OSCAL pour s’orienter dans le maquis de la conformité

Le choix des mesures de sécurité applicables au sein d’une organisation finalise la phase de traitement du risque. Les guides et bonnes pratiques applicables dépendent des métiers et du contexte de régulation.

Ci-dessous quelques exemples de catalogues et référentiels couramment utilisés :

  • ISO 27002 (pour les certifications ISO 27001 ou le suivi des bonnes pratiques)
  • NIST 800-53 (obligatoire pour les agences publiques américaines et utilisé par de nombreux groupes privés internationaux)
  • COBIT (référentiel ISACA pour la gouvernance IT comprenant des aspects sécurité, voir en particulier le document COBIT for Information Security)
  • Cloud Controls Matrix (pour les certifications Cloud STAR de la Cloud Security Alliance.
  • PCI DSS (pour les systèmes utilisant des numéros de cartes bancaires)
  • HIPAA (pour les systèmes américains traitant des données de santé, l’équivalent français de la certification HDS - Hébergeur Données de Santé).

Ces référentiels constituent une source précieuse pour le professionnel de la sécurité qui n’aura pas à « réinventer la roue ». Néanmoins, le suivi, la mise à jour et l’audit de centaines de mesures sur des périmètres complexes et évoluant rapidement restent un tour de force. Des fichiers Excel et des outils de type GRC (Governance Risk & Compliance) sont déployés pour organiser cette «jungle ».

Le NIST américain a initié le projet Open Security Controls Assessment Language pour standardiser un langage de présentation commun. L’objectif est de structurer l’information, en particulier les axes suivants :

  • Les types de mesures et leur catégorisation (contrôle d’accès, cryptographie, audit…)
  • Les niveaux de détails.
  • Les guides de mises en œuvre.
  • Le profil de sécurité (par exemple trois niveaux pour les profils 800-53).
  • Les preuves d’audit et les plans de remédiation.
  • Les plans d’actions sécurité.

Ce modèle basé sur une structuration XML devrait faciliter le travail des parties prenantes : CISO / RSSI et leurs équipes, auditeurs externes et internes, hébergeurs et fournisseurs CLOUD.

Cette initiative rejoint d’autres efforts de standardisation parmi lesquels :

  • SCAP (Security Content Automation Protocol) pour la gestion des vulnérabilités et le suivi des correctifs de sécurité.
  • OCIL (Open Checklist Interactive Language) pour les checklists de durcissement de systèmes.

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :