Le comité consultatif sur la sécurité de l’information et la protection de la vie privée (Information Security and Privacy Advisory Board ou ISPAB) s’est réuni les 22 et 23 mars à Washington.
Ce comité a pour mission de conseiller l’exécutif sur les questions de sécurité de l’information et de protection de la vie privée en rapport avec les systèmes d’information relevant du gouvernement fédéral, y compris de valider les recommandations et normes proposées par le NIST (National Institute of Standards and Technology) et de rendre compte sur une base régulière à l’exécutif mais aussi aux commissions concernées du Congrès.
Ce comité est composé d’experts provenant du gouvernement (ministère des transports, NSA et agence pour le logement et le développement urbain), du secteur privé (dont Microsoft et Sun) et surtout de consultants experts ayant souvent travaillé longtemps dans le gouvernement.
L’ordre du jour de la réunion des 22-23 mars et les débats traduisent d’une certaine manière les priorités du moment :
– mise en place de normes et de métriques au sein du gouvernement (avec des documents élaborés par le NIST),
– passage à IPv6,
– la diffusion d’un guide pour la sécurité auprès des cadres (CIO etc.) du gouvernement et des agences fédérales,
– les questions de sécurité dans les coopérations inter agences,
– le projet RealID (de permis de conduire national -dans sa spécification- et biométrique),
– la protection et la remise en ordre des infrastructures de télécommunication en cas de catastrophe (à partir de l’exemple du 11 septembre à New York),
Cela ne couvre évidemment pas tout le champ (on peut notamment relever l’absence de la question de la sécurisation des systèmes équipés de communication sans fil) mais il y avait là largement matière à deux jours de présentations, tables rondes et débats.
De ces deux jours on peut noter que :
– il reste très difficile de mettre en place des mesures et des métriques donnant une bonne assurance de sécurité ; les métriques en particulier restent un objectif éloigné, les propositions (surtout dans le domaine du logiciel) sont encore trop souvent limitées à la détection d’incidents plutôt qu’à la prévention et ne prenant pas assez en compte les processus,
– les agences fédérales tendent à demander de plus en plus la communication (entre elles ou auprès d’entreprises) de données personnelles parfois sensibles sans être capables de recevoir des données convenablement cryptées. L’ISPAB va donc saisir le gouvernement pour que des consignes soient données à cet égard et pour qu’une étude de fond soit menée,
– d’une manière générale la protection des données est en retard sur la sécurité des systèmes informatiques (du moins du point de vue opérationnel). Pour ces derniers une circulaire du 22 mars préconise de mettre en oeuvre des recommandations du NIST pour la sécurisation des machines sous XP ou Vista,
– les solutions techniques comme la fédération d’identité suscitent un intérêt évident et l’Europe est perçue comme étant plutôt en avance,
– le projet Real ID suscite une véritable inquiétude de la part des avocats de la liberté individuelle (dont un membre du conseil) par ce qu’il implique de fichage des citoyens et résidents, en partie parce qu’il a été géré de manière trop technique sans consacrer suffisamment de temps à répondre à ces inquiétudes,
– la sécurisation avec IPv6 au sens de l’élaboration de préconisations opérationnelles n’en est encore qu’à ses débuts.
On peut également relever qu’en parallèle le National Research Council a publié un rapport sur la protection des données personnelles dans le cadre de la fusion de données sociales et de données géolocalisées. Ses conclusions sont que si la recherche devrait être à même de produire dans le futur des mécanismes contribuant fortement à réduire les risques, des mesures d’encadrement sont nécessaires dans le court terme pour éviter les débordements…
Source :
– https://csrc.nist.gov/ispab/agenda/ISPAB-Agenda-March2007.pdf
– Circulaire de l’OMB – Implementation of Commonly Accepted Security Configurations for Windows Operating Systems
https://www.whitehouse.gov/omb/memoranda/fy2007/m07-11.pdf
– Putting People on the Map: Protecting Confidentiality with Linked Social-Spatial Data
https://www.nap.edu/catalog.php?record_id=11865
Rédacteur :
Jean-Philippe Lagrange [email protected]