IT-Grundschutz, en revanche, est basé sur la nouvelle norme ISO 27002:2022, qui entraîne des changements structurels fondamentaux de la norme : Au lieu de 14 chapitres, il n'y a plus que cinq blocs thématiques sur les contrôles organisationnels, les contrôles des personnes, les contrôles physiques et les contrôles technologiques. Les changements structurels de la norme ISO 27002 se reflètent de manière analogue dans la restructuration de l'IT-GS 5.0 et soulignent ainsi l'orientation vers la série ISO 27000.
Dans le SG ICT 4.6, les chiffres en italique entre parenthèses, comme par exemple (6.2.1), faisaient jusqu'à présent directement référence au contrôle correspondant de l'annexe A de l'ISO 27001 ou de l'ISO 27002 pour chaque exigence. De telles références directes ne sont toutefois délibérément plus mentionnées dans le nouveau IT-Grundschutz. La certification d'un fournisseur ou d'un prestataire de services selon la norme ISO 27001, qui reste inchangée par rapport à la norme ISO 27002, reste toutefois un indicateur robuste de la mise en œuvre de l'IT-GS 5.0. Cela ne dispense toutefois pas le bénéficiaire de prestations d'un contrôle consciencieux, comme l'exige la formulation relative aux signatures.
Relation entre le fournisseur et le bénéficiaire de prestations

Dans le SG TIC 4.6, la responsabilité de la mise en œuvre était explicitement attribuée aux bénéficiaires de prestations (BP), aux fournisseurs de prestations (FP) et/ou aux utilisateurs (UP) pour les différentes exigences. Ce n'est plus le cas dans la nouvelle version.


"Par leurs signatures, les soussignés confirment que les exigences de la version 5.0 de Si001 sont mises en œuvre et respectées et que, selon leur appréciation, tous les fournisseurs de prestations (FP) impliqués dans l'exploitation de l'objet protégé remplissent également les exigences les concernant".


La responsabilité concernant l'objet de protection et l'examen critique de la mise en œuvre des exigences est désormais clairement attribuée au bénéficiaire de prestations. Pour les objets protégés avec plusieurs fournisseurs de prestations (développeurs*, exploitation, hébergement/centre de calcul, service/support, etc.), il s'agit là d'une évolution bienvenue, mais qui place les LB devant le défi de décider de manière autonome dans quels cas la définition d'un objet protégé est conforme à l'objectif.

Exigences facultatives
La nouvelle protection informatique de base donne aux responsables une plus grande flexibilité dans l'application de l'outil approprié à l'objet de protection en question. Les exigences de sécurité relatives à l'organisation (O), au personnel (P), à la technique (T) et aux informations (I) doivent toujours être remplies. Les exigences de sécurité pour les systèmes informatiques (S), les applications (A) et les zones (Z) ne doivent être remplies que si les objets de protection correspondants sont également utilisés. En outre, certaines exigences se relativisent.

"Les exigences qui [...] sont marquées d'un astérisque (*) sont moins risquées pour l'administration fédérale du point de vue de la sécurité informatique. Pour elles, des dérogations sont possibles si elles sont justifiées et documentées dans le document Mise en œuvre des mesures relatives à la protection de base TIC ou dans le concept SIPD".


L'interprétation pratique à ce sujet : La protection informatique de base 5.0 doit couvrir un champ très large et hétérogène d'objets à protéger. Une satisfaction complète de toutes les exigences, comme cela a été enseigné par le passé (sous réserve de la classification d'exigences comme "non pertinentes"), n'est ni possible ni pertinente pour de nombreux objets de protection. Les adaptations apportent ici la flexibilité nécessaire pour traiter spécifiquement les exigences plutôt générales sur les objets protégés.

Exceptions

Si toutes les exigences de la norme IT-Grundschutz 5.0 ne peuvent pas être satisfaites, ces écarts doivent être traités comme des exceptions. Les explications à ce sujet sont résumées ci-dessous et augmentées par l'auteur :


Si [...] ne peut pas satisfaire à une ou plusieurs exigences de l'IT-GS, elle a besoin d'une dérogation conformément à [...] l'ordonnance sur les cyberrisques (CyRV). Celle-ci peut être obtenue de l'une des trois manières suivantes, celles-ci étant classées comme des "niveaux d'escalade" croissants :


  1. T-GS : les manquements justifiés aux exigences marquées d'un astérisque (*) sont automatiquement accordés en tant qu'exception avec la validation du SGI.

  2. ISBD : Un responsable de la sécurité informatique du département (ISBD) peut approuver une demande formelle de dérogation ou [...] la déléguer à l'ISBO [...] si tous les points suivants sont remplis :
    a) L'ISBD est impliqué dans le processus d'octroi de dérogation de manière à pouvoir assumer ses responsabilités.
    b) En résumé, l'exception concerne exclusivement des objets protégés ou des informations de l'IP ne nécessitant pas une protection accrue. Remarque à ce sujet : Il y a besoin de protection accru dès qu'un des champs de classification de l'analyse des besoins de protection dans le domaine de la confidentialité est marqué en rouge et/ou que plus de deux critères dans les domaines de la disponibilité, de l'intégrité ou de la traçabilité sont marqués en rouge.

  3. P035 : Toutes les autres demandes d'exception peuvent être soumises via la gestion des exigences et des prescriptions TIC de la Confédération (processus P035, voir références) à l'attention du National Cyber Security Centre (NCSC). Ce point ne sera toutefois pas abordé plus en détail dans le cadre de cette contribution.

Zones de réseau, politiques
Figure 2 : L'annexe de l'IT-GS 5.0 contient désormais des informations utiles et pertinentes sur les exigences en matière d'authentification dans les différents domaines de réseau de la Confédération.
Figure 2 : L'annexe de l'IT-GS 5.0 contient désormais des informations utiles et pertinentes sur les exigences en matière d'authentification dans les différents domaines de réseau de la Confédération.
L'ancienne IT-Grundschutz s'appuyait sur la norme ISO 27002:2013 en termes de contenu et de structure. La nouvelle protection IT de base s'oriente en revanche sur la nouvelle norme ISO 27002:2022, qui apporte entre autres des modifications structurelles fondamentales à la norme : au lieu de 14 chapitres, il n'y a plus que les cinq blocs thématiques sur les contrôles organisationnels, les contrôles humains, les contrôles physiques et les contrôles technologiques. Les modifications structurelles de l'ISO 27002 sont reflétées de manière analogue par la restructuration de l'IT-GS 5.0 et soulignent ainsi l'orientation vers la série ISO 27000.
"Pour les applications, la personne responsable de l'application conformément à la description des rôles des processus informatiques de l'administration fédérale (voir référence à P000)".

Pour les applications, les responsables de l'objet de protection se situent en général du côté des bénéficiaires de prestations (BP) et s'occupent plutôt de l'objet de protection sur le plan opérationnel. L'intégration de responsables de rôles qui connaissent mieux l'objet de protection du point de vue de l'exploitation est une évolution bienvenue, notamment pour la validation de documents qui sont initialement créés dans le cadre de projets, mais qui doivent ensuite être gérés dans l'exploitation. Outre (1) l'ISBO, (2) le mandant*, (3) le responsable du processus d'affaires* et (4) le responsable de l'IP ou le membre de la direction, l'IT-GS 5.0 ajoute encore (5) le responsable de l'objet de protection.

Conclusion

La nouvelle version de la protection IT de base apporte des améliorations cohérentes, sans pour autant rompre avec les principes et objectifs fondamentaux. Une mise à jour de la protection IT de base doit avoir lieu au plus tard dans le cadre du cycle de vie régulier de la documentation de sécurité, qui est de cinq ans maximum depuis l'approbation. Lors d'une migration d'ICT-GS 4.6 (ou plus ancien) vers IT-GS 5.0, un traitement fondamental "libre" de la nouvelle protection informatique de base conduit à des résultats plus rapides et meilleurs que si les évaluations sont directement copiées d'ICT-GS 4.6 vers IT-GS 5.0.
En savoir plus

Stratégie zéro-CO2

Les situations exceptionnelles exigent un nouvel état d'esprit. Cet article explique pourquoi la voie vers une société à zéro émission de CO2 est considérée comme inéluctable et pourquoi cet aspect devrait être intégré le plus rapidement possible dans nos pensées et actions quotidiennes.


Utilities

Ces dernières années, de nombreuses entreprises d'approvisionnement en énergie ont commencé à optimiser leurs processus commerciaux, à diversifier leur base de revenus et à rechercher de nouveaux domaines de services. La transformation est en cours.


Actualités & Eraneos Insights

Nous avons rassemblé ici pour vous des rapports sur nos projets, des informations intéressantes sur les différents domaines de compétence et de clientèle ainsi que des informations sur notre entreprise.

Nos offres d'emploi

Enabling digital performance.
Enabling digital performance.
Des extraits de textes et des citations sont reproduits et discutés à partir des sources suivantes :
NCSC Accueil > Documentation > Cible de sécurité informatique de la Confédération > Procédures de sécurité > Protection de base
Si001 - Protection IT de base dans l'administration fédérale - version 5.0 (PDF)
Si001 - Hi01 : Mise en œuvre des mesures relatives à la protection IT de base dans l'administration fédérale - version 5.0 (XLS)
ChF Home > Transformation numérique et pilotage des TIC > Prescriptions > Processus et méthodes > P000 - Processus informatiques dans l'administration fédérale
P041 - Analyse des besoins de protection - Version 4.5 (PDF, 344 kB, 19.04.2021)
ChF > Transformation numérique et pilotage des TIC > Prescriptions > Processus et méthodes > P035 - Gestion des exigences et des prescriptions relatives à l'informatique fédérale
Nous utilisons des cookies pour vous offrir une expérience utilisateur optimale.
En continuant à utiliser notre site Web, vous consentez à l'utilisation de témoins. Veuillez consulter notre politique de confidentialité si vous souhaitez en savoir plus à ce sujet.